注冊(cè)信息安全專業(yè)人員資質(zhì)評(píng)估準(zhǔn)則

注冊(cè)信息安全專業(yè)人員

資質(zhì)評(píng)估準(zhǔn)則發(fā)布日期：2002年8月中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心目錄TOC\o"1-5"\h\z\o"CurrentDocument"一、總則0 5\o"CurrentDocument"二、 使用范圍和適用對(duì)象 5\o"CurrentDocument"三、 管理職責(zé) 53.1管理部門 53.2管理職責(zé) 5\o"CurrentDocument"四、 基本能力要求 6\o"CurrentDocument"五、 基本道德準(zhǔn)則 6\o"CurrentDocument"六、 考核標(biāo)準(zhǔn) 66.1.1培訓(xùn)基本能力要求 66.1.2安全體系與模型 76.1.2.1多級(jí)安全模型 76.1.2.2多邊安全模型 76.1.2.3安全體系結(jié)構(gòu) 7Internet安全體系架構(gòu) 7信息安全技術(shù)測(cè)評(píng)認(rèn)證 7信息安全國內(nèi)外情況 76.1.3安全技術(shù) 76.1.3.1密碼技術(shù)及其應(yīng)用 76.1.3.2訪問控制 86.1.3.3標(biāo)識(shí)和鑒別 86.1.3.4審計(jì)及監(jiān)控 86.1.3.5網(wǎng)絡(luò)安全 86.1.3.6系統(tǒng)安全 86.1.3.7應(yīng)用安全 86.1.4工程過程 86.1.4.1風(fēng)險(xiǎn)評(píng)估 86.1.4.2安全策略 86.1.4.3安全工程 96.1.5安全管理 96.1.5.1安全管理基本原則 96.1.5.2安全組織保障 96.1.5.3物理安全 96.1.5.4運(yùn)行管理 96.1.5.5硬件安全管理 96.1.5.6軟件安全管理 106.1.5.7數(shù)據(jù)安全管理 106.1.5.8人員安全管理 106.1.5.9應(yīng)用系統(tǒng)管理 116.1.5.10操作安全管理 116.1.5.11技術(shù)文檔安全管理 116.1.5.12災(zāi)難恢復(fù)計(jì)劃 116.1.5.13安全應(yīng)急響應(yīng) 116.2注冊(cè)信息安全管理人員(CISO) 126.2.1培訓(xùn)基本能力要求 126.2.1.2安全策略 126.2.1.3安全工程 126.2.2安全管理 126.2.2.1安全管理基本原則 126.2.2.3物理安全 126.2.2.4運(yùn)行管理 136.2.2.5硬件安全管理 136.2.2.6軟件安全管理 136.2.2.7數(shù)據(jù)安全管理 136.2.2.8人員安全管理 146.2.2.9應(yīng)用系統(tǒng)管理 146.2.2.10操作安全管理 146.2.2.11技術(shù)文檔安全管理 156.2.2.12災(zāi)難恢復(fù)計(jì)劃 156.2.2.13安全應(yīng)急響應(yīng) 156.2.3信息安全標(biāo)準(zhǔn) 156.2.4法律法規(guī) 156.2.4.1國家法律 156.2.4.2行政法規(guī) 156.2.4.3各部委有關(guān)規(guī)章及規(guī)范性文件 156.3.1培訓(xùn)基本能力要求 156.3.2安全體系與模型 166.3.2.1多級(jí)安全模型 166.3.2.2多邊安全模型 166.3.2.3安全體系結(jié)構(gòu) 16Internet安全體系架構(gòu) 16信息安全技術(shù)測(cè)評(píng)認(rèn)證 166.3.2.6.3信息安全國內(nèi)外情況 166.3.3安全技術(shù) 166.3.3.1密碼技術(shù)及其應(yīng)用 