CISP 信息安全管理体系
信息安全工程及管理CISP认证培训教程
加密技术应用场景
包括网络通信、数据存储、身 份认证等领域。
2024/1/30
20
数据备份恢复策略制定
数据备份策略
根据数据类型、重要性等因素 制定备份周期、备份方式等。
2024/1/30
数据恢复策略
确保在数据丢失或损坏时能够 及时恢复,包括定期演练恢复 流程。
备份恢复技术选择
根据实际需求选择适合的备份 恢复技术,如磁带、磁盘、云 备份等。
2024/1/30
28
操作系统安全配置优化建议
最小化安装
在安装操作系统时,仅安 装必需的服务和组件,降 低系统被攻击的风险。
2024/1/30
安全补丁管理
定期更新操作系统安全补 丁,修复已知漏洞,提高 系统安全性。
账户和权限管理
严格控制操作系统账户权 限,避免使用root或管理 员权限运行应用程序,采 用最小权限原则。
信息安全管理
包括信息安全管理体系建设、信息安全风险管理、信息安全策略制 定和实施、信息安全审计和监控等方面的内容。
32
复习方法分享和备考技巧指导
系统学习
建议考生参加专业的CISP认证培训 课程,系统学习信息安全工程及管理 相关知识和技能。
阅读教材
认真阅读CISP认证考试指定教材, 深入理解各个知识点和概念。
,如SQL注入、跨站脚本等。
输入验证和输出编码
对用户输入进行严格的验证和过滤,防止 注入攻击;对所有输出进行编码,防止跨
站脚本攻击。
2024/1/30
会话管理安全
实施安全的会话管理机制,包括使用强随 机数生成器生成会话ID、定期更换会话密 钥、限制会话生存时间等。
最小权限原则
遵循最小权限原则,为每个应用或服务分 配所需的最小权限,减少潜在的安全风险 。
最新cisp考点整理资料
一.信息安全测评服务介绍1.中国信息安全测评中心:1)履行国家信息安全漏洞分析和风险评估职能2)对信息产品、系统和工程进行评估3)对信息安全服务,人员的资质进行审核2.CISP以信息安全保障(IA)作为主线二.信息安全测评认证体系介绍1.由信息安全问题所引起的国家面临的主要威胁:1)信息霸权的威胁2)经济安全3)舆论安全4)社会稳定2.我国测评认证中心的建设过程:1)1998.10 国家质量技术监督局成立“中国国家信息安全测评认证中心”,1999.2 该中心挂牌运行2)2001.5 中编办“中国信息安全产品测评认证中心”(中编办【2001】51号)CNITSEC 3)2007 改名“中国信息安全测评中心”3.认证要点(1)一个目标:TOE评估的正确性和一致性(2)两种方法:“质量过程核查”,“评估活动评价”(3)三个阶段:准备,评估,认证(4)四类活动4.行业许可证制度1)信息安全产品:公安部3所检测,公安部11局颁发2)防病毒产品:指定单位(天津市公安局)3)商用密码产品:国密办颁发5.商业性测评:制定化,控制,量化6.认证业务的范围:服务商,专业人员,产品,系统三.信息安全测评认标准1.测评标准发展1)美国TCSEC(桔皮书):美国国防部1985年提出,军用机密性,D最小保护C1自主安全保护C2访问控制保护B1安全标签保护B2结构化保护B3安全域保护A1验证设计保护2)欧共体ITSEC:将安全性分为功能和保证;提出TOE;提出“安全目标”ST;E1-63)加拿大CTCPEC:功能性要求分为机密性,完整性,可用性,可控性4)美国联邦FC:引入了保护轮廓PP;每个轮廓包括功能,保障和评测需求5)通用评估准则CC:1996年V1.0;1998年V2.0;1999年为ISO15408(GB/T18336);思想框架来源于FC和ITSEC;EAL1-72. CC的评估保证级EALEAL1功能测试;EAL2结构测试;EAL3系统地测试和检查;EAL4系统地设计、测试和复查;EAL5半形式化设计和测试(无隐蔽通道);EAL6半形式化验证的设计和测试;EAL7形式化验证的设计和测试3. CC的结构:1)简介和一般介绍,以及保护轮廓规范和安全目标规范2)第二部分:安全功能需求3)第三部分:安全保障需求4. CC的范围不包括:1)行政性管理安全措施的评估准则;2)物理安全方面(诸如电磁辐射控制)的评估准则;3)密码算法固有质量评价准则包括:信息系统产品和技术5. 保护轮廓PP(甲方)没有详细的设计方案,安全目标ST(乙方)方案6. APE类:保护轮廓的评估准则;ASE类:安全目标的评估准则7. CC的结构:类,子类,组件8. 其他重要标准1)ITIL:IT服务框架2)Gobit:ISACA协会IT内控审计、IT治理框架四.我国标准1. 我国:国家GB/T; 行业:GA,GJB; 地方:DB/T; 企业:Q2. 标准化:最佳秩序,对实际的或潜在的问题制定共同的和重复使用的规则的活动。
