关注这个证书的其他相关笔记:NISP 一级 —— 考证笔记合集-CSDN博客
0x01:信息系统
信息系统是具有集成性的系统,每一个组织中信息流动的综合构成一个信息系统。信息系统是根据一定的需要进行输入、系统控制、数据处理、数据存储与输出等活动而涉及到的所有因素的综合体。
0x02:信息系统安全保障的含义
信息系统安全保障是在信息系统的整个生命周期中,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接收的程度,从而保障系统实现组织机构的使命。
信息系统安全保障的目标是保障信息系统能够正常有效的完成自己的使命。如何进行保障呢?首先是分析系统所面临的风险,而风险又源于信息系统本身的脆弱性和外在的威胁。所以安全保障的措施就是在策略的支持下,通过保障模型来采取相应的手段从而降低风险对信息系统的破坏。
0x0201:信息系统安全保障相关概念 - 风险
信息安全风险产生的因素主要又信息系统自身存在的漏洞和来自系统外部的威胁。信息系统运行环境中存在具有特定威胁动机的威胁源,通过实用各种攻击方法,利用信息系统的各种脆弱性,对信息系统造成一定的不良影响,由此引发信息安全事件和问题。
0x0202:信息系统安全保障相关概念 - 保障
为了降低信息安全风险,信息安全保障就是针对信息系统在运行环境中所面临的各种风险,制定信息安全保障策略,在策略指导下,设计并实现信息安全保障架构或模型,采取技术、管理等安全保障措施,将风险控制到可接收的范围和程度,从而实现其业务使命。
0x0203:信息系统安全保障相关概念 - 使命
”使命“ 描述了信息系统从设计、开发、测试、部署、维护、废弃整个生命周期中运行的需求和目标。信息系统的使命与其安全保障密不可分,需要通过信息系统安全措施来保障目标正确执行。随着信息系统面临的威胁及运行环境的变化,安全保障也需要提供相应的保障措施,从而保障信息系统的正确运行。
0x03:信息系统安全保障模型
下图是国家标准:《GB/T 20274.1-2006 信息安全技术 信息系统安全保障评估框架 第一部分:简介和一般模型》,其描述了信息系统安全保障模型,该模型包含保障要素,生命周期和安全特征三个方面: