注册信息安全专业人员
2017-09-21 33页 doc 73KB 28阅读
is_014457
暂无简介
举报
注册信息安全专业人员注册信息安全专业人员
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 1 页
发布日期:2002年8月
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 2 页
一、总则.............................................................................................................
注册信息安全专业人员
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 1 页
发布日期:2002年8月
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 2 页
一、总则........................................................................................................................................... 5
二、使用范围和适用对象 ............................................................................................................... 5
三、管理职责 ................................................................................................................................... 5
3.1 管理部门 ........................................................................................................................... 5
3.2 管理职责 ......................................................................................................................... 5
四、基本能力要求 ........................................................................................................................... 6
五、基本道德准则 ........................................................................................................................... 6
六、考核 ................................................................................................................................... 6
6.1.1 培训基本能力要求 ....................................................................................................... 6 6.1.2 安全体系与模型 ........................................................................................................... 7
6.1.2.1 多级安全模型 ................................................................................................... 7
6.1.2.2 多边安全模型 ................................................................................................... 7
6.1.2.3 安全体系结构 ................................................................................................... 7
6.1.2.4 Internet 安全体系架构 ................................................................................. 7
6.1.2.5 信息安全技术测评认证 ................................................................................... 7
6.1.2.6 信息安全国内外情况 ....................................................................................... 7 6.1.3 安全技术 ....................................................................................................................... 7
6.1.3.1 密码技术及其应用 ........................................................................................... 7
6.1.3.2 访问控制 ........................................................................................................... 8
6.1.3.3 标识和鉴别 ....................................................................................................... 8
6.1.3.4 审计及监控 ....................................................................................................... 8
6.1.3.5 网络安全 ........................................................................................................... 8
