2021年CISP培訓(xùn)知識(shí)點(diǎn)三

2021年6月CISP什么時(shí)候考試呢？小編預(yù)計(jì)在6月中旬開(kāi)考，在此特意為考生整理了CISP培訓(xùn)知識(shí)點(diǎn)三，僅供參考。

四.信息安全法律法規(guī)

1.當(dāng)前我國(guó)現(xiàn)有的信息安全法律:《中華人民共和國(guó)保守秘密法》《電子簽名法》 其中規(guī)定:秘密的級(jí)別分為：絕密、機(jī)密、秘密三個(gè)級(jí)別

2. 2003年7月22日,信息化領(lǐng)導(dǎo)小組第三次會(huì)議通過(guò)了《信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào))

3. 黨的十六屆四中全會(huì)將信息安全與政治安全、經(jīng)濟(jì)安全、文化安全并列為安全的重要組成要素。非傳統(tǒng)安全問(wèn)題日益得到重視

4. 公通字[2007]43號(hào)-信息安全等級(jí)保護(hù)管理辦法

5.《關(guān)于加強(qiáng)電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》(發(fā)改高技[2008]2071號(hào))

6. 《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》(國(guó)辦發(fā)[2008]17號(hào))

7. 《國(guó)務(wù)院辦公廳關(guān)于印發(fā)<政府信息系統(tǒng)安全檢查辦法>的通知》(國(guó)辦發(fā)[2009]28號(hào))

8.《國(guó)務(wù)院辦公廳關(guān)于印發(fā)<網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案>的通知》(國(guó)辦函[2008]168號(hào))CC EAL1 EAL2

一(用戶自主保護(hù))

二(安全審計(jì)保EAL3 護(hù))

E2 E117859 ITSEC TCSECE0D(最低保護(hù))C1(自主安全保護(hù))C2(訪問(wèn)控制保護(hù))

三(安全標(biāo)記保EAL4 護(hù))EAL5

四(結(jié)構(gòu)化保護(hù)) EAL6

五(訪問(wèn)驗(yàn)證保護(hù))E5 E6B3(安全域保護(hù)) A1(驗(yàn)證設(shè)計(jì)保EAL7護(hù))E3 E4B1(安全標(biāo)簽保護(hù))B2(結(jié)構(gòu)化保護(hù))

五.信息安全保障體系

1. 信息安全發(fā)展歷程：通信保密,計(jì)算機(jī)安全(桔皮書(shū))，信息系統(tǒng)安全(CC)，信息安全保障

2. 安全保障在整個(gè)生命周期，風(fēng)險(xiǎn)和策略是核心,最終目標(biāo)：保障系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的使命

3. 生命周期:計(jì)劃組織,開(kāi)發(fā)采購(gòu)，實(shí)施交付，運(yùn)行維護(hù)，廢棄保障要素：技術(shù)，工程，管理,人員。 安全特性CIA：機(jī)密性,完整性，可用性

4. 信息安全技術(shù)體系結(jié)構(gòu):PDR：Protection防護(hù)，Detection檢測(cè),Response響應(yīng) PT>DT+RT。 如果防護(hù)時(shí)間為0，暴露時(shí)間=安全檢測(cè)時(shí)間+安全響應(yīng)時(shí)間

5. 信息安全管理體系ISMS:ISO17799實(shí)施細(xì)則，ISO27001管理指南

6. ISO13335風(fēng)險(xiǎn)管理框架，COSO風(fēng)險(xiǎn)內(nèi)控框架，COBIT內(nèi)控框架，ITIL框架

7. IATF信息保障技術(shù)框架

1)三個(gè)層面:人員，技術(shù)，運(yùn)行

2)技術(shù)框架:本地計(jì)算環(huán)境，區(qū)域邊界，網(wǎng)絡(luò)和基礎(chǔ)設(shè)施，支持性技術(shù)設(shè)施

六.信息安全管理體系

1. 信息安全管理體系ISMS：管理指南ISO27001,實(shí)施細(xì)則ISO17799

2. 信息安全管理措施(實(shí)踐準(zhǔn)則)270023. 基本安全管理措施：策略、組織和人員重要安全管理措施：資產(chǎn)管理、通信和操作管理、訪問(wèn)控制和符合性4. 27001的核心內(nèi)容為：PDCA模型：不斷前進(jìn)，循環(huán)P(PLAN)計(jì)劃; D(DO)做; C(CHECK)檢查; A(ACT):處置,改進(jìn)5.ISO27001來(lái)源于BS7799-2ISO27002來(lái)源于ISO17799，17799來(lái)源于BS7799-11. 信息安全管理措施27002,有11個(gè)安全控制措施的章節(jié),共有39個(gè)主要安全類別1安全策略,2信息安全組織，3資產(chǎn)管理,4人力資源安全，5物理和環(huán)境安全，6通信和操作管理,7訪問(wèn)控制,8系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù),9信息安全事故管理,10業(yè)務(wù)連續(xù)性管理，11符合性

2. 策略的性質(zhì)：指導(dǎo)性，原則性(非技術(shù)性)，可審核性，可實(shí)現(xiàn)性,動(dòng)態(tài)性，文檔化

3. 策略的使用和維護(hù):管理層---制定，決策層---審批。系統(tǒng)用戶和維護(hù)人員---執(zhí)行，審計(jì)人員---審計(jì)

4. 內(nèi)部組織:8個(gè)控制措施。外部各方：3個(gè)控制措施

七.風(fēng)險(xiǎn)管理

1. 參考資料:ISO13335風(fēng)險(xiǎn)管理，17799安全管理措施,15408CC

2. 安全風(fēng)險(xiǎn)的定義:一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。

3. 風(fēng)險(xiǎn)分析的目的：識(shí)別資產(chǎn)、脆弱性并計(jì)算潛在的風(fēng)險(xiǎn)。

4. 風(fēng)險(xiǎn)管理的控制方法有:減低風(fēng)險(xiǎn)，轉(zhuǎn)嫁風(fēng)險(xiǎn)，規(guī)避風(fēng)險(xiǎn),接受風(fēng)險(xiǎn)

5.風(fēng)險(xiǎn)的四個(gè)要素:資產(chǎn)及其價(jià)值，威脅，脆弱性,現(xiàn)有的和計(jì)劃的控制措施。

>>本次CISP培訓(xùn)知識(shí)點(diǎn)來(lái)源于網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系刪除<<