CISP知識(shí)類(lèi)：信息安全管理

第4章知識(shí)類(lèi)：信息安全管理

信息安全管理是注冊(cè)信息安全專(zhuān)業(yè)人員需要掌握的主體知識(shí)內(nèi)容之一。通過(guò)本部分的學(xué)習(xí)，學(xué)員應(yīng)當(dāng)：

理解信息安全管理對(duì)于保障信息系統(tǒng)安全的作用;

理解信息安全管理體系、風(fēng)險(xiǎn)管理和信息安全管理控制措施的含義;

掌握建立和完善信息安全管理體系的一-般方法：

掌握信息安全風(fēng)險(xiǎn)管理工作的方法和一般原則：

掌握各個(gè)信息安全管理控制措施的作用及最佳實(shí)踐。

4.1知識(shí)體：信息安全管理基礎(chǔ)

圖4-1：知識(shí)體：信息安全管理基礎(chǔ)

4.1.1知識(shí)域：信息安全管理概述

知識(shí)子域：信息安全管理基本概念

理解管理、信息安全管理的概念，理解信息安全管理的對(duì)象

理解以建立體系的方式實(shí)施信息安全管理的必要性

理解體系、管理體系、信息安全管理體系的概念

知識(shí)子域：信息安全管理作用

理解信息安全管理的重要作用

理解信息安全管理體系的作用

4.1.2知識(shí)域：信息安全管理方法與實(shí)施

知識(shí)子域：信息安全管理方法

理解風(fēng)險(xiǎn)管理是信息安全管理的基本方法，理解風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)，風(fēng)險(xiǎn)處理是信息安全管理的核心，理解控制措施是管理風(fēng)險(xiǎn)的具體手段

理解過(guò)程方法是信息安全管理的基本方法，理解過(guò)程和過(guò)程方法的含義，理解PDCA模型

知識(shí)子域：信息安全管理實(shí)施

理解建設(shè)信息安全管理體系是系統(tǒng)地實(shí)施信息安全管理的一種方法

理解建設(shè)信息安全等級(jí)保護(hù)是系統(tǒng)地實(shí)施信息安全管理的一種方法

了解基于NISTSP800進(jìn)行信息安全建設(shè)是實(shí)施信息安全管理的一種方法

4.2知識(shí)體：信息安全風(fēng)險(xiǎn)管理

圖4-2：知識(shí)體：信息安全風(fēng)險(xiǎn)管理

4.2.1知識(shí)域：信息安全風(fēng)險(xiǎn)管理基礎(chǔ)

知識(shí)子域：信息安全管理方法

理解風(fēng)險(xiǎn)管理是信息安全管理的基本方法，理解風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)，風(fēng)險(xiǎn)處理是信息安全管理的核心，理解控制措施是管理風(fēng)險(xiǎn)的具體手段

