CISP认证培训学习笔记---信息安全管理体系 ISMS
1、 ISMS 信息安全管理体系,按照 ISO 27001 定义,基于业务风险的方法
2、 信息安全管理体系建设 规划与建立、实施和运行、监视和评审、保持和改进
3、 ISMS 的层次化文档结构 一级文件,顶层文件,方针、手册 二级文件,信息安全管控程序、管理规定性文件,管理制度、程序、策略文件 三级文件,操作指南、作业指导书、操作规范、实施标准等 四级文件,各种记录表单,计划、表格、报告、日志文件等
4、 ISMS 方法:风险管理方法、过程方法
5、 风险管理方法 风险评估是信息安全管理的基础,风险处理时信息安全管理的核心,风险管理是信 息安全管理的根本方法,控制措施是风险管控的具体手段
6、 控制措施的类别 从手段来看,分为技术性、管理性、物理性、法律性等控制措施 从功能来看,分为预防性、检测性、纠正性、威慑性等控制措施 从影响范围来看,常被分为安全方针、信息安全组织、资产管理、人力资源安全、 物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息 安全事件管理、业务连续性管理和符合性 11 个类别/域
7、 PDCA 循环,戴明环 特点:按顺序进行,组织每部分及个体也可使用,适用任何活动
8、 ISO/IEC 27000 标准族 共 7 个 27001 信息安全管理体系要求,14 个领域 ,新版的变动 27002 信息安全控制措施实用规则,11 个控制类,内容安全和风险评估不属于 27004 信息安全管理测量 ,度量指标
9、 常见的管理体系标准 ISO 27001 定义的信息安全管理系统 ISMS , 国际标准 信息安全等级保护 , 公安部提出 NIST SP800 ,适用美国联邦政府和组织
10、 管理者是实施 ISMS 的最关键因素
11、 ISMS 建设 P 阶段 8 步:确立边界和方针 1-2、风险评估 3-6、获得高层认可,编制适用性声明 7-8 D 阶段 7 步:制定风险处理计划,实施培训和教育计划 C 阶段 5 步:审计和检查 A 阶段 2 步:实施纠正和预防,沟通和改进
CISP认证培训学习笔记---信息安全控制措施
1、 安全方针是陈述管理者的管理意图,高层承诺,是一级文件,具体的产品选型,技术实现问 题不在方针中体现
2、 信息安全组织:内部组织、外部各方
3、 资产管理:资产负责和信息分类,信息分类按照信息的价值、法律要求、对组织的 敏感程度进行分类
4、 员工只要违反了规定,不论是否知悉,就要接受处罚
5、 符合性 符合法律要求、符合安全策略和标准及技术符合性、信息系统审核考虑
6、 任用的终止:终止职责、资产的归还、撤销访问权
7、 人身安全是物理安全首要考虑的问题
8、 TEMPEST 抑制和防止电磁泄露
9、 机房建设,下送风,上排风
10、 备份是为了保证完整性和可用性
11、 电子商务服务,抗抵赖
12、 日志,管路员 读权限;系统员,写权限
13、 信息安全管理手册是一级文件,SOA 适用性声明是一级文件,信息安全策略是一级 文件,不描述具体操作的都是二级文件
14、 网闸,多功能安全网关,实现网络物理隔离
15、 测试数据不需备份;生产数据不能做测试,脱敏处理才可以;测试完成后对平台和 数据彻底清除
16、 程序源代码需访问控制,不得随意更改
17、 不鼓励对商用软件包进行变更,除非获得厂方的合法支持;不包括开源, 外包软件开发: 源代码托管,第三方管理,不得使用,为了防止开发方倒闭
课程链接:2019年CISP注册信息安全专业人员认证培训班
参加CISP认证培训请联系课程顾问:倪老师 手机(微信):18701378400 QQ:1658122838
[1] |