CISP V4.2知识体系大纲知识点梳理
企业的IT战略要服务于企业的业务战略(5*8、7*8、7*16、7*24),企业关注业务连续性
知识点
要求
了解理解国际标准化组织、美国、欧盟等对信息安全的定义;
理解信息安全问题的根内因和外因;
☆内因信息系统的复杂性导致漏洞不可避免。
☆环境因素和人为因素
理解信息安全定义及信息安全问题狭义、广义两层概念及区别;
☆狭义——信息安全应用技术
☆广义——一个跨科学领域的安全问题
1、保证组织业务的可持续性。安全要考虑综合成本因素。
2、安全要考虑成本因素
3、全生命周期而任何一个安全主体的失败都将导致网络安全的整体失败。——信息安全应该建立在
整个生命周期中所关联的人、 事、物的基础上,综合考虑人、技术、管理和过程 控制,使得信息安全
不是一个局部而是一个整体
4、信息系统不仅仅是业务的支撑,而是业务的命脉
理解信息安全是系统的安全、动态的安全、无边界的安全、非传统的安全等
☆1、系统性——信息安全问题是复杂的问题具有系统性
☆2、动态性——信息安全是一个全生命周期的管理;网络安全是一个动态过程(实时变化)。
☆3、无边际——信息安全是无边际完全,具有开放性和互通性
☆4、非传统——信息安全是非传统安全,与传统的安全相比显著不同
了解威胁情报、态势感知的基本概念及对信息安全的作用。
理解信息安全属性的概念及 CIA 三元组(保密性、完整性、可用性)的概念;
★保密性:确保信息不要暴露给未经授权的实体或进程(网络侦听、嗅探、网络监听)
保护措施:加密、授权等
★完整性: 只有得到许可的人,才能修改数据,而且可以判定数据是否已经被篡改。
保护措施:数字信封—收件人确认
数字签名—发件人确认
★可用性:用户在需要时可以访问数据,即攻击者不能占用全部资源而阻碍授权者的工作。
保护措施:clustering(集群技术),UPS(不间断),backup(备份技术),
两地三中心等
了解真实性、不可否认性、可问责、可控性等其他不可缺少的信息安全属性概念。
了解国家视角对信息安全关注点(网络战、关键基础设施保护、法律建设与 标准化)相关概念;
了解企业视角对信息安全关注点(业务连续性管理、资产保护、合规性)相 关概念;
了解个人视角对信息安全关注点(隐私保护、个人资产保护、社会工程学)相关概念。
了解通信安全阶段的核心安全需求、主要技术措施;
了解计算机安全阶段信息安全需求、主要技术措施及阶段的标志;
了解信息系统安全阶段的安全需求、主要技术措施及阶段的标志;
了解信息安全保障阶段与系统安全阶段的区别,信息安全保障的概念及我国信息安全保障工作的总体要
求、主要原则;
☆总体要求——适度安全、预防为主、积极主动。
1、立足国情,以我为主,坚持管理与技术并重;
2、正确处理安全与发展的关系,以安全保发展,在发展中求安全;
3、统筹规划,突出重点,强化基础工作;
4、明确国家、企业、个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体
系。
☆核心思想:强调威慑。
了解网络空间的概念,理解网络空间安全的重要性。
3
2
2
2
3
2
3
3
3
3
3
3
3
3
3
3
3
3
2
2
知识域
一、知识域:信息安全保障
1.1 知识子域:信息安全保障基础
1.1.1 信息安全概念
1.1.2 信息安全属性
1.1.3 信息安全视角
1.1.4 信息安全发展阶段
1.1.5 信息安全保障新领域
1.2 知识子域:安全保障框架模型
1.2.1 基于时间的 PDR 与 PPDR 模型
了解工业控制系统中 SCADA、DCS、PLC 等基本概念,理解工业控制系统 的重要性,面临的安全威胁
及安全防护的基本思路;
了解云计算所面临的安全风险及云计算安全框架;了解虚拟化安全的基本概念;
了解物联网基本概念、技术架构及相应的安全问题;
了解大数据的概念,大数据应用及大数据平台安全的基本概念;
了解移动互联网面临的安全问题及安全策略;