理解過(guò)程方法是信息安全管理的基本方法，理解過(guò)程和過(guò)程方法的含義，理解PDCA模型

知識(shí)子域：信息安全管理實(shí)施

理解建設(shè)信息安全管理體系是系統(tǒng)地實(shí)施信息安全管理的一種方法

理解建設(shè)信息安全等級(jí)保護(hù)是系統(tǒng)地實(shí)施信息安全管理的一種方法

了解基于NISTSP800進(jìn)行信息安全建設(shè)是實(shí)施信息安全管理的一種方法

4.2.2知識(shí)域：信息安全風(fēng)險(xiǎn)管理主要內(nèi)容

知識(shí)子域：信息安全風(fēng)險(xiǎn)管理的基本內(nèi)容和過(guò)程

理解背景建立的主要工作內(nèi)容

理解風(fēng)險(xiǎn)評(píng)估的主要工作內(nèi)容

理解風(fēng)險(xiǎn)處理的主要工作內(nèi)容

理解批準(zhǔn)監(jiān)督的主要工作內(nèi)容

理解監(jiān)控審查的主要工作內(nèi)容

理解溝通咨詢(xún)的主要工作內(nèi)容

知識(shí)子域：信息系統(tǒng)生命周期與信息安全風(fēng)險(xiǎn)管理

理解信息系統(tǒng)生命周期與信息安全風(fēng)險(xiǎn)管理的關(guān)系

理解系統(tǒng)規(guī)劃階段的風(fēng)險(xiǎn)管理工作內(nèi)容

理解系統(tǒng)設(shè)計(jì)階段的風(fēng)險(xiǎn)管理工作內(nèi)容

理解系統(tǒng)實(shí)施階段的風(fēng)險(xiǎn)管理工作內(nèi)容

理解系統(tǒng)運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)管理工作內(nèi)容

理解系統(tǒng)廢棄階段的風(fēng)險(xiǎn)管理工作內(nèi)容

4.2.3知識(shí)域：信息安全風(fēng)險(xiǎn)評(píng)估

知識(shí)子域：風(fēng)險(xiǎn)評(píng)估工作形式

理解自評(píng)估和檢查評(píng)估的風(fēng)險(xiǎn)評(píng)估工作形式

理解自評(píng)估和檢查評(píng)估的區(qū)別及優(yōu)缺點(diǎn)

理解風(fēng)險(xiǎn)評(píng)估、檢查評(píng)估和等級(jí)保護(hù)測(cè)評(píng)之間的關(guān)系

知識(shí)子域：風(fēng)險(xiǎn)評(píng)估方法

理解定性風(fēng)險(xiǎn)分析方法

理解定量風(fēng)險(xiǎn)分析方法，掌握年度預(yù)期損失（ALE）的計(jì)算方法

理解半定量風(fēng)險(xiǎn)分析方法

理解定性和定量風(fēng)險(xiǎn)分析方法的優(yōu)缺點(diǎn)

知識(shí)子域：風(fēng)險(xiǎn)評(píng)估的實(shí)施流程

掌握風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段的工作內(nèi)容

掌握風(fēng)險(xiǎn)要素識(shí)別階段的工作內(nèi)容

掌握風(fēng)險(xiǎn)分析階段的工作內(nèi)容和工作步驟

掌握風(fēng)險(xiǎn)結(jié)果判定階段的工作內(nèi)容

知識(shí)子域：風(fēng)險(xiǎn)評(píng)估工具

了解風(fēng)險(xiǎn)評(píng)估工具的分類(lèi)

了解常用風(fēng)險(xiǎn)評(píng)估工具

圖4-3：知識(shí)體：信息安全管理體系

4.3.1知識(shí)域：信息安全管理體系基礎(chǔ)

知識(shí)子域：管理職責(zé)

理解管理者履行管理職責(zé)對(duì)成功實(shí)施信息安全管理體系（ISMS）的重要推動(dòng)作用

掌握實(shí)施ISMS過(guò)程中管理者應(yīng)承擔(dān)的管理職責(zé)的主要內(nèi)容

知識(shí)子域：文檔控制

理解文檔化對(duì)實(shí)施ISMS的重要性

理解風(fēng)險(xiǎn)評(píng)估結(jié)果是編制ISMS文件的依據(jù)

了解對(duì)ISMS文件和記錄進(jìn)行保護(hù)和控制的常規(guī)措施

知識(shí)子域：內(nèi)部審核和管理評(píng)審

了解內(nèi)部審核的概念，以及內(nèi)部審核的目的、實(shí)施主體、實(shí)施方式、審核準(zhǔn)則

了解管理評(píng)審的概念，以及管理評(píng)審的目的、實(shí)施主體、實(shí)施對(duì)象、實(shí)施方式

知識(shí)子域：信息安全管理體系認(rèn)證了解ISMS認(rèn)證的概念

理解ISMS認(rèn)證是促進(jìn)信息安全管理體系改進(jìn)的一種外部驅(qū)動(dòng)力

4.3.2知識(shí)域：信息安全管理體系建設(shè)

知識(shí)子域：規(guī)劃與建立ISMS

理解定義ISMS范圍和邊界、實(shí)施風(fēng)險(xiǎn)評(píng)估、獲得管理者對(duì)殘余

風(fēng)險(xiǎn)的批準(zhǔn)等規(guī)劃與建立ISMS的主要工作內(nèi)容

知識(shí)子域：實(shí)施和運(yùn)行ISMS

理解實(shí)施風(fēng)險(xiǎn)處理計(jì)劃、開(kāi)發(fā)有效性測(cè)量程序、管理ISMS的運(yùn)