166.3.3.2訪問控制 176.3.3.3標(biāo)識(shí)和鑒別 176.3.3.4審計(jì)及監(jiān)控 176.3.3.5網(wǎng)絡(luò)安全 176.3.3.6系統(tǒng)安全 176.3.3.7應(yīng)用安全 176.3.4工程過程 176.3.4.1風(fēng)險(xiǎn)評(píng)估 176.3.4.2安全策略 176.3.4.3安全工程 186.3.5安全管理 186.3.5.1安全管理基本原則 186.3.5.2安全組織保障 186.3.5.3物理安全 186.3.5.4運(yùn)行管理 186.3.5.5硬件安全管理 186.3.5.6軟件安全管理 196.3.5.7數(shù)據(jù)安全管理 196.3.5.8人員安全管理 196.3.5.9應(yīng)用系統(tǒng)管理 206.3.5.10操作安全管理 206.3.5.11技術(shù)文檔安全管理 206.3.5.12災(zāi)難恢復(fù)計(jì)劃 206.3.5.13安全應(yīng)急響應(yīng) 206.3.6信息安全標(biāo)準(zhǔn) 216.3.7法律法規(guī) 216.3.7.1國家法律 216.3.7.2行政法規(guī) 21\o"CurrentDocument"七、參考資料 217.1國外參考資料 217.2國內(nèi)參考資料 21一、 總則“注冊(cè)信息安全專業(yè)人員”，英文為CertifiedInformationSecurityProfessional（簡稱CISP），根據(jù)實(shí)際崗位工作需要，CISP分為三類,分別是“注冊(cè)信息安全工程師”，英文為CertifiedInformationSecurityEngineer（簡稱CISE）;“注冊(cè)信息安全管理人員”，英文為CertifiedInformationSecurityOfficer（簡稱CISO），“注冊(cè)信息安全審核員”英文為CertifiedInformationSecurityAuditor（簡稱CISA）。其中CISE主要從事信息安全技術(shù)開發(fā)服務(wù)工程建設(shè)等工作，CISO從事信息安全管理等相關(guān)工作，CISA從事信息系統(tǒng)的安全性審核或評(píng)估等工作。這三類注冊(cè)信息安全專業(yè)人員是有關(guān)信息安全企業(yè)，信息安全咨詢服務(wù)機(jī)構(gòu)、信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)（包含授權(quán)測(cè)評(píng)機(jī)構(gòu)）、社會(huì)各組織、團(tuán)體、企事業(yè)有關(guān)信息系統(tǒng)（網(wǎng)絡(luò)）建設(shè)、運(yùn)行和應(yīng)用管理的技術(shù)部門（含標(biāo)準(zhǔn)化部門）必備的專業(yè)崗位人員，其基本職能是對(duì)信息系統(tǒng)的安全提供技術(shù)保障，其所具備的專業(yè)資質(zhì)和能力，系經(jīng)中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心實(shí)施國家認(rèn)證。為了加強(qiáng)對(duì)信息安全專業(yè)人員認(rèn)證的管理，特制定本程序。1.2本標(biāo)準(zhǔn)規(guī)定了信息安全領(lǐng)域工作的注冊(cè)信息安全專業(yè)人員能力評(píng)估的國家最低標(biāo)準(zhǔn)。二、 使用范圍和適用對(duì)象2.1本準(zhǔn)則適用于國家對(duì)“注冊(cè)信息安全專業(yè)人員”培訓(xùn)、能力評(píng)估、認(rèn)可和管理。