CISP共有共包括信息安全保障、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

第三章：知識域：信息安全管理

3.4 知識子域：信息安全管理體系最佳實踐

3.4.3信息安全管理體系控制措施

1.信息安全方針

信息安全管理指導

2.信息安全組織

內部組織

移動設備和遠程辦公

3.人力資源安全

任用之前

任用中

任用的終止和變化

4.資產管理

對資產負責

信息分類

信息分類

信息的標記

資產的處理

介質處置

5.訪問控制

訪問控制的業(yè)務要求

用戶訪問管理

用戶職責

系統(tǒng)和應用訪問控制

6.密碼學

加密控制（目標：通過加密方法保護信息的保密性、真實性或完整性）

使用加密控制的策略

密鑰管理

7.物理與環(huán)境安全

安全區(qū)域

設備安全（目標：防止資產的丟失、損壞、失竊或危及資產安全以及組織活動的中斷）

8.操作安全

操作規(guī)程和職責

文件化的操作規(guī)程

變更管理

容量管理

開發(fā)、測試和運行環(huán)境分離

惡意代碼保護

惡意代碼的控制

備份（目標：防止數(shù)據(jù)丟失）

日志記錄和監(jiān)控（目的：記錄事件并生成證據(jù)）

事件日志

日志信息的保護

管理員和操作員日志

時鐘同步（形成證據(jù)鏈）

操作軟件控制

技術漏洞管理

信息系統(tǒng)審計的考慮

9.通信安全

網絡安全管理（目標：確保網絡中信息的安全性并保護支持性的基礎設施）

網絡控制

網絡服務安全

網絡隔離

信息交換

10.信息獲取、開發(fā)和維護

信息系統(tǒng)的安全要求

開發(fā)和支持過程中的安全性

測試數(shù)據(jù)

11.供應商關系

供應商關系中的信息安全

供應商服務交付管理

12.信息安全事件管理

信息安全事件的管理和改進

13.業(yè)務連續(xù)性管理

信息安全的連續(xù)性

冗余

14.符合性

符合法律和合同規(guī)定

可用的法律和合同要求的識別

知識產權

記錄的保護

個人身份信息的隱私和保護

加密控制的監(jiān)管

信息安全審查

組織在規(guī)定的時間間隔（一般是一年）或重大變化發(fā)生時，組織的信息安全管理和實施方法（如信息安全的控制目標、控制措施、方針、過程和規(guī)程）應獨立審查。獨立評審宜由管理者啟動，由獨立于被評審范圍的人員執(zhí)行，例如交叉審核（審核員A審查B的信息安全管理工作）、內部審核部門、獨立的管理人員或專門進行這種評審的第三方組織。從事這些評審的人員宜具備適當?shù)募寄芎徒涷灐炔繉彶榈慕Y果應該形成正式文件并長期留存。

評審結果和管理人員采取的糾正措施應該被記錄，形成管理評審報告

任何技術符合性核查應由有能力的、已授權的人員來實施或在他們的監(jiān)督下完成

注：以上內容來源于網絡，如有侵權，可聯(lián)系客服刪除