CISP 考试教材《第 3 章 知识域：信息安全管理》知识整理

第 3 章 知识域：信息安全管理

CISP 考试教材《第 1 章 知识域：信息安全保障》知识整理

CISP 考试教材《第 2 章 知识域：网络安全监管》知识整理

CISP 考试教材《第 3 章 知识域：信息安全管理》知识整理

CISP 考试教材《第 4 章 知识域：业务连续性》知识整理

CISP 考试教材《第 5 章 知识域：安全工程与运营》知识整理

CISP 考试教材《第 6 章 知识域：信息安全评估》知识整理

CISP 考试教材《第 7 章 知识域：信息安全支撑技术》知识整理

CISP 考试教材《第 8 章 知识域：物理与网络通信安全》知识整理

CISP 考试教材《第 9 章 知识域：计算环境安全》知识整理

CISP 考试教材《第 10 章 知识域：软件开发安全》知识整理

目录

3.1 知识子域：信息安全管理基础

3.1.1 基本概念

1.信息

2.信息安全管理

3.信息安全管理体系

3.1.2 信息安全管理的作用及对组织的价值

1.信息安全管理的作用

2.对组织机构的价值

3.2 知识子域：信息安全风险管理

3.2.1 风险管理基本概念

1.风险与风险管理

2.风险管理的价值

3.风险管理角色和责任

3.2.2 常见风险管理模型

1.内部控制整合框架（COSO 报告）

2.ISO 31000 风险管理 原则与实施指南

3.COBIT

4.ISMS

3.2.3 安全风险管理基本过程

1.背景建立

2.风险评估

3.风险处理

4.批准监督

5.监控审查

6.沟通咨询

3.3 知识子域：信息安全管理体系建设

3.3.1 信息安全管理体系成功因素

3.3.2 PDCA 过程

3.3.3 信息安全管理体系建设过程

1.规划与建立

2.实施与运行

3.监视与评审

4.维护和改进

3.3.4 文档化

1.体系文件分类

2.文件控制

3.记录管理

3.4 知识子域：信息安全管理体系最佳实践

3.4.1 信息安全管理体系控制类型

1.预防性控制

2.检测性控制

3.纠正性控制

3.4.2 信息安全管理体系控制措施结构

3.4.3 信息安全管理体系控制措施

1.信息安全方针

2.信息安全组织

3.人力资源安全

4.资产管理

5.访问控制

6.密码学

7.物理与环境安全

8.操作安全

9.通信安全

10.信息获取、开发和维护

11.供应商关系

12.信息安全事件管理

13.业务连续性管理

14.符合性

3.5 知识子域：信息安全管理体系度量

3.5.1 基本概念

1.测量

2.测量的目的

3.5.2 测量要求与实现

1.管理职责

2.测度和测量开发

3.测量运行

4.测量分析和报告

5.测量评价和改进

---

3.1 知识子域：信息安全管理基础

3.1.1 基本概念

1.信息

（1）企业视角

（2）用户视角

（3）攻击者视角

2.信息安全管理

3.信息安全管理体系

信息安全管理体系（Information Security Management System, ISMS）

通俗意义所讲的 ISMS 是指以ISO/IEC 27001为代表的一套成熟的标准族

GB/T 22080:2008 等同采用 ISO/IEC 27001:2005

GB/T 22080:2016 等同采用 ISO/IEC 27001:2013

3.1.2 信息安全管理的作用及对组织的价值

1.信息安全管理的作用

（1）信息安全管理是组织整体安全管理重要、固有组成部分

组织应该将信息安全管理与生产安全管理、财务安全管理、安全保卫管理等构成组织整体安全管理

（2）信息安全管理是信息安全技术的融合剂，保障各项技术措施能够发挥作用

解决信息安全问题，成败通常取决于两个因素：一个是技术；另一个是管理

安全技术是信息安全的构筑材料，信息安全管理就是粘合剂和催化剂

技术和产品是基础，管理才是关键

三分技术、七分管理

“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则之一

（3）信息安全管理能预防、阻止或减少信息安全事件的发生

20%~30% 是由于攻击者入侵或其他外部原因造成的，70%~80% 是由于内部员工的疏忽或有意泄密造成的

与其说是技术原因，不如说是管理不善造成的

安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程

2.对组织机构的价值

（1）对组织内信息安全管理的价值

（2）对组织外信息安全管理的价值

3.2 知识子域：信息安全风险管理

3.2.1 风险管理基本概念

信息安全风险管理是基于分概念的信息安全管理，也就是始终以风险为主线进行信息安全的管理

1.风险与风险管理

威胁利用脆弱性作用于资产产生影响

2.风险管理的价值

为了使风险管理有效，一个组织应在所有层面上符合以下原则

（1）风险管理创造和保护价值

（2）风险管理是所有组织过程不可分割的一部分

（3）风险管理是决策的一部分

（4）风险管理明确地应对不确定性

（5）风险管理是体系化、结构化的过程

（6）风险管理是基于最好的可获得的信息

（7）风险管理是可裁剪的

（8）风险管理考虑人员和文化因素

（9）风险管理是透明的，参与人员包含广泛

（10）风险管理是动态的、反复的、响应变化的

（11）风险管理促进组织的持续改进

（12）不断或定期重新评估

3.风险管理角色和责任

参与角色一般分为国家信息安全主管机关、业务主管机关、信息系统拥有者/运营者、信息系统承建者、信息系统安全服务机构、信息系统的关联着

3.2.2 常见风险管理模型

1.内部控制整合框架（COSO 报告）

由美国反虚假财务报告委员会下属的发起人委员于1992年提出

2.ISO 31000 风险管理 原则与实施指南

作为风险管理标准家族的 ISO 31000 的总体范围并不是针对特定的行业组织、管理体系或业务领域开发的，而是为所有与风险管理相关的操作提供最佳实践结构和指导

3.COBIT

COBIT（信息和相关技术的控制目标）

也成为 IT 控制目标，定义了一套管理 IT 的通用流程

为信息系统和技术的治理和控制过程提供了一套推荐的最佳实践

4.ISMS

ISMS 通常是指以 ISO/IEC 27000 标准族为代表的信息安全管理体系。通过信息安全控制措施来管理信息系统安全，其设计类似于质量保障管理体系、环保等管理系统

ISMS 涉及隐私、保密性和 IT、技术、网络安全问题，适用于不同类型、不同规模的组织

3.2.3 安全风险管理基本过程

四个阶段：背景建立、风险评估、风险处理、批准监督

两个贯穿：监控检查、沟通咨询

1.背景建立

确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调查和分析

背景建立的过程包括风险管理准备、信息系统调查、信息系统分析和信息安全分析 4 个阶段