第一章安全与风险管理安全与风险管理的概念机密性、完整性与可用性机密性完整性可用性安全治理组织的目标Goals、使命Mission与任务Objectives组织流程安全角色与职责信息安全策略完整与有效的安全体系监管委员会控制框架应有的关注duecare应尽的职贵duediligence合规性(原法律法规章节)治理、风险与合规(GRC)法律与法规合规隐私需求合规全球性法律与法规问题(原法律法规章节)计算机犯罪版权与知识产权进出口■J|r跨国界数据传输隐私数据泄露相关法律法规理解专业道德(原法律法规章节)道德体系的法规需求计算机道德的主题一般计算机道德的谬论黑客行为与黑客主义道德规范的指引与资源ISC2的专业道德规范支持组织的道德规范开发与实施安全策略业务连续性与灾难恢复需求(原BCP与DRP章节)项目启动与管理设计并定义项目范怜I与计划实施业务影响分析(EIA)识别与分级评估灾害的影响恢复点目标(RPO)管理人员安全背景调查雇佣协议与策略雇员离职程序供应商、顾问与合同工控制隐私风险管理的概念组织风险管理概念风险评估方法论识别威胁与脆弱性风险评估与分析控制措施选择实施风险控制措施控制的类型访问控制的类型控制评估、监控与测量实物与非实物资产评价持续改进风险管理框架威胁建模决定可能的攻击与降低分析减小威胁的技术与流程〔采购策略与实践f\硬件、软件与服务■j|管理第三方供应商最小的安全与服务级别需求安全教育、培训与意识正式的安全意识培训意识活动与防范-创建组织的安全文化第二章资产安全(新增章节)资产安全概念数据管理:决定与维护所有者数据策略角色与责任数据所有者数据保管者数据质量数据文件化与组织化数据标准数据生命周期控制数据定义与建模数据库维护数据审计数据存储与归档数据寿命与使用数据安全数据访问、共享与传播数据发布信息分级与支持资产资产管理/软件版权设备生命周期保护隐私确保合适的保存介质
