CISP 课程培训知识总结

1. CISP课程培训知识总结 中国信息安全测评中心

3. CISP课程培训知识总结（安全综合）

4. 主 题 一、信息安全保障基本知识 二、信息安全保障实践 三、信息安全管理体系 四、信息安全风险管理 五、基本信息安全管理 六、重要信息安全管理措施 七、安全工程原理 八、安全工程实践 九、法律法规 十、安全标准

5. 课程内容

6. 通信 （电报\电话） COMSEC 通信安全 COMPUSEC 计算机 计算机安全 信息系统安全 信息安全保障 网络空间安全/信息安全保障 INFOSEC 网络 IA 网络化社会 CS/IA 信息安全发展阶段

7. 信息安全保障定义 信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。

8. 信息系统安全保障模型 国家标准：《GB/T 20274.1-2006 信息安全技术 信息系统安全保障评估框架 第一部分：简介和一般模型》

9. 分布式动态主动模型——P2DR模型 • P2DR——策略、防护、检测、响应 • P2DR模型则更强调控制和对抗，即强调系统安全的动态性 • 以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全 • 特别考虑人为的管理因素

10. 成功的组织功能 信息安全保障（IA） 深度防御战略 人 人 通过 技术 进行 操作 操作 技术 支撑性基础设施 计算环境 区域边界 网络 基础设施 密钥管理 检测响应 IATF框架

11. 主 题 一、信息安全保障基本知识 二、信息安全保障实践 三、信息安全管理体系 四、信息安全风险管理 五、基本信息安全管理 六、重要信息安全管理措施 七、安全工程原理 八、安全工程实践 九、法律法规 十、安全标准

12. 课程内容 12

13. 国家信息安全保障工作总体要求 • 坚持积极防御、综合防范的方针，全面提高信息安全的防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。

14. 信息安全保障工作的主要原则 • 立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。

15. 国家信息安全保障重点工作 • 实行信息安全等级保护 • 加强以密码技术为基础的信息保护和网络信任体系建设 • 建设和完善信息安全监控体系 • 重视信息安全应急处理工作 • 加强信息安全技术研究开发，推进信息安全产业发展 • 加强信息安全法制建设和标准化建设 • 加快信息安全人才培训，增强全民信息安全意识 • 保证信息安全资金 • 加强对信息安全保障工作的领导，建立健全信息安全管理责任制

16. 信息系统安全保障工作建设步骤 确定需求 制定方案 开展测评 持续改进 • 制定信息安全保障需求的作用 • 制定信息系统安全保障需求的方法和原则 • 信息安全保障解决方案 • 确定安全保障解决方案的原则 • 实施信息安全保障解决方案的原则 • 信息安全测评 • 信息安全测评的重要性 • 国内外信息安全测评现状 • 产品、人员、服务商、系统测评的方法和流程 • 持续提高信息系统安全保障能力。 • 信息系统安全监护和维护 16

17. 国家信息安全测评主要对象 • 信息产品安全测评 • 信息系统安全测评 • 服务商资质测评 • 信息安全人员资质测评 17

18. 主 题 一、信息安全保障基本知识 二、信息安全保障实践 三、信息安全管理体系 四、信息安全风险管理 五、基本信息安全管理 六、重要信息安全管理措施 七、安全工程原理 八、安全工程实践 九、法律法规 十、安全标准

19. 三、信息安全管理体系

20. 信息安全管理 过程 • 测量 • 变化？ • 拥有者 • 关键活动 • 经 营 • 生 产 • 输入 • 输出 • 资 源 • 标 准 • 记录 • ·立法 • ·信息输入 • ·摘要 组织 规则 人员 目标 • 什么是信息安全管理 • 组织中为了完成信息安全目标，针对信息系统，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动 • 信息安全管理工作的对象 20

21. 信息安全的风险模型 没有绝对的安全，只有相对的安全 • 信息安全建设的宗旨之一，就是在综合考虑成本与效益的前提下，通过恰当、足够、综合的安全措施来控制风险，使残余风险降低到可接受的程度。 21

