下载文档原格式
一.信息安全测评服务介绍1.中国信息安全测评中心:1)履行国家信息安全漏洞分析和风险评估职能2)对信息产品、系统和工程进行评估3)对信息安全服务,人员的资质进行审核2.CISP以信息安全保障(IA)作为主线二.信息安全测评认证体系介绍1.由信息安全问题所引起的国家面临的主要威胁:1)信息霸权的威胁2)经济安全3)舆论安全4)社会稳定2.我国测评认证中心的建设过程:1)1998.10 国家质量技术监督局成立“中国国家信息安全测评认证中心”,1999.2 该中心挂牌运行2)2001.5 中编办“中国信息安全产品测评认证中心”(中编办【2001】51号)CNITSEC 3)2007 改名“中国信息安全测评中心”3.认证要点(1)一个目标:TOE评估的正确性和一致性(2)两种方法:“质量过程核查”,“评估活动评价”(3)三个阶段:准备,评估,认证(4)四类活动4.行业许可证制度1)信息安全产品:公安部3所检测,公安部11局颁发2)防病毒产品:指定单位(天津市公安局)3)商用密码产品:国密办颁发5.商业性测评:制定化,控制,量化6.认证业务的范围:服务商,专业人员,产品,系统三.信息安全测评认标准1.测评标准发展1)美国TCSEC(桔皮书):美国国防部1985年提出,军用机密性,D最小保护C1自主安全保护C2访问控制保护B1安全标签保护B2结构化保护B3安全域保护A1验证设计保护2)欧共体ITSEC:将安全性分为功能和保证;提出TOE;提出“安全目标”ST;E1-63)加拿大CTCPEC:功能性要求分为机密性,完整性,可用性,可控性4)美国联邦FC:引入了保护轮廓PP;每个轮廓包括功能,保障和评测需求5)通用评估准则CC:1996年V1.0;1998年V2.0;1999年为ISO15408(GB/T18336);思想框架来源于FC和ITSEC;EAL1-72. CC的评估保证级EALEAL1功能测试;EAL2结构测试;EAL3系统地测试和检查;EAL4系统地设计、测试和复查;EAL5半形式化设计和测试(无隐蔽通道);EAL6半形式化验证的设计和测试;EAL7形式化验证的设计和测试3. CC的结构:1)简介和一般介绍,以及保护轮廓规范和安全目标规范2)第二部分:安全功能需求3)第三部分:安全保障需求4. CC的范围不包括:1)行政性管理安全措施的评估准则;2)物理安全方面(诸如电磁辐射控制)的评估准则;3)密码算法固有质量评价准则包括:信息系统产品和技术5. 保护轮廓PP(甲方)没有详细的设计方案,安全目标ST(乙方)方案6. APE类:保护轮廓的评估准则;ASE类:安全目标的评估准则7. CC的结构:类,子类,组件8. 其他重要标准1)ITIL:IT服务框架2)Gobit:ISACA协会IT内控审计、IT治理框架四.我国标准1. 我国:国家GB/T; 行业:GA,GJB; 地方:DB/T; 企业:Q2. 标准化:最佳秩序,对实际的或潜在的问题制定共同的和重复使用的规则的活动。
1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】D4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A. 不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】A5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】D6. PDCA特征的描述不正确的是A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】D8. ISO27001认证项目一般有哪几个阶段?A. 管理评估,技术评估,操作流程评估B. 确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D. 基础培训,RA培训,文件编写培训,内部审核培训【答案】B9. 构成风险的关键因素有哪些?A. 人,财,物B. 技术,管理和操作C.资产,威胁和弱点D. 资产,可能性和严重性【答案】C10. 以下哪些不是应该识别的信息资产?A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】C11. 以下哪些是可能存在的威胁因素?BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】B12. 以下哪些不是可能存在的弱点问题?A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】C13. 风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A. 只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C. 可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】B14. 风险分析的目的是?A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】C15. 对于信息安全风险的描述不正确的是?A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(Risk Management)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
