CISP 4.2备考之《信息安全管理》知识点总结

文章目录

    • 一、信息安全管理基础
    • 二、信息安全风险管理
    • 三、27001 信息安全管理体系(PDCA)
    • 四、ISO/IEC 27002:2013 信息安全管理控制措施
    • 五、信息安全管理测量

一、信息安全管理基础

    1. 管理的概念:组织、协调、控制的活动,核心过程的管理控制。
    1. 管理对象和组成:包括人员在内的相关资产;组成包括人员、目标、规则和运行。
    1. 管理体系概念:完备性、逻辑性的管理措施的集合,遵守“木桶原理”。
    1. 信息安全管理体系:
    • 1)根据 ISO/IEC 27001 所制定的体系,为狭义的体系。
    • 2)广义信息安全管理体系:泛指一切与信息安全管理有关的措施的集合。
    1. 信息安全管理的作用,包括不限于这些作用:
    • 1)促进业务目标的实现;
    • 2)管理与组织整体的融合;
    • 3)预防、阻止和减少事件发生的作用;
    • 4)技术和管理的结合;
    • 5)对内和对外的作用。
    1. 信息安全管理的成功要素:包括不限于的要素
    • 1)反应业务目标;
    • 2)文化的一致性;
    • 3)领导层实质性的支持;
    • 4)领导对风险管理的理解;
    • 5)科学的测量体系;
    • 6)持续的教育和培训。

二、信息安全风险管理

    1. 风险管理的概念:识别和处置风险的过程,是预防的措施。风险四要素是资产、威胁、脆弱性、安全措施。
    1. 风险管理参考的方法:
    • 1)COSO 风险控制框架:战略、运营、报告和合规性风险管理,具体包括组件。
    • 2)ISO31000 的风险管理标准(国际标准工作参考),适用范围非常的广泛。
    • 3)ITIL 信息技术服务(信息安全风险管理):服务战略、服务设计、服务转化、服务运营、服务改进等五个阶段来实施。
    • 4)COBIT 风险控制:通过 IT 活动风险控制支持 IT 过程和 IT 目标,进一步支持业务目标(商业目标)的实现。
    1. 基于 GB/Z 24364:2009 的风险管理指南(考试重点)
    • 1)四阶段:
      • — 背景建立:风险管理准备、系统调查、系统分析、安全分析。
      • — 风险评估:风险评估准备、风险要素识别(资产、威胁、脆弱性、安全措施)、风险分析、风险报告。
      • — 风险处理:降低风险、规避风险、转移风险、接受风险。
      • — 批准监督:对风险管理的认可;风险管理过程风险的控制。
    • 2)两过程:
      • — 监控审查:对风险管理过程的偏差、变化、延误进行控制和纠正。
      • — 沟通咨询:提高风险管理的质量和效果的交流和沟通工作。

三、27001 信息安全管理体系(PDCA)

  • 1.管理的方法:PDCA 过程的方法。
  • 2.体系的四个阶段的内容:
  • 3.体系文档的管理
    • 1)规划和使用文档管理结构:3 层或 4 层结构,其中高层包括方阵、策略、手册;最底层包括文件表格、记录、表单等。
    • 2)对文档要进行全生命周期的管理。

