CISP-信息安全工程能力评估

cissp 基础安全评估
CISSP（Certified Information Systems Security Professional）基
础安全评估是指在CISSP认证框架下对信息系统的基础安全
进行评估和审查的过程。

CISSP认证是国际上公认的信息安全
领域最高级别的专业认证之一，持有该认证的专业人士具备广泛的信息安全知识和技能。

基础安全评估主要包括以下内容：
1. 资产管理：对组织内的信息系统资产进行识别、分类和管理，并确定其对组织的重要性和价值。

2. 风险管理：识别和评估潜在的内部和外部威胁，制定风险管理策略和措施，降低风险。

3. 访问控制：建立适当的用户身份验证、授权和访问控制机制，确保只有经过授权的人员能够获得系统资源的访问权限。

4. 安全操作：制定并执行相关的安全策略、流程和操作程序，保障系统和数据的安全运行。

5. 网络和通信安全：保护计算机网络和通信的机密性、完整性和可用性，包括防火墙、入侵检测系统、加密等安全措施的实施。

6. 安全性的生命周期管理：在信息系统的开发、运行和维护过程中，考虑安全性需求，确保信息系统的安全性能。

7. 安全事件与应急响应：建立适当的安全事件监测和应急响应机制，及时发现和应对安全事件，最大限度地减少损失。

CISSP基础安全评估需要综合运用信息安全管理、风险管理和技术控制等方面的知识和方法，对信息系统的基础安全状况进行全面评估和审查。

评估结果能够帮助组织发现存在的安全风险和问题，并提供相应的改进建议和措施，以确保信息系统的安全性和可靠性。

一．信息安全测评服务介绍1.中国信息安全测评中心：1）履行国家信息安全漏洞分析和风险评估职能2）对信息产品、系统和工程进行评估3）对信息安全服务，人员的资质进行审核2.CISP以信息安全保障（IA）作为主线二．信息安全测评认证体系介绍1．由信息安全问题所引起的国家面临的主要威胁：1）信息霸权的威胁2）经济安全3）舆论安全4）社会稳定2．我国测评认证中心的建设过程：1）1998.10 国家质量技术监督局成立“中国国家信息安全测评认证中心”，1999.2 该中心挂牌运行2）2001.5 中编办“中国信息安全产品测评认证中心”（中编办【2001】51号）CNITSEC 3）2007 改名“中国信息安全测评中心”3．认证要点（1）一个目标：TOE评估的正确性和一致性（2）两种方法：“质量过程核查”，“评估活动评价”（3）三个阶段：准备，评估，认证（4）四类活动4．行业许可证制度1）信息安全产品：公安部3所检测，公安部11局颁发2）防病毒产品：指定单位（天津市公安局）3）商用密码产品：国密办颁发5.商业性测评：制定化，控制，量化6.认证业务的范围：服务商，专业人员，产品，系统三．信息安全测评认标准1.测评标准发展1）美国TCSEC（桔皮书）：美国国防部1985年提出，军用机密性，D最小保护C1自主安全保护C2访问控制保护B1安全标签保护B2结构化保护B3安全域保护A1验证设计保护2）欧共体ITSEC：将安全性分为功能和保证；提出TOE；提出“安全目标”ST；E1-63)加拿大CTCPEC：功能性要求分为机密性，完整性，可用性，可控性4）美国联邦FC：引入了保护轮廓PP；每个轮廓包括功能，保障和评测需求5）通用评估准则CC：1996年V1.0；1998年V2.0；1999年为ISO15408（GB/T18336）；思想框架来源于FC和ITSEC；EAL1-72. CC的评估保证级EALEAL1功能测试；EAL2结构测试；EAL3系统地测试和检查；EAL4系统地设计、测试和复查；EAL5半形式化设计和测试（无隐蔽通道）；EAL6半形式化验证的设计和测试；EAL7形式化验证的设计和测试3. CC的结构：1）简介和一般介绍，以及保护轮廓规范和安全目标规范2）第二部分：安全功能需求3）第三部分：安全保障需求4. CC的范围不包括：1）行政性管理安全措施的评估准则；2）物理安全方面（诸如电磁辐射控制）的评估准则；3）密码算法固有质量评价准则包括：信息系统产品和技术5. 保护轮廓PP（甲方）没有详细的设计方案，安全目标ST（乙方）方案6. APE类：保护轮廓的评估准则；ASE类：安全目标的评估准则7. CC的结构：类，子类，组件8. 其他重要标准1）ITIL：IT服务框架2）Gobit：ISACA协会IT内控审计、IT治理框架四．我国标准1. 我国：国家GB/T; 行业：GA,GJB; 地方：DB/T; 企业：Q2. 标准化：最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。

cisp安全评估标准
CISP是中国信息安全监察的简称，是由中国信息产业部（现工信部）制定并推广的一系列信息安全标准。

CISP安全评估标准是其中的一部分，主要是针对信息系统进行安全评估的要求和指导。

CISP安全评估标准主要包括以下几个方面：
1. 安全体系结构评估：评估信息系统是否具备完整的安全体系结构，包括安全策略、安全管理组织架构、安全人员、安全培训等。

