CISP知識類：信息安全管理

第4章知識類：信息安全管理

信息安全管理是注冊信息安全專業(yè)人員需要掌握的主體知識內(nèi)容之一。通過本部分的學(xué)習(xí)，學(xué)員應(yīng)當：

理解信息安全管理對于保障信息系統(tǒng)安全的作用;

理解信息安全管理體系、風(fēng)險管理和信息安全管理控制措施的含義;

掌握建立和完善信息安全管理體系的一-般方法：

掌握信息安全風(fēng)險管理工作的方法和一般原則：

掌握各個信息安全管理控制措施的作用及最佳實踐。

4.1知識體：信息安全管理基礎(chǔ)

圖4-1：知識體：信息安全管理基礎(chǔ)

4.1.1知識域：信息安全管理概述

知識子域：信息安全管理基本概念

理解管理、信息安全管理的概念，理解信息安全管理的對象

理解以建立體系的方式實施信息安全管理的必要性

理解體系、管理體系、信息安全管理體系的概念

知識子域：信息安全管理作用

理解信息安全管理的重要作用

理解信息安全管理體系的作用

4.1.2知識域：信息安全管理方法與實施

知識子域：信息安全管理方法

理解風(fēng)險管理是信息安全管理的基本方法，理解風(fēng)險評估是信息安全管理的基礎(chǔ)，風(fēng)險處理是信息安全管理的核心，理解控制措施是管理風(fēng)險的具體手段

理解過程方法是信息安全管理的基本方法，理解過程和過程方法的含義，理解PDCA模型

知識子域：信息安全管理實施

理解建設(shè)信息安全管理體系是系統(tǒng)地實施信息安全管理的一種方法

理解建設(shè)信息安全等級保護是系統(tǒng)地實施信息安全管理的一種方法

了解基于NISTSP800進行信息安全建設(shè)是實施信息安全管理的一種方法

4.2知識體：信息安全風(fēng)險管理

圖4-2：知識體：信息安全風(fēng)險管理

4.2.1知識域：信息安全風(fēng)險管理基礎(chǔ)

知識子域：信息安全管理方法

理解風(fēng)險管理是信息安全管理的基本方法，理解風(fēng)險評估是信息安全管理的基礎(chǔ)，風(fēng)險處理是信息安全管理的核心，理解控制措施是管理風(fēng)險的具體手段

