IT運維管理：ITIL先鋒論壇-某培訓機構的CISP培訓大綱

注冊信息安全專業(yè)人員（CISP）知識體系大綱中國信息安全測評中心注冊信息安全專業(yè)人員（CISP）知識體系大 1 4 5 5 5 5 7 9 9 9 10 10 11 11 11 12 13 13 13 14 15 15 16 16 17 17 17 18 19 19 20 20 20 21 21 22 23 23 24 25 25 25 25 26 26 27 27 28 29 29 30 31 31 32 32 34 34 34 35 35 36 36 37 37 38 38 38 39 40 40 41 41 41 42 42 42注冊信息安全專業(yè)人員（CISP）是對我國網(wǎng)絡基礎設施和重要信息系統(tǒng)的“注冊信息安全專業(yè)人員”，英文為CertifiedInformationSecurityl“注冊信息安全工程師”，英文為CertifiedInformationSecurityEngineer，簡稱CISE。證書持有人員主要從事信息安全技術領域的工作，具有從事信息系統(tǒng)安全集成、安全技術測試、安全加固和安全l“注冊信息安全管理員”，英文為CertifiedInformationSecurityOfficer，簡稱CISO。證書持有人員主要從事信息安全管作，具有組織信息安全風險評估、信息安全總體規(guī)劃編制、信息安全l“注冊信息安全審計師”，英文為CertifiedInformationSecurityAuditor，簡稱CISA。證書持有人主要面掌握信息安全基本知識技能的基礎上，具有較強的信息安全風險評估、安全檢查實踐能力。全面掌握信息安全基本知識技能的基礎上，具有較強的信息系統(tǒng)安全CISD需要更加深入地掌握有關信息系統(tǒng)安全開發(fā)的知識，有關內(nèi)容將在注冊信息安全專業(yè)人員（CISP）知識體系大在整個注冊信息安全專業(yè)人員（CISP）的知識體系結(jié)構中，共包括信息安注冊信息安全專業(yè)人員（CISP）知識體系大操作系統(tǒng)、數(shù)據(jù)庫和應用軟件等方面的基本安全原理和實踐，以及安注冊信息安全專業(yè)人員（注冊信息安全專業(yè)人員（CISP)知識體系結(jié)構信息安全保障鑒別與訪問控制軟件安全開發(fā)安全攻擊與防護密碼技術信息安全技術鑒別與訪問控制軟件安全開發(fā)安全攻擊與防護密碼技術操作系統(tǒng)安全操作系統(tǒng)安全數(shù)據(jù)庫安全數(shù)據(jù)庫安全網(wǎng)絡安全網(wǎng)絡安全應用安全應用安全信息安全法規(guī)標準信息安全信息安全保障基礎信息安全信息安全法規(guī)與政策信息安全信息安全標準信息安全信息安全保障實踐信息安全管理信息安全信息安全管理基礎信息安全信息安全風險管理信息安全工程安全工程安全工程基礎信息安全信息安全道德規(guī)范應急響應與應急響應與災難恢復信息內(nèi)信息內(nèi)容安全安全工程安全工程能力評估信息安全管理體系信息安全管理體系注冊信息安全專業(yè)人員（CISP）知識體系大注冊信息安全專業(yè)人員（CISP）知識體系大u理解信息安全基本概念，理解信息安全基本屬性：保密性、完整u了解通信、計算機、網(wǎng)絡和網(wǎng)絡化社會等階段信況u了解通信安全、計算機安全、信息系統(tǒng)安全和信分為本地計算環(huán)境、區(qū)域邊界、網(wǎng)絡基礎設施和支撐性基礎設施u理解信息系統(tǒng)安全保障模型中生命周期、保障要素和安全特征的注冊信息安全專業(yè)人員（CISP）知識體系大注冊信息安全專業(yè)人員（CISP）知識體系大u理解科克霍夫原則，理解算法復雜程度和密鑰長度是影響密碼系u理解使用密碼學手段解決機密性、完整性、鑒別、不可否認性以念方法：訪問控制表、能力表，了解其他實現(xiàn)方法如前綴表、保護位注冊信息安全專業(yè)人員（CISP）知識體系大注冊信息安全專業(yè)人員（CISP）知識體系大u理解包過濾技術、狀態(tài)檢測技術和應用代理技術等防火墻主要技中國信息安全測評中心供：定義完整性約束條件的機制、完整性檢查的方法和違約處理