7.CISP 4.1版本《信息安全管理》知识点总结信息安全培训.docxVIP

《信息安全管理》考前知识点串讲

信息安全管理基础

管理的概念：组织、协调、控制的活动，核心过程的管理控制。

管理体系概念：完备性、逻辑性的管理措施的集合。

信息安全管理体系：根据ISO/IEC27001所制定的体系（狭义的体系）。

广义的信息安全管理体系：泛指一切与信息安全管理有关的措施的集成。

信息安全管理的方法：风险管理的方法、基于PDCA的过程管理的方法。

信息安全管理的作用：1）促进业务目标的实现；2）与业务的融合的作用；3）预防、阻止和减少事件发生的作用；4）对内的作用；5）对外的作用。（包括不限于这些作用）

信息安全管理的成功要素：包括不限于的要素，1）反应业务目标；2）文化的一致性；3）实质性的支持；4）风险管理的理解；5）科学的测量体系；6）持续的教育和培训。

信息安全风险管理

风险管理的概念：识别和处置风险的过程。

风险管理参考的方法：

COSO风险控制框架：战略风险管理、运营风险管理、报告风险管理、合规性风险管理。

ISO31000的风险管理标准（国际标准参考）

ITIL信息技术服务（信息安全风险管理）：服务战略、服务设计、服务转化、服务运营、服务改进等五个阶段来实施。

COBIT风险控制：IT活动—IT过程—IT目标—业务目标（商业目标）。

基于GB/Z24364的风险管理（考试重点）

四阶段：

—背景建立：风险管理准备、系统调查、系统分析、安全分析。

—风险评估：风险评估准备、风险要素识别（资产、威胁、脆弱性、安全措施）、风险分析、风险报告。

—风险处理：降低风险、规避风险、转移风险、接受风险。

—批准监督：对风险管理的认可；风险管理过程风险的控制。

两过程：

—监控审查：对风险管理过程的偏差、变化、延误进行控制和纠正。

—沟通咨询：提高风险管理的质量和效果的交流和沟通工作。

信息安全管理体系（PDCA）

规划和建立（Plan）

确定安全管理的范围和对象

确定管理的目标和方针

选择风险评估的方法、实施风险评估

选择安全管理的措施（转化为管理规范制度）

残余风险处置标准的确定

授权安全管理体系的运行

安全管理声明的制定

实施和运行（Do）

安全管理资源的配置

安全管理体系运行

安全管理体系宣贯

风险管理处置（制定和执行计划）

安全事态和事件的检测

安全事件的测量

监视和评审（Check）

日常检查和监视

有效性的测量

风险的再评估

管理体系内审（VS管理评审）

管理评审（VS内审）

保持和改进（Act）

保持

改进（纠正、预防）

信息安全管理措施

安全方针

制定方针：领导批准和发布。

方针评审：新制定、修订等需要进行评审，保证适宜性、充分性和有效性。

安全组织

内部组织：角色分配、职责分离、对外联系、项目的信息安全管理。

移动设备和远程办公：设备的安全。

人力资源安全

任用前：安全审查、岗位的定义。

任用中：职责分配、教育培训、纪律处理。

任用终止或变化：权限回收、信息保密等要求。

资产安全

资产清单：设备资产的清单、责任人、使用、归还。

信息分类：数据资产的分类指南、信息标记、信息处理。

介质管理：移动介质管理、介质处置、介质传输的安全。

操作安全：一切的操作均需要制定和执行相应的操作程序。

供应商管理

供应商的审查

供应商的变更管理

符合性管理：安全管理要符合政策、法律、法规、标准、知识产权、隐私保护、审计、技术审核等要求。

访问控制

密码技术管理

物理和环境安全

通信安全

事件安全管理

业务连续性管理

系统获取开发和维护

信息安全管理测量

测量重要性：衡量安全有效性的必须的方法。

来源：ISO/IEC27004的管理测量的标准。

（END）