CISP0101信息安全保障_v3.0
- 格式:pptx
- 大小:3.32 MB
- 文档页数:109


注册信息安全专业人员(CISP)知识体系大纲发布日期:2009年5月1日版本:1.2中国信息安全测评中心©版权2009—中国信息安全测评中心注册信息安全专业人员(CISP)知识体系大纲咨询及索取关于中国信息安全测评中心信息安全人员培训相关的文件,请与中国信息安全测评中心信息系统测评服务部接洽。
在中国信息安全测评中心网址:上可获取本文件。
版权©版权2008—中国信息安全测评中心联系信息关于中国信息安全测评中心(CNITSEC)信息安全人员培训相关的更多信息,请与中国信息安全测评中心(CNITSEC)联系:联系方式:中国信息安全测评中心信息安全测评服务部【联系地址】北京市海淀区上地西路8号院1号楼【邮政编码】100085【电话】【传真】(010)【电子邮件】目录目录.................................................................................................................. I I 图表. (IV)注册信息安全专业人员(CISP)知识体系介绍 (1)第1 章注册信息安全专业人员(CISP)知识体系概述 (2)1.1 CISP资质证书介绍 (2)1.2 CISP知识体系介绍 (2)1.2.1 概述 (2)1.2.2 CISP知识体系框架结构介绍 (4)1.2.3 CISP(CISE/CISO/CISA)考试的知识体系结构介绍 (6)第2 章知识类:信息安全体系和模型 (8)2.1 概述 (8)2.2 原理说明 (9)2.2.1 概述 (9)2.2.2 知识体:安全体系 (9)2.2.3 知识体:信息安全模型 (11)2.3 知识体系大纲 (12)2.3.1 BD(知识体):信息安全体系 (12)2.3.2 BD(知识体):信息安全模型 (12)第3 章知识类:信息安全技术 (14)3.1 概述 (14)3.2 原理说明 (14)3.2.1 概述 (14)3.2.2 知识体:信息安全技术机制 (15)3.2.3 知识体:信息和通信技术(ICT)安全 (16)3.2.4 知识体:信息安全实践 (17)3.3 知识体系大纲 (18)3.3.1 BD(知识体):信息安全技术机制 (18)3.3.2 BD(知识体):信息和通信技术(ICT)安全 (19)3.3.3 BD(知识体):信息安全实践 (21)第4 章知识类:信息安全管理 (23)4.1 概述 (23)4.2 原理说明 (23)4.2.1 概述 (23)4.2.2 知识体:安全管理体系 (24)4.2.3 知识体:关键安全管理过程 (24)4.3 知识体系大纲 (25)4.3.1 BD(知识体):安全管理基础 (25)4.3.2 BD(知识体):关键安全管理过程 (26)第5 章知识类:信息安全工程 (28)5.1 概述 (28)5.2 原理说明 (28)5.2.1 概述 (28)5.2.2 知识体:安全工程基础 (29)5.2.3 知识体:安全工程过程和实践 (29)5.2.4 知识体:项目管理过程和实践 (30)5.3 知识体系大纲 (30)5.3.1 BD(知识体):安全工程基础 (30)5.3.2 BD(知识体):安全工程过程和实践 (30)5.3.3 BD(知识体):项目管理过程和实践 (30)第6 章知识类:信息安全标准和法律法规 (31)6.1 概述 (31)6.2 原理说明 (31)6.3 知识体系大纲 (32)6.3.1 BD(知识体):概述 (32)6.3.2 BD(知识体):信息系统相关标准 (32)6.3.3 BD(知识体):道德规范 (32)6.3.4 BD(知识体):信息安全标准 (32)6.3.5 BD(知识体):信息安全法律法规 (33)图表图表1-1:CISP知识体系的组件模块结构 (4)图表1-2:CISP知识体系结构框架 (6)图表2-1:信息安全体系和模型知识类(PT)的知识体系结构概述 (8)图表2-2:信息安全体系和模型知识类(PT)的知识体系结构详细描述 (9)图表2-3:知识体-安全体系原理:信息安全保障模型 (10)图表2-4:知识体:安全模型原理说明 (11)图表3-1:信息安全技术知识类(PT)的知识体系结构概述 (14)图表3-2:知识体:信息安全技术机制原理说明 (16)图表3-3:知识体:信息和通信技术(ICT)安全原理说明 (17)图表3-4:知识体:信息安全实践原理说明 (18)图表4-1:信息安全管理知识类(PT)的知识体系结构概述 (23)图表4-2:知识体:安全管理体系说明 (24)图表4-3:知识体:关键安全管理过程原理说明 (25)图表5-1:信息安全工程知识类(PT)的知识体系结构概述 (28)图表5-2:信息系统安全工程标准背景 (29)图表6-1:信息安全标准和法律法规知识类(PT)的知识体系结构概述 (31)注册信息安全专业人员(CISP)知识体系介绍注册信息安全专业人员知识体系介绍中将介绍注册信息安全专业人员(CISP)考试大纲的结构和内容。