6.1.3.6 系统安全 ........................................................................................................... 8
6.1.3.7 应用安全 ........................................................................................................... 8 6.1.4 工程过程 ....................................................................................................................... 8
6.1.4.1 风险评估 ........................................................................................................... 8
6.1.4.2 安全策略 ........................................................................................................... 8
6.1.4.3 安全工程 ........................................................................................................... 9 6.1.5 安全管理 ....................................................................................................................... 9
6.1.5.1 安全管理基本原则 ........................................................................................... 9
6.1.5.2 安全组织保障 ................................................................................................... 9
6.1.5.3 物理安全 ........................................................................................................... 9
6.1.5.4 运行管理 ........................................................................................................... 9
6.1.5.5 硬件安全管理 ................................................................................................... 9
6.1.5.6 软件安全管理 ................................................................................................. 10
6.1.5.7 数据安全管理 ................................................................................................. 10
6.1.5.8 人员安全管理 ................................................................................................. 10
6.1.5.9 应用系统管理 ................................................................................................. 11
6.1.5.10 操作安全管理 ............................................................................................... 11
6.1.5.11 技术文档安全管理 ....................................................................................... 11
6.1.5.12 灾难恢复 ............................................................................................... 11 发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 3 页
6.1.5.13 安全应急响应 ............................................................................................... 11 6.2 注册信息安全管理人员(CISO) ................................................................................. 12 6.2.1 培训基本能力要求 ..................................................................................................... 12
6.2.1.2 安全策略 ......................................................................................................... 12
6.2.1.3 安全工程 ......................................................................................................... 12 6.2.2 安全管理 ..................................................................................................................... 12
6.2.2.1 安全管理基本原则 ......................................................................................... 12