2.2本準(zhǔn)則適用對(duì)象包括在信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)（含授權(quán)測(cè)評(píng)機(jī)構(gòu)）、信息安全咨詢服務(wù)機(jī)構(gòu)、社會(huì)各組織、團(tuán)體、企事業(yè)有關(guān)信息系統(tǒng)（網(wǎng)絡(luò)）建設(shè)、運(yùn)行和應(yīng)用管理的技術(shù)部門（含標(biāo)準(zhǔn)化部門）工作的信息安全專業(yè)人員。2.3本準(zhǔn)則可適用于所有中國政府部門機(jī)構(gòu)及其人員，和負(fù)責(zé)信息安全系統(tǒng)的管理和檢查的承包商。三、 管理職責(zé)3.1管理部門3.1.1由中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心（以下簡稱“中心”）依據(jù)本準(zhǔn)則開展注冊(cè)信息安全專業(yè)人員能力認(rèn)證工作。3.1.2中心應(yīng)根據(jù)本準(zhǔn)則制訂相應(yīng)的配套規(guī)章制度和實(shí)施細(xì)則。管理職責(zé)3.2.1為政府部門、機(jī)構(gòu)和其他組織、團(tuán)體及企事業(yè)單位提供和維持注冊(cè)信息安全專業(yè)人員培訓(xùn)標(biāo)準(zhǔn)。3.2.2保證開展恰當(dāng)?shù)淖?cè)信息安全專業(yè)人員的培訓(xùn)課程。3.2.3在發(fā)展或者執(zhí)行注冊(cè)信息安全專業(yè)人員培訓(xùn)活動(dòng)中，給予幫助。3.2.4要求從事重要信息安全崗位工作人員，在負(fù)責(zé)管理重要信息系統(tǒng)安全或者為信息系統(tǒng)安全提供安全服務(wù)的時(shí)候，遵守本準(zhǔn)則的有關(guān)條款。四、基本能力要求“注冊(cè)信息安全專業(yè)人員”必須具有一定的教育水準(zhǔn)和相關(guān)工作經(jīng)驗(yàn)?！白?cè)信息安全專業(yè)人員”通過了本準(zhǔn)則規(guī)定的相關(guān)培訓(xùn)內(nèi)容，具備一定的信息安全知識(shí)?！白?cè)信息安全專業(yè)人員”通過了CNITSEC的考試，具有進(jìn)行信息安全服務(wù)的能力。五、 基本道德準(zhǔn)則5.1所有“注冊(cè)信息安全專業(yè)人員”都必須付出努力才能獲得和維持該項(xiàng)認(rèn)證。為貫徹這條原則，所有的CISP都必須承諾完全遵守道德準(zhǔn)則。CISP必須誠實(shí)，公正，負(fù)責(zé)，守法；CISP必須勤奮和勝任工作，不斷提高自身專業(yè)能力和水平；CISP必須保護(hù)信息系統(tǒng)、應(yīng)用程序和系統(tǒng)的價(jià)值CISP必須接受CNITSEC的監(jiān)督，在任何情況下，不損壞CNITSEC或認(rèn)證過程的聲譽(yù)，對(duì)CNITSEC針對(duì)CISP而進(jìn)行的調(diào)查應(yīng)給予充分的合作；CISP必須按規(guī)定向CNITSEC交納費(fèi)用。六、 考核標(biāo)準(zhǔn)以下內(nèi)容包括對(duì)注冊(cè)信息安全專業(yè)人員進(jìn)行考核的基本能力要求，以及其應(yīng)具備的信息安全知識(shí)體系大綱要求。6.1注冊(cè)信息安全工程師(CISE)6.1.1培訓(xùn)基本能力要求了解水平。培養(yǎng)對(duì)安全信息系統(tǒng)的威脅和脆弱性的敏感性，識(shí)別需要保護(hù)的數(shù)據(jù)、信息及其相應(yīng)的保護(hù)方法，學(xué)習(xí)掌握有關(guān)信息系統(tǒng)安全的法則和條例的知識(shí)庫。6.1.1.2應(yīng)用水平。培養(yǎng)有能力對(duì)信息安全過程進(jìn)行設(shè)計(jì)、執(zhí)行或者評(píng)估的人員，以保證他們?cè)趫?zhí)行任務(wù)的時(shí)候可以完整地應(yīng)用安全概念。