CISP知识体系大纲2.0正式版

注册信息安全专业人员（CISP）知识体系大纲版本：2.0正式版中国信息安全测评中心目录前言4第 1 章 注册信息安全专业人员（CISP）知识体系概述51.1 CISP资质认定类别51.2 大纲范围51.3 CISP知识体系框架结构61.4 CISP（CISE/CISO）考试试题结构8第 2 章 知识类：信息安全保障概述102.1 知识体：信息安全保障基本知识102.1.1 知识域：信息安全保障背景102.1.2 知识域：信息安全保障原理112.1.3 知识域：典型信息系统安全模型与框架112.2 知识体：信息安全保障基本实践122.2.1 知识域：信息安全保障工作概况122.2.2 知识域：信息系统安全保障工作基本内容12第 3 章 知识类：信息安全技术143.1 知识体：密码技术143.1.1 知识域：密码学基础153.1.2 知识域：密码学应用153.2 知识体：访问控制与审计监控163.2.1 知识域：访问控制模型173.2.2 知识域：访问控制技术173.2.3 知识域：审计和监控技术183.3 知识体：网络安全183.3.1 知识域：网络协议安全183.3.2 知识域：网络安全设备193.3.3 知识域：网络架构安全193.4 知识体：系统安全203.4.1 知识域：操作系统安全203.4.2 知识域：数据库安全213.5 知识体：应用安全223.5.1 知识域：网络服务安全223.5.2 知识域：个人用户安全233.5.3 知识域：恶意代码233.6 知识体：安全攻防243.6.1 知识域：信息安全漏洞243.6.2 知识域：安全攻防基础253.6.3 知识域：安全攻防实践253.7 知识体：软件安全开发263.7.1 知识域：软件安全开发概况263.7.2 知识域：软件安全开发的关键阶段26第 4 章 知识类：信息安全管理284.1 知识体：信息安全管理体系284.1.1 知识域：信息安全管理基本概念284.1.2 知识域：信息安全管理体系建设294.2 知识体：信息安全风险管理304.2.1 知识域：风险管理工作内容304.2.2 知识域：信息安全风险评估实践314.3 知识体：安全管理措施324.3.1 知识域：基本安全管理措施324.3.2 知识域：重要安全管理过程34第 5 章 知识类：信息安全工程365.1 知识体：信息安全工程原理365.1.1 知识域：安全工程理论背景365.1.2 知识域： 安全工程能力成熟度模型375.2 知识体：信息安全工程实践385.2.1 知识域： 安全工程实施实践385.2.2 知识域： 信息安全工程监理39第 6 章 知识类：信息安全标准法规406.1 知识体：信息安全法规与政策406.1.1 知识域：信息安全相关法律406.1.2 知识域：信息安全国家政策416.2 知识体：信息安全标准426.2.1 知识域：安全标准化概述426.2.2 知识域：信息安全评估标准426.2.3 知识域：信息安全管理标准436.2.4 知识域：等级保护标准436.3 知识体：道德规范446.3.1 知识域：信息安全从业人员道德规范446.3.2 知识域：通行道德规范45前言信息安全作为我国信息化建设健康发展的重要因素，关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施，是国家安全的重要组成部分。在信息系统安全保障工作中，人是最核心、也是最活跃的因素，人员的信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。注册信息安全专业人员（CISP）是对我国网络基础设施和重要信息系统的信息安全专业人员进行资质评定的重要形式。多年来为落实我国有关政策“加快信息安全人才培养，增强全民信息安全意识”的指导精神，构建信息安全人才体系发挥了巨大作用。本大纲从我国国情出发，结合我国网络基础设施和重要信息系统安全保障的实际需求，以知识体系的全面性和实用性为原则，明确规定了注册信息安全专业人员应当掌握的知识要点，是CISP教材编制，讲师授课，学员学习，以及考试命题的重要依据。本大纲包含以下章节：l 第1章 注册信息安全专业人员（CISP）知识体系概述l 第2章 知识类：信息安全保障概述l 第3章 知识类：信息安全技术l 第4章 知识类：信息安全管理l 第5章 知识类：信息安全工程l 第6章 知识类：信息安全标准法规第 1 章 注册信息安全专业人员（CISP）知识体系概述1.1 CISP资质认定类别 “注册信息安全专业人员”，英文为Certified Information Security Professional ，简称CISP，系经中国信息安全测评中心认定的国家信息安全专业人员，具备保障信息系统安全的专业资质。