行等實(shí)施和運(yùn)行ISMS的主要工作內(nèi)容

知識(shí)子域：監(jiān)視和評(píng)審ISMS

理解進(jìn)行有效性測(cè)量、實(shí)施內(nèi)部審核、實(shí)施管理評(píng)審等監(jiān)視和評(píng)審ISMS的主要工作內(nèi)容

知識(shí)子域：保持和改進(jìn)ISMS

理解實(shí)施糾正和預(yù)防措施、溝通措施和改進(jìn)情況等保持和改進(jìn)ISMS的主要工作內(nèi)容

4.3.3知識(shí)域：信息安全控制措施

知識(shí)子域：安全方針

理解信息安全方針控制目標(biāo)的含義

掌握信息安全方針文件和信息安全方針評(píng)審兩項(xiàng)措施的常規(guī)控制方法

知識(shí)子域：信息安全組織

理解內(nèi)部組織控制目標(biāo)的含義，掌握信息安全協(xié)調(diào)等實(shí)現(xiàn)這一目標(biāo)的控制措施的常規(guī)實(shí)施方法

理解外部各方控制目標(biāo)的含義，掌握與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別

等控制措施的實(shí)施方法

知識(shí)子域：資產(chǎn)管理

理解對(duì)資產(chǎn)負(fù)責(zé)控制目標(biāo)的含義，掌握資產(chǎn)清單、資產(chǎn)責(zé)任人等控制措施的實(shí)施方法

理解信息分類(lèi)控制目標(biāo)的含義，掌握分類(lèi)指南、信息的標(biāo)記和處理等控制措施的實(shí)施方法

知識(shí)子域：人力資源安全

理解任用前控制目標(biāo)的含義，掌握角色和職責(zé)、審查等控制措施的實(shí)施方法

理解任用中控制目標(biāo)的含義，掌握管理職責(zé)、信息安全意識(shí)教育和培訓(xùn)等控制措施的實(shí)施方法

理解任用的終止或變化控制目標(biāo)的含義，掌握終止職責(zé)、撤銷(xiāo)訪(fǎng)問(wèn)權(quán)等控制措施的實(shí)施方法

知識(shí)子域：物理和環(huán)境安全

理解人身安全的重要性

理解安全區(qū)域控制目標(biāo)的含義，掌握物理安全邊界、物理入口控制等控制措施的實(shí)施方法

理解設(shè)備安全控制目標(biāo)的含義，掌握設(shè)備安置和保護(hù)、支持性設(shè)施等控制措施的實(shí)施方法

知識(shí)子域：通信和操作管理

理解操作程序和職責(zé)、第三方服務(wù)交付管理、系統(tǒng)規(guī)劃和驗(yàn)收、防范惡意代碼、備份、網(wǎng)絡(luò)安全管理、介質(zhì)處置、信息的交換、電子商務(wù)服務(wù)、監(jiān)視和訪(fǎng)問(wèn)控制這些控制目標(biāo)的含義

掌握實(shí)現(xiàn)這些控制目標(biāo)的控制措施的實(shí)施方法

知識(shí)子域：訪(fǎng)問(wèn)控制

理解訪(fǎng)問(wèn)控制的業(yè)務(wù)要求、用戶(hù)訪(fǎng)問(wèn)管理、用戶(hù)職責(zé)、網(wǎng)絡(luò)訪(fǎng)問(wèn)

控制、操作系統(tǒng)訪(fǎng)問(wèn)控制、應(yīng)用和信息訪(fǎng)問(wèn)控制、移動(dòng)計(jì)算和遠(yuǎn)程工作這些控制目標(biāo)的含義

掌握實(shí)現(xiàn)這些控制目標(biāo)的控制措施的實(shí)施方法

知識(shí)子域：信息系統(tǒng)獲取、開(kāi)發(fā)與維護(hù)

理解信息系統(tǒng)的安全需求、應(yīng)用中的正確處理、密碼控制、系統(tǒng)文件的安全、開(kāi)發(fā)和支持過(guò)程中的安全、技術(shù)脆弱性管理這些控制目標(biāo)的含義

掌握實(shí)現(xiàn)這些控制目標(biāo)的控制措施的實(shí)施方法

知識(shí)子域：符合性

理解符合法律要求、符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性、信息系統(tǒng)審核考慮這些控制目標(biāo)的含義

