错误!未指定书签。,V2.0正式版
表1-1中描述了CISE/CISO考试的各知识类的比例。
CISP资质类型 知识类别 信息安全保障概述 信息安全技术 信息安全管理 信息安全工程 信息安全标准和法律法规 CISE 10% 50% 20% 10% 10% CISO 10% 30% 40% 10% 10% 表1-1:CISP(CISE/CISO)试题结构
中国信息安全测评中心 -8-
错误!未指定书签。,V2.0正式版
第 2 章 知识类:信息安全保障概述
信息安全保障体系概述介绍了信息安全保障的框架、基本原理和实践,它是注册信息安全专业人员首先需要掌握的基础知识。通过本部分的学习,学员应当:
? 理解信息安全保障的意义和内涵;
? 掌握信息安全保障工作的总体思路和基本实践方法。
2.1 知识体:信息安全保障基本知识
图 2-1:知识体:信息安全保障基本知识
2.1.1 知识域:信息安全保障背景
? 知识子域:信息技术发展阶段
? 了解电报/电话、计算机、网络等阶段信息技术发展概况 ? 了解信息化和网络对个人、企事业单位和社会团体、经济发展、
社会稳定、国家安全等方面的影响:
? 知识子域:信息安全发展阶段
? 了解通信保密、计算机安全和信息安全保障 ? 了解各个阶段信息安全面临的主要威胁和防护措施
中国信息安全测评中心 -9-
错误!未指定书签。,V2.0正式版
2.1.2 知识域:信息安全保障原理
? 知识子域:信息安全的内涵和外延
? 理解信息安全的特征与范畴 ? 理解信息安全的地位和作用
? 理解信息安全、信息系统和系统业务使命之间的关系 ? 知识子域:信息安全问题产生的根源
? 理解信息安全的内因:信息系统的复杂性 ? 理解信息安全的外因:人为和环境的威胁 ? 知识子域:信息安全保障体系
? 理解安全保障需要贯穿系统生命周期
? 理解保密性、可用性和完整性三个信息安全特征 ? 理解策略和风险是安全保障的核心问题
? 理解技术、管理、工程过程和人员是基本保障要素 ? 理解业务使命实现是信息安全保障的根本目的
2.1.3 知识域:典型信息系统安全模型与框架
? 知识子域:P2DR模型
? 理解P2DR模型的基本原理:策略、防护、检测、响应 ? 理解P2DR数学公式所表达的安全目标 ? 知识子域:信息保障技术框架
? 理解IATF深度防御思想
? 理解IATF对信息技术系统四个方面的安全需求划分及基本实现
方法:本地计算环境、区域边界、网络及基础设施、支撑性基础设施
中国信息安全测评中心 -10-
错误!未指定书签。,V2.0正式版
2.2 知识体:信息安全保障基本实践
图 2-2:知识体:信息安全保障基本实践
2.2.1 知识域:信息安全保障工作概况
? 知识子域:国外信息安全保障情况
? 了解发达国家信息安全状况和信息安全保障的主要举措 ? 了解发达国家信息安全保障建设动态 ? 知识子域:我国信息安全保障工作总体情况
? 了解我国信息安全保障工作发展阶段 ? 理解国家信息安全保障基本原则 ? 了解国家信息安全保障建设主要内容
2.2.2 知识域:信息系统安全保障工作基本内容
? 知识子域:确定安全需求
? 理解确定信息系统安全保障需求的作用 ? 理解确定信息系统安全保障需求的方法和原则 ? 知识子域:设计和实施信息安全方案
中国信息安全测评中心 -11-