根据岗位工作需要，CISP分为两个基础类别：l “注册信息安全工程师”，英文为Certified Information Security Engineer，简称CISE。证书持有人员主要从事信息安全技术领域的工作，具有从事信息系统安全集成、安全技术测试、安全加固和安全运维的基本知识和能力；l “注册信息安全管理人员”， 英文为Certified Information Security Officer，简称CISO。证书持有人员主要从事信息安全管理领域的工作，具有组织信息安全风险评估、信息安全总体规划编制、信息安全策略制度制定和监督落实的基本知识和能力。“注册信息安全专业人员”在两个基础类别之上还有两个扩展类别：l “注册信息安全专业人员-审计师”，简称CISP-AUDIT（原CISA）。证书持有人主要从事信息安全审计工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息安全风险评估、安全检查实践能力。l “注册信息安全专业人员-灾难恢复工程师”，简称CISP-DRP。证书持有人主要从事信息系统灾难恢复工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息系统灾难恢复建设和管理的实践能力。1.2 大纲范围本大纲涵盖了CISE和CISO两种CISP基础类别注册人员需要掌握的知识要点。CISP-AUDIT注册人员需要在本文规定的知识要点基础上，更加深入地掌握有关信息系统审计和风险评估的知识，有关内容将在CISP-AUDIT专门的知识大纲中进行介绍，而不在本大纲范围内。CISP-DRP注册人员需要在本文规定的知识要点基础上，更加深入地掌握有关信息系统灾难恢复工作的知识，有关内容将在CISP-DRP专门的知识大纲中进行介绍，而不在本大纲范围内。1.3 CISP知识体系框架结构CISP知识体系使用组件模块化的结构，包括知识类、知识体、知识域和知识子域四个层次。l 知识类：是对信息安全保障知识领域的总体划分，包含信息安全专业人员需要掌握的五大知识类别；l 知识体：是知识类中由属于同一技术领域的知识内容构成的相对独立、成体系的知识集合；l 知识域：是对知识体进一步分解细化形成的完整的知识组件；l 知识子域：是构成知识域的基本模块，由一至多个具体知识要点构成。本大纲规定了知识子域中每一个知识要点的内容和深度要求，分为“了解”、“理解”、和“掌握”三类。l 了解：是最低深度要求，学员只需要正确认识该知识要点的基本概念和原理；l 理解：是中等深度要求，学员需要在正确认识该知识要点的基本概念和原理的基础上，深入理解其内容，并可以进行进一步的判断和推理；l 掌握：是最高深度要求，学员需要正确认识该知识要点的概念、原理，并在深入理解的基础上灵活运用。Error! Reference source not found.描述了CISP知识体系的结构：图 11：CISP知识体系的组件模块结构在整个注册信息安全专业人员（CISP）的知识体系结构中，共包括信息安全保障概述、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规这五个知识类，每个知识类根据其逻辑划分为多个知识体，每个知识体包含多个知识域，每个知识域由一个或多个知识子域组成。CISP知识体系结构共包含五个知识类，分别为：l 信息安全保障概述：介绍了信息安全保障的框架、基本原理和实践，它是注册信息安全专业人员首先需要掌握的基础知识。l 信息安全技术：主要包括密码技术、访问控制、审计监控等安全技术机制，网络、系统软件和应用等层次的基本安全原理和实践，以及信息安全攻防和软件安全开发相关的技术知识和实践。l 信息安全管理：主要包括信息安全管理体系建设、信息安全风险管理、具体信息安全管理措施等同信息安全相关的管理知识和实践。l 信息安全工程：主要包括同信息安全相关的工程知识和实践。l 信息安全标准法规：主要包括信息安全相关的标准、法律法规和道德规范，是注册信息安全专业人员需要掌握的通用基础知识。图1-2描述了CISP知识体系结构图 12：CISP知识体系结构框架1.4 CISP（CISE/CISO）考试试题结构CISP考试题型均为单项选择题，共100题，每题1分，得到70分以上（含70分）为通过。CISP两种基础类别“注册信息安全工程师”（CISE）和“注册信息安全管理人员”（CISO）的注册人员都需要学习和掌握CISP知识体系结构框架中的所有内容。由于两种注册证书持有人的工作岗位和工作领域的不同，考试的侧重点有所区别，因此，所对应的试题比例不同。