IT運(yùn)維管理：ITIL先鋒論壇-某培訓(xùn)機(jī)構(gòu)的CISP培訓(xùn)大綱

注冊(cè)信息安全專業(yè)人員（CISP）知識(shí)體系大綱中國(guó)信息安全測(cè)評(píng)中心注冊(cè)信息安全專業(yè)人員（CISP）知識(shí)體系大 1 4 5 5 5 5 7 9 9 9 10 10 11 11 11 12 13 13 13 14 15 15 16 16 17 17 17 18 19 19 20 20 20 21 21 22 23 23 24 25 25 25 25 26 26 27 27 28 29 29 30 31 31 32 32 34 34 34 35 35 36 36 37 37 38 38 38 39 40 40 41 41 41 42 42 42注冊(cè)信息安全專業(yè)人員（CISP）是對(duì)我國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的“注冊(cè)信息安全專業(yè)人員”，英文為CertifiedInformationSecurityl“注冊(cè)信息安全工程師”，英文為CertifiedInformationSecurityEngineer，簡(jiǎn)稱CISE。證書(shū)持有人員主要從事信息安全技術(shù)領(lǐng)域的工作，具有從事信息系統(tǒng)安全集成、安全技術(shù)測(cè)試、安全加固和安全l“注冊(cè)信息安全管理員”，英文為CertifiedInformationSecurityOfficer，簡(jiǎn)稱CISO。證書(shū)持有人員主要從事信息安全管作，具有組織信息安全風(fēng)險(xiǎn)評(píng)估、信息安全總體規(guī)劃編制、信息安全l“注冊(cè)信息安全審計(jì)師”，英文為CertifiedInformationSecurityAuditor，簡(jiǎn)稱CISA。證書(shū)持有人主要面掌握信息安全基本知識(shí)技能的基礎(chǔ)上，具有較強(qiáng)的信息安全風(fēng)險(xiǎn)評(píng)估、安全檢查實(shí)踐能力。全面掌握信息安全基本知識(shí)技能的基礎(chǔ)上，具有較強(qiáng)的信息系統(tǒng)安全CISD需要更加深入地掌握有關(guān)信息系統(tǒng)安全開(kāi)發(fā)的知識(shí)，有關(guān)內(nèi)容將在注冊(cè)信息安全專業(yè)人員（CISP）知識(shí)體系大在整個(gè)注冊(cè)信息安全專業(yè)人員（CISP）的知識(shí)體系結(jié)構(gòu)中，共包括信息安注冊(cè)信息安全專業(yè)人員（CISP）知識(shí)體系大操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用軟件等方面的基本安全原理和實(shí)踐，以及安注冊(cè)信息安全專業(yè)人員（注冊(cè)信息安全專業(yè)人員（CISP)知識(shí)體系結(jié)構(gòu)信息安全保障鑒別與訪問(wèn)控制軟件安全開(kāi)發(fā)安全攻擊與防護(hù)密碼技術(shù)信息安全技術(shù)鑒別與訪問(wèn)控制軟件安全開(kāi)發(fā)安全攻擊與防護(hù)密碼技術(shù)操作系統(tǒng)安全操作系統(tǒng)安全數(shù)據(jù)庫(kù)安全數(shù)據(jù)庫(kù)安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全應(yīng)用安全應(yīng)用安全信息安全法規(guī)標(biāo)準(zhǔn)信息安全信息安全保障基礎(chǔ)信息安全信息安全法規(guī)與政策信息安全信息安全標(biāo)準(zhǔn)信息安全信息安全保障實(shí)踐信息安全管理信息安全信息安全管理基礎(chǔ)信息安全信息安全風(fēng)險(xiǎn)管理信息安全工程安全工程安全工程基礎(chǔ)信息安全信息安全道德規(guī)范應(yīng)急響應