CISP知識類：信息安全管理

第4章知識類：信息安全管理

信息安全管理是注冊信息安全專業(yè)人員需要掌握的主體知識內(nèi)容之一。通過本部分的學習，學員應當：

理解信息安全管理對于保障信息系統(tǒng)安全的作用;

理解信息安全管理體系、風險管理和信息安全管理控制措施的含義;

掌握建立和完善信息安全管理體系的一-般方法：

掌握信息安全風險管理工作的方法和一般原則：

掌握各個信息安全管理控制措施的作用及最佳實踐。

4.1知識體：信息安全管理基礎

圖4-1：知識體：信息安全管理基礎

4.1.1知識域：信息安全管理概述

知識子域：信息安全管理基本概念

理解管理、信息安全管理的概念，理解信息安全管理的對象

理解以建立體系的方式實施信息安全管理的必要性

理解體系、管理體系、信息安全管理體系的概念

知識子域：信息安全管理作用

理解信息安全管理的重要作用

理解信息安全管理體系的作用

4.1.2知識域：信息安全管理方法與實施

知識子域：信息安全管理方法

理解風險管理是信息安全管理的基本方法，理解風險評估是信息安全管理的基礎，風險處理是信息安全管理的核心，理解控制措施是管理風險的具體手段

理解過程方法是信息安全管理的基本方法，理解過程和過程方法的含義，理解PDCA模型

知識子域：信息安全管理實施

理解建設信息安全管理體系是系統(tǒng)地實施信息安全管理的一種方法

理解建設信息安全等級保護是系統(tǒng)地實施信息安全管理的一種方法

了解基于NISTSP800進行信息安全建設是實施信息安全管理的一種方法

4.2知識體：信息安全風險管理

圖4-2：知識體：信息安全風險管理

4.2.1知識域：信息安全風險管理基礎

知識子域：信息安全管理方法

理解風險管理是信息安全管理的基本方法，理解風險評估是信息安全管理的基礎，風險處理是信息安全管理的核心，理解控制措施是管理風險的具體手段

理解過程方法是信息安全管理的基本方法，理解過程和過程方法的含義，理解PDCA模型

知識子域：信息安全管理實施

理解建設信息安全管理體系是系統(tǒng)地實施信息安全管理的一種方法

理解建設信息安全等級保護是系統(tǒng)地實施信息安全管理的一種方法

了解基于NISTSP800進行信息安全建設是實施信息安全管理的一種方法

4.2.2知識域：信息安全風險管理主要內(nèi)容

知識子域：信息安全風險管理的基本內(nèi)容和過程

理解背景建立的主要工作內(nèi)容

理解風險評估的主要工作內(nèi)容

理解風險處理的主要工作內(nèi)容

理解批準監(jiān)督的主要工作內(nèi)容

理解監(jiān)控審查的主要工作內(nèi)容

理解溝通咨詢的主要工作內(nèi)容

知識子域：信息系統(tǒng)生命周期與信息安全風險管理

理解信息系統(tǒng)生命周期與信息安全風險管理的關系

理解系統(tǒng)規(guī)劃階段的風險管理工作內(nèi)容

理解系統(tǒng)設計階段的風險管理工作內(nèi)容

理解系統(tǒng)實施階段的風險管理工作內(nèi)容

理解系統(tǒng)運行維護階段的風險管理工作內(nèi)容

理解系統(tǒng)廢棄階段的風險管理工作內(nèi)容

4.2.3知識域：信息安全風險評估

知識子域：風險評估工作形式

理解自評估和檢查評估的風險評估工作形式

理解自評估和檢查評估的區(qū)別及優(yōu)缺點

理解風險評估、檢查評估和等級保護測評之間的關系

知識子域：風險評估方法

理解定性風險分析方法

理解定量風險分析方法，掌握年度預期損失（ALE）的計算方法

理解半定量風險分析方法

理解定性和定量風險分析方法的優(yōu)缺點

知識子域：風險評估的實施流程

掌握風險評估準備階段的工作內(nèi)容

掌握風險要素識別階段的工作內(nèi)容

掌握風險分析階段的工作內(nèi)容和工作步驟

掌握風險結(jié)果判定階段的工作內(nèi)容

知識子域：風險評估工具

了解風險評估工具的分類

了解常用風險評估工具

圖4-3：知識體：信息安全管理體系

4.3.1知識域：信息安全管理體系基礎

知識子域：管理職責

理解管理者履行管理職責對成功實施信息安全管理體系（ISMS）的重要推動作用

掌握實施ISMS過程中管理者應承擔的管理職責的主要內(nèi)容

知識子域：文檔控制

理解文檔化對實施ISMS的重要性

理解風險評估結(jié)果是編制ISMS文件的依據(jù)