了解智慧的世界的概念。
理解基于时间的 PDR、PPDR 模型的核心思想及出发点;
PDR:承认漏洞,正视威胁,采取适度防护、加强检测工作、落实响应、建立对威胁的防护来保障系统
的安全
PPDR:所有的防护、检测、响应都是依据安全策略实施
理解 PPDR 模型与 PDR 模型的本质区别;
Pt防护时间,Dt 检测时间,Rt响应时间,Et,收到攻击后的暴露时间。
第 1 页,共 20 页
CISP V4.2知识体系大纲由刘啸进行梳理奉上,微信号lx08281986
1.2.2 信息安全保障技术框架
CISP V4.2知识体系大纲知识点梳理
了解基于时间的判断系统安全性的方式。
理解信息安全保障技术框架(IATF)的深度防御的核心思想、三个核心要素 及四个焦点领域;
美国国家安全局(NSA)制定,为保护美国政府和工业界的信息与信息技术设施提供技术指南
★核心思想:“深度防御”。
★三个要素:"人、技术、操作"
★四个焦点领域:保护网络和基础设施 、保护区域边界 、保护计算环境 、支持性基础设施。
了解保护区域边界的原则和技术实现方式;
了解保护计算环境的原则和技术实现方式;
了解保护网络基础设施的原则和技术实现方式;
了解支撑性基础设施建设的概念及技术实现。
1.2.3 信息系统安全保障评估框架
1.2.4 企业安全架构
☆安全原则 :保护多个位置 、分层防御 、安全强健性。
☆信息保障技术框架IATF特点 :
全方位防御、纵深防御将系统风险降到最低 ;
信息安全不纯粹是技术问题,而是一项复杂的系统工程 ;
提出“人”这一要素的重要性,人即管理。
理解信息系统保障相关概念及信息安全保障的核心目标;
☆基本概念——在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保
障策略,从技术、 管理、工程和人员等方面提出信息安全保障要求,确保信息系统的保密性、完整性
和可用性,把安全风险到可接受的程度,从而保障系统能够顺利实现组织机构的使命。
☆核心目标——根据信息系统保护轮廓(ISPP)编制的信息系统安全保障方案。
某一特定产品或系统的安全需求。
ISST从信息系统安全保障的建设方(厂商)的角度制定的信息系统安全保障方案。
了解信息系统保障评估的相关概念和关系;
理解信息系统安全保障评估模型主要特点,生命周期、保障要素等概念。
☆主要特点:
将风险和策略作为信息系统安全保障的基础和核心
强调安全贯彻信息系统生命周期
强调综合保障的观念
☆生命周期: 计划→开发采购→实施交付→运行维护→变更→废弃。
☆保障因素-技术:密码技术 、访问控制技术 、审计和监控技术 、网络安全技术 、
操作系统技术 、数据库安全技术 、安全漏洞与恶意代码 、软件安全开发
☆保障因素-信息安全管理 、信息安全工程 、信息安全人才 (☆三分技术、七分管理)
了解企业安全架构的概念;
网络安全是分层和分级实现的。
了解舍伍德的商业应用安全架构模型构成及;
伍德的商业应用安全架构模型-SABSA 以业务风险评估、法律要求得出安全需求依据
了解舍伍德的商业架构模型生命周期。
二、知识域:网络安全监管
2.1 知识子域:网络安全法律体系建设
2.1.1 计算机犯罪
2.1.2 我国立法体系
2.1.3 网络安全法
了解计算机犯罪的概念、特征及计算机犯罪的发展趋势。
了解我国多级立法机制及相关职能;
了解立法分类(法律、行政法规及地方性法规)。
理解网络安全法出台背景;
第 2 页,共 20 页
3
2
3
2
3
2
3
3
3
3
3
3
CISP V4.2知识体系大纲由刘啸进行梳理奉上,微信号lx08281986
CISP V4.2知识体系大纲知识点梳理
2
3
2
3
3
3
3
3
3
20150626第一次审议→20160628第二次审议→20161031第三次审议→20161107出台
了解网络安全法中定义的网络、网络安全等基本概念及网络空间主权原则;
主权原则:
确立网络空间主权;
明确网络安全管理体制及职责分工;
明确特点情况下的域外适用效力。
理解网络运行安全制度、关键基础设施保护制度、等级保护制度、网络安全审查制度的相关要求
★1、明确要求落实网络安全等级保护制度。
★2、明确网络运营者的安全义务。
★3、明确网络产品、服务提供者的安全义务。
★4、明确一般性安全保护义务。
★5、明确关键信息基础设备保护义务。
★6、关键基础设施运营中产生的数据必须境内存储。
★7、明确我国实行网络安全审查制度
个人信息和重要数据出境安全评估办法:
明确了个人信息和重要数据出境的范围:
有50万人以上的个人信息
数据量超过1000GB
7大重要领域数据等
七大重要领域数据:包含核设施、化工生物、国防军事、人口健康等领域数据。大型工程活动、海洋环
境以及敏感地理信息数据等。
评估7个方面:
1、数据出境必要性;
2、涉及个人信息情况,包含个人信息的数据、范围、类型、敏感程度,以及个人信息主体是否同意其
个人信息出境等;
3、涉及重要数据情况,包括重要数据的数量、范围、类型及敏感程度等;
4、数据接收方的安全措施、能力和水平,以及所在国家和地区的网络安全环境等;
5、数据出境及再转移后被泄漏、毁损、篡改、滥用等风险;
6、数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;
7、其他需要评估的重要事项。
了解行政违法相关概念及相关行政处罚;
了解刑事责任、常见网络安全犯罪及量刑等概念;
了解民事违法相关概念及违法民事处罚;
了解国家安全法、保密法、电子签名法、反恐怖主义法、密码法中网络安全相关条款。
了解国家网络空间安全战略中总结的七种新机遇、六大严峻挑战及网络空间 “和平、安全、开放、合作
、有序”的发展战略目标 ;
七种新机遇:
1、信息传播的新渠道
2、生产生活的新空间
3、经济发展的新引擎
4、文化繁荣的新载体
5、社会治理的新平台
6、交流合作的新纽带
7、国家安全的新疆域
六大严峻挑战
1、网络渗透危害政治安全
2、网络攻击威胁经济安全
3、网络有害信息侵蚀文化安全
4、网络恐怖和违法犯罪破坏社会安全
5、网络空间的国际竞争方兴未艾
6、网络空间机遇挑战并存,机遇大于挑战
发展目标:
以总体国家安全观为指导,贯彻落实创新、协调、绿色、开放、共享的发展理念,增强风险意识和危机
意识,统筹国内国际两个大局,统筹发展安全两件大事,积极防御、有效应对,腿筋网络空间和平、安
全、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的战略目标
了解国家网络空间战略提出的四项基本原则和九大任务;
四项基本原则:
1、尊重维护网络空间主权;
2、和平利用网络空间;
3、依法治理网络空间;
4、统筹网络安全与发展。
九大任务:
1、坚定捍卫网络空间主权
2、坚决维护国家安全
3、保护关键信息基础设施
4、加强网络文化建设
5、打击网络恐怖和违反犯罪
6、完善网络治理体系
7、夯实网络安全基础
8、提升网络空间防护能力
9、强化网络空间国际合作
了解我国网络安全等级保护相关政策。
第 3 页,共 20 页
2.1.4 网络安全相关法规建设
2.2 知识子域:网络安全国家政策
2.2.1 国家网络空间安全战略
2.2.2 国家网络安全等保政策
CISP V4.2知识体系大纲由刘啸进行梳理奉上,微信号lx08281986
2.3 知识子域:网络安全道德准则
2.3.1 道德约束
2.3.2 职业道德准则
2.4 知识子域:信息安全标准
2.4.1 信息安全标准基础
2.4.2 我国信息安全标准
2.4.3 等级保护标准族
CISP V4.2知识体系大纲知识点梳理
《中华人民共和国计算机信息系统安全保护条例 》规定了计算机系统实现安全等级保护
GB 17859正式细化等级保护要求,划分五个级别
《关于信息安全等级保护工作的实施意见的通知 》规定等级保护指导思想、原则和要求。定级从信息