22. 风险评估是信息安全管理的基础 • 风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定。 • 信息安全管理体系的建立需要确定信息安全需求 • 信息安全需求获取的主要手段就是安全风险评估 • 信息安全风险评估是信息安全管理体系建立的基础，没有风险评估，信息安全管理体系的建立就没有依据。 22

23. 信息安全管理体系的定义 信息安全管理体系（ISMS：InformationSecurityManagementSystem）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接 管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 23

24. 信息安全管理的特点 • 明确建立管理体系的工作 • 确定范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标和措施 • 管理体系建立有依据 • 基于系统、全面、科学的安全风险评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律、法规及其他合同方面的要求 • 强调过程和动态控制 • 控制费用与风险平衡的原则合理选择安全控制方式 24

25. 信息安全管理体系作用 • 保护资产 • 对组织的关键信息资产进行全面系统的保护，维持竞争优势； • 保护业务持续性 • 在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度； • 促进规范 • 促使管理层贯彻信息安全管理体系，强化员工的信息安全意识，规范组织信息安全行为； • 提高信心 • 使组织的生意伙伴和客户对组织充满信心；

26. 信息安全管理体系的理念 在信息安全问题上，要综合考虑人员与管理、技术与产品、流程与体系。信息安全管理体系是人员、管理与技术三者的互动。 26

27. 信息安全管理体系循环框架 规划和建立 (plan) 实施和运行 (do) 保持和改进 action 监视和评审 check 《GB/T22080-2008 信息安全技术 信息安全管理体系要》.信息安全管理体系是PDCA动态持续改进的一个循环体。 相关方 相关方 信息安全要求和期望 受控的信息安全 27

28. 信息安全管理体系内容框架 28

29. 信息安全管理体系文档框架 29

30. 信息安全管理国际标准：ISO 27000系列 27001 27002 27006 27000 27003 27005 27004 27000~27003 27004~27007 信息安全管理体系基本原理和词汇 • 27000 • 信息安全管理体系原则和术语 • 27001 • 信息安全管理体系要求 • 27002 • 信息安全管理实践准则 • 27003 • 信息安全管理实施指南 27004 信息安全管理的度量指标和衡量 27005 信息安全风险管理指南 27006 信息和通信技术灾难恢复服务指南 27007 XXX 30 ISO27000系列

31. ISO 27000系列 测量ISMS控制措施的性能和有效性的要求将两者联系起来 27001的附录A将两者联系起来，作为ISMS过程的一部分 31

32. 信息安全管理体系建设 • （一）信息安全管理体系的规划和建立（P) • （二）信息安全管理体系的实施和运行(D) • （三）信息安全管理体系的监视和评审(C) • （四）信息安全管理体系的保持和改进(A) 32

33. 信息安全管理体系规划和建立 • P1-定义ISMS范围 • P2-定义ISMS方针 • P3-确定风险评估方法 • P4-分析和评估信息安全风险 • P5-识别和评价风险处理的可选措施 • P6-为处理风险选择控制目标和控制措施 • P7-准备详细的适用性声明SoA 33

34. 信息安全管理体系实施和运行 D1-开发风险处置计划 D2-实施风险处置计划 D3-实施安全控制措施 D4-实施安全教育培训 D5-管理ISMS的运行 D6-管理ISMS 的资源 D7-执行检测安全事件程序 D8-执行响应安全事故程序 34

35. 信息安全管理体系监视和评审 C1-执行ISMS监视程序 C2-执行ISMS评价程序 C3-定期执行ISMS评审 C4-测量控制措施的有效性 C5-验证安全要求是否被满足 C6-按计划进行风险评估 C7-评审可接受残余风险 C8-按计划进行内部审核 C9-按计划进行管理评审 C10-更新信息安全计划 C11-记录对ISMS有影响的行动和事件 35

36. 信息安全管理体系保持和改进 A1-实施已识别的ISMS改进措施 A2-执行纠正性和预防性措施 A3-通知相关人员ISMS的变更 A4-从安全经验和教训中学习 36