6.2.2.3 物理安全 ......................................................................................................... 12
6.2.2.4 运行管理 ......................................................................................................... 13
6.2.2.5 硬件安全管理 ................................................................................................. 13
6.2.2.6 软件安全管理 ................................................................................................. 13
6.2.2.7 数据安全管理 ................................................................................................. 13
6.2.2.8 人员安全管理 ................................................................................................. 14
6.2.2.9 应用系统管理 ................................................................................................. 14
6.2.2.10 操作安全管理 ............................................................................................... 14
6.2.2.11 技术文档安全管理 ....................................................................................... 15
6.2.2.12 灾难恢复计划 ............................................................................................... 15
6.2.2.13 安全应急响应 ............................................................................................... 15 6.2.3 信息安全标准 ............................................................................................................. 15
6.2.4 法律法规 ..................................................................................................................... 15
6.2.4.1 国家法律 ......................................................................................................... 15
6.2.4.2 行政法规 ......................................................................................................... 15
6.2.4.3 各部委有关规章及规范性文件 ..................................................................... 15
6.3.1 培训基本能力要求 ..................................................................................................... 15 6.3.2 安全体系与模型 ......................................................................................................... 16
6.3.2.1 多级安全模型 ................................................................................................. 16
6.3.2.2 多边安全模型 ................................................................................................. 16
6.3.2.3 安全体系结构 ................................................................................................. 16
6.3.2.4 Internet 安全体系架构 ............................................................................... 16
6.3.2.5 信息安全技术测评认证 ................................................................................. 16
6.3.2.6.3 信息安全国内外情况 ................................................................................. 16 6.3.3 安全技术 ..................................................................................................................... 16
6.3.3.1 密码技术及其应用 ......................................................................................... 16
6.3.3.2 访问控制 ......................................................................................................... 17