(yīng)與應(yīng)急響應(yīng)與災(zāi)難恢復(fù)信息內(nèi)信息內(nèi)容安全安全工程安全工程能力評(píng)估信息安全管理體系信息安全管理體系注冊(cè)信息安全專業(yè)人員（CISP）知識(shí)體系大注冊(cè)信息安全專業(yè)人員（CISP）知識(shí)體系大u理解信息安全基本概念，理解信息安全基本屬性：保密性、完整u了解通信、計(jì)算機(jī)、網(wǎng)絡(luò)和網(wǎng)絡(luò)化社會(huì)等階段信況u了解通信安全、計(jì)算機(jī)安全、信息系統(tǒng)安全和信分為本地計(jì)算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和支撐性基礎(chǔ)設(shè)施u理解信息系統(tǒng)安全保障模型中生命周期、保障要素和安全特征的注冊(cè)信息安全專業(yè)人員（CISP）知識(shí)體系大注冊(cè)信息安全專業(yè)人員（CISP）知識(shí)體系大u理解科克霍夫原則，理解算法復(fù)雜程度和密鑰長(zhǎng)度是影響密碼系u理解使用密碼學(xué)手段解決機(jī)密性、完整性、鑒別、不可否認(rèn)性以念方法：訪問(wèn)控制表、能力表，了解其他實(shí)現(xiàn)方法如前綴表、保護(hù)位注冊(cè)信息安全專業(yè)人員（CISP）知識(shí)體系大注冊(cè)信息安全專業(yè)人員（CISP）知識(shí)體系大u理解包過(guò)濾技術(shù)、狀態(tài)檢測(cè)技術(shù)和應(yīng)用代理技術(shù)等防火墻主要技中國(guó)信息安全測(cè)評(píng)中心供：定義完整性約束條件的機(jī)制、完整性檢查的方法和違約處理u理解數(shù)據(jù)庫(kù)備份和恢復(fù)機(jī)制的重要性，了解常見(jiàn)的數(shù)據(jù)冗余技術(shù)u理解數(shù)據(jù)庫(kù)事前安全防護(hù)、事中安全監(jiān)控以及事后安全審計(jì)的方法中國(guó)信息安全測(cè)評(píng)中心中國(guó)信息安全測(cè)評(píng)中心u理解惡意代碼修改配置文件、修改注冊(cè)表、設(shè)置系統(tǒng)服務(wù)等加載u理解增強(qiáng)安全策略與意識(shí)、減少漏洞、減輕威脅等惡意代碼預(yù)防u理解默認(rèn)口令攻擊、字典攻擊及暴力攻擊等方式的口令破解原理中國(guó)信息安全測(cè)評(píng)中心容中國(guó)信息安全測(cè)評(píng)中心u理解通用安全編碼準(zhǔn)則：驗(yàn)證輸入、避免緩沖區(qū)溢出、程序內(nèi)部u理解使用安全編譯技術(shù)對(duì)提高編碼安全水平的作用，了解常用安中國(guó)信息安全測(cè)評(píng)中心中國(guó)信息安全測(cè)評(píng)中心u理解風(fēng)險(xiǎn)管理是信息安全管理的基本方法，理解風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)，風(fēng)險(xiǎn)處理是信息安全管理的核心，理解控制措u理解過(guò)程方法是信息安全管理的基本方法，理解過(guò)程和過(guò)程方法u理解建設(shè)信息安全管理體系是系統(tǒng)地實(shí)施信息安全管理的一種方法u理解建設(shè)信息安全等級(jí)保護(hù)是系統(tǒng)地實(shí)施信息安全管理的一種方法u理解風(fēng)險(xiǎn)的概念，理解資產(chǎn)、威脅、脆弱性、業(yè)務(wù)戰(zhàn)略、安全事中國(guó)信息安全測(cè)評(píng)中心u理解風(fēng)險(xiǎn)準(zhǔn)則、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)管理、殘余風(fēng)險(xiǎn)的概中國(guó)信息安全測(cè)評(píng)中心注冊(cè)信息安全專業(yè)人員（CISP）知識(shí)體系大中國(guó)