CISP信息安全保障基本实践.pptVIP

* * CISP分为三类: “注册信息安全工程师”: Certified Information Security Engineer（CISE）； “注册信息安全管理人员”，英文为Certified Information Security Officer（简称CISO）； “注册信息安全审核员” Certified Information Security Auditor（简称CISA）。 其中CISE主要从事信息安全技术开发服务工程建设等工作，CISO从事信息安全管理等相关工作，CISA从事信息系统的安全性审核或评估等工作。 * * * 其中CISE主要从事信息安全技术开发服务工程建设等工作，CISO从事信息安全管理等相关工作，CISA从事信息系统的安全性审核或评估等工作。 对组织机构来说，应建立一个完整的信息安全人才体系，信息安全人才体系应包括： -所有员工：需要进行信息安全保障意识教育，具体可以使用各种海报、组织机构网站上发布相关信息等以增强所有员工的安全意识； -对于涉及信息系统的岗位和职责的员工而言，需要进行相应的信息安全保障培训；注册信息安全员（CISM）为这些员工提供了全面的信息安全保障基础知识； -对于信息安全专业人员而言，应建立更全面专业的信息安全保障知识和经验；注册信息安全专业人员（CISP）为这些人员提供了信息安全专业知识能力的证明； -信息安全保障专家。 * * * * * * 谢谢！ CNCI :Comprehensive National Cybersecurity Initiative） 十二项任务:可信互联网连接（TIC）、网络入侵检测系统、网络入侵防护系统、科技研发、态势感知、网络反间、增强涉密安全、加强网络教育、“超越未来（Leap Ahead）”技术研发、网络威慑战略、全球供应链风险管理机制、公私协作 “关键基础实施”定义为关系到美国生死存亡的物理和虚拟的系统和资产，这些系统和资产的功能丧失或遭到破坏，会对国家安全、经济稳定、国家公众健康与安全产生严重影响。 目前美国的关键基础设施和主要资源部门包括： （1）信息技术；（2）电信；（3）化学制品；（4）商业设施；（5）大坝；（6）商用核反应堆、材料和废弃物；（7）政府设施；（8）交通系统；（9）应急服务；（10）邮政和货运服务；（11）农业和食品；（12）饮用水和废水处理系统；（13）公共健康和医疗；（14）能源；（15）银行和金融；（16）国家纪念碑和象征性标志；（17）国防工业基地；（18）关键制造业 10个部分被认为是在提供“基本服务” （1）通信（数字、语音、邮递、无线通信等） （2）应急服务（救护、消防、警察、营救等） （3）能源（电力、石油等） （4）金融（资产管理、金融设施、银行、市场） （5）食品(生产、进口、加工、配送、零售) （6）政府和公共服务（中央、地区和地方政府、议会和立法机关、司法、国家安全） （7）公共安全（化学、生物、辐射和核恐怖袭击；危及百姓生活的事件） （8）健康（医疗保健、公共卫生） （9）交通（航空、海运、铁路、公路） （10）水（饮用水、污水） * 德国：欧洲头号经济大国，非常重视信息技术创新和信息产业发展、信息化建设和信息安全建设。 1997年建立部际关键基础设施工作组，每年对国家信息安全威胁和风险、趋势进行分析评估； 法国：意识到网络安全方面存在的问题和风险，认识到信息安全已成为法国国家安全密不可分的一部分，并开始着手改进和加强信息安全工作。 2004年11月发布《国家关键基础设施保护战略》，构建了一个包含安全保护战略、应急管理、关键基础设施保护和国家安全的一体化管理框架； 2010年10月3日，发布《加拿大网络安全战略》，提出网络安全战略三大柱石：保护政府网络、保护关键网络系统以及帮助加拿大人安全在线 关键部门: 1）银行和金融；（2）中央政府/政府服务；（3）通信/信息和通信技术（ICT）；（4）应急/营救服务；（5）能源/电力；（6）医疗保健服务；（7）交通/供应/配送；（8）水资源 * * 注：工业与信息化部并不负责对国家信息化进程中的安全保卫、监察和打击犯罪等执法管理。 * * 公安部主管全国计算机信息系统的安全保护工作，公安监察机构负责计算机信息网络国际互联网的安全保护管理工作。 省、自治区、直辖市公安厅（局）、地（市）、县（市）公安局，应当有相应机构负责国际联网的安全保护管理工作。 * 关于《计算机系统保密管理暂行规定》： 国家保密局主管全国计算机信息系统的保密工作。各级保密部门和中央、国家机关保密工作机构主管本地区、本部门的计算机信息系统的保密工作。 内容上包括涉密系统、涉密信息、涉密媒体、涉密场所等方面。 * * * * * * 确定需求、持续改进：用