《CISP》(三)信息安全管理

最新推荐文章于 2022-10-08 12:25:12 发布
最新推荐文章于 2022-10-08 12:25:12 发布
阅读量1.8k 收藏 4
点赞数
文章标签: CISP NISP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43681877/article/details/122540062
版权

本系列是学习《CISP》中易混淆点的记录,文章顺序是按照教材讲解而定

目录

一、信息安全管理体系 ISMS

ISMS是组织整体管理体系的一部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用的方法体系。

基于风险评估组织的风险接收水平

ISMS通常指一ISO/IEC 27001为代表的一套成熟的标准族

信息安全本质问题是人的问题

安全技术是信息安全控制的重要手段,安全技术信息安全的构筑材料,信息安全管理时粘合剂和催化剂,技术和产品是基础,管理才是关键

强调“技管并重”,“坚持管理和技术并重”是我国加强信息安全保障工作的主要原则

信息安全管理是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程

对组织机构的价值
(1)对组织内

  • 能够保护关键信息资产和知识产权,维护竞争优势
  • 在系统遭受侵袭是,确保业务持续开展并将损失降到最低程度
  • 建立起信息安全审计框架,实施监督检查
  • 建立起文档化的信息安全管理规范,实现有法可依、有章可循、有据可查
  • 强化员工的信息安全意识,建立良好的安全作业习惯,培育组织的安全企业文化
  • 按照风险管理的思想建立起自我持续改进和发展的信息安全管理机制,用最低的成本达到可接受的信息安全水平,从根本上保证业务的持续性。

(2)对组织外

  • 使各利益相关方对组织充满信息
  • 能够帮助界定外包时的双方的信息安全责任
  • 可以使组织更好地满足客户或其他组织的升级要求
  • 可以使组织更好地符合法律法规要求
  • 通过ISO27000,提高组织的公信度
  • 明确要求供应商提高信息安全水平,保证数据交换中的信息安全

二、信息安全风险管理

信息安全风险管理的目的:将风险控制到可接受的程度,保护信息及其相关资产,最终保障组织能够完成其使命,实现其目标。

1、风险

事态的概念及其结果的组合

构成风险的5个方面:威胁源、威胁行为、脆弱性、资产、影响

2、风险管理

风险评估、风险减缓、基于风险的决策

  • 风险评估:评价系统的资产、威胁、脆弱性+现有安全措施,分析安全事件发生的可能性以及可能的损失,从而确定信息系统的风险,判断风险的优先级,建议处理分享的措施
  • 风险减缓:考察信息安全措施的成本,选择合适的方法处理风险,将风险控制到可接受的程度
  • 基于风险的决策:由信息系统的主管者或者运营者判断参与分享是否处于可接受的水平之内,做出决策决定是否允许信息系统运行

3、风险管理相关要素

资产、威胁、脆弱性

  • 使命依赖资产完成,资产拥有价值
  • 信息化程度越高,单位的使命越重要
  • 对资产依赖程度越大,资产的价值越大
  • 资产的价值越大,风险越大
  • 风险由威胁引发,威胁越大,风险越大,可能演变为事件
  • 威胁利用脆弱性实现,脆弱性越容易被利用,风险越大
  • 资产的重要性和对风险的意思导出安全需求
  • 安全需求通过安全措施得以满足,有成本
  • 安全措施抵抗威胁,降低风险,减弱事件的影响
  • 残余风险:
    1 . 安全措施不当或者无效
    2 . 综合考虑安全成本和资产价值之后接收残余风险
    残余风险应该受到密切监视,它可能将来引发新的事件请添加图片描述

4、信息安全风险管理基本过程

监控检查和沟通咨询贯穿始终
请添加图片描述

(1)背景建立

确定风险管理的对象和范围,建立在业务需求的基础上

包括:风险管理准备、信息系统调查、信息系统分析、信息安全分析

(2)风险评估

确定信息资产的价值、识别适用的威胁脆弱点、识别现有控制措施、对已识别风险的影响,确定潜在后果,对风险进行最终的优先级排序

包括:风险评估准备、风险要素识别、风险分析、风险结果判定

最终形成本阶段输出《风险评估报告》

(3)风险处理

依据风险评估结果,选择和实施合适的安全措施

目的:将风险始终控制在可接受的范围内

方式:降低、规避、转移、接收

  • 降低:从风险5个方面采取保护措施:法律(威胁源);身份认证(威胁行为);打补丁、关闭无关端口(脆弱性);容灾备份、应急响应(影响程度)
  • 规避:不使用面临风险的资产
  • 转移:将资产转移到更安全的地方来避免或降低风险,外包
  • 接收:前提:确定风险的等级、评估风险发生的可能性及带来的破坏…认定某些资产不需要进一步保护