理解過程方法是信息安全管理的基本方法，理解過程和過程方法的含義，理解PDCA模型

知識子域：信息安全管理實施

理解建設(shè)信息安全管理體系是系統(tǒng)地實施信息安全管理的一種方法

理解建設(shè)信息安全等級保護是系統(tǒng)地實施信息安全管理的一種方法

了解基于NISTSP800進行信息安全建設(shè)是實施信息安全管理的一種方法

4.2.2知識域：信息安全風(fēng)險管理主要內(nèi)容

知識子域：信息安全風(fēng)險管理的基本內(nèi)容和過程

理解背景建立的主要工作內(nèi)容

理解風(fēng)險評估的主要工作內(nèi)容

理解風(fēng)險處理的主要工作內(nèi)容

理解批準監(jiān)督的主要工作內(nèi)容

理解監(jiān)控審查的主要工作內(nèi)容

理解溝通咨詢的主要工作內(nèi)容

知識子域：信息系統(tǒng)生命周期與信息安全風(fēng)險管理

理解信息系統(tǒng)生命周期與信息安全風(fēng)險管理的關(guān)系

理解系統(tǒng)規(guī)劃階段的風(fēng)險管理工作內(nèi)容

理解系統(tǒng)設(shè)計階段的風(fēng)險管理工作內(nèi)容

理解系統(tǒng)實施階段的風(fēng)險管理工作內(nèi)容

理解系統(tǒng)運行維護階段的風(fēng)險管理工作內(nèi)容

理解系統(tǒng)廢棄階段的風(fēng)險管理工作內(nèi)容

4.2.3知識域：信息安全風(fēng)險評估

知識子域：風(fēng)險評估工作形式

理解自評估和檢查評估的風(fēng)險評估工作形式

理解自評估和檢查評估的區(qū)別及優(yōu)缺點

理解風(fēng)險評估、檢查評估和等級保護測評之間的關(guān)系

知識子域：風(fēng)險評估方法

理解定性風(fēng)險分析方法

理解定量風(fēng)險分析方法，掌握年度預(yù)期損失（ALE）的計算方法

理解半定量風(fēng)險分析方法

理解定性和定量風(fēng)險分析方法的優(yōu)缺點

知識子域：風(fēng)險評估的實施流程

掌握風(fēng)險評估準備階段的工作內(nèi)容

掌握風(fēng)險要素識別階段的工作內(nèi)容

掌握風(fēng)險分析階段的工作內(nèi)容和工作步驟

掌握風(fēng)險結(jié)果判定階段的工作內(nèi)容

知識子域：風(fēng)險評估工具

了解風(fēng)險評估工具的分類

了解常用風(fēng)險評估工具

圖4-3：知識體：信息安全管理體系

4.3.1知識域：信息安全管理體系基礎(chǔ)

知識子域：管理職責(zé)

理解管理者履行管理職責(zé)對成功實施信息安全管理體系（ISMS）的重要推動作用

掌握實施ISMS過程中管理者應(yīng)承擔(dān)的管理職責(zé)的主要內(nèi)容

知識子域：文檔控制

理解文檔化對實施ISMS的重要性

理解風(fēng)險評估結(jié)果是編制ISMS文件的依據(jù)

了解對ISMS文件和記錄進行保護和控制的常規(guī)措施

知識子域：內(nèi)部審核和管理評審

了解內(nèi)部審核的概念，以及內(nèi)部審核的目的、實施主體、實施方式、審核準則

了解管理評審的概念，以及管理評審的目的、實施主體、實施對象、實施方式

知識子域：信息安全管理體系認證了解ISMS認證的概念

理解ISMS認證是促進信息安全管理體系改進的一種外部驅(qū)動力

4.3.2知識域：信息安全管理體系建設(shè)

知識子域：規(guī)劃與建立ISMS

理解定義ISMS范圍和邊界、實施風(fēng)險評估、獲得管理者對殘余

風(fēng)險的批準等規(guī)劃與建立ISMS的主要工作內(nèi)容

知識子域：實施和運行ISMS

理解實施風(fēng)險處理計劃、開發(fā)有效性測量程序、管理ISMS的運

行等實施和運行ISMS的主要工作內(nèi)容

知識子域：監(jiān)視和評審ISMS

理解進行有效性測量、實施內(nèi)部審核、實施管理評審等監(jiān)視和評審ISMS的主要工作內(nèi)容

知識子域：保持和改進ISMS

理解實施糾正和預(yù)防措施、溝通措施和改進情況等保持和改進ISMS的主要工作內(nèi)容

4.3.3知識域：信息安全控制措施

知識子域：安全方針

理解信息安全方針控制目標的含義

掌握信息安全方針文件和信息安全方針評審兩項措施的常規(guī)控制方法

知識子域：信息安全組織

理解內(nèi)部組織控制目標的含義，掌握信息安全協(xié)調(diào)等實現(xiàn)這一目標的控制措施的常規(guī)實施方法

理解外部各方控制目標的含義，掌握與外部各方相關(guān)風(fēng)險的識別

等控制措施的實施方法

知識子域：資產(chǎn)管理

理解對資產(chǎn)負責(zé)控制目標的含義，掌握資產(chǎn)清單、資產(chǎn)責(zé)任人等控制措施的實施方法

理解信息分類控制目標的含義，掌握分類指南、信息的標記和處理等控制措施的實施方法

知識子域：人力資源安全

理解任用前控制目標的含義，掌握角色和職責(zé)、審查等控制措施的實施方法

理解任用中控制目標的含義，掌握管理職責(zé)、信息安全意識教育和培訓(xùn)等控制措施的實施方法

理解任用的終止或變化控制目標的含義，掌握終止職責(zé)、撤銷訪問權(quán)等控制措施的實施方法

知識子域：物理和環(huán)境安全

理解人身安全的重要性

理解安全區(qū)域控制目標的含義，掌握物理安全邊界、物理入口控制等控制措施的實施方法

理解設(shè)備安全控制目標的含義，掌握設(shè)備安置和保護、支持性設(shè)施等控制措施的實施方法

知識子域：通信和操作管理

理解操作程序和職責(zé)、第三方服務(wù)交付管理、系統(tǒng)規(guī)劃和驗收、防范惡意代碼、備份、網(wǎng)絡(luò)安全管理、介質(zhì)處置、信息的交換、電子商務(wù)服務(wù)、監(jiān)視和訪問控制這些控制目標的含義

