CISP知识点.docx
《CISP知识点.docx》由会员分享,可在线阅读,更多相关《CISP知识点.docx(23页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、信息安全保障第一章信息安全保障根底1、信息安全进展阶段:通信安全计算机安全信息系统安全信息系统安全保障2、信息系统安全的特征:系统性动态性无边界性非传统性3、信息安全、系统及业务的关系信息安全为了完成组织机构的使命4、信息系统保障的定义GB/T18336|ISO15408 实体满足其安全目的的信念根底5、信息系统安全保障模型保障要素治理、工程、技术、人员生命周期规划组织、开发选购、实施交付、运行维护、废弃安全特征保密性、统统性、可用性6、信息系统安全保障模型主要特点: 将风险和策略作为根底和核心动态安全模型,贯穿信息系统生命周期的全国产 强调保障观念,供给了对信息系统安全保障的信念通过风险和策
2、略为根底,实施技术、治理、工程、人员保障要素,实现安全特征-保密性-统统性-可用性,到达保障组织机构使命的目的7、IATF10 / 23三个主要层面:人员技术运行深度防范技术方案:多点防范分层防范8、信息化安全问题:针对信息网络的破坏活动日益严峻安全漏洞和隐患增多黑客攻击、恶意代码、病毒9、构建国家安全保障体系内容: 组织与治理体制机制安康法律法规体系完善标准体制建立技术体系建设根底设施建立人才培育体系其次章信息安全法规与政策10、全面标准信息安全的法律法规 18 部11、刑法侧重于信息安全犯罪惩罚285非法侵入计算机信息系统罪3 年以下、37 年286破坏计算机信息系统罪5 年以下,5 年以
3、上287利用计算机实施犯罪的提示性规定12、相关法律法规宪法其次章第 40 条全国人大关于维护互联网安全的打算2023.12.28中华人民共和国计算机信息系统安全保护条例1994.2.18中华人民共和国计算机信息网络国际联网治理暂行规定1997.5.20 计算机信息网络国际联网安全保护治理方法公安部1997.12.16 互联网信息效劳治理方法2023.9.25计算机信息系统安全专用产品检测和销售许可证治理方法公安部 1997.12.12商用密码治理条例1999.10.7计算机信息系统保密治理暂行规定保密局1998.2.26计算机信息系统国际联网保密治理规定保密局2023.1.25 计算机病毒防
4、治治理方法公安部2023.4.26保守国家隐秘法2023.4.29 13、国家政策国家信息化领导小组关于加强信息安全保障工作的意见中办发【2023】27 号总体要求和主要原则-等保-密码-安监-应急-技术-法规和标准化-人才-资金-领导14、关于开展信息安全风险评估的意见国信办【2023】5 号等保中办 43 号第三章信息安全标准15、标准和标准化根本概念:为了在肯定范围内获得最正确秩序,经协商全都,由公认机构批准,共同使用和重复使用,的标准性文件 16、标准化工作原则:简化统一协调优化17、国际信息安全标准化组织ISO国际标准化组织 IEC国际电工委员会 ITU国际电信联盟IETFinter
5、net 工程任务组ISO/SC27安全技术分委员会ISO/IEC JTC1信息技术标准化委员会属于 SC27 ANSI美国国家标准化协会NIST美国国家标准技术争论所DOD美国国防部IEEE美国电气电工工程师协会ISO-JTC1-SC27国际信息安全技术标准WG1:治理体系WG2:密码和安全机制WG3:安全评估18、我国信息安全标准化组织CITS信息技术安全标准化技术委员会TC260全国信息安全标准化技术委员会CCSA中国通信标准化协会CITS 下属工作组:WG1标准体系与协调WG2安全保密标准WG3密码技术WG4鉴别与授权WG5评估WG6通信安全WG7治理19、标准类型与代码GB强制 GB/
