CISP知识体系大纲22正式版.doc

注册信息安全专业人员（CISP）知识体系大纲，V2.0注册信息安全专业人员（CISP）知识体系大纲版本：2.0正式版中国信息安全测评中心中国信息安全测评中心 注册信息安全专业人员（CISP）知识体系大纲，V2.0正式版目录前言4第 1 章 注册信息安全专业人员（CISP）知识体系概述51.1 CISP资质认定类别51.2 大纲范围51.3 CISP知识体系框架结构61.4 CISP（CISE/CISO）考试试题结构8第 2 章 知识类：信息安全保障概述102.1 知识体：信息安全保障基本知识102.1.1 知识域：信息安全保障背景102.1.2 知识域：信息安全保障原理112.1.3 知识域：典型信息系统安全模型与框架112.2 知识体：信息安全保障基本实践122.2.1 知识域：信息安全保障工作概况122.2.2 知识域：信息系统安全保障工作基本内容12第 3 章 知识类：信息安全技术143.1 知识体：密码技术143.1.1 知识域：密码学基础153.1.2 知识域：密码学应用153.2 知识体：访问控制与审计监控163.2.1 知识域：访问控制模型173.2.2 知识域：访问控制技术173.2.3 知识域：审计和监控技术183.3 知识体：网络安全183.3.1 知识域：网络协议安全183.3.2 知识域：网络安全设备193.3.3 知识域：网络架构安全193.4 知识体：系统安全203.4.1 知识域：操作系统安全203.4.2 知识域：数据库安全213.5 知识体：应用安全223.5.1 知识域：网络服务安全223.5.2 知识域：个人用户安全233.5.3 知识域：恶意代码233.6 知识体：安全攻防243.6.1 知识域：信息安全漏洞243.6.2 知识域：安全攻防基础253.6.3 知识域：安全攻防实践253.7 知识体：软件安全开发263.7.1 知识域：软件安全开发概况263.7.2 知识域：软件安全开发的关键阶段26第 4 章 知识类：信息安全管理284.1 知识体：信息安全管理体系284.1.1 知识域：信息安全管理基本概念284.1.2 知识域：信息安全管理体系建设294.2 知识体：信息安全风险管理304.2.1 知识域：风险管理工作内容304.2.2 知识域：信息安全风险评估实践314.3 知识体：安全管理措施324.3.1 知识域：基本安全管理措施324.3.2 知识域：重要安全管理过程34第 5 章 知识类：信息安全工程365.1 知识体：信息安全工程原理365.1.1 知识域：安全工程理论背景365.1.2 知识域： 安全工程能力成熟度模型375.2 知识体：信息安全工程实践385.2.1 知识域： 安全工程实施实践385.2.2 知识域： 信息安全工程监理39第 6 章 知识类：信息安全标准法规406.1 知识体：信息安全法规与政策406.1.1 知识域：信息安全相关法律406.1.2 知识域：信息安全国家政策416.2 知识体：信息安全标准426.2.1 知识域：安全标准化概述426.2.2 知识域：信息安全评估标准426.2.3 知识域：信息安全管理标准436.2.4 知识域：等级保护标准436.3 知识体：道德规范446.3.1 知识域：信息安全从业人员道德规范446.3.2 知识域：通行道德规范45前言信息安全作为我国信息化建设健康发展的重要因素，关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施，是国家安全的重要组成部分。在信息系统安全保障工作中，人是最核心、也是最活跃的因素，人员的信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。注册信息安全专业人员（CISP）是对我国网络基础设施和重要信息系统的信息安全专业人员进行资质评定的重要形式。多年来为落实我国有关政策“加快信息安全人才培养，增强全民信息安全意识”的指导精神，构建信息安全人才体系发挥了巨大作用。本大纲从我国国情出发，结合我国网络基础设施和重要信息系统安全保障的实际需求，以知识体系的全面性和实用性为原则，明确规定了注册信息安全专业人员应当掌握的知识要点，是CISP教材编制，讲师授课，学员学习，以及考试命题的重要依据。