2022年CISP教材知識點整理：信息安全管理體系建設(shè)

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

第三章：知識域：信息安全管理

3.3知識子域：信息安全管理體系建設(shè)

3.3.1信息安全管理體系成功因素

信息安全管理就是風險管理，信息安全控制措施的本質(zhì)就是風險處置

3.3.2 PDCA過程

信息安全管理體系采用通用的PDCA（plan-do-check-act或者plan-do-check-adjust）過程方法，PDCA過程方法也稱為戴明環(huán)，由美國質(zhì)量管理希賽網(wǎng)戴明博士首先提出

PDCA循環(huán)的4個階段，策劃-實施-檢查-改進

3.3.3信息安全管理體系建設(shè)過程

1.規(guī)劃與建立

（1）組織背景

建立組織背景時建立信息安全管理體系的基礎(chǔ)，首先應(yīng)該了解組織有關(guān)信息安全的內(nèi)部和外部問題，以及影響組織建立體系時需要解決的內(nèi)部和外部問題

（2）領(lǐng)導力

管理承諾時建立信息安全管理體系的關(guān)鍵成功因素之一

（3）計劃

計劃的建立時在風險評估基礎(chǔ)之上

組織的計劃必須符合組織的安全目標

（4）支持

組織在建立信息安全管理體系中需要獲得資源以建立、實施、保持和持續(xù)改進ISMS

2.實施與運行

3.監(jiān)視與評審

組織需要通過根據(jù)組織政策和目標，監(jiān)控和評估績效來維護和改進ISMS，并將結(jié)果報告給管理層進行審核

（1）監(jiān)測、測量、分析和評價

在評價信息安全性能和ISMS的有效性時，應(yīng)該確定需要檢測和測量的對象

選擇適用的監(jiān)測、測量、分析和評價方法以確保有效的結(jié)果

（2）內(nèi)部審核

內(nèi)部審計目的是提供信息確定ISMS是否符合組織自身對ISMS的要求和對本國際標準的要求

（3）管理評審

組織的管理者按計劃的時間間隔評審組織的ISMS，確保其持續(xù)的適宜性、充分性和有效性

管理評審的輸出應(yīng)包括持續(xù)改進機會相關(guān)的決定和任何ISMS需要的變化

4.維護和改進

（1）不符合和糾正措施

（2）持續(xù)改進

3.3.4文檔化

1.體系文件分類

體系文件的分類一級文件（目標）：方針、政策

二級文件（措施）：制度、流程、規(guī)范

三級文件（執(zhí)行）：使用手冊、操作指南、作業(yè)指導書

四級文件（結(jié)果）：日志、記錄、檢查表、模板、表單

管理體系的文檔化分為文件和記錄兩部分。文件是管理體系審核的依據(jù)，記錄時管理體系審核的證據(jù)

層次化的文件結(jié)構(gòu)時構(gòu)成管理體系的重要內(nèi)容之一，通常文件分為4個層級

一級文件：由高級管理層發(fā)布

二級文件：由組織管理者代表簽署發(fā)布；二級文件發(fā)布范圍通常在組織內(nèi)部

三級文件：包括員工具體執(zhí)行所需的手冊、指南和作業(yè)指導書

四級文件：為了有效支撐文件的執(zhí)行，文件必須包含記錄

2.文件控制

（1）文件的建立

只有在有風險的地方才需要建立文件

（2）文件的批準與發(fā)布

（3）文件的評審與更新

（4）文件保存

（5）文件作廢

防止作廢文件的非預期使用

3.記錄管理

（1）記錄的作用

（2）記錄的管理

應(yīng)保留過程執(zhí)行記錄和所有與信息安全管理體系有關(guān)的安全事故發(fā)生的記錄。