和信息系统的业务重要性及遭受破坏后的影响出发
网络安全法明确我国实行网络安全等级保护制度
了解道德的概念、道德与法律的差异;
理解道德约束相关概念。
理解信息安全从业人员遵守职业道德的重要性;
了解目前国际团体和组织制作的职业道德规范文件;
理解《CISP 职业道德准则》的要求;
☆维护国家、社会和公众的信息安全
☆诚实守信、遵纪守法
☆努力工作,尽职尽责
☆发展自身,维护荣誉
了解标准的基本概念及标准的作用、标准化的特点及原则等;
了解国际信息安全标准化组织和我国信息安全标准化组织;
了解我国标准分类及信息安全标准体系。
主要国际标准化组织 :
国际标准化组织(ISO)
国际电工委员会(IEC)
Internet工程任务组(IETF)
国际电信联盟(ITU)及国际电信联盟远程通
信标准化组织(ITU-T)
国家标准化组织(美国)
美国国家标准化协会(ANSI)
美国国家标准技术研究院(NIST)
其他文件:2003年,7月中国信息化领导小组 《关于加强信息安全保障意见》中办发 27号文件。
总体要求:坚持积极防御、综合防范的方针,全面提高…… 重点保障基础信息网和重要信息系统。保障
和促进信息化发展,保护公共利益,维护国家安全。
主要原则:立足国情,以我为主,坚持管理及技术并重;正确处理安全与发展的关系,以安全保发展,
在发展中求安全;统筹协调,突出重点,强化基础性工作;明确国家、企业、和个人的责任和义务,充
分发挥各方面的积极性,共同构筑国家信息安全保障体系。
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)文主要任务
1、实行信息安全等级保护;
2、加强以密码技术为基础的信息保护和网络信任体系建设;
3、建设和完善信息安全监控体系;
4、重视信息安全应急处理工作;
5、加强信息安全技术研究开发,推进信息安全产业发展;
6、加强信息安全法制建设和标准化建设;
7、加快信息安全人才培养,增强全面信息安全意识;
8、保证信息安全资金;
9、加强对信息安全保护工作的领导,建立健全信息安全管理责任制。
了解我国信息安全标准体系分类及基础标准、技术与机制、管理与服务标准、测评标准构成;
中国国家标准化管理委员会是我国最高级别的国家标准机构
全国信息安全标准化技术委员会(TC260)
GB 强制性国家标准
GB/T 推荐性国家标准
GB/Z 国家标准指导性技术文件
了解网络安全等级保护标准体系;
掌握等级保护实施流程中定级、备案的工作要求并了解等级保护整改、测评相关要求;
★★《关于信息安全等级保护工作的实施意见的通知》 GB 17859正式细化等级保护要求,划分五个级
别;1级免测、2-4级分别对应 一般、严重、重大危害,5级涉密处理。
了解等级保护 2.0 的相关变化。
三、知识域:信息安全管理
3.1 知识子域:信息安全管理基础
3.1.1 基本概念
了解信息、信息安全管理、信息安全管理体系等基本概念。
第 4 页,共 20 页
3
3
2
2
3
2
3
3
3
3
3
1
3
CISP V4.2知识体系大纲由刘啸进行梳理奉上,微信号lx08281986
CISP V4.2知识体系大纲知识点梳理
信息:关于客观事实的可以通讯的知识。
信息具有如下特征:
1、信息是客观世界中各种事物特征的反应。
2、信息是可以通讯的(交换),而且随着交换而增值。
3、信息是有价值的
信息安全管理是组织管理体系的一个重要环节,是企业实施信息安全策略的方式。
信息安全策略:在一个特定的环境(内部环境和外部环境)下,为了实现一定级别(分级分层实现)的
安全保护、所必须遵守的规则。
信息安全管理体系ISMS (27000系列一直在更新,27799医疗机构信息安全指南)
3.1.2 信息安全管理的作用
理解信息安全管理的作用,对组织内部和组织外部的价值。
项目管理:整体管理——范进成质资沟风采干(范围、进度、成本、质量、人力资源、沟通、风险、采
购、干系人)管理
