CISP知識類：信息安全管理

第4章知識類：信息安全管理

信息安全管理是注冊信息安全專業(yè)人員需要掌握的主體知識內(nèi)容之一。通過本部分的學(xué)習(xí)，學(xué)員應(yīng)當(dāng)：

理解信息安全管理對于保障信息系統(tǒng)安全的作用;

理解信息安全管理體系、風(fēng)險(xiǎn)管理和信息安全管理控制措施的含義;

掌握建立和完善信息安全管理體系的一-般方法：

掌握信息安全風(fēng)險(xiǎn)管理工作的方法和一般原則：

掌握各個(gè)信息安全管理控制措施的作用及最佳實(shí)踐。

4.1知識體：信息安全管理基礎(chǔ)

圖4-1：知識體：信息安全管理基礎(chǔ)

4.1.1知識域：信息安全管理概述

知識子域：信息安全管理基本概念

理解管理、信息安全管理的概念，理解信息安全管理的對象

理解以建立體系的方式實(shí)施信息安全管理的必要性

理解體系、管理體系、信息安全管理體系的概念

知識子域：信息安全管理作用

理解信息安全管理的重要作用

理解信息安全管理體系的作用

4.1.2知識域：信息安全管理方法與實(shí)施

知識子域：信息安全管理方法

理解風(fēng)險(xiǎn)管理是信息安全管理的基本方法，理解風(fēng)險(xiǎn)評估是信息安全管理的基礎(chǔ)，風(fēng)險(xiǎn)處理是信息安全管理的核心，理解控制措施是管理風(fēng)險(xiǎn)的具體手段

理解過程方法是信息安全管理的基本方法，理解過程和過程方法的含義，理解PDCA模型

知識子域：信息安全管理實(shí)施

理解建設(shè)信息安全管理體系是系統(tǒng)地實(shí)施信息安全管理的一種方法

理解建設(shè)信息安全等級保護(hù)是系統(tǒng)地實(shí)施信息安全管理的一種方法

了解基于NISTSP800進(jìn)行信息安全建設(shè)是實(shí)施信息安全管理的一種方法

4.2知識體：信息安全風(fēng)險(xiǎn)管理

圖4-2：知識體：信息安全風(fēng)險(xiǎn)管理

4.2.1知識域：信息安全風(fēng)險(xiǎn)管理基礎(chǔ)

知識子域：信息安全管理方法

理解風(fēng)險(xiǎn)管理是信息安全管理的基本方法，理解風(fēng)險(xiǎn)評估是信息安全管理的基礎(chǔ)，風(fēng)險(xiǎn)處理是信息安全管理的核心，理解控制措施是管理風(fēng)險(xiǎn)的具體手段

