信息安全管理(CISP)—— 信息安全管理

最新推荐文章于 2024-05-19 08:36:06 发布
最新推荐文章于 2024-05-19 08:36:06 发布
阅读量2.8k 收藏 18
点赞数 4
分类专栏: 信息安全管理 文章标签: 安全 网络 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40345591/article/details/127090863
版权

目录

一、知识框架

二、信息安全管理基础

1.信息安全管理基本概念

2.信息安全管理体系

三、信息安全风险管理

1.基本概念

2.风险管理

3.常见的风险管理模型

GB/Z 24364《信息安全风险管理指南》

四、息安全管理体系建设 

信息安全管理体系成功的主要因素(GB/T 29246-2017)

PDCA过程方法(27001)

五、信息安全管理体系实践

安全控制措施内部结构

六、信息安全管理体系度量

七、总结

一、知识框架

二、信息安全管理基础

1.信息安全管理基本概念

信息安全管理:信息安全管理是组织管理体系的一个重要环节,管理者为实现信息安全目标(CIA特性、业务连续性等)而进行的计划、组织、指挥、协调和控制的一系列活动。

信息安全管理的对象:包括人员在内的信息相关资产

信息安全管理的组成:人员、目标、规则、过程

信息安全管理的作用(不限于):反应业务目标的重要保障、组织实现业务目标的重要保障、信息安全技术的结合剂(技管并重)保障技术措施能够发挥作用、预防阻止或减少信息安全事件的发生

特性:攻击与防护严重不对称,攻击很容易,防护成功极为困难

原理:木桶原理,信息安全水平取决于防护最薄弱的环节,要求完备性、逻辑性的管理措施的集合

2.信息安全管理体系

组织管理体系的一部分、基于风险评估和组织风险接受水平

狭义的信息安全管理体系:

按照ISO27001标准定义的ISMS

优点:基于27001标准,建立和执行简单

缺点:难以和其他体系和管理形成一体化

广义的信息安全管理体系:

泛指任何一种有关信息安全的管理体系,进一步也包括了个体系的集合

优点:最好实现各体系集成、运行效率高、成本低。

缺点:建立难度大、运行控制严格

三、信息安全风险管理

1.基本概念

基于风险的思想是所有信息系统安全保障工作的核心思想,预防为主!

风险是未发生的事件,事件是已成事实的风险

不确定性对目标的影响 ISO31000

风险是客观存在的

2.风险管理

是风险识别、评估和优化

协调和经济应用资源以最小化检测和控制不良事件的可能性及影响,最大限度实现业务

要素:资产、脆弱性、威胁、安全措施。

3.常见的风险管理模型

内部控制整合框架COSO报告

三个目标:财务报告可靠性、经验效率和效果、合规性

四个类别:战略风险管理、运营风险管理、报告风险管理、合规风险管理

八个要素:监督、目标制定、内部环境、控制活动、风险评估、时间识别、风险响应、信息沟通

ISO31000《风险管理原则与实施指南》

风险管理框架设计、风险管理实施、风险管理检测和评审、风险管理改进四个部分

标准应用于组织的整个生命过程,以及一些列广泛的活动、流程、职能、项目、产品、服务、资产、业务和决策

COBIT(信息与相关技术控制目标)

面向信息系统过程审计和评价的标准

控制目标:有效性、高效性、保密性、可用性、完整性、符合性、信息可靠性

ITIL

服务战略、设计、转化、运营等五个阶段

GB/Z 24364《信息安全风险管理指南》

背景建立

背景建立是信息安全风险管理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析

风险管理准备-信息系统调查-信息系统分析-信息安全分析

ps:还记得在kali-渗透测试(一)那篇博客里提到的一句话“侦察永远不浪费时间”背景建立阶段其实就是侦察阶段

风险评估

信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动

评估准备(制定方案选择方法)-- 要素识别(发现威胁、脆弱性、控制措施)-- 分析(判断风险发生的可能性和影响程度)-- 结果判定(综合分析结果判定风险等级)

风险处理

风险处理是为了将风险始终控制在可接受的范围内

现存风险判断(判断哪些风险可以接受那些不可以)

