1、 ISMS 信息安全管理体系，按照 ISO 27001 定义，基于业务风险的方法 

2、 信息安全管理体系建设 规划与建立、实施和运行、监视和评审、保持和改进 

3、 ISMS 的层次化文档结构 一级文件，顶层文件，方针、手册 二级文件，信息安全管控程序、管理规定性文件，管理制度、程序、策略文件 三级文件，操作指南、作业指导书、操作规范、实施标准等 四级文件，各种记录表单，计划、表格、报告、日志文件等 

4、 ISMS 方法：风险管理方法、过程方法 

5、 风险管理方法 风险评估是信息安全管理的基础，风险处理时信息安全管理的核心，风险管理是信 息安全管理的根本方法，控制措施是风险管控的具体手段

 6、 控制措施的类别 从手段来看，分为技术性、管理性、物理性、法律性等控制措施 从功能来看，分为预防性、检测性、纠正性、威慑性等控制措施 从影响范围来看，常被分为安全方针、信息安全组织、资产管理、人力资源安全、 物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息 安全事件管理、业务连续性管理和符合性 11 个类别/域 

7、 PDCA 循环，戴明环 特点：按顺序进行，组织每部分及个体也可使用，适用任何活动

 8、 ISO/IEC 27000 标准族 共 7 个 27001 信息安全管理体系要求，14 个领域 ，新版的变动 27002 信息安全控制措施实用规则，11 个控制类，内容安全和风险评估不属于 27004 信息安全管理测量 ，度量指标 

9、 常见的管理体系标准 ISO 27001 定义的信息安全管理系统 ISMS , 国际标准 信息安全等级保护 ， 公安部提出 NIST SP800 ，适用美国联邦政府和组织

 10、 管理者是实施 ISMS 的最关键因素 

11、 ISMS 建设 P 阶段 8 步：确立边界和方针 1-2、风险评估 3-6、获得高层认可，编制适用性声明 7-8 D 阶段 7 步：制定风险处理计划，实施培训和教育计划 C 阶段 5 步：审计和检查 A 阶段 2 步：实施纠正和预防，沟通和改进

 2、 信息安全组织：内部组织、外部各方 

3、 资产管理：资产负责和信息分类，信息分类按照信息的价值、法律要求、对组织的 敏感程度进行分类

 4、 员工只要违反了规定，不论是否知悉，就要接受处罚

 5、 符合性 符合法律要求、符合安全策略和标准及技术符合性、信息系统审核考虑 

6、 任用的终止：终止职责、资产的归还、撤销访问权 

7、 人身安全是物理安全首要考虑的问题 

8、 TEMPEST 抑制和防止电磁泄露

 9、 机房建设，下送风，上排风 

10、 备份是为了保证完整性和可用性 

11、 电子商务服务，抗抵赖 

12、 日志，管路员 读权限；系统员，写权限 

13、 信息安全管理手册是一级文件，SOA 适用性声明是一级文件，信息安全策略是一级 文件，不描述具体操作的都是二级文件 

14、 网闸，多功能安全网关，实现网络物理隔离 

15、 测试数据不需备份；生产数据不能做测试，脱敏处理才可以；测试完成后对平台和 数据彻底清除 

16、 程序源代码需访问控制，不得随意更改 

17、 不鼓励对商用软件包进行变更，除非获得厂方的合法支持；不包括开源， 外包软件开发： 源代码托管，第三方管理，不得使用，为了防止开发方倒闭

课程链接：2019年CISP注册信息安全专业人员认证培训班

参加CISP认证培训请联系课程顾问：倪老师     手机（微信）：18701378400     QQ：1658122838

[1]