掌握實現(xiàn)這些控制目標的控制措施的實施方法

知識子域：訪問控制

理解訪問控制的業(yè)務(wù)要求、用戶訪問管理、用戶職責(zé)、網(wǎng)絡(luò)訪問

控制、操作系統(tǒng)訪問控制、應(yīng)用和信息訪問控制、移動計算和遠程工作這些控制目標的含義

掌握實現(xiàn)這些控制目標的控制措施的實施方法

知識子域：信息系統(tǒng)獲取、開發(fā)與維護

理解信息系統(tǒng)的安全需求、應(yīng)用中的正確處理、密碼控制、系統(tǒng)文件的安全、開發(fā)和支持過程中的安全、技術(shù)脆弱性管理這些控制目標的含義

掌握實現(xiàn)這些控制目標的控制措施的實施方法

知識子域：符合性

理解符合法律要求、符合安全策略和標準以及技術(shù)符合性、信息系統(tǒng)審核考慮這些控制目標的含義

掌握實現(xiàn)這些控制目標的控制措施的實施方法

4.4知識體：應(yīng)急響應(yīng)與災(zāi)難恢復(fù)

圖4-4：知識體：應(yīng)急響應(yīng)與災(zāi)難恢復(fù)

4.4.1知識域：應(yīng)急響應(yīng)概況

知識子域：信息安全事件分類分級

理解信息安全事件和應(yīng)急響應(yīng)的基本概念

了解國際和我國的信息安全應(yīng)急響應(yīng)組織

了解我國信息安全事件應(yīng)急響應(yīng)工作的進展情況、政策要求和相關(guān)標準

理解我國信息安全事件分類、分級方法

知識子域：信息安全應(yīng)急響應(yīng)管理過程

掌握信息安全應(yīng)急響應(yīng)階段方法論

掌握準備、檢測、遏制、根除等應(yīng)急響應(yīng)階段的主要工作內(nèi)容

掌握信息安全應(yīng)急響應(yīng)計劃編制方法

知識子域：計算機取證

了解計算機取證的概念和目的

了解計算機取證的基本步驟

4.4.2知識域：信息系統(tǒng)災(zāi)難恢復(fù)

知識子域：災(zāi)難恢復(fù)概況

了解災(zāi)難恢復(fù)的歷史和背景、進展情況、政策要求和相關(guān)標準

理解業(yè)務(wù)連續(xù)性管理與災(zāi)難恢復(fù)相關(guān)的基本概念

了解災(zāi)難恢復(fù)組織的一般結(jié)構(gòu)和職責(zé)

理解組織應(yīng)依據(jù)自身業(yè)務(wù)特點制定適宜的災(zāi)難恢復(fù)戰(zhàn)略

理解編制詳細準確的備份策略和恢復(fù)步驟文檔是成功恢復(fù)的基礎(chǔ)，

理解恢復(fù)性測試的重要性

知識子域：災(zāi)難恢復(fù)管理過程

掌握災(zāi)難恢復(fù)管理工作的主要內(nèi)容

掌握災(zāi)難恢復(fù)規(guī)劃過程：災(zāi)難恢復(fù)需求分析、災(zāi)難恢復(fù)策略制定、

災(zāi)難恢復(fù)策略實現(xiàn)、災(zāi)難恢復(fù)預(yù)案制定和管理

理解同城和異地災(zāi)難備份中心的優(yōu)缺點

知識子域：災(zāi)難恢復(fù)能力

掌握有關(guān)標準對信息系統(tǒng)災(zāi)難恢復(fù)能力級別的劃分

理解各恢復(fù)能力級別對各類災(zāi)難恢復(fù)資源要素的指標要求

掌握確定組織自身所需災(zāi)難恢復(fù)能力級別的方法

4.4.3知識域：災(zāi)難恢復(fù)相關(guān)技術(shù)

知識子域：備份技術(shù)

理解全備份、增量備份和差分備份三種備份方式

理解三種備份方式的特點

知識子域：備用場所

了解冷站、溫站、熱站、移動站和鏡像站等類別的備用場所的概念，

了解各類備用場所具有的功能、備戰(zhàn)性程度

了解由組織擁有或運行維護的專用站點、同內(nèi)部或外部實體通過

簽署互惠協(xié)議而確定的備用站點、向?qū)I(yè)商業(yè)組織租用的備用站

點在建設(shè)和管理方式方面的不同