CISP试题与答案(515多题整理版)
1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】D4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A. 不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】A5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】D6. PDCA特征的描述不正确的是A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】D8. ISO27001认证项目一般有哪几个阶段?A. 管理评估,技术评估,操作流程评估B. 确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D. 基础培训,RA培训,文件编写培训,内部审核培训【答案】B9. 构成风险的关键因素有哪些?A. 人,财,物B. 技术,管理和操作C.资产,威胁和弱点D. 资产,可能性和严重性【答案】C10. 以下哪些不是应该识别的信息资产?A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】C11. 以下哪些是可能存在的威胁因素?BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】B12. 以下哪些不是可能存在的弱点问题?A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】C13. 风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A. 只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C. 可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】B14. 风险分析的目的是?A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】C15. 对于信息安全风险的描述不正确的是?A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(Risk Management)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
CISP知识体系大纲2.0正式版
注册信息安全专业人员(CISP)知识体系大纲版本:2.0正式版中国信息安全测评中心目录前言 (3)第1 章注册信息安全专业人员(CISP)知识体系概述 (4)1.1 CISP资质认定类别 (4)1.2 大纲范围 (4)1.3 CISP知识体系框架结构 (5)1.4 CISP(CISE/CISO)考试试题结构 (7)第2 章知识类:信息安全保障概述 (9)2.1 知识体:信息安全保障基本知识 (9)2.1.1 知识域:信息安全保障背景 (9)2.1.2 知识域:信息安全保障原理 (10)2.1.3 知识域:典型信息系统安全模型与框架 (10)2.2 知识体:信息安全保障基本实践 (11)2.2.1 知识域:信息安全保障工作概况 (11)2.2.2 知识域:信息系统安全保障工作基本内容 (11)第3 章知识类:信息安全技术 (13)3.1 知识体:密码技术 (13)3.1.1 知识域:密码学基础 (14)3.1.2 知识域:密码学应用 (14)3.2 