本大纲包含以下章节：l 第1章 注册信息安全专业人员（CISP）知识体系概述l 第2章 知识类：信息安全保障概述l 第3章 知识类：信息安全技术l 第4章 知识类：信息安全管理l 第5章 知识类：信息安全工程l 第6章 知识类：信息安全标准法规第 1 章 注册信息安全专业人员（CISP）知识体系概述1.1 CISP资质认定类别 “注册信息安全专业人员”，英文为Certified Information Security Professional ，简称CISP，系经中国信息安全测评中心认定的国家信息安全专业人员，具备保障信息系统安全的专业资质。根据岗位工作需要，CISP分为两个基础类别：l “注册信息安全工程师”，英文为Certified Information Security Engineer，简称CISE。证书持有人员主要从事信息安全技术领域的工作，具有从事信息系统安全集成、安全技术测试、安全加固和安全运维的基本知识和能力；l “注册信息安全管理人员”， 英文为Certified Information Security Officer，简称CISO。证书持有人员主要从事信息安全管理领域的工作，具有组织信息安全风险评估、信息安全总体规划编制、信息安全策略制度制定和监督落实的基本知识和能力。“注册信息安全专业人员”在两个基础类别之上还有两个扩展类别：l “注册信息安全专业人员-审计师”，简称CISP-AUDIT（原CISA）。证书持有人主要从事信息安全审计工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息安全风险评估、安全检查实践能力。l “注册信息安全专业人员-灾难恢复工程师”，简称CISP-DRP。证书持有人主要从事信息系统灾难恢复工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息系统灾难恢复建设和管理的实践能力。1.2 大纲范围本大纲涵盖了CISE和CISO两种CISP基础类别注册人员需要掌握的知识要点。CISP-AUDIT注册人员需要在本文规定的知识要点基础上，更加深入地掌握有关信息系统审计和风险评估的知识，有关内容将在CISP-AUDIT专门的知识大纲中进行介绍，而不在本大纲范围内。CISP-DRP注册人员需要在本文规定的知识要点基础上，更加深入地掌握有关信息系统灾难恢复工作的知识，有关内容将在CISP-DRP专门的知识大纲中进行介绍，而不在本大纲范围内。1.3 CISP知识体系框架结构CISP知识体系使用组件模块化的结构，包括知识类、知识体、知识域和知识子域四个层次。l 知识类：是对信息安全保障知识领域的总体划分，包含信息安全专业人员需要掌握的五大知识类别；l 知识体：是知识类中由属于同一技术领域的知识内容构成的相对独立、成体系的知识集合；l 知识域：是对知识体进一步分解细化形成的完整的知识组件；l 知识子域：是构成知识域的基本模块，由一至多个具体知识要点构成。本大纲规定了知识子域中每一个知识要点的内容和深度要求，分为“了解”、“理解”、和“掌握”三类。l 了解：是最低深度要求，学员只需要正确认识该知识要点的基本概念和原理；l 理解：是中等深度要求，学员需要在正确认识该知识要点的基本概念和原理的基础上，深入理解其内容，并可以进行进一步的判断和推理；l 掌握：是最高深度要求，学员需要正确认识该知识要点的概念、原理，并在深入理解的基础上灵活运用。图 11描述了CISP知识体系的结构：图 11：CISP知识体系的组件模块结构在整个注册信息安全专业人员（CISP）的知识体系结构中，共包括信息安全保障概述、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规这五个知识类，每个知识类根据其逻辑划分为多个知识体，每个知识体包含多个知识域，每个知识域由一个或多个知识子域组成。CISP知识体系结构共包含五个知识类，分别为：l 信息安全保障概述：介绍了信息安全保障的框架、基本原理和实践，它是注册信息安全专业人员首先需要掌握的基础知识。l 信息安全技术：主要包括密码技术、访问控制、审计监控等安全技术机制，网络、系统软件和应用等层次的基本安全原理和实践，以及信息安全攻防和软件安全开发相关的技术知识和实践。l 信息安全管理：主要包括信息安全管理体系建设、信息安全风险管理、具体信息安全管理措施等同信息安全相关的管理知识和实践。l 信息安全工程：主要包括同信息安全相关的工程知识和实践。l 信息安全标准法规：主要包括信息安全相关的标准、法律法规和道德规范，是注册信息安全专业人员需要掌握的通用基础知识。