掌握實(shí)現(xiàn)這些控制目標(biāo)的控制措施的實(shí)施方法

4.4知識(shí)體：應(yīng)急響應(yīng)與災(zāi)難恢復(fù)

圖4-4：知識(shí)體：應(yīng)急響應(yīng)與災(zāi)難恢復(fù)

4.4.1知識(shí)域：應(yīng)急響應(yīng)概況

知識(shí)子域：信息安全事件分類(lèi)分級(jí)

理解信息安全事件和應(yīng)急響應(yīng)的基本概念

了解國(guó)際和我國(guó)的信息安全應(yīng)急響應(yīng)組織

了解我國(guó)信息安全事件應(yīng)急響應(yīng)工作的進(jìn)展情況、政策要求和相關(guān)標(biāo)準(zhǔn)

理解我國(guó)信息安全事件分類(lèi)、分級(jí)方法

知識(shí)子域：信息安全應(yīng)急響應(yīng)管理過(guò)程

掌握信息安全應(yīng)急響應(yīng)階段方法論

掌握準(zhǔn)備、檢測(cè)、遏制、根除等應(yīng)急響應(yīng)階段的主要工作內(nèi)容

掌握信息安全應(yīng)急響應(yīng)計(jì)劃編制方法

知識(shí)子域：計(jì)算機(jī)取證

了解計(jì)算機(jī)取證的概念和目的

了解計(jì)算機(jī)取證的基本步驟

4.4.2知識(shí)域：信息系統(tǒng)災(zāi)難恢復(fù)

知識(shí)子域：災(zāi)難恢復(fù)概況

了解災(zāi)難恢復(fù)的歷史和背景、進(jìn)展情況、政策要求和相關(guān)標(biāo)準(zhǔn)

理解業(yè)務(wù)連續(xù)性管理與災(zāi)難恢復(fù)相關(guān)的基本概念

了解災(zāi)難恢復(fù)組織的一般結(jié)構(gòu)和職責(zé)

理解組織應(yīng)依據(jù)自身業(yè)務(wù)特點(diǎn)制定適宜的災(zāi)難恢復(fù)戰(zhàn)略

理解編制詳細(xì)準(zhǔn)確的備份策略和恢復(fù)步驟文檔是成功恢復(fù)的基礎(chǔ)，

理解恢復(fù)性測(cè)試的重要性

知識(shí)子域：災(zāi)難恢復(fù)管理過(guò)程

掌握災(zāi)難恢復(fù)管理工作的主要內(nèi)容

掌握災(zāi)難恢復(fù)規(guī)劃過(guò)程：災(zāi)難恢復(fù)需求分析、災(zāi)難恢復(fù)策略制定、

災(zāi)難恢復(fù)策略實(shí)現(xiàn)、災(zāi)難恢復(fù)預(yù)案制定和管理

理解同城和異地災(zāi)難備份中心的優(yōu)缺點(diǎn)

知識(shí)子域：災(zāi)難恢復(fù)能力

掌握有關(guān)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)災(zāi)難恢復(fù)能力級(jí)別的劃分

理解各恢復(fù)能力級(jí)別對(duì)各類(lèi)災(zāi)難恢復(fù)資源要素的指標(biāo)要求

掌握確定組織自身所需災(zāi)難恢復(fù)能力級(jí)別的方法

4.4.3知識(shí)域：災(zāi)難恢復(fù)相關(guān)技術(shù)

知識(shí)子域：備份技術(shù)

理解全備份、增量備份和差分備份三種備份方式

理解三種備份方式的特點(diǎn)

知識(shí)子域：備用場(chǎng)所

了解冷站、溫站、熱站、移動(dòng)站和鏡像站等類(lèi)別的備用場(chǎng)所的概念，

了解各類(lèi)備用場(chǎng)所具有的功能、備戰(zhàn)性程度

了解由組織擁有或運(yùn)行維護(hù)的專(zhuān)用站點(diǎn)、同內(nèi)部或外部實(shí)體通過(guò)

簽署互惠協(xié)議而確定的備用站點(diǎn)、向?qū)I(yè)商業(yè)組織租用的備用站

點(diǎn)在建設(shè)和管理方式方面的不同