理解過程方法是信息安全管理的基本方法，理解過程和過程方法的含義，理解PDCA模型

知識子域：信息安全管理實(shí)施

理解建設(shè)信息安全管理體系是系統(tǒng)地實(shí)施信息安全管理的一種方法

理解建設(shè)信息安全等級保護(hù)是系統(tǒng)地實(shí)施信息安全管理的一種方法

了解基于NISTSP800進(jìn)行信息安全建設(shè)是實(shí)施信息安全管理的一種方法

4.2.2知識域：信息安全風(fēng)險(xiǎn)管理主要內(nèi)容

知識子域：信息安全風(fēng)險(xiǎn)管理的基本內(nèi)容和過程

理解背景建立的主要工作內(nèi)容

理解風(fēng)險(xiǎn)評估的主要工作內(nèi)容

理解風(fēng)險(xiǎn)處理的主要工作內(nèi)容

理解批準(zhǔn)監(jiān)督的主要工作內(nèi)容

理解監(jiān)控審查的主要工作內(nèi)容

理解溝通咨詢的主要工作內(nèi)容

知識子域：信息系統(tǒng)生命周期與信息安全風(fēng)險(xiǎn)管理

理解信息系統(tǒng)生命周期與信息安全風(fēng)險(xiǎn)管理的關(guān)系

理解系統(tǒng)規(guī)劃階段的風(fēng)險(xiǎn)管理工作內(nèi)容

理解系統(tǒng)設(shè)計(jì)階段的風(fēng)險(xiǎn)管理工作內(nèi)容

理解系統(tǒng)實(shí)施階段的風(fēng)險(xiǎn)管理工作內(nèi)容

理解系統(tǒng)運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)管理工作內(nèi)容

理解系統(tǒng)廢棄階段的風(fēng)險(xiǎn)管理工作內(nèi)容

4.2.3知識域：信息安全風(fēng)險(xiǎn)評估

知識子域：風(fēng)險(xiǎn)評估工作形式

理解自評估和檢查評估的風(fēng)險(xiǎn)評估工作形式

理解自評估和檢查評估的區(qū)別及優(yōu)缺點(diǎn)

理解風(fēng)險(xiǎn)評估、檢查評估和等級保護(hù)測評之間的關(guān)系

知識子域：風(fēng)險(xiǎn)評估方法

理解定性風(fēng)險(xiǎn)分析方法

理解定量風(fēng)險(xiǎn)分析方法，掌握年度預(yù)期損失（ALE）的計(jì)算方法

理解半定量風(fēng)險(xiǎn)分析方法

理解定性和定量風(fēng)險(xiǎn)分析方法的優(yōu)缺點(diǎn)

知識子域：風(fēng)險(xiǎn)評估的實(shí)施流程

掌握風(fēng)險(xiǎn)評估準(zhǔn)備階段的工作內(nèi)容

掌握風(fēng)險(xiǎn)要素識別階段的工作內(nèi)容

掌握風(fēng)險(xiǎn)分析階段的工作內(nèi)容和工作步驟

掌握風(fēng)險(xiǎn)結(jié)果判定階段的工作內(nèi)容

知識子域：風(fēng)險(xiǎn)評估工具

了解風(fēng)險(xiǎn)評估工具的分類

了解常用風(fēng)險(xiǎn)評估工具

圖4-3：知識體：信息安全管理體系

4.3.1知識域：信息安全管理體系基礎(chǔ)

知識子域：管理職責(zé)

理解管理者履行管理職責(zé)對成功實(shí)施信息安全管理體系（ISMS）的重要推動(dòng)作用

掌握實(shí)施ISMS過程中管理者應(yīng)承擔(dān)的管理職責(zé)的主要內(nèi)容

知識子域：文檔控制

理解文檔化對實(shí)施ISMS的重要性

理解風(fēng)險(xiǎn)評估結(jié)果是編制ISMS文件的依據(jù)

了解對ISMS文件和記錄進(jìn)行保護(hù)和控制的常規(guī)措施

知識子域：內(nèi)部審核和管理評審

了解內(nèi)部審核的概念，以及內(nèi)部審核的目的、實(shí)施主體、實(shí)施方式、審核準(zhǔn)則

了解管理評審的概念，以及管理評審的目的、實(shí)施主體、實(shí)施對象、實(shí)施方式

知識子域：信息安全管理體系認(rèn)證了解ISMS認(rèn)證的概念

理解ISMS認(rèn)證是促進(jìn)信息安全管理體系改進(jìn)的一種外部驅(qū)動(dòng)力

4.3.2知識域：信息安全管理體系建設(shè)

知識子域：規(guī)劃與建立ISMS

理解定義ISMS范圍和邊界、實(shí)施風(fēng)險(xiǎn)評估、獲得管理者對殘余

風(fēng)險(xiǎn)的批準(zhǔn)等規(guī)劃與建立ISMS的主要工作內(nèi)容

知識子域：實(shí)施和運(yùn)行ISMS

理解實(shí)施風(fēng)險(xiǎn)處理計(jì)劃、開發(fā)有效性測量程序、管理ISMS的運(yùn)