图1-2描述了CISP知识体系结构图 12：CISP知识体系结构框架1.4 CISP（CISE/CISO）考试试题结构CISP考试题型均为单项选择题，共100题，每题1分，得到70分以上（含70分）为通过。CISP两种基础类别“注册信息安全工程师”（CISE）和“注册信息安全管理人员”（CISO）的注册人员都需要学习和掌握CISP知识体系结构框架中的所有内容。由于两种注册证书持有人的工作岗位和工作领域的不同，考试的侧重点有所区别，因此，所对应的试题比例不同。表 11中描述了CISE/CISO考试的各知识类的比例。CISP资质类型知识类别CISECISO信息安全保障概述10%10%信息安全技术50%30%信息安全管理20%40%信息安全工程10%10%信息安全标准和法律法规10%10%表 11：CISP（CISE/CISO）试题结构第 2 章 知识类：信息安全保障概述信息安全保障体系概述介绍了信息安全保障的框架、基本原理和实践，它是注册信息安全专业人员首先需要掌握的基础知识。通过本部分的学习，学员应当：l 理解信息安全保障的意义和内涵；l 掌握信息安全保障工作的总体思路和基本实践方法。2.1 知识体：信息安全保障基本知识图 21：知识体：信息安全保障基本知识2.1.1 知识域：信息安全保障背景l 知识子域：信息技术发展阶段u 了解电报/电话、计算机、网络等阶段信息技术发展概况 u 了解信息化和网络对个人、企事业单位和社会团体、经济发展、社会稳定、国家安全等方面的影响： l 知识子域：信息安全发展阶段u 了解通信保密、计算机安全和信息安全保障u 了解各个阶段信息安全面临的主要威胁和防护措施2.1.2 知识域：信息安全保障原理l 知识子域：信息安全的内涵和外延u 理解信息安全的特征与范畴u 理解信息安全的地位和作用u 理解信息安全、信息系统和系统业务使命之间的关系l 知识子域：信息安全问题产生的根源u 理解信息安全的内因：信息系统的复杂性u 理解信息安全的外因：人为和环境的威胁l 知识子域：信息安全保障体系u 理解安全保障需要贯穿系统生命周期u 理解保密性、可用性和完整性三个信息安全特征u 理解策略和风险是安全保障的核心问题u 理解技术、管理、工程过程和人员是基本保障要素u 理解业务使命实现是信息安全保障的根本目的2.1.3 知识域：典型信息系统安全模型与框架l 知识子域：P2DR模型u 理解P2DR模型的基本原理：策略、防护、检测、响应u 理解P2DR数学公式所表达的安全目标l 知识子域：信息保障技术框架u 理解IATF深度防御思想u 理解IATF对信息技术系统四个方面的安全需求划分及基本实现方法：本地计算环境、区域边界、网络及基础设施、支撑性基础设施2.2 知识体：信息安全保障基本实践图 22：知识体：信息安全保障基本实践2.2.1 知识域：信息安全保障工作概况l 知识子域：国外信息安全保障情况u 了解发达国家信息安全状况和信息安全保障的主要举措u 了解发达国家信息安全保障建设动态l 知识子域：我国信息安全保障工作总体情况u 了解我国信息安全保障工作发展阶段u 理解国家信息安全保障基本原则u 了解国家信息安全保障建设主要内容2.2.2 知识域：信息系统安全保障工作基本内容l 知识子域：确定安全需求u 理解确定信息系统安全保障需求的作用u 理解确定信息系统安全保障需求的方法和原则l 知识子域：设计和实施信息安全方案u 理解信息安全方案的作用和主要内容u 理解制定信息安全方案的主要原则u 理解信息安全方案实施的主要原则l 知识子域：信息安全测评u 了解信息安全测评的重要性u 了解国内外信息安全测评概况u 理解信息安全产品测评方法和流程u 理解信息系统安全测评方法和流程u 了解服务商资质测评方法和流程u 了解信息安全人员资质测评方法和流程l 知识子域：信息安全监控与维护u 理解在系统生命周期中持续提高信息系统安全保障能力的意义u 理解信息系统安全监控与维护的主要原则第 3 章 知识类：信息安全技术信息安全技术是注册信息安全专业人员需要掌握的主体知识内容之一。