知识体:访问控制与审计监控 (15)3.2.1 知识域:访问控制模型 (16)3.2.2 知识域:访问控制技术 (16)3.2.3 知识域:审计和监控技术 (17)3.3 知识体:网络安全 (17)3.3.1 知识域:网络协议安全 (17)3.3.2 知识域:网络安全设备 (18)3.3.3 知识域:网络架构安全 (18)3.4 知识体:系统安全 (19)3.4.1 知识域:操作系统安全 (19)3.4.2 知识域:数据库安全 (20)3.5 知识体:应用安全 (21)3.5.1 知识域:网络服务安全 (21)3.5.2 知识域:个人用户安全 (22)3.5.3 知识域:恶意代码 (22)3.6 知识体:安全攻防 (23)3.6.1 知识域:信息安全漏洞 (23)3.6.2 知识域:安全攻防基础 (24)3.6.3 知识域:安全攻防实践 (24)3.7 知识体:软件安全开发 (25)3.7.1 知识域:软件安全开发概况 (25)3.7.2 知识域:软件安全开发的关键阶段 (25)第4 章知识类:信息安全管理 (27)4.1 知识体:信息安全管理体系 (27)4.1.1 知识域:信息安全管理基本概念 (27)4.1.2 知识域:信息安全管理体系建设 (28)4.2 知识体:信息安全风险管理 (29)4.2.1 知识域:风险管理工作内容 (29)4.2.2 知识域:信息安全风险评估实践 (30)4.3 知识体:安全管理措施 (31)4.3.1 知识域:基本安全管理措施 (31)4.3.2 知识域:重要安全管理过程 (33)第5 章知识类:信息安全工程 (35)5.1 知识体:信息安全工程原理 (35)5.1.1 知识域:安全工程理论背景 (35)5.1.2 知识域:安全工程能力成熟度模型 (36)5.2 知识体:信息安全工程实践 (37)5.2.1 知识域:安全工程实施实践 (37)5.2.2 知识域:信息安全工程监理 (38)第6 章知识类:信息安全标准法规 (39)6.1 知识体:信息安全法规与政策 (39)6.1.1 知识域:信息安全相关法律 (39)6.1.2 知识域:信息安全国家政策 (40)6.2 知识体:信息安全标准 (41)6.2.1 知识域:安全标准化概述 (41)6.2.2 知识域:信息安全评估标准 (41)6.2.3 知识域:信息安全管理标准 (42)6.2.4 知识域:等级保护标准 (42)6.3 知识体:道德规范 (43)6.3.1 知识域:信息安全从业人员道德规范 (43)6.3.2 知识域:通行道德规范 (44)前言信息安全作为我国信息化建设健康发展的重要因素,关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施,是国家安全的重要组成部分。
信息安全培训和CISP知识体系(PDF 72页)
中国最庞大的下载资料库
目录
一. 信息安全培训业务介绍
信息安全培训业务现状 美国政府部委信息安全培训体系介绍 信息安全培训体系介绍
二. CISP知识体系介绍
注册信息安全专业人员(CISP)介绍 CISP知识体系大纲介绍
中国最庞大的下载资料库
二. CISP知识体系介绍
注册信息安全专业人员(CISP)介绍 CISP知识体系大纲介绍
组织机构信息安全人才体系战略
信息安全保障专家
信息安全专业人员 (信息安全相关的岗位和职责) 计划 开发 运行 废 实施 组织 采购 维护 弃 交付 信息安全从业人员 (信息系统相关的岗位和职责) 安全基础和安全文化
构建全面的信息安全人才体系的需求
是国家政策的要求 是组织机构信息安全保障建设自身的要求 是组织机构人员自身职业发展的要求
我国信息安全从业人员素质现状分析
从数量上看,信息安全从业人员数量同实际需求存在巨大缺口。 信息安全人才需求不断增加 培养来源:由高校学历教育以及以各种专业注册培训为核心、辅以各种职 业技能培训的社会培训组成。 信息安全从业人员的数量同社会实际需求仍存在巨大缺口。 从质量上来看,高端信息安全人才,特别是信息安全管理人才以及信息安全 高层次和综合性人才严重缺乏 从行业领域上,信息安全从业人员主要集中在政府、金融、电信等信息化发 达的行业领域以及信息安全专业公司中 根据对上千名注册信息安全专业人员(CISP)的分析,其中38%的专业 人员来自安全厂商,20%来自金融领域,26%来自税务、海关和部委等政 府机构,8%来自电力和电信领域,4%来自于测评机构,其他占4%。 从信息安全从业人员更多集中在技术领域,而且主要偏向于具体产品的研 发、技术支持和维护。 信息安全从业人员在组织机构中的地位开始得到显著提高,正逐渐从单纯的 技术支持进入到组织机构技术决策和风险管理的角色。