技术是安全的基础、 管理是安全的灵魂。网络安全只有相对安全、没有绝对安全。
作用:
信息安全管理是组织整体管理的重要、固有组成部分,是组织实现其业务目标的重要保障
信息安全管理是信息安全技术的融合剂,保障各项技术措施能够发挥作用
信息安全管理能预防、阻止或减少信息安全事件的发生
3.2 知识子域:信息安全风险管理
3.2.1 风险管理基本概念
3.2.2 常见风险管理模型
3.2.3 安全风险管理基本过程
网络安全管理遵循木桶理论(短板效应)
网络安全管理遵循新木桶理论(要不同要素之间的紧密结合)
了解信息安全风险、风险管理的概念;
理解信息安全风险管理的作用和价值;
作用:
信息安全管理是组织整体管理的重要、固有组成部分,是组织实现其业务目标的重要保障
信息安全管理是信息安全技术的融合剂,保障各项 技术措施能够发挥作用
信息安全管理能预防、阻止或减少信息安全事件的 发生
对组织的价值:
对内:1、保护关键信息资产、知识产权、维持竞争优势;
2、在系统受侵袭时,确保业务持续开展并将损失降到低程度;
3、建立起信息安全审计框架,实施监督检查;
4、建立起文档化的信息安全管理规范,实现有法可依、有章可循、有据可查。
对外:1、使各利益相关方对组织充满信心;
2、能够帮助界定外包时双方的信息安全责任;
3、可以使组织更好地满足客户或其他组织的审计要求;
4、可以使组织更好地符合法律法规的要求;
5、若通过了ISO27001认证,能够提高组织的公信度;
6、可以明确要求供应商提高信息安全水平,保证数据交换中的信息安全
理解风险管理中各要素的关系。
风险:客观存在,事态的概率及其结果的组合。风险代表不确定性。
风险两个特征:随机性、相对性(正面-机遇/负面-影响)
风险两个属性:概率、影响(负面)
风险管理——把风险带来概率或影响降到最低。并遵循成本效益原则
了解 COSO 报告、ISO31000、COBIT 等风险管理模型的作用。
治理是对管理的管理
COSO(报告内部控制整合框架)
三个目标:财务报告可靠性、经验效率和效果、合规性
五个管理要素:内制环境、风险评估、控制活动、 信息与沟通、监控
ISO31000 (风险管理原则与实施指南)——为所有与风险管理相关的操作提供最佳实践结构和指导
COBIT (信息和关键技术的控制目标)——为信息系统和技术的治理及控制过程提供最佳实践
组件:框架、流程描述、控制目标、管理指南、成熟度模型
掌握风险管理中背景建立、风险评估、风险处理、批准监督、监控审查、沟通咨询等步骤的工作内容。
风险管理是全周期管理(动态的)
背景建立:
范围:做对的事情,比把事情做对更重要
人财物的支撑(资产——任何对IT交付有影响的资源)
风险评估:准备-识别-分析-判定
威胁:对脆弱性的利用
控制措施:为了防止威胁采取的动作。
风险处理:把风险控制在可接受范围内
沟通咨询:目标-达到共识
要素:1、沟通要有目标
2、沟通要有对象
3、沟通要有内容
4、沟通要有反馈
3.3 知识子域:信息安全管理体系建设
3.3.1 信息安全管理体系成功因素
应用信息安全风险管理 (ISO/IEC 27005)
理解信息安全管理体系成功因素。
理解GB/T 29246-2017中描述的信息安全管理体系
成功的主要因素:
有效的信息安全意识、培训和教育计划,已使所有员工和其他相关方知悉在信息安全策略、标准等当中
他们的信息安全义务,并激励他们做出相 应的行动;
有效的信息安全事件管理过程;
有效的业务持续性管理方法;
评价信息安全管理性能的测量系统和反馈的改进建议。
第 5 页,共 20 页
3
2
3
2
2
3
1
2
CISP V4.2知识体系大纲由刘啸进行梳理奉上,微信号lx08281986
CISP V4.2知识体系大纲知识点梳理
3.3.2 PDCA 过程
理解 PDCA 过程方法及 27001 中定义的 PDCA 过程方法四个阶段工作内容。
PDCA-戴明环-每天进步一点点
P(Plan):计划