通过本部分的学习，学员应当：l 掌握密码技术、访问控制技术、审计技术等信息安全保障技术的原理和基本实现方法l 掌握计算机网络、系统软件、应用软件信息安全防护的基本知识和实践技能l 掌握信息安全攻防的基本知识和实践技能l 理解软件安全开发的基本方法3.1 知识体：密码技术图 31：知识体：密码技术3.1.1 知识域：密码学基础l 知识子域：密码学基础概念u 了解密码学的发展阶段及其特点u 理解密码通信模型，了解密码学有关概念u 了解科克霍夫原则和影响密码系统的安全性的基本因素u 掌握密码体制的分类和特点u 理解密钥生命周期概念和密钥管理作用，了解密钥产生、分配、使用、更换和注销等过程的管理特点l 知识子域：对称密码算法u 了解DES、3DES算法的工作原理u 理解DES、3DES、AES、IDEA的特点和历史背景u 理解对称分组加密算法的优缺点和应用场合l 知识子域：非对称密码算法u 了解Diffie Hellman、ECC等非对称密码算法的原理和特点u 理解掌握RSA非对称密码算法原理和特点u 理解非对称密码算法的优缺点和应用场合l 知识子域：哈希函数和数字签名u 理解哈希函数特点和作用u 了解MD5算法、SHA-1算法的工作原理和特点u 理解消息鉴别码特点和作用，了解MAC、HMAC的原理和应用u 理解数字签名的原理和应用，了解DSA和RSA签名方案3.1.2 知识域：密码学应用l 知识子域：密码学应用基础u 理解使用密码学手段解决机密性、完整性、鉴别、不可否认性以及授权等信息安全要素的能力和方法u 了解常见安全威胁和密码应用场景l 知识子域：VPN技术u 理解VPN的概念、分类和功能u 理解IPSec VPN的工作原理和特点u 理解SSL VPN的工作原理和特点l 知识子域：PKI/CA系统u 了解PKI/CA中CA、RA、数字证书、LDAP、OCSP、CRL等概念u 理解PKI/CA技术原理、体系结构和作用u 掌握PKI/CA中数字证书的申请、发布及注销等流程u 了解PKI/CA的典型应用l 知识子域：PMI/AA系统u 理解PMI/AA的原理和作用u 掌握PMI和PKI、AC和PKC的区别u 了解PMI/AA的体系结构u 掌握属性证书的特点和应用l 知识子域：其他应用介绍u 了解密码协议概念u 理解动态口令认证特点、实现原理及应用u 了解PGP软件功能u 了解OPENSSL软件功能u 了解密码产品分类3.2 知识体：访问控制与审计监控图 32：知识体：访问控制与审计监控3.2.1 知识域：访问控制模型l 知识子域：访问控制基本概念u 理解标识、鉴别和授权等访问控制的基本概念u 理解各种安全模型的分类l 知识子域：自主访问控制模型u 理解自主访问控制的含义u 了解访问矩阵模型，理解和分析应用访问矩阵模型的实现（访问控制列表、权能列表）u 理解自主访问控制模型的特点和优势l 知识子域：强制访问控制模型u 理解强制访问控制的分类和含义u 了解典型强制访问控制模型：Bell-Lapudula模型、Biba模型、Chinese Wall模型和Clark-Wilson模型l 知识子域：基于角色访问控制模型u 理解基于角色的访问控制模型（RBAC）的特点和优势3.2.2 知识域：访问控制技术l 知识子域：标识和鉴别技术u 理解账号和口令管理的基本原则u 了解生物识别技术及其实现（虹膜、指纹、掌纹等）u 了解其他鉴别技术（令牌、票据等）u 了解单点登录技术（SSO）及其实现（Kerberos等）l 知识子域：典型访问控制方法和实现u 理解集中访问控制的基本概念及其实现（RADIUS、TACACS、TACACS+和Diameter等）u 理解非集中访问控制的基本概念及其实现（域等）3.2.3 知识域：审计和监控技术l 知识子域：信息安全审计 u 了解安全审计的基本概念 u 理解安全审计的作用和目标 u 了解审计系统的组成结构 l 知识子域：安全监控 u 了解常用安全监控技术如蜜网、舆情分析等；u 了解内容审计系统模型以及网络不良信息内容监控方法 3.3 知识体：网络安全图 33：知识体：网络安全3.3.1 知识域：网络协议安全l 知识子域：TCP/IP协议安全u 理解开放互联系统模型ISO/OSI七层协议模型u 理解TCP/IP协议面临安全威胁及安全对策u 理解无线网络安全协议的原理和应用u 了解IPV6的安全优势l 知识子域：无线数据网络协议安全u 理解和掌握无线局域网协议安全相关原理和应用u 理解和掌握无线应用协议安全的的原理和应用l 知识子域：无线蜂窝网络协议安全u 了解GSM的安全机制和安全缺陷u 了解CDMA的安全机制和安全缺陷u 了解3G系统的安全机制和安全缺陷3.3.2 知识域：网络安全设备l 知识子域：防火墙技术u 理解防火墙的作用u 理解包过滤技术、状态检测技术和应用代理技术、内核代理技术的原理和优缺点u 掌握防火墙选择和使用中的基本注意事项l 知识子域：入侵检测技术u 理解审计和监控的基本概念u 理解入侵检测基本概念和工作原理u 理解入侵检测的分类u 