2. 安全技术评估：评估信息系统中的安全技术措施是否符合相关的安全标准和要求，包括防火墙、入侵检测系统、恶意代码检测等。

3. 安全管理评估：评估信息系统中的安全管理是否健全有效，包括安全策略与规划、安全管理过程、安全事件响应等。

4. 安全应急响应评估：评估信息系统中的安全应急响应机制是否完善，包括应急预案、应急演练、安全事件的处置等。

5. 安全审计评估：评估信息系统中的安全审计机制是否有效，包括日志记录、审计分析、安全审计人员等。

CISP安全评估标准是中国信息安全监察的指导性文件，对于
评估和提升信息系统的安全性具有重要的指导作用，帮助组织和企业更好地管理和保护信息安全。

CISP-01-信息安全测评服务介绍CISP-01-信息安全测评服务介绍一、背景介绍随着信息技术的迅猛发展，信息安全已经成为了各个企事业单位的重要问题。

信息安全测评作为保障信息系统和网络安全的一种重要手段，被广泛应用于各个行业。

CISP-01-信息安全测评服务是一种提供专业的信息安全测评服务的资质标准，以确保信息系统和网络的安全可靠性。

二、测评服务内容CISP-01-信息安全测评服务提供了多种测评内容，包括但不限于以下几个方面：1. 系统和网络漏洞扫描：通过扫描工具对系统和网络进行全面的检测，发现其中存在的漏洞，并提供相应的修复建议。

2. 业务系统安全审计：对企事业单位的业务系统进行审计，检查系统是否存在安全漏洞和风险，并提供相应的改进方案。

3. 无线网络安全测试：对无线网络进行渗透测试，发现其中的安全漏洞和风险，并提供相应的解决方案。

4. 数据安全测试：对企事业单位的数据进行安全测试，检查数据存储和传输过程中是否存在风险，保证数据安全可靠。

5. 应用软件安全测试：对企事业单位的应用软件进行安全测试，发现其中的安全隐患，并提供相应的改进方案。

三、测评服务流程CISP-01-信息安全测评服务从接受测评任务到提供测评报告，经历了以下几个流程：1. 需求确认：与客户充分沟通，了解其安全需求和测评目标，制定测评计划。

2. 测评准备：准备相关的测评工具和设备，并与客户约定测评时间和地点。

3. 测评执行：按照测评计划进行测评，对系统、网络、应用软件等进行全面检测。

4. 数据收集：收集测评中产生的相关数据和信息，包括漏洞报告、复测记录等。

5. 报告编制：根据测评收集的数据，编写详细的测评报告，包括系统安全状况、漏洞详情、风险评估等。

6. 报告发布：将测评报告提交给客户，解释报告中的内容，并提供相应的建议和改进方案。

四、测评服务优势CISP-01-信息安全测评服务具有以下几个优势：1. 专业团队：我们拥有一支由经验丰富的信息安全专家组成的团队，可以提供专业、高效的测评服务。

1．风险评估在27号文件中有，风险评估等级与安全等级之间的关系。

通常要比等级保护级低。

风险评估与等级保护的高低可以判断等级保护的超前滞后性。

标准在执行过程中都是弹性的。

2．评估承担单位：涉密：保密局。

非密：测评中心、国家信息技术安全研究中心、公安部信息安全等级保护中心。

3．一次测评工作，提交两个测评报告，即风险评估报告和等保测评报告4．识别：安全控制措施、资产、威胁、漏洞。

5．一个简化的风险评估流程：准备（Readiness）、识别（Realization）、计算（Calculation）[威胁概率、事件影响、风险定级]、报告（Report）6．威胁：威胁源、威胁目标、威胁方式。