D(Do):实施
C(Check):检查
A(Act):行动
3.3.3 信息安全管理体系建设过程
3.3.4 文档化
3.4 知识子域:信息安全管理体系最佳实
践
掌握规划与建立阶段组织背景、领导力、计划、支持等主要工作的内容;
领导定方针
计划 :
计划建立在风险评估基础上
计划必须符合组织的安全目标
层次改进
支持: 获得资源 、全员宣贯培训
理解实施与运行、监视和评审、维护和改进阶段工作内容。
实施与运行:
实施风险评估,确定所识别信息资产的信息安全风险以及处理信息安全风险的决策,形成信息
安全要求
控制措施适度安全
控制在适用性声明中形成文件
监视和评审:
根据组织政策和目标,监控和评估绩效来维护和改 进ISMS
维护与改进 :不符合和纠正措施 、持续改进
理解文档化的重要性并了解文件体系及文件控制的方式。
一级——方针、政策
二级——制度、流程、规范
三级——使用手册、操作指南、作业指导书
四级——日志、记录、检查表、模板、表单
了解ISO 27002 《信息安全管理实践准则》
3.4.1 信息安全管理体系控制类型
3.4.2 信息安全管理体系控制措施结构 了解 ISO27002要求的14个控制章节。
3.4.3 信息安全管理体系控制措施
了解预防性、检测性、纠正性控制措施的差别及应用。
了解安全方针、信息安全组织、人力资源安全、资产管理、访问控制、密码学、物理和环境安全、操作
安全、通信安全、安全采购开发和维护、供应商关系、 安全事件管理、业务连续性管理及合规性的控
制目标和控制措施。
控制目标-依据业务要求
监理的作用四控(四控三管一协调)
四控:质、进、投、变
三管:合、信、安
四控,进度控制、质量控制、成本控制(投资控制)、变更控制,三管,合同管理、安全管理、文档管
理,一协调,沟通与协调业主、承建方、设备和材料供应商之间的关系。
1、信息系统监理是指已经在政府工商管理部门注册的,具有信息系统监理资质的单位,接受建设方的
委托,依照相关法律法规、行业与技术标准以及监理合同,对信息系统建设实施的整个过程进行监督管
理的过程。
2、信息系统监理的作用主要有。
1为业主提供技术上的参考和咨询。
2站在技术的角度对承建方的操作进行监督和管理。
3保证项目交付成果的质量和项目管理的成果。
4协调各方面的关系,对于质量管理来说,信息系统监理有何作用对于项目质量来讲,信息系统监理可
以在以下几个方面对质量产生影响。
3.5 知识子域:信息安全管理体系度量
3.5.1 基本概念
3.5.2 测量要求与实现
四、知识域:业务连续性
4.1 知识子域:业务连续性管理
4.1.1 业务连续性管理基础
4.1.2 业务连续性计划
了解 ISMS 测量的基本概念、方法选择、作用;
测量的概念:根据多个因素选择合理的测量方法
测量的目的 : 帮助管理层识别和评价不符合和无效的控制措施
帮助组织展示与组织信息安全管理体系的符合程度 ,并能产生管理评审过程的输入
了解 27004 定义的测量模型。
了解测量实现的工作内容。
了解业务连续性 BC、业务连续性管理BCM的概念;
理解 BCM 对组织机构的重要性;
BC 业务连续性,(Business Continuity, BC)是组织对事故和业务中断的规划和响应,使业务可能在预
先定义的级别上持续运行的组织策略和战术上的能力
BCM 业务连续性管理 ,是找出组织有潜在影响的威胁及其对组织业务运行的影响,通过有效响应措施
保护组织的利益、信誉、品牌和创造价值的活动,并为组织提供建设恢复能力框架的整体管理过程。是
一项综合管理流程,由业务驱动,集合了技术、管理的一体化动态管理流程 。
了解 BCM 生命周期六个阶段的工作内容。
①需求、组织和管理程序的确定 ②业务分析,确定关键业务流程和关键因素 ③制定业务策略
④开发并执行业务持续计划,⑤意识培养和建立,⑥计划演练
了解业务连续性计划的概念及制定 BCP 的四个步骤;
业务连续性计划主要保护的是关键业务