注册信息安全专业人员(CISP)知识体系大纲
注册信息安全专业人员(CISP)知识体系大纲发布日期:2009年5月1日版本:1.2中国信息安全测评中心©版权2009—中国信息安全测评中心注册信息安全专业人员(CISP)知识体系大纲咨询及索取关于中国信息安全测评中心信息安全人员培训相关的文件,请与中国信息安全测评中心信息系统测评服务部接洽。
在中国信息安全测评中心网址:上可获取本文件。
版权©版权2008—中国信息安全测评中心联系信息关于中国信息安全测评中心(CNITSEC)信息安全人员培训相关的更多信息,请与中国信息安全测评中心(CNITSEC)联系:联系方式:中国信息安全测评中心信息安全测评服务部【联系地址】北京市海淀区上地西路8号院1号楼【邮政编码】100085【电话】【传真】(010)【电子邮件】目录目录.................................................................................................................. I I 图表. (IV)注册信息安全专业人员(CISP)知识体系介绍 (1)第1 章注册信息安全专业人员(CISP)知识体系概述 (2)1.1 CISP资质证书介绍 (2)1.2 CISP知识体系介绍 (2)1.2.1 概述 (2)1.2.2 CISP知识体系框架结构介绍 (4)1.2.3 CISP(CISE/CISO/CISA)考试的知识体系结构介绍 (6)第2 章知识类:信息安全体系和模型 (8)2.1 概述 (8)2.2 原理说明 (9)2.2.1 概述 (9)2.2.2 知识体:安全体系 (9)2.2.3 知识体:信息安全模型 (11)2.3 知识体系大纲 (12)2.3.1 BD(知识体):信息安全体系 (12)2.3.2 BD(知识体):信息安全模型 (12)第3 章知识类:信息安全技术 (14)3.1 概述 (14)3.2 原理说明 (14)3.2.1 概述 (14)3.2.2 知识体:信息安全技术机制 (15)3.2.3 知识体:信息和通信技术(ICT)安全 (16)3.2.4 知识体:信息安全实践 (17)3.3 知识体系大纲 (18)3.3.1 BD(知识体):信息安全技术机制 (18)3.3.2 BD(知识体):信息和通信技术(ICT)安全 (19)3.3.3 BD(知识体):信息安全实践 (21)第4 章知识类:信息安全管理 (23)4.1 概述 (23)4.2 原理说明 (23)4.2.1 概述 (23)4.2.2 知识体:安全管理体系 (24)4.2.3 知识体:关键安全管理过程 (24)4.3 知识体系大纲 (25)4.3.1 BD(知识体):安全管理基础 (25)4.3.2 BD(知识体):关键安全管理过程 (26)第5 章知识类:信息安全工程 (28)5.1 概述 (28)5.2 原理说明 (28)5.2.1 概述 (28)5.2.2 知识体:安全工程基础 (29)5.2.3 知识体:安全工程过程和实践 (29)5.2.4 知识体:项目管理过程和实践 (30)5.3 知识体系大纲 (30)5.3.1 BD(知识体):安全工程基础 (30)5.3.2 BD(知识体):安全工程过程和实践 (30)5.3.3 BD(知识体):项目管理过程和实践 (30)第6 章知识类:信息安全标准和法律法规 (31)6.1 概述 (31)6.2 原理说明 (31)6.3 知识体系大纲 (32)6.3.1 BD(知识体):概述 (32)6.3.2 BD(知识体):信息系统相关标准 (32)6.3.3 BD(知识体):道德规范 (32)6.3.4 BD(知识体):信息安全标准 (32)6.3.5 BD(知识体):信息安全法律法规 (33)图表图表1-1:CISP知识体系的组件模块结构 (4)图表1-2:CISP知识体系结构框架 (6)图表2-1:信息安全体系和模型知识类(PT)的知识体系结构概述 (8)图表2-2:信息安全体系和模型知识类(PT)的知识体系结构详细描述 (9)图表2-3:知识体-安全体系原理:信息安全保障模型 (10)图表2-4:知识体:安全模型原理说明 (11)图表3-1:信息安全技术知识类(PT)的知识体系结构概述 (14)图表3-2:知识体:信息安全技术机制原理说明 (16)图表3-3:知识体:信息和通信技术(ICT)安全原理说明 (17)图表3-4:知识体:信息安全实践原理说明 (18)图表4-1:信息安全管理知识类(PT)的知识体系结构概述 (23)图表4-2:知识体:安全管理体系说明 (24)图表4-3:知识体:关键安全管理过程原理说明 (25)图表5-1:信息安全工程知识类(PT)的知识体系结构概述 (28)图表5-2:信息系统安全工程标准背景 (29)图表6-1:信息安全标准和法律法规知识类(PT)的知识体系结构概述 (31)注册信息安全专业人员(CISP)知识体系介绍注册信息安全专业人员知识体系介绍中将介绍注册信息安全专业人员(CISP)考试大纲的结构和内容。
CISP & CISSP 知识点对比
4.7. 数字签名
4.8. 使用加密技术的电子邮件安全
4.9. 使用加密技术的互联网安全
4.10. 密码管理
4.11. PKI
4.12. 密码分析和攻击
4.13. 输出问题
2.2. 访问控制与审计监控
1. 访问控制
2.2.1. 访问控制模型
1.1. 授权和认证
2.2.2. 访问控制技术
CISP & CISSP 知识点对比
CISP 知识点
CISSP 知识点
1. 信息安全保障概述
9. 安全体系结构和设计
1.1. 信息安全保障基本知识
9.1. 计算机科学及体系
1.1.1. 信息安全保障背景
9.2. 安全和控制的概念
1.1.2. 信息安全保障原理
9.3. 安全模型
1.1.3. 典型信息系统安全模型与框架
9.4. 评估标准
1.2. 信息安全保障基本实践
1.2.1. 信息安全保障工作概况
1.2.2. 信息系统安全保障工作基本内容
2. 信息安全技术
4. 密码学
2.1. 密码技术
4.1. 定义
2.1.1. 密码学基础
4.2. 加密的应用和用途
2.1.2. 密码学应用
4.3. 协议及标准
4.4. 基本技术
4.5. 加密系统
3.3.1. 基本安全管理措施
3.8. 预防措施
3.3.2. 重要安全管理过程
5.信息安全治理和风险管理
5.2风险管理工具和实
5.3规划和组织
4. 信息安全工程
4.1. 信息安全工程原理
4.1.1. 安全工程理论背景
4.1.2. 安全工程能力成熟度模型
cisp安全评估标准
cisp安全评估标准
CISP是中国信息安全监察的简称,是由中国信息产业部(现工信部)制定并推广的一系列信息安全标准。
CISP安全评估标准是其中的一部分,主要是针对信息系统进行安全评估的要求和指导。
CISP安全评估标准主要包括以下几个方面:
1. 安全体系结构评估:评估信息系统是否具备完整的安全体系结构,包括安全策略、安全管理组织架构、安全人员、安全培训等。
2. 安全技术评估:评估信息系统中的安全技术措施是否符合相关的安全标准和要求,包括防火墙、入侵检测系统、恶意代码检测等。
3. 安全管理评估:评估信息系统中的安全管理是否健全有效,包括安全策略与规划、安全管理过程、安全事件响应等。
4. 安全应急响应评估:评估信息系统中的安全应急响应机制是否完善,包括应急预案、应急演练、安全事件的处置等。
5. 安全审计评估:评估信息系统中的安全审计机制是否有效,包括日志记录、审计分析、安全审计人员等。
CISP安全评估标准是中国信息安全监察的指导性文件,对于
评估和提升信息系统的安全性具有重要的指导作用,帮助组织和企业更好地管理和保护信息安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
❖ 信息安全管理体系的核心就是这些最佳控制措施 集合的。