6.3.3.3 标识和鉴别 ..................................................................................................... 17
6.3.3.4 审计及监控 ..................................................................................................... 17
6.3.3.5 网络安全 ......................................................................................................... 17
6.3.3.6 系统安全 ......................................................................................................... 17
6.3.3.7 应用安全 ......................................................................................................... 17 6.3.4 工程过程 ..................................................................................................................... 17
6.3.4.1 风险评估 ......................................................................................................... 17
6.3.4.2 安全策略 ......................................................................................................... 17
6.3.4.3 安全工程 ......................................................................................................... 18 6.3.5 安全管理 ..................................................................................................................... 18
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 4 页
6.3.5.1 安全管理基本原则 ......................................................................................... 18
6.3.5.2 安全组织保障 ................................................................................................. 18
6.3.5.3 物理安全 ......................................................................................................... 18
6.3.5.4 运行管理 ......................................................................................................... 18
6.3.5.5 硬件安全管理 ................................................................................................. 18
6.3.5.6 软件安全管理 ................................................................................................. 19
6.3.5.7 数据安全管理 ................................................................................................. 19
6.3.5.8 人员安全管理 ................................................................................................. 19
6.3.5.9 应用系统管理 ................................................................................................. 20
6.3.5.10 操作安全管理 ............................................................................................... 20
6.3.5.11 技术文档安全管理 ....................................................................................... 20
6.3.5.12 灾难恢复计划 ............................................................................................... 20
6.3.5.13 安全应急响应 ............................................................................................... 20 6.3.6 信息安全标准 ............................................................................................................. 21
6.3.7 法律法规 ..................................................................................................................... 21
6.3.7.1 国家法律 ......................................................................................................... 21
