CISP考试要点：风险管理体系与信息安全保障解析

本文主要涉及的是"CISP"，即注册信息安全专业人员的考试要点，特别是风险管理相关的知识。在风险管理领域，提到了两个重要的国际标准：ISO27002（信息安全管理体系）和S/NZS4360（风险管理标准）。风险管理通常包括一系列步骤，如制定信息安全方针、定义ISMS（信息安全管理体系）范围、进行风险评估、实施风险管理、选择控制目标和措施，以及准备适用声明。 首先，中国信息安全测评中心（CNITSEC）是国家授权的信息安全测评机构，负责进行信息技术产品、信息系统和工程的安全测试与评估，以及信息安全服务和人员资质的审核与评价。CISP培训认证旨在构建中国信息安全人才体系，解决信息安全人才的需求问题，提升从业人员的专业素质。 CISP的知识体系结构涵盖多个知识类、知识体、知识域和知识子域，涵盖了安全策略、安全运营、安全工程等多个方面。CISP的职业准则要求持证人员诚实、公正、负责且守法，不断提高专业能力，并接受CNITSEC的监督，保护信息系统的价值。 在信息安全保障体系中，我们回顾了信息安全的历史，从最初的通信保密和计算机安全，到信息系统安全保障评估框架的发展。信息系统安全保障的建设和评估实践强调了在实际操作中如何确保系统的安全性，并进行持续改进。 风险管理的六个步骤依次是： 1. 制订信息安全方针 - 确定组织的安全目标和原则。 2. 定义ISMS范围 - 明确管理的系统和业务流程。 3. 进行风险评估 - 识别威胁、脆弱性并量化风险。 4. 实施风险管理 - 选择风险应对策略，如避免、减轻、转移或接受。 5. 选择控制目标措施 - 根据风险评估结果确定合适的控制措施。 6. 准备适用声明 - 文档化风险管理过程和控制措施的决定。 CISP考试会涉及到这些核心概念，考生需要理解和掌握风险管理的流程、信息安全政策的制定、国际标准的应用，以及职业道德和责任等方面的知识。