CISP 注册信息安全专业人员培训教材 2019

目。昌网络空间成为国家安全新的疆域已经得到广泛认可，在信息化社会中，没有信息安全就没有国家安全，而保障信息安全依靠的核心要素是人。习近平总书记在 2016 年 4 月 19 日召开的网络安全和信息化工作座谈会中明确提出"网络空间的竞争，归根结底是人才竞争。建设网络强国，没有一支优秀的人才队伍，没有人才创造力迸发、活力涌流，是难以成功的。" m o 《中华人民共和国网络安全法》实施以来，信息安全人才培养在不同的行业中者因导到了 c . 5 高度的重视，企业纷纷通过组织或者参加各类 cπ 比赛、联合高校定向培养及陪陪训等多种方式培养信息安全人才。尽管如此，信息安全人才短缺问题始终是目前各组织机构在信息安全工作中的痛点。中国信息安全测评中心主办的 2018 年度《中国信息安全从业人员现状调查》活动中， b u "职业教育"已经取代"自我学习"成为信息安全人才能力成长的首选方式。中国信息安全测评中心依据中央赋予的职能，从 2002 年起面向社会提供"注册信息安全专业人员" (CISP) 培训服务，十多年来共培养了数万名信息安全专业人才，成为我国 h t i g 批量、快速培养高素质信息安全人才的主要方式之一，为我国党政军机关、职能部门以及金融、交通、能源等行业，国有大型企业及信息安全企业填补了信息安全专业人才队伍缺口。中国信息安全测评中心在十多年信息安全职业教育的基础上，全面考察了国际知名信息安全职业教育知识体系，结合我国关键信息基础设施安全保障需求，汇聚国内著名信息安全专家及 CISP 培训讲师，编撰了本书，作为 CISP 培训体系中 CISE 、 CISO 两个培训证书的培训教材。本次教材改版是在原版本《信息安全保障》和《信息安全技术》两本书的基础上全面调整、修订而成，经过了一年的试用和多次完善。教材整体仍然以信息安全保障为核心，按照信息系统生命周期各阶段的工作，划分并重新构建了信息安全保障、网络安全监管、信息安全管理、业务连续性、安全工程与运营、信息安全评估、信息安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发十大知识域，基本覆盖了信息安全工作各个环节，通过学习可以有效地形成信息安全保障工作的体系化思路，较好地避免信息安全中"木桶效应"的出现。本教材在编写的过程中得到了社会各界人士的关心与支持，许多信息安全专家、 CISP 培训讲师参与了教材的编写和审核工作，特此感谢! 感谢中国信息安全测评中心李斌、徐长醒、张涛、戴忠华、王嘉捷、任望、姚轶崭给予的指导。感谢樊山、廖勇、雷敏、噩噩、程晓峰、陈长松、张洪璇、干露、杜廷龙、廖宇力、杨天识、王星、张文祺、王厚魁、张水宁等 CISP 培训讲师为此付出的努力。教材中不妥或错误之处恳请广大读者批评指正。目目U 吕 2.2.2 录网络安全等级保护相关政策..............................… 60 第 1 章知识域:信息安全保障 .............1 1.1 2 .3 m o 准则..........… .................................62 知识子域:信息安全保障基础 ....1 1.1.1 信息安全概念................... 1 2 .3 .1 道德约束............…… .......62 1.1.2 信息安全属性...............… .6 2.3.2 职业道德准则 .................63 1.1 .3 信息安全视角.........… .......8 2.4 1.1 .4信息安全发展阶段......... 13 1.1.5 1. 2 知识子域:网络安全道德 2 .4 .1 信息安全保障新领域 .....17 知识子域:信息安全保障框架 ............................................25 h t i g 1.2.1 基于时间的安全模型 .....25 1.2 .2 信息安全保障技术框架...........… ...................28 1.2 .3 1.2 .4 c . 5 知识子域:信息安全标准 ..........65 信息安全标准基础 .........65 b u 2 .4 .2 我国信息安全标准 .........70 2 .4 .3 网络安全等级保护标准族..................… ........75 第 3 章知识域:信息安全管理 ...........80 3.1 知识子域:信息安全管理信息系统安全保障评估基础.................… ..........................80 框架.....................… .........31 3. 1.1 基本概念… ......................80 企业安全架构 .................39 3. 1.2 信息安全管理的作用及对组织的价值 .................82 第 2 章知识域:网络安全监管 ...........43 2.1 2.2 3.2 知识子域:信息安全风险管理..........….......… .......................84 知识子域:网络安全法律体系建设.........….......…… .....................43 3.2.1 风险管理基本概念 .........84 2. 1.1 计算机犯罪 .....................43 3.2.2 常见风险管理模型 .........87 2.1.2 我国立法体系 .................47 3.2.3 安全风险管理基本 2.1 .3 网络安全法 .....................49 2. 1.4 网络安全相关法规 .........53 知识子域:国家网络安全政策....................................… .......59 2.2.1 过程 .................................89 3.3 知识子域:信息安全管理体系建设...............…..................… .......93 3 .3 .1 因素 .................................93 国家网络空间安全战略 .................................59 信息安全管理体系成功 3.3.2 PDCA 过程 .....................94 6主册信怠安全专止人员培训教材 3.3.3 信息安全管理体系建设过程 ..... ... . . ... .............. . .....96 3.3 .4 3.4 系统安全工程基础 .......173 5. 1.2 系统安全工程理论基础......... .. .……. ......…… 175 文档化.........… .................99 5. 1. 3 系统安全工程能力成熟知识子域:信息安全管理体系最佳实践..... . .….......................... 3 .4 .1 5. 1.1 度模型..........….............. 179 101 信息安全管理体系控制 5. 1.4 过程.........…................... 类型..........….......…........ 101 3.4 .2 信息安全管理体系控制 5. 1. 5 知识子域:信息安全管理体系度量... . .. . ...... . ...................…........ 129 3.5.1 基本概念….......… .......... 129 3.5.2 测量要求与实现 ...........131 第 4 章知识域:业务连续性 .............133 4.1 4.2 h t i g 知识子域 : 信息安全应急响应..........….............................. . 4.2.1 信息安全事件与应急响应..........….......…........ 4.2.2 145 145 5.4.1 5.4.2 6.1 6.2 知识子域:安全评估实施 ........239 155 方法 ...............................246 灾难备份与恢复基础 .. .155 6.2 .3 风险评估基本过程 .......250 6.2 .4 风险评估文档 ...............260 知识于域:灾难备份与恢复... 灾难恢复相关技术 .......158 灾难恢复策略 ...............163 灾难恢复管理过程....... 167 第 5 章知识域:安全工程与运营 .....173 5.1 知识子域:安全评估基础 ........226 6.2.1 风险评估相关要素 .......239 6.2.2 风险评估途径与方式过程.. ...... ........ ............... 152 4.3 .1 4.3.2 4.3 .3 4.3.4 培训及教育 .... ...... .... .... . 224 6. 1.1 安全评估概念 ...............226 6. 1. 2 安全评估标准 ...............228 4.2 .4信息安全应急响应管理 4.3 社会工程学 ...................221 第 6 章知识域:信息安全评估 .........226 预案 .. .................. .... ....... 4.2.3 知识子域:社会工程学与培训教育 ..............…........ .. ...… ...........221 网络安全应急响应 150 计算机取证与保全....... 151 c . 5 m o b