掌握入侵检测系统选择和使用中的基本注意事项l 知识子域：其它网络安全技术u 了解安全隔离与信息交换系统（网闸）u 了解入侵防御系统（IPS）u 了解安全管理平台（SOC）u 了解统一威胁管理系统（UTM）u 了解网络准入控制（NAC）3.3.3 知识域：网络架构安全l 知识子域：网络架构安全的概念 u 理解网络架构安全的含义 u 理解网络架构的安全需求（安全域、安全边界、用户接入控制、数据安全访问和控制等） l 知识子域：网络架构安全实践 u 掌握IP地址规划、VLAN划分的基本安全原则u 掌握网络设备安全功能和安全配置的基本原则u 掌握网络安全设备部署和配置的基本原则3.4 知识体：系统安全图 34：知识体：系统安全3.4.1 知识域：系统架构l 知识子域：硬件系统组成u 了解和掌握计算机系统架构u 了解计算机硬件组成、工作原理及相关安全问题l 知识子域：操作系统架构u 了解操作系统架构和基本功能u 了解操作系统基本实现机制u 了解操作系统面临的安全问题l 知识子域：典型的安全体系结构u 理解安全体系结构的含义u 了解权能体系结构的基本概念和基本实现方法u 了解Flask体系结构的概念及其组成与应用l 知识子域：安全操作系统基础u 理解安全操作系统的基本概念u 了解操作系统的安全模型l 知识子域：操作系统安全机制u 理解操作系统不同安全机制的概念u 理解操作系统安全机制的作用和基本原理l 知识子域：操作系统安全评测u 了解操作系统安全评测方法u 了解国内外安全评测准则的概况u 理解TCSEC、GB17859-1999、CC标准的主要内容l 知识子域：通用操作系统的安全技术u 理解和掌握windows操作系统安全技术的应用u 理解和掌握Linux操作系统的安全技术的应用l 知识子域：可信计算技术u 了解可信计算技术的产生及发展u 了解可信计算技术3.4.2 知识域：数据库安全l 知识子域：数据库安全基础u 了解数据模型与数据库系统结构u 了解数据库存的基本操作u 理解数据库安全需求 l 知识子域：数据库安全机制u 理解数据库不同安全机制的概念u 理解数据库安全机制的作用和基本原理l 知识子域：数据库管理系统安全管理u 理解数据库威胁与防护 u 掌握数据库安全特性检查 u 掌握数据库运行安全监控 u 了解数据库管理系统产品安全3.5 知识体：应用安全图 35：知识体：应用安全3.5.1 知识域：网络服务安全l 知识子域：Web服务安全u 了解Web工作机制及HTTP协议的安全缺陷u 理解Web服务器常见安全漏洞和防范方法u 掌握Windows IIS与 IE浏览器安全设置l 知识子域：常用互联网服务安全u 了解SMTP、POP等典型电子邮件协议的安全问题u 理解电子邮件客户端和服务器的常见漏洞和防范方法u 理解FTP的常见安全漏洞和防范方法u 了解其他常用互联网服务如远程终端、telnet等安全问题及解决措施3.5.2 知识域：个人终端安全l 知识子域：常用软件安全u 了解互联网浏览安全常识u 了解常用即时通信软件常见安全漏洞和防范方法u 了解常用办公软件（如Micosoft Word）安全功能的使用方法l 知识子域：安全意识u 了解数据安全保护基本知识u 了解社会工程学基本知识3.5.3 知识域：恶意代码l 知识子域：恶意代码基本概念及原理u 了解恶意代码的历史和发展趋势u 理解常见恶意代码病毒、蠕虫、木马传播方式和危害的特点u 了解恶意代码实现的关键技术（生存技术、隐蔽技术、攻击及植入技术等）l 知识子域：恶意代码防御技术u 掌握恶意代码预防的策略、意识、技术和工具u 了解恶意代码发现和分析技术u 了解恶意代码清除技术 3.6 知识体：安全攻防图 36：知识体：安全攻防3.6.1 知识域：信息安全漏洞l 知识子域：安全漏洞基础u 理解漏洞的概念，分类分级u 了解漏洞的危害、产生的原因u 了解常用的漏洞库：CNNVD、CVE等 l 知识子域：安全漏洞检测u 了解基于源代码的漏洞检测方法与技术u 了解基于二进制代码的漏洞检测方法与技术3.6.2 知识域：安全攻防基础l 知识子域：网络攻击基本概念及术语u 了解网络攻击的基本知识u 了解网络攻击的常用术语l 知识子域：网络攻击基本流程u 了解侦网络攻击的基本步骤u 了解网络攻击各个阶段常用的攻击手段和工具3.6.3 知识域：安全攻防实践l 知识子域：攻击目标信息收集u 了解目标系统网络地址、软件版本等信息获取方式u 了解网络网络设备、系统软件、应用软件扫描攻击的常用工具l 知识子域：密码破解原理与实例u 