24
(二)信息安全管理的状况
❖ 1、信息安全管理的作用 ❖ 2、信息安全管理的发展 ❖ 3、信息安全管理有关标准 ❖ 4、成功实施信息安全管理的关键
❖ 强调全过程和动态控制,本着控制费用与风险平衡的原则 合理选择安全控制方式;强调保护组织所拥有的关键性信 息资产,而不是全部信息资产,确保信息的保密性、完整 性和可用性,保持组织的竞争优势和业务的持续性。
46
3、信息安全管理体系的作用
❖ 对组织的关键信息资产进行全面系统的保护,维 持竞争优势;
❖ 在信息系统受到侵袭时,确保业务持续开展并将 损失降到最低程度;
信息安全管理体系
培训机构名称 讲师名字
课程内容
信息安全管理 体系
知识体
信息安全管理 基本概念
信息安全 管理体系建设
知识域
信息安全管理的作用 风险管理的概念和作用 安全管理控制措施的概念和作用
过程方法与PDCA循环 建立、运行、评审与改进ISMS
知识子域
2
知识域:信息安全管理基本概念
❖知识子域: 信息安全管理的作用
❖ 信息安全管理体系的建立需要确定信息安全需求 ❖ 信息安全需求获取的主要手段就是安全风险评估 ❖ 信息安全风险评估是信息安全管理体系建立的基
础,没有风险评估,信息安全管理体系的建立就 没有依据。
23
(4)风险处置是信息安全管理的核心
❖ 风险评估的结果应进行相应的风险处置,本质上 ,风险处置的最佳集合就是信息安全管理体系的 控制措施集合。
应
对
风
险
需
要
人
为
的
管
信息系统是人机交互系统
理
过
程
设备的有效利用是人为的管理过 程
“坚持管理与技术并重”是我国加 强信息安全保障工作的主要原则
28
2、信息安全管理的发展-1
❖ISO/IEC TR 13335
▪ 国际标准化组织在信息安全管理方面,早在1996年 就开始制定《信息技术信息安全管理指南》( ISO/IEC TR 13335),它分成五个部分:
❖ 促使管理层贯彻信息安全管理体系,强化员工的 信息安全意识,规范组织信息安全行为;
❖ 使组织的生意伙伴和客户对组织充满信心; ❖ 组织可以按照安全管理,达到动态的、系统地、
全员参与、制度化的、以预防为主的信息安全管 理方式,用最低的成本,达到可接受的信息安全 水平,从根本上保证业务的持续性。
❖ 信息安全:信息安全主要指信息的保密性、完整 性和可用性的保持。即指通过采用计算机软硬件 技术、网络技术、密钥技术等安全技术和各种组 织管理措施,来保护信息在其生命周期内的产生 、传输、交换、处理和存储的各个环节中,信息 的保密性、完整性和可用性不被破坏。
7
1、信息安全
8
1、信息安全-保密性
❖ 保密性 ❖ 确保只有那些被授予特定权限的人才能够访问到
45
2、信息安全管理体系的特点
❖ 信息安全管理体系要求组织通过确定信息安全管理体系范 围,制定信息安全方针,明确管理职责,以风险评估为基 础选择控制目标和措施等一系列活动来建立信息安全管理 体系;
❖ 体系的建立基于系统、全面、科学的安全风险评估,体现 以预防控制为主的思想,强调遵守国家有关信息安全的法 律、法规及其他合同方面的要求;
《信息安全的概念和模型》 《信息安全管理和规划》 《信息安全管理技术》 《基线方法》 《网络安全管理指南》
29
2、信息安全管理的发展-2
❖BS 7799
▪ 英国标准化协会(BSI)1995年颁布了《信息安全 管理指南》(BS 7799),BS 7799分为两个部分:
▪ BS 7799-1《信息安全管理实施规则》和BS 7799-2 《信息安全管理体系规范》。2002年又颁布了《信 息安全管理系统规范说明》(BS 7799-2:2002)。
10
1、信息安全-可用性
❖ 可用性 ❖ 确保那些已被授权的用户在他们需要的时候,确
实可以访问到所需信息。即信息及相关的信息资 产在授权人需要的时候,可以立即获得。例如, 通信线路中断故障、网络的拥堵会造成信息在一 段时间内不可用,影响正常的业务运营,这是信 息可用性的破坏。提供信息的系统必须能适当地 承受攻击并在失败时恢复。
13
2、信息安全管理
组织中为了完成信息安全目标,针对信息系统,遵循安
全策略,按照规定的程序,运用恰当的方法,而进行的
规划、组织、指导、协调和控制等活动 拥有者 变化?
