注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
第 5 章 知识类:信息安全工程
信息安全工程是注册信息安全专业人员需要掌握的主体知识内容之一。通过本部分的学习,学员应当:
? 理解信息安全建设必须同信息化建设“同步规划、同步实施”的原则 ? 理解如何运用信息安全能力成熟度模型理论评价和改进信息安全工程
能力
? 掌握在信息系统生命周期中的各阶段运用“信息系统安全工程”来保
障安全性
? 了解信息安全工程监理的作用和基本工作内容
5.1 知识体:信息安全工程原理
图表 5-1:知识体:信息安全工程理论
5.1.1 知识域:安全工程理论背景
? 知识子域:系统工程与项目管理基础
? 了解系统工程基本思想 ? 了解项目管理基本概念和要素
中国信息安全测评中心 -35-
注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
? 知识子域:质量管理基础
? 了解质量管理基本概念 ? 了解八项质量管理原则 ? 知识子域:能力成熟度模型
? 理解“能力成熟度模型”基本思想 ? 了解能力成熟度模型的应用范围
5.1.2 知识域:安全工程能力成熟度模型
? 知识子域: SSE-CMM体系与原理
? 了解SSE-CMM的适用范围 ? 了解过程、过程区和过程能力的概念
? 了解域维/安全过程区与能力维/公共特征的关系 ? 知识子域:安全工程过程区域
? 了解过程类、过程区和基本实施的关系 ? 理解风险过程、工程过程和保证过程的含义 ? 了解各个安全工程过程区的含义 ? 知识子域:安全工程能力评价
? 理解能力级别、公共特征和通用实施的关系 ? 理解各个信息安全工程能力级别的含义
中国信息安全测评中心 -36-
注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
5.2 知识体:信息安全工程实践
图表 5-2:知识体:信息安全工程实践
5.2.1 知识域:安全工程实施实践
? 知识子域: ISSE安全工程过程
? 了解系统生命周期的概念和组成阶段:概念与需求定义、系统功
能设计、系统开发与获取、系统实现与测试、系统维护与废弃 ? 理解ISSE的含义:将系统工程思想应用于信息安全领域,在系统
生命周期的各阶段充分考虑和实施安全措施 ? 理解ISSE阶段划分及各阶段的主要工作内容 ? 知识子域:发掘信息保护需求
? 理解风险评估结果是安全需求的重要决定因素
中国信息安全测评中心 -37-
注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
? 理解国家政策法规和合同协议等符合性要求是安全需求的重要决
定因素
? 知识子域:定义信息保护系统
? 理解信息安全必须与信息系统同步规划
? 理解信息系统用途、架构等特征对安全风险特征的影响 ? 知识子域:设计信息保护系统
? 理解信息安全必须与信息系统同步设计
? 理解根据安全需求有针对性地设计安全措施的必要性 ? 知识子域:实施信息保护系统
? 理解信息安全必须与信息系统同步实施、同步运行 ? 理解安全防护措施的部署需要符合总体安全需求和设计方案 ? 知识子域:评估信息保护系统的有效性
? 理解信息安全工作需要覆盖系统全生命周期
? 理解持续的风险评估和风险消控是保障系统安全的必要工作
5.2.2 知识域:信息安全工程监理
? 知识子域:信息安全工程监理模型
? 了解信息安全工程监理工作的意义
? 了解信息安全工程监理阶段、监理管理和控制手段和监理支撑要
素
? 知识子域:监理阶段目标及职责
? 了解信息安全工程招标、设计、实施和验收阶段监理方的工作目
标
? 了解信息安全工程招标、设计、实施和验收阶段业务单位、承建
单位和监理单位的职责和工作流程
? 知识子域:信息工程监理及规范
? 了解信息工程监理及规范的主要内容
中国信息安全测评中心 -38-
注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
第 6 章 知识类:信息安全标准法规
信息安全标准法规是注册信息安全专业人员需要掌握的通用基础知识。通过本部分的学习,学员应当:
? 理解遵循信息安全法规、政策、标准和道德规范的重要性 ? 掌握我国重点信息安全法规和政策的有关要求 ? 掌握重点信息安全技术标准的有关内容
? 了解CISP道德规范,了解通行的有关信息安全道德规范
6.1 知识体:信息安全法规与政策
图表 6-1:知识体:信息安全法规与政策
6.1.1 知识域:信息安全相关法律
? 知识子域:国家信息安全法治总体情况
? 了解信息安全法治建设的意义 ? 了解我国信息安全法律法规体系框架 ? 知识子域:现行重要信息安全法规
中国信息安全测评中心 -39-