四、ISO/IEC 27002:2013 信息安全管理控制措施

    1. 安全策略
    • 1)制定策略:由领导批准和发布,代表宏观的要求和导向,高级别策略为方针。
    • 2)策略评审:新制定、修订等需要进行评审,保证适宜性、充分性和有效性。
    1. 安全组织
    • 1)内部组织:角色分配、职责分离、与政府的联系、与利益方的联系、项目中的信息安全管理。
    • 2)移动设备和远程办公:设备的安全,远程办公。
    1. 人力资源安全
    • 1)任用前:安全审查、岗位的定义。
    • 2)任用中:职责管理、安全教育培训、纪律处理。
    • 3)任用终止或变化:权限回收、信息保密等要求。
    1. 资产安全
    • 1)资产清单:设备资产的清单、责任人、可接受的使用、归还。
    • 2)信息分类:数据资产的分类指南、信息标记、信息处理。
    • 3)介质管理:移动介质管理、介质处置、介质传输的安全。
    1. 操作安全:核心为一切的操作均需要制定和执行相应的操作程序。
    1. 供应商管理
    • 1)供应商合作方针、信息安全问题的协议。
    • 2)供应商的审查、供应商的服务变更管理。
    1. 符合性管理:安全管理要符合政策、法律、法规、标准、知识产权、隐私保护、审计、技术审核等要求。
    1. 访问控制(结合参考访问控制知识)
    1. 密码技术管理(结合参考密码学知识)
  • 10.物理和环境安全(结合参考物理环境安全)
  • 11.通信安全(结合参考网络通信安全)
  • 12.事件安全管理(详细参考《业务连续性管理》)
  • 13.业务连续性管理(详细参考《业务连续性管理》)
  • 14.系统获取开发和维护(结合参考安全工程过程)

五、信息安全管理测量

    1. 重要性:衡量安全有效性的必须的,闭环的关键方法。
    1. 测量方法:ISO/IEC 27004 的管理测量的标准(对象-过程-措施-目标)。
    1. 测量过程:测量职责分配等准备-制定测量方案-测量的实施-测量分析与报告- 测量的改进。

温馨提示:为了减少学习的负担和聚焦核心,知识点总结写的是关键的精要的要点,并非是知识点的全文,请一定进一步结合官方的教材进行扩充补充、理解和掌握全面,以免产生以偏概全的问题。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/772429.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

深度学习模型部署(十二)CUDA编程-绪

CUDA 运行时 API 与 CUDA 驱动 API 速度没有差别,实际中使用运行时 API 较多,运行时 API 是在驱动 API 上的一层封装。​ CUDA 是什么?​ CUDA(Compute Unified Device Architecture) 是 nvidia 推出的一个通用并行技术架构,用它…

【C++】每日一题,238 除自身以外数组的乘积

给你一个整数数组 nums,返回 数组 answer ,其中 answer[i] 等于 nums 中除 nums[i] 之外其余各元素的乘积 。 题目数据 保证 数组 nums之中任意元素的全部前缀元素和后缀的乘积都在 32 位 整数范围内。 请 不要使用除法,且在 O(n) 时间复杂…

【蓝桥杯】填空题技巧|巧用编译器|用Python处理大数和字符|心算手数|思维题

目录 一、填空题 1.巧用编译器 2.巧用Excel 3. 用Python处理大数 4.用Python处理字符 5.心算手数 二、思维题 推荐 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。【点击跳转到网站】 一、填空题 …

【考研数学】张宇全程学习包

可以全程张宇老师的高等数学,张宇老师的拿手绝活是高数 但是其他科目,还有更好的选择,比如线性代数,汤家凤老师还有李永乐老师讲的都不错,概率论,余丙森老师还有方浩老师讲的很好。下面我就讲清楚&#xf…

AI 视频 | 火爆全网的真人转动漫工具 DomoAI,又上新功能了!(三)

DomoAI 又又又上线新功能了! 上传一张静态人像图片 一个人像动作视频,就可以生成两者融合的动态视频。 啥都不说,直接看官方的示例视频: DomoAI 新功能 move 官方示例视频 使用非常简单,在 Discord 中通过 /move 指…

一文搞定 FastAPI 查询参数

你好,我是 shengjk1,多年大厂经验,努力构建 通俗易懂的、好玩的编程语言教程。 欢迎关注!你会有如下收益: 了解大厂经验拥有和大厂相匹配的技术等 希望看什么,评论或者私信告诉我! 文章目录 一…

C++ 动态规划

文章目录 一、简介二、举个栗子2.1斐波那契数列2.2最短路径(DFS) 参考资料 一、简介 感觉动态规划非常的实用,因此这里整理一下相关资料。动态规划(Dynamic Programming):简称 DP,是一种优化算法…

【JavaEE初阶系列】——多线程案例一——单例模式 (“饿汉模式“和“懒汉模式“以及解决线程安全问题)