37. 信息安全管理控制规范 • 十一项条款 • （一）信息安全策略 • （二）信息安全组织 • （三）人力资源安全 • （四）信息资产分类与控制 • （五）信息安全访问控制 • （六）物理与环境安全 • （七）系统开发与维护 • （八）通信与运营安全 • （九）信息安全事故管理 • （十）业务持续性管理 • （十一）符合性 37

38. 主 题 一、信息安全保障基本知识 二、信息安全保障实践 三、信息安全管理体系 四、信息安全风险管理 五、基本信息安全管理 六、重要信息安全管理措施 七、安全工程原理 八、安全工程实践 九、法律法规 十、安全标准

39. 四、信息安全风险管理

40. 通用风险管理定义 • 定义 • 是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。 • 风险管理包括对风险的量度、评估和应变策略。 • 理想的风险管理，是一连串排好优先次序的过程，使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。

41. 什么是信息安全风险管理 • 定义一：GB/Z 24364《信息安全风险管理指南》 • 信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。 • 定义二：在组织机构内部识别、优化、管理风险，使风险降低到可接受水平的过程。 了解风险+控制风险=管理风险

42. 何时作风险管理 • 信息安全风险管理是信息安全保障工作中的一项基础性工作 • 是需要贯穿信息系统生命周期，持续进行的工作 设计 实施 运维 废弃 规划

43. 信息安全风险术语 • 资产（Asset） • 威胁源（Threat Agent） • 威胁（ Threat ） • 脆弱性（Vunerability） • 控制措施（Countermeasure,safeguard,control） • 可能性（Likelihood,Probability） • 影响（Impact,loss） • 风险（ Risk） • 残余风险（Residental Risk）

44. 监控审查 沟通咨询 信息安全风险管理工作内容 • GB/Z 24364《信息安全风险管理指南》 • 四个阶段，两个贯穿。 • -- 建立背景 风险评估 风险处理 批准监督

45. 信息系统风险评估 • 风险评估的政策要求 • 风险评估的流程

46. 识别 • 资产 • 威胁 • 漏洞 • 准备 • 资料审核 • SLA • 工作计划 • 组队 • 计算 • 威胁概率 • 事件影响 • 风险定级 • 报告 • 整改建议 • 各类文档 准备 识别 计算报告 一个简化的风险评估流程：准备（Readiness）、识别（Realization）、 计算（Calculation）、报告（Report）

47. 风险分析 • GB/T 20984-2007 《信息安全风险评估规范》给出信息安全风险分析思路 风险值=R（A，T，V）= R(L(T，V)，F(Ia，Va ))。 其中，R表示安全风险计算函数；A表示资产；T表示威胁；V表示脆弱性； Ia表示安全事件所作用的资产价值；Va表示脆弱性严重程度；L表示威胁利用资产的脆弱性导致安全事件的可能性；F表示安全事件发生后造成的损失。

48. 定量分析与定性分析

49. 定量分析方法 • 步骤1-评估资产：根据资产价值（AV）清单,计算资产总价值及资产损失对财务的直接和间接影响 • 步骤2-确定单一预期损失SLE • SLE 是指发生一次风险引起的收入损失总额。 • SLE 是分配给单个事件的金额，代表一个具体威胁利用漏洞时将面临的潜在损失。 （SLE 类似于定性风险分析的影响。） • 将资产价值与暴露系数相乘 (EF) 计算出 SLE。暴露系数表示为现实威胁对某个资产造成的损失百分比。 • 步骤3-确定年发生率ARO • ARO 是一年中风险发生的次数.

50. 定量分析方法（续） • 步骤4-确定年预期损失ALE • ALE 是不采取任何减轻风险的措施在一年中可能损失的总金额。 SLE 乘以 ARO 即可计算出该值。 ALE 类似于定量风险分析的相对级别。 • 步骤5-确定控制成本 • 控制成本就是为了规避企业所存在风险的发生而应投入的费用. • 步骤6-安全投资收益ROSI • (实施控制前的 ALE）–（实施控制后的 ALE）–（年控制成本）= ROSI