理解组织管理在 BCP 过程中的重要性及 BCP 组织管理中的四个要素;
2
1
2
2
3
3
3
3
3
3
3
2
3
3
2
第 6 页,共 20 页
CISP V4.2知识体系大纲由刘啸进行梳理奉上,微信号lx08281986
CISP V4.2知识体系大纲知识点梳理
理解业务组织、建立BCP团队、评估BPC资源、BCP合规要求
理解业务影响分析在 BCP 过程中的作用;
业务影响分析BIA
工作内容:业务优先级、风险分析、资产优先级划分
业务影响分析完成后,文档化所有的流程
了解业务影响分析中确定业务优先级、风险分析及资产优先级划分的各项工作内容;
业务流程综合列表,按重要性排序
业务功能实际运作需要资源(计算机系统、人员、 通信、物理设备)和服务
确定业务优先级的关键点
1、业务所需资源的相互关系
2、对外部组织或其他方的依赖
确定业务优先级需要做的工作
1、评估如果业务中断,随时间推移对组织所造成的影响
2、为每项业务建立最大允许中断时间
3、识别任何相互依赖的活动、资产、用于支持的基础 设施和资源
度量标准 恢复时间目标(RTO)
了解 BCP 制定和批准实施工作的内容;
掌握 BCP 制定中风险降低、风险转移、风险规避和风险接受四种风险处置方式的应用;
控制措施类型:预防性、检测性和纠正性
★四种风险处置方式:
风险降低(预防、响应策略)-重点保护对象-人力资源、IT基础设施、辅助性设施
风险转移 -保险、第三方合同
风险规避 -变更、延缓、停止
风险接受
顺序:风险预防→风险规避→风险转移→风险减轻→风险自留→损失控制
了解 BCP 文档化的作用及文档应包括的内容及 BCP 的批准、实施、评估及维护等相关概念。
文档化是BCP过程中的关键步骤
文档需要包含的内容:
BCP的目标:必须细化
职责声明:确保相关人员都了解他们的职责
优先级声明
风险评估
BCP策略
关键业务记录计划
应急响应的知道原则
测试与演练
了解信息安全事件的概念及应急响应在信息安全保障工作中的重要性;
了解我国信息安全事件的分类分级标准;
分类——GB/Z 20986-2007 中,分有害程序事件、网络攻击 事件、信息破坏事件、信息内容安全事件
、设备设施故障、灾害性事件和其他信息安全事件7个基本类别,每个类别下有若干子类。
☆分级——GB/Z 20986—2007中
四级:特别重大事件(I级)、重大事件(II级)较大事件(III级)一般事件(IV级)
了解国际及我国信息安全应急响应组织;
了解应急响应组织架构。
了解网络安全应急响应预案的概念及作用;
理解应急响应演练的作用、分类、方式及流程。
了解计算机取证的概念及取证的过程;
理解计算机取证过程中准备、保护、提取、分析和提交五个步骤的工作内容。
4.2 知识子域:信息安全应急响应
4.2.1 信息安全事件与应急响应
4.2.2 网络安全应急响应预案
4.2.3 计算机取证及保全
4.2.4 信息安全应急响应管理过程
了解应急响应管理中准备、检测、遏制、根除、恢复和跟踪总结六个阶段工作的内容和目标
2
2
3
3
1
3
3
3
3
3
3
2
3
2
3
第 7 页,共 20 页
CISP V4.2知识体系大纲由刘啸进行梳理奉上,微信号lx08281986
CISP V4.2知识体系大纲知识点梳理
4.3 知识子域:灾难备份与恢复
4.3.1 灾难备份与恢复基础
了解灾难备份、灾难恢复计划的概念及作用;
GB/Z 20986-2007 中,分有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施
故障、灾害性事件和其他信息安全事件7个基本类别,每个类别下有若干子类。
分级:四级(GB/Z 20986—2007)
特别重大事件(I级) 重大事件(II级) 较大事件(III级) 一般事件(IV级)
国际应急响应组织: 计算机应急响应协调中心(CERT /CC)
国家应急响应组织:国家计算机网络应急技术处理协调中心(CNCERT /CC )
