2022年CISP教材知識點整理：信息系統安全保障評估框架

CISP共有共包括信息安全保障、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

第1章：信息域：信息安全保障

1.2知識子域：信息安全保障框架

1.2.3信息系統安全保障評估框架

1.相關概念和關系

信息系統安全保障是在信息系統的整個生命周期中，通過對信息系統的風險分析，制定并執(zhí)行相應的安全保障策略，從技術、管理、工程和人員等方面提出信息安全保障要求，確保信息系統的保密性、完整性和可用性，把安全風險降到可接受的程度，從而保障系統能夠順利實現組織機構的使命

2.信息系統安全保障評估描述

信息系統安全保障評估，就是在信息系統所處的運行環(huán)境中對信息系統安全保障的具體工作和活動進行客觀的評估。通過信息系統安全保障評估所搜集的客觀證據，向信息系統的所有相關方提供信息系統的安全保障工作能夠實現其安全保障策略，能夠將其所面臨的風險降到其可接受程度的主管信心。信息系統安全保障評估的對象是信息系統，信息系統不僅包含信息技術系統，還包括與信息系統所處的運行環(huán)境相關的人和管理等領域。信息系統安全保障是一個動態(tài)持續(xù)的過程，涉及信息系統整個生命周期，因此信息系統安全保障的評估也應該提供一種動態(tài)持續(xù)的信心

信息系統安全保障控制

安全技術保障控制要求

安全管理保障控制要求

安全工程保障控制要求

能力成熟度級別

安全技術架構能力成熟度及要求

安全管理能力成熟度及要求

安全工程能力成熟度及要求

信息系統安全保障評估主要包括以下兩個方面的評估

（1）在信息系統運行環(huán)境中，其具體的安全保障控制相對于安全保障要求（目標）的符合性的評估

信息系統保護輪廓（Information System Protect Profile,ISPP）

信息系統安全目標（Information System Security Target,ISST）

（2）信息系統安全保障級的評估

信息系統安全保障級（Information System Assurance Level,ISAL）

3.信息系統安全保障評估模型

信息系統安全保障模型：保障要素、安全特證、生命周期

（1）基于信息系統生命周期的信息安全保障

（2）信息安全保障要素

信息安全技術

信息安全管理

信息安全工程

（3）信息安全保障解決方案

注：以上內容來源于網絡，如有侵權，可聯系客服刪除

查看更多：CISP知識點匯總第一章：信息安全保障基礎