温故知新cissp-安全控制

安全控制 涉及物理、技术和管理机制，它们充当为信息系统规定的保障措施或对策，以保护系统及其信息的机密性、完整性和可用性。控制措施的实施应能降低风险，有望达到可接受的水平。

物理控制

物理控制使用物理硬件设备解决基于流程的安全需求，例如徽章阅读器、建筑物和设施的建筑特征，以及人们要采取的具体安全措施。它们通常提供控制、指挥或阻止人员和设备在特定物理位置（例如办公室、工厂或其他设施）移动的方法。物理控制还可以保护和控制进入建筑物、停车场或组织控制范围内的其他区域周围的土地。在大多数情况下，物理控制由技术控制支持，作为将它们纳入整体安全系统的一种手段。

例如，访问工作场所的来访者和客人必须经常通过指定的入口和出口进入设施，在那里可以识别他们的身份，评估他们的访问目的，然后允许或拒绝进入。员工可能会通过其他入口进入，使用公司颁发的徽章或其他令牌来声明他们的身份并获得访问权限。这些需要技术控制，以将徽章或令牌读取器、门释放机制以及身份管理和访问控制系统集成到一个更加无缝的安全系统中。

技术控制

技术控制（也称为逻辑控制）是计算机系统和网络直接实施的安全控制。这些控制可以提供自动保护，防止未经授权的访问或滥用，促进安全违规检测，并支持应用程序和数据的安全要求。技术控制可以是作为数据存储的配置设置或参数，通过软件图形用户界面 (GUI) 进行管理，也可以是通过开关、跳线插头或其他方式完成的硬件设置。然而，技术控制的实施总是需要重要的操作考虑，并且应该与组织内的安全管理保持一致。当我们在本章后面的部分和后续章节中查看它们时，我们将更深入地研究其中的许多内容。

行政控制

行政控制（也称为管理控制）是针对组织内人员的指令、指南或建议。它们为人类行为提供框架、约束和标准，并应涵盖组织活动的整个范围及其与外部各方和利益相关者的互动。

认识到管理控制可以而且应该是实现信息安全的强大、有效的工具是非常重要的。即使是最简单的安全意识策略也可以成为有效的控制，如果你能通过系统的培训和实践帮助组织充分实施它们。

许多组织正在通过将他们的管理控制集成到他们的员工全天使用的任务级活动和运营决策流程中来改善他们的整体安全态势。这可以通过将它们作为在上下文中准备好的参考和咨询资源提供，或者通过将它们直接链接到培训活动来实现。这些和其他技术使政策达到更中立的水平，并远离仅由高级管理人员做出的决策。它还使它们在日常和每个任务的基础上即时、有用和可操作。

原文地址：https://blog.csdn.net/m0_37888039/article/details/143950649

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！