行等實(shí)施和運(yùn)行ISMS的主要工作內(nèi)容

知識子域：監(jiān)視和評審ISMS

理解進(jìn)行有效性測量、實(shí)施內(nèi)部審核、實(shí)施管理評審等監(jiān)視和評審ISMS的主要工作內(nèi)容

知識子域：保持和改進(jìn)ISMS

理解實(shí)施糾正和預(yù)防措施、溝通措施和改進(jìn)情況等保持和改進(jìn)ISMS的主要工作內(nèi)容

4.3.3知識域：信息安全控制措施

知識子域：安全方針

理解信息安全方針控制目標(biāo)的含義

掌握信息安全方針文件和信息安全方針評審兩項(xiàng)措施的常規(guī)控制方法

知識子域：信息安全組織

理解內(nèi)部組織控制目標(biāo)的含義，掌握信息安全協(xié)調(diào)等實(shí)現(xiàn)這一目標(biāo)的控制措施的常規(guī)實(shí)施方法

理解外部各方控制目標(biāo)的含義，掌握與外部各方相關(guān)風(fēng)險(xiǎn)的識別

等控制措施的實(shí)施方法

知識子域：資產(chǎn)管理

理解對資產(chǎn)負(fù)責(zé)控制目標(biāo)的含義，掌握資產(chǎn)清單、資產(chǎn)責(zé)任人等控制措施的實(shí)施方法

理解信息分類控制目標(biāo)的含義，掌握分類指南、信息的標(biāo)記和處理等控制措施的實(shí)施方法

知識子域：人力資源安全

理解任用前控制目標(biāo)的含義，掌握角色和職責(zé)、審查等控制措施的實(shí)施方法

理解任用中控制目標(biāo)的含義，掌握管理職責(zé)、信息安全意識教育和培訓(xùn)等控制措施的實(shí)施方法

理解任用的終止或變化控制目標(biāo)的含義，掌握終止職責(zé)、撤銷訪問權(quán)等控制措施的實(shí)施方法

知識子域：物理和環(huán)境安全

理解人身安全的重要性

理解安全區(qū)域控制目標(biāo)的含義，掌握物理安全邊界、物理入口控制等控制措施的實(shí)施方法

理解設(shè)備安全控制目標(biāo)的含義，掌握設(shè)備安置和保護(hù)、支持性設(shè)施等控制措施的實(shí)施方法

知識子域：通信和操作管理

理解操作程序和職責(zé)、第三方服務(wù)交付管理、系統(tǒng)規(guī)劃和驗(yàn)收、防范惡意代碼、備份、網(wǎng)絡(luò)安全管理、介質(zhì)處置、信息的交換、電子商務(wù)服務(wù)、監(jiān)視和訪問控制這些控制目標(biāo)的含義

掌握實(shí)現(xiàn)這些控制目標(biāo)的控制措施的實(shí)施方法

知識子域：訪問控制

理解訪問控制的業(yè)務(wù)要求、用戶訪問管理、用戶職責(zé)、網(wǎng)絡(luò)訪問

控制、操作系統(tǒng)訪問控制、應(yīng)用和信息訪問控制、移動(dòng)計(jì)算和遠(yuǎn)程工作這些控制目標(biāo)的含義

掌握實(shí)現(xiàn)這些控制目標(biāo)的控制措施的實(shí)施方法

知識子域：信息系統(tǒng)獲取、開發(fā)與維護(hù)

理解信息系統(tǒng)的安全需求、應(yīng)用中的正確處理、密碼控制、系統(tǒng)文件的安全、開發(fā)和支持過程中的安全、技術(shù)脆弱性管理這些控制目標(biāo)的含義

掌握實(shí)現(xiàn)這些控制目標(biāo)的控制措施的實(shí)施方法

知識子域：符合性

理解符合法律要求、符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性、信息系統(tǒng)審核考慮這些控制目標(biāo)的含義

