2022年CISP教材知識(shí)點(diǎn)整理：信息安全管理體系控制措施

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識(shí)點(diǎn)梳理，詳情如下：

第三章：知識(shí)域：信息安全管理

3.4 知識(shí)子域：信息安全管理體系最佳實(shí)踐

3.4.3信息安全管理體系控制措施

1.信息安全方針

信息安全管理指導(dǎo)

2.信息安全組織

內(nèi)部組織

移動(dòng)設(shè)備和遠(yuǎn)程辦公

3.人力資源安全

任用之前

任用中

任用的終止和變化

4.資產(chǎn)管理

對(duì)資產(chǎn)負(fù)責(zé)

信息分類

信息分類

信息的標(biāo)記

資產(chǎn)的處理

介質(zhì)處置

5.訪問控制

訪問控制的業(yè)務(wù)要求

用戶訪問管理

用戶職責(zé)

系統(tǒng)和應(yīng)用訪問控制

6.密碼學(xué)

加密控制（目標(biāo)：通過加密方法保護(hù)信息的保密性、真實(shí)性或完整性）

使用加密控制的策略

密鑰管理

7.物理與環(huán)境安全

安全區(qū)域

設(shè)備安全（目標(biāo)：防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動(dòng)的中斷）

8.操作安全

操作規(guī)程和職責(zé)

文件化的操作規(guī)程

變更管理

容量管理

開發(fā)、測(cè)試和運(yùn)行環(huán)境分離

惡意代碼保護(hù)

惡意代碼的控制

備份（目標(biāo)：防止數(shù)據(jù)丟失）

日志記錄和監(jiān)控（目的：記錄事件并生成證據(jù)）

事件日志

日志信息的保護(hù)

管理員和操作員日志

時(shí)鐘同步（形成證據(jù)鏈）

操作軟件控制

技術(shù)漏洞管理

信息系統(tǒng)審計(jì)的考慮

9.通信安全

網(wǎng)絡(luò)安全管理（目標(biāo)：確保網(wǎng)絡(luò)中信息的安全性并保護(hù)支持性的基礎(chǔ)設(shè)施）

網(wǎng)絡(luò)控制

網(wǎng)絡(luò)服務(wù)安全

網(wǎng)絡(luò)隔離

信息交換

10.信息獲取、開發(fā)和維護(hù)

信息系統(tǒng)的安全要求

開發(fā)和支持過程中的安全性

測(cè)試數(shù)據(jù)

11.供應(yīng)商關(guān)系

供應(yīng)商關(guān)系中的信息安全

供應(yīng)商服務(wù)交付管理

12.信息安全事件管理

信息安全事件的管理和改進(jìn)

13.業(yè)務(wù)連續(xù)性管理

信息安全的連續(xù)性

冗余

14.符合性

符合法律和合同規(guī)定

可用的法律和合同要求的識(shí)別

知識(shí)產(chǎn)權(quán)

記錄的保護(hù)

個(gè)人身份信息的隱私和保護(hù)

加密控制的監(jiān)管

信息安全審查

組織在規(guī)定的時(shí)間間隔（一般是一年）或重大變化發(fā)生時(shí)，組織的信息安全管理和實(shí)施方法（如信息安全的控制目標(biāo)、控制措施、方針、過程和規(guī)程）應(yīng)獨(dú)立審查。獨(dú)立評(píng)審宜由管理者啟動(dòng)，由獨(dú)立于被評(píng)審范圍的人員執(zhí)行，例如交叉審核（審核員A審查B的信息安全管理工作）、內(nèi)部審核部門、獨(dú)立的管理人員或?qū)ｉT進(jìn)行這種評(píng)審的第三方組織。從事這些評(píng)審的人員宜具備適當(dāng)?shù)募寄芎徒?jīng)驗(yàn)。內(nèi)部審查的結(jié)果應(yīng)該形成正式文件并長期留存。

評(píng)審結(jié)果和管理人員采取的糾正措施應(yīng)該被記錄，形成管理評(píng)審報(bào)告

任何技術(shù)符合性核查應(yīng)由有能力的、已授權(quán)的人員來實(shí)施或在他們的監(jiān)督下完成

注：以上內(nèi)容來源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除