CISP培训授课知识要点(串讲)

CISP培训课程知识总结中国信息安全测评中心CISP运营中心沈传宁2知识体系关联安全保障技术密码学基础密码学应用访问控制软件安全开发网络安全系统安全应用安全恶意代码安全攻防管理安全管理体系安全风险管理基本管理措施重要管理过程安全工程法规政策与标准3知识体系关联安全保障技术密码学基础密码学应用访问控制软件安全开发网络安全系统安全应用安全恶意代码安全攻防管理安全管理体系安全风险管理基本管理措施重要管理过程安全工程法规政策与标准4课程知识关键点信息安全保障信息安全保障概念信息技术及信息安全发展信息安全问题的产生信息安全保障体系PPDR模型及IATF信息安全工作概括我国信息安全保障工作概况信息安全保障需求信息安全保障目标信息安全测评持续改进5网络化社会网络计算机通信（电报\电话）信息安全发展阶段6COMSEC通信安全COMPUSEC计算机安全INFOSEC信息系统安全IA信息安全保障CS/IA网络空间安全/信息安全保障信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命。信息安全保障定义7信息安全保障的目标是支持业务！技术工程管理人员保障要素开发采购实施交付运行维护完整性可用性废弃保密性安全特征计划组织生命周期国家标准：《GB/T20274.1-2006信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型》信息系统安全保障模型8PDR模型强调落实反应P2DR模型则更强调控制和对抗，即强调系统安全的动态性以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全特别考虑人为的管理因素P2DR模型-分布式动态主动模型9技术操作深度防御战略人人通过技术进行操作计算环境区域边界网络基础设施支撑性基础设施密钥管理检测响应成功的组织功能信息安全保障（IA）IATF框架10国家信息安全保障工作要点方针：积极防御、综合防范基本原则：立足国情，以我为主，坚持管理与技术并重。正确处理安全与发展的关系，以安全保发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。等级保护制度我国信息安全保障建设主要内容1112制定信息安全保障需求的作用制定信息系统安全保障需求的方法和原则信息安全保障解决方案确定安全保障解决方案的原则实施信息安全保障解决方案的原则信息安全测评信息安全测评的重要性国内外信息安全测评现状产品、人员、服务商、系统测评的方法和流程持续提高信息系统安全保障能力。信息系统安全监护和维护确定需求制定方案开展测评持续改进信息系统安全保障工作建设步骤12知识体系关联安全保障技术密码学基础密码学应用访问控制软件安全开发网络安全系统安全应用安全恶意代码安全攻防管理安全管理体系安全风险管理基本管理措施重要管理过程安全工程法规政策与标准13课程知识关键点信息安全工程安全工程基础系统工程、项目管理、质量管理成熟度模型安全工程能力成熟度模型SSE-CMMSSE-CMM体系、原理（域维、能力维）安全工程类能力成熟度安全工程生命周期信息系统监理14能力成熟度模型的概念能力成熟度模型（CMM-CapabilityMaturityModel）由质量管理工作发展的“过程改进”过程能力的提高，过程变得可预测和可度量，控制或消除造成质量低劣和生产率不高现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品；所有成功企业的共同特点是都具有一组严格定义、管理完善、可测可控从而高度有效的业务过程；CMM模型抽取了这样一组好的工程实践并定义了过程的“能力”；15SSE-CMM体系结构能力维（CapabilityDimension）域维（DomainDimension）公共特征2.4跟踪执行PA05评估脆弱性两维模型：“域维”由所有定义的安全工程过程区构成。“能力维”代表组织实施这一过程的能力。16SSE-CMM能力成熟度评价通过设置这两个相互依赖的维，SSE-CMM在各个能力级别上覆盖了整个安全活动范围。给每个PA赋予一个能力级别评分，所得到的两维图形便形象地反映一个工程组织整体上的系统安全工程能力成熟度，也间接的反映其工作结果的质量及其安全上的可信度。543210PA01PA02PA03PA04PA05能力级别安全过程区域17SSE-CMM的主要概念过程区域（PA，ProcessArea）过程的一种单位是由一些基本实施（BP，BasePractice）组成的，这些BP共同实施以达到该PA的目标。这些BP是强制性的，只有全部成功执行，才能满足PA规定的目标；SSE-CMM包含三类过程区域：工程、项目和组织三类；18域维-22个PA分成三类系统安全工程涉及到三类过程区域PA工程过程区域（EngineeringPA）组织过程区域（OrganizationPA）项目过程区域（ProjectPA）工程过程区域11个PA描述了系统安全工程中实施的与安全直接相关的活动组织和项目过程区域（共11个）并不直接同系统安全相关，但常与11个工程过程区域一起用来度量系统安全队伍的过程能力成熟度19风险过程PA04：评估威胁威胁信息threat脆弱性信息vulnerability影响信息impact风险信息PA05：评估脆弱性PA02：评估影响PA03：评估安全风险风险就是有害事件发生的可能性一个有害事件有三个部分组成：威胁、脆弱性和影响。20工程过程安全工程与其它科目一样，它是一个包括概念、设计、实现、测试、部署、运行、维护、退出的完整过程。SSE-CMM强调安全工程是一个大的项目队伍中的一部分，需要与其它科目工程师的活动相互协调。