【每日一记8】+第14天：CISP提纲整理-信息安全管理

第1节 信息安全管理体系

1.   管理的概念：组织协调的活动。

2.   管理的作用：

2.1 组织整体管理重要、固有组成部分。*

2.2 组织实现其业务目标的重要保障。*

2.3 信息安全管理是信息安全技术的融合剂。*

2.4 信息安全管理能预防、阻止或减少信息安全事件的发生。*

3. 管理对内和对外的作用，以对内作用为主。*

4. 管理成功要素：反映业务目标、文化一致、实质性支持、教育培训、风险管理的理解、测量等。*

5.管理的方法：风险管理和过程管理（PDCA）。*

6. 27001-27005的标准。*

- 27001 信息安全管理体系要求

- 27002 信息安全管理实践措施

- 27003 信息安全管理实施指南

- 27004 信息安全管理测量标准

- 27005 信息安全风险管理规范

7. ISO/IEC 27001的PDCA各阶段的工作内容：*

7.1 P阶段：ISMS规划和建立

7.2 D阶段：ISMS实施和运行

7.3 C阶段：ISMS监视和评审

7.4 A阶段：ISMS保持和改进

第2节 信息安全管理措施

1.   信息安全方针 *

1.1 制定方针：管理者发布方针，代表管理者的意图。

1.2 评审方针：新建、变更需求更新和评审方针。

2.      信息安全组织

2.1 内部组织 *

—信息安全的角色和职责

—职责分离

—与政府部门的联系

—与相关利益方的联系

— 某公司的信息安全

2.2 移动设备与远程办公

— 移动设备方针

— 远程工作

3.      人力资源安全 *

3.1 任用前：审查、任用条款及条件。

3.2 任用中：管理职责、信息安全意识、教育和培训、纪律处理过程。

3.3 任用终止或变化：雇佣责任的改变、终结、权限回收、保密协议。

4. 资产管理 *

4.1 资产负责：资产清单、资产责任人、资产可接受使用、资产归还。

4.2 信息分类：分类指南、信息的标记、资产的处理。

4.3 介质安全：介质管理、介质传输安全。

5.访问控制

5.1 访问控制-访问控制的业务要求

5.2 访问控制-用户访问管理

5.3 访问控制-用户职责

5.4 访问控制-系统和应用访问控制

6.密码学-加密控制

—使用加密控制的策略

—密钥管理

7.物理与环境安全 *

7.1 物理与环境安全-安全区域

7.2 物理与环境安全-设备安全

8.操作安全

8.1 操作规程和职责

8.2 恶意代码防范

8.3 备份

8.4 日志记录和监视

8.5 操作软件控制

8.6 信息系统审计的考虑

9.通信安全

9.1 网络安全管理

9.2 信息的交换

10.信息获取开发及维护

10.1 信息系统的安全要求

10.2 开发和支持过程中的安全

10.3 测试数据

11.供应商的安全

11.1 供应商关系中的信息安全

11.2 供应商服务交付管理

12.信息安全事件管理 *

12.1 信息安全事件的管理和改进

12.2 信息安全事件管理职责和规程

12.3 信息安全事件的响应

13.信息安全方面的业务连续性管理

13.1 信息安全的连续性

13.2 冗余

14.符合性 *

14.1 符合性-符合法律和合同规定

14.2 符合性-信息安全审核

第三节 社会工程学攻击 *

1.      概念及危害

2.      防护措施：提高人的意识和认知水平。

感谢分享

感谢分享

感谢分享，学习了……