掌握實(shí)現(xiàn)這些控制目標(biāo)的控制措施的實(shí)施方法

4.4知識體：應(yīng)急響應(yīng)與災(zāi)難恢復(fù)

圖4-4：知識體：應(yīng)急響應(yīng)與災(zāi)難恢復(fù)

4.4.1知識域：應(yīng)急響應(yīng)概況

知識子域：信息安全事件分類分級

理解信息安全事件和應(yīng)急響應(yīng)的基本概念

了解國際和我國的信息安全應(yīng)急響應(yīng)組織

了解我國信息安全事件應(yīng)急響應(yīng)工作的進(jìn)展情況、政策要求和相關(guān)標(biāo)準(zhǔn)

理解我國信息安全事件分類、分級方法

知識子域：信息安全應(yīng)急響應(yīng)管理過程

掌握信息安全應(yīng)急響應(yīng)階段方法論

掌握準(zhǔn)備、檢測、遏制、根除等應(yīng)急響應(yīng)階段的主要工作內(nèi)容

掌握信息安全應(yīng)急響應(yīng)計(jì)劃編制方法

知識子域：計(jì)算機(jī)取證

了解計(jì)算機(jī)取證的概念和目的

了解計(jì)算機(jī)取證的基本步驟

4.4.2知識域：信息系統(tǒng)災(zāi)難恢復(fù)

知識子域：災(zāi)難恢復(fù)概況

了解災(zāi)難恢復(fù)的歷史和背景、進(jìn)展情況、政策要求和相關(guān)標(biāo)準(zhǔn)

理解業(yè)務(wù)連續(xù)性管理與災(zāi)難恢復(fù)相關(guān)的基本概念

了解災(zāi)難恢復(fù)組織的一般結(jié)構(gòu)和職責(zé)

理解組織應(yīng)依據(jù)自身業(yè)務(wù)特點(diǎn)制定適宜的災(zāi)難恢復(fù)戰(zhàn)略

理解編制詳細(xì)準(zhǔn)確的備份策略和恢復(fù)步驟文檔是成功恢復(fù)的基礎(chǔ)，

理解恢復(fù)性測試的重要性

知識子域：災(zāi)難恢復(fù)管理過程

掌握災(zāi)難恢復(fù)管理工作的主要內(nèi)容

掌握災(zāi)難恢復(fù)規(guī)劃過程：災(zāi)難恢復(fù)需求分析、災(zāi)難恢復(fù)策略制定、

災(zāi)難恢復(fù)策略實(shí)現(xiàn)、災(zāi)難恢復(fù)預(yù)案制定和管理

理解同城和異地災(zāi)難備份中心的優(yōu)缺點(diǎn)

知識子域：災(zāi)難恢復(fù)能力

掌握有關(guān)標(biāo)準(zhǔn)對信息系統(tǒng)災(zāi)難恢復(fù)能力級別的劃分

理解各恢復(fù)能力級別對各類災(zāi)難恢復(fù)資源要素的指標(biāo)要求

掌握確定組織自身所需災(zāi)難恢復(fù)能力級別的方法

4.4.3知識域：災(zāi)難恢復(fù)相關(guān)技術(shù)

知識子域：備份技術(shù)

理解全備份、增量備份和差分備份三種備份方式

理解三種備份方式的特點(diǎn)

知識子域：備用場所

了解冷站、溫站、熱站、移動(dòng)站和鏡像站等類別的備用場所的概念，

了解各類備用場所具有的功能、備戰(zhàn)性程度

了解由組織擁有或運(yùn)行維護(hù)的專用站點(diǎn)、同內(nèi)部或外部實(shí)體通過

簽署互惠協(xié)議而確定的備用站點(diǎn)、向?qū)I(yè)商業(yè)組織租用的備用站

點(diǎn)在建設(shè)和管理方式方面的不同