Error! Reference source not found.中描述了CISE/CISO考试的各知识类的比例。CISP资质类型知识类别CISECISO信息安全保障概述10%10%信息安全技术50%30%信息安全管理20%40%信息安全工程10%10%信息安全标准和法律法规10%10%表 11：CISP（CISE/CISO）试题结构第 2 章 知识类：信息安全保障概述信息安全保障体系概述介绍了信息安全保障的框架、基本原理和实践，它是注册信息安全专业人员首先需要掌握的基础知识。通过本部分的学习，学员应当：l 理解信息安全保障的意义和内涵；l 掌握信息安全保障工作的总体思路和基本实践方法。2.1 知识体：信息安全保障基本知识图 21：知识体：信息安全保障基本知识2.1.1 知识域：信息安全保障背景l 知识子域：信息技术发展阶段u 了解电报/电话、计算机、网络等阶段信息技术发展概况 u 了解信息化和网络对个人、企事业单位和社会团体、经济发展、社会稳定、国家安全等方面的影响： l 知识子域：信息安全发展阶段u 了解通信保密、计算机安全和信息安全保障u 了解各个阶段信息安全面临的主要威胁和防护措施2.1.2 知识域：信息安全保障原理l 知识子域：信息安全的内涵和外延u 理解信息安全的特征与范畴u 理解信息安全的地位和作用u 理解信息安全、信息系统和系统业务使命之间的关系l 知识子域：信息安全问题产生的根源u 理解信息安全的内因：信息系统的复杂性u 理解信息安全的外因：人为和环境的威胁l 知识子域：信息安全保障体系u 理解安全保障需要贯穿系统生命周期u 理解保密性、可用性和完整性三个信息安全特征u 理解策略和风险是安全保障的核心问题u 理解技术、管理、工程过程和人员是基本保障要素u 理解业务使命实现是信息安全保障的根本目的2.1.3 知识域：典型信息系统安全模型与框架l 知识子域：P2DR模型u 理解P2DR模型的基本原理：策略、防护、检测、响应u 理解P2DR数学公式所表达的安全目标l 知识子域：信息保障技术框架u 理解IATF深度防御思想u 理解IATF对信息技术系统四个方面的安全需求划分及基本实现方法：本地计算环境、区域边界、网络及基础设施、支撑性基础设施2.2 知识体：信息安全保障基本实践图 22：知识体：信息安全保障基本实践2.2.1 知识域：信息安全保障工作概况l 知识子域：国外信息安全保障情况u 了解发达国家信息安全状况和信息安全保障的主要举措u 了解发达国家信息安全保障建设动态l 知识子域：我国信息安全保障工作总体情况u 了解我国信息安全保障工作发展阶段u 理解国家信息安全保障基本原则u 了解国家信息安全保障建设主要内容2.2.2 知识域：信息系统安全保障工作基本内容l 知识子域：确定安全需求u 理解确定信息系统安全保障需求的作用u 理解确定信息系统安全保障需求的方法和原则l 知识子域：设计和实施信息安全方案u 理解信息安全方案的作用和主要内容u 理解制定信息安全方案的主要原则u 理解信息安全方案实施的主要原则l 知识子域：信息安全测评u 了解信息安全测评的重要性u 了解国内外信息安全测评概况u 理解信息安全产品测评方法和流程u 理解信息系统安全测评方法和流程u 了解服务商资质测评方法和流程u 了解信息安全人员资质测评方法和流程l 知识子域：信息安全监控与维护u 理解在系统生命周期中持续提高信息系统安全保障能力的意义u 理解信息系统安全监控与维护的主要原则第 3 章 知识类：信息安全技术信息安全技术是注册信息安全专业人员需要掌握的主体知识内容之一。通过本部分的学习，学员应当：l 掌握密码技术、访问控制技术、审计技术等信息安全保障技术的原理和基本实现方法l 掌握计算机网络、系统软件、应用软件信息安全防护的基本知识和实践技能l 掌握信息安全攻防的基本知识和实践技能l 理解软件安全开发的基本方法3.1 知识体：密码技术图 31：知识体：密码技术3.1.1 知识域：密码学基础l 知识子域：密码学基础概念u 理解密码编码学和密码分析学的概念u 了解科克霍夫原则和影响密码系统的安全性的基本因素：复杂程度、密钥机密性、密钥长度、初始化向量u 了解密码的基本类型：换位（置换）密码、替代（代换）密码、流密码、分组密码的概念u 了解密码破解的典型方式：唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击、旁路攻击、重放攻击、统计式攻击等u 掌握密码体制的分类u 了解密钥管理的概念，包括密钥管理体制、密钥交换协议和密钥的产生、分配、更换和注销等。