下载文档原格式
注册信息安全专业人员(CISP认证)认证介绍国家注册信息安全专业人员(简称:CISP)是有关信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全测评中心实施注册。
2015年6月,全国获得CISP认证资格人员已超过15000名。
认证目的信息安全人员培训与姊姊认定的目的是构建全面的信息安全人才体系。
构建全面的信息安全人才体系是国家政策的要求,是组织机构信息安全保障建设自身的要求和组织机构人员自身职业发展的要求。
是国家政策的要求:中办发【2003】27号文件《国家信息化领导小组关于加强信息安全保障工作的I 安逸》中提出了“加快悉尼型安全人才培养,增强全民信息安全意识”的知道精神,重点强调了信息安全人才培养的重要性。
是组织机构信息安全保障建设自身的要求:企事业单位、政府机关等组织机构在信息安全保障建设、信息哈U建设中,需要有一个完整层次化的信息安全人才队伍以保障其信息安全、保障其信息化建设,从而保障其业务和使命。
是组织机构人员自身职业为发展的要求:作为人员本身,在其工作和职业发展中,需要充实其信息安全保障相关的只是和经验,以更好的开展其工作并为自己的只因为发展提供帮助。
认证价值对组织的价值:高素质的信息安全专业人才队伍,是信息安全的保障;信息安全人员持证上岗,满足政策部门的合规性要求;为组织实施信息安全岗位绩效考核提供了标准和依据;是信息安全企业申请安全服务资质必备的条件对个人的价值:适应市场中越来越热的对信息安全人才的需求;通过专业培训和考试提高个人信息安全从业水平;证明具备从事信息安全技术和管理工作的能力;权威认证提升职场竞争中的自身优势;可以获取信息安全专业人士的认可,方便交流。
认证分类根据工作领域和时间广州的需求,可以分为两类:注册信息安全工程师(CISE )主要从事信息安全技术开发服务工程建设等工作。
cisp第一套题库※随着信息技术的不断发展,信息系统的重要性也越来越突出,而与此同时,发生的信息安全事件也越来越多,综合分析信息安全问题产生的根源,下面描述正确的是()。
[1分]正确答案:√信息安全问题产生的根源要从内因和外因两个方面两个方面分析,因为信息系统自身存在脆弱性,同时外部又有威胁源,从而导致信息系统可能发生安全事件。
因此,要防范信息安全风险,需从内外因同时着手解析:※在使用系统安全工程—能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时,正确的理解是:[1分]正确答案:√:测量组织能力时,就是成熟能力度级别,由执行安全工程过程时所应具有的“公共特征”CF构成。
※在工程实施阶段,监管机构承建合同,安全设计方案、实施方案、实施记录,国家地方标准和技术文件,正确答案:√:符合性※不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选正确答案:√:×定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析解析:解析:布什以第54号国家安全总统令(NSPD-54)发布※微软SDL将软件开发生命周期划分为七个阶段,并提出了十七项重要的安全活动,其中“威胁建模”属于(设计(Design)阶段)的安全活动。
[1分]正确答案:√:设计(Design)阶段正确答案:√:×信息安全风险评估分自评估、检查评估两形式。
应以检查评估为主,自评估和检查评估相互结合、互为补充解析:※“CC”标准是测评标准类的重要标准,从该标准的内容来看,下面哪项内容是针对具体的被评测对象,描※有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices,BP),正确的理解是:[1分]正确答案:√:BP不限定于特定的方法或工具,不同的业务背景中可以使用不同的方法※2005年,RFC4301(Request for Comments 4301:Security Architecture for the Internet Protocol)发布,用以取代原先的RFC2401,该标准建议规定了IPsec系统基础架构,描述如何在IP层(IPv4/IPv6)为流量提供安全业务。