注册信息安全专业人员(CISP)知识体系大纲版本:2.0正式版中国信息安全测评中心目录前言 (3)第1 章注册信息安全专业人员(CISP)知识体系概述 (4)1.1 CISP资质认定类别 (4)1.2 大纲范围 (4)1.3 CISP知识体系框架结构 (5)1.4 CISP(CISE/CISO)考试试题结构 (7)第2 章知识类:信息安全保障概述 (9)2.1 知识体:信息安全保障基本知识 (9)2.1.1 知识域:信息安全保障背景 (9)2.1.2 知识域:信息安全保障原理 (10)2.1.3 知识域:典型信息系统安全模型与框架 (10)2.2 知识体:信息安全保障基本实践 (11)2.2.1 知识域:信息安全保障工作概况 (11)2.2.2 知识域:信息系统安全保障工作基本内容 (11)第3 章知识类:信息安全技术 (13)3.1 知识体:密码技术 (13)3.1.1 知识域:密码学基础 (14)3.1.2 知识域:密码学应用 (14)3.2 知识体:访问控制与审计监控 (15)3.2.1 知识域:访问控制模型 (16)3.2.2 知识域:访问控制技术 (16)3.2.3 知识域:审计和监控技术 (17)3.3 知识体:网络安全 (17)3.3.1 知识域:网络协议安全 (17)3.3.2 知识域:网络安全设备 (18)3.3.3 知识域:网络架构安全 (18)3.4 知识体:系统安全 (19)3.4.1 知识域:操作系统安全 (19)3.4.2 知识域:数据库安全 (20)3.5 知识体:应用安全 (21)3.5.1 知识域:网络服务安全 (21)3.5.2 知识域:个人用户安全 (22)3.5.3 知识域:恶意代码 (22)3.6 知识体:安全攻防 (23)3.6.1 知识域:信息安全漏洞 (23)3.6.2 知识域:安全攻防基础 (24)3.6.3 知识域:安全攻防实践 (24)3.7 知识体:软件安全开发 (25)3.7.1 知识域:软件安全开发概况 (25)3.7.2 知识域:软件安全开发的关键阶段 (25)第4 章知识类:信息安全管理 (27)4.1 知识体:信息安全管理体系 (27)4.1.1 知识域:信息安全管理基本概念 (27)4.1.2 知识域:信息安全管理体系建设 (28)4.2 知识体:信息安全风险管理 (29)4.2.1 知识域:风险管理工作内容 (29)4.2.2 知识域:信息安全风险评估实践 (30)4.3 知识体:安全管理措施 (31)4.3.1 知识域:基本安全管理措施 (31)4.3.2 知识域:重要安全管理过程 (33)第5 章知识类:信息安全工程 (35)5.1 知识体:信息安全工程原理 (35)5.1.1 知识域:安全工程理论背景 (35)5.1.2 知识域:安全工程能力成熟度模型 (36)5.2 知识体:信息安全工程实践 (37)5.2.1 知识域:安全工程实施实践 (37)5.2.2 知识域:信息安全工程监理 (38)第6 章知识类:信息安全标准法规 (39)6.1 知识体:信息安全法规与政策 (39)6.1.1 知识域:信息安全相关法律 (39)6.1.2 知识域:信息安全国家政策 (40)6.2 知识体:信息安全标准 (41)6.2.1 知识域:安全标准化概述 (41)6.2.2 知识域:信息安全评估标准 (41)6.2.3 知识域:信息安全管理标准 (42)6.2.4 知识域:等级保护标准 (42)6.3 知识体:道德规范 (43)6.3.1 知识域:信息安全从业人员道德规范 (43)6.3.2 知识域:通行道德规范 (44)前言信息安全作为我国信息化建设健康发展的重要因素,关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施,是国家安全的重要组成部分。
注册信息安全专业人员(CISP)知识体系大纲发布日期:2009年5月1日版本:1.2中国信息安全测评中心©版权2009—中国信息安全测评中心注册信息安全专业人员(CISP)知识体系大纲咨询及索取关于中国信息安全测评中心信息安全人员培训相关的文件,请与中国信息安全测评中心信息系统测评服务部接洽。
在中国信息安全测评中心网址:上可获取本文件。
