CISP考试重点笔记：信息安全保障与工程

"CISP考试笔记，内容涵盖信息安全保障的发展历史、安全模型、实践案例、标准与法律法规、安全管理过程、安全工程原理以及访问控制与软件安全开发等，特别强调了SSE-CMM模型的介绍，适合备考CISP的人员使用。笔记以重要度标记，方便考生重点复习。" 在信息安全领域，CISP（Certified Information Security Professional）认证是对专业人员的一个重要认可。这份资料详细介绍了CISP考试中的关键知识点，包括信息安全保障的历史演变，从通信安全到网络空间安全的逐步深化。在中国，信息安全保障工作的重要文件是中办发27号文，它为该领域的实践提供了指导。 信息安全的特征在于其系统性、动态性、无边界性以及非传统性。这些特性决定了信息安全的复杂性，包括信息系统的复杂结构、过程和应用，以及来自人为和环境的外部威胁。信息安全的目标是确保信息的保密性、可用性和完整性，而策略和风险管理是核心问题。 资料中提到了信息系统安全保障模型，该模型按照GB/T20274.1-2006标准，分为生命周期的五个阶段，并强调了技术、工程、管理、人员四个保障要素。安全生命周期涵盖了从规划到废弃的全过程，保障要素则确保了在每个阶段都能实施有效的安全措施。 此外，资料还探讨了不同国家的信息安全实践，如美国、英国、德国和其他西方国家，以及我国的信息安全政策。安全评估与测评部分介绍了信息系统安全保障评估的重要性，而密码学章节则涉及加密技术的基础知识。 在安全工程原理部分，特别强调了能力成熟度模型（Capability Maturity Model, CMM），特别是系统安全工程能力成熟度模型（System Security Engineering Capability Maturity Model, SSE-CMM）。SSE-CMM通过定义过程域（Process Areas, PA）、能力级别（Capability Levels）来衡量组织的安全工程能力，包括工程、项目、组织类PA，以及风险、保证等过程。SSE-CMM的应用不仅指导安全工程的实施，也帮助提升组织的安全管理水平。 最后，访问控制与审计、软件安全开发的讨论，旨在强调如何在实际操作层面确保信息系统的安全，包括如何设置和执行访问权限，以及如何在软件开发全周期中融入安全考虑，以降低安全漏洞的风险。 这份笔记以不同的颜色标记了知识点的重要性，考生可以根据标记进行有针对性的复习，以提高备考效率。