2021年CISP培訓知識點三

2021年6月CISP什么時候考試呢？小編預計在6月中旬開考，在此特意為考生整理了CISP培訓知識點三，僅供參考。

四.信息安全法律法規(guī)

1.當前我國現(xiàn)有的信息安全法律:《中華人民共和國保守秘密法》《電子簽名法》 其中規(guī)定:秘密的級別分為：絕密、機密、秘密三個級別

2. 2003年7月22日,信息化領(lǐng)導小組第三次會議通過了《信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)

3. 黨的十六屆四中全會將信息安全與政治安全、經(jīng)濟安全、文化安全并列為安全的重要組成要素。非傳統(tǒng)安全問題日益得到重視

4. 公通字[2007]43號-信息安全等級保護管理辦法

5.《關(guān)于加強電子政務工程建設項目信息安全風險評估工作的通知》(發(fā)改高技[2008]2071號)

6. 《關(guān)于加強政府信息系統(tǒng)安全和保密管理工作的通知》(國辦發(fā)[2008]17號)

7. 《國務院辦公廳關(guān)于印發(fā)<政府信息系統(tǒng)安全檢查辦法>的通知》(國辦發(fā)[2009]28號)

8.《國務院辦公廳關(guān)于印發(fā)<網(wǎng)絡與信息安全事件應急預案>的通知》(國辦函[2008]168號)CC EAL1 EAL2

一(用戶自主保護)

二(安全審計保EAL3 護)

E2 E117859 ITSEC TCSECE0D(最低保護)C1(自主安全保護)C2(訪問控制保護)

三(安全標記保EAL4 護)EAL5

四(結(jié)構(gòu)化保護) EAL6

五(訪問驗證保護)E5 E6B3(安全域保護) A1(驗證設計保EAL7護)E3 E4B1(安全標簽保護)B2(結(jié)構(gòu)化保護)

五.信息安全保障體系

1. 信息安全發(fā)展歷程：通信保密,計算機安全(桔皮書)，信息系統(tǒng)安全(CC)，信息安全保障

2. 安全保障在整個生命周期，風險和策略是核心,最終目標：保障系統(tǒng)實現(xiàn)組織機構(gòu)的使命

3. 生命周期:計劃組織,開發(fā)采購，實施交付，運行維護，廢棄保障要素：技術(shù)，工程，管理,人員。 安全特性CIA：機密性,完整性，可用性

4. 信息安全技術(shù)體系結(jié)構(gòu):PDR：Protection防護，Detection檢測,Response響應 PT>DT+RT。 如果防護時間為0，暴露時間=安全檢測時間+安全響應時間

5. 信息安全管理體系ISMS:ISO17799實施細則，ISO27001管理指南

6. ISO13335風險管理框架，COSO風險內(nèi)控框架，COBIT內(nèi)控框架，ITIL框架

7. IATF信息保障技術(shù)框架

1)三個層面:人員，技術(shù)，運行

2)技術(shù)框架:本地計算環(huán)境，區(qū)域邊界，網(wǎng)絡和基礎設施，支持性技術(shù)設施

六.信息安全管理體系

1. 信息安全管理體系ISMS：管理指南ISO27001,實施細則ISO17799

2. 信息安全管理措施(實踐準則)270023. 基本安全管理措施：策略、組織和人員重要安全管理措施：資產(chǎn)管理、通信和操作管理、訪問控制和符合性4. 27001的核心內(nèi)容為：PDCA模型：不斷前進，循環(huán)P(PLAN)計劃; D(DO)做; C(CHECK)檢查; A(ACT):處置,改進5.ISO27001來源于BS7799-2ISO27002來源于ISO17799，17799來源于BS7799-11. 信息安全管理措施27002,有11個安全控制措施的章節(jié),共有39個主要安全類別1安全策略,2信息安全組織，3資產(chǎn)管理,4人力資源安全，5物理和環(huán)境安全，6通信和操作管理,7訪問控制,8系統(tǒng)的獲取、開發(fā)和維護,9信息安全事故管理,10業(yè)務連續(xù)性管理，11符合性

2. 策略的性質(zhì)：指導性，原則性(非技術(shù)性)，可審核性，可實現(xiàn)性,動態(tài)性，文檔化

3. 策略的使用和維護:管理層---制定，決策層---審批。系統(tǒng)用戶和維護人員---執(zhí)行，審計人員---審計

4. 內(nèi)部組織:8個控制措施。外部各方：3個控制措施

七.風險管理

1. 參考資料:ISO13335風險管理，17799安全管理措施,15408CC

2. 安全風險的定義:一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。

3. 風險分析的目的：識別資產(chǎn)、脆弱性并計算潛在的風險。

4. 風險管理的控制方法有:減低風險，轉(zhuǎn)嫁風險，規(guī)避風險,接受風險

5.風險的四個要素:資產(chǎn)及其價值，威脅，脆弱性,現(xiàn)有的和計劃的控制措施。

>>本次CISP培訓知識點來源于網(wǎng)絡，如有侵權(quán)，請聯(lián)系刪除<<