2017年12月23日,中国信息安全测评中心在北京组织了CISP新教材(CISP知识体系4.0)宣贯会。CISP新教材在整体框架中仍然以信息系统系统评估框架(GB/T 20274)为基础,从四项保障要素来构建转向信息系统生命周期来构建。整体知识域分为八大知识域,分别是“安全保障、信息安全规划、安全设计与实现、安全运营、安全管理、安全评估、软件开发安全、法律法规政策与标准”。在每个知识域下建立知识子域。整体结构通过扁平化的方式搭建,以便让学员更加直观的理解每个知识域中涉及的具体内容。
知识域1安全保障:首先明确定义网络安全与信息安全的名词混用问题。在信息安全保障基础中细化基本概念与基础知识,新增信息安全视角。通过信息安全的发展趋势让大家更加直观的了解信息安全的发展过程并且进行更新如:威胁情报、网络空间安全等知识。并针对当前国家网络空间安全做出详细讲解。以便让学员理解与掌握针对国家网络空间安全我们面临的机遇和挑战、目标、原则和任务。同时,新增舍伍德的商业应用安全架构(Sherwood Applied Business Security Architecture,SABSA)、增加知识子域“信息安全保障新领域(如:云技术、工控、移动互联网、物联网等安全新领域概述及基础知识)”。
知识域2信息安全规划:信息安全保障的基本思想是对风险的管理,风险评估是安全需求的来源,也是在信息安全生命周期开始时首先要考虑的工作。所有在这个知识域中引入CISP知识体系3.0中:“安全风险管理知识子域、新增风险管理模型(如:COSO、ITIL、ISMS、COBIT5.0等内容)。引入CISP知识体系3.0中密码学知识子域并新增区块链内容。原CISP知识体系3.0中身份鉴别、访问控制知识子域、在访问控制知识子域中新增基于规则的访问控制模型。
知识域3安全设计与实现:新增知识子域:物理与环境安全,其中主要涉及(环境安全、设施安全与传输安全)。网络与通信安全知识子域中新增近距离无线通信安全。并增加网络攻击及防范(并引入CISP知识体系3.0中安全攻防中网络攻击相关内容)、网络安全防护技术知识(原CISP知识体系3.0中网络安全设备中部分内容VPN、等)。并针对知识子域:计算环境安全、应用与数据安全,做出了整体框架梳理细化与更新。并将应用安全威胁、Web应用体系、web应用攻击、电子邮件安全、数据库安全等知识统一整合为知识子域应用与数据安全。
知识域四4安全运营:新增知识子域:安全运维,主要涉及运维管理对象、漏洞概念及安全补丁、安全审计、应急响应、培训及教育等内容。新增知识子域内容安全主要涉及内容安全基础、数字版权、信息保护、网络舆情等知识。对知识子域:业务连续性管理、灾难备份进行修正。新增知识子域:大数据安全同时明确定位大数据的安全并不是用大数据解决安全问题。主要涉及大数据的概念、安全威胁、安全标准等内容。
知识域5:安全管理:新增知识子域:社会工程学内容。更新信息安全管理体系为最新版。(国标GB/T 22080、GB/T 22081、2016年8月29日发布2017年3月1日实施)。
知识域6:安全评估:新增知识子域:信息系统审计
知识域7:软件安全开发:将3.0中“软件安全开发”知识域重构并更新。主要分为五个知识子域分别是:“软件安全开发生命周期管理、软件安全需求及设计、软件安全实现、软件安全测试、软件开发重要管理过程”。
知识域8:法规政策与标准。将3.0中“信息安全法规政策和标准”知识类更新,主要分为法律法规规章及道德、网络安全政策、信息安全标准、等级保护标准政策体系四个知识子域。并更新网络安全法、等级保护2.0等最新内容。
此次CISP知识体系更新较多,紧跟最新信息安全发展趋势,让学员在实际工作中更能学以致用。有人问CISP到底有没有用,不得不等近期看到某互联网网络安全厂商的最新招聘要求,其中对CISP青睐有加,从售前到售后,从项目经理到安全架构师都对持有CISP证书的人员优先考虑。
最后分享下近期CISP课程培训计划安排,有需求的同学抓紧上车,想了解更多的或者报名的可以与不得不等联系,微信号:djbhcp
2018年3月13-18日上海
2018年1月22-27日北京;3月26-31日北京
2018年3月09-13日南京;
2018年4月10-15日成都;
2018年5月05-10日西安;
是有时候该给自己增加一个证了
声明:本文来自等级保护测评,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