l 知识子域：对称密码算法u 理解对称加密算法的优缺点u 了解DES、AES、IDEA三种典型对称加密算法的工作原理l 知识子域：非对称密码算法u 理解非对称密码算法的功能和优缺点u 理解掌握RSA公钥密码体制：RSA的算法描述、RSA的实现、RSA的安全性、RSA在应用中的问题u 了解其他非对称密码算法的特点：Diffie Hellman、ELGamal、DSA、ECC等l 知识子域：哈希函数u 理解哈希（Hash）函数的作用u 了解MD5算法、SHA-1算法的工作原理u 理解消息鉴别码、数字签名的原理和应用3.1.2 知识域：密码学应用l 知识子域：VPN技术u 理解VPN以及隧道技术、加解密技术、密钥管理技术及身份鉴别技术的作用u 掌握IPSec 的组成和工作原理u 掌握SSL的组成和工作原理l 知识子域：PKI/CA系统u 理解PKI/CA的原理和作用u 掌握PKI/CA的体系结构和各部分的作用u 了解PKI/CA的典型应用u 掌握PKI/CA的工作流程l 知识子域：其他密码学应用u 了解PGP的工作原理和作用3.2 知识体：访问控制与审计监控图 32：知识体：访问控制与审计监控3.2.1 知识域：访问控制模型l 知识子域：访问控制基本概念u 理解标识、鉴别和授权等访问控制的基本概念u 理解各种安全模型的分类l 知识子域：自主访问控制模型u 理解自主访问控制的含义u 了解访问矩阵模型，理解和分析应用访问矩阵模型的实现（访问控制列表、权能列表）u 理解自主访问控制模型的特点和优势l 知识子域：强制访问控制模型u 理解强制访问控制的分类和含义u 了解典型强制访问控制模型：Bell-Lapudula模型、Biba模型、Chinese Wall模型和Clark-Wilson模型l 知识子域：基于角色访问控制模型u 理解基于角色的访问控制模型（RBAC）的特点和优势3.2.2 知识域：访问控制技术l 知识子域：标识和鉴别技术u 理解账号和口令管理的基本原则u 了解生物识别技术及其实现（虹膜、指纹、掌纹等）u 了解其他鉴别技术（令牌、票据等）u 了解单点登录技术（SSO）及其实现（Kerberos等）l 知识子域：典型访问控制方法和实现u 理解集中访问控制的基本概念及其实现（RADIUS、TACACS、TACACS+和Diameter等）u 理解非集中访问控制的基本概念及其实现（域等）3.2.3 知识域：审计和监控技术l 知识子域：信息安全审计 u 了解安全审计的基本概念 u 理解安全审计的作用和目标 u 了解审计系统的组成结构 l 知识子域：安全监控 u 了解常用安全监控技术如蜜网、舆情分析等；u 了解内容审计系统模型以及网络不良信息内容监控方法 3.3 知识体：网络安全图 33：知识体：网络安全3.3.1 知识域：网络协议安全l 知识子域：TCP/IP协议安全u 理解开放互联系统模型ISO/OSI七层协议模型u 理解TCP/IP协议体系结构和工作原理及其安全特性，了解IPV6的安全优势l 知识子域：无线网络安全u 了解802.11无线网络安全特性u 了解WAPI无线网络协议原理及其安全特性l 知识子域：移动通信网络安全u 了解3G网络基本概念及安全特性3.3.2 知识域：网络安全设备l 知识子域：防火墙技术u 理解防火墙的作用u 理解包过滤技术、状态检测技术和应用代理技术的原理和优缺点u 掌握防火墙选择和使用中的基本注意事项l 知识子域：入侵检测技术u 理解入侵检测基本概念和工作原理u 理解入侵检测的分类u 掌握入侵检测系统选择和使用中的基本注意事项l 知识子域：其它网络安全技术u 了解安全隔离与信息交换系统（网闸）、入侵防御系统（IPS）、安全管理平台（SOC）、统一威胁管理系统（UTM）、网络准入控制（NAC）等常见网络安全技术产品的概念和作用3.3.3 知识域：网络架构安全l 知识子域：网络架构安全基础u 理解网络设计模型与安全域规划u 理解网络边界防护的作用和意义u 理解网络冗余等安全措施的意义l 知识子域：网络安全规划实践u 掌握IP地址规划、VLAN划分的基本安全原则u 掌握网络设备安全配置（交换机、路由器、无线局域网）的基本原则u 掌握网络安全设备部署和配置的基本原则3.4 知识体：系统安全图 34：知识体：系统安全3.4.1 知识域：操作系统安全l 知识子域：操作系统基础u 了解操作系统体系架构和基本概念（进程、文件、对象、用户接口、系统调用）；u 了解操作系统基本实现机制（CPU模式与保护环、进程隔离、进程调度）l 知识子域：Unix/Linux安全实践u 了解unix/linux系统架构和关键系统组件；u 理解系统服务和系统进程；u 理解unix/linux系统启动过程u 理解unix/Linux系统安全实现，包括文件系统安全、身份认证与验证授权、账号安全、日志与审计等l 