CISP共有共包括信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规五个知识类,希赛网CISP教材大纲栏目,为大家整理了CISP知识点梳理,详情如下:
第三章:知识域:信息安全管理
3.4 知识子域:信息安全管理体系最佳实践
3.4.3信息安全管理体系控制措施
1.信息安全方针
信息安全管理指导
2.信息安全组织
内部组织
移动设备和远程办公
3.人力资源安全
任用之前
任用中
任用的终止和变化
4.资产管理
对资产负责
信息分类
信息分类
信息的标记
资产的处理
介质处置
5.访问控制
访问控制的业务要求
用户访问管理
用户职责
系统和应用访问控制
6.密码学
加密控制(目标:通过加密方法保护信息的保密性、真实性或完整性)
使用加密控制的策略
密钥管理
7.物理与环境安全
安全区域
设备安全(目标:防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断)
8.操作安全
操作规程和职责
文件化的操作规程
变更管理
容量管理
开发、测试和运行环境分离
恶意代码保护
恶意代码的控制
备份(目标:防止数据丢失)
日志记录和监控(目的:记录事件并生成证据)
事件日志
日志信息的保护
管理员和操作员日志
时钟同步(形成证据链)
操作软件控制
技术漏洞管理
信息系统审计的考虑
9.通信安全
网络安全管理(目标:确保网络中信息的安全性并保护支持性的基础设施)
网络控制
网络服务安全
网络隔离
信息交换
10.信息获取、开发和维护
信息系统的安全要求
开发和支持过程中的安全性
测试数据
11.供应商关系
供应商关系中的信息安全
供应商服务交付管理
12.信息安全事件管理
信息安全事件的管理和改进
13.业务连续性管理
信息安全的连续性
冗余
14.符合性
符合法律和合同规定
可用的法律和合同要求的识别
知识产权
记录的保护
个人身份信息的隐私和保护
加密控制的监管
信息安全审查
组织在规定的时间间隔(一般是一年)或重大变化发生时,组织的信息安全管理和实施方法(如信息安全的控制目标、控制措施、方针、过程和规程)应独立审查。独立评审宜由管理者启动,由独立于被评审范围的人员执行,例如交叉审核(审核员A审查B的信息安全管理工作)、内部审核部门、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适当的技能和经验。内部审查的结果应该形成正式文件并长期留存。
评审结果和管理人员采取的纠正措施应该被记录,形成管理评审报告
任何技术符合性核查应由有能力的、已授权的人员来实施或在他们的监督下完成
注:以上内容来源于网络,如有侵权,可联系客服删除