CISP考试认证(习题卷23)第1部分:单项选择题,共92题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]()第二十三条规定存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照()实行分级保护.()应当按照国家保密标准配备保密设施、设备.()、设备应当与涉密信息系统同步规划、同步建设、同步运行(三同步).涉密信息系统应当按照规定,经()后,方可投入使用.A)《保密法》;涉密程度;涉密信息系统;保密设施;检查合格B)《安全保密法》;涉密程度;涉密信息系统;保密设施;检查合格C)《国家保密法》;涉密程度;涉密系统;保密设施;检查合格D)《网络保密法》;涉密程度;涉密系统;保密设施;检查合格答案:A解析:《保密法》第二十三条规定存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护.涉密信息系统应当按照国家保密标准配备保密设施、设备.保密设施、设备应当与涉密信息系统同步规划、同步建设、同步运行(三同步).涉密信息系统应当按照规定,经检查合格后,方可投入使用.2.[单选题]在 P DR 模型的基础上,发展成为了(Poli Cy-Prote Ction- Dete Ction-Response,PP DR)模型,即策略-保护- 检测-响应。
模型的核心是:所有的防护、检测、响应都是依据安全策略实施的。
如图所示。
在 PP DR 模型中,策略指的是信息系统的安全策略,包括访问控制策略、加密通信策略、身份认证测录、备份恢复策略等。
策略体系的建立包括安全策略的制定、()等;防护指的是通过部署和采用安全技术来提高网络的防护 能力,如()、防火墙、入侵检测、加密技术、身份认证等技术;检测指的是利用信息安全检测工具,监视、分析、审计网络活动,了解判断网络系统的()。
检测这一环节,使安全防护从被动防护演进到主动防御,5是整个模型动态性的体现,主要方法包括;实时监控、检测、报警等;响应指的是在检测到安全漏洞和安全事件,通过及时的响应措施将网络系统的()调整到风险最低的状态,包括恢复系统功能和数据,启动 备份系统等。
CISP课堂笔记信息安全测评体系介绍●测试/检验:按照规定的程序,为确定给定的产品、材料、设备、生物组织、物理现象、工艺或服务的一种或多种特性的技术操作●评估:对测试/检验产生的数据进行分析、形成结论的技术活动●认证:是指第三方依据程序对产品、过程或服务符合规定的要求给予书面保证(证书),用于评价产品质量和企业质量管理水平●信息系统评估通用准则(CC for Information)国际标准ISO/IEC 15408GB idt 18336●TCSEC升级FC,1992年12月公布引入了“保护轮廓PP”这一重要概●FC引入了PP(用户需求),CEM通用测评方法、TOE评估对象、ST安全目标●1993年开始,1996年出现V1.0,1998年出现V2.0,1999年5月,成为ISO 15408●CC主要思想和框架取自FC和ITSEC●1998年10月,国家质量技术监督局授权成立“中国国家信息安全测评中心”●2001年5月,中编办根据党中央、国务院有关领导的指示精神,正式行文(中编办[2001]51号),批准成立“中国信息安全产品测评认证中心”,英文简称为CNITSEC。
●信息安全测评认证两种方法:“质量过程核查”“评估活动评价”●信息安全测评认证三种阶段:准备阶段、评估阶段、认证阶段。
●国际:ISO(国际标准化组织) SC27 WG1:信息安全有关的需求、服务和指南WG2:信息安全技术和机制;WG3:信息安全评估标准;●各国信息安全测评认证体系负责机构美国国家信息保证联盟(NIAP)负责管理和运行美国的信息安全测评认证体系 英国通信电子安全局(CESG)负责管理和运行英国的信息安全测评认证体系澳大利亚国防情报总局(DSD)负责管理和运行澳大利亚的信息安全测评认证体系 加拿大通信安全机构(CSE)负责管理和运行加拿大的信息安全测评认证体系德国信息安全局(GISA)负责管理和运行德国的信息安全测评认证体系法国信息系统安全局(SCSSI)负责管理和运行法国的信息安全测评认证体系●信息安全测评认证的范围:信息技术产品安全性测评认证网络信息系统安全性测评认证信息安全服务单位资质测评认证信息安全服务人员资质测评认证信息安全工程测评认证●信息安全认证业务的范围:信息安全技术的产品(TOE)信息系统的认证信息安全服务提供商资质的认证信息安全专业人员资质认证●CC的结构:第一部分简介和一般介绍第二部分安全功能需求第三部分安全保障需求●评估项目按3人/日:EAL3级(含)以上分级评估将进行现场核查。