CISP课程介绍共开版
CISP国家注册信息安全专业人员
『课程名称』国家注册信息安全专业人员CISP培训公开课
『授课学校』上海三零卫士信息安全有限公司
『授课类型』资格认证授课方式
『发证机构』中国信息安全测评中心
『课程标签』CISP | 信息安全| IT认证|
『课程优势』
通过专业的CISP培训服务,各企事业单位可以培养自己的认证安全专家,满足机构长远的信息安全规划、建设、维护能力要求,解决遇到的各类信息安全问题;拥有足够数量的CISP是获得国家信息安全服务资质(安全工程类)必需的条件,专业的信息安全服务机构拥有更多的CISP,代表对客户信息系统安全保障的需求能提供更可信的服务;对于个人,CISP作为中国最权威的信息安全专业资格认证,将助您在信息安全领域提升竞争能力,职业生涯充满自信。『培训简介』
自2002年起,中国信息安全测评中心启动了代表国家对信息安全人员资质最高认可的“注册信息安全专业人员认证(简称CISP)”。这是目前是国内最权威,最专业,最系统的信息安全认证。目前全国已经具有大约5000名CISP,遍布银行、证券、电力、电信、广电、海关、税务、政府、铁路、保险、民航、石油、信息安全企业、大中型企业、科研院校等领域。
CISP“注册信息安全专业人员”,英文为Certified Information Security Professional,是有关信息安全企业、信息安全咨询服务机构、信息安全测评注册机构、社会各组织、团体、企事业有关信息系统网络建设、运行和应用管理的技术部门必备的专业岗位人员。CISP资质注册是中国信息安全测评中心(CNITSEC)对外开展的信息安全测评服务的重要项目。
『培训模块』
CISP知识体系以信息安全保障为主线,全面覆盖信息安全保障工作所需的基础、标准、法规、技术、管理和工程等领域。学员可以建立信息安全保障工作的基本思路,掌握信息安全技术措施和信息安全管理措施的实施要点,了解实施信息安全工程的基本方法,并熟悉信息安全工作中需要遵循的有关政策法规和技术标准。
『培训课程』
『招生对象』
(一)各大银行、证券等金融机构的中高级管理和技术人员
(二)各级政府机构、事业单位、教育机构的信息安全主管部门的中高级管理及技术人员
(三)各级电信运营商的网管部门的中高级管理及技术人员
(四)IT行业的开发人员、总工、网络安全业务的中高级工程师等
(五)信息安全服务、信息安全产品供应商以及网络系统集成商的中高级管理及技术人员。
『培训时间』
培训班共计8天的课程,每天6个学时。培训通过后统一参加考试。具体各期培训班的开班时间和地点另行通知。
『考试类别』
目前CISP证书体系根据实际岗位工作需要,分为两个基础类别:
⑴注册信息安全工程师,英文为Certified Information Security Engineer,简称CISE,证书持有人员主要从事信息安全技术领域的工作;
⑵注册信息安全管理人员,英文为Certified Information Security Officer,简称CISO,证书持有人员主要从事信息安全管理领域的工作。
『考试要求』
CISP考试报名要满足下面条件:
1、教育与工作经历:硕士研究生以上,具有1年工作经历;或本科毕业,具有2年工作经历;或大专毕业,具有4年工作经历。
2、专业工作经历:至少具备1年从事信息安全有关的工作经历。
『培训机构』
上海三零卫士信息安全有限公司成立于2001年7月,是专业从事信息系统安全建设和服务的高新技术企业。公司拥有中国信息安全测评中心颁发的CISP 培训机构资质。公司的培训讲师都是信息安全界的精英,并得到国家信息安全测评中心的认可,有着丰富的项目经验及授课经验。三零卫士以满足客户实际培训需求为目标,以提供优质培训服务为宗旨,以定位高端、与时俱进以及案例教学为特色。业内一流师资、合理价格全面提升您实际工作能力和CISP应考能力。『证书获得』
三零公司CISP考试通过率保证在80%以上,如有不通过者承诺下期免费再学,直到考试通过为止。培训通过后将获得CISP培训结业证书,之后参加CISP 资格认证考试,考试通过后获得由中国信息安全测评中心颁发的CISP认证证书,
且在中国信息安全测评中心网站上注册可查询。
CISP练习题整理218道
1.关于微软的SDL 原则,弃用不安全的函数属于哪个阶段?() A、规划 B、设计 C、实现 D、测试 答案:C 2.优秀源代码审核工具具有哪些特点() ①安全性②多平台性③可扩展性④知识性⑤集成性 A.①②③④⑤ B.②③④ C.①②③④ D.②③ 答案:A 3. 信息安全风险管理过程的模型如图所示。按照流程,请问,信息安全风险管理包括()六个方面的内容。( )是信息安全风险管理的四个基本步骤,( )则贯穿于这四个基本步骤中。 A.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建 立、风险评估、风险处理和批准监督;监控审查和沟通咨询
