注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
4.2.2 知识域:信息安全风险评估实践
? 知识子域:风险评估流程和方法
? 掌握国家对开展风险评估工作的政策要求
? 理解风险评估、检查评估和等级保护测评之间的关系
? 掌握风险评估的实施流程:风险评估准备、资产识别、威胁评估、
脆弱性评估、已有安全措施确认、风险分析、风险评估文档记录 ? 理解定量风险分析和定性风险分析的区别及优缺点 ? 理解自评估和检查评估的区别及优缺点
? 掌握典型风险计算方法:年度损失值(ALE)、矩阵法、相乘法 ? 掌握风险评估工具:风险评估与管理工具、系统基础平台风险评
估工具、风险评估辅助工具
? 知识子域:风险分析实例
? 了解典型信息系统风险评估实践过程
中国信息安全测评中心 -30-
注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
4.3 知识体:安全管理措施
图表 4-3:知识体:安全管理措施
4.3.1 知识域:基本安全管理措施
? 知识子域:安全策略
? 理解信息安全策略的定义和作用 ? 掌握编制信息安全策略方法和原则 ? 知识子域:人员安全管理
? 掌握上岗前人员安全控制:审查和角色职责定义 ? 掌握在岗期间人员安全控制:培训和惩戒措施
中国信息安全测评中心 -31-
注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
? 掌握离职时人员安全控制:终止职责、资产与访问权限归还 ? 知识子域:安全组织机构
? 掌握内部组织建立的原则:高层承诺和支持、职责划分、有效沟
通
? 掌握外部组织建立的原则:控制外来风险、利用外部资源 ? 知识子域:资产管理
? 掌握资产责任管理的基本方法:资产清单、资产所有权和资产有
效使用
? 掌握资产分类:系统资产的分类、标识和处置 ? 知识子域:物理与环境安全
? 了解各种物理安全威胁和物理安全相关的措施的分类(预防性/检
测性/恢复性等)
? 了解物理设施安全防护措施的部署原则,例如:工作区的划分、
围墙/门的选择、机房位置选择、设备废弃与重用、资产转移等; ? 了解各种物理访问控制措施的作用,例如:智能卡、生物访问控
制等物理访问控制措施等
? 了解各种物理监控措施的作用,例如:闭路电视、传感器、报警
设备等
? 了解物理环境支持性设施的作用,例如:电力、防火、防水、温
湿度控制,电缆安全与TEMPEST等 ? 理解人身安全的重要性 ? 知识子域:通信及操作安全
? 掌握操作程序和职责管理原则:制定操作程序规范,系统变更管
理,责任分离,开发、测试与运行设施的分离
? 了解操作及通信技术保护措施管理原则:恶意代码防护、数据备
份、网络安全管理、介质处理、信息交换、审计日志
? 知识子域:访问控制
? 理解访问控制策略制定的方法和原则
中国信息安全测评中心 -32-
注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
? 理解系统用户的访问控制职责
? 理解网络、操作系统和应用系统访问控制管理的原则 ? 知识子域:符合性管理
? 理解符合性的含义和作用
? 了解审计措施的作用和使用注意事项
4.3.2 知识域:重要安全管理过程
? 知识子域:系统采购、开发与维护
? 理解安全要求是信息系统需求的重要组成部分
? 理解信息技术产品的采购的安全原则:符合标准法规,风险与经
济性的平衡,安全性测试等
? 理解信息系统开发和实施的安全原则:规范的开发方法,严格的
源代码测试,对安装包、测试数据和程序源代码的保护
? 理解系统运行阶段安全管理的基本原则,包括漏洞和补丁管理、
系统更新、废弃等
? 知识子域:信息安全事件管理与应急响应
? 理解信息安全事件管理和应急响应的本概念
? 了解我国信息安全事件应急响应工作的进展情况和政策要求 ? 掌握信息安全应急响应阶段方法论 ? 掌握信息安全应急响应计划编制方法 ? 掌握应急响应小组的作用和建立方法 ? 理解我国信息安全事件分级分类方法 ? 了解国际和我国信息安全应急响应组织 ? 了解计算机取证的概念和作用
? 了解计算机取证的原则、基本步骤、常用方法和工具 ? 知识子域:业务连续性管理与灾难恢复
? 理解业务连续性管理与灾难恢复的基本概念 ? 了解我国灾难恢复工作的进展情况和政策要求
中国信息安全测评中心 -33-
注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
? 了解数据储存和数据备份与恢复的基本技术
? 掌握灾难恢复管理过程:需求分析、灾难恢复策略制定、灾难恢
复策略实现、灾难恢复预案制定和管理
? 掌握国家有关标准对灾难恢复系统级别和各级别的指标要求
中国信息安全测评中心 -34-