CISP知識(shí)類：信息安全保障

第2章知識(shí)類：信息安全保障

信息安全保障介紹了信息安全保障的框架、基本原理和實(shí)踐，它是注冊(cè)信息安全專業(yè)人員首先需要掌握的基礎(chǔ)知識(shí)。通過(guò)本部分的學(xué)習(xí)，學(xué)員應(yīng)當(dāng)：

理解信息安全保障的意義和內(nèi)涵；

掌握信息安全保障工作的總體思路和基本實(shí)踐方法。

2.1知識(shí)體：信息安全保障基礎(chǔ)

圖2-1：知識(shí)體：信息安全保障基礎(chǔ)

2.1.1知識(shí)域：信息安全保障背景

知識(shí)子域：信息安全內(nèi)涵與外延

理解信息安全基本概念，理解信息安全基本屬性：保密性、完整性和可用性

理解信息安全的特征與范疇

知識(shí)子域：信息安全問(wèn)題根源

理解信息安全問(wèn)題產(chǎn)生的內(nèi)因是信息系統(tǒng)自身存在脆弱性

理解信息安全問(wèn)題產(chǎn)生的外因是信息系統(tǒng)面臨著眾多威脅

知識(shí)子域：信息技術(shù)與信息安全發(fā)展階段

了解通信、計(jì)算機(jī)、網(wǎng)絡(luò)和網(wǎng)絡(luò)化社會(huì)等階段信息技術(shù)的發(fā)展概況

了解信息技術(shù)和網(wǎng)絡(luò)對(duì)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定及安全等方面的影響

了解通信安全、計(jì)算機(jī)安全、信息系統(tǒng)安全和信息安全保障等階段信息安全的發(fā)展概況，

了解各個(gè)階段信息安全面臨的主要威脅和防護(hù)措施

2.1.2知識(shí)域：信息安全保障概念與模型

知識(shí)子域：信息安全保障

理解信息安全保障的概念

理解信息安全保障與信息安全、信息系統(tǒng)安全的區(qū)別

知識(shí)子域：信息安全保障相關(guān)模型

理解P2DR模型的基本原理：策略、防護(hù)、檢測(cè)及響應(yīng)，以及P2DR公式所表達(dá)的安全目標(biāo)

理解IATF的深度防御思想，及其將信息系統(tǒng)在技術(shù)層面的防御劃分為本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和支撐性基礎(chǔ)設(shè)施四個(gè)方面，理解每一方面的安全需求及基本實(shí)現(xiàn)方法

2.1.3知識(shí)域：信息系統(tǒng)安全保障概念與模型

知識(shí)子域：信息系統(tǒng)安全保障

了解信息系統(tǒng)的概念及其包含的基本資源

理解信息系統(tǒng)安全保障的概念，以及風(fēng)險(xiǎn)、業(yè)務(wù)使命等信息系統(tǒng)安全保障相關(guān)概念及其之間的關(guān)系

知識(shí)子域：信息系統(tǒng)安全保障模型

理解信息系統(tǒng)安全保障模型中生命周期、保障要素和安全特征的含義和內(nèi)容

理解風(fēng)險(xiǎn)和策略是信息系統(tǒng)安全保障的核心問(wèn)題

理解業(yè)務(wù)使命實(shí)現(xiàn)是信息安全保障的根本目的

2.2知識(shí)體：信息安全保障實(shí)踐

圖2-2：知識(shí)體：信息安全保障實(shí)踐

2.2.1知識(shí)域：信息安全保障現(xiàn)狀

知識(shí)子域：國(guó)外信息安全保障現(xiàn)狀

了解發(fā)達(dá)信息安全狀況和信息安全保障的主要舉措

了解發(fā)達(dá)信息安全保障建設(shè)動(dòng)態(tài)

知識(shí)子域：我國(guó)信息安全保障現(xiàn)狀

了解我國(guó)信息化與信息安全形勢(shì)

了解我國(guó)信息安全保障發(fā)展階段

理解我國(guó)信息安全保障基本思路

了解我國(guó)信息安全保障目標(biāo)

了解我國(guó)信息安全保障的整體規(guī)劃

了解我國(guó)信息安全保障體系的框架

2.2.2知識(shí)域：我國(guó)信息安全保障工作主要內(nèi)容

知識(shí)子域：信息安全標(biāo)準(zhǔn)化

了解信息安全標(biāo)準(zhǔn)化的意義

了解我國(guó)信息安全標(biāo)準(zhǔn)化工作的實(shí)踐情況

知識(shí)子域：信息安全應(yīng)急處理與信息通報(bào)

了解信息安全應(yīng)急處理與信息通報(bào)的意義

了解我國(guó)信息安全應(yīng)急處理與信息通報(bào)工作的實(shí)踐情況

知識(shí)子域：信息安全等級(jí)保護(hù)

了解我國(guó)信息安全等級(jí)保護(hù)的意義

了解我國(guó)信息安全等級(jí)保護(hù)工作的實(shí)踐情況

知識(shí)子域：信息安全風(fēng)險(xiǎn)評(píng)估

了解信息安全風(fēng)險(xiǎn)評(píng)估的意義

了解我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作的實(shí)踐情況

知識(shí)子域：災(zāi)難恢復(fù)

了解災(zāi)難恢復(fù)的意義

了解我國(guó)災(zāi)難恢復(fù)工作的實(shí)踐情況

知識(shí)子域：人才隊(duì)伍建設(shè)

了解人才隊(duì)伍建設(shè)的意義

了解我國(guó)信息安全人才隊(duì)伍建設(shè)工作的實(shí)踐情況

2.2.3知識(shí)域：信息安全保障工作方法

知識(shí)子域：確定信息安全需求

了解確定信息安全保障需求的作用

了解確定信息安全保障需求的方法和原則

知識(shí)子域：設(shè)計(jì)并實(shí)施信息安全方案

了解信息安全方案的作用和主要內(nèi)容

了解制定信息安全方案的主要原則

了解信息安全方案實(shí)施的主要原則

知識(shí)子域：信息安全測(cè)評(píng)

了解信息安全測(cè)評(píng)的重要性

了解國(guó)內(nèi)外信息安全測(cè)評(píng)概況

了解信息產(chǎn)品安全測(cè)評(píng)方法

了解信息系統(tǒng)安全測(cè)評(píng)方法

了解服務(wù)商資質(zhì)測(cè)評(píng)方法

了解信息安全人員資質(zhì)測(cè)評(píng)方法

知識(shí)子域：信息安全監(jiān)測(cè)與維護(hù)

了解在系統(tǒng)生命周期中持續(xù)提高信息系統(tǒng)安全保障能力的意義

了解信息系統(tǒng)安全監(jiān)測(cè)與維護(hù)的主要原則