B.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险处理和监控审查;批准监督和沟通咨询 C.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险处理和沟通咨询;监控审查和批准监督 D.背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询;背景建立、风险评估、监控审查和批准监督;风险处理和沟通咨询 答案:A 4.信息安全风险评估是针对事物潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程,下列选项中不属于风险评估要素的是()。 A.资产 B.跪弱性 C.威胁 D.安全需求 答案:D 5.小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法,他们在讨论中就应该采用自主访问控制还是强制访问控创产生了分歧。小本认为应该采用自主访问控制的方法,他的观点主要有;(1)自主访向控制方式,可为用户提供灵活、可调整的安全策略,合法用户可以修改任一文件的存取控制信息;(2)自主访问控制可以抵御木马程序的攻击。小刘认为应该采用强制访问控制的方法,他的观点主要有;(3)强制访问控制中,只有文件的拥有者可以修改文件的安全属性,因此安全性较高;(4)强制访问控制能够保护敏感信息。以上四个观点中,只有一个观点是正确的,它是( ). A.观点(1) B.观点(2) C.观点(3)
CISP官方信息安全管理章节练习一
CISP信息安全管理章节练习一 一、单选题。(共100题,共100分,每题1分) 1. 小李去参加单位组织的信息安全培训后,他把自己对信息安全管理体系(Information Security Management System, ISMS)的理解画了以下一张图,但是他还存在一个空白处未填写,请帮他选择一个最合适的选项()。 a、监控和反馈ISMS b、批准和监督ISMS c、监视和评审ISMS d、沟通和资询ISMS 最佳答案是:c 2. 在对安全控制进行分析时,下面哪个描述是不准确的? a、对每一项安全控制都应该进行成本收益分析,以确定哪一项安全控制是必须的和有效的 b、应确保选择对业务效率影响最小的安全措施 c、选择好实施安全控制的时机和位置,提高安全控制的有效性 d、仔细评价引入的安全控制对正常业务带来的影响,采取适当措施,尽可能减少负面效应最佳答案是:b 3. 以下哪一项不是信息安全管理工作必须遵循的原则? a、风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中 b、风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作 c、由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低 d、在系统正式运行后,应注重残余风险的管理,以提高快速反应能力 最佳答案是:c 4. 对信息安全风险评估要素理解正确的是: a、资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构 b、应针对构成信息系统的每个资产做风险评价 c、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项 d、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁 最佳答案是:a 5. 以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容: a、出入的原因 b、出入的时间 c、出入口的位置 d、是否成功进入 最佳答案是:a 6. 信息安全策略是管理层对信息安全工作意图和方向的正式表述,以下哪一项不是信息安全策略文档中必须包含的内容:
注册信息安全专业人员cisp简述
注册信息安全专业人员(CISP) 随着信息技术的迅速发展和广泛应用,网络安全威胁向经济社会的各个方面渗透,成为国家安全的重要组成部分。2017年6月1日《中华人民共和国网络安全法》正式施行,保障网络安全对我国网络安全有着重大意义。 CISP即“注册信息安全专业人员”,系国家对信息安全人员资质的最高认可。英文为Certified Information Security Professional (简称CISP),CISP系经中国信息安全产品测评认证中心(已改名中国信息安全测评中心)实施国家认证。CISP是强制培训的。如果想参加CISP考试,必须要求出具授权培训机构的培训合格证明。 一、企业所需 注册信息安全专业人员是有关信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全测评中心实施注册。 二、个人所需