知识子域：Windows安全实践u 了解Windows系统架构和关键系统组件；u 理解系统服务和系统进程；u 理解Windows系统启动过程u 理解Windows系统安全实现，包括文件系统安全、身份认证与验证授权、账号安全、日志与审计等l 知识子域：可信计算技术u 了解可信计算技术的产生及发展u 了解我国可信计算技术，及其与TCG可信计算技术的区别3.4.2 知识域：数据库安全l 知识子域：数据库安全基础u 了解数据库及结构化查询语言SQL基本概念u 理解数据库安全概念 u 理解数据库安全功能 u 理解数据库“视图” 对于数据保密性的作用u 理解“规则与默认”和“事务管理”对于数据完整性的作用l 知识子域：数据库管理系统安全管理u 理解数据库威胁与防护 u 掌握数据库安全特性检查 u 掌握数据库运行安全监控 u 了解数据库管理系统产品安全 u 理解数据库管理系统安全要求 3.5 知识体：应用安全图 35：知识体：应用安全3.5.1 知识域：网络服务安全l 知识子域：Web服务安全u 了解Web工作机制及HTTP协议的安全缺陷u 理解Web服务器常见安全漏洞和防范方法u 掌握Windows IIS与 IE浏览器安全设置l 知识子域：常用互联网服务安全u 了解SMTP、POP等典型电子邮件协议的安全问题u 理解电子邮件客户端和服务器的常见漏洞和防范方法u 理解FTP的常见安全漏洞和防范方法u 了解其他常用互联网服务如远程终端、telnet等安全问题及解决措施3.5.2 知识域：个人终端安全l 知识子域：常用软件安全u 了解互联网浏览安全常识u 了解常用即时通信软件常见安全漏洞和防范方法u 了解常用办公软件（如Micosoft Word）安全功能的使用方法l 知识子域：安全意识u 了解数据安全保护基本知识u 了解社会工程学基本知识3.5.3 知识域：恶意代码l 知识子域：恶意代码基本概念及原理u 了解恶意代码的历史和发展趋势u 理解常见恶意代码病毒、蠕虫、木马传播方式和危害的特点u 了解恶意代码实现的关键技术（生存技术、隐蔽技术、攻击及植入技术等）l 知识子域：恶意代码防御技术u 掌握恶意代码预防的策略、意识、技术和工具u 了解恶意代码发现和分析技术u 了解恶意代码清除技术 3.6 知识体：安全攻防图 36：知识体：安全攻防3.6.1 知识域：信息安全漏洞l 知识子域：安全漏洞基础u 理解漏洞的概念，分类分级u 了解漏洞的危害、产生的原因u 了解常用的漏洞库：CNNVD、CVE等 l 知识子域：安全漏洞检测u 了解基于源代码的漏洞检测方法与技术u 了解基于二进制代码的漏洞检测方法与技术3.6.2 知识域：安全攻防基础l 知识子域：网络攻击基本概念及术语u 了解网络攻击的基本知识u 了解网络攻击的常用术语l 知识子域：网络攻击基本流程u 了解侦网络攻击的基本步骤u 了解网络攻击各个阶段常用的攻击手段和工具3.6.3 知识域：安全攻防实践l 知识子域：攻击目标信息收集u 了解目标系统网络地址、软件版本等信息获取方式u 了解网络网络设备、系统软件、应用软件扫描攻击的常用工具l 知识子域：密码破解原理与实例u 了解密码破解技术原理和口令安全基本知识u 了解密码破解常用工具及密码字典概念l 知识子域：缓冲区溢出原理与实例u 理解缓冲区溢出的原理和危害u 了解防范缓冲区溢出的基本方法l 知识子域：欺骗攻击原理与实例u 理解IP欺骗、ARP欺骗、DNS欺骗的原理和危害u 了解防范欺骗攻击的基本方法l 知识子域：拒绝服务攻击原理与实例u 理解SYN Flood、UDP Flood、Land攻击、Teardrop攻击等典型DOS攻击的原理和危害u 理解DDOS攻击的原理u 了解防范DOS/DDOS攻击的基本方法l 知识子域：网页脚本安全原理与实例u 理解SQL注入攻击的原理和危害u 了解防范SQL注入攻击的基本方法u 理解跨站脚本攻击的原理和危害u 了解防范跨站脚本攻击的基本方法3.7 知识体：软件安全开发图 37：知识体：软件安全开发3.7.1 知识域：软件安全开发概况l 知识子域：软件安全开发背景u 了解人们对安全的软件需求u 了解当前软件开发方法不足以生成安全的软件u 了解软件安全开发的发展历史l 知识子域：软件安全开发简介u 理解软件安全开发七个阶段的主要目的和措施u 理解软件安全开发在安全设计和威胁建模中的基本术语3.7.2 知识域：软件安全开发的关键阶段l 知识子域：软件安全设计u 理解减少攻击面的基本步骤和主要对象u 了解常用软件中减少攻击面的保护措施u 了解威胁建模的目的u 掌握威胁建模的过程u 理解威胁建模的关键因素及作用l 知识子域：软件安全开发u 掌握缓冲区溢出、整数错误、跨站脚本、SQL注入等六种常见软件代码安全漏洞的成因及防范措施u 了解常见源代码分析工具的用途u 掌握编码时禁止使用的函数u 了解如何减少潜在可被利用的编码结构和设计u 理解代码审查的主要内容和过程l 知识子域：软件安全测试u 了解常用模糊测试的类型u 了解常用模糊测试的过程和方法u 了解审核并更新威胁模型，以及重新评估软件的受攻击面第 4 章 知识类：信息安全管理信息安全管理是注册信息安全专业人员需要掌握的主体知识内容之一。