版权©版权2008—中国信息安全测评中心联系信息关于中国信息安全测评中心(CNITSEC)信息安全人员培训相关的更多信息,请与中国信息安全测评中心(CNITSEC)联系:联系方式:中国信息安全测评中心信息安全测评服务部【联系地址】北京市海淀区上地西路8号院1号楼【邮政编码】100085【电话】【传真】(010)【电子邮件】目录目录.................................................................................................................. I I 图表. (IV)注册信息安全专业人员(CISP)知识体系介绍 (1)第1 章注册信息安全专业人员(CISP)知识体系概述 (2)1.1 CISP资质证书介绍 (2)1.2 CISP知识体系介绍 (2)1.2.1 概述 (2)1.2.2 CISP知识体系框架结构介绍 (4)1.2.3 CISP(CISE/CISO/CISA)考试的知识体系结构介绍 (6)第2 章知识类:信息安全体系和模型 (8)2.1 概述 (8)2.2 原理说明 (9)2.2.1 概述 (9)2.2.2 知识体:安全体系 (9)2.2.3 知识体:信息安全模型 (11)2.3 知识体系大纲 (12)2.3.1 BD(知识体):信息安全体系 (12)2.3.2 BD(知识体):信息安全模型 (12)第3 章知识类:信息安全技术 (14)3.1 概述 (14)3.2 原理说明 (14)3.2.1 概述 (14)3.2.2 知识体:信息安全技术机制 (15)3.2.3 知识体:信息和通信技术(ICT)安全 (16)3.2.4 知识体:信息安全实践 (17)3.3 知识体系大纲 (18)3.3.1 BD(知识体):信息安全技术机制 (18)3.3.2 BD(知识体):信息和通信技术(ICT)安全 (19)3.3.3 BD(知识体):信息安全实践 (21)第4 章知识类:信息安全管理 (23)4.1 概述 (23)4.2 原理说明 (23)4.2.1 概述 (23)4.2.2 知识体:安全管理体系 (24)4.2.3 知识体:关键安全管理过程 (24)4.3 知识体系大纲 (25)4.3.1 BD(知识体):安全管理基础 (25)4.3.2 BD(知识体):关键安全管理过程 (26)第5 章知识类:信息安全工程 (28)5.1 概述 (28)5.2 原理说明 (28)5.2.1 概述 (28)5.2.2 知识体:安全工程基础 (29)5.2.3 知识体:安全工程过程和实践 (29)5.2.4 知识体:项目管理过程和实践 (30)5.3 知识体系大纲 (30)5.3.1 BD(知识体):安全工程基础 (30)5.3.2 BD(知识体):安全工程过程和实践 (30)5.3.3 BD(知识体):项目管理过程和实践 (30)第6 章知识类:信息安全标准和法律法规 (31)6.1 概述 (31)6.2 原理说明 (31)6.3 知识体系大纲 (32)6.3.1 BD(知识体):概述 (32)6.3.2 BD(知识体):信息系统相关标准 (32)6.3.3 BD(知识体):道德规范 (32)6.3.4 BD(知识体):信息安全标准 (32)6.3.5 BD(知识体):信息安全法律法规 (33)图表图表1-1:CISP知识体系的组件模块结构 (4)图表1-2:CISP知识体系结构框架 (6)图表2-1:信息安全体系和模型知识类(PT)的知识体系结构概述 (8)图表2-2:信息安全体系和模型知识类(PT)的知识体系结构详细描述 (9)图表2-3:知识体-安全体系原理:信息安全保障模型 (10)图表2-4:知识体:安全模型原理说明 (11)图表3-1:信息安全技术知识类(PT)的知识体系结构概述 (14)图表3-2:知识体:信息安全技术机制原理说明 (16)图表3-3:知识体:信息和通信技术(ICT)安全原理说明 (17)图表3-4:知识体:信息安全实践原理说明 (18)图表4-1:信息安全管理知识类(PT)的知识体系结构概述 (23)图表4-2:知识体:安全管理体系说明 (24)图表4-3:知识体:关键安全管理过程原理说明 (25)图表5-1:信息安全工程知识类(PT)的知识体系结构概述 (28)图表5-2:信息系统安全工程标准背景 (29)图表6-1:信息安全标准和法律法规知识类(PT)的知识体系结构概述 (31)注册信息安全专业人员(CISP)知识体系介绍注册信息安全专业人员知识体系介绍中将介绍注册信息安全专业人员(CISP)考试大纲的结构和内容。
cisp安全评估标准
CISP是中国信息安全监察的简称,是由中国信息产业部(现工信部)制定并推广的一系列信息安全标准。
CISP安全评估标准是其中的一部分,主要是针对信息系统进行安全评估的要求和指导。
CISP安全评估标准主要包括以下几个方面:
1. 安全体系结构评估:评估信息系统是否具备完整的安全体系结构,包括安全策略、安全管理组织架构、安全人员、安全培训等。
2. 安全技术评估:评估信息系统中的安全技术措施是否符合相关的安全标准和要求,包括防火墙、入侵检测系统、恶意代码检测等。
3. 安全管理评估:评估信息系统中的安全管理是否健全有效,包括安全策略与规划、安全管理过程、安全事件响应等。
4. 安全应急响应评估:评估信息系统中的安全应急响应机制是否完善,包括应急预案、应急演练、安全事件的处置等。
5. 安全审计评估:评估信息系统中的安全审计机制是否有效,包括日志记录、审计分析、安全审计人员等。
CISP安全评估标准是中国信息安全监察的指导性文件,对于
评估和提升信息系统的安全性具有重要的指导作用,帮助组织和企业更好地管理和保护信息安全。
、体系与模型(12-15 道题)1、技术体系,ISO8498-2OSI 七层,各层对应的服务描述语言CC基于风险管理,解决普通性和特殊性的问题。
CC中的各个基本的概念,如PP(产品),ST (厂商),EAL各级的含义。