6.1.2安全體系與模型6.1.2.1多級(jí)安全模型引言Bell-LaPadula模型Clark-Wilson模型Biba模型6.1.2.2多邊安全模型引言訪問控制矩陣(CompartmentationandLattice)模型ChineseWall模型BMA模型6.1.2.3安全體系結(jié)構(gòu)OSI參考模型6.1.2.3.2開放系統(tǒng)互連安全體系結(jié)構(gòu)Internet安全體系架構(gòu)ISO安全體系到TCP/IP映射IPSec協(xié)議IPSec安全體系結(jié)構(gòu)6.1.2.4.4安全協(xié)議IKE概述及IPSec的應(yīng)用6.1.2.5信息安全技術(shù)測(cè)評(píng)認(rèn)證IT評(píng)估通用準(zhǔn)則IT評(píng)估通用方法6.1.2.6信息安全國內(nèi)外情況6.1.3安全技術(shù)6.1.3.1密碼技術(shù)及其應(yīng)用6.1.3.1.1加密基本概念6.1.3.1.2對(duì)稱加密算法6.1.3.1.3非對(duì)稱加密算法6.1.3.1.4鏈路層加密技術(shù)(L2TP)6.1.3.1.5網(wǎng)絡(luò)層加密技術(shù)(IPSEC)VPN虛擬專網(wǎng)SSL/TLS與SSHWeb安全PKI6.1.3.2訪問控制6.1.3.3標(biāo)識(shí)和鑒別6.1.3.4審計(jì)及監(jiān)控6.1.3.4.1安全審計(jì)6.1.3.4.2安全監(jiān)控6.1.3.4.3入侵監(jiān)測(cè)6.1.3.4.4實(shí)際應(yīng)用6.1.3.5網(wǎng)絡(luò)安全6.1.3.5.1網(wǎng)絡(luò)基礎(chǔ)(網(wǎng)絡(luò)組建、管理與安全)6.1.3.5.2網(wǎng)絡(luò)安全6.1.3.5.3安全邊界及邊界間安全策略6.1.3.5.4網(wǎng)絡(luò)攻擊與對(duì)策6.1.3.6系統(tǒng)安全6.1.3.6.1.1操作系統(tǒng)安全6.1.3.6.1.2數(shù)據(jù)庫系統(tǒng)安全6.1.3.7應(yīng)用安全6.1.3.7.1計(jì)算機(jī)病毒W(wǎng)EB安全6.1.3.7.3安全編程6.1.4工程過程6.1.4.1風(fēng)險(xiǎn)評(píng)估6.1.4.1.1安全威脅安全風(fēng)險(xiǎn)評(píng)估過程6.1.4.2安全策略6.1.4.2.1組織安全策略6.1.4.2.2系統(tǒng)安全策略6.1.4.2.3安全策略示例6.1.4.3安全工程6.1.5安全管理6.1.5.1安全管理基本原則6.1.5.2安全組織保障6.1.5.2.1政府計(jì)算機(jī)網(wǎng)絡(luò)安全管理機(jī)構(gòu)的職責(zé)6.1.5.2.2中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心6.1.5.2.3國家計(jì)算機(jī)病毒應(yīng)急處理中心6.1.5.2.4中國計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急處理協(xié)調(diào)中心6.1.5.2..5企業(yè)信息安全管理機(jī)構(gòu)職責(zé)和工作制度6.1.5.3物理安全6.1.5.3.1設(shè)施安全6.1.5.3.2物理安全技術(shù)控制6.1.5.3.3環(huán)境安全6.1.5.3.4電磁泄露6.1.5.4運(yùn)行管理6.1.5.4.1網(wǎng)絡(luò)設(shè)備采購6.1.5.4.2網(wǎng)絡(luò)管理平臺(tái)選擇6.1.5.4.3網(wǎng)絡(luò)產(chǎn)品安全檢測(cè)6.1.5.4.4網(wǎng)絡(luò)配置