6.3.7.2 行政法规 ......................................................................................................... 21
七、参考资料 ................................................................................................................................. 21
7.1 国外参考资料 ................................................................................................................. 21
7.2 国内参考资料 ................................................................................................................. 21
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 5 页
1.1 “注册信息安全专业人员”,英文为Certified Information Security Professional
(简称CISP),根据实际岗位工作需要,CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer(简称CISE); “注册信息安全管理人员”, 英文为Certified Information Security Officer(简称CISO),“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。其中CISE主要从事信息安全技术开发服务工程建设等工作,CISO从事信息安全管理等相关工作,CISA从事信息系统的安全性审核或评估等工作。这三类注册信息安全专业人员是有关信息安全企业,信息安全咨
询服务机构、信息安全测评认证机构(包含授权测评机构)、社会各组织、团体、企事业有
关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人
员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国
信息安全产品测评认证中心实施国家认证。为了加强对信息安全专业人员认证的管理,特制
定本程序。
1.2 本标准规定了信息安全领域工作的注册信息安全专业人员能力评估的国家最低标
准。
2.1 本准则适用于国家对“注册信息安全专业人员”培训、能力评估、认可和管理。
2.2 本准则适用对象包括在信息安全测评认证机构(含授权测评机构)、信息安全咨询
服务机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术
部门(含标准化部门)工作的信息安全专业人员。
2.3 本准则可适用于所有中国政府部门机构及其人员,和负责信息安全系统的管理和检
查的承包商。
3.1 管理部门
3.1.1 由中国信息安全产品测评认证中心(以下简称“中心”)依据本准则开展注册信
息安全专业人员能力认证工作。
3.1.2 中心应根据本准则制订相应的配套规章制度和实施细则。
3.2 管理职责
3.2.1为政府部门、机构和其他组织、团体及企事业单位提供和维持注册信息安全专业
人员培训标准。
3.2.2 保证开展恰当的注册信息安全专业人员的培训课程。
3.2.3 在发展或者执行注册信息安全专业人员培训活动中,给予帮助。
3.2.4 要求从事重要信息安全岗位工作人员,在负责管理重要信息系统安全或者为信息
系统安全提供安全服务的时候,遵守本准则的有关条款。
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 6 页
4.1 “注册信息安全专业人员”必须具有一定的教育水准和相关工作经验。
4.2 “注册信息安全专业人员”通过了本准则规定的相关培训内容,具备一定的信息安
全知识。
4.3 “注册信息安全专业人员”通过了CNITSEC的考试,具有进行信息安全服务的能力。
5.1 所有“注册信息安全专业人员”都必须付出努力才能获得和维持该项认证。为贯彻
这条原则,所有的CISP都必须承诺完全遵守道德准则。
5.2 CISP必须诚实,公正,负责,守法;
5.3 CISP必须勤奋和胜任工作,不断提高自身专业能力和水平;
5.4 CISP必须保护信息系统、应用程序和系统的价值
5.5 CISP必须接受CNITSEC的监督,在任何情况下,不损坏CNITSEC或认证过程的声誉,对CNITSEC针对CISP而进行的调查应给予充分的合作;
5.6
CISP必须按规定向CNITSEC交纳费用。
以下内容包括对注册信息安全专业人员进行考核的基本能力要求,以及其应具备的信息
安全知识体系大纲要求。
6.1注册信息安全工程师(CISE)
6.1.1 培训基本能力要求
6.1.1.1了解水平。培养对安全信息系统的威胁和脆弱性的敏感性,识别需要保护的数
据、信息及其相应的保护方法,学习掌握有关信息系统安全的法则和的知识库。
6.1.1.2 应用水平。培养有能力对信息安全过程进行、执行或者评估的人员,以保
证他们在执行任务的时候可以完整地应用安全概念。
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 7 页
6.1.2 安全体系与模型
6.1.2.1 多级安全模型
6.1.2.1.1 引言
6.1.2.1.2 Bell-LaPadula 模型 6.1.2.1.3 Clark-Wilson 模型 6.1.2.1.4 Biba 模型
6.1.2.2 多边安全模型
6.1.2.2.1 引言
6.1.2.2.2访问控制矩阵(Compartmentation and Lattice)模型
6.1.2.2.4 Chinese Wall模型 6.1.2.2.5 BMA模型
6.1.2.3 安全体系结构
6.1.2.3.1 OSI参考模型
6.1.2.3.2 开放系统互连安全体系结构 6.1.2.4 Internet 安全体系架构 6.1.2.4.1 ISO安全体系到TCP/IP映射 6.1.2.4.2 IPSec协议
6.1.2.4.3 IPSec安全体系结构 6.1.2.4.4 安全协议
6.1.2.4.5 IKE概述及IPSec的应用 6.1.2.5 信息安全技术测评认证 6.1.2.5.1 IT评估通用准则
6.1.2.5.2 IT评估通用方法
6.1.2.6 信息安全国内外情况 6.1.3 安全技术
6.1.3.1 密码技术及其应用
6.1.3.1.1 加密基本概念
6.1.3.1.2 对称加密算法
6.1.3.1.3 非对称加密算法
6.1.3.1.4 链路层加密技术(L2TP)
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 8 页
6.1.3.1.5 网络层加密技术(IPSEC) 6.1.3.1.6 VPN虚拟专网 6.1.3.1.7 SSL/TLS与SSH 6.1.3.1.8 Web安全