6、T推举GB/Z指导20、信息安全产品分类TEMPEST电磁安全COMSEC通信安全CRYPT密码ITSEC信息技术安全SEC INSPECTION安全检查其他专业安全产品21、TCSEC可信计算机安全评估准则分级:4 等 8 级D,C1,C2,B1,B2,B3,A1,超 A1 22、CC通用准则1功能2构造3、4方法5、6半形式化7形式化CC=ISO15408=GB/T18336意义:增加用户对产品的安全信念促进 IT 产品和系统的安全性消退重复的评估难以理解不包括没有直接关系、行政性安全措施的评估重点关注人为,没有考虑其他威逼源不针对物理方面评估不涉及评估防范性不包括密码算法固有质量的评估保
7、护资产是全部者的责任全部者分析资产和环境中可能存在的威逼PP保护轮廓用户提出ST安全目标厂商提出23、ISO2700001治理体系要求源自 BS7799-202有用规章源自 BS7799-103实施指南04治理测量05风险治理06审核认证机构要求24、我国信息安全治理严峻标准GB/T20984信息安全风险评估标准GB/Z24364信息安全风险治理标准GB/Z20985信息安全大事治理指南GB/Z20986信息安全大事分类分级指南GB/T20988信息系统灾难恢复标准GB/T20984 各阶段要求:规划设计通过风险评估确定安全目标建设验收通过风险评估确定目标到达与否运行维护识别不断变化,确定安全
8、措施的有用性GB/Z24364 步骤:背景建立风险评估风险处理批准监视监控审查沟通询问GB/Z20986 分级要素:严峻程度系统损失社会影响GB/T20988 灾难恢复力量等级: 1根本支持2备用场地支持3电子传输和局部设备支持4电子传输及统统设备支持5实施数据传输及统统设备支持6数据零丧失和远程集群支持25、等保 根本原则:明确责任,共同保护依照标准,自行保护同步建设,动态调整指导监视,重点保护分级:1自主保护2指导保护一次性3监视保护2 年 1 次以上需要公安机关备案4强制保护1 年 1 次5专控保护定级要素:受侵害的客体对客体的侵害程度第四章信息安全道德标准26、CISP 职业准则维护国
9、家、社会、公众的信息安全省市守信,遵纪守法努力工作,尽职尽责进展自身,维护荣誉27、什么是信息安全治理针对特定对象,遵循确定原则,依据规定程序,运用恰当方法,为完成某项任务并实现既定目标而进展的打算、组织、指导、协调、掌握等活动28、信息安全治理成功实施的关键:反响组织机构目标的策略、目标、活动实施、维护、监控、改进符合组织机构文化的方案、框架来自全部治理层的支持、承诺对信息安全要求、风险评估、风险治理的优良理解向治理站、员工、其他方宣贯具备安全意识供给适合的意识、培训、教育建立有用地事故治理过程实施测量系统评价、改进29、安全治理体系方针和目标,以及完成目标所用方法的体系风险治理风险评估、风
10、险处置、风险承受、风险沟通组织机构识别、评估风险、降低风险到可承受范围安全治理掌握措施通过识别要求和风险,确定风险的处置,选择实施掌握,确保风险削减到可承受的级别ISMS信息安全治理体系ISO/1779911 项掌握内容、39 个主要安全类、133 个详尽掌握措施BS7799ISO27001 30、PDCA打算实施检查改进第九章信息安全风险治理31、风险的构成起源方式途径受体后果外部的威逼利用自身的脆弱性产生风险风险治理是一个机构要利用其拥有的资产来完成使命32、风险治理工作主要内容贯穿整个生命周期根本步骤:对象确立风险评估风险掌握审核批准33、信息安全风险评估定义:从风险治理角度运行科学的手
11、段和方法系统地分析网络和信息系统面临的威逼与存在的脆弱性评估安全大事一旦发生造成的危害程度提出针对性的防护对称和整改措施防护和化解信息安全风险34、风险评估方法定性依据阅历主观性定量客观计算数字半定量定量分析计算公式:单次损失预期值 SLE=暴露系数 EF*资产价值年度损失预期值 ALE=SLE*年度发生率 ARO 第十章根本信息安全治理措施35、在岗中的人员安全治理措施: 岗位安全考核人员培训保密协议治理36、资产治理的作用:假设不能保证资产,组织无法盈利威逼利用脆弱性后,直接损害资产组织所面临的风险由资产传递而来第十一章系统选购、开发和维护中的安全治理37、信息系统大凡选购流程:需求分析市
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISP 知识点
限制150内