过程:现存风险判断、处理目标确立、处理措施选择、处理措施实施

(4)批准监督

批准:决策层依据风险评估和处理结果是否满足安全需要来做出是否认可风险管理的决定
持续监督:管理层、执行层

依据相关标准,围绕业务

批准通过原则:

  1. 信息系统残余风险可以接受
  2. 安全措施能够满足信息系统当前业务的需要

(5)监控审查

  1. 过程质量管理:监视和控制风险管理过程
  2. 成本效益管理:分析和平衡成本效益
  3. 协调内外部组织机构风险管理活动

内容:

  1. 监控过程有效性:过程是否完整、有效执行监控、输出文档齐全、内容完备
  2. 监控成本有效性:执行成本与所得效果相比是否合理
  3. 审查结果有效性和符合性

(6)沟通咨询

三、信息安全管理体系建设

1、PDCA(Plan Do Check Adjust)

戴明环:策划——实施——检查——改进

2、文档化

3、信息安全管理体系控制措施

(1)信息安全措施
杰西啊杰西
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
信息安全CISP认证-大家关心哪些问题?
zpedupx_2022的博客
07-21 346
CISP证书不分等级,主要分2个报考方向包含CISE-注册信息安全工程师和CISO-注册信息安全管理员,CISE偏技术,CISO偏管理,主要是根据您岗位来选择的,培训内容和证书的作用是一摸一样的,只有考试的10分侧重点不一样。信息安全保障,信息安全监管,信息安全管理,业务连续性,安全工程与运营,安全评估,安全支撑技术,物理与网络通信安全,计算环境安全,软件安全开发等。CISP考试通过后的获证周期大概是3-5个月左右,其中1-3个月等待成绩的公布,1-2个月等待证书的制作。想要实现工资翻倍蹭蹭涨?...
CISP0302信息安全风险管理
02-10
CISP0302信息安全风险管理 知识子域: 风险相关基础概念。 理解风险的概念,理解资产、威胁、脆弱性、业务战略、安全事件、安全需求、安全措施等风险相关概念。 理解风险准则、风险评估、风险处理、风险管理、...
信息安全风险管理.pdf
09-28
CISP信息安全风险管理,介绍了信息安全风险管理基本理念
CISP+信息安全管理+知识点汇总
07-23
CISP+信息安全管理+知识点汇总 3.1 知识子域:信息安全管理基础 3.2 知识子域:信息安全风险管理 3.3 知识子域:信息安全管理体系建设 3.4 知识子域:信息安全管理体系最佳实践 3.5 知识子域:信息安全管理体系度量
信息安全保障》一3.1 信息安全管理概述
weixin_33701251的博客
07-03 1374
本节书摘来自华章出版社《信息安全保障》一书中的第3章,第3.1节,作者 吴世忠 江常青 孙成昊 李华 李静,更多章节内容可以访问云栖社区“华章计算机”公众号查看 3.1 信息安全管理概述 随着以计算机和网络通信为代表的信息技术的迅猛发展,现代政府部门、金融机构、企事业单位和商业组织对信息系统的依赖日益加重,由于管理不善、操作失误等原因导致的信息安全事件数...
cisp知识点
qq_31897241的博客
05-11 872
信息安全事件七个基本类别: 1.扫描=风险要素识别 2.在戴明环(PDCA)模型中,处置(ACT)环节的信息安全管理活动是:持续改进信息安全管理过程 3.信息安全风险等级的最终因素是:影响和可能性 4.BLP模型:机密性,向下读,向上写。 5.RSA:公钥算法,既能用于数据加密,又能用于密钥交换。 6.win中 NYFS支持文件加密 7.数字签名不加密;公钥密码不含消息认证码。 8.模糊测试本质上是黑盒测试 9.主体提交访问请求,到实施,,实施到访问请求到客体。 ↑练习题二、 ...
信息安全管理CISP)—— 信息安全管理
ChenD的学习笔记
09-28 2780
信息安全管理的部分内容
cisp-信息安全保障
m0_48838378的博客
05-05 2001
cisp自用笔记
CISP》(一)信息安全保障
qq_43681877的博客
01-17 1357
本系列是学习《CISP》中易混淆点的记录,文章顺序是按照教材讲解而定
CISP管理部分-1、信息安全保障
云上笛暮
01-10 2365
第一章信息安全保障 1.1 信息安全保障基础 1.1.1信息安全定义 信息安全定义:ISO对信息安全的定义:“为数据处理系统建立和采取技术、管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露” 1.1.2信息安全问题根源及特征 信息安全问题的根源 内因:信息系统复杂性导致漏洞的存在不可避免 外因:环境因素、人为因素 信息安全的特征 系统性、动态性、无边界、非传统 1.1.3信息安全保障基础 信息安全属性:CIA 1.1.4信息安全视角...