6.1.3.1.9 PKI
6.1.3.2 访问控制
6.1.3.3 标识和鉴别
6.1.3.4 审计及监控
6.1.3.4.1 安全审计
6.1.3.4.2安全监控
6.1.3.4.3 入侵监测
6.1.3.4.4 实际应用
6.1.3.5 网络安全
6.1.3.5.1 网络基础(网络组建、管理与安全)
6.1.3.5.2 网络安全
6.1.3.5.3 安全边界及边界间安全策略
6.1.3.5.4 网络攻击与对策 6.1.3.6 系统安全
6.1.3.6.1.1 操作系统安全 6.1.3.6.1.2 数据库系统安全 6.1.3.7 应用安全
6.1.3.7.1 计算机病毒 6.1.3.7.2 WEB安全
6.1.3.7.3 安全编程
6.1.4 工程过程
6.1.4.1 风险评估
6.1.4.1.1 安全威胁
6.1.4.1.2 安全风险
6.1.4.1.3 评估过程
6.1.4.2 安全策略
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 9 页
6.1.4.2.1 组织安全策略
6.1.4.2.2 系统安全策略
6.1.4.2.3 安全策略示例
6.1.4.3 安全工程
6.1.5 安全管理
6.1.5.1 安全管理基本原则
6.1.5.2 安全组织保障
6.1.5.2.1 政府计算机网络安全管理机构的职责 6.1.5.2.2 中国信息安全产品测评认证中心 6.1.5.2.3 国家计算机病毒应急处理中心 6.1.5.2.4 中国计算机网络安全应急处理协调中心 6.1.5.2..5 企业信息安全管理机构职责和工作制度 6.1.5.3 物理安全
6.1.5.3.1 设施安全
6.1.5.3.2 物理安全技术控制
6.1.5.3.3 环境安全
6.1.5.3.4 电磁泄露
6.1.5.4 运行管理
6.1.5.4.1 网络设备采购
6.1.5.4.2 网络管理平台选择
6.1.5.4.3 网络产品安全检测
6.1.5.4.4 网络配置管理
6.1.5.4.5 网络安全管理
6.1.5.4.6 网络故障管理
6.1.5.4.7 网络性能管理
6.1.5.4.8 网络计费管理
6.1.5.4.9 网络访问控制与路由选择 6.1.5.4.10 网络管理的协议
6.1.5.5 硬件安全管理
6.1.5.5.1 设备选型
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 10 页
6.1.5.5.2 安全检测
6.1.5.5.3 设备购置与安装 6.1.5.5.4 设备登记与使用 6.1.5.5.5 设备维护
6.1.5.5.6 设备保管
6.1.5.5.7 质量控制
6.1.5.6 软件安全管理
6.1.5.6.1.1 概述
6.1.5.6.1.2 软件的选型与购置 6.1.5.6.1.3 软件安全检测预验收 6.1.5.6.1.4 软件安全跟踪与报告 6.1.5.6.1.5 软件版本控制 6.1.5.6.1.6 软件安全审查 6.1.5.6.1.7 软件使用与维护制度 6.1.5.7 数据安全管理
6.1.5.7.1 数据安全的基本概念 6.1.5.7.2 数据管理目标
6.1.5.7.3 数据载体安全管理 6.1.5.7.4 数据密级标签管理 6.1.5.7.5 数据存储实现管理 6.1.5.7.6 数据访问控制管理 6.1.5.7.7 数据备份管理
6.1.5.7.8 数据完整性管理 6.1.5.7.9 数据可用性管理 6.1.5.7.10 不良信息监控管理 6.1.5.7.11 可疑信息跟踪审计 6.1.5.8 人员安全管理
6.1.5.8.1 建立安全组织
6.1.5.8.2 安全职能独立
6.1.5.8.3 人员安全审查
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 11 页
6.1.5.8.4 岗位安全考核
6.1.5.8.5 人员安全培训
6.1.5.8.6安全保密契约管理 6.1.5.8.7 离岗人员安全管理 6.1.5.9 应用系统管理
6.1.5.9.1 系统启动安全审查管理 6.1.5.9.2 应用软件监控管理 6.1.5.9.3 应用软件版本安装管理 6.1.5.9.4 应用软件更改安装管理 6.1.5.9.5 应用软件备份管理 6.1.5.9.6 应用软件维护安全管理 6.1.5.10 操作安全管理
6.1.5.10.1 操作权限管理
6.1.5.10.2 操作规范管理
6.1.5.10.3 操作责任管理
6.1.5.10.4 操作监控管理
6.1.5.10.5 误操作恢复管理 6.1.5.11 技术文档安全管理 6.1.5.11.1 文档密级管理
6.1.5.11.2 文档借阅管理
6.1.5.11.3 文档登记和保管 6.1.5.11.4 文档销毁和监毁 6.1.5.11.5 电子文档安全管理 6.1.5.11.6 技术文档备份
6.1.5.12 灾难恢复计划
6.1.5.12.1 灾难恢复的概念 6.1.5.12.2 灾难恢复技术概述 6.1.5.12.3 灾难恢复计划
6.1.5.13 安全应急响应
6.1.5.13.1 安全应急响应的现状
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 12 页
6.1.5.13.2 安全应急响应管理系统的建立 6.1.5.13.3 安全应急响应过程
6.2 注册信息安全管理人员(CISO) 6.2.1 培训基本能力要求
6.2.1.1 同6.1.1.1
6.2.1.2 同6.1.1.2
6.2.1 工程过程
6.2.1.1 风险评估
6.2.1.1.1 安全威胁
6.2.1.1.2 安全风险
6.2.1.1.3 评估过程
6.2.1.2 安全策略
6.2.1.2.1 组织安全策略
6.2.1.2.2 系统安全策略
6.2.1.2.3 安全策略示例
6.2.1.3 安全工程
6.2.2 安全管理
6.2.2.1 安全管理基本原则
6.2.2.2 安全组织保障
6.2.2.2.1 政府计算机网络安全管理机构的职责 6.2.2.2.2 中国信息安全产品测评认证中心 6.2.2.2.3 国家计算机病毒应急处理中心 6.2.2.2.4 中国计算机网络安全应急处理协调中心 6.2.2.2.5 企业信息安全管理机构职责和工作制度 6.2.2.3 物理安全
6.2.2.3.1 设施安全
6.2.2.3.2 物理安全技术控制
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 13 页
6.2.2.3.3 环境安全
6.2.2.3.4 电磁泄露
6.2.2.4 运行管理
6.2.2.4.1 网络设备采购
6.2.2.4.2 网络管理平台选择 6.2.2.4.3 网络产品安全检测 6.2.2.4.4 网络配置管理
6.2.2.4.5 网络安全管理
6.2.2.4.6 网络故障分析管理 6.2.2.4.7 网络性能管理
6.2.2.4.8 网络计费管理
6.2.2.4.9 网络访问控制与路由选择 6.2.2.4.10 网络管理的协议 6.2.2.5 硬件安全管理
6.2.2.5.1 设备选型
6.2.2.5.2 安全检测
6.2.2.5.3 设备购置与安装 6.2.2.5.4 设备登记与使用 6.2.2.5.5 设备维护