处理目标确认(不可接收的风险需要控制到怎样的程度)

处理措施选择(选择处理方式,确定控制措施)

处理方式:降低、规避、转移、接受风险

处理后的风险是参与风险需要跟踪监视

批准监督

机构的决策层依据风险评估和风险处理的结果做出是否认可风险管理活动的决定

检查机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素是否可能引入新风险

监控审查

类似信息系统工程中的监理

及时发现已经出现或即将出现的变化、偏差和延误等问题

采取适当的措施进行控制和纠正

保证信息安全风险管理主循环的有效性

沟通咨询

四、息安全管理体系建设 

信息安全管理体系成功的主要因素(GB/T 29246-2017)

PDCA过程方法(27001)

 

P:计划     D:实施     C:检查     A:行动

 根据ISO标准导则83的框架,包括10个部分

 体系四个阶段的内容

文档化

文档结构示意图

 

 文档控制

建立-批准与发布-评审与更新-文件保存-文件作废

五、信息安全管理体系实践

安全控制措施内部结构

结构:14个类别 35个目标 114个控制措施

描述方式:控制类 控制目标 控制措施 实施指南

①定目标:信息安全方针、信息安全方针评审

②建组织:

内部组织:角色分配、职责分离、与政府的联系、与利益方的联系、项目中的信息安全管理

移动设备和远程办公:环境安全、设备的安全、远程办公

③人的管理:

任用前:安全审查、任用条款及条件

任用中:职责管理、安全教育培训、纪律处理

任用终止:权限收回、保密协议

④资产管理:

资产清单:所有权确定负责人、可接受的使用要求、处理要求

信息分类:分类指南、信息标记、信息处理

介质管理:移动介质管理、介质处置、介质传输的安全

⑤操作安全:

一切操作均需要制定和执行相应的操作程序,减少操作最信息安全和系统业务的影响

⑥供应商管理:

供应商合作方针、信息安全问题的协议

供应链的管理:知识产权、技术、产品、服务、人员等

供应监视和评审:供应商的监视和审查、供应商的服务变更管理

⑦符合性管理:符合政策、法规、标准、知识产权、隐私保护、审计、审核、密码政策等要求

六、信息安全管理体系度量

衡量安全有效性的必须的实现闭环的关键方法

27004模型

管理过程-对象-方法-执行-结果

测量过程: 

测量的过程没有统一要求

职责分配等准备--制定方案--实施--分析与报告--改进

准备-实施-报告-改进

七、总结

这一章内容挺多的,所以信息安全管理是很重要的!,在写博客的时候遇到了好几个点是CISP题库刷题时遇到的知识点,而且这一章相比前两章更难了,很多知识都是完全全新的,前两章还可以借鉴一点平时的经验,这一章相对来说还是需要慢慢打磨理解记忆的,后面应该还会有博客专门总结补充这一章!

