注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
? 了解防范SQL注入攻击的基本方法 ? 理解跨站脚本攻击的原理和危害 ? 了解防范跨站脚本攻击的基本方法
3.7 知识体:软件安全开发
图 3-7:知识体:软件安全开发
3.7.1 知识域:软件安全开发概况
? 知识子域:软件安全开发背景
? 了解人们对安全的软件需求
? 了解当前软件开发方法不足以生成安全的软件 ? 了解软件安全开发的发展历史 ? 知识子域:软件安全开发简介
? 理解软件安全开发七个阶段的主要目的和措施 ? 理解软件安全开发在安全设计和威胁建模中的基本术语
3.7.2 知识域:软件安全开发的关键阶段
? 知识子域:软件安全设计
? 理解减少攻击面的基本步骤和主要对象 ? 了解常用软件中减少攻击面的保护措施
中国信息安全测评中心 -25-
注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
? 了解威胁建模的目的 ? 掌握威胁建模的过程
? 理解威胁建模的关键因素及作用
? 知识子域:软件安全开发
? 掌握缓冲区溢出、整数错误、跨站脚本、SQL注入等六种常见软
件代码安全漏洞的成因及防范措施 ? 了解常见源代码分析工具的用途 ? 掌握编码时禁止使用的函数
? 了解如何减少潜在可被利用的编码结构和设计 ? 理解代码审查的主要内容和过程
? 知识子域:软件安全测试 ? 了解常用模糊测试的类型 ? 了解常用模糊测试的过程和方法
? 了解审核并更新威胁模型,以及重新评估软件的受攻击面
中国信息安全测评中心 -26-
注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
第 4 章 知识类:信息安全管理
信息安全管理是注册信息安全专业人员需要掌握的主体知识内容之一。通过本部分的学习,学员应当:
? 理解信息安全管理对于保障信息系统安全的作用
? 理解信息安全管理体系、风险管理和信息安全管理控制措施的含义 ? 掌握建立和完善信息安全管理体系的一般方法 ? 掌握信息安全风险管理工作的方法和一般原则 ? 掌握各个信息安全管理控制措施的作用及最佳实践
4.1 知识体:信息安全管理体系
图表 4-1:知识体:信息安全管理体系
4.1.1 知识域:信息安全管理基本概念
? 知识子域:信息安全管理的作用
? 理解信息安全“技管并重”原则的意义 ? 理解成功实施信息安全管理工作的关键因素
中国信息安全测评中心 -27-
注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
? 知识子域:风险管理的概念和作用
? 理解信息安全风险的概念:资产价值、威胁、脆弱性、防护措施、
影响、可能性
? 理解风险评估是信息安全管理工作的基础 ? 理解风险处置是信息安全管理工作的核心 ? 知识子域:信息安全管理控制措施的概念和作用
? 理解安全管理控制措施是管理风险的具体手段 ? 了解11个基本安全管理控制措施的基本内容
4.1.2 知识域:信息安全管理体系建设
? 知识子域:过程方法与PDCA循环
? 理解ISMS过程和过程方法的含义 ? 理解PDCA循环的特征和作用 ? 知识子域:建立、运行、评审与改进ISMS
? 了解建立ISMS的主要工作内容 ? 了解实施和运行ISMS的主要工作内容 ? 了解监视和评审ISMS的主要工作内容 ? 了解保持和改进ISMS的主要工作内容
中国信息安全测评中心 -28-
注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
4.2 知识体:信息安全风险管理
图表 4-2:知识体:信息安全风险管理
4.2.1 知识域:风险管理工作内容
? 知识子域:风险管理工作主要内容
? 掌握建立背景的主要工作内容 ? 掌握风险评估的主要工作内容 ? 掌握风险处置的主要工作内容 ? 掌握批准监督的主要工作内容 ? 掌握监控审查的主要工作内容 ? 掌握沟通咨询的主要工作内容 ? 知识子域:系统生命周期中的风险管理
? 掌握系统规划阶段的风险管理工作 ? 掌握系统设计阶段的风险管理工作 ? 掌握系统实施阶段的风险管理工作 ? 掌握系统运行维护阶段的风险管理工作 ? 掌握系统废弃阶段的风险管理工作
中国信息安全测评中心 -29-