通过本部分的学习，学员应当：l 理解信息安全管理对于保障信息系统安全的作用l 理解信息安全管理体系、风险管理和信息安全管理控制措施的含义l 掌握建立和完善信息安全管理体系的一般方法l 掌握信息安全风险管理工作的方法和一般原则l 掌握各个信息安全管理控制措施的作用及最佳实践4.1 知识体：信息安全管理体系图表 41：知识体：信息安全管理体系4.1.1 知识域：信息安全管理基本概念l 知识子域： 信息安全管理的作用u 理解信息安全“技管并重”原则的意义u 理解成功实施信息安全管理工作的关键因素l 知识子域： 风险管理的概念和作用u 理解信息安全风险的概念：资产价值、威胁、脆弱性、防护措施、影响、可能性u 理解风险评估是信息安全管理工作的基础u 理解风险处置是信息安全管理工作的核心l 知识子域： 信息安全管理控制措施的概念和作用u 理解安全管理控制措施是管理风险的具体手段u 了解11个基本安全管理控制措施的基本内容4.1.2 知识域：信息安全管理体系建设l 知识子域：过程方法与PDCA循环u 理解ISMS过程和过程方法的含义u 理解PDCA循环的特征和作用l 知识子域：建立、运行、评审与改进ISMSu 了解建立ISMS的主要工作内容u 了解实施和运行ISMS的主要工作内容u 了解监视和评审ISMS的主要工作内容u 了解保持和改进ISMS的主要工作内容4.2 知识体：信息安全风险管理图表 42：知识体：信息安全风险管理4.2.1 知识域：风险管理工作内容l 知识子域： 风险管理工作主要内容u 掌握建立背景的主要工作内容u 掌握风险评估的主要工作内容u 掌握风险处置的主要工作内容u 掌握批准监督的主要工作内容u 掌握监控审查的主要工作内容u 掌握沟通咨询的主要工作内容l 知识子域： 系统生命周期中的风险管理u 掌握系统规划阶段的风险管理工作u 掌握系统设计阶段的风险管理工作u 掌握系统实施阶段的风险管理工作u 掌握系统运行维护阶段的风险管理工作u 掌握系统废弃阶段的风险管理工作4.2.2 知识域：信息安全风险评估实践l 知识子域：风险评估流程和方法u 掌握国家对开展风险评估工作的政策要求u 理解风险评估、检查评估和等级保护测评之间的关系u 掌握风险评估的实施流程：风险评估准备、资产识别、威胁评估、脆弱性评估、已有安全措施确认、风险分析、风险评估文档记录u 理解定量风险分析和定性风险分析的区别及优缺点u 理解自评估和检查评估的区别及优缺点u 掌握典型风险计算方法：年度损失值（ALE）、矩阵法、相乘法u 掌握风险评估工具：风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具l 知识子域：风险分析实例u 了解典型信息系统风险评估实践过程4.3 知识体：安全管理措施图表 43：知识体：安全管理措施4.3.1 知识域：基本安全管理措施l 知识子域：安全策略u 理解信息安全策略的定义和作用u 掌握编制信息安全策略方法和原则l 知识子域：人员安全管理u 掌握上岗前人员安全控制：审查和角色职责定义u 掌握在岗期间人员安全控制：培训和惩戒措施u 掌握离职时人员安全控制：终止职责、资产与访问权限归还l 知识子域：安全组织机构u 掌握内部组织建立的原则：高层承诺和支持、职责划分、有效沟通u 掌握外部组织建立的原则：控制外来风险、利用外部资源l 知识子域：资产管理u 掌握资产责任管理的基本方法：资产清单、资产所有权和资产有效使用u 掌握资产分类：系统资产的分类、标识和处置l 知识子域：物理与环境安全u 了解各种物理安全威胁和物理安全相关的措施的分类（预防性/检测性/恢复性等）u 了解物理设施安全防护措施的部署原则，例如：工作区的划分、围墙/门的选择、机房位置选择、设备废弃与重用、资产转移等；u 了解各种物理访问控制措施的作用，例如：智能卡、生物访问控制等物理访问控制措施等u 了解各种物理监控措施的作用，例如：闭路电视、传感器、报警设备等u 了解物理环境支持性设施的作用，例如：电力、防火、防水、温湿度控制，电缆安全与TEMPEST等u 理解人身安全的重要性l 知识子域：通信及操作安全u 掌握操作程序和职责管理原则：制定操作程序规范，系统变更管理，责任分离，开发、测试与运行设施的分离u 