IATF,5 个服务,安全功能,18810?-18817? 把系统分为四类,是粗粒度的结构。
CC是细的。
OSI参考模型:应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。
与TCP/IP 的对应关系:应用层、表示层、会话层:Telnet, FTP, TFTP, SMTP, DNS 传输层:TCP, UDP, ICMP?网络层:IP, ARP, RARP数据链路层,物理层:Ethernet, Token Ring安全四性:保密性、完整性、可用性、可控性。
信息安全三性:机密性(Confidentiality) 、完整性(Integrity) 、可用性(Availability) 。
CC:Common Criteria(通用准则), TOE: 评估对象, PP: 保护轮廓, ST: 安全目标, EAL: 评估保证级别, TSF:TOE 的安全功能, FDP: 用户数据保护, FIA: 标识和鉴别。
系统安全等级:D、C1、C2、B1、B2、B3、A1。
CC有11类,66族,135个组件。
用于TOE勺七个安全保证要求类:ACM 类:配置管理,ADO 类:分发和操作,ADV 类:开发,AGD 类:指导性文件,ALC 类:生命周期支持,ATE 类:测试,AVA 类:脆弱性评定。
以下的重点:EAL2-4三者之间如何提高。
20050313的PPT的第120-135 左右。
EAL—功能测试* EAL2 —结构测试* EAL3 —系统地测试和检查* EAL4 —系统地设计、测试和复查EAL5-半形式化设计和测试EAL6-半形式化验证的设计和测试EAL7-形式化验证的设计和测试安全服务:鉴别服务、访问控制、数据机密性、数据完整性、抗抵赖。
CISP教材简介CISP(计算机信息安全规范)作为信息安全管理方面的国际标准,对于信息安全领域的专业人员来说至关重要。
CISP教材旨在向学习CISP的人员提供一个全面、系统的学习指南,帮助他们掌握CISP的核心概念、原理和实践操作。
本文档是一份完整的CISP教材,包含以下主要内容: 1. CISP概述 2. CISP认证体系 3. CISP培训路径 4. CISP考试准备 5. CISP教材介绍 6. CISP教学资源 7. CISP 实践案例1. CISP概述CISP是一个国际上被广泛接受的信息安全管理标准,它包含一系列标准和规范,旨在帮助组织建立和维护有效的信息安全管理体系。
CISP的核心目标是保护组织的信息资产,预防信息泄露、恶意攻击和服务中断。
CISP强调风险管理和持续改进,以确保信息安全能够与组织的业务需求保持一致。
CISP的标准覆盖了许多关键领域,包括信息安全政策、组织安全、资产管理、访问控制、密码管理、物理和环境安全、通信和操作管理、系统开发和维护、供应商管理等。
通过遵循CISP标准,组织能够有效地识别、评估和处理信息安全风险,降低信息泄露和攻击的风险,并提高组织的整体安全水平。
2. CISP认证体系CISP认证体系由国际信息系统安全认证联盟(ISC2)负责管理。
ISC2是一个全球性的信息安全组织,致力于推动信息安全专业人员的职业发展和认证。
CISP认证体系包括以下几个重要的认证: - CISP认证(CISP):适用于各级信息安全专业人员,要求候选人具备一定的工作经验和知识,通过考试来验证其对CISP标准的理解和应用能力。
- CISP关联认证(CCSP):适用于云安全专业人员,要求候选人具备云安全方面的专业知识和经验,通过考试来验证其对云安全和CISP在云环境中的应用能力。
- CISP架构师认证(CISSP-ISSAP):适用于信息安全架构师,要求候选人具备丰富的信息安全架构设计经验和CISP知识,通过考试来验证其在信息安全架构设计方面的能力。
CISP信息安全管理章节练习一一、单选题。
(共100题,共100分,每题1分)1. 小李去参加单位组织的信息安全培训后,他把自己对信息安全管理体系(Information Security Management System, ISMS)的理解画了以下一张图,但是他还存在一个空白处未填写,请帮他选择一个最合适的选项()。
a、监控和反馈ISMSb、批准和监督ISMSc、监视和评审ISMSd、沟通和资询ISMS最佳答案是:c2. 在对安全控制进行分析时,下面哪个描述是不准确的?a、对每一项安全控制都应该进行成本收益分析,以确定哪一项安全控制是必须的和有效的b、应确保选择对业务效率影响最小的安全措施c、选择好实施安全控制的时机和位置,提高安全控制的有效性d、仔细评价引入的安全控制对正常业务带来的影响,采取适当措施,尽可能减少负面效应最佳答案是:b3. 以下哪一项不是信息安全管理工作必须遵循的原则?a、风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中b、风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作c、由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低d、在系统正式运行后,应注重残余风险的管理,以提高快速反应能力最佳答案是:c4. 