白帽Chen_D
关注
  • 4
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CISP+信息安全管理+知识点汇总
07-23
CISP+信息安全管理+知识点汇总 3.1 知识子域:信息安全管理基础 3.2 知识子域:信息安全风险管理 3.3 知识子域:信息安全管理体系建设 3.4 知识子域:信息安全管理体系最佳实践 3.5 知识子域:信息安全管理体系度量
ISO27001信息安全管理体系
热门推荐
11-05 1万+
0x00 前言   初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的游戏规则,几个人的信息安全部生存之道。 0x01 ISO27001简介   ISO/IEC27001 信息安全管理体系(ISMS——information ...
CISP学习笔记——COBIT(信息和相关技术的控制目标)
最新发布
老怪的博客
05-19 350
COBIT 最初是"信息与相关技术的控制目标",在框架发布之前,人们将"COBIT"称为"IT 控制目标"或"信息及相关技术的控制目标"。该框架定义了一套管理IT 的通用流程,确定了每个过程与过程输入和输出、关键流程活动、流程目标、绩效评估和初级成熟度模型。COBIT 还为信息系统和技术的治理和控制过程提供了一套推荐的最佳实践,其实质是使IT 与业务相一致。COBIT 5 将COBIT 4.1 、ValIT 和风险IT 整合为一个单一的框架,作为与其他框架和标准相一致和可互操作的企业框架。
信息安全管理CISP)—— 部分重点内容总结
ChenD的学习笔记
10-22 2268
测评机构按照管理规范和技术标准,运用科学的手段和方法,对处理特定应用的信息系统,采用安全技术测评和安全管理测评方式,对保护状况进行初步检测评估,针对安全不符合项提出安全整改建议。s2:风险评估:1-评估准备,2-要素识别(资产、威胁、脆弱性、安全措置),3-风险分析(定量分析、定性分析、知识、模型),4-风险报告(结果判定)工程过程:1-安全需求、2-安全输入、3-安全控制、4-安全态势、5-安全协调。风险过程:1-评估影响、2-评估威胁、3-评估脆弱性、4-评估安全风险。
9、信息安全漏洞管理流程图.pdf
07-14
9、信息安全漏洞管理流程图.pdf9、信息安全漏洞管理流程图.pdf9、信息安全漏洞管理流程图.pdf9、信息安全漏洞管理流程图.pdf9、信息安全漏洞管理流程图.pdf9、信息安全漏洞管理流程图.pdf9、信息安全漏洞管理流程图.pdf9、信息安全漏洞管理流程图.pdf
2021 CISP核心知识点 - 刷题笔记
weixin_48521214的博客
07-30 1万+
与PDR模型相比,P2DR模型多了哪一个环节? 下列对于信息安全保障深度防御模型的说法错误的是 以下哪一项不是工作在网络第二层的隧道协议 RBAC 下面哪一项不是虚拟专用网络(VPN)协议标准 网络认证协议Kerberos 互联网协议安全(Internet Protocol Security,IPSec)协议传输模式与隧道模式 PGP(Pretty Good Privacy)软件 相比文件配置表(FAT)文件系统,以下哪个不是新技术文件系统(NTFS)所具有的优势 地址解析协议(ARP)欺骗 软件保障成熟.
CISP最全详解
Python_0011的博客
03-25 2545
十个知识域包括:信息安全保障、信息安全监管、信息安全管理、业务连续性、安全工程与运营、安全评估、安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发。认证机构:中国信息安全测评中心,是中央批准成立的国家权威信息安全测评机构,CISP是当之无愧的国家级认证,是国内对信息安全从业人员资质能力的最高认可。CISP为强制培训,报名CISP认证考试必须参加授权培训机构的培训,获得培训合格证书,并由授权培训机构代报名CISP考试。人员”,是对信息安全专业人员所具备的专业素质和能力的认可。
CISP-注册信息安全专业人员[含课件]等内部资料.rar
06-11
它涵盖了法律、法规和政策,以及信息安全管理体系的建立和运行,确保信息资产的安全。 5. 网络安全监管:这部分内容涉及到国家和行业对网络安全的监管政策,包括网络安全法、数据保护法规和行业标准,以及如何遵守...
信息系统项目管理师历年真题2005——2018.zip
06-16
3. **法律法规与标准**:考生需要了解中国关于信息系统建设的相关法律法规,如《中华人民共和国电子签名法》、《计算机信息系统安全保护条例》等,以及国际上的标准和最佳实践,如ISO/IEC 27001信息安全管理体系等。...
CISP信息安全认证考试指南.pdf
10-12
通过深入学习CISP知识体系,专业人士将能够理解和应用信息安全的最佳实践,识别潜在威胁,实施有效的防御策略,以及进行风险评估和安全管理。这一认证不仅提高了个人的专业素养,也为组织的信息安全提供了有力保障。
