CISP知識類：信息安全保障

第2章知識類：信息安全保障

信息安全保障介紹了信息安全保障的框架、基本原理和實踐，它是注冊信息安全專業(yè)人員首先需要掌握的基礎(chǔ)知識。通過本部分的學(xué)習(xí)，學(xué)員應(yīng)當(dāng)：

理解信息安全保障的意義和內(nèi)涵；

掌握信息安全保障工作的總體思路和基本實踐方法。

2.1知識體：信息安全保障基礎(chǔ)

圖2-1：知識體：信息安全保障基礎(chǔ)

2.1.1知識域：信息安全保障背景

知識子域：信息安全內(nèi)涵與外延

理解信息安全基本概念，理解信息安全基本屬性：保密性、完整性和可用性

理解信息安全的特征與范疇

知識子域：信息安全問題根源

理解信息安全問題產(chǎn)生的內(nèi)因是信息系統(tǒng)自身存在脆弱性

理解信息安全問題產(chǎn)生的外因是信息系統(tǒng)面臨著眾多威脅

知識子域：信息技術(shù)與信息安全發(fā)展階段

了解通信、計算機、網(wǎng)絡(luò)和網(wǎng)絡(luò)化社會等階段信息技術(shù)的發(fā)展概況

了解信息技術(shù)和網(wǎng)絡(luò)對經(jīng)濟發(fā)展、社會穩(wěn)定及安全等方面的影響

了解通信安全、計算機安全、信息系統(tǒng)安全和信息安全保障等階段信息安全的發(fā)展概況，

了解各個階段信息安全面臨的主要威脅和防護措施

2.1.2知識域：信息安全保障概念與模型

知識子域：信息安全保障

理解信息安全保障的概念

理解信息安全保障與信息安全、信息系統(tǒng)安全的區(qū)別

知識子域：信息安全保障相關(guān)模型

理解P2DR模型的基本原理：策略、防護、檢測及響應(yīng)，以及P2DR公式所表達的安全目標(biāo)

理解IATF的深度防御思想，及其將信息系統(tǒng)在技術(shù)層面的防御劃分為本地計算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和支撐性基礎(chǔ)設(shè)施四個方面，理解每一方面的安全需求及基本實現(xiàn)方法

2.1.3知識域：信息系統(tǒng)安全保障概念與模型

知識子域：信息系統(tǒng)安全保障

了解信息系統(tǒng)的概念及其包含的基本資源

理解信息系統(tǒng)安全保障的概念，以及風(fēng)險、業(yè)務(wù)使命等信息系統(tǒng)安全保障相關(guān)概念及其之間的關(guān)系

知識子域：信息系統(tǒng)安全保障模型

理解信息系統(tǒng)安全保障模型中生命周期、保障要素和安全特征的含義和內(nèi)容

理解風(fēng)險和策略是信息系統(tǒng)安全保障的核心問題

理解業(yè)務(wù)使命實現(xiàn)是信息安全保障的根本目的

2.2知識體：信息安全保障實踐

圖2-2：知識體：信息安全保障實踐

2.2.1知識域：信息安全保障現(xiàn)狀

知識子域：國外信息安全保障現(xiàn)狀

了解發(fā)達信息安全狀況和信息安全保障的主要舉措

了解發(fā)達信息安全保障建設(shè)動態(tài)

知識子域：我國信息安全保障現(xiàn)狀

了解我國信息化與信息安全形勢

了解我國信息安全保障發(fā)展階段

理解我國信息安全保障基本思路

了解我國信息安全保障目標(biāo)

了解我國信息安全保障的整體規(guī)劃

了解我國信息安全保障體系的框架

2.2.2知識域：我國信息安全保障工作主要內(nèi)容

知識子域：信息安全標(biāo)準(zhǔn)化

了解信息安全標(biāo)準(zhǔn)化的意義

了解我國信息安全標(biāo)準(zhǔn)化工作的實踐情況

知識子域：信息安全應(yīng)急處理與信息通報

了解信息安全應(yīng)急處理與信息通報的意義

了解我國信息安全應(yīng)急處理與信息通報工作的實踐情況

知識子域：信息安全等級保護

了解我國信息安全等級保護的意義

了解我國信息安全等級保護工作的實踐情況

知識子域：信息安全風(fēng)險評估

了解信息安全風(fēng)險評估的意義

了解我國信息安全風(fēng)險評估工作的實踐情況

知識子域：災(zāi)難恢復(fù)

了解災(zāi)難恢復(fù)的意義

了解我國災(zāi)難恢復(fù)工作的實踐情況

知識子域：人才隊伍建設(shè)

了解人才隊伍建設(shè)的意義

了解我國信息安全人才隊伍建設(shè)工作的實踐情況

2.2.3知識域：信息安全保障工作方法

知識子域：確定信息安全需求

了解確定信息安全保障需求的作用

了解確定信息安全保障需求的方法和原則

知識子域：設(shè)計并實施信息安全方案

了解信息安全方案的作用和主要內(nèi)容

了解制定信息安全方案的主要原則

了解信息安全方案實施的主要原則

知識子域：信息安全測評

了解信息安全測評的重要性

了解國內(nèi)外信息安全測評概況

了解信息產(chǎn)品安全測評方法

了解信息系統(tǒng)安全測評方法

了解服務(wù)商資質(zhì)測評方法

了解信息安全人員資質(zhì)測評方法

知識子域：信息安全監(jiān)測與維護

了解在系統(tǒng)生命周期中持續(xù)提高信息系統(tǒng)安全保障能力的意義

了解信息系統(tǒng)安全監(jiān)測與維護的主要原則