资源
中国通信企业协会网络安全人员能力认证考试知识点大纲
中国通信企业协会网络安全人员能力认证管理类基础级考试课件
中国通信企业协会网络安全人员能力认证考试管理类基础级复习资料
中国通信企业协会网络安全人员能力认证考试管理类基础级模拟题
系列文章
【通信安全CACE-管理类基础级】第1章 网络安全基础知识
【通信安全CACE-管理类基础级】第3章 国际安全标准体系概述
【通信安全CACE-管理类基础级】第4章 国内安全标准体系概述
【通信安全CACE-管理类基础级】第5章 安全体系最佳实践
【通信安全CACE-管理类基础级】第6章 风险评估
【通信安全CACE-管理类基础级】第7章 安全运维
【通信安全CACE-管理类基础级】第8章 网络安全应急响应
【通信安全CACE-管理类基础级】第10章 网络攻击
【通信安全CACE-管理类基础级】第11章 防护技术
目录
3.1 国际网络安全标准化组织
简称 | 全称 | 简介 |
---|---|---|
ISO | 国际标准化组织 | 世界最大的非政府性标准化专门机构 |
IEC | 国际电工委员会 | 世界上最早成立的国际电工标准化机构 |
ITU | 国际电信联盟 | 主管信息通信技术事务的联合国机构 |
IETF | Internet工程任务组 | 全球互联网最具权威的技术标准化组织 |
ANSI | 美国国家标准学会 | |
NIST | 美国国家标准与技术研究院 | 物理、生物、工程、测量技术、测试方法 |
BSI | 英国标准学会 | ISO9000 |
3.2 标准体系
3.2.1 NIST SP 800系列技术标准
- SP 800-30 风险管理主要流程
- 阐述如何确定风险框架或确定风险背景。
- 阐述组织如何评估已确定风险框架内的风险。
- 阐述组织应如何响应风险。
- 阐述组织应如何持续监视风险。
- SP 800-55 信息安全度量 4个互相关联的因素
- 强壮的高水准的管理支持的基础
- 权威支持的实用的安全政策和程序
- 可计量的性能度量
- 对测量数据定期的分析
- SP 800-64信息系统开发生命周期 SDLC五个阶段
- 启动(初始)
- 开发
- 部署和交付
- 运营和维护
- 处置(废弃)
3.2.2 ISO/IEC 15408
- cc标准的主要控制项:
3.3 ISO27000系列安全管理体系
3.3.1 标准综述
- 重要标准编号及名称
标准编号 | 名称 |
---|---|
ISO/IEC 27001 | 信息技术-安全技术-信息安全管理体系-要求 |
ISO/IEC 27002 | ~ 实用规则 |
ISO/IEC 27003 | ~ 实施指南 |
ISO/IEC 27004 | ~ 信息安全管理测量 |
ISO/IEC 27005 | ~ 风险管理 |
ISO/IEC 27006 | ~ 认证机构认可要求 |
ISO/IEC 27011 | ~ 电信行业信息安全管理指南 |
ISO/IEC 27031 | ~ 信息通信技术的业务连续性管理指南 |
ISO/IEC 27034 | ~ 应用安全指南 |
ISO/IEC 27035 | ~ 信息安全事件管理 |
3.2.2 重点标准简介
ISO 27001 体系要求
- PDCA戴明环:Plan、Do、Check、Action
- 标准正文内容构成
- 附录A控制域
- 组织层面的安全:信息安全策略和信息安全组织
- 对人、IT资产、外包的安全管理:人力资源安全、资产管理、访问控制、密码学、物理和环境安全、操作安全、通讯安全、系统的开发、获取及维护和供方关系
- 安全应急响应:信息安全事故管理和信息安全方面的业务连续性管理
- 合规管理:符合性
- 适用范围与应用场景
ISO/IEC 27002 实用规则
- 与27001的关系:是对ISO/IEC 27001标准附录A中内容实现方式的补充与描述
- 适用范围:为在组织内启动、实施、保持和改进信息安全管理提供指南和通用的原则。
- 标准结构:信息安全政策、责任、资源、安全管理、访问控制、通信及操作安全、控制审计、问题处理
ISO/IEC 27003 实施指南
- 用途:为按照ISO/1EC27001建立、实施、监控、评审、维持和改进信息安全管理体系提供应用实施指南,实施过程依照PDCA模型
ISO/IEC 27004 信息安全管理测量
- 用途:该标准主要为组织测量信息安全控制措施和ISMS过程的有效性提供指南。
ISO/IEC 27005 风险管理
- 理解信息安全风险管理的六个过程:确定环境、风险评估、风险处置、风险接受、风险沟通、风险监视、评审
3.2.3 ISMS建设与实施
风险评估的三个阶段
资产识别、威胁识别、脆弱性识别