IT运维管理：ITIL先锋论坛-某培训机构的CISP培训大纲

注册信息安全专业人员（CISP）知识体系大纲中国信息安全测评中心注册信息安全专业人员（CISP）知识体系大 1 4 5 5 5 5 7 9 9 9 10 10 11 11 11 12 13 13 13 14 15 15 16 16 17 17 17 18 19 19 20 20 20 21 21 22 23 23 24 25 25 25 25 26 26 27 27 28 29 29 30 31 31 32 32 34 34 34 35 35 36 36 37 37 38 38 38 39 40 40 41 41 41 42 42 42注册信息安全专业人员（CISP）是对我国网络基础设施和重要信息系统的“注册信息安全专业人员”，英文为CertifiedInformationSecurityl“注册信息安全工程师”，英文为CertifiedInformationSecurityEngineer，简称CISE。证书持有人员主要从事信息安全技术领域的工作，具有从事信息系统安全集成、安全技术测试、安全加固和安全l“注册信息安全管理员”，英文为CertifiedInformationSecurityOfficer，简称CISO。证书持有人员主要从事信息安全管作，具有组织信息安全风险评估、信息安全总体规划编制、信息安全l“注册信息安全审计师”，英文为CertifiedInformationSecurityAuditor，简称CISA。证书持有人主要面掌握信息安全基本知识技能的基础上，具有较强的信息安全风险评估、安全检查实践能力。全面掌握信息安全基本知识技能的基础上，具有较强的信息系统安全CISD需要更加深入地掌握有关信息系统安全开发的知识，有关内容将在注册信息安全专业人员（CISP）知识体系大在整个注册信息安全专业人员（CISP）的知识体系结构中，共包括信息安注册信息安全专业人员（CISP）知识体系大操作系统、数据库和应用软件等方面的基本安全原理和实践，以及安注册信息安全专业人员（注册信息安全专业人员（CISP)知识体系结构信息安全保障鉴别与访问控制软件安全开发安全攻击与防护密码技术信息安全技术鉴别与访问控制软件安全开发安全攻击与防护密码技术操作系统安全操作系统安全数据库安全数据库安全网络安全网络安全应用安全应用安全信息安全法规标准信息安全信息安全保障基础信息安全信息安全法规与政策信息安全信息安全标准信息安全信息安全保障实践信息安全管理信息安全信息安全管理基础信息安全信息安全风险管理信息安全工程安全工程安全工程基础信息安全信息安全道德规范应急响应与应急响应与灾难恢复信息内信息内容安全安全工程安全工程能力评估信息安全管理体系信息安全管理体系注册信息安全专业人员（CISP）知识体系大注册信息安全专业人员（CISP）知识体系大u理解信息安全基本概念，理解信息安全基本属性：保密性、完整u了解通信、计算机、网络和网络化社会等阶段信况u了解通信安全、计算机安全、信息系统安全和信分为本地计算环境、区域边界、网络基础设施和支撑性基础设施u理解信息系统安全保障模型中生命周期、保障要素和安全特征的注册信息安全专业人员（CISP）知识体系大注册信息安全专业人员（CISP）知识体系大u理解科克霍夫原则，理解算法复杂程度和密钥长度是影响密码系u理解使用密码学手段解决机密性、完整性、鉴别、不可否认性以念方法：访问控制表、能力表，了解其他实现方法如前缀表、保护位注册信息安全专业人员（CISP）知识体系大注册信息安全专业人员（CISP）知识体系大u理解包过滤技术、状态检测技术和应用代理技术等防火墙主要技中国信息安全测评中心供：定义完整性约束条件的机制、完整性检查的方法和违约处理u理解数据库备份和恢复机制的重要性，了解常见的数据冗余技术u理解数据库事前安全防护、事中安全监控以及事后安全审计的方法中国信息安全测评中心中国信息安全测评中心u理解恶意代码修改配置文件、修改注册表、设置系统服务等加载u理解增强安全策略与意识、减少漏洞、减轻威胁等恶意代码预防u理解默认口令攻击、字典攻击及暴力攻击等方式的口令破解原理中国信息安全测评中心容中国信息安全测评中心u理解通用安全编码准则：验证输入、避免缓冲区溢出、程序内部u理解使用安全编译技术对提高编码安全水平的作用，了解常用安中国信息安全测评中心中国信息安全测评中心u理解风险管理是信息安全管理的基本方法，理解风险评估是信息安全管理的基础，风险处理是信息安全管理的核心，理解控制措u理解过程方法是信息安全管理的基本方法，理解过程和过程方法u理解建设信息安全管理体系是系统地实施信息安全管理的一种方法u理解建设信息安全等级保护是系统地实施信息安全管理的一种方法u理解风险的概念，理解资产、威胁、脆弱性、业务战略、安全事中国信息安全测评中心u理解风险准则、风险评估、风险处理、风险管理、残余风险的概中国信息安全测评中心注册信息安全专业人员（CISP）知识体系大中国信息安全测评中心u理解管理者履行管理职责对成功实施信息安全管理体系（ISMS）u了解内部审核的概念，以及内部审核的目的、u理解进行有效性测量、实施内部审核、实施管理评审等监视和评u理解实施纠正和预防措施、沟通措施和改进情况等保持和改进注册信息安全专业人员（CISP）知识体系大u掌握信息安全方针文件和信息安全方针评审两项措施的常规控制u理解内部组织控制目标的含义，掌握信息安全协调等实现这一目u理解外部各方控制目标的含义，掌握与外部各方相关风险的识别u理解对资产负责控制目标的含义，掌握资产清单、资产责任人等u理解信息分类控制目标的含义，掌握分类指南、信息的标记和处u理解任用前控制目标的含义，掌握角色和职责、审查等控制措施u理解任用中控制目标的含义，掌握管理职责、信息安全意识教育u理解任用的终止或变化控制目标的含义，掌握终止职责、撤销访u理解安全区域控制目标的含义，掌握物理安全边界、物理入口控u理解设备安全控制目标的含义，掌握设备安置和保护、支持性设u理解操作程序和职责、第三方服务交付管理、系统规划和验收、防范恶意代码、备份、网络安全管理、介质处置、信息的交换、u理解访问控制的业务要求、用户访问管理、用户职责、网络访问控制、操作系统访问控制、应用和信息访问控制、移动计算和远u理解信息系统的安全需求、应用中的正确处理、密码控制、系统文件的安全、开发和支持过程中的安全、技术脆弱性管理这些控u理解符合法律要求、符合安全策略和标准以及技术符合性、信息注册信息安全专业人员（CISP）知识体系大u了解我国信息安全事件应急响应工作的进展情况注册信息安全专业人员（CISP）知识体系大u了解由组织拥有或运行维护的专用站点、同签署互惠协议而确定的备用站点、向专业商业组织租用的备用站注册信息安全专业人员（CISP）知识体系大l理解在信息系统生命周期中的各阶段运用“信注册信息安全专业人员（CISP）知识体系大u了解定义系统安全背景环境、定义安全操作概念u理解设计并分析系统安全体系结构、向体系结构分配安全服务等u了解进行均衡取舍研究、定义系统安全设计u理解支持安全实现和集成、支持测试和评估等实现系统安全阶段u了解信息安全工程监理阶段、监理管理和控素u了解能力维的组织结构，理解通用实施、公u理解能力成熟度为未实施级（0级）的信息安全工程组织和工程l理解遵循信息安全法律、法规、政策、规章、