管理6.1.5.4.5網(wǎng)絡(luò)安全管理6.1.5.4.6網(wǎng)絡(luò)故障分析管理6.1.5.4.7網(wǎng)絡(luò)性能管理6.1.5.4.8網(wǎng)絡(luò)計(jì)費(fèi)管理6.1.5.4.9網(wǎng)絡(luò)訪問控制與路由選擇6.1.5.4.10網(wǎng)絡(luò)管理的協(xié)議6.1.5.5硬件安全管理6.1.5.5.1設(shè)備選型6.1.5.5.2安全檢測(cè)6.1.5.5.3設(shè)備購置與安裝6.1.5.5.4設(shè)備登記與使用6.1.5.5.5設(shè)備維護(hù)6.1.5.5.6設(shè)備保管6.1.5.5.7質(zhì)量控制6.1.5.6軟件安全管理概述6.1.5.6.1.2軟件的選型與購置6.1.5.6.1.3軟件安全檢測(cè)預(yù)驗(yàn)收6.1.5.6.1.4軟件安全跟蹤與報(bào)告6.1.5.6.1.5軟件版本控制6.1.5.6.1.6軟件安全審查6.1.5.6.1.7軟件使用與維護(hù)制度6.1.5.7數(shù)據(jù)安全管理6.1.5.7.1數(shù)據(jù)安全的基本概念6.1.5.7.2數(shù)據(jù)管理目標(biāo)6.1.5.7.3數(shù)據(jù)載體安全管理6.1.5.7.4數(shù)據(jù)密級(jí)標(biāo)簽管理6.1.5.7.5數(shù)據(jù)存儲(chǔ)實(shí)現(xiàn)管理6.1.5.7.6數(shù)據(jù)訪問控制管理6.1.5.7.7數(shù)據(jù)備份管理6.1.5.7.8數(shù)據(jù)完整性管理6.1.5.7.9數(shù)據(jù)可用性管理6.1.5.7.10不良信息監(jiān)控管理6.1.5.7.11可疑信息跟蹤審計(jì)6.1.5.8人員安全管理6.1.5.8.1建立安全組織6.1.5.8.2安全職能獨(dú)立人員安全審查6.1.5.8.4崗位安全考核6.1.5.8.5人員安全培訓(xùn)6.1.5.8.6安全保密契約管理6.1.5.8.7離崗人員安全管理6.1.5.9應(yīng)用系統(tǒng)管理6.1.5.9.1系統(tǒng)啟動(dòng)安全審查管理6.1.5.9.2應(yīng)用軟件監(jiān)控管理6.1.5.9.3應(yīng)用軟件版本安裝管理6.1.5.9.4應(yīng)用軟件更改安裝管理6.1.5.9.5應(yīng)用軟件備份管理6.1.5.9.6應(yīng)用軟件維護(hù)安全管理6.1.5.10操作安全管理6.1.5.10.1操作權(quán)限管理6.1.5.10.2操作規(guī)范管理6.1.5.10.3操作責(zé)任管理6.1.5.10.4操作監(jiān)控管理6.1.5.10.5誤操作恢復(fù)管理6.1.5.11技術(shù)文檔安全管理6.1.5.11.1文檔密級(jí)管理6.1.5.11.2文檔借閱管理6.1.5.11.3文檔登記和保管6.1.5.11.4文檔銷毀和監(jiān)毀6.1.5.11.5電子文檔安全管理6.1.5.11.6技術(shù)文檔備份6.1.5.12災(zāi)難恢復(fù)計(jì)劃6.1.5.12.1災(zāi)難恢復(fù)的概念6.1.5.12.2災(zāi)難恢復(fù)技術(shù)概述6.1.5.12.3災(zāi)難恢復(fù)計(jì)劃6.1.5.13安全應(yīng)急響應(yīng)6.1.5.13.1安全應(yīng)急響應(yīng)的現(xiàn)狀6.1.5.13.2安全應(yīng)急響應(yīng)管理系統(tǒng)的建立6.1.5.13.3安全應(yīng)急響應(yīng)過程6.2注冊(cè)信息安全管理人員(CISO)6.2.1培訓(xùn)基本能力要求同6.1.1.1同6.1.1.26.2.1工程過程6.2.1.1風(fēng)險(xiǎn)評(píng)估6.2.1.1.1安全威脅6.2.1.1.2安全風(fēng