了解對ISMS文件和記錄進行保護和控制的常規(guī)措施

知識子域：內(nèi)部審核和管理評審

了解內(nèi)部審核的概念，以及內(nèi)部審核的目的、實施主體、實施方式、審核準則

了解管理評審的概念，以及管理評審的目的、實施主體、實施對象、實施方式

知識子域：信息安全管理體系認證了解ISMS認證的概念

理解ISMS認證是促進信息安全管理體系改進的一種外部驅(qū)動力

4.3.2知識域：信息安全管理體系建設

知識子域：規(guī)劃與建立ISMS

理解定義ISMS范圍和邊界、實施風險評估、獲得管理者對殘余

風險的批準等規(guī)劃與建立ISMS的主要工作內(nèi)容

知識子域：實施和運行ISMS

理解實施風險處理計劃、開發(fā)有效性測量程序、管理ISMS的運

行等實施和運行ISMS的主要工作內(nèi)容

知識子域：監(jiān)視和評審ISMS

理解進行有效性測量、實施內(nèi)部審核、實施管理評審等監(jiān)視和評審ISMS的主要工作內(nèi)容

知識子域：保持和改進ISMS

理解實施糾正和預防措施、溝通措施和改進情況等保持和改進ISMS的主要工作內(nèi)容

4.3.3知識域：信息安全控制措施

知識子域：安全方針

理解信息安全方針控制目標的含義

掌握信息安全方針文件和信息安全方針評審兩項措施的常規(guī)控制方法

知識子域：信息安全組織

理解內(nèi)部組織控制目標的含義，掌握信息安全協(xié)調(diào)等實現(xiàn)這一目標的控制措施的常規(guī)實施方法

理解外部各方控制目標的含義，掌握與外部各方相關風險的識別

等控制措施的實施方法

知識子域：資產(chǎn)管理

理解對資產(chǎn)負責控制目標的含義，掌握資產(chǎn)清單、資產(chǎn)責任人等控制措施的實施方法

理解信息分類控制目標的含義，掌握分類指南、信息的標記和處理等控制措施的實施方法

知識子域：人力資源安全

理解任用前控制目標的含義，掌握角色和職責、審查等控制措施的實施方法

理解任用中控制目標的含義，掌握管理職責、信息安全意識教育和培訓等控制措施的實施方法

理解任用的終止或變化控制目標的含義，掌握終止職責、撤銷訪問權等控制措施的實施方法

知識子域：物理和環(huán)境安全

理解人身安全的重要性

理解安全區(qū)域控制目標的含義，掌握物理安全邊界、物理入口控制等控制措施的實施方法

理解設備安全控制目標的含義，掌握設備安置和保護、支持性設施等控制措施的實施方法

知識子域：通信和操作管理

理解操作程序和職責、第三方服務交付管理、系統(tǒng)規(guī)劃和驗收、防范惡意代碼、備份、網(wǎng)絡安全管理、介質(zhì)處置、信息的交換、電子商務服務、監(jiān)視和訪問控制這些控制目標的含義

掌握實現(xiàn)這些控制目標的控制措施的實施方法

知識子域：訪問控制

理解訪問控制的業(yè)務要求、用戶訪問管理、用戶職責、網(wǎng)絡訪問

控制、操作系統(tǒng)訪問控制、應用和信息訪問控制、移動計算和遠程工作這些控制目標的含義

掌握實現(xiàn)這些控制目標的控制措施的實施方法

知識子域：信息系統(tǒng)獲取、開發(fā)與維護

理解信息系統(tǒng)的安全需求、應用中的正確處理、密碼控制、系統(tǒng)文件的安全、開發(fā)和支持過程中的安全、技術脆弱性管理這些控制目標的含義

掌握實現(xiàn)這些控制目標的控制措施的實施方法

知識子域：符合性

理解符合法律要求、符合安全策略和標準以及技術符合性、信息系統(tǒng)審核考慮這些控制目標的含義

掌握實現(xiàn)這些控制目標的控制措施的實施方法

4.4知識體：應急響應與災難恢復

圖4-4：知識體：應急響應與災難恢復

4.4.1知識域：應急響應概況

知識子域：信息安全事件分類分級

理解信息安全事件和應急響應的基本概念

了解國際和我國的信息安全應急響應組織

了解我國信息安全事件應急響應工作的進展情況、政策要求和相關標準

理解我國信息安全事件分類、分級方法

知識子域：信息安全應急響應管理過程

掌握信息安全應急響應階段方法論

掌握準備、檢測、遏制、根除等應急響應階段的主要工作內(nèi)容

掌握信息安全應急響應計劃編制方法

知識子域：計算機取證

了解計算機取證的概念和目的

了解計算機取證的基本步驟

4.4.2知識域：信息系統(tǒng)災難恢復

知識子域：災難恢復概況

了解災難恢復的歷史和背景、進展情況、政策要求和相關標準

理解業(yè)務連續(xù)性管理與災難恢復相關的基本概念

了解災難恢復組織的一般結(jié)構和職責

理解組織應依據(jù)自身業(yè)務特點制定適宜的災難恢復戰(zhàn)略

理解編制詳細準確的備份策略和恢復步驟文檔是成功恢復的基礎，

理解恢復性測試的重要性

知識子域：災難恢復管理過程

掌握災難恢復管理工作的主要內(nèi)容

掌握災難恢復規(guī)劃過程：災難恢復需求分析、災難恢復策略制定、

災難恢復策略實現(xiàn)、災難恢復預案制定和管理

理解同城和異地災難備份中心的優(yōu)缺點

知識子域：災難恢復能力

掌握有關標準對信息系統(tǒng)災難恢復能力級別的劃分

理解各恢復能力級別對各類災難恢復資源要素的指標要求

掌握確定組織自身所需災難恢復能力級別的方法

4.4.3知識域：災難恢復相關技術

知識子域：備份技術

理解全備份、增量備份和差分備份三種備份方式

理解三種備份方式的特點

知識子域：備用場所

了解冷站、溫站、熱站、移動站和鏡像站等類別的備用場所的概念，

了解各類備用場所具有的功能、備戰(zhàn)性程度

了解由組織擁有或運行維護的專用站點、同內(nèi)部或外部實體通過

簽署互惠協(xié)議而確定的備用站點、向?qū)I(yè)商業(yè)組織租用的備用站

點在建設和管理方式方面的不同