2022年CISP教材知識點整理：信息安全管理體系控制措施

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

第三章：知識域：信息安全管理

3.4 知識子域：信息安全管理體系最佳實踐

3.4.3信息安全管理體系控制措施

1.信息安全方針

信息安全管理指導

2.信息安全組織

內(nèi)部組織

移動設備和遠程辦公

3.人力資源安全

任用之前

任用中

任用的終止和變化

4.資產(chǎn)管理

對資產(chǎn)負責

信息分類

信息分類

信息的標記

資產(chǎn)的處理

介質(zhì)處置

5.訪問控制

訪問控制的業(yè)務要求

用戶訪問管理

用戶職責

系統(tǒng)和應用訪問控制

6.密碼學

加密控制（目標：通過加密方法保護信息的保密性、真實性或完整性）

使用加密控制的策略

密鑰管理

7.物理與環(huán)境安全

安全區(qū)域

設備安全（目標：防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動的中斷）

8.操作安全

操作規(guī)程和職責

文件化的操作規(guī)程

變更管理

容量管理

開發(fā)、測試和運行環(huán)境分離

惡意代碼保護

惡意代碼的控制

備份（目標：防止數(shù)據(jù)丟失）

日志記錄和監(jiān)控（目的：記錄事件并生成證據(jù)）

事件日志

日志信息的保護

管理員和操作員日志

時鐘同步（形成證據(jù)鏈）

操作軟件控制

技術(shù)漏洞管理

信息系統(tǒng)審計的考慮

9.通信安全

網(wǎng)絡安全管理（目標：確保網(wǎng)絡中信息的安全性并保護支持性的基礎設施）

網(wǎng)絡控制

網(wǎng)絡服務安全

網(wǎng)絡隔離

信息交換

10.信息獲取、開發(fā)和維護

信息系統(tǒng)的安全要求

開發(fā)和支持過程中的安全性

測試數(shù)據(jù)

11.供應商關(guān)系

供應商關(guān)系中的信息安全

供應商服務交付管理

12.信息安全事件管理

信息安全事件的管理和改進

13.業(yè)務連續(xù)性管理

信息安全的連續(xù)性

冗余

14.符合性

符合法律和合同規(guī)定

可用的法律和合同要求的識別

知識產(chǎn)權(quán)

記錄的保護

個人身份信息的隱私和保護

加密控制的監(jiān)管

信息安全審查

組織在規(guī)定的時間間隔（一般是一年）或重大變化發(fā)生時，組織的信息安全管理和實施方法（如信息安全的控制目標、控制措施、方針、過程和規(guī)程）應獨立審查。獨立評審宜由管理者啟動，由獨立于被評審范圍的人員執(zhí)行，例如交叉審核（審核員A審查B的信息安全管理工作）、內(nèi)部審核部門、獨立的管理人員或?qū)ｉT進行這種評審的第三方組織。從事這些評審的人員宜具備適當?shù)募寄芎徒?jīng)驗。內(nèi)部審查的結(jié)果應該形成正式文件并長期留存。

評審結(jié)果和管理人員采取的糾正措施應該被記錄，形成管理評審報告

任何技術(shù)符合性核查應由有能力的、已授權(quán)的人員來實施或在他們的監(jiān)督下完成

注：以上內(nèi)容來源于網(wǎng)絡，如有侵權(quán)，可聯(lián)系客服刪除