CISP考题总结.pdf

CISP考题总结.pdf 该文件总结了CISP考题相关知识点，涵盖了信息安全基础设施、信息安全保障工作发展阶段、信息系统安全目的、数据完整性保护、网络空间安全战略、项目管理、信息安全模型等方面的知识点。 1. 美国核心信息基础设施（CII）涉及多个方面，如商用核设施、政府设施、交通系统、饮用水和废水解决系统、公共健康和医疗、能源、银行和金融、国防工业基地等等。美国政府强调重点保障这些基本设施信息安全，主要原因是这些行业关系到国计民生，对经济运营和国家安全影响深远。 2. 我国信息安全保障工作发展阶段可以分为四个阶段：启动阶段、逐渐展开和积极推动阶段、深化贯彻阶段、信息安全保障体系建设获得实质性进展阶段。 3. 依据国标/T20274《信息系统安全保障评估框架》，信息系统安全目的（ISST）中，安全保障目的是指信息系统安全保障目、环境安全保障目、管理安全保障目、技术安全保障目和工程安全保障目等。 4. 数据完整性保护的例子包括：某网站在访问量突然增长时对顾客连接数量进行了限制，保证已登录顾客可以完毕操作；在提款过程中ATM终端发生故障，银行业务系统及时对该顾客账户余额进行了冲正操作；某网管系统具备严格审计功能，可以拟定哪个管理员在何时对核心互换机进行了什么操作等。 5. 在设计安全保障方案时，需要考虑业务需求、合规性和风险，共同拟定网站安全需求。 6. 各国信息安全战略内容不同，但都强调信息安全事件应急响应和解决，且普遍注重加强政府管理力度，充分运用社会资源，发挥政府与公司之间合伙关系。 7. P2DR模型比PDR模型多了一种环节，即方略。 8. 项目的定义是：为达到特定目的、使用一定资源、在拟定期间内、为特定发起人而提供独特产品、服务或成果而进行一次性努力。项目资源包括人、财、物等，项目目的要遵守SMART原则。 9. 美國總統令第54號建立了國家網絡安全綜合計畫（Comprehensive National Cybersecurity Initiative，CNCI），CNCI 筹划建立三道防线：第一道防线，减少漏洞和隐患，防止入侵；第二道防线，全面应对各类威胁；第三道防线，强化将来安全环境。 10. 信息安全保障深度防御模型强调信息安全外部环境：信息安全保障是组织机构安全、国家安全一种重要构成某些，因而对信息安全讨论必要放在国家政策、法律法规的高度。