威胁分为人为和自然两类7．风险衡量的方法？威胁的概率、脆弱性的概率、资产识别的概率。

计算时：脆弱性乘两次。

即风险值＝（资产值*脆弱性）*（脆弱性*威胁）资产*脆弱＝资产的损失值脆弱性*威胁＝每年发生损失的概率8．定量分析：制定资产价值。

单一预期损失ALE，13600 9．计算题要考。

10．安全投资收益：（实施控制前的ALE）－（实施控制后的ALE）-(安全投资成本)11．GB/T 20274-2006 信息系统安全保障评估框架12．GB/T 20984-2007 信息安全风险评估规范13．GB/T 18336-2001 信息技术安全性评估准则14．好的风险管理过程具有成本效益性，遵循PDCA15．正确的风险管理方法是前瞻性风险管理和风险管理的结合。

16．资产是对组织有价值的东西，重要性等级由资产所有者确定，存在多种形式。

17．安全风险的可能性是威胁利用脆弱造成后果的可能性。

是两个结合的结果。

18．信息安全风险是――信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。

19．风险管理包括四个阶段两个过程20．风险处置包括减低、转移、规避、接受风险。

21．《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》国信办[2006]5号，规定了风险评估工作的的相关要求。

信息安全工程师岗位所需证书
信息安全工程师岗位所需证书主要有以下几类：
1. CISP（国家注册信息安全专业人员）：国内权威认证，对于在重点行业从业，企业获取信息安全服务资质，参与网络安全项目等，这个认证都非常重要。

2. CISP-PTE（注册渗透测试工程师）：由信息安全测评中心推出，主要针对网络安全技术行业安全性网站渗透测试工作，具备整体规划测试方法、撰写新项目测试流程、编写测试用例、检测报告基本知识与能力。

3. NISP（国家信息安全水平考试）：被称为“校园版CISP”，是信息安全专业的必考资格证书，对于计算机类在校大学生从事网络空间安全行业就业具有通行证的作用。

4. CISSP（注册信息系统安全专家）：由国际信息系统安全认证委员会(ISC)²组织和管理，是目前全球范围内最权威、最专业、最系统的信息安全认证。

以上证书涵盖了信息安全领域的多个方面，包括渗透测试、网络系统安全、信息安全专业知识等，对于信息安全工程师来说，持有这些证书将大大提升其在该领域的竞争力和专业水平。

CISP信息安全管理章节练习二一、单选题。

(共101题,共100分,每题0.990099009901分)1. 下哪项不是信息安全策略变更的原因？a、每年至少一次管理评审b、业务发生重大变更c、管理机构发生变更d、设备发生变更最佳答案是:d2. “通知相关人员ISMS的变更”是建立信息安全管理体系哪个阶段的活动？a、规划和建立b、实施和运行c、监视和评审d、保持和改进最佳答案是:d3. 在信息安全管理体系中，带有高层目标的信息安全策略是被描述在a、信息安全管理手册b、信息安全管理制度c、信息安全指南和手册d、信息安全记录文档最佳答案是:a4. 信息安全应急响应计划的制定是一个周而复始的.持续改进的过程，以下哪个阶段不在其中？a、应急响应需求分析和应急响应策略的制定b、编制应急响应计划文档c、应急响应计划的测试、培训、演练和维护d、应急响应计划的废弃与存档最佳答案是:d5. 以下哪一个不是我国信息安全事件分级的分级要素？a、信息系统的重要程度b、系统损失c、系统保密级别d、社会影响最佳答案是:c6. 某制造类公司欲建自动化发票支付系统，要求该系统在复核和授权控制上花费相当少的时间，同时能识别出需要深入追究的错误，以下哪一项措施能最好地满足上述需求？a、建立一个与供应商相联的内部客户机用及服务器网络以提升效率b、将其外包给一家专业的自动化支付和账务收发处理公司c、与重要供应商建立采用标准格式的、计算机对计算机的电子业务文档和交易处理用EDI 系统d、重组现有流程并重新设计现有系统最佳答案是:c7. 某机构通过一张网络拓扑图为甲方编写了信息安全规划并实施，其后发现实施后出现诸多安全隐患并影响业务运行效率，其根本的原因是a、设计方技术能力不够b、没有参照国家相关要求建立规划设计c、没有和用户共同确立安全需求d、没有成熟实施团队和实施计划最佳答案是:c8. 信息安全风险评估是信息安全管理体系建立的基础，以下说法错误的是？a、信息安全管理体系的建立需要确定信息安全需求，而信息安全需求获取的主要手段就是信息安全风险评估b、风险评估可以对信息资产进行鉴定和评估，然后对信息资产面对的各种威胁和脆弱性进行评估c、风险评估可以确定需要实施的具体安全控制措施d、风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合。