第2章知識類：信息安全保障

信息安全保障介紹了信息安全保障的框架、基本原理和實踐，它是注冊信息安全專業人員首先需要掌握的基礎知識。通過本部分的學習，學員應當：

理解信息安全保障的意義和內涵；

掌握信息安全保障工作的總體思路和基本實踐方法。

2.1知識體：信息安全保障基礎

圖2-1：知識體：信息安全保障基礎

2.1.1知識域：信息安全保障背景

知識子域：信息安全內涵與外延

理解信息安全基本概念，理解信息安全基本屬性：保密性、完整性和可用性

理解信息安全的特征與范疇

知識子域：信息安全問題根源

理解信息安全問題產生的內因是信息系統自身存在脆弱性

理解信息安全問題產生的外因是信息系統面臨著眾多威脅

知識子域：信息技術與信息安全發展階段

了解通信、計算機、網絡和網絡化社會等階段信息技術的發展概況

了解信息技術和網絡對經濟發展、社會穩定及安全等方面的影響

了解通信安全、計算機安全、信息系統安全和信息安全保障等階段信息安全的發展概況，

了解各個階段信息安全面臨的主要威脅和防護措施

2.1.2知識域：信息安全保障概念與模型

知識子域：信息安全保障

理解信息安全保障的概念

理解信息安全保障與信息安全、信息系統安全的區別

知識子域：信息安全保障相關模型

理解P2DR模型的基本原理：策略、防護、檢測及響應，以及P2DR公式所表達的安全目標

理解IATF的深度防御思想，及其將信息系統在技術層面的防御劃分為本地計算環境、區域邊界、網絡基礎設施和支撐性基礎設施四個方面，理解每一方面的安全需求及基本實現方法

2.1.3知識域：信息系統安全保障概念與模型

知識子域：信息系統安全保障

了解信息系統的概念及其包含的基本資源

理解信息系統安全保障的概念，以及風險、業務使命等信息系統安全保障相關概念及其之間的關系

知識子域：信息系統安全保障模型

理解信息系統安全保障模型中生命周期、保障要素和安全特征的含義和內容

理解風險和策略是信息系統安全保障的核心問題

理解業務使命實現是信息安全保障的根本目的

2.2知識體：信息安全保障實踐

圖2-2：知識體：信息安全保障實踐

2.2.1知識域：信息安全保障現狀

知識子域：國外信息安全保障現狀

了解發達信息安全狀況和信息安全保障的主要舉措

了解發達信息安全保障建設動態

知識子域：我國信息安全保障現狀

了解我國信息化與信息安全形勢

了解我國信息安全保障發展階段

理解我國信息安全保障基本思路

了解我國信息安全保障目標

了解我國信息安全保障的整體規劃

了解我國信息安全保障體系的框架

2.2.2知識域：我國信息安全保障工作主要內容

知識子域：信息安全標準化

了解信息安全標準化的意義

了解我國信息安全標準化工作的實踐情況

知識子域：信息安全應急處理與信息通報

了解信息安全應急處理與信息通報的意義

了解我國信息安全應急處理與信息通報工作的實踐情況

知識子域：信息安全等級保護

了解我國信息安全等級保護的意義

了解我國信息安全等級保護工作的實踐情況

知識子域：信息安全風險評估

了解信息安全風險評估的意義

了解我國信息安全風險評估工作的實踐情況

知識子域：災難恢復

了解災難恢復的意義

了解我國災難恢復工作的實踐情況

知識子域：人才隊伍建設

了解人才隊伍建設的意義

了解我國信息安全人才隊伍建設工作的實踐情況

2.2.3知識域：信息安全保障工作方法

知識子域：確定信息安全需求

了解確定信息安全保障需求的作用

了解確定信息安全保障需求的方法和原則

知識子域：設計并實施信息安全方案

了解信息安全方案的作用和主要內容

了解制定信息安全方案的主要原則

了解信息安全方案實施的主要原則

知識子域：信息安全測評

了解信息安全測評的重要性

了解國內外信息安全測評概況

了解信息產品安全測評方法

了解信息系統安全測評方法

了解服務商資質測評方法

了解信息安全人員資質測評方法

知識子域：信息安全監測與維護

了解在系統生命周期中持續提高信息系統安全保障能力的意義

了解信息系統安全監測與維護的主要原則