CISP作为目前国内最权威的信息安全认证,将会使您的个人职业生涯稳步提升,同时,CISP也是国内拥有会员数最多的信息安全认证,你可以通过CISP之家俱乐部与行业精英交流分享,提高个人信息安全保障水平。 三、适用人群 包括在国家信息安全测评机构、信息安全咨询服务机构、社会各组织、团体、企事业单位从事信息安全服务或高级安全管理工作的人员、企业信息安全主管、信息安全服务提供商、IT或安全顾问人员、IT审计人员、信息安全类讲师或培训人员、信息安全事件调查人员、其他从事与信息安全相关工作的人员(如系统管理员、程序员等) 1、CISE(注册信息安全工程师): 适合政府、各大企事业单位、网络安全集成服务提供商的网络安全技术人员 2、CISO(注册信息安全管理人员): 适合政府、各大企事业单位的网络安全管理人员,也适合网络安全集成服务提供商的网络安全顾问人员 四、认证要求 1、注册要求 1.教育与工作经历
CISP官方信息安全技术章节练习一
CISP信息安全技术章节练习一 一、单选题。(共100题,共100分,每题1分) 1. 安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全? a、操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞 b、为了方便进行数据备份,安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘 c、操作系统上部署防病毒软件,以对抗病毒的威胁 d、将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能 最佳答案是:b 2. 对于抽样而言,以下哪项是正确的? a、抽样一般运用于与不成文或无形的控制相关联的总体 b、如果内部控制健全,置信系统可以取的较低 c、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样 d、变量抽样是估计给定控制或相关控制集合发生率的技术 最佳答案是:b 3. 以下关于账户策略中密码策略中各项作用说明,哪个是错误的: a、“密码必须符合复杂性要求”是用于避免用户产生诸如1234,1111这样的弱口令 b、“密码长度最小值”是强制用户使用一定长度以上的密码 c、“强制密码历史”是强制用户不能再使用曾经使用过的任何密码 d、“密码最长存留期”是为了避免用户使用密码时间过长而不更换 最佳答案是:c 4. 如图所示,主体S对客体01有读(R)权限,对客体O2有读(R)、写(W)、拥有(Own)权限。该图所表示的访问控制实现方法是: a、访问控制表(ACL) b、访问控制矩阵 c、能力表(CL) d、前缀表(Profiles)最佳答案是:c 5. 关于数据库恢复技术,下列说法不正确的是: a、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决,当数据库中数
CISP试题及答案-7套题详解
1.下面关于信息安全保障的说法正确的是: A.信息安全保障的概念是与信息安全的概念同时产生的 B.信息系统安全保障要素包括信息的完整性、可用性和保密性 C.信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段 D.信息安全保障是以业务目标的实现为最终目的,从风险和策略出发,实施 在系统的生命周期内确保信息的安全属性 2.根据《 GB / T20274 信息安全保障评估框架》,对信息系统安全保障能力 进行评估应 A.信息安全管理和信息安全技术2 个方面进行 B.信息安全管理、信息安全技术和信息安全工程3 个方面进行 C.信息安全管理、信息安全技术、信息安全工程和人员4 个方面进行 D.信息安全管理、信息安全技术、信息安全工程、法律法规和人员5个方面进 行 3.哪一项不是《 GB / T20274 信息安全保障评估框架》给出的信息安全保障 模 通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征 4.对于信息安全发展历史描述正确的是: A.信息安全的概念是随着计算机技术的广泛应用而诞生的 B.目前信息安全己经发展到计算机安全的阶段 C.目前信息安全不仅仅关注信息技术,人们意识到组织、管理、工程过程和人 员同样是促进系统安全性的重要因素 D.我们可以将信息安全的发展阶段概括为,由“计算机安全”到“通信安全”, 再到“信息安全”,直至现在的“信息安全保障” 5.ISO的OSI安全体系结构中,以下哪一个安全机制可以提供抗抵赖安全服务 A.加密 B.数字签名 C.访问控制 D.路由控制