了解操作及通信技术保护措施管理原则：恶意代码防护、数据备份、网络安全管理、介质处理、信息交换、审计日志l 知识子域：访问控制u 理解访问控制策略制定的方法和原则u 理解系统用户的访问控制职责u 理解网络、操作系统和应用系统访问控制管理的原则l 知识子域：符合性管理u 理解符合性的含义和作用u 了解审计措施的作用和使用注意事项4.3.2 知识域：重要安全管理过程l 知识子域：系统采购、开发与维护u 理解安全要求是信息系统需求的重要组成部分u 理解信息技术产品的采购的安全原则：符合标准法规，风险与经济性的平衡，安全性测试等u 理解信息系统开发和实施的安全原则：规范的开发方法，严格的源代码测试，对安装包、测试数据和程序源代码的保护u 理解系统运行阶段安全管理的基本原则，包括漏洞和补丁管理、系统更新、废弃等l 知识子域： 信息安全事件管理与应急响应u 理解信息安全事件管理和应急响应的本概念u 了解我国信息安全事件应急响应工作的进展情况和政策要求u 掌握信息安全应急响应阶段方法论u 掌握信息安全应急响应计划编制方法u 掌握应急响应小组的作用和建立方法u 理解我国信息安全事件分级分类方法u 了解国际和我国信息安全应急响应组织u 了解计算机取证的概念和作用u 了解计算机取证的原则、基本步骤、常用方法和工具l 知识子域：业务连续性管理与灾难恢复u 理解业务连续性管理与灾难恢复的基本概念u 了解我国灾难恢复工作的进展情况和政策要求u 了解数据储存和数据备份与恢复的基本技术u 掌握灾难恢复管理过程：需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预案制定和管理u 掌握国家有关标准对灾难恢复系统级别和各级别的指标要求第 5 章 知识类：信息安全工程信息安全工程是注册信息安全专业人员需要掌握的主体知识内容之一。通过本部分的学习，学员应当：l 理解信息安全建设必须同信息化建设“同步规划、同步实施”的原则l 理解如何运用信息安全能力成熟度模型理论评价和改进信息安全工程能力l 掌握在信息系统生命周期中的各阶段运用“信息系统安全工程”来保障安全性l 了解信息安全工程监理的作用和基本工作内容5.1 知识体：信息安全工程原理图表 51：知识体：信息安全工程理论5.1.1 知识域：安全工程理论背景l 知识子域： 系统工程与项目管理基础u 了解系统工程基本思想u 了解项目管理基本概念和要素l 知识子域：质量管理基础u 了解质量管理基本概念u 了解八项质量管理原则l 知识子域：能力成熟度模型u 理解“能力成熟度模型”基本思想u 了解能力成熟度模型的应用范围5.1.2 知识域： 安全工程能力成熟度模型l 知识子域： SSE-CMM体系与原理u 了解SSE-CMM的适用范围u 了解过程、过程区和过程能力的概念u 了解域维/安全过程区与能力维/公共特征的关系l 知识子域： 安全工程过程区域u 了解过程类、过程区和基本实施的关系u 理解风险过程、工程过程和保证过程的含义u 了解各个安全工程过程区的含义l 知识子域： 安全工程能力评价u 理解能力级别、公共特征和通用实施的关系u 理解各个信息安全工程能力级别的含义5.2 知识体：信息安全工程实践图表 52：知识体：信息安全工程实践5.2.1 知识域： 安全工程实施实践l 知识子域： ISSE安全工程过程u 了解系统生命周期的概念和组成阶段：概念与需求定义、系统功能设计、系统开发与获取、系统实现与测试、系统维护与废弃u 理解ISSE的含义：将系统工程思想应用于信息安全领域，在系统生命周期的各阶段充分考虑和实施安全措施u 理解ISSE阶段划分及各阶段的主要工作内容l 知识子域：发掘信息保护需求u 理解风险评估结果是安全需求的重要决定因素u 理解国家政策法规和合同协议等符合性要求是安全需求的重要决定因素l 知识子域：定义信息保护系统u 理解信息安全必须与信息系统同步规划u 理解信息系统用途、架构等特征对安全风险特征的影响l 知识子域：设计信息保护系统u 理解信息安全必须与信息系统同步设计u 理解根据安全需求有针对性地设计安全措施的必要性l 知识子域：实施信息保护系统 u 理解信息安全必须与信息系统同步实施、同步运行u 理解安全防护措施的部署需要符合总体安全需求和设计方案l 知识子域：评估信息保护系统的有效性 u 理解信息安全工作需要覆盖系统全生命周期u 理解持续的风险评估和风险消控是保障系统安全的必要工作5.2.2 知识域： 信息安全工程监理l 知识子域： 信息安全工程监理模型u 了解信息安全工程监理工作的意义u 了解信息安全工程监理阶段、监理管理和控制手段和监理支撑要素l 知识子域： 监理阶段目标及职责u 了解信息安全工程招标、设计、实施和验收阶段监理方的工作目标u 了解信息安全工程招标、设计、实施和验收阶段业务单位、承建单位和监理单位的职责和工作流程l 知识子域：信息工程监理及规范u 了解信息工程监理及规范的主要内容第 6 章 知识类：信息安全标准法规信息安全标准法规是注册信息安全专业人员需要掌握的通用基础知识。