CISP共有共包括信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规五个知识类,希赛网CISP教材大纲栏目,为大家整理了CISP知识点梳理,详情如下:
第三章:知识域:信息安全管理
3.3知识子域:信息安全管理体系建设
3.3.1信息安全管理体系成功因素
信息安全管理就是风险管理,信息安全控制措施的本质就是风险处置
3.3.2 PDCA过程
信息安全管理体系采用通用的PDCA(plan-do-check-act或者plan-do-check-adjust)过程方法,PDCA过程方法也称为戴明环,由美国质量管理希赛网戴明博士首先提出
PDCA循环的4个阶段,策划-实施-检查-改进
3.3.3信息安全管理体系建设过程
1.规划与建立
(1)组织背景
建立组织背景时建立信息安全管理体系的基础,首先应该了解组织有关信息安全的内部和外部问题,以及影响组织建立体系时需要解决的内部和外部问题
(2)领导力
管理承诺时建立信息安全管理体系的关键成功因素之一
(3)计划
计划的建立时在风险评估基础之上
组织的计划必须符合组织的安全目标
(4)支持
组织在建立信息安全管理体系中需要获得资源以建立、实施、保持和持续改进ISMS
2.实施与运行
3.监视与评审
组织需要通过根据组织政策和目标,监控和评估绩效来维护和改进ISMS,并将结果报告给管理层进行审核
(1)监测、测量、分析和评价
在评价信息安全性能和ISMS的有效性时,应该确定需要检测和测量的对象
选择适用的监测、测量、分析和评价方法以确保有效的结果
(2)内部审核
内部审计目的是提供信息确定ISMS是否符合组织自身对ISMS的要求和对本国际标准的要求
(3)管理评审
组织的管理者按计划的时间间隔评审组织的ISMS,确保其持续的适宜性、充分性和有效性
管理评审的输出应包括持续改进机会相关的决定和任何ISMS需要的变化
4.维护和改进
(1)不符合和纠正措施
(2)持续改进
3.3.4文档化
1.体系文件分类
体系文件的分类一级文件(目标):方针、政策
二级文件(措施):制度、流程、规范
三级文件(执行):使用手册、操作指南、作业指导书
四级文件(结果):日志、记录、检查表、模板、表单
管理体系的文档化分为文件和记录两部分。文件是管理体系审核的依据,记录时管理体系审核的证据
层次化的文件结构时构成管理体系的重要内容之一,通常文件分为4个层级
一级文件:由高级管理层发布
二级文件:由组织管理者代表签署发布;二级文件发布范围通常在组织内部
三级文件:包括员工具体执行所需的手册、指南和作业指导书
四级文件:为了有效支撑文件的执行,文件必须包含记录
2.文件控制
(1)文件的建立
只有在有风险的地方才需要建立文件
(2)文件的批准与发布
(3)文件的评审与更新
(4)文件保存
(5)文件作废
防止作废文件的非预期使用
3.记录管理
(1)记录的作用
(2)记录的管理
应保留过程执行记录和所有与信息安全管理体系有关的安全事故发生的记录。