知识子域:信息安全标准化概况标准国际标准标准化的对象:共同的、可重复的事物 标准化的动态性标准化的相对性简化 统一 协调标准是进行贸易的基本条件 标准能够提高企业的经济效益 标准能够提高国民经济效益1)中华人民共和国标准化法2)中华人民共和国标准化法实施条例3)中华人民共和国标准化法条文解释4)国家标准管理办法GB 强制性国家标准GB/T 推荐性国家标准GB/Z 国家标准化指导性技术文件安全基础设施标准ISO JTC1▪JTC1 SC27 信息技术国际标准《信息安全事件管ISO/TC 68 银行及相关金融业务 IECIETF(170多个RFC、17个工作组)▪ECMAANSI1984年,成立数据加密技术分委员,后来改为信息技术安全分技术委员会2002年4月,为加强信息安全标准的协调工作,国国标委高新函[2004]1号文决定,自2004年1月起,各有关部门在申报信息安全国家标准计划项目时,必须经信息安全标委会提出工作意见,协调秘书处是委员会的常设办事机构,负责委员会的日常事务工作秘书处设在中国电子技术标准化研究所研究信息安全标准体系 跟踪国际标准发展动态 研究信息安全标准需求研究提出涉密信息系统安全保密标准体系 制定和修订涉密信息系统安全保密标准研究提出商用密码技术标准体系研究制定商用密码算法、商用密码模块和商用密钥管理等相关标准研究制定鉴别与授权标准体系 调研国内相关标准需求研究制定鉴别与授权标准调研测评标准现状与发展趋势研究我国统一测评标准体系的思路和框架,提出测评标准体系调研通信安全标准现状与发展趋势 研究提出通信安全标准体系研究制订急需的通信安全标准标准研究信息安全管理动态,调研国内管理标准需求 研究提出信息安全管理标准体系制定信息安全管理相关标准安全技术评估标准发展历史1970年由美国国防科学委员会提出。
1985年公布。
主要为军用标准。
延用至民用。
安全级别从高到低分为A、B、C、D四级,级下再分欧洲多国安全评价方法的综合产物,军用,政府用和商用。
2023年CISP信息安全专业人员考试题及答案1.以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了正确答案:C2.以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D增值性正确答案:D3.以下对信息安全管理的描述错误的是Λ,信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人正确答案:D4.企业按照标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A.不需要全体员工的参入,只要部门的人员参入即可B.来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D.所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行正确答案:A5.信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是Λ.ISMS是一个遵循PDCA模式的动态发展的体系B.ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D.ISMS应该是一步到位的,应该解决所有的信息安全问题正确答案:D6.PDCA特征的描述不正确的是A.顺序进行,周而复始,发现问题,分析问题,然后是解决问题B.大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D.信息安全风险管理的思路不符合PDCA的问题解决思路正确答案:D7.以下哪个不是信息安全项目的需求来源Λ,国家和地方政府法律法规与合同的要求8.风险评估的结果C.组织原则目标和业务需要D.企业领导的个人意志正确答案:D8.IS027001认证项目一般有哪几个阶段?A.管理评估,技术评估,操作流程评估8.确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D.基础培训,RA培训,文件编写培训,内部审核培训正确答案:B9.构成风险的关键因素有哪些?A.人,财,物B.技术,管理和操作C.资产,威胁和弱点D.资产,可能性和严重性正确答案:C10.以下哪些不是应该识别的信息资产?Λ.网络设备B.客户资料C.办公桌椅D.系统管理员正确答案:C11.以下哪些是可能存在的威胁因素?BA.设备老化故障B.病毒和蠕虫C.系统设计缺陷D.保安工作不得力正确答案:B12.以下哪些不是可能存在的弱点问题?A.保安工作不得力B.应用系统存在BugC.内部人员故意泄密D.物理隔离不足正确答案:C13.风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?Λ,只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C.可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D.资产识别务必明确责任人、保管者和用户正确答案:B14.风险分析的目的是?A.在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C.在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D.在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;正确答案:C15.对于信息安全风险的描述不正确的是?Λ,企业信息安全风险管理就是要做到零风险B.在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(RiskManagement)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