6.2.2.5.6 设备保管
6.2.2.5.7 质量控制
6.2.2.6 软件安全管理
6.2.2.6.1 概述
6.2.2.6.2 软件的选型与购置 6.2.2.6.3 软件安全检测预验收 6.2.2.6.4 软件安全跟踪与报告 6.2.2.6.5 软件版本控制
6.2.2.6.6 软件安全审查
6.2.2.2.6.7 软件使用与维护制度 6.2.2.7 数据安全管理
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 14 页
6.2.2.7.1 数据安全的基本概念 6.2.2.7.2 安全管理目标
6.2.2.7.3 数据载体安全管理 6.2.2.7.4 数据密级标签管理 6.2.2.7.5 数据存储实现管理 6.2.2.7.6 数据访问控制管理 6.2.2.7.7 数据备份管理
6.2.2.7.8 数据完整性管理 6.2.2.7.9 数据可用性管理 6.2.2.7.10 不良信息监控管理 6.2.2.7.11 可疑信息跟踪审计 6.2.2.8 人员安全管理
6.2.2.8.1 建立安全组织
6.2.2.8.2 安全职能独立
6.2.2.8.3 人员安全审查
6.2.2.8.4 岗位安全考核
6.2.2.8.5 人员安全培训
6.2.2.8.6安全保密契约管理 6.2.2.8.7 离岗人员安全管理 6.2.2.9 应用系统管理
6.2.2.9.1 系统启动安全审查管理 6.2.2.9.2 应用软件监控管理 6.2.2.9.3 应用软件版本安装管理 6.2.2.9.4 应用软件更改安装管理 6.2.2.9.5 应用软件备份管理 6.2.2.9.6 应用软件维护安全管理 6.2.2.10 操作安全管理
6.2.2.10.1 操作权限管理
6.2.2.10.2 操作规范管理
6.2.2.10.3 操作责任管理
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 15 页
6.2.2.10.4 操作监控管理
6.2.2.10.5 误操作恢复管理 6.2.2.11 技术文档安全管理 6.2.2.11.1 文档密级管理
6.2.2.11.2 文档借阅管理
6.2.2.11.3 文档登记和保管 6.2.2.11.4 文档销毁和监毁 6.2.2.11.5 电子文档安全管理 6.2.2.11.6 技术文档备份
6.2.2.12 灾难恢复计划
6.2.2.12.1 灾难恢复的概念 6.2.2.12.2 灾难恢复技术概述 6.2.2.12.3 灾难恢复计划
6.2.2.13 安全应急响应
6.2.2.13.1 安全应急响应的现状 6.2.2.13.2 安全应急响应管理系统的建立
6.2.2.13.3 安全应急响应过程 6.2.3 信息安全标准
6.2.4 法律法规
6.2.4.1 国家法律
6.2.4.2 行政法规
6.2.4.3 各部委有关规章及规范性文件
6.3 注册信息安全审核员(CISA) 6.3.1 培训基本能力要求
6.3.1.1同6.1.1.1
6.3.1.2同6.1.1.2
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 16 页
6.3.2 安全体系与模型
6.3.2.1 多级安全模型
6.3.2.1.1 引言
6.3.2.1.2 Bell-LaPadula 模型 6.3.2.1.3 Clark-Wilson 模型 6.3.2.1.4 Biba 模型
6.3.2.2 多边安全模型
6.3.2.2.1 引言
6.3.2.2.2访问控制矩阵(Compartmentation and Lattice)模型
6.3.2.2.4 Chinese Wall模型 6.3.2.2.5 BMA模型
6.3.2.3 安全体系结构
6.3.2.3.1 OSI参考模型
6.3.2.3.2 开放系统互连安全体系结构 6.3.2.4 Internet 安全体系架构 6.3.2.4.1 ISO安全体系到TCP/IP映射 6.3.2.4.2 IPSec协议
6.3.2.4.3 IPSec安全体系结构 6.3.2.4.4 安全协议
6.3.2.4.5 IKE概述及IPSec的应用 6.3.2.5 信息安全技术测评认证 6.3.2.5.1 IT评估通用准则
6.3.2.5.2 IT评估通用方法
6.3.2.6.3 信息安全国内外情况 6.3.3 安全技术
6.3.3.1 密码技术及其应用
6.3.3.1.1 加密基本概念
6.3.3.1.2 对称加密算法
6.3.3.1.3 非对称加密算法
6.3.3.1.4 链路层加密技术(L2TP)
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 17 页
6.3.3.1.5 网络层加密技术(IPSEC) 6.3.3.1.6 VPN虚拟专网 6.3.3.1.7 SSL/TLS与SSH 6.3.3.1.8 Web安全
6.3.3.1.9 PKI
6.3.3.2 访问控制
6.3.3.3 标识和鉴别
6.3.3.4 审计及监控
6.3.3.4.1 安全审计
6.3.3.4.2安全监控
6.3.3.4.3 入侵监测
6.3.3.4.4 实际应用
6.3.3.5 网络安全
6.3.3.5.1 网络基础(网络组建、管理与安全)
6.3.3.5.2 网络安全
6.3.3.5.3 安全边界及边界间安全策略
6.3.3.5.4 网络攻击与对策 6.3.3.6 系统安全
6.3.3.6.1 操作系统安全 6.3.3.6.2 数据库系统安全 6.3.3.7 应用安全
6.3.3.7.1 计算机病毒 6.3.3.7.2 WEB安全
6.3.3.7.3 安全编程
6.3.4 工程过程
6.3.4.1 风险评估
6.3.4.1.1 安全威胁
6.3.4.1.2 安全风险
6.3.4.1.3 评估过程
6.3.4.2 安全策略
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 18 页
6.3.4.2.1 组织安全策略
6.3.4.2.2 系统安全策略
6.3.4.2.3 安全策略示例
6.3.4.3 安全工程
6.3.5 安全管理
6.3.5.1 安全管理基本原则
6.3.5.2 安全组织保障
6.3.5.2.1 政府计算机网络安全管理机构的职责 6.3.5.2.2 中国信息安全产品测评认证中心 6.3.5.2.3 国家计算机病毒应急处理中心 6.3.5.2.4 中国计算机网络安全应急处理协调中心 6.3.5.2..5 企业信息安全管理机构职责和工作制度 6.3.5.3 物理安全
6.3.5.3.1 设施安全
6.3.5.3.2 物理安全技术控制
6.3.5.3.3 环境安全
6.3.5.3.4 电磁泄露
6.3.5.4 运行管理
6.3.5.4.1 网络设备采购
6.3.5.4.2 网络管理平台选择
6.3.5.4.3 网络产品安全检测
6.3.5.4.4 网络配置管理
6.3.5.4.5 网络安全管理
6.3.5.4.6 网络故障分析管理
6.3.5.4.7 网络性能管理
6.3.5.4.8 网络计费管理
6.3.5.4.9 网络访问控制与路由选择 6.3.5.4.10 网络管理的协议
6.3.5.5 硬件安全管理
6.3.5.5.1 设备选型