6.表示层 7.以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用 性三项信息安全特性 A.ITSEC B.TCSEC C.GB/T9387.2 D.彩虹系列的橙皮书 8.下面对于CC 的“保护轮廓”( PP )的说法最准确的是: A.对系统防护强度的描述 B.对评估对象系统进行规范化的描述 C.对一类TOE 的安全需求,进行与技术实现无关的描述 D.由一系列保证组件构成的包,可以代表预先定义的保证尺度 9.以下哪一项属于动态的强制访问控制模型? A.Bell一Lapudufa 模型 B. 10. C.Strong star property 处于 D.Bell 一Lapadula 模型的访问规则主要是出于对保密性的保护而制定的 11.下面对于强制访问控制的说法错误的是? A 它可以用来实现完整性保护,也可以用来实现机密性保护 B在强制访问控制的系统中,用户只能定义客体的安全属性 C 它在军方和政府等安全要求很高的地方应用较多 D 它的缺点是使用中的便利性比较低
CISP-05-信息安全模型
信息安全模型和体系结构 中国信息安全测评中心 CISP-05-信息安全模型 2010年7月
目录安全模型和体系结构 访问控制模型 完整性模型 多边安全模型 信息流模型 对安全模型和体系结构的威胁 多维模型与安全技术框架 1234567
一、安全模型和体系结构
信息安全模型 安全模型用于精确和形式地描述信息系统的安全特征,以及用于解释系统安全相关行为的理由。 ?安全策略,是达到你所认为的安全和可接受的程度时,需要满足或达到的目标或目的 ?安全模型用来描述为了实现安全策略,而应当满足的要求 安全模型的作用 ?能准确地描述安全的重要方面与系统行为的关系。 ?能提高对成功实现关键安全需求的理解层次。 ?从中开发出一套安全性评估准则,和关键的描述变量。
安全模型的特点 构建一个安全模型包括定义系统的环境类型、授权方式等内容,并证明在真实环境下是可以实现的,然后应用于系统的安全性设计,可以最大限度地避免安全盲点 ?精确,无歧义 ?简单和抽象,容易理解 ?模型一般的只涉及安全性质,具有一定的平台独立性,不过多抑制平台的功能和实现 ?形式化模型是对现实世界的高度抽象,精确地描述了系统的安全需求和安全策略 ?形式化模型适用于对信息安全进行理论研究。
建立安全模型的方法 建立安全模型的方法(从模型所控制的对象分)?信息流模型:主要着眼于对客体之间的信息传输过程的控制。 彻底切断系统中信息流的隐蔽通道,防止对信息的窃取. ?访问控制模型:从访问控制的角度描述安全系统,主要针对 系统中主体对客体的访问及其安全控制。 但“安全模型”的表达能力有其局限性。 ?但是我们说现有的“安全模型”本质上不是完整的“模型”:仅 描述了安全要求(如:保密性),未给出实现要求的任何相 关机制和方法
CISP总结-信息安全保障知识点
1.信息安全特征:信息安全是系统的安全,是动态的安全,是 无边界的安全,是非传统的安全。 2.信息系统包含三个要素:信息,计算机网络系统和运行环境。 3.1985年,美国国防部的可信计算机系统评估保障(TCSEC, 橙皮书),将操作系统安全分级(D、C1、C2、B1、B2、B3、A1). 4.信息技术安全性评估准则,即通用准则CC(ISO/IEC 15408, GB/T 18336),其中保障定义为,实体满足其安全目的的信心基础。 5.风险是指威胁利用资产或一组资产的脆弱性对组织机构造成 伤害的潜在可能。 6.信息安全管理体系-ISMS,国际上主流的信息系统管理体系 的标准有ISO/IEC 17799,英国标准协会(BSI)的7799 7.信息安全保障模型:保障要素:管理、工程、技术、人员。 安全特征:保密、完整、可用。生命周期:规划组织、开发采购、实施交付、运行维护、废弃。策略和风险是安全保障的核心问题。 信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受
的程度,从而保障系统实现组织机构的使命。 8.风险管理贯穿整个信息系统生命周期,包括对象确立,风险 评估,风险控制,审核批准,监控与审查和沟通与咨询6个方面。 9.基于时间的PDR模型(保护-检测-响应)是信息安全保障 工作中常用的模型。该模型的出发点是基于这样的前提:任何安全防护措施都是基于时间的,超过该时间段,这种防护措施是可能被攻破。 10.P2DR(策略-保护检测响应):所有的行为都是依据安全策 略实施的。该模型强调安全管理的持续性、安全策略的动态性。防护时间Pt,检测时间Dt,反应时间Rt: 如果pt>dt+rt,则系统安全;如果pt CISP—安全工程试题 1、下面有关能力成熟度模型的说法错误的是: ?能力成熟度模型可以分为过程能力方案(Continuous)和组织能力方案(Staged)两类 ?使用过程能力方案时,可以灵活选择评估和改进哪个或那些过程域 ?