EN60950-1标准更新所有出口欧洲的IT产品从2010年12月1日起,都必须符合EN60950-1 第二版标准中所规定。
产品之前通过了EN60950-1第一版标准的测试将不会被承认。
第2版标准中的更新并不极端,但是使用新版本的标准来对产品进行重新评估并不是一蹴而就的。
总的来说,新的版本增加专业术语或测试方法在声明方面的一致性。
部分章节,如第2.6.3.4章——接线导体与其端口的电阻能力,涵盖CSA/UL 60950-1中与北美国家标准要求的差异性。
更新的第2.3.2章——TNV电路与其他电路以及可接触部分的隔离是必需的,旧的标准并不能达到当前认可的TNV电路的ITE技术标准。
在新版本的标准中,压敏电阻(VDR)和音频部件这两部分最引人关注。
机柜固定件设备章节(4.2.11)在评估滑动轨设计有新的额外要求。
但是,应该注意的是,这个要求并不适用于完整机柜/系统整机的固有配件。
新标准对于IT设备的制造商来说也有好消息,设备重量小于15.4 lbs,10°倾斜的稳定性测试将会被豁免。
之前用EN60950-1 2001版的客户请提前更换新的标准EN 55022:2006 (CISPR 22:2005)在欧盟(European Union,EU)自2009年10月1日正式生效。
现在相关的辐射干扰(radiated disturbances)测试范围是由30MHz至1GHz,但是修正案A1:2007将会加入1GHz至6GHz的测试范围,并于2010年10月1日生效。
因此在测量辐射干扰时,将采用30MHz至6Ghz的频段。
修改EN 55022:2006所产生的影响CISPR 22 (the Comite International Special des Perturbations Radioelectriques, or International Special Committee on Radio Interference, 国际无线电干扰特别委员会)是适用范围最广的一项重要的EMC (electromagnetic compatibility,电磁兼容)标准,并对资讯科技设备(information technology equipment,ITE)提出了一些要求,其中包括了「电讯装备和个人电脑」(telecommunications apparatus and PCs)。
1.信息安全特征:信息安全是系统的安全,是动态的安全,是无边界的安全,是非传统的安全。
2.信息系统包含三个要素:信息,计算机网络系统和运行环境。
3.1985年,美国国防部的可信计算机系统评估保障(TCSEC,橙皮书),将操作系统安全分级(D、C1、C2、B1、B2、B3、A1).4.信息技术安全性评估准则,即通用准则CC(ISO/IEC 15408,GB/T 18336),其中保障定义为,实体满足其安全目的的信心基础。
5.风险是指威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能。
6.信息安全管理体系-ISMS,国际上主流的信息系统管理体系的标准有ISO/IEC 17799,英国标准协会(BSI)的77997.信息安全保障模型:保障要素:管理、工程、技术、人员。
安全特征:保密、完整、可用。
生命周期:规划组织、开发采购、实施交付、运行维护、废弃。
策略和风险是安全保障的核心问题。
信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。
8.风险管理贯穿整个信息系统生命周期,包括对象确立,风险评估,风险控制,审核批准,监控与审查和沟通与咨询6个方面。
9.基于时间的PDR模型(保护-检测-响应)是信息安全保障工作中常用的模型。
该模型的出发点是基于这样的前提:任何安全防护措施都是基于时间的,超过该时间段,这种防护措施是可能被攻破。
10.P2DR(策略-保护检测响应):所有的行为都是依据安全策略实施的。
该模型强调安全管理的持续性、安全策略的动态性。
防护时间Pt,检测时间Dt,反应时间Rt:如果pt>dt+rt,则系统安全;如果pt<dt+rt,则暴露时间Et=(dt+rt)-pt11.PDCA(计划、实施、检查、改进)是信息安全管理体系ISMS的核心。