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 19 页
6.3.5.5.2 安全检测
6.3.5.5.3 设备购置与安装 6.3.5.5.4 设备登记与使用 6.3.5.5.5 设备维护
6.3.5.5.6 设备保管
6.3.5.5.7 质量控制
6.3.5.6 软件安全管理
6.3.5.6.1 概述
6.3.5.6.2 软件的选型与购置 6.3.5.6.3 软件安全检测预验收 6.3.5.6.4 软件安全跟踪与报告 6.3.5.6.5 软件版本控制
6.3.5.6.6 软件安全审查
6.3.5.6.3.7 软件使用与维护制度 6.3.5.7 数据安全管理
6.3.5.7.1 数据安全的基本概念 6.3.5.7.2 安全管理目标
6.3.5.7.3 数据载体安全管理 6.3.5.7.4 数据密级标签管理 6.3.5.7.5 数据存储实现管理 6.3.5.7.6 数据访问控制管理 6.3.5.7.7 数据备份管理
6.3.5.7.8 数据完整性管理 6.3.5.7.9 数据可用性管理 6.3.5.7.10 不良信息监控管理 6.3.5.7.11 可疑信息跟踪审计 6.3.5.8 人员安全管理
6.3.5.8.1 建立安全组织
6.3.5.8.2 安全职能独立
6.3.5.8.3 人员安全审查
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 20 页
6.3.5.8.4 岗位安全考核
6.3.5.8.5 人员安全培训
6.3.5.8.6安全保密契约管理 6.3.5.8.7 离岗人员安全管理 6.3.5.9 应用系统管理
6.3.5.9.1 系统启动安全审查管理 6.3.5.9.2 应用软件监控管理 6.3.5.9.3 应用软件版本安装管理 6.3.5.9.4 应用软件更改安装管理 6.3.5.9.5 应用软件备份管理 6.3.5.9.6 应用软件维护安全管理 6.3.5.10 操作安全管理
6.3.5.10.1 操作权限管理
6.3.5.10.2 操作规范管理
6.3.5.10.3 操作责任管理
6.3.5.10.4 操作监控管理
6.3.5.10.5 误操作恢复管理 6.3.5.11 技术文档安全管理 6.3.5.11.1 文档密级管理
6.3.5.11.2 文档借阅管理
6.3.5.11.3 文档登记和保管 6.3.5.11.4 文档销毁和监毁 6.3.5.11.5 电子文档安全管理 6.3.5.11.6 技术文档备份
6.3.5.12 灾难恢复计划
6.3.5.12.1 灾难恢复的概念 6.3.5.12.2 灾难恢复技术概述 6.3.5.12.3 灾难恢复计划
6.3.5.13 安全应急响应
6.3.5.13.1 安全应急响应的现状
发布日期:2002年8月 CNITSEC
中国信息安全产品测评认证中心(CNITSEC)
注册信息安全专业人员能力评估准则 共22页 第 21 页
6.3.5.13.2 安全应急响应管理系统的建立
6.3.5.13.3 安全应急响应过程
6.3.6 信息安全标准
6.3.7 法律法规
6.3.7.1 国家法律
6.3.7.2 行政法规
6.3.7.3 各部委有关规章及规范性文件
7.1 国外参考资料
7.1.1 P.L. 100-235, Computer Security Act of 1987, dated January 8, 1988
7.1.2 National Policy for the Security of National Security Telecommunication
and Information Systems, dated July 5, 1990
7.1.3 NSTISSD 501, National Training Program for Information Systems Security
(INFOSEC) Professionals, dated 16 November 1992
7.1.4 OMB Circular A-130, Appendix ?, Security of Federal Automated Information Systems, December 12 1995
7.1.5 Office of Personnel Management, 5 CFR Part 930, Training Requirements
for the Computer Security Act, January 3, 1992
7.1.6 NSTISSI No. 4009, National Information Systems Security (INFOSEC)
Glossary, June 5, 1992
7.2 国内参考资料
7.2.1 GB/T 18336-1,2,3 信息技术-安全技术-信息技术安全性评估准则
发布日期:2002年8月 CNITSEC
/
本文档为【注册信息安全专业人员】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
相关资料
- 中国_六年级散文作文500字
- 2019-2020学年高中物理 习题课五 安培力的综合应用课时训练(含解析)教科版选修3-1
- 水杯、毛巾消毒记录表
- 2014年12月英语四级真题试卷
- 江西理工大学PPT模板(经典)
- 探放水制度
- 上海市服务业发展引导资金政策培训
- 半导体物理第一章
- 中医妇科学歌诀
- 苏少版一年级上册综合实践活动教案
- 差压变送器测量参数与流量 开方自动计算表
- 民航专业工程安全生产费用管理办法(试行)
- 国家安全人民防线工作总结
- 八年级地理下册湘教版教案全册
- 影响我最大的童话_五年级记叙文作文400字
- 《民航服务礼仪》答案
- 生产线验收报告
- 陶瓷材料显微结构与性能
- 五月天 步步 歌词
- 江苏省南通市启东市启东中学2024届高三上数学期末综合测试试题含解析
热门搜索
- 校园消防优秀演讲稿
- 最新饱和蒸汽温度与压力对照表
- 手持式激光测距仪使用方法(操作规程)精选文档分享
- 努力的说说大全,必须靠自己努力的句子
- [生活]幼儿园管理人员巡班记录表
- 陈 澜 吴 秀 陈建升一中名单 汪华玲 吴小琴
- 首尔大学韩国语第二册
- 土坝坝体灌浆技术规范
- [外乡人电视剧演员表]外乡人[美国2014年凯特芮娜·巴尔夫主演穿越电视剧]:外乡人[美国2014年
- 大连理工大学超星学习通“物流管理”《运筹学》网课试题附带答案1
- 常见保温材料传热系数及修正系数
- 口腔护理质量管理标准及方法
- 建筑石材的定义
- 标准化作业流程
- 校园消防优秀演讲稿
- 最新饱和蒸汽温度与压力对照表
- 手持式激光测距仪使用方法(操作规程)精选文档分享
- 努力的说说大全,必须靠自己努力的句子
- [生活]幼儿园管理人员巡班记录表
- 陈 澜 吴 秀 陈建升一中名单 汪华玲 吴小琴
- 首尔大学韩国语第二册
- 土坝坝体灌浆技术规范
- [外乡人电视剧演员表]外乡人[美国2014年凯特芮娜·巴尔夫主演穿越电视剧]:外乡人[美国2014年
- 大连理工大学超星学习通“物流管理”《运筹学》网课试题附带答案1
- 常见保温材料传热系数及修正系数
- 口腔护理质量管理标准及方法
- 建筑石材的定义
- 标准化作业流程
你可能还喜欢
浙公网安备 33021202002483