使用组织机构成熟度方案时,每一个能力级别都对应于一组已经定义好的过程域 ?SSE-CMM是一种属于组织能力方案(Staged)的针对系统安全工程的能力成熟度模型 2、一个组织的系统安全能力成熟度达到哪个级别以后,就可以对组织层面的过程进行规范的定义? ?2级——计划和跟踪 ?3级-——充分定义 ?4级——量化控制 ?5级——持续改进 3、下列哪项不是信息系统的安全工程的能力成熟度模型(SSE-CMM)的主要过程?风险评估 ?保证过程 ?工程过程 ?评估过程 4、SSE-CMM工程过程区域中的风险过程包含哪些过程区域: ?评估威胁、评估脆弱性、评估影响 ?评估威胁、评估脆弱性、评估安全风险 ?评估威胁、评估脆弱性、评估影响、评估安全风险 ?评估威胁、评估脆弱性、评估影响、验证和证实安全 5、信息系统安全工程(ISSE)的一个重要目标就是在IT项目的各个阶段充分考虑安全因素,在IT项目的立项阶段,以下哪一项不是必须进行的工作: ?明确业务对信息安全的要求 ?识别来自法律法规的安全要求 ?论证安全要求是否正确完整 ?通过测试证明系统的功能和性能可以满足安全要求 6、信息化建设和信息安全建设的关系应当是: ?信息化建设的结束就是信息安全建设的开始 ?信息化建设和信息安全建设应同步规划、同步实施 ?信息化建设和信息安全建设是交替进行的,无法区分谁先谁后 ?以上说法都正确 7、如果你作为甲方负责监管一个信息安全工程项目的实施,当乙方提出一项工程变 1、规范的实施流程和文档管理,是信息安全风险评估能否取得成功的重要基础。某单位在实施风险评估时,形成了《特评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中,该《特评估信息系统相关设备及资产清单》应是如下()中的输出结果: A、风险评估准备 B、风险要素识别 C、风险分析 D、风险结果判定 2、关于秘钥管理,下列说法错误的是(): A、科克霍夫原则指出算法的安全性不应基于算法的保密,而应基于密钥的安全性 B、保密通信过程中,通信方使用之前用过的会话密钥建立会话,不影响通信安全 C、密钥在管理需要考虑密钥产生、存储、备份、分配、更新、撤销等生命周期过程的每一个环节 D、在网络通信中,通信双方可利用Diffie-hellman 协议协商会话密钥 3、某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户账户的安全,项目开发人员决定用户登录时除了用户名口令认证方式外,还加入基于数字证书的身份认证功能,同时用户口令使用SHA-1算法加密后存放在后台数库中,请问以上安全设计遵循的哪项安全设计原则(): A、最小特权原则 B、职不经意分离原则 C、纵深防御原则 D、最少共享机制原则 4、2016年9月,一位安全研究人员在 Google Cloud IP上通过扫描,发现了完整的美国路易斯安那州290万选民数据库。这套数据库中囊括了诸如完整姓名、电子邮箱地址、性别与种族、选民状态、注册日期与编号、政党代码、电话号码以及最后一次投票及投票历史等详细信息。安全研究员建议当地民众及时修改与个人信息相关的用户名和密码,以防止攻击者利用以上信息进行()攻击: A、默认口令 B、字典 C、暴力破解 D、XSS 5、下图是某单位对其主网站的一天访问流量监测图。如果说网站在当天17:00到20:00间受到了攻击,则从图中数据分析,这种攻击类型最可能属于下面什么攻击(): CISP信息安全工程章节练习一 一、单选题。(共33题,共100分,每题3.0303030303分) 1. 如果你作为甲方负责监督一个信息安全工程项目的实施,当乙方提出一项工程变更时你最应当关注的是: a、变更的流程是否符合预先的规定 b、变更是否会对项目进度造成拖延 c、变更的原因和造成的影响 d、变更后是否进行了准确的记录 最佳答案是:c 2. 以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述? a、应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统安全保障的考虑 b、应充分调研信息安全技术发展情况和信息安全产品市场,选择最先进的安全解决方案和技术产品 c、应在将信息安全作为实施和开发人员的一项重要工作内容,提出安全开发的规范并切实落实 d、应详细规定系统验收测试中有关系统安全性测试的内容 最佳答案是:a 3. 在进行应用系统的测试时,应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据,如果需要使用时,以下哪一项不是必须做的: a、测试系统应使用不低于生产系统的访问控制措施 b、为测试系统中的数据部署完善的备份与恢复措施 c、在测试完成后立即清除测试系统中的所有敏感数据 d、部署审计措施,记录生产数据的拷贝和使用 最佳答案是:b 4. 