了解密码破解技术原理和口令安全基本知识u 了解密码破解常用工具及密码字典概念l 知识子域：缓冲区溢出原理与实例u 理解缓冲区溢出的原理和危害u 了解防范缓冲区溢出的基本方法l 知识子域：欺骗攻击原理与实例u 理解IP欺骗、ARP欺骗、DNS欺骗的原理和危害u 了解防范欺骗攻击的基本方法l 知识子域：拒绝服务攻击原理与实例u 理解SYN Flood、UDP Flood、Land攻击、Teardrop攻击等典型DOS攻击的原理和危害u 理解DDOS攻击的原理u 了解防范DOS/DDOS攻击的基本方法l 知识子域：网页脚本安全原理与实例u 理解SQL注入攻击的原理和危害u 了解防范SQL注入攻击的基本方法u 理解跨站脚本攻击的原理和危害u 了解防范跨站脚本攻击的基本方法3.7 知识体：软件安全开发图 37：知识体：软件安全开发3.7.1 知识域：软件安全开发概况l 知识子域：软件安全开发背景u 了解人们对安全的软件需求u 了解当前软件开发方法不足以生成安全的软件u 了解软件安全开发的发展历史l 知识子域：软件安全开发简介u 理解软件安全开发七个阶段的主要目的和措施u 理解软件安全开发在安全设计和威胁建模中的基本术语3.7.2 知识域：软件安全开发的关键阶段l 知识子域：软件安全设计u 理解减少攻击面的基本步骤和主要对象u 了解常用软件中减少攻击面的保护措施u 了解威胁建模的目的u 掌握威胁建模的过程u 理解威胁建模的关键因素及作用l 知识子域：软件安全开发u 掌握缓冲区溢出、整数错误、跨站脚本、SQL注入等六种常见软件代码安全漏洞的成因及防范措施u 了解常见源代码分析工具的用途u 掌握编码时禁止使用的函数u 了解如何减少潜在可被利用的编码结构和设计u 理解代码审查的主要内容和过程l 知识子域：软件安全测试u 了解常用模糊测试的类型u 了解常用模糊测试的过程和方法u 了解审核并更新威胁模型，以及重新评估软件的受攻击面第 4 章 知识类：信息安全管理信息安全管理是注册信息安全专业人员需要掌握的主体知识内容之一。通过本部分的学习，学员应当：l 理解信息安全管理对于保障信息系统安全的作用和方法l 理解信息安全管理体系的含义，掌握建立和运行信息安全管理体系的一般方法l 理解等级保护中的信息安全管理机制，掌握等级保护管理机制建立和实施的方法l 理解NIST SP 800中关于信息系统安全管理的要求，掌握实施的通用方法4.1 知识体：信息安全管理基础图表 41：知识体：信息安全管理基础4.1.1 知识域：信息安全管理基本概念l 知识子域：信息安全管理的定义u 理解信息安全及管理的含义u 理解信息安全管理的侧重点l 知识子域： 信息安全管理的作用u 理解信息安全“技管并重”原则的意义u 理解成功实施信息安全管理工作的关键因素4.1.2 知识域：信息安全管理方法l 知识子域： 风险管理的概念和作用u 理解信息安全风险的概念：资产价值、威胁、脆弱性、防护措施、影响、可能性u 理解风险评估是信息安全管理工作的基础u 理解风险处置是信息安全管理工作的核心l 知识子域： 安全管理控制措施的概念和作用u 理解安全管理控制措施的含义u 理解安全管理控制措施是管理风险的具体手段l 知识子域：信息安全管理通用方法u 理解信息安全管理体系的方法机制u 理解信息安全等级保护的管理机制u 理解美国联邦信息系统安全管理的机制4.2 知识体：信息安全管理体系图表 42：知识体：信息安全管理体系4.2.1 知识域：信息安全管理体系基础l 知识子域： 信息安全管理体系的概念u 理解管理体系的含义u 理解信息安全管理体系的概念u 了解信息安全管理体系的起源与发展l 知识子域：信息安全管理体系的作用u 理解信息安全管理体系的持续改进机制u 理解信息安全管理体系的建设给组织带来的利益l 知识子域：信息安全管理体系认证u 理解信息安全管理体系认证的含义u 了解我国的认证机制u 了解我国信息安全管理体系的认证现状4.2.2 知识域：信息安全管理体系方法l 知识子域：信息安全管理体系的关键因素u 理解信息安全管理机构在信息安全管理体系中的重要作用u 理解体系文件的作用和重要性u 理解风险评估和处理在体系建设运行中的重要性l 知识子域：管理体系要素建设u 过程方法和PDCA循环u 理解文件记录控制的方法u 理解内部审核的作用和机制u 理解管理评审的机制和方法u 理解纠正和预防措施的含义l 知识子域：信息安全控制措施选择与建设u 理解安全方针的含义u 理解信息安全组织的含义和控制措施u 理解人力资源安全的含义和控制措施u 