)險(xiǎn)評(píng)估過程6.2.1.2安全策略6.2.1.2.1組織安全策略6.2.1.2.2系統(tǒng)安全策略6.2.1.2.3安全策略示例6.2.1.3安全工程安全管理6.2.2.1安全管理基本原則6.2.2.2安全組織保障6.2.2.2.1政府計(jì)算機(jī)網(wǎng)絡(luò)安全管理機(jī)構(gòu)的職責(zé)6.2.2.2.2中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心6.2.2.2.3國家計(jì)算機(jī)病毒應(yīng)急處理中心6.2.2.2.4中國計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急處理協(xié)調(diào)中心6.2.2.2.5企業(yè)信息安全管理機(jī)構(gòu)職責(zé)和工作制度6.2.2.3物理安全6.2.2.3.1設(shè)施安全6.2.2.3.2物理安全技術(shù)控制6.2.2.3.3環(huán)境安全6.2.2.3.4電磁泄露6.2.2.4運(yùn)行管理6.2.2.4.1網(wǎng)絡(luò)設(shè)備采購6.2.2.4.2網(wǎng)絡(luò)管理平臺(tái)選擇6.2.2.4.3網(wǎng)絡(luò)產(chǎn)品安全檢測(cè)6.2.2.4.4網(wǎng)絡(luò)配置管理6.2.2.4.5網(wǎng)絡(luò)安全管理6.2.2.4.6網(wǎng)絡(luò)故障分析管理6.2.2.4.7網(wǎng)絡(luò)性能管理6.2.2.4.8網(wǎng)絡(luò)計(jì)費(fèi)管理6.2.2.4.9網(wǎng)絡(luò)訪問控制與路由選擇6.2.2.4.10網(wǎng)絡(luò)管理的協(xié)議6.2.2.5硬件安全管理6.2.2.5.1設(shè)備選型安全檢測(cè)6.2.2.5.3設(shè)備購置與安裝6.2.2.5.4設(shè)備登記與使用6.2.2.5.5設(shè)備維護(hù)6.2.2.5.6設(shè)備保管6.2.2.5.7質(zhì)量控制6.2.2.6軟件安全管理概述軟件的選型與購置6.2.2.6.3軟件安全檢測(cè)預(yù)驗(yàn)收6.2.2.6.4軟件安全跟蹤與報(bào)告6.2.2.6.5軟件版本控制6.2.2.6.6軟件安全審查6.2.2.2.6.7軟件使用與維護(hù)制度6.2.2.7數(shù)據(jù)安全管理6.2.2.7.1數(shù)據(jù)安全的基本概念6.2.2.7.2安全管理目標(biāo)6.2.2.7.3數(shù)據(jù)載體安全管理6.2.2.7.4數(shù)據(jù)密級(jí)標(biāo)簽管理6.2.2.7.5數(shù)據(jù)存儲(chǔ)實(shí)現(xiàn)管理6.2.2.7.6數(shù)據(jù)訪問控制管理6.2.2.7.7數(shù)據(jù)備份管理6.2.2.7.8數(shù)據(jù)完整性管理6.2.2.7.9數(shù)據(jù)可用性管理6.2.2.7.10不良信息監(jiān)控管理6.2.2.7.11可疑信息跟蹤審計(jì)6.2.2.8人員安全管理6.2.2.8.1建立安全組織6.2.2.8.2安全職能獨(dú)立6.2.2.8.3人員安全審查6.2.2.8.4崗位安全考核6.2.2.8.5人員安全培訓(xùn)6.2.2.8.6安全保密契約管理6.2.2.8.7離崗人員安全管理6.2.2.9應(yīng)用系統(tǒng)管理6.2.2.9.1系統(tǒng)啟動(dòng)安全審查管理6.2.2.9.2應(yīng)用軟件監(jiān)控管理6.2.2.9.3應(yīng)用軟件版本安裝管理6.2.2.9.4應(yīng)用軟件更改安裝管理6.2.2.9.5應(yīng)用軟件備份管理6.2.2.9.6應(yīng)用軟件維護(hù)安全管理6.2.2.10操作安全管理6.2.2.10.1操作