CISP知识体系大纲：信息安全保障与管理

"CISP 知识体系大纲(CISE&CISO);-V4.1" CISP，即“注册信息安全专业人员”，是中国信息安全测评中心实施的国家认证，代表着国家对信息安全人员资质的最高认可。要参与CISP考试，考生需完成授权培训机构的培训并获得合格证明。该大纲是CISP-CISE（信息安全工程师）和CISP-CISO（信息安全官）的知识体系，版本4.1，自2018年10月1日起生效。 大纲涵盖了多个知识域，旨在确保信息安全专业人员具备全面的专业知识和技能。 1. **知识域：信息安全保障** - **信息安全保障基础**：包括信息安全的概念，如保护信息免受未经授权的访问、修改或披露；信息安全属性，如机密性、完整性、可用性等；信息安全视角，如管理、技术和操作层面；以及信息安全的发展阶段和新兴领域。 - **安全保障框架模型**：涉及基于时间的PDR和PPDR模型，信息安全保障技术框架，信息系统安全保障评估框架，以及企业安全架构。 2. **知识域：网络安全监管** - **网络安全法律体系建设**：讲解计算机犯罪的定义和类型，我国的立法体系，特别是网络安全法及其对信息安全的影响，以及相关法规建设。 - **网络安全国家政策**：包括国家网络空间安全战略和网络安全等保政策，强调国家对网络安全的重视和规范。 - **网络安全道德准则**：探讨道德在网络安全中的作用，以及信息安全从业人员应遵循的职业道德准则。 - **信息安全标准**：基础概念，我国的信息安全标准，尤其是等级保护标准族的应用和理解。 3. **知识域：信息安全管理** - **信息安全管理基础**：介绍信息安全管理的基本概念，如为何需要安全管理，其在保障组织信息安全中的重要性。 - **信息安全风险管理**：涵盖风险管理的基本概念，如风险识别、评估、控制和缓解，以及常见的风险管理模型。 - **信息安全管理体系建设**：讨论体系建设的成功因素，如PDCA过程，以及体系建立和文档化的步骤。 - **信息安全管理最佳实践**：分享在实际操作中实现有效管理的经验和策略。 这些知识域构成了CISP认证的基础，旨在培养出能够应对复杂信息安全挑战的专业人才。通过深入理解和掌握这些知识，CISP持证人能够有效地设计、实施和维护组织的信息安全体系，确保业务连续性和数据保护。