网络信息安全网络与道德犯罪和CISP课件)
12-16
1. 安全管理:理解信息安全管理体系的构建,包括政策制定、安全审计、灾难恢复计划等。 2. 风险管理:学习如何识别、评估和控制潜在的信息安全风险,以最小化损失。 3. 访问控制:探索不同类型的认证、授权和审计...
CISP V4.2知识体系大纲知识点梳理.pdf
11-13
个人原创资料,在V4.1版的大纲基础上,细化了几倍的内容,前后编辑了一周时间,备考专用,总结了CISPV4.2版大纲,填写了重要知识点内容,图片,方便大家记忆希望对大家考试有帮助。
CISP最后串讲的全部知识点(推荐)
10-03
这是本人考CISP时老师的最后串讲,考试后证明,该串讲涵盖了90%的考点,实是不可多得的第一手资料,要得童鞋赶紧下载吧!
信息安全管理概述
06-16
信息安全管理的相关概念,概述。安全体系的组成。信息安全:信息资产的保密性、完整性和可用性不受损害的能力,是通过信息安全保障措施实现的.
无脑轻松过cisp-cse(国家注册云安全工程师)题目刷题包
11-23
cisp 全称注册信息安全专业人员(Certified Information Security Professional),是经中国信息安全产品测评认证中心实施的国家认证,对信息安全人员执业资质的认可。该证书是面向信息安全企业、信息安全咨询服务...
8. 信息安全管理
Greedy Hat的博客
09-03 1148
信息安全管理
企业内部信息安全管理——(一)风险识别和管控
nikolay的专栏
10-04 1万+
笔者曾经参加ISG 比赛时有位导师的经典语录:信息安全管的是什么? 其实质管理的就是输入和输出。 (如果你已经踏上管理岗位,其实会发现这句话在企业管理中也是适用的) 所以管住你的输入和输出,就能管住你的信息安全
软考信息安全工程师学习笔记三(1.3 信息安全管理基础)
鹿鸣天涯
03-22 3658
1.3 信息安全管理基础 欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料。 备考交流QQ群:39460595 https://www.moondream.cn/?p=521 一.大纲要求 1.3.1 信息安全管理制度与政策 * 熟悉我国计算机信息系统等级保护制度 * 了解我国涉及国家秘密的信息系统分级保护制度 * 了解我国密码管理政策 * 了解我国信息安全产品管理政...
信息安全概论———内容安全信息安全管理
WangCYman的博客
04-24 8790
内容安全 信息内容安全包括两部分:合法信息的保护和非法信息的监管; 信息隐藏和信息加密: 加密是把信息内容保护加密保护起来,不被旁人看到;而隐藏是将隐匿信息藏信息中,同时保证信息的可用性,保护的是版权; 内容保护技术: 数据锁定:使用密钥将数据锁定起来,然后通过分发和销售密钥来解锁特定的内容; 隐匿标记:利用文字和图像的格式特征隐藏信息,将标记信息隐藏在格式中,而不改变内容; 数字水印...
信息化安全管理及实施
07-28
信息化安全管理及实施是一个单位确保其信息系统安全的重要任务。为了最大程度地提高信息安全保障能力,单位需要采取一套合理的风险管理方法。这个方法包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询等步骤。\[3\]在这个过程中,不同的参与角色扮演着重要的角色,包括国家信息安全主管机关、业务主管机关、信息系统拥有者/运营者、信息系统承建者、信息系统安全服务机构等。\[2\]背景建立是信息安全风险管理的第一步,它包括确定信息安全目标、制定信息安全政策和规程等。\[3\]风险评估是为了识别和评估信息系统面临的各种风险,以便采取相应的措施进行风险处理。\[3\]风险处理是指根据风险评估的结果,采取适当的措施来降低风险的发生概率和影响程度。\[3\]批准监督是指对信息安全措施的执行进行监督和审查,确保其有效性和合规性。\[3\]监控审查和沟通咨询是贯穿于整个信息安全风险管理过程中的环节,用于监测和评估信息安全措施的有效性,并及时进行沟通和咨询。\[3\]通过这些步骤和措施,单位可以有效管理信息安全风险,保护其信息系统的安全。 #### 引用[.reference_title] - *1* *3* [网络信息安全安全风险管理](https://blog.csdn.net/fullbug/article/details/124272859)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [CISP 考试教材《第 3 章 知识域:信息安全管理》知识整理](https://blog.csdn.net/EasySecurity/article/details/120669206)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白帽Chen_D

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值