CISP试题(整理版515题库+316习题).docx

"CISP试题(整理版515题库+316习题)" 本资源摘要信息来自CISP试题库，总共包括515道题库和316道习题，涵盖了网络安全、渗透测试、信息安全管理等领域的知识点。以下是从标题、描述、标签和部分内容中提取的相关知识点： 一、信息安全基础 * 信息安全的基本要素包括保密性、完整性和可用性 * 信息安全管理的核心是风险管理 * 信息安全管理工作的重点是信息系统，而不是人 二、信息安全管理体系（ISMS） * ISMS是一个遵循PDCA模式的动态发展的体系 * ISMS是一个文件化、系统化的体系 * ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定 三、风险管理 * 风险评估的过程中，首先要识别信息资产 * 风险分析的目的是在实施保护所需的成本与风险可能造成的影响之间进行经济平衡 * 风险管理就是以可接受的代价，识别控制减少或消除可能影响信息系统的安全风险的过程 四、信息资产识别和风险评估 * 构成风险的关键因素包括资产、威胁和弱点 * 风险评估的目的是评估信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性 * 风险评估的过程中，首先要识别信息资产，资产识别时，需要遵循的原则包括只识别与业务及信息系统有关的信息资产、分类识别、可以从业务流程出发、识别各个环节和阶段所需要以及所产出的关键资产等 五、信息安全威胁和弱点 * 可能存在的威胁因素包括设备老化故障、病毒和蠕虫、系统设计缺陷等 * 可能存在的弱点问题包括保安工作不得力、应用系统存在Bug、内部人员故意泄密、物理隔离不足等 六、信息安全项目管理 * 信息安全项目的需求来源包括国家和地方政府法律法规与合同的要求、风险评估的结果、组织原则目标和业务需要等 * ISO27001认证项目一般有确定范围和安全方针、风险评估、风险控制（文件编写）、体系运行、认证等几个阶段 七、PDCA循环 * PDCA循环的特征包括顺序进行、周而复始、发现问题、分析问题，然后是解决问题等 * PDCA循环的目的是为了确保信息安全风险管理的顺利进行