以下关于信息安全工程说法正确的是: a、信息化建设中系统功能的实现是最重要的 b、信息化建设可以先实施系统,然后对系统进行安全加固 c、信息化建设在规划阶段合理规划信息安全,在建设阶段要同步实施信息安全建设 d、信息化建设没有必要涉及信息安全建设 最佳答案是:c 5. 信息安全工程监理模型不包括下面哪一项? a、监理咨询服务 b、咨询监理支撑要素 c、监理咨询阶段过程 d、控制管理措施 最佳答案是:a 6. 信息安全工程监理工程师不需要做的工作是:_________。 a、编写验收测试方案 b、审核验收测试方案 c、监督验收测试过程 d、审核验收测试报告 最佳答案是:a 7. 信息安全工程监理的作用不包括下面哪一项? a、弥补建设单位在技术与管理上的经验不足 b、帮助承建单位攻克技术难点,顺利实施项目 c、改善建设单位与承建单位之间的交流沟通 d、通过监理控制积极促进项目保质按期完成 1.根据相关标准,信息安全风险管理可以分为背景建立、风险评估,风险处理,批准监督、监控审查和沟通咨询等阶段。模拟该流程。文档《风险分析报告》应属于哪个阶段的输出成果()。 A 风险评估 B 风险处理 C 批准监督 D 监控审查 2.某单位在实施信息安全风险评估后,形成了若干文档,下面()中的文档不应属于风险评估“准备”阶段输出的文档。 A 《风险评估工作计划》,主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色进度安排等内容 B 《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容 C 《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容 D 《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等内容 3.规范的实施流程和文档管理,是信息安全风险评估结果取得成果的重要基础,按照规范的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果() A 《风险评估方案》 B 《重要保护的资产清单》 C 《风险计算报告》 D 《风险程度等级列表》 4.定量风险分析是从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,准确度量风险的可能性和损失量,小王采用该方法来为单位机房计算火灾的风险大小,假设单位机房的总价值为200万元人民币,暴露系数(ErpomireFactor,EF)是x,年度发生率(AnnuaIixed Rato of Occurrence,ARO) CISP国家注册信息安全专业人员 『课程名称』国家注册信息安全专业人员CISP培训公开课 『授课学校』上海三零卫士信息安全有限公司 『授课类型』资格认证授课方式 『发证机构』中国信息安全测评中心 『课程标签』CISP | 信息安全| IT认证| 『课程优势』 通过专业的CISP培训服务,各企事业单位可以培养自己的认证安全专家,满足机构长远的信息安全规划、建设、维护能力要求,解决遇到的各类信息安全问题;拥有足够数量的CISP是获得国家信息安全服务资质(安全工程类)必需的条件,专业的信息安全服务机构拥有更多的CISP,代表对客户信息系统安全保障的需求能提供更可信的服务;对于个人,CISP作为中国最权威的信息安全专业资格认证,将助您在信息安全领域提升竞争能力,职业生涯充满自信。『培训简介』 自2002年起,中国信息安全测评中心启动了代表国家对信息安全人员资质最高认可的“注册信息安全专业人员认证(简称CISP)”。这是目前是国内最权威,最专业,最系统的信息安全认证。目前全国已经具有大约5000名CISP,遍布银行、证券、电力、电信、广电、海关、税务、政府、铁路、保险、民航、石油、信息安全企业、大中型企业、科研院校等领域。 CISP“注册信息安全专业人员”,英文为Certified Information Security Professional,是有关信息安全企业、信息安全咨询服务机构、信息安全测评注册机构、社会各组织、团体、企事业有关信息系统网络建设、运行和应用管理的技术部门必备的专业岗位人员。CISP资质注册是中国信息安全测评中心(CNITSEC)对外开展的信息安全测评服务的重要项目。 『培训模块』 CISP知识体系以信息安全保障为主线,全面覆盖信息安全保障工作所需的基础、标准、法规、技术、管理和工程等领域。学员可以建立信息安全保障工作的基本思路,掌握信息安全技术措施和信息安全管理措施的实施要点,了解实施信息安全工程的基本方法,并熟悉信息安全工作中需要遵循的有关政策法规和技术标准。 『培训课程』CISP-安全工程
CISP注册信息安全专业CISP试卷(NEW)
CISP官方信息安全工程章节练习一
CISP信息安全管理习题
CISP课程介绍共开版