PA10确定安全需求需求、策略等配置信息解决方案、指导等风险信息PA08监控安全态势PA07协调安全PA01管理安全控制PA09提供安全输入21保证过程证据证据保证论据PA11验证和证实安全指定安全要求其他多个PAPA06建立保证论据保证是指安全需要得到满足的信任程度SSE-CMM的信任程度来自于安全工程过程可重复性的结果质量。22SSE-CMM的主要概念过程能力（ProcessCapability）一个过程是否可以达到预期效果的度量方法，即执行一个过程的成熟度级别划分；过程能力可帮助组织预见达到过程目标的能力，如果一个组织某个过程的能力级别低，意味着完成该过程投入的成本，实现的进度、功能和质量都是不稳定的；或者说过程能力越高则达到预定的成本、进度、功能和质量目标的就越有把握23•计划执行•规范化执行•跟踪执行•验证执行•定义标准过程•协调安全实施•执行已定义的过程•建立可测量的质量目标•客观地管理过程的执行1非正规执行2计划与跟踪3充分定义4量化控制5连续改进•执行基本实施•改进组织能力•改进过程的有效性能力级别公共特征未实施0能力级别24信息系统安全工程ISSE发掘信息保护需求确定系统安全要求设计系统安全体系结构开展详细安全设计实施系统安全评估信息保护有效性25信息安全工程监理模型信息安全工程监理阶段、监理管理和控制手段和监理支撑要素监理咨询支撑要素控制和管理手段监理咨询阶段过程设计招标实施验收变更监理咨询组织结构监理咨询设施信息安全保障专业知识质量管理质量控制进度控制成本控制合同管理信息管理组织协调“三控制、两管理、一协调”监理规划标准规范合同监理实施细则监理规划标准规范合同监理实施细则知识体系关联安全保障技术密码学基础密码学应用访问控制软件安全开发网络安全系统安全应用安全恶意代码安全攻防管理安全管理体系安全风险管理基本管理措施重要管理过程安全工程法规政策与标准27课程知识关键点安全管理体系信息安全管理概念信息安全管理概念信息安全管理体系概念信息安全管理体系过程方法与PDCA循环建立、运行、评审及改进ISMS信息安全控制措施28信息安全管理29什么是信息安全管理组织中为了完成信息安全目标，针对信息系统，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动信息安全管理工作的对象规则人员目标项目办公室项目经理项目专家组实施小组协调小组国税总局测评中心福建地税项目领导组国税总局福建地税变更控制委员会组织·信息输入·立法·摘要变化？关键活动测量拥有者资源记录标准输入输出生产经营过程信息安全管理的基本概念30信息安全管理是基于风险的管理信息安全管理体系建立需要安全需求安全需求来源于风险评估风险处置的的最佳集合就是信息安全管理体系中的措施集合信息安全管理价值及实施成功的关键弥补技术之外的安全不足；技管并重是我国信息安全保障基本原则成功实施信息安全管理关键要素理解组织文化、高层支持等信息安全管理国际标准：ISO27000系列31ISO27000系列27000~2700327004~2700727000信息安全管理体系原则和术语27001信息安全管理体系要求27002信息安全管理实践准则27003信息安全管理实施指南27004信息安全管理的度量指标和衡量27005信息安全风险管理指南27006信息和通信技术灾难恢复服务指南27007XXX27001270022700027006270052700327004信息安全管理体系基本原理和词汇信息安全管理体系循环框架32《GB/T22080-2008信息安全技术信息安全管理体系要》.信息安全管理体系是PDCA动态持续改进的一个循环体。规划和建立(plan)实施和运行(do)监视和评审check保持和改进action相关方信息安全要求和期望相关方受控的信息安全信息安全管理体系建设（一）信息安全管理体系的规划和建立（P)（二）信息安全管理体系的实施和运行(D)（三）信息安全管理体系的监视和评审(C)（四）信息安全管理体系的保持和改进(A)33信息安全管理体系规划和建立P1-定义ISMS范围P2-定义ISMS方针P3-确定风险评估方法P4-分析和评估信息安全风险P5-识别和评价风险处理的可选措施P6-为处理风险选择控制目标和控制措施P7-准备详细的适用性声明SoA34信息安全管理体系实施和运行D1-开发风险处置计划D2-实施风险处置计划D3-实施安全控制措施D4-实施安全教育培训D5-管理ISMS的运行D6-管理ISMS的资源D7-执行检测安全事件程序D8-执行响应安全事故程序35信息安全管理体系监视和评审C1-执行ISMS监视程序C2-执行ISMS评价程序C3-定期执行ISMS评审C4-测量控制措施的有效性C5-验证安全要求是否被满足C6-按计划进行风险评估C7-评审可接受残余风险C8-按计划进行内部审核C9-按计划进行管理评审C10-更新信息安全计划C11-记录对ISMS有影响的行动和事件36信息安全管理体系保持和改进A1-实施已识别的ISMS改进措施A2-执行纠正性和预防性措施A3-通知相关人员ISMS的变更A4-从安全经验和教训中学习37信息安全管理控制规范十一项条款（一）信息安全策略（二）信息安全组织（三）人力资源安全（四）信息资产分类与控制（五）信息安全访问控制（六）物理与环境安全（七）系统开发与维护（八）通信与运营安全（九）信息安全事故管理（十）业务持续性管理（十一）符合性38课程知识关键点信息安全风险管理风险管理概念风险管理基本概念风险管理主要工作内容系统生命周期中的风险管理信息安全风险评估信息安全风险评估流程与方法信息安全风险评估实践39通用风险管理定义定义是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使引致最大损失及最可能发生的事