理解资产管理的含义和控制措施u 理解物理和环境安全的含义和控制措施u 理解通信和操作管理的含义和控制措施u 理解访问控制的含义和控制措施u 理解信息系统获取、开发和维护的含义和控制措施u 理解信息安全事件管理的含义和控制措施u 理解信息安全业务连续性管理的含义和控制措施u 理解符合性的含义和控制措施4.2.3 知识域：信息安全管理体系建设l 知识子域：建立ISMSu 了解建立ISMS的主要工作内容u 了解建立阶段各活动的实施方法l 知识子域：实施和运行ISMSu 了解实施和运行ISMS的主要工作内容u 了解实施和运行阶段各活动的实施方法l 知识子域：监视和评审ISMSu 了解监视和评审ISMS的主要工作内容u 了解监视和评审阶段各活动的实施方法l 知识子域：保持和改进ISMSu 了解保持和改进ISMS的主要工作内容u 了解保持和改进阶段各活动的实施方法4.3 知识体：信息安全等级保护图表 43知识体：信息安全等级保护4.3.1 知识域：信息安全等级保护基础l 知识子域： 信息安全等级保护级别划分u 理解信息安全等级保护的划分原则u 理解信息安全各等级的含义和范围u 理解信息安全各等级的保护监督检查要求l 知识子域：信息安全等级保护的实施和管理u 理解信息安全等级保护各阶段可依据的标准、政策以及相关文档u 掌握信息安全等级保护中的测评、自查、检查周期要求u 理解信息安全等级保护中的信息安全产品要求u 理解信息安全等级保护中对测评机构的要求4.3.2 知识域：信息安全等级保护方法l 知识子域：信息安全等级保护总体框架u 理解信息安全等级保护基本要求的描述模型u 理解信息安全各等级的安全保护能力目标u 理解基本技术要求和基本管理要求的含义u 理解信息系统基本保护要求的组合方式l 知识子域：信息安全等级保护管理措施u 理解安全管理制度的含义和控制措施u 理解安全管理机构的含义和控制措施u 理解人员安全管理的含义和控制措施u 理解系统建设管理的含义和控制措施u 理解系统运维管理的含义和控制措施4.3.3 知识域：信息安全等级保护工作开展 信息安全管理机制l 知识子域：信息系统定级与备案u 了解系统定级的工作内容和实施方法u 了解系统备案的工作内容和实施方法l 知识子域：安全管理建设整改u 了解信息系统安全管理建设整改的主要工作内容u 了解信息系统安全管理建设整改的基本流程u 了解信息系统安全管理建设整改的实施方法l 知识子域：信息系统等级测评u 了解信息系统等级测评的主要工作内容u 了解信息系统安全管理等级测评的实施方法l 知识子域：信息系统监督检查u 了解信息系统监督检查的主要工作内容u 了解信息系统监督检查的实施方法4.4 知识体：NIST SP 800中的安全管理图表 44知识体：NIST SP 800中的安全管理安全管理4.4.1 知识域：NIST SP 800安全管理基础l 知识子域： NIST SP 800的概念u 理解NIST SP 800的含义u 了解NIST SP 800系列标准的起源与发展l 知识子域：NIST SP 800标准u 理解NIST SP 800的标准框架u 了解NIST SP 800重要安全管理标准的内容架构4.4.2 知识域：NIST SP 800安全管理实施l 知识子域：信息安全控制措施u 理解访问控制的含义和控制措施u 理解意识和教育的含义和控制措施u 理解审计和问责的含义和控制措施u 理解安全评估和授权的含义和控制措施u 理解配置管理的含义和控制措施u 理解应急计划的含义和控制措施u 理解鉴别和认证的含义和控制措施u 理解事件响应的含义和控制措施u 理解维护的含义和控制措施u 理解介质保护的含义和控制措施u 理解物理和环境保护的含义和控制措施u 理解计划的含义和控制措施u 理解人员安全措施的含义和控制措施u 理解风险评估的含义和控制措施u 理解系统和服务获取的含义和控制措施u 理解系统和通信保护的含义和控制措施u 理解系统和信息完整性的含义和控制措施u 理解信息安全规划的含义和控制措施l 知识子域：信息安全管理过程u 理解NIST SP 800的安全管理流程l 知识子域：管理风险u 了解管理风险的主要工作内容u 了解管理风险的实施方法l 知识子域：信息系统分类u 了解信息系统分类的主要工作内容u 了解信息系统分类的实施方法l 知识子域：选择安全控制措施u 了解选择安全控制措施的主要工作内容u 了解选择安全控制措施的实施方法l 知识子域：安全控制措施监控u 了解安全控制措施监控的主要工作内容u 了解安全控制措施监控的实施方法第 5 章 知识类：信息安全工程信息安全工程是注册信息安全专业人员需要掌握的主体知识内容之一。