对信息安全风险评估要素理解正确的是:a、资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构b、应针对构成信息系统的每个资产做风险评价c、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项d、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁最佳答案是:a5. 以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容:a、出入的原因b、出入的时间c、出入口的位置d、是否成功进入最佳答案是:a6. 信息安全策略是管理层对信息安全工作意图和方向的正式表述,以下哪一项不是信息安全策略文档中必须包含的内容:a、说明信息安全对组织的重要程度b、介绍需要符合的法律法规要求c、信息安全技术产品的选型范围d、信息安全管理责任的定义最佳答案是:c7. 作为信息中心的主任,你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任,这种情况造成了一定的安全风险,这时你应当怎么做?a、抱怨且无能为力b、向上级报告该情况,等待增派人手c、通过部署审计措施和定期审查来降低风险d、由于增加人力会造成新的人力成本,所以接受该风险最佳答案是:c8. 通过评估应用开发项目,而不是评估能力成熟度模型(CMM),IS审计师应该能够验证:a、可靠的产品是有保证的b、程序员的效率得到了提高c、安全需求得到了规划、设计d、预期的软件程序(或流程)得到了遵循最佳答案是:d9. 某公司正在对一台关键业务服务器进行风险评估:该服务器价值138000元,针对某个特定威胁的暴露因子(EF)是45%,该威胁的年度发生率(ARO)为每10年发生1次。
cisp试题及答案一、选择题1. CISP(注册信息安全专业人员)认证的主要目标是()。
A. 提升个人技能B. 保障企业信息安全C. 遵守法律法规D. 降低企业运营成本答案:B2. 在信息安全管理中,风险评估的目的是()。
A. 识别潜在的威胁B. 确定安全措施的成本C. 制定安全策略D. 所有以上选项答案:D3. CISP认证考试中,关于数据加密的说法正确的是()。
A. 对称加密算法比非对称加密算法更安全B. 非对称加密算法需要两个密钥C. 哈希函数是可逆的D. 量子加密是目前最安全的加密方式答案:B4. 以下哪项不属于信息安全管理的基本原则?()。
A. 保密性B. 完整性C. 可用性D. 可追溯性答案:D5. CISP认证考试中,关于网络安全的说法正确的是()。
A. 防火墙可以防止所有类型的网络攻击B. VPN提供了数据传输过程中的加密C. 入侵检测系统可以防止入侵行为的发生D. 网络隔离可以完全避免网络攻击答案:B二、填空题1. CISP认证是由________(组织名称)颁发的,旨在证明持证人在信息安全领域具有专业知识和技能。
答案:(ISC)²2. 在信息安全领域中,________是一种通过隐藏信息内容来保护数据不被未授权访问的技术。
答案:加密3. 为了确保信息的完整性,通常会使用________技术来验证数据在传输或存储过程中是否被篡改。
答案:哈希函数4. 信息安全管理体系(ISMS)的国际标准是ISO/IEC 27001,它包括了一套用于________的准则和规定。
答案:管理信息安全5. 社会工程学是一种利用人的________来获取敏感信息或未授权访问系统的方法。
答案:心理和行为特点三、简答题1. 简述信息安全的重要性。
答案:信息安全对于保护个人隐私、企业商业秘密、国家安全等方面至关重要。
它可以有效防止数据泄露、网络攻击、身份盗窃等风险,确保信息的保密性、完整性和可用性。
信息安全培训和CISP知识体系介绍信息安全培训和CISP知识体系介绍随着信息技术的快速发展,信息安全问题日益突出,已经成为企业和个人必须面对的重要挑战。
为了使员工和管理人员具备相应的信息安全意识和技能,保障信息系统的安全和稳定运行,信息安全培训和CISP(Certified Information Security Professional,认证信息安全专业人员)知识体系应运而生。
一、信息安全培训的重要性1. 保障企业安全企业的信息系统遭到黑客攻击或数据泄露将带来巨大的经济损失和声誉损害。
通过信息安全培训,可以提高员工对信息安全的认识和敏感性,以防止员工因为错误的操作或不慎泄露企业机密信息。
2. 提高员工技能信息安全培训不仅仅是传授知识,更是提高员工的技能水平,包括网络安全技术、信息安全管理等方面的实践技能,提升员工的综合能力和应对危机的能力。
3. 培养安全文化信息安全是一个全员参与的工作,通过培训可以营造一个全员参与的安全文化,各个层面的员工对信息安全都有高度的重视,从而为企业信息安全工作提供有力的保障。
4. 强化法规意识随着信息安全法和相关法规的出台,企业需要全面了解相关法规要求,遵守相关法律规定。
信息安全培训可以帮助企业了解相关法规,提高员工对法规的意识和理解,从而规范企业的信息安全管理行为。
二、CISP知识体系概述CISP是由中国信息通信研究院(CAICT)与国内外众多信息安全专家联合开发的一套信息安全培训和认证体系,该体系被广泛认可并适用于不同行业和企事业单位的信息安全管理工作。
