2022年CISP教材知識點整理：信息系統(tǒng)安全保障評估框架

CISP共有共包括信息安全保障、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

第1章：信息域：信息安全保障

1.2知識子域：信息安全保障框架

1.2.3信息系統(tǒng)安全保障評估框架

1.相關概念和關系

信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中，通過對信息系統(tǒng)的風險分析，制定并執(zhí)行相應的安全保障策略，從技術、管理、工程和人員等方面提出信息安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，把安全風險降到可接受的程度，從而保障系統(tǒng)能夠順利實現(xiàn)組織機構(gòu)的使命

2.信息系統(tǒng)安全保障評估描述

信息系統(tǒng)安全保障評估，就是在信息系統(tǒng)所處的運行環(huán)境中對信息系統(tǒng)安全保障的具體工作和活動進行客觀的評估。通過信息系統(tǒng)安全保障評估所搜集的客觀證據(jù)，向信息系統(tǒng)的所有相關方提供信息系統(tǒng)的安全保障工作能夠?qū)崿F(xiàn)其安全保障策略，能夠?qū)⑵渌媾R的風險降到其可接受程度的主管信心。信息系統(tǒng)安全保障評估的對象是信息系統(tǒng)，信息系統(tǒng)不僅包含信息技術系統(tǒng)，還包括與信息系統(tǒng)所處的運行環(huán)境相關的人和管理等領域。信息系統(tǒng)安全保障是一個動態(tài)持續(xù)的過程，涉及信息系統(tǒng)整個生命周期，因此信息系統(tǒng)安全保障的評估也應該提供一種動態(tài)持續(xù)的信心

信息系統(tǒng)安全保障控制

安全技術保障控制要求

安全管理保障控制要求

安全工程保障控制要求

能力成熟度級別

安全技術架構(gòu)能力成熟度及要求

安全管理能力成熟度及要求

安全工程能力成熟度及要求

信息系統(tǒng)安全保障評估主要包括以下兩個方面的評估

（1）在信息系統(tǒng)運行環(huán)境中，其具體的安全保障控制相對于安全保障要求（目標）的符合性的評估

信息系統(tǒng)保護輪廓（Information System Protect Profile,ISPP）

信息系統(tǒng)安全目標（Information System Security Target,ISST）

（2）信息系統(tǒng)安全保障級的評估

信息系統(tǒng)安全保障級（Information System Assurance Level,ISAL）

3.信息系統(tǒng)安全保障評估模型

信息系統(tǒng)安全保障模型：保障要素、安全特證、生命周期

（1）基于信息系統(tǒng)生命周期的信息安全保障

（2）信息安全保障要素

信息安全技術

信息安全管理

信息安全工程

（3）信息安全保障解決方案

注：以上內(nèi)容來源于網(wǎng)絡，如有侵權(quán)，可聯(lián)系客服刪除

查看更多：CISP知識點匯總第一章：信息安全保障基礎