CISP知识体系大纲：信息安全保障与管理

"CISP 知识体系大纲（CISE&CISO;）-V4.2-20190114.pdf" 该文件是中国信息安全测评中心和中国信息产业商会信息安全产业分会为注册信息安全专业人员（CISP）提供的最新知识体系大纲，适用于那些在信息安全领域工作或希望进入这个领域的技术人员。大纲涵盖了信息安全保障、网络安全监管、信息安全管理等多个关键知识域，旨在帮助考生全面理解和掌握信息安全的相关知识。 一、信息安全保障是大纲的第一个知识域，包括了基础理论和框架模型。1.1.1信息安全概念阐述了信息安全的基本定义和范畴；1.1.2信息安全属性讨论了保密性、完整性、可用性等核心属性；1.1.3信息安全视角介绍了从不同层面（技术、管理、用户等）看待安全问题的方法；1.1.4信息安全发展阶段则概述了信息安全从简单防护到全面保障的发展历程；1.1.5信息安全保障新领域则关注新兴技术和挑战，如云计算、物联网安全等。在框架模型部分，大纲介绍了PDR与PPDR模型、信息安全保障技术框架以及信息系统安全保障评估框架等，这些都是理解和实施信息安全策略的基础。 二、网络安全监管知识域主要涉及法律、政策和道德标准。2.1.1计算机犯罪及其法律应对，强调了对网络安全违法行为的打击；2.1.2我国立法体系概览了中国的法律框架，特别是网络安全法的出台及其重要性；2.1.3和2.1.4详细介绍了网络安全相关的法律法规和建设情况，如等保政策。此外，大纲还强调了2.2网络安全国家政策，如网络空间安全战略，以及2.3网络安全道德准则，要求专业人士遵守职业道德，维护行业规范。 三、信息安全管理是大纲的第三个关键部分，包含基础、风险管理和体系建设。3.1.1基本信息管理概念，如ISO/IEC 27001等；3.1.2强调了信息安全管理在保障组织资产安全中的作用。3.2探讨了信息安全风险管理，包括基本模型（如COBIT、ISO 31000）、风险管理流程。3.3详细阐述了如何构建信息安全管理体系建设，包括PDCA循环、成功因素及文档化过程。最后，3.4介绍了最佳实践，如ISO 27001的控制类型和控制措施，以确保安全管理体系的有效运行。 这份大纲为准备CISP认证的人员提供了全面的信息安全知识框架，涵盖了从理论基础到实际操作的各个方面，旨在培养具备专业能力的安全专家，以应对不断变化的网络安全挑战。