權(quán)限管理6.2.2.10.2操作規(guī)范管理6.2.2.10.3操作責(zé)任管理6.2.2.10.4操作監(jiān)控管理6.2.2.10.5誤操作恢復(fù)管理6.2.2.11技術(shù)文檔安全管理6.2.2.11.1文檔密級(jí)管理6.2.2.11.2文檔借閱管理6.2.2.11.3文檔登記和保管6.2.2.11.4文檔銷毀和監(jiān)毀6.2.2.11.5電子文檔安全管理6.2.2.11.6技術(shù)文檔備份6.2.2.12災(zāi)難恢復(fù)計(jì)劃6.2.2.12.1災(zāi)難恢復(fù)的概念6.2.2.12.2災(zāi)難恢復(fù)技術(shù)概述6.2.2.12.3災(zāi)難恢復(fù)計(jì)劃6.2.2.13安全應(yīng)急響應(yīng)6.2.2.13.1安全應(yīng)急響應(yīng)的現(xiàn)狀6.2.2.13.2安全應(yīng)急響應(yīng)管理系統(tǒng)的建立6.2.2.13.3安全應(yīng)急響應(yīng)過程6.2.3信息安全標(biāo)準(zhǔn)6.2.4法律法規(guī)6.2.4.1國家法律6.2.4.2行政法規(guī)6.2.4.3各部委有關(guān)規(guī)章及規(guī)范性文件6.3注冊(cè)信息安全審核員(CISA)6.3.1培訓(xùn)基本能力要求同6.1.1.1同6.1.1.26.3.2安全體系與模型6.3.2.1多級(jí)安全模型引言Bell-LaPadula模型Clark-Wilson模型Biba模型6.3.2.2多邊安全模型引言訪問控制矩陣(CompartmentationandLattice)模型ChineseWall模型BMA模型6.3.2.3安全體系結(jié)構(gòu)OSI參考模型6.3.2.3.2開放系統(tǒng)互連安全體系結(jié)構(gòu)6.3.2.4Internet安全體系架構(gòu)ISO安全體系到TCP/IP映射IPSec協(xié)議IPSec安全體系結(jié)構(gòu)安全協(xié)議IKE概述及IPSec的應(yīng)用6.3.2.5信息安全技術(shù)測(cè)評(píng)認(rèn)證IT評(píng)估通用準(zhǔn)則IT評(píng)估通用方法6.3.2.6.3信息安全國內(nèi)外情況6.3.3安全技術(shù)6.3.3.1密碼技術(shù)及其應(yīng)用6.3.3.1.1加密基本概念6.3.3.1.2對(duì)稱加密算法6.3.3.1.3非對(duì)稱加密算法6.3.3.1.4鏈路層加密技術(shù)(L2TP)6.3.3.1.5網(wǎng)絡(luò)層加密技術(shù)(IPSEC)VPN虛擬專網(wǎng)SSL/TLS與SSHWeb安全PKI6.3.3.2訪問控制6.3.3.3標(biāo)識(shí)和鑒別6.3.3.4審計(jì)及監(jiān)控6.3.3.4.1安全審計(jì)6.3.3.4.2安全監(jiān)控6.3.3.4.3入侵監(jiān)測(cè)6.3.3.4.4實(shí)際應(yīng)用6.3.3.5網(wǎng)絡(luò)安全6.3.3.5.1網(wǎng)絡(luò)基礎(chǔ)(網(wǎng)絡(luò)組建、管理與安全)6.3.3.5.2網(wǎng)絡(luò)安全6.3.3.5.3安全邊界及邊界間安全策略6.3.3.5.4網(wǎng)絡(luò)攻擊與對(duì)策6.3.3.6系統(tǒng)安全6.3.3.6.1操作系統(tǒng)安全6.3.3.6.2數(shù)據(jù)庫系統(tǒng)安全6.3.3.7應(yīng)用安全6.3.3.7.1計(jì)算機(jī)病毒W(wǎng)EB安全6.3.3.7.3安全編程6.3.4工程過程6.3.4.1風(fēng)險(xiǎn)評(píng)估6.3.4.1.1安全威脅6.3.4.1.2安全風(fēng)險(xiǎn)6.3.4.1.3評(píng)估過程