CISP知识体系由七个模块组成,包括安全威胁与安全知识、信息系统及网络安全基础、信息安全管理、信息安全技术、移动互联网安全、电子商务、信息安全法律、政策与标准。
这些模块涵盖了信息安全相关的全部内容,包括信息安全的基本概念、常见安全威胁、信息安全的法律法规、安全技术和安全管理等方面的知识,旨在培养学员掌握全面的信息安全知识和技能。
cisp试题及答案在本文中,我们将提供CISP试题及答案,帮助读者更好地了解和准备CISP考试。
CISP(Certified Information Security Professional)是一个国际认可的信息安全专业资格认证,通过该认证可以证明个人在信息安全领域具备专业的知识与技能。
一、信息安全管理1. 信息安全管理是指对信息资产进行全面管理和保护的过程。
请简要介绍信息安全管理的目标和重要性。
信息安全管理的目标是保护信息资产的机密性、完整性和可用性,防止信息遭受未经授权的访问、损坏和泄露,并确保信息系统的可靠性和稳定性。
信息安全管理对于组织来说至关重要,可以降低信息安全风险,保护客户数据和企业敏感信息,维护业务连续性并遵守法律法规。
2. 请列举并简要介绍ISO/IEC 27001标准中的信息安全管理体系(ISMS)要素。
ISO/IEC 27001标准中的信息安全管理体系包括以下要素:- 上下文分析:了解和评估组织内外部环境,明确信息安全管理体系的范围和目标。
- 领导力承诺:组织领导层需对信息安全提供明确的承诺和支持,并制定相关政策和目标。
- 风险评估:全面识别、评估和管理信息资产的风险,制定相应的风险处理计划。
- 资产管理:对信息资产进行明确定义、分类和管理,包括信息的获取、使用、存储和销毁。
- 安全控制:通过采取适当的技术和管理措施,确保信息资产的安全性、完整性和可用性。
- 人员安全:建立适当的人员安全政策,包括招聘、培训和意识教育,以及离职员工信息的处理。
- 通信与运营管理:确保信息传输和处理的安全性,包括网络安全、供应商管理和监控措施。
- 环境安全:评估和管理物理环境的安全性,包括设备的安全维护和灾难恢复。
- 合规性管理:遵守法律法规和适用的信息安全要求,包括隐私保护和知识产权保护。
二、网络安全1. 阐述网络安全的概念,并列举常见的网络安全威胁。
网络安全主要涉及保护计算机网络和网络连接的安全性,防止网络系统遭受未经授权的访问、攻击和滥用。
安全规划是信息安全生命周期管理的起点和基础,良好的规划设计可以为组织带来正确的指导和方向。
根据国家《网络安全法》“第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
”1.通过保障的思想建立安全规划背景信息安全规划设计可以根据美国信息保障技术框架〔IATF〕ISSE过程建立需求,本阶段可对应ISSE中开掘信息保护需求阶段。
根据“信息安全保障基本内容”确定安全需求,安全需求源于业务需求,通过风险评估,在符合现有政策法规的情况下,建立基于风险与策略的基本方针。
因此,安全规划首先要熟悉并了解组织的业务特性,在信息安全规划背景设计中,应描述规划对象的业务特性、业务类型、业务范围以及业务状态等相关信息,并根据组织结构选择适用的安全标准,例如国家关键基础设施的信息安全需要建立在信息安全等级保护基础之上、第三方支付机构可选择PCI-DSS作为可依据的准则等。
信息系统保护轮廓〔ISPP〕是根据组织机构使命和所处的运行环境,从组织机构的策略和风险的实际情况出发,对具体信息系统安全保障需求和能力进行具体描述。
传统的风险评估可以基于GB/T 20984《信息安全风险评估标准》执行具体的评估,评估分为技术评估与管理评估两部分。
从可遵循的标准来看,技术评估通过GB/T 22240—2008《信息安全等级保护技术要求》中物理安全、网络安全、系统安全、应用安全及数据安全五个层面进行评估;管理安全可以选择ISO/IEC 27001:2013《信息技术信息安全管理体系要求》进行,该标准所包含的14个控制类113个控制点充分表达组织所涉及的管理风险。
在工作中,可以根据信息系统安全目标来标准制定安全方案。
信息系统安全目标是根据信息系统保护轮廓编制、从信息系统安全保障的建设方〔厂商〕角度制定的信息系统安全保障方案。
根据组织的安全目标设计建设目标,由于信息技术的飞速发展以及组织业务的高速变化,一般建议建设目标以1-3年为宜,充分表达信息安全规划设计的可实施性,包括可接受的成本、合理的进度、技术可实现性,以及组织管理和文化的可接受性等因素。
1.根据相关标准,信息安全风险管理可以分为背景建立、风险评估,风险处理,批准监督、监控审查和沟通咨询等阶段。
模拟该流程。
文档《风险分析报告》应属于哪个阶段的输出成果()。
A 风险评估B 风险处理C 批准监督D 监控审查2.<p>某单位在实施信息安全风险评估后,形成了若干文档,下面()中的文档不应属于风险评估“准备”阶段输出的文档。