通过本部分的学习，学员应当：l 理解遵循信息安全法规、政策、标准和道德规范的重要性l 掌握我国重点信息安全法规和政策的有关要求l 掌握重点信息安全技术标准的有关内容l 了解CISP道德规范，了解通行的有关信息安全道德规范6.1 知识体：信息安全法规与政策图表 61：知识体：信息安全法规与政策6.1.1 知识域：信息安全相关法律l 知识子域： 国家信息安全法治总体情况u 了解信息安全法治建设的意义u 了解我国信息安全法律法规体系框架l 知识子域： 现行重要信息安全法规u 掌握保守国家秘密法的主要内容u 理解电子签名法的意义和作用u 了解刑法有关信息安全犯罪的规定u 了解全国人大常委会关于维护互联网安全的决定6.1.2 知识域：信息安全国家政策l 知识子域：国家信息安全管理总体方针 u 掌握国家有关政策对信息安全保障工作的总体要求u 掌握国家有关政策规定的加强信息安全保障工作主要原则u 掌握国家有关政策规定需要重点加强的信息安全保障工作l 知识子域：电子政务及重要信息系统信息安全政策u 了解关于加强政府信息系统安全和保密管理工作的四项基本要求：明确职责、强化人员培训、完善安全措施和手段、加强信息安全检查l 知识子域：风险评估有关政策规范u 了解国家有关政策对信息安全风险评估工作提出的要求u 了解国家有关政策对电子政务工程及国家重要信息系统建设项目风险评估专控队伍的规定l 知识子域：等级保护有关政策规范u 了解信息安全等级保护管理办法的有关要求l 知识子域：国家密码管理政策u 了解我国对密码的管理政策要求6.2 知识体：信息安全标准图表 62知识体：信息安全标准6.2.1 知识域：安全标准化概述l 知识子域：信息安全标准化概况 u 了解标准和标准化的基本概念和作用u 了解信息安全标准体系l 知识子域：信息安全标准化组织u 了解国际信息安全标准化组织u 了解我国信息安全标准化组织6.2.2 知识域：信息安全评估标准l 知识子域：安全技术评估标准发展历史 u 了解安全技术评估标准发展过程u 理解可信计算机评估准则（TCSEC）的局限性u 理解GB/T 18336信息技术安全性评估准则（CC）的优点l 知识子域：信息安全技术评估准则 u 了解CC的结构u 理解CC的术语（TOE、PP、ST、EAL）和基本思想u 了解使用CC进行信息技术产品安全性评估的基本过程u 了解通用评估方法（CEM）l 知识子域：信息系统安全保证评估框架 u 了解GB/T 20274信息系统安全保障评估框架的目的和意义u 了解信息系统安全保障评估框架的结构和主要内容6.2.3 知识域：信息安全管理标准l 知识子域：国际信息安全管理重要标准 u 了解国外信息安全管理标准发展概况u 掌握ISO 27001和ISO 27002的主要内容u 了解英国和美国等发达国家的信息安全管理标准u 了解CoBIT和ITIL的用途l 知识子域：我国信息安全管理重要标准 u 掌握GB/T 20984信息安全风险评估规范的主要内容u 掌握GB/Z 24364信息安全风险管理规范的主要内容u 了解GB/Z 20985信息安全事件管理指南的主要内容u 掌握GB/Z 20986信息安全事件分类分级指南的主要内容u 掌握GB/T 20988信息系统灾难恢复规范的主要内容6.2.4 知识域：等级保护标准l 知识子域：等级保护定级指南u 了解GB/T 22240信息系统安全保护等级定级指南的主要内容u 掌握五个信息系统安全保护等级的定义u 掌握系统定级的要素、基本方法和流程l 知识子域：等级保护基本要求u 了解GB/T 22239信息系统安全等级保护基本要求的主要内容u 掌握五个信息系统安全保护等级对应的安全保护能力级别u 掌握管理基本要求包含的五个方面以及安全技术要求包含的五个方面l 知识子域：等级保护其它重要标准u 了解信息系统安全等级保护实施指南的主要内容u 了解信息系统安全等级保护测评准则的主要内容6.3 知识体：道德规范图表 63知识体：道德规范6.3.1 知识域：信息安全从业人员道德规范l 知识子域：信息安全从业人员基本道德规范u 理解信息安全从业人员应遵守的道德规范l 知识子域：CISP职业准则u 理解CISP职业道德准则6.3.2 知识域：通行道德规范l 知识子域：计算机使用道德规范u 了解作为计算机普通用户应当遵守的基本道德规范l 知识子域：因特网使用道德规范u 了解中国互联网协会文明上网自律公约的主要内容