通过本部分的学习，学员应当：l 理解信息安全工程的基本概念和重要性l 熟悉系统安全工程能力成熟度模型（SSE-CMM），能够从“工程服务提供单位-乙方”的角度，应用系统安全工程能力成熟度模型（SSE-CMM）指导开展信息安全工程建设、改进安全服务质量，并了解如何评价信息安全工程的服务质量。l 熟悉信息系统安全工程模型（ISSE），能够从“工程业主单位-甲方”的角度，应用信息系统安全工程模型（ISSE）在工程建设全生命周期进行相应的安全考虑和安全控制。l 了解信息安全工程监理模型，熟悉信息安全工程监理工作范围、职责、内容、过程和控制管理措施。5.1 知识体：信息安全工程图表 51：知识体：信息安全工程5.1.1 知识域：安全工程基础l 知识子域： 信息安全工程概述u 了解安全工程的重要性和意义（政策要求和案例）u 了解安全工程的基本原则l 知识子域： 系统工程、项目管理、质量管理、能力成熟度基础u 了解系统工程基本思想u 了解项目管理基本概念和要素u 了解质量管理基本概念u 理解“工程能力成熟度”基本思想u 了解“过程能力方案”和“组织机构成熟度方案”的区别5.1.2 知识域：安全工程能力提供方l 知识子域： SSE-CMM体系与原理u 了解SSE-CMM的适用范围u 了解过程、过程区和过程能力的概念u 了解域维/安全过程区与能力维/公共特征的关系l 知识子域： 安全工程过程区域u 了解过程类、过程区和基本实施的关系u 理解风险过程、工程过程和保证过程的含义u 了解各个安全工程过程区的含义l 知识子域： 安全工程能力评价u 理解能力级别、公共特征和通用实施的关系u 理解各个信息安全工程能力级别的含义5.1.3 知识域：安全工程生命周期l 知识子域：挖掘信息保护需求u 理解ISSE的含义：将系统工程思想应用于信息安全领域，在系统生命周期的各阶段充分考虑和实施安全措施u 理解信息安全需求提出的过程u 理解风险评估结果是安全需求的重要决定因素u 理解国家政策法规和合同协议等符合性要求是安全需求的重要决定因素u 理解并能够确定信息安全需求的优先次序l 知识子域：确定系统安全要求u 理解信息系统用途、架构等特征对安全风险特征的影响u 理解建立安全背景环境、定义安全运行概念、制定安全基线、审查设计约束等重要环节的主要内容，并能够熟悉上述内容的典型控制措施。l 知识子域：设计系统安全体系结构u 了解设计系统安全体系结构的主要内容：构造系统的体系结构，详细说明信息保护系统的设计方案；开展功能分析和功能分配。u 理解设计方案中必须包含的要素u 能够掌握如何开展对安全设计方案的设计功能分析和设计功能分配l 知识子域：开展详细安全设计u 理解开展详细安全设计的主要内容：确保对安全体系结构的遵从；实施均衡取舍研究；定义系统安全设计要素u 理解安全详细设计必须与安全体系结构设计相一致u 理解安全产品的选型过程和相应的控制措施l 知识子域：实施系统安全 u 理解实施系统安全的主要内容：支持对安全的实现和集成u 理解安全工程必要的实施过程：到货、部署、初验、试运行和终验u 理解风险评估是试运行期间的必要工作，也是终验的重要依据l 知识子域： 评估信息安全有效性u 理解评估信息安全有效性是蕴含在全部上述5个生命周期中的重要工作，每个周期中均不可或缺。u 理解定期、持续的风险评估和风险消控是保障系统安全的必要工作5.1.4 知识域：安全工程评估第三方l 知识子域： 信息安全工程监理模型u 了解信息安全工程监理工作的意义u 了解信息安全工程监理阶段、监理管理和控制手段和监理支撑要素l 知识子域： 监理阶段目标u 了解信息安全工程招标、设计、实施和验收阶段监理方的工作目标l 知识子域： 信息安全工程各方职责u 了解信息安全工程招标、设计、实施和验收阶段业务单位、承建单位和监理单位的职责和工作流程第 6 章 知识类：信息安全标准法规信息安全标准法规是注册信息安全专业人员需要掌握的通用基础知识。通过本部分的学习，学员应当：l 理解遵循信息安全法规、政策、标准和道德规范的重要性l 掌握我国重点信息安全法规和政策的有关要求l 掌握重点信息安全技术标准的有关内容l 了解CISP道德规范，了解通行的有关信息安全道德规范6.1 知识体：信息安全法规与政策图表 61：知识体：信息安全法规与政策6.1.1 知识域：信息安全相关法律l 知识子域： 国家信息安全法治总体情况u 了解信息安全