理解 RTO、RPO 等灾备的关键指标;
恢复点目标(RPO)
定义:灾难发生后,系统和数据必须恢复到的时间 点要求
代表了当灾难发生时允许丢失的数据量
恢复时间目标(RTO)
定义:灾难发生后,信息系统和业务功能从停顿到 必须恢复的时间要求
代表了企业能容忍的信息系统和业务功能恢复的时 间
了解国家灾备相关政策与标准;
27号文首次提出灾备概念
重要信息系统灾难恢复指南:指明了灾难恢复的工作流程、等级划分和预案的制定框架
GB/T 20988-2007,规定了灾难恢复工作流程、灾难恢复等级方案设计、预案、演练
《灾难恢复中心建设与运维管理规范》指出了 灾备中心建设的全生命周期、灾备中心的运维工作
了解灾难恢复组织结构。
组织架构图:领导组→技术保障组→专家组→实施组→日常运行组
应急响应管理 6(+2)个步骤:准备、(汇报)、检测、遏制、根除、(验证)恢复、跟踪总结。
应急演练:
演练方式:桌面演练、模拟演练、实战演练
演练深度:数据级演练、应用级演练、业务级演练
4.3.2 灾难恢复相关技术
4.3.3 灾难恢复策略
4.3.4 灾难恢复管理过程
了解 DAS、SAN、NAS 存储技术的概念及应用区别;
直接附加存储(DAS)、网络附加存储(NAS) 、存储区域网络(SAN)
了解全备份、增量备份、差分备份等备份方式的区别;
了解常用的备份介质;
理解磁盘冗余阵列 RAID-0、RAID-1、RAID-5 等配置的差别;
RAID-O(条带):提高了磁盘子系统的性能,但不 提供容错能力
RAID-1 (镜像):磁盘一对一镜像,确保数据不丢失
RAID-5(奇偶校验):三块以上磁盘,其中一块作 为校验信息,允许第一磁盘损坏
了解冷站、温站、热站等概念。
冷站 、温站 、热站 、移动站 、镜像站。
冷站(coldsite)
公司为系统运行提供了最基本的环境,例如电源、空调、地板、办公桌椅等设备等。一旦发生灾难
可以将恢复设备安装在该环境中。采用冷站备份企业还需与设备供应商签订紧急情况下,及时供应设备
的协议。
一旦发生灾难,可以从设备供应商处购买新的设备。安装在冷站环境中,用数据备份介质(磁带或
光盘)恢复应用数据,手工逐笔或自动批量追补孤立数据,将终端用户通过通讯线路切换到备份系统,
恢复业务运行。
优点:设备投资较少,节省通信费用,通信环境要求不高。
缺点:恢复时间较长,一般要数天至一周,数据完整性与一致性较差。
热站(hotsite)
热站中装备了全套的处理设备,可以在数小时内投入运行。也可定时。一旦发生灾难,只需在备份
系统上恢复生产系统的数据,并对备份后业务事项进行追补就可快速接替生产系统运行,恢复营业。
优点:恢复时间短,一般几十分钟到数小时,数据完整性与一致性最好,数据丢失可能性最小。
缺点:设备投资大。
冷站点(Cold Site):由公司建立的一旦出现灾难时使用的备用站点。冷站点并不安装计算机设备,但准
备有备用电源、灭火系统和安全系统。
了解国际标准 SHARE78 对灾难备份的能力划分的 0~6 级的区别;
0级:无异地备份
1级:简单异地备份
2级:热备中心备份
3级:电子传输备份
4级:自动定时备份
5级:实时数据备份
6级:数据零丢失
理解我国《重要信息系统灾难恢复指南》中划分的 6 个灾难恢复等级要求;
第1级基本支持
第2级备用场地支持
第3级电子传输和部分设备支持
第4级电子传输及完整设备支持
第5级实时数据传输及完整设备支持
第6级数据零丢失和远程集群支持
了解企业常用的容灾策略中数据容灾、系统容灾、应用容灾的概念;
了解确定灾难恢复能力级别的方法。
了解灾难恢复管理规划的作用及工作过程;
理解灾难恢复需求分析风险分析、业务影响分析和确定灾难恢复目标三个子步骤的工作内容和目标;
第 8 页,共 20 页
3
2
3
3
3
3
3
2
3
3
2
3
3
3
2
CISP V4.2知识体系大纲由刘啸进行梳理奉上,微信号lx08281986