安全策略6.3.4.2.1組織安全策略6.3.4.2.2系統(tǒng)安全策略6.3.4.2.3安全策略示例6.3.4.3安全工程6.3.5安全管理6.3.5.1安全管理基本原則6.3.5.2安全組織保障6.3.5.2.1政府計(jì)算機(jī)網(wǎng)絡(luò)安全管理機(jī)構(gòu)的職責(zé)6.3.5.2.2中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心6.3.5.2.3國家計(jì)算機(jī)病毒應(yīng)急處理中心6.3.5.2.4中國計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急處理協(xié)調(diào)中心6.3.5.2..5企業(yè)信息安全管理機(jī)構(gòu)職責(zé)和工作制度6.3.5.3物理安全6.3.5.3.1設(shè)施安全6.3.5.3.2物理安全技術(shù)控制6.3.5.3.3環(huán)境安全6.3.5.3.4電磁泄露6.3.5.4運(yùn)行管理6.3.5.4.1網(wǎng)絡(luò)設(shè)備采購6.3.5.4.2網(wǎng)絡(luò)管理平臺(tái)選擇6.3.5.4.3網(wǎng)絡(luò)產(chǎn)品安全檢測(cè)6.3.5.4.4網(wǎng)絡(luò)配置管理網(wǎng)絡(luò)安全管理6.3.5.4.6網(wǎng)絡(luò)故障分析管理6.3.5.4.7網(wǎng)絡(luò)性能管理6.3.5.4.8網(wǎng)絡(luò)計(jì)費(fèi)管理6.3.5.4.9網(wǎng)絡(luò)訪問控制與路由選擇6.3.5.4.10網(wǎng)絡(luò)管理的協(xié)議6.3.5.5硬件安全管理6.3.5.5.1設(shè)備選型6.3.5.5.2安全檢測(cè)6.3.5.5.3設(shè)備購置與安裝6.3.5.5.4設(shè)備登記與使用6.3.5.5.5設(shè)備維護(hù)6.3.5.5.6設(shè)備保管6.3.5.5.7質(zhì)量控制6.3.5.6軟件安全管理概述6.3.5.6.2軟件的選型與購置6.3.5.6.3軟件安全檢測(cè)預(yù)驗(yàn)收6.3.5.6.4軟件安全跟蹤與報(bào)告6.3.5.6.5軟件版本控制6.3.5.6.6軟件安全審查6.3.5.6.3.7軟件使用與維護(hù)制度6.3.5.7數(shù)據(jù)安全管理6.3.5.7.1數(shù)據(jù)安全的基本概念6.3.5.7.2安全管理目標(biāo)6.3.5.7.3數(shù)據(jù)載體安全管理6.3.5.7.4數(shù)據(jù)密級(jí)標(biāo)簽管理6.3.5.7.5數(shù)據(jù)存儲(chǔ)實(shí)現(xiàn)管理6.3.5.7.6數(shù)據(jù)訪問控制管理6.3.5.7.7數(shù)據(jù)備份管理6.3.5.7.8數(shù)據(jù)完整性管理6.3.5.7.9數(shù)據(jù)可用性管理6.3.5.7.10不良信息監(jiān)控管理6.3.5.7.11可疑信息跟蹤審計(jì)6.3.5.8人員安全管理6.3.5.8.1建立安全組織6.3.5.8.2安全職能獨(dú)立6.3.5.8.3人員安全審查6.3.5.8.4崗位安全考核6.3.5.8.5人員安全培訓(xùn)6.3.5.8.6安全保密契約管理6.3.5.8.7離崗人員安全管理6.3.5.9應(yīng)用系統(tǒng)管理6.3.5.9.1系統(tǒng)啟動(dòng)安全審查管理6.3.5.9.2應(yīng)用軟件監(jiān)控管理6.3.5.9.3應(yīng)用軟件版本安裝管理6.3.5.9.4應(yīng)用軟件更改安裝管理6.3.5.9.5應(yīng)用軟件備份管理6.3.5.9.6應(yīng)用軟件維護(hù)安全管理6.3.5.10操作安全管理6.3.5.10.1操作權(quán)限管理