CISP复习串讲.pdf

CISP培训复习串讲 中国信息安全测评中心 2010年12月 目录 •一、课程知识要点 •二、考场情况和注意事项 CISP （CISP/CISE/CISO） 知识体系结构 注册信息安全专业人员（CISP）知识体系结构 信息安全技术 信息安全管理 信息安全工程 应用安全应用安全 风险评估 信息安全规划 安全工程过 访访 密密 审审 安安 信 组 安 程和实践 问问 码码 计计 系统安全系统安全 全全 息 织 全 控控 技技 和和 攻攻 安 保 业务持续性 应用和系统 工 制制 术术 监监 电信和网络电信和网络 防防 全 障 和灾难恢复 开发 程 系系 和和 控控 安全安全 技技 管 人 基 统统 应应 术术 理 员 础 项目管理过 用用 物理安全物理安全 概 管 事件响应 运行管理 程和实践 述 理 信息安全体系模型 信息安全标准和法律法规 一、知识要点 1、信息安全测评服务介绍  中国信息安全测评中心的主要职能  中国信息安全测评中心产品、系统、服务和人 员安全测评服务的意义和流程介绍 2、信息安全培训和CISP知识体系介绍  构建中国信息安全人才体系的重要性和开展 CISP培训认证的意义  CISP的知识体系结构和知识要点 3、信息安全保障体系  信息安全保障历史和背景  信息系统安全保障评估框架  信息系统安全保障建设和评估实践 信息安全发展简史 通信保密： COMSEC 1949年Shannon发表的 《保密通信的信息理》 计算机安全:美国八十年代初发布的橘皮书——可信计算 COMPUSEC 机评估准则（TCSEC ） 信息技术安全 INFOSEC IA 信息安全保障 信息和信息系统 信息系统是： 与信息加工、信息传递、信息存贮以及信息 利用等有关的系统 信息是依赖于信息系统及系统环境存在的 信息系统促进了业务的发展 信息系统面临各种各样的安全风险 怎样才算安全？ 世上没有100％的安全 合理的投资＋可接受的风险＝安全 安全是相对的，不安全是绝对的 信息安全三要素：完整性、保密性、可用性 信息安全不知是技术问题，还包括管理、工程过 程和人员等保障要素 安全不是静态的，是会随时间的推移而变化的， 安全应当覆盖系统的生命周期 信息系统安全保障框架 织组划计购采发开 交施实护维行运 弃废 付