CISP信息安全管理》PPT
06-18
CISP信息安全管理》PPT
CISP+信息安全保障+知识点汇总
07-23
总的来说,CISP信息安全保障的知识点涵盖了信息安全的各个方面,从基础概念到实际操作,再到政策法规,构建了一套全面的防护体系。理解和掌握这些知识点对于任何从事信息安全工作的专业人士来说都至关重要。
CISP信息安全管理_V4.2.pptx
02-02
CISP信息安全管理_V4.2.pptx
CISP(注册信息安全专家认证完整资料).rar 全网 最全 最新
06-22
03-信息安全管理_V4.2.pptx 03、信息安全管理.pdf 03、信息安全管理.svg 04-业务连续性_V4.2.pptx 04、业务连续性.pdf 04、业务连续性.svg 05-安全工程与运营_V4.2.pptx 05、安全工程与运营.pdf 05、安全工程与运营....
cisp课件:信息安全评估
06-12
CISP培训课件,培训学院内部资料,刚参加了蓝盾的CISP培训,赚点积分
信息安全水平一级(第一部分)
qq_49091880的博客
10-20 1695
信息与信息安全 信息与信息技术 信息是事物运动状态或存在方式的不确定性的描述 信息是具体的,并且可以被人所感知、提取、识别、可以被传递、存储、变换、处理、显示检索和利用 数据是反映客观事物属性的记录,是信息的具体表现形式,信息经过加工处理成数据才能存储和传输 (一)信息技术 定义:是用于管理和处理信息所采用的各种技术的总称 主要是利用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件 (二)信息技术包括生产和应用两个方面 ()信息技术发展阶段 微电子、通信、计算机和网络是信息系统的
企业信息安全整体架构
hsabrina的博客
07-14 3582
在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。安全体系建设中,安全管理是一个非常重要的部分。任何的安全技术保障措施,最终要落实到具体的管理规章制度以及具体的管理人员职责上,并通过管理人员的工作得到实现。...
信息安全管理CISP)—— 安全工程与运营
ChenD的学习笔记
10-08 455
安全工程与运营部分内容
CISP学习笔记
weixin_42454262的博客
01-15 1438
最近在学习CISP的知识,做了一些笔记,有不到位的地方请大家批评指正 第一章:信息安全保障 信息安全保障基础 信息安全概念 ISO对信息安全的定义(考题) 为数据处理系统建立和采取技术、管理的安全保护,保护计算机阴间、软件、数据不因偶然的或恶意的原因而受破坏、更改、泄露 技管并重:70%管理、30%技术 信息安全 对信息资产进行CIA保护,防止恶意或者非法访问(非授权) 信息安全管理对象(信息资产): 包括人员在内的有价值得到资产,人的安全性.
cisp网络安全题库
最新发布
11-10
CISP网络安全题库是由中国信息安全测评中心(CISP)所编制的一套网络安全相关题目的集合。该题库旨在为网络安全人员提供系统性的培训和学习资源,帮助他们提升自身的网络安全知识和技能。 CISP网络安全题库包含了多个方面的题目,涵盖了网络安全的各个主要领域,如网络基础知识、信息安全标准与法规、密码学与加密算法、网络攻击与防御、网络安全管理等。通过学习和回答这些题目,可以提高个人对网络安全的整体认识和理解。 使用CISP网络安全题库,首先可以帮助人们系统地学习网络安全的基础知识,了解网络安全的基本概念、原理和技术。其次,通过练习题目,可以巩固和加深对网络安全知识的理解,培养分析和解决问题的能力。同时,题库还提供了一些真实场景下的案例题目,让学员能够更好地运用所学知识解决实际问题。 CISP网络安全题库还包含了一些考试模拟题,帮助人们了解网络安全相关考试的题型和难度,为备考提供参考。通过完成题库中的习题和模拟考试,可以评估自己的学习成果,发现自身的不足之处,并加以改进。 总之,CISP网络安全题库是一个重要的学习资源,通过系统学习和回答其中的题目,可以提高个人的网络安全意识和技能,并为网络安全工作提供有力支持。同时,希望该题库能够不断更新和完善,以适应不断发展变化的网络安全威胁和挑战。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

杰西啊杰西

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值