CISP知識類：信息安全管理

第4章知識類：信息安全管理

信息安全管理是注冊信息安全專業(yè)人員需要掌握的主體知識內(nèi)容之一。通過本部分的學(xué)習(xí)，學(xué)員應(yīng)當(dāng)：

理解信息安全管理對于保障信息系統(tǒng)安全的作用;

理解信息安全管理體系、風(fēng)險管理和信息安全管理控制措施的含義;

掌握建立和完善信息安全管理體系的一-般方法：

掌握信息安全風(fēng)險管理工作的方法和一般原則：

掌握各個信息安全管理控制措施的作用及最佳實(shí)踐。

4.1知識體：信息安全管理基礎(chǔ)

圖4-1：知識體：信息安全管理基礎(chǔ)

4.1.1知識域：信息安全管理概述

知識子域：信息安全管理基本概念

理解管理、信息安全管理的概念，理解信息安全管理的對象

理解以建立體系的方式實(shí)施信息安全管理的必要性

理解體系、管理體系、信息安全管理體系的概念

知識子域：信息安全管理作用

理解信息安全管理的重要作用

理解信息安全管理體系的作用

4.1.2知識域：信息安全管理方法與實(shí)施

知識子域：信息安全管理方法

理解風(fēng)險管理是信息安全管理的基本方法，理解風(fēng)險評估是信息安全管理的基礎(chǔ)，風(fēng)險處理是信息安全管理的核心，理解控制措施是管理風(fēng)險的具體手段

理解過程方法是信息安全管理的基本方法，理解過程和過程方法的含義，理解PDCA模型

知識子域：信息安全管理實(shí)施

理解建設(shè)信息安全管理體系是系統(tǒng)地實(shí)施信息安全管理的一種方法

理解建設(shè)信息安全等級保護(hù)是系統(tǒng)地實(shí)施信息安全管理的一種方法

了解基于NISTSP800進(jìn)行信息安全建設(shè)是實(shí)施信息安全管理的一種方法

4.2知識體：信息安全風(fēng)險管理

圖4-2：知識體：信息安全風(fēng)險管理

4.2.1知識域：信息安全風(fēng)險管理基礎(chǔ)

知識子域：信息安全管理方法

理解風(fēng)險管理是信息安全管理的基本方法，理解風(fēng)險評估是信息安全管理的基礎(chǔ)，風(fēng)險處理是信息安全管理的核心，理解控制措施是管理風(fēng)險的具體手段

理解過程方法是信息安全管理的基本方法，理解過程和過程方法的含義，理解PDCA模型

知識子域：信息安全管理實(shí)施

理解建設(shè)信息安全管理體系是系統(tǒng)地實(shí)施信息安全管理的一種方法

理解建設(shè)信息安全等級保護(hù)是系統(tǒng)地實(shí)施信息安全管理的一種方法

了解基于NISTSP800進(jìn)行信息安全建設(shè)是實(shí)施信息安全管理的一種方法

4.2.2知識域：信息安全風(fēng)險管理主要內(nèi)容

知識子域：信息安全風(fēng)險管理的基本內(nèi)容和過程

理解背景建立的主要工作內(nèi)容

理解風(fēng)險評估的主要工作內(nèi)容

理解風(fēng)險處理的主要工作內(nèi)容

理解批準(zhǔn)監(jiān)督的主要工作內(nèi)容

理解監(jiān)控審查的主要工作內(nèi)容

理解溝通咨詢的主要工作內(nèi)容

知識子域：信息系統(tǒng)生命周期與信息安全風(fēng)險管理

理解信息系統(tǒng)生命周期與信息安全風(fēng)險管理的關(guān)系

理解系統(tǒng)規(guī)劃階段的風(fēng)險管理工作內(nèi)容

理解系統(tǒng)設(shè)計(jì)階段的風(fēng)險管理工作內(nèi)容

理解系統(tǒng)實(shí)施階段的風(fēng)險管理工作內(nèi)容

理解系統(tǒng)運(yùn)行維護(hù)階段的風(fēng)險管理工作內(nèi)容

理解系統(tǒng)廢棄階段的風(fēng)險管理工作內(nèi)容

4.2.3知識域：信息安全風(fēng)險評估

知識子域：風(fēng)險評估工作形式

理解自評估和檢查評估的風(fēng)險評估工作形式

理解自評估和檢查評估的區(qū)別及優(yōu)缺點(diǎn)

理解風(fēng)險評估、檢查評估和等級保護(hù)測評之間的關(guān)系

知識子域：風(fēng)險評估方法

理解定性風(fēng)險分析方法

理解定量風(fēng)險分析方法，掌握年度預(yù)期損失（ALE）的計(jì)算方法

理解半定量風(fēng)險分析方法

理解定性和定量風(fēng)險分析方法的優(yōu)缺點(diǎn)

