返回
cisp培训笔记

cisp培训笔记

ID:22221182

大小:409.67 KB

页数:22页

时间:2018-10-27

cisp培训笔记_第1页
cisp培训笔记_第2页
cisp培训笔记_第3页
cisp培训笔记_第4页
cisp培训笔记_第5页
资源描述:

《cisp培训笔记》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、2015-8-10PPT信息安全保障10’信息安全保障1、中办27号文《国家信息化领导小组关于加强信息安全保障工作的意见》室信息安全保障工作的纲领性文件2、信息的安全属性CIA:保密性、完整性、可用性3、信息安全的范畴:信息技术问题、组织管理问题,社会问题,国家安全问题4、信息安全特征:系统性、动态性,无边界性、非传统性(最终保障业务的安全)5、信息安全问题根源:(信息战士和网络战士是最严重的)内因,过程复杂、结构复杂、应用复杂外因,人(个人威胁、组织威胁、国家威胁)和自然6、信息安全发展阶段通信安全COMSEC,信息窃取,加密,保证保密性、完整性计算机安

2、全COMPUSEC,操作系统技术信息系统安全INFOSEC,防火墙、VPN、PKI公钥基础设施、信息安全保障IA,技术、管理、人员培训等网络空间安全/信息安全保障CS/IA,防御、攻击、利用,强调威慑7、传统信息安全的重点是保护和防御;信息安全保障是保护、检测和响应,攻击后的修复8、信息安全保障模型PDR防护--检测--响应,安防措施是基于时间的,给出攻防时间表,假设了隐患和措施,不适应变化,时间PPDR策略--防护--检测--响应,突出控制和对抗,强调系统安全的动态性221、信息安全保障技术框架IATF,深度防御的思想,层次化保护,人、技术、操作,关注4

3、个领域:本地的计算机环境区域边界网络和基础设施支撑性技术设施2、信息系统:每一个资质中信息流动的总和,含输入输出、存储、控制、处理等。3、信息系统安全保障,从技术、管理、工程、人员方面提出保障要求4、信息系统安全保障模型GB/T20274保障要素4:技术、管理、工程、人员生命周期5:规划组织、开发采购、实施交付、运行维护、废弃安全特征3:保密性、完整性、可用性5、信息系统安全保障工作阶段确保信息安全需求、设计并实施信息安全方案、信息安全测评、检测与维护信息安全6、我国信息安全保障体系建立信息安全技术体系,实现国家信息化发展的自主可控信息安全保障实践1、现状

4、美国CNNI《国家网络安全综合倡议》,3道防线1、减少漏洞和隐患,预防入侵2、全面应对各类威胁,增强反应能力,加强供应链安全低于各种威胁3、强化未来安全环境,增强研究、开发和教育,投资先进技术2、我国的信息安全保障战略规划,信息安全分:基础信息网络安全、重要信息系统安全和信息内容安全3、信息安全保障工作方法,信息系统保护轮廓ISPP(所有者角度考虑安保需求),信息系统安全目标ISST,从建设方制定保障方案4、确定信息系统安全保障的具体需求:法规符合性、风险评估、业务需求(只放前2个也对)5、信息安全测评对象:信息产品安全测评、信息系统安全测评、服务商资质、

5、信息安全人员资质测评6、信息系统安全测评标准过程测评标准:GB/T20274产品安全测评标准:CCGB/T1833622信息安全管理体系ISMS1、ISMS信息安全管理体系,按照ISO27001定义,基于业务风险的方法2、信息安全管理体系建设规划与建立、实施和运行、监视和评审、保持和改进3、ISMS的层次化文档结构一级文件,顶层文件,方针、手册二级文件,信息安全管控程序、管理规定性文件,管理制度、程序、策略文件三级文件,操作指南、作业指导书、操作规范、实施标准等四级文件,各种记录表单,计划、表格、报告、日志文件等4、ISMS方法:风险管理方法、过程方法5、

6、风险管理方法风险评估是信息安全管理的基础,风险处理时信息安全管理的核心,风险管理是信息安全管理的根本方法,控制措施是风险管控的具体手段6、控制措施的类别从手段来看,分为技术性、管理性、物理性、法律性等控制措施从功能来看,分为预防性、检测性、纠正性、威慑性等控制措施从影响范围来看,常被分为安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个类别/域7、PDCA循环,戴明环特点:按顺序进行,组织每部分及个体也可使用,适用任何活动8、ISO/IEC2700

7、0标准族共7个27001信息安全管理体系要求,14个领域,新版的变动27002信息安全控制措施实用规则,11个控制类,内容安全和风险评估不属于27004信息安全管理测量,度量指标9、常见的管理体系标准ISO27001定义的信息安全管理系统ISMS,国际标准信息安全等级保护,公安部提出NISTSP800,适用美国联邦政府和组织10、管理者是实施ISMS的最关键因素11、ISMS建设P阶段8步:确立边界和方针1-2、风险评估3-6、获得高层认可,编制适用性声明7-8D阶段7步:制定风险处理计划,实施培训和教育计划C阶段5步:审计和检查A阶段2步:实施纠正和预防

8、,沟通和改进信息安全控制措施1、安全方针22是陈述管理者的管理意图

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。