《信息安全保障人员认证CISAW管理模型介绍》由会员分享,可在线阅读,更多相关《信息安全保障人员认证CISAW管理模型介绍(2页珍藏版)》请在金锄头文库上搜索。
1、信息安全保障人员认证CISAW管理模型介绍中国信息安全认证中心依据信息安全保障人员认证考试大纲的要求,结合信息安全保障工作各岗位 知识和应用能力要求,在WPDRRC安全模型的基础上结合认证体系提出了 CISAW信息安全保障模型。该 模型构建了包括信息安全技术基础知识、信息安全专业技术知识和应用领域安全保障管理知识,形成了完 整的信息安全保障知识体系。CISAW管理模型如图所示:第一层(核心层):业务。 “业务”是一个组织正常运转的核心活动,也是信息安全风险管理的本质对象。 业务在组织中的表现形式更多的是采用信息技术加以实现。由于业务的连续性关系到组织是否能够正常履 行其职能,所以是信息安全风险
2、管理的主要目标之一。第二层:实体对象,包括:数据、载体、环境与边界。数据是业务处理的对象,它通过载体以某种具体 的形式承载。载体是数据存储和传输的媒介,是数据赖以附载的物质基础。环境是数据与载体的运行环境, 包括物理、网络、系统等基础设施。边界是环境之间的界限,比如物理边界、网络边界等。信息安全风险 管理关注实体对象的安全问题,如数据安全、介质安全、软硬件基础设施安全、操作系统和数据库安全等。第三层:业务生命周期。业务生命周期指业务设计、开发、采购、上线、运行和废弃的整个过程。信息 安全风险管理关注整个业务生命周期的安全,形成了软件开发安全、系统安全集成、系统安全运维等风险 管理方向。第四层:
3、信息安全属性。信息安全属性指信息的机密性、完整性、可用性、不可否认性和真实性等基本 安全特性。第五层:WPDRRC模型。WPDRRC模型是从PDR模型演变而来,增加了预警、恢复和反击三个环节。 在不同的应用领域,可以视为风险管理的各项活动。第六层:资源。资源是实施信息安全风险管理的重要保障,包括:人员、技术、财务和信息四大类。第七层:管理。管理是保证信息安全风险管理顺利实施的重要手段,包括:日常管理和项目管理两个方 面。以上各层构成了信息安全保障模型的基础结构。通过把CISAW信息安全保障模型应用到各个信息安全 领域,就可以得出各领域切实可行的信息安全保障模型,为指导实际工作提供理论基础。(作者:王征)町用保护命信息可靠H实检测氏应C不町资源管理