知識子域：風(fēng)險評估的實(shí)施流程

掌握風(fēng)險評估準(zhǔn)備階段的工作內(nèi)容

掌握風(fēng)險要素識別階段的工作內(nèi)容

掌握風(fēng)險分析階段的工作內(nèi)容和工作步驟

掌握風(fēng)險結(jié)果判定階段的工作內(nèi)容

知識子域：風(fēng)險評估工具

了解風(fēng)險評估工具的分類

了解常用風(fēng)險評估工具

圖4-3：知識體：信息安全管理體系

4.3.1知識域：信息安全管理體系基礎(chǔ)

知識子域：管理職責(zé)

理解管理者履行管理職責(zé)對成功實(shí)施信息安全管理體系（ISMS）的重要推動作用

掌握實(shí)施ISMS過程中管理者應(yīng)承擔(dān)的管理職責(zé)的主要內(nèi)容

知識子域：文檔控制

理解文檔化對實(shí)施ISMS的重要性

理解風(fēng)險評估結(jié)果是編制ISMS文件的依據(jù)

了解對ISMS文件和記錄進(jìn)行保護(hù)和控制的常規(guī)措施

知識子域：內(nèi)部審核和管理評審

了解內(nèi)部審核的概念，以及內(nèi)部審核的目的、實(shí)施主體、實(shí)施方式、審核準(zhǔn)則

了解管理評審的概念，以及管理評審的目的、實(shí)施主體、實(shí)施對象、實(shí)施方式

知識子域：信息安全管理體系認(rèn)證了解ISMS認(rèn)證的概念

理解ISMS認(rèn)證是促進(jìn)信息安全管理體系改進(jìn)的一種外部驅(qū)動力

4.3.2知識域：信息安全管理體系建設(shè)

知識子域：規(guī)劃與建立ISMS

理解定義ISMS范圍和邊界、實(shí)施風(fēng)險評估、獲得管理者對殘余

風(fēng)險的批準(zhǔn)等規(guī)劃與建立ISMS的主要工作內(nèi)容

知識子域：實(shí)施和運(yùn)行ISMS

理解實(shí)施風(fēng)險處理計(jì)劃、開發(fā)有效性測量程序、管理ISMS的運(yùn)

行等實(shí)施和運(yùn)行ISMS的主要工作內(nèi)容

知識子域：監(jiān)視和評審ISMS

理解進(jìn)行有效性測量、實(shí)施內(nèi)部審核、實(shí)施管理評審等監(jiān)視和評審ISMS的主要工作內(nèi)容

知識子域：保持和改進(jìn)ISMS

理解實(shí)施糾正和預(yù)防措施、溝通措施和改進(jìn)情況等保持和改進(jìn)ISMS的主要工作內(nèi)容

4.3.3知識域：信息安全控制措施

知識子域：安全方針

理解信息安全方針控制目標(biāo)的含義

掌握信息安全方針文件和信息安全方針評審兩項(xiàng)措施的常規(guī)控制方法

知識子域：信息安全組織

理解內(nèi)部組織控制目標(biāo)的含義，掌握信息安全協(xié)調(diào)等實(shí)現(xiàn)這一目標(biāo)的控制措施的常規(guī)實(shí)施方法

理解外部各方控制目標(biāo)的含義，掌握與外部各方相關(guān)風(fēng)險的識別

等控制措施的實(shí)施方法

知識子域：資產(chǎn)管理

理解對資產(chǎn)負(fù)責(zé)控制目標(biāo)的含義，掌握資產(chǎn)清單、資產(chǎn)責(zé)任人等控制措施的實(shí)施方法

理解信息分類控制目標(biāo)的含義，掌握分類指南、信息的標(biāo)記和處理等控制措施的實(shí)施方法

知識子域：人力資源安全

理解任用前控制目標(biāo)的含義，掌握角色和職責(zé)、審查等控制措施的實(shí)施方法

理解任用中控制目標(biāo)的含義，掌握管理職責(zé)、信息安全意識教育和培訓(xùn)等控制措施的實(shí)施方法

理解任用的終止或變化控制目標(biāo)的含義，掌握終止職責(zé)、撤銷訪問權(quán)等控制措施的實(shí)施方法

知識子域：物理和環(huán)境安全

理解人身安全的重要性

理解安全區(qū)域控制目標(biāo)的含義，掌握物理安全邊界、物理入口控制等控制措施的實(shí)施方法

理解設(shè)備安全控制目標(biāo)的含義，掌握設(shè)備安置和保護(hù)、支持性設(shè)施等控制措施的實(shí)施方法

知識子域：通信和操作管理

理解操作程序和職責(zé)、第三方服務(wù)交付管理、系統(tǒng)規(guī)劃和驗(yàn)收、防范惡意代碼、備份、網(wǎng)絡(luò)安全管理、介質(zhì)處置、信息的交換、電子商務(wù)服務(wù)、監(jiān)視和訪問控制這些控制目標(biāo)的含義

