2021年6月CISP什么时候考试呢?小编预计在6月中旬开考,在此特意为考生整理了CISP培训知识点三,仅供参考。
四.信息安全法律法规
1.当前我国现有的信息安全法律:《中华人民共和国保守秘密法》《电子签名法》 其中规定:秘密的级别分为:绝密、机密、秘密三个级别
2. 2003年7月22日,信息化领导小组第三次会议通过了《信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
3. 党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为安全的重要组成要素。非传统安全问题日益得到重视
4. 公通字[2007]43号-信息安全等级保护管理办法
5.《关于加强电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)
6. 《关于加强政府信息系统安全和保密管理工作的通知》(国办发[2008]17号)
7. 《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(国办发[2009]28号)
8.《国务院办公厅关于印发<网络与信息安全事件应急预案>的通知》(国办函[2008]168号)CC EAL1 EAL2
一(用户自主保护)
二(安全审计保EAL3 护)
E2 E117859 ITSEC TCSECE0D(最低保护)C1(自主安全保护)C2(访问控制保护)
三(安全标记保EAL4 护)EAL5
四(结构化保护) EAL6
五(访问验证保护)E5 E6B3(安全域保护) A1(验证设计保EAL7护)E3 E4B1(安全标签保护)B2(结构化保护)
五.信息安全保障体系
1. 信息安全发展历程:通信保密,计算机安全(桔皮书),信息系统安全(CC),信息安全保障
2. 安全保障在整个生命周期,风险和策略是核心,最终目标:保障系统实现组织机构的使命
3. 生命周期:计划组织,开发采购,实施交付,运行维护,废弃保障要素:技术,工程,管理,人员。 安全特性CIA:机密性,完整性,可用性
4. 信息安全技术体系结构:PDR:Protection防护,Detection检测,Response响应 PT>DT+RT。 如果防护时间为0,暴露时间=安全检测时间+安全响应时间
5. 信息安全管理体系ISMS:ISO17799实施细则,ISO27001管理指南
6. ISO13335风险管理框架,COSO风险内控框架,COBIT内控框架,ITIL框架
7. IATF信息保障技术框架
1)三个层面:人员,技术,运行
2)技术框架:本地计算环境,区域边界,网络和基础设施,支持性技术设施
六.信息安全管理体系
1. 信息安全管理体系ISMS:管理指南ISO27001,实施细则ISO17799
2. 信息安全管理措施(实践准则)270023. 基本安全管理措施:策略、组织和人员重要安全管理措施:资产管理、通信和操作管理、访问控制和符合性4. 27001的核心内容为:PDCA模型:不断前进,循环P(PLAN)计划; D(DO)做; C(CHECK)检查; A(ACT):处置,改进5.ISO27001来源于BS7799-2ISO27002来源于ISO17799,17799来源于BS7799-11. 信息安全管理措施27002,有11个安全控制措施的章节,共有39个主要安全类别1安全策略,2信息安全组织,3资产管理,4人力资源安全,5物理和环境安全,6通信和操作管理,7访问控制,8系统的获取、开发和维护,9信息安全事故管理,10业务连续性管理,11符合性
2. 策略的性质:指导性,原则性(非技术性),可审核性,可实现性,动态性,文档化
3. 策略的使用和维护:管理层---制定,决策层---审批。系统用户和维护人员---执行,审计人员---审计
4. 内部组织:8个控制措施。外部各方:3个控制措施
七.风险管理
1. 参考资料:ISO13335风险管理,17799安全管理措施,15408CC
2. 安全风险的定义:一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。
3. 风险分析的目的:识别资产、脆弱性并计算潜在的风险。
4. 风险管理的控制方法有:减低风险,转嫁风险,规避风险,接受风险
5.风险的四个要素:资产及其价值,威胁,脆弱性,现有的和计划的控制措施。
>>本次CISP培训知识点来源于网络,如有侵权,请联系删除<<