</p>A 《风险评估工作计划》,主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色进度安排等内容B 《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容C 《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容D 《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等内容3.规范的实施流程和文档管理,是信息安全风险评估结果取得成果的重要基础,<spanstyle="line-height: 20.8px;">按照规范</span>的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果()A 《风险评估方案》B 《重要保护的资产清单》C 《风险计算报告》D 《风险程度等级列表》4.定量风险分析是从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,准确度量风险的可能性和损失量,小王采用该方法来为单位机房计算火灾的风险大小,假设单位机房的总价值为200万元人民币,暴露系数(ErpomireFactor,EF)是x,年度发生率(AnnuaIixed Rato of Occurrence,ARO)为0.1,而小王计算的年度预期损失(AnnuaIixed Loss Rrpectancy,ALE)值为5万元人民币。
由此x值应该是()5.不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选择适当的风险评估方法,下面的描述中,错误的是()A 定量风险分析是用从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和损失量B 定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析C 定性风险分析过程中,往往需要凭借分析者的经验直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关D 定性风险分析更具有主观性,而定量风险分析更具客观性6.某单位在一次信息安全风险管理活动中,风险评估报告提出服务器A的PTP服务存在高风险的漏洞,随后该单位在风险处理时选择了关闭PTP服务的处理措施,请问该措施属于哪种风险处理方式()A 风险降低B 风险规避C 风险转移D 风险接受7.残余风险是风险管理中的一个重要概念,在信息安全风险管理中,关于残余风险描述错误的是()A 残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成本与效益后不去控制的风险B 残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件C 实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果D 信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作为风险管理效果评估指标9.某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任?A:部门经理B:高级管理层C:信息资产所有者D:最终用户10.以下对信息安全风险管理理解最准确的说法是:A:了解风险B:转移风险C:了解风险并控制风险D:了解风险并转移风险11.在信息安全风险管理工作中,识别风险时主要重点考虑的要素应包括:A:资产及其价值、威胁、脆弱性、现有的和计划的控制措施B:资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施C:完整性、可用性、机密性、不可抵赖性D:以上都不正确12.以下哪一项不是信息安全风险分析过程中所要完成的工作:A:识别用户B:识别脆弱性C:评估资产价值D:计算机安全事件发生的可能性13.王工是某单位系统管理员,他在某次参加了单位组织的风险管理工作时,发现当前案例中共有两个重要资产:资产A1和资产A2;其中资产A1面临两个主要威胁:威胁T1和威胁T2;而资产A2面临一个主要威胁:威胁T3;威胁T1可以利用的资产A1存在的两个脆弱性;脆弱性V1和脆弱性V2:威胁T2可以利用资产A1存在的三个脆弱性,脆弱性V3、脆弱性V4和脆弱性V5;威胁T3可以利用的资产A2存在的两个脆弱性,脆弱性V6和脆弱性V7.根据上述条件,请问:使用相乘法时,应该为资产A1计算几个风险值()A 2B 3C 5D 614.A:内部计算机处理B:系统输入输出C:通讯和网络D:外部计算机处理15.《信息安全技术信息安全风险评估规范GB/T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是:A:规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等。
CISP 信息安全标准与法律法规介绍CISP(China Information Security Evaluation Standard)是由中国信息安全测评中心(CISE)制订的信息安全测评标准。
CISP分为5个等级,分别是CISP-1、CISP-2、CISP-3、CISP-4和CISP-5,其中CISP-5是最高等级。
CISP主要用于评估企业的信息安全水平,并根据评估结果给出相应的建议和改进措施。
