2022年CISP教材知識(shí)點(diǎn)整理：信息安全管理基礎(chǔ)

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類(lèi)，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識(shí)點(diǎn)梳理，詳情如下：

第三章：知識(shí)域：信息安全管理

3.1知識(shí)子域：信息安全管理基礎(chǔ)

3.1.1基本概念

1.信息

（1）企業(yè)視角

（2）用戶(hù)視角

（3）攻擊者視角

2.信息安全管理

3.信息安全管理體系

信息安全管理體系（Information Security Management System,ISMS）

通俗意義所講的ISMS是指以ISO/IEC 27001為代表的一套成熟的標(biāo)準(zhǔn)族

GB/T 22080:2008等同采用ISO/IEC 27001:2005

GB/T 22080:2016等同采用ISO/IEC 27001:2013

3.1.2信息安全管理的作用及對(duì)組織的價(jià)值

1.信息安全管理的作用

（1）信息安全管理是組織整體安全管理重要、固有組成部分

組織應(yīng)該將信息安全管理與生產(chǎn)安全管理、財(cái)務(wù)安全管理、安全保衛(wèi)管理等構(gòu)成組織整體安全管理

（2）信息安全管理是信息安全技術(shù)的融合劑，保障各項(xiàng)技術(shù)措施能夠發(fā)揮作用

解決信息安全問(wèn)題，成敗通常取決于兩個(gè)因素：一個(gè)是技術(shù)；另一個(gè)是管理

安全技術(shù)是信息安全的構(gòu)筑材料，信息安全管理就是粘合劑和催化劑

技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵

三分技術(shù)、七分管理

“堅(jiān)持管理與技術(shù)并重”是我國(guó)加強(qiáng)信息安全保障工作的主要原則之一

（3）信息安全管理能預(yù)防、阻止或減少信息安全事件的發(fā)生

20%~30%是由于攻擊者入侵或其他外部原因造成的，70%~80%是由于內(nèi)部員工的疏忽或有意泄密造成的

與其說(shuō)是技術(shù)原因，不如說(shuō)是管理不善造成的

安全不是產(chǎn)品的簡(jiǎn)單堆積，也不是一次性的靜態(tài)過(guò)程，它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過(guò)程

2.對(duì)組織機(jī)構(gòu)的價(jià)值

（1）對(duì)組織內(nèi)信息安全管理的價(jià)值

（2）對(duì)組織外信息安全管理的價(jià)值

注：以上內(nèi)容來(lái)源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除