2021年6月CISP什么時候考試呢？小編預計在6月中旬開考，在此特意為考生整理了CISP培訓知識點三，僅供參考。

四.信息安全法律法規

1.當前我國現有的信息安全法律:《中華人民共和國保守秘密法》《電子簽名法》 其中規定:秘密的級別分為：絕密、機密、秘密三個級別

2. 2003年7月22日,信息化領導小組第三次會議通過了《信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)

3. 黨的十六屆四中全會將信息安全與政治安全、經濟安全、文化安全并列為安全的重要組成要素。非傳統安全問題日益得到重視

4. 公通字[2007]43號-信息安全等級保護管理辦法

5.《關于加強電子政務工程建設項目信息安全風險評估工作的通知》(發改高技[2008]2071號)

6. 《關于加強政府信息系統安全和保密管理工作的通知》(國辦發[2008]17號)

7. 《國務院辦公廳關于印發<政府信息系統安全檢查辦法>的通知》(國辦發[2009]28號)

8.《國務院辦公廳關于印發<網絡與信息安全事件應急預案>的通知》(國辦函[2008]168號)CC EAL1 EAL2

一(用戶自主保護)

二(安全審計保EAL3 護)

E2 E117859 ITSEC TCSECE0D(最低保護)C1(自主安全保護)C2(訪問控制保護)

三(安全標記保EAL4 護)EAL5

四(結構化保護) EAL6

五(訪問驗證保護)E5 E6B3(安全域保護) A1(驗證設計保EAL7護)E3 E4B1(安全標簽保護)B2(結構化保護)

五.信息安全保障體系

1. 信息安全發展歷程：通信保密,計算機安全(桔皮書)，信息系統安全(CC)，信息安全保障

2. 安全保障在整個生命周期，風險和策略是核心,最終目標：保障系統實現組織機構的使命

3. 生命周期:計劃組織,開發采購，實施交付，運行維護，廢棄保障要素：技術，工程，管理,人員。 安全特性CIA：機密性,完整性，可用性

4. 信息安全技術體系結構:PDR：Protection防護，Detection檢測,Response響應 PT>DT+RT。 如果防護時間為0，暴露時間=安全檢測時間+安全響應時間

5. 信息安全管理體系ISMS:ISO17799實施細則，ISO27001管理指南

6. ISO13335風險管理框架，COSO風險內控框架，COBIT內控框架，ITIL框架

7. IATF信息保障技術框架

1)三個層面:人員，技術，運行

2)技術框架:本地計算環境，區域邊界，網絡和基礎設施，支持性技術設施

六.信息安全管理體系

1. 信息安全管理體系ISMS：管理指南ISO27001,實施細則ISO17799

2. 信息安全管理措施(實踐準則)270023. 基本安全管理措施：策略、組織和人員重要安全管理措施：資產管理、通信和操作管理、訪問控制和符合性4. 27001的核心內容為：PDCA模型：不斷前進，循環P(PLAN)計劃; D(DO)做; C(CHECK)檢查; A(ACT):處置,改進5.ISO27001來源于BS7799-2ISO27002來源于ISO17799，17799來源于BS7799-11. 信息安全管理措施27002,有11個安全控制措施的章節,共有39個主要安全類別1安全策略,2信息安全組織，3資產管理,4人力資源安全，5物理和環境安全，6通信和操作管理,7訪問控制,8系統的獲取、開發和維護,9信息安全事故管理,10業務連續性管理，11符合性

2. 策略的性質：指導性，原則性(非技術性)，可審核性，可實現性,動態性，文檔化

3. 策略的使用和維護:管理層---制定，決策層---審批。系統用戶和維護人員---執行，審計人員---審計

4. 內部組織:8個控制措施。外部各方：3個控制措施

七.風險管理

1. 參考資料:ISO13335風險管理，17799安全管理措施,15408CC

2. 安全風險的定義:一種特定的威脅利用一種或一組脆弱性造成組織的資產損失或損害的可能性。

3. 風險分析的目的：識別資產、脆弱性并計算潛在的風險。

4. 風險管理的控制方法有:減低風險，轉嫁風險，規避風險,接受風險

5.風險的四個要素:資產及其價值，威脅，脆弱性,現有的和計劃的控制措施。

>>本次CISP培訓知識點來源于網絡，如有侵權，請聯系刪除<<