u理解數(shù)據(jù)庫備份和恢復機制的重要性，了解常見的數(shù)據(jù)冗余技術u理解數(shù)據(jù)庫事前安全防護、事中安全監(jiān)控以及事后安全審計的方法中國信息安全測評中心中國信息安全測評中心u理解惡意代碼修改配置文件、修改注冊表、設置系統(tǒng)服務等加載u理解增強安全策略與意識、減少漏洞、減輕威脅等惡意代碼預防u理解默認口令攻擊、字典攻擊及暴力攻擊等方式的口令破解原理中國信息安全測評中心容中國信息安全測評中心u理解通用安全編碼準則：驗證輸入、避免緩沖區(qū)溢出、程序內(nèi)部u理解使用安全編譯技術對提高編碼安全水平的作用，了解常用安中國信息安全測評中心中國信息安全測評中心u理解風險管理是信息安全管理的基本方法，理解風險評估是信息安全管理的基礎，風險處理是信息安全管理的核心，理解控制措u理解過程方法是信息安全管理的基本方法，理解過程和過程方法u理解建設信息安全管理體系是系統(tǒng)地實施信息安全管理的一種方法u理解建設信息安全等級保護是系統(tǒng)地實施信息安全管理的一種方法u理解風險的概念，理解資產(chǎn)、威脅、脆弱性、業(yè)務戰(zhàn)略、安全事中國信息安全測評中心u理解風險準則、風險評估、風險處理、風險管理、殘余風險的概中國信息安全測評中心注冊信息安全專業(yè)人員（CISP）知識體系大中國信息安全測評中心u理解管理者履行管理職責對成功實施信息安全管理體系（ISMS）u了解內(nèi)部審核的概念，以及內(nèi)部審核的目的、u理解進行有效性測量、實施內(nèi)部審核、實施管理評審等監(jiān)視和評u理解實施糾正和預防措施、溝通措施和改進情況等保持和改進注冊信息安全專業(yè)人員（CISP）知識體系大u掌握信息安全方針文件和信息安全方針評審兩項措施的常規(guī)控制u理解內(nèi)部組織控制目標的含義，掌握信息安全協(xié)調(diào)等實現(xiàn)這一目u理解外部各方控制目標的含義，掌握與外部各方相關風險的識別u理解對資產(chǎn)負責控制目標的含義，掌握資產(chǎn)清單、資產(chǎn)責任人等u理解信息分類控制目標的含義，掌握分類指南、信息的標記和處u理解任用前控制目標的含義，掌握角色和職責、審查等控制措施u理解任用中控制目標的含義，掌握管理職責、信息安全意識教育u理解任用的終止或變化控制目標的含義，掌握終止職責、撤銷訪u理解安全區(qū)域控制目標的含義，掌握物理安全邊界、物理入口控u理解設備安全控制目標的含義，掌握設備安置和保護、支持性設u理解操作程序和職責、第三方服務交付管理、系統(tǒng)規(guī)劃和驗收、防范惡意代碼、備份、網(wǎng)絡安全管理、介質(zhì)處置、信息的交換、u理解訪問控制的業(yè)務要求、用戶訪問管理、用戶職責、網(wǎng)絡訪問控制、操作系統(tǒng)訪問控制、應用和信息訪問控制、移動計算和遠u理解信息系統(tǒng)的安全需求、應用中的正確處理、密碼控制、系統(tǒng)文件的安全、開發(fā)和支持過程中的安全、技術脆弱性管理這些控u理解符合法律要求、符合安全策略和標準以及技術符合性、信息注冊信息安全專業(yè)人員（CISP）知識體系大u了解我國信息安全事件應急響應工作的進展情況注冊信息安全專業(yè)人員（CISP）知識體系大u了解由組織擁有或運行維護的專用站點、同簽署互惠協(xié)議而確定的備用站點、向?qū)I(yè)商業(yè)組織租用的備用站注冊信息安全專業(yè)人員（CISP）知識體系大l理解在信息系統(tǒng)生命周期中的各階段運用“信注冊信息安全專業(yè)人員（CISP）知識體系大u了解定義系統(tǒng)安全背景環(huán)境、定義安全操作概念u理解設計并分析系統(tǒng)安全體系結(jié)構、向體系結(jié)構分配安全服務等u了解進行均衡取舍研究、定義系統(tǒng)安全設計u理解支持安全實現(xiàn)和集成、支持測試和評估等實現(xiàn)系統(tǒng)安全階段u了解信息安全工程監(jiān)理階段、監(jiān)理管理和控素u了解能力維的組織結(jié)構，理解通用實施、公u理解能力成熟度為未實施級（0級）的信息安全工程組織和工程l理解遵循信息安全法律、法規(guī)、政策、規(guī)章、