除了CISP标准,中国还有其他一些相关的信息安全标准和法律法规。
CISP信息安全标准CISP-1CISP-1是最低安全等级,适用于对信息安全要求不高的小型企业。
CISP-1要求企业建立基本的信息安全管理制度,确保开展信息处理活动的合法性、正确性和安全性。
此外,CISP-1还要求企业对重要的信息资产进行分类和保护,并建立基本的安全防护措施,如防火墙、反病毒软件等。
CISP-2CISP-2适用于对信息安全要求较高的中小型企业。
CISP-2包括CISP-1的所有要求,并增加了一些额外要求,如完善的安全管理制度、信息安全培训和考核、网络安全事件的应急处理等。
CISP-3CISP-3适用于对信息安全要求较高的大型企业和政府机构。
CISP-3包括CISP-2的所有要求,并增加了一些更高级别的安全措施,如网络边界控制、网络入侵检测、流量监控等。
CISP-4CISP-4适用于对信息安全要求非常高的特定行业和组织,如金融机构、国家机密单位等。
CISP-4包括CISP-3的所有要求,并增加了一些更严格的安全措施,如网络隔离、异地备份、安全审计等。
CISP-5CISP-5是最高等级,适用于对信息安全要求极高的行业和组织,如核电站、军事领域等。
CISP-5包括CISP-4的所有要求,并增加了更加高级别的安全措施,如身份认证、权限控制、加密等。
法律法规《网络安全法》《网络安全法》是中国首部全面、系统的网络安全立法,于2016年11月7日正式施行。
1。
以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】 C2. 以下对信息安全管理的描述错误的是A。
保密性、完整性、可用性B。
抗抵赖性、可追溯性C.真实性私密性可靠性D。
增值性【答案】 D3。
以下对信息安全管理的描述错误的是A。
信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C。
安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】 D4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A。
不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】 A5。
信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A。
ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D。
ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】 D6. PDCA特征的描述不正确的是A。
顺序进行,周而复始,发现问题,分析问题,然后是解决问题B。
大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C。
阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】 D7. 以下哪个不是信息安全项目的需求来源A。
CISP培训和等级保护介绍CISP(Certified Information Security Professional)是一项为从事信息安全管理工作的人员提供认证的国际标准。
这个认证标志着持有人在信息安全领域的专业素养和技能。
CISP培训和等级保护旨在帮助个人和机构提高信息安全意识,并能够应对不断变化的信息安全威胁和挑战。
一、CISP培训概述CISP培训旨在通过系统、全面的教育和培训帮助学员掌握信息安全的基本知识和技能。
培训内容包括但不限于安全风险管理、网络和系统安全、身份认证、加密技术以及物理安全措施等。
培训过程结合理论教学和实践操作,通过案例分析和模拟演练培养学员的解决问题和应对挑战的能力。
培训持续时间根据学习进度和难度级别而定,通常为数周至数月不等。
二、CISP等级保护介绍CISP等级保护是一种根据信息系统的安全等级划分,对采取相应安全措施的系统进行认证和评估的过程。
等级保护的目标是确保信息系统在各个等级具备相应的安全性和保护措施。
CISP等级保护的等级划分根据信息系统的重要性和敏感性,分为1-4级,其中1级为最低,4级为最高。
CISP等级保护的评估过程涉及对系统结构、安全策略、技术措施和管理程序的全面审查。
评估包括对系统漏洞和安全隐患的检测、安全配置的评估以及对安全策略和控制措施的合规性审查。
评估结果将根据安全等级要求进行等级认证,并提供相应的改进建议。
三、CISP培训和等级保护的重要性1. 提高信息安全水平:CISP培训和等级保护将帮助个人和机构建立起全面的信息安全意识,并提供一套可行的安全管理框架和措施,以应对日益严峻的信息安全威胁。
2. 资质认可和专业发展:持有CISP认证将成为个人在信息安全领域良好职业发展的敲门砖。
对于企业来说,CISP认证也是雇佣信息安全专业人员的重要参考。
3. 保护敏感信息和数据:培训和等级保护将帮助机构加强对敏感信息和数据的保护,有效防范信息泄露、网络攻击和恶意行为,维护用户数据安全和业务运营的可持续性。
