信息安全保障人员认证CISAW管理模型介绍 中国信息安全认证中心依据《信息安全保障人员认证考试大纲》的要求,结合信息安全保障工作各岗位知识和应用能力要求,在WPDRRC安全模型的基础上结合认证体系提出了CISAW信息安全保障模型。该模型构建了包括信息安全技术基础知识、信息安全专业技术知识和应用领域安全保障管理知识,形成了完整的信息安全保障知识体系。CISAW管理模型如图所示: 第一层(核心层):业务。“业务”是一个组织正常运转的核心活动,也是信息安全风险管理的本质对象。业务在组织中的表现形式更多的是采用信息技术加以实现。由于业务的连续性关系到组织是否能够正常履行其职能,所以是信息安全风险管理的主要目标之一。 第二层:实体对象,包括:数据、载体、环境与边界。数据是业务处理的对象,它通过载体以某种具体的形式承载。载体是数据存储和传输的媒介,是数据赖以附载的物质基础。环境是数据与载体的运行环境,包括物理、网络、系统等基础设施。边界是环境之间的界限,比如物理边界、网络边界等。信息安全风险管理关注实体对象的安全问题,如数据安全、介质安全、软硬件基础设施安全、操作系统和数据库安全等。 第三层:业务生命周期。业务生命周期指业务设计、开发、采购、上线、运行和废弃的整个过程。信息安全风险管理关注整个业务生命周期的安全,形成了软件开发安全、系统安全集成、系统安全运维等风险管理方向。 第四层:信息安全属性。信息安全属性指信息的机密性、完整性、可用性、不可否认性和真实性等基本安全特性。 第五层:WPDRRC模型。WPDRRC模型是从PDR模型演变而来,增加了预警、恢复和反击三个环节。在不同的应用领域,可以视为风险管理的各项活动。 第六层:资源。资源是实施信息安全风险管理的重要保障,包括:人员、技术、财务和信息四大类。 第七层:管理。管理是保证信息安全风险管理顺利实施的重要手段,包括:日常管理和项目管理两个方面。 以上各层构成了信息安全保障模型的基础结构。通过把CISAW信息安全保障模型应用到各个信息安全领域,就可以得出各领域切实可行的信息安全保障模型,为指导实际工作提供理论基础。(作者:王征) 本文来源:https://www.wddqw.com/doc/3dc8b7bf43323968011c92c9.html