目录 🚩单例模式 🎈饿汉模式 🎈懒汉模式 ❗线程安全问题 📝加锁 📝执行效率提高 📝指令重排序 🍭总结 单例模式,非常经典的设计模式,也是一个重要的学科&#x…

摆扫式(whisk broom)和推扫式(push broom)卫星传感器介绍

目前,我们卫星传感器主要有两大类型:摆扫式(whisk broom)和推扫式(push broom)。为了更好的理解和使用卫星影像数据,我们需要简单了解下这两种传感器工作原理。 摆扫式:Whisk Broom…

Spring Boot的作用

Spring Boot 是一个开源的 JavaEE 框架,它可以帮助开发者快速构建基于 Spring 框架的应用程序 项目初始化: 在你的开发环境中安装 Java 开发工具(如 JDK)。在项目管理工具(如 Maven、Gradle)中创建一个新的…

搭建Hadoop HA

目录 前言 搭建前准备 搭建 前言 Hadoop是一个由Apache基金会所开发的分布式系统基础架构,它允许用户在不了解分布式底层细节的情况下开发分布式程序,充分利用集群的威力进行高速运算和存储。Hadoop主要解决大数据存储和大数据分析两大核心问题&…

Phoenix概念篇

文章目录 前言Phoenix的web层概念PlugEndpointRouterScopePipeline ControllerAction Component 一次请求 前言 Elixir和Phoenix的作者也是Rails社区的核心开发者,如果是之前接触过Ruby on Rails的开发者,对Phoenix也许不会感到太陌生。笔者没有接触过R…

【报错】使用gradio渲染html页面无法加载本地图片

【报错】使用gradio渲染html页面无法加载本地图片 【报错】使用gradio渲染html页面无法加载本地图片[HTML] how to load local image by html output #884成功解决 【报错】使用gradio渲染html页面无法加载本地图片 在使用gradio框架渲染html页面,使用绝对路径&quo…

AttributeError: ‘str‘ object has no attribute ‘decode‘ h5py

AttributeError: str object has no attribute decode h5py 安装 h5py2.10

BUUCTF-Misc14

[WUSTCTF2020]find_me1 1.打开附件 是一个学校的校徽 2.盲文解密 发现图片属性里的备注是一串盲文 用在线盲文解密 3.得到flag

C语言笔记:重学输入和输出

ACM金牌带你零基础直达C语言精通-课程资料 本笔记属于船说系列课程之一,课程链接:ACM金牌带你零基础直达C语言精通https://www.bilibili.com/cheese/play/ep159068?csourceprivate_space_class_null&spm_id_from333.999.0.0 你也可以选择购买『船说…

AI新工具 视频迁移升级中国水墨画风格2.0;新颖的视频编辑框架提示编辑,风格转移,身份操控都不在话下;提取多种风格人脸草图

✨ 1: DomoAI 升级中国水墨画风格2.0 DomoAI是一个多功能的AI视频处理工具,可以将视频转换成多种风格,包括日本动漫、3D卡通、漫画和像素风格等。用户只需上传原始视频,通过简单的操作就能实现风格转换,制作出具有个性的高质量视…

“架构(Architecture)” 一词的定义演变历史(依据国际标准)

深入理解“架构”的客观含义,不仅能使IT行业的系统架构设计师提升思想境界,对每一个积极的社会行动者而言,也具有长远的现实意义,因为,“架构”一词,不只限于IT系统,而是指各类系统(包括社会系统…

蓝鹏智能测量仪应用于这些方面!助力发展新质生产力!

新质生产力是未来几年着重发展的方向,关于如何实现产业化升级,各厂家会在自身的基础上进行产业化调整升级,利用新工具、新手段,大幅缩短研发设计周期,从而让产品迭代速度不断加快;提升产品品质,…

堆排序(六大排序)

前面博客已经分享过堆的知识了,今天我们来分享堆排序。 堆排序 堆排序(Heapsort)是指利用堆积树(堆)这种数据结构所设计的一种排序算法,它是选择排序的一种。它是通过堆来进行选择数据。 ★★★需要注意的是排升序要建大堆&#…