信息安全管理工作的对象
经营
关键活动 输入
资源 ·信息输入
标准 ·立法
记录 ·摘要
测量
输出
生产
过程
项目领导组 项目办公室 项目经理
43
(一)什么是信息安全管理体系
❖ 1、信息安全管理体系的定义 ❖ 2、信息安全管理体系的特点 ❖ 3、信息安全管理体系的作用 ❖ 4、信息安全管理体系的文件
44
1、信息安全管理体系的定义
❖ 信息安全管理体系(ISMS:Information Security Management System)是组织在整体或 特定范围内建立的信息安全方针和目标,以及完 成这些目标所用的方法和体系。它是直接 管理活 动的结果,表示为方针、原则、目标、方法、计 划、活动、程序、过程和资源的集合。
▪ 理解信息安全“技管并重”原则的意义 ▪ 理解成功实施信息安全管理工作的关键因素
❖知识子域: 风险管理的概念和作用
▪ 理解信息安全风险的概念:资产价值、威胁、脆弱 性、防护措施、影响、可能性
▪ 理解风险评估是信息安全管理工作的基础 ▪ 理解风险处置是信息安全管理工作的核心
❖知识子域: 信息安全管理控制措施的概念和作用
▪ BS 7799将信息安全管理的有关问题划分成了10个 控制要项、36 个控制目标和127 个控制措施。目 前,在BS7799-2中,提出了如何了建立信息安全 管理体系的步骤。
30
2、信息安全管理的发展-3
31
2、信息安全管理的发展-4
32
3、国内外信息安全管理标准
❖ (1)国际信息安全管理标准
▪ 国际信息安全标准化组织 ▪ 国际信息安全管理标准
❖ (2)国内信息安全管理标准
▪ 国内信息安全标准化组织 ▪ 国内信息安全管理标准
33
国际信息安全标准化组织
34
国际信息安全管理标准-1
35
国际信息安全管理标准-2
36
国际信息安全管理标准-3
37
国内信息安全标准化组织
38
国内信息安全管理标准-1
▪ 理解安全管理控制措施是管理风险的具体手段 ▪ 了解11个基本安全管理控制措施的基本内容
3
信息安全管理
❖ 一、信息安全管理概述 ❖ 二、信息安全管理体系 ❖ 三、信息安全管理体系建立 ❖ 四、信息安全管理控制规范
4
一、信息安全管理概述
❖ (一)信息安全管理基本概念
▪ 1、信息安全 ▪ 2、信息安全管理 ▪ 3、基于风险的信息安全
25
1、信息安全管理的作用
保险柜就一定安全吗?
❖ 如果你把钥匙落在锁眼上会怎样? ❖ 技术措施需要配合正确的使用才能发
挥作用
26
1、信息安全管理的作用
服务器
防火墙能解决这样的问题吗?
Web服务器
内网主机
防火墙
WO!3G
防火墙
精心设计的网络
Internet
防御体系,因违
规外连形同虚设
27
1、信息安全管理的作用
15
3、基于风险的信息安全
❖ (1)安全风险的基本概念 ❖ (2)信息安全的风险模型 ❖ (2)基于风险的信息安全
16
(1)安全风险的基本概念
❖资产
❖ 资产是任何对组织有价值的东西 ❖ 信息也是一种资产,对组织具有价值
❖ 资产的分类
❖ 电子信息资产 ❖ 纸介资产 ❖ 软件资产 ❖ 物理资产 ❖ 人员 ❖ 服务性资产 ❖ 公司形象和名誉 ❖ ……
21
(3)基于风险的信息安全
Байду номын сангаас信息安全追求目标
❖ 确保业务连续性 ❖ 业务风险最小化 ❖ 保护信息免受各种威
胁的损害
❖ 投资回报和商业机遇 最大化
获得信息安全方式
❖ 实施一组合适的控制 措施,包括策略、过 程、规程、组织结构 以及软件和硬件功能 。
22
(3)风险评估是信息安全管理的基础
❖ 风险评估主要对ISMS范围内的信息资产进行鉴定 和估价,然后对信息资产面对的各种威胁和脆弱 性进行评估,同时对已存在的或规划的安全控制 措施进行界定。
信息。信息的保密性依据信息被允许访问对象的 多少而不同,所有人员都可以访问的信息为公开 信息,需要限制访问的信息为敏感信息或秘密信 息,根据信息的重要程度和保密要求将信息分为 不同密级。
9
1、信息安全-完整性
❖ 完整性 ❖ 保证信息和处理方法的正确性和完整性。信息完
整性一方面指在使用、传输、存储信息的过程中 不发生篡改信息、丢失信息、错误信息等现象; 另一方面指信息处理的方法的正确性,执行不正 当的操作,有可能造成重要文件的丢失,甚至整 个系统的瘫痪。
❖ (二)信息安全管理的状况
▪ 1、信息安全管理的作用 ▪ 2、信息安全管理的发展 ▪ 3、信息安全管理的标准 ▪ 4、成功实施信息安全管理的关键
5
(一)信息安全管理基本概念
❖ 1、信息安全 ❖ 2、信息安全管理 ❖ 3、基于风险的信息安全
6
1、信息安全