掌握實(shí)現(xiàn)這些控制目標(biāo)的控制措施的實(shí)施方法

知識子域：訪問控制

理解訪問控制的業(yè)務(wù)要求、用戶訪問管理、用戶職責(zé)、網(wǎng)絡(luò)訪問

控制、操作系統(tǒng)訪問控制、應(yīng)用和信息訪問控制、移動計(jì)算和遠(yuǎn)程工作這些控制目標(biāo)的含義

掌握實(shí)現(xiàn)這些控制目標(biāo)的控制措施的實(shí)施方法

知識子域：信息系統(tǒng)獲取、開發(fā)與維護(hù)

理解信息系統(tǒng)的安全需求、應(yīng)用中的正確處理、密碼控制、系統(tǒng)文件的安全、開發(fā)和支持過程中的安全、技術(shù)脆弱性管理這些控制目標(biāo)的含義

掌握實(shí)現(xiàn)這些控制目標(biāo)的控制措施的實(shí)施方法

知識子域：符合性

理解符合法律要求、符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性、信息系統(tǒng)審核考慮這些控制目標(biāo)的含義

掌握實(shí)現(xiàn)這些控制目標(biāo)的控制措施的實(shí)施方法

4.4知識體：應(yīng)急響應(yīng)與災(zāi)難恢復(fù)

圖4-4：知識體：應(yīng)急響應(yīng)與災(zāi)難恢復(fù)

4.4.1知識域：應(yīng)急響應(yīng)概況

知識子域：信息安全事件分類分級

理解信息安全事件和應(yīng)急響應(yīng)的基本概念

了解國際和我國的信息安全應(yīng)急響應(yīng)組織

了解我國信息安全事件應(yīng)急響應(yīng)工作的進(jìn)展情況、政策要求和相關(guān)標(biāo)準(zhǔn)

理解我國信息安全事件分類、分級方法

知識子域：信息安全應(yīng)急響應(yīng)管理過程

掌握信息安全應(yīng)急響應(yīng)階段方法論

掌握準(zhǔn)備、檢測、遏制、根除等應(yīng)急響應(yīng)階段的主要工作內(nèi)容

掌握信息安全應(yīng)急響應(yīng)計(jì)劃編制方法

知識子域：計(jì)算機(jī)取證

了解計(jì)算機(jī)取證的概念和目的

了解計(jì)算機(jī)取證的基本步驟

4.4.2知識域：信息系統(tǒng)災(zāi)難恢復(fù)

知識子域：災(zāi)難恢復(fù)概況

了解災(zāi)難恢復(fù)的歷史和背景、進(jìn)展情況、政策要求和相關(guān)標(biāo)準(zhǔn)

理解業(yè)務(wù)連續(xù)性管理與災(zāi)難恢復(fù)相關(guān)的基本概念

了解災(zāi)難恢復(fù)組織的一般結(jié)構(gòu)和職責(zé)

理解組織應(yīng)依據(jù)自身業(yè)務(wù)特點(diǎn)制定適宜的災(zāi)難恢復(fù)戰(zhàn)略

理解編制詳細(xì)準(zhǔn)確的備份策略和恢復(fù)步驟文檔是成功恢復(fù)的基礎(chǔ)，

理解恢復(fù)性測試的重要性

知識子域：災(zāi)難恢復(fù)管理過程

掌握災(zāi)難恢復(fù)管理工作的主要內(nèi)容

掌握災(zāi)難恢復(fù)規(guī)劃過程：災(zāi)難恢復(fù)需求分析、災(zāi)難恢復(fù)策略制定、

災(zāi)難恢復(fù)策略實(shí)現(xiàn)、災(zāi)難恢復(fù)預(yù)案制定和管理

理解同城和異地災(zāi)難備份中心的優(yōu)缺點(diǎn)

知識子域：災(zāi)難恢復(fù)能力

掌握有關(guān)標(biāo)準(zhǔn)對信息系統(tǒng)災(zāi)難恢復(fù)能力級別的劃分

理解各恢復(fù)能力級別對各類災(zāi)難恢復(fù)資源要素的指標(biāo)要求

掌握確定組織自身所需災(zāi)難恢復(fù)能力級別的方法

4.4.3知識域：災(zāi)難恢復(fù)相關(guān)技術(shù)

知識子域：備份技術(shù)

理解全備份、增量備份和差分備份三種備份方式

理解三種備份方式的特點(diǎn)

知識子域：備用場所

了解冷站、溫站、熱站、移動站和鏡像站等類別的備用場所的概念，

了解各類備用場所具有的功能、備戰(zhàn)性程度

了解由組織擁有或運(yùn)行維護(hù)的專用站點(diǎn)、同內(nèi)部或外部實(shí)體通過

簽署互惠協(xié)議而確定的備用站點(diǎn)、向?qū)I(yè)商業(yè)組織租用的備用站

點(diǎn)在建設(shè)和管理方式方面的不同