2021年CISP培訓(xùn)知識點三

2021年6月CISP什么時候考試呢？小編預(yù)計在6月中旬開考，在此特意為考生整理了CISP培訓(xùn)知識點三，僅供參考。

四.信息安全法律法規(guī)

1.當(dāng)前我國現(xiàn)有的信息安全法律:《中華人民共和國保守秘密法》《電子簽名法》 其中規(guī)定:秘密的級別分為：絕密、機(jī)密、秘密三個級別

2. 2003年7月22日,信息化領(lǐng)導(dǎo)小組第三次會議通過了《信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號)

3. 黨的十六屆四中全會將信息安全與政治安全、經(jīng)濟(jì)安全、文化安全并列為安全的重要組成要素。非傳統(tǒng)安全問題日益得到重視

4. 公通字[2007]43號-信息安全等級保護(hù)管理辦法

5.《關(guān)于加強(qiáng)電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》(發(fā)改高技[2008]2071號)

6. 《關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》(國辦發(fā)[2008]17號)

7. 《國務(wù)院辦公廳關(guān)于印發(fā)<政府信息系統(tǒng)安全檢查辦法>的通知》(國辦發(fā)[2009]28號)

8.《國務(wù)院辦公廳關(guān)于印發(fā)<網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案>的通知》(國辦函[2008]168號)CC EAL1 EAL2

一(用戶自主保護(hù))

二(安全審計保EAL3 護(hù))

E2 E117859 ITSEC TCSECE0D(最低保護(hù))C1(自主安全保護(hù))C2(訪問控制保護(hù))

三(安全標(biāo)記保EAL4 護(hù))EAL5

四(結(jié)構(gòu)化保護(hù)) EAL6

五(訪問驗證保護(hù))E5 E6B3(安全域保護(hù)) A1(驗證設(shè)計保EAL7護(hù))E3 E4B1(安全標(biāo)簽保護(hù))B2(結(jié)構(gòu)化保護(hù))

五.信息安全保障體系

1. 信息安全發(fā)展歷程：通信保密,計算機(jī)安全(桔皮書)，信息系統(tǒng)安全(CC)，信息安全保障

2. 安全保障在整個生命周期，風(fēng)險和策略是核心,最終目標(biāo)：保障系統(tǒng)實現(xiàn)組織機(jī)構(gòu)的使命

3. 生命周期:計劃組織,開發(fā)采購，實施交付，運行維護(hù)，廢棄保障要素：技術(shù)，工程，管理,人員。 安全特性CIA：機(jī)密性,完整性，可用性

4. 信息安全技術(shù)體系結(jié)構(gòu):PDR：Protection防護(hù)，Detection檢測,Response響應(yīng) PT>DT+RT。 如果防護(hù)時間為0，暴露時間=安全檢測時間+安全響應(yīng)時間

5. 信息安全管理體系ISMS:ISO17799實施細(xì)則，ISO27001管理指南

6. ISO13335風(fēng)險管理框架，COSO風(fēng)險內(nèi)控框架，COBIT內(nèi)控框架，ITIL框架

7. IATF信息保障技術(shù)框架

1)三個層面:人員，技術(shù)，運行

2)技術(shù)框架:本地計算環(huán)境，區(qū)域邊界，網(wǎng)絡(luò)和基礎(chǔ)設(shè)施，支持性技術(shù)設(shè)施

六.信息安全管理體系

1. 信息安全管理體系ISMS：管理指南ISO27001,實施細(xì)則ISO17799

2. 信息安全管理措施(實踐準(zhǔn)則)270023. 基本安全管理措施：策略、組織和人員重要安全管理措施：資產(chǎn)管理、通信和操作管理、訪問控制和符合性4. 27001的核心內(nèi)容為：PDCA模型：不斷前進(jìn)，循環(huán)P(PLAN)計劃; D(DO)做; C(CHECK)檢查; A(ACT):處置,改進(jìn)5.ISO27001來源于BS7799-2ISO27002來源于ISO17799，17799來源于BS7799-11. 信息安全管理措施27002,有11個安全控制措施的章節(jié),共有39個主要安全類別1安全策略,2信息安全組織，3資產(chǎn)管理,4人力資源安全，5物理和環(huán)境安全，6通信和操作管理,7訪問控制,8系統(tǒng)的獲取、開發(fā)和維護(hù),9信息安全事故管理,10業(yè)務(wù)連續(xù)性管理，11符合性

2. 策略的性質(zhì)：指導(dǎo)性，原則性(非技術(shù)性)，可審核性，可實現(xiàn)性,動態(tài)性，文檔化

3. 策略的使用和維護(hù):管理層---制定，決策層---審批。系統(tǒng)用戶和維護(hù)人員---執(zhí)行，審計人員---審計

4. 內(nèi)部組織:8個控制措施。外部各方：3個控制措施

七.風(fēng)險管理

1. 參考資料:ISO13335風(fēng)險管理，17799安全管理措施,15408CC

2. 安全風(fēng)險的定義:一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。

3. 風(fēng)險分析的目的：識別資產(chǎn)、脆弱性并計算潛在的風(fēng)險。

4. 風(fēng)險管理的控制方法有:減低風(fēng)險，轉(zhuǎn)嫁風(fēng)險，規(guī)避風(fēng)險,接受風(fēng)險

5.風(fēng)險的四個要素:資產(chǎn)及其價值，威脅，脆弱性,現(xiàn)有的和計劃的控制措施。

>>本次CISP培訓(xùn)知識點來源于網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系刪除<<