信息安全測(cè)評(píng)中心u理解管理者履行管理職責(zé)對(duì)成功實(shí)施信息安全管理體系（ISMS）u了解內(nèi)部審核的概念，以及內(nèi)部審核的目的、u理解進(jìn)行有效性測(cè)量、實(shí)施內(nèi)部審核、實(shí)施管理評(píng)審等監(jiān)視和評(píng)u理解實(shí)施糾正和預(yù)防措施、溝通措施和改進(jìn)情況等保持和改進(jìn)注冊(cè)信息安全專業(yè)人員（CISP）知識(shí)體系大u掌握信息安全方針文件和信息安全方針評(píng)審兩項(xiàng)措施的常規(guī)控制u理解內(nèi)部組織控制目標(biāo)的含義，掌握信息安全協(xié)調(diào)等實(shí)現(xiàn)這一目u理解外部各方控制目標(biāo)的含義，掌握與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別u理解對(duì)資產(chǎn)負(fù)責(zé)控制目標(biāo)的含義，掌握資產(chǎn)清單、資產(chǎn)責(zé)任人等u理解信息分類控制目標(biāo)的含義，掌握分類指南、信息的標(biāo)記和處u理解任用前控制目標(biāo)的含義，掌握角色和職責(zé)、審查等控制措施u理解任用中控制目標(biāo)的含義，掌握管理職責(zé)、信息安全意識(shí)教育u理解任用的終止或變化控制目標(biāo)的含義，掌握終止職責(zé)、撤銷訪u理解安全區(qū)域控制目標(biāo)的含義，掌握物理安全邊界、物理入口控u理解設(shè)備安全控制目標(biāo)的含義，掌握設(shè)備安置和保護(hù)、支持性設(shè)u理解操作程序和職責(zé)、第三方服務(wù)交付管理、系統(tǒng)規(guī)劃和驗(yàn)收、防范惡意代碼、備份、網(wǎng)絡(luò)安全管理、介質(zhì)處置、信息的交換、u理解訪問(wèn)控制的業(yè)務(wù)要求、用戶訪問(wèn)管理、用戶職責(zé)、網(wǎng)絡(luò)訪問(wèn)控制、操作系統(tǒng)訪問(wèn)控制、應(yīng)用和信息訪問(wèn)控制、移動(dòng)計(jì)算和遠(yuǎn)u理解信息系統(tǒng)的安全需求、應(yīng)用中的正確處理、密碼控制、系統(tǒng)文件的安全、開(kāi)發(fā)和支持過(guò)程中的安全、技術(shù)脆弱性管理這些控u理解符合法律要求、符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性、信息注冊(cè)信息安全專業(yè)人員（CISP）知識(shí)體系大u了解我國(guó)信息安全事件應(yīng)急響應(yīng)工作的進(jìn)展情況注冊(cè)信息安全專業(yè)人員（CISP）知識(shí)體系大u了解由組織擁有或運(yùn)行維護(hù)的專用站點(diǎn)、同簽署互惠協(xié)議而確定的備用站點(diǎn)、向?qū)I(yè)商業(yè)組織租用的備用站注冊(cè)信息安全專業(yè)人員（CISP）知識(shí)體系大l理解在信息系統(tǒng)生命周期中的各階段運(yùn)用“信注冊(cè)信息安全專業(yè)人員（CISP）知識(shí)體系大u了解定義系統(tǒng)安全背景環(huán)境、定義安全操作概念u理解設(shè)計(jì)并分析系統(tǒng)安全體系結(jié)構(gòu)、向體系結(jié)構(gòu)分配安全服務(wù)等u了解進(jìn)行均衡取舍研究、定義系統(tǒng)安全設(shè)計(jì)u理解支持安全實(shí)現(xiàn)和集成、支持測(cè)試和評(píng)估等實(shí)現(xiàn)系統(tǒng)安全階段u了解信息安全工程監(jiān)理階段、監(jiān)理管理和控素u了解能力維的組織結(jié)構(gòu)，理解通用實(shí)施、公u理解能力成熟度為未實(shí)施級(jí)（0級(jí)）的信息安全工程組織和工程l理解遵循信息安全法律、法規(guī)、政策、規(guī)章、