原創(chuàng)2024-08-20小艾老師

CISSP信息安全專家認證知識體系考證須知證書含金量培訓大綱 3分鐘小視頻我要提問

CISSP認證是信息安全領域的權威認證，由國際信息系統(tǒng)安全認證協(xié)會(ISC)2提供。它評估個人在信息安全領域的知識和技能，包括安全管理、安全架構、安全工程、安全運營等方面。獲得CISSP認證可以證明持證人具備專業(yè)的信息安全知識和能力。

中文名CISSP信息安全專家認證
英文名Certified Information Security Systems Professional
英文簡稱CISSP
頒證機構(ISC)2（國際信息系統(tǒng)安全認證協(xié)會）
證書類別信息安全
同類認證CISM、CRISC、CISA

在當今這個信息爆炸的時代，網絡安全已經成為每個企業(yè)和組織不可忽視的重要話題。那么，什么是“等?！保c我們的日常生活和工作又有什么關聯(lián)呢？接下來，我們就來聊聊這個話題。

01_等保是什么？為什么要做等保？

等保，即信息安全等級保護，全稱為“信息安全等級保護制度”。說白了，就是按信息和信息載體的重要程度分保護級別，_信息安全。這是咱國家網絡安全的基本政策和制度。

2019 年《網絡安全法》實施后，等保到了 2.0 時代。新標準強調全面主動防御、動態(tài)感知和審計。它不光管傳統(tǒng)信息系統(tǒng)，云計算、大數據、物聯(lián)網這些新技術也管，是全面保護信息安全。

等保3.0？

目前只有等保1.0或者等保2.0的說法，還沒有等保3.0。一般有人說等保3.0，就知道這個人一定沒有對等級保護了解清楚，錯把三級等保當成了等保3.0。

為什么要做等保？

國情要求：《網絡安全法》規(guī)定網絡運營者和關鍵信息基礎設施運營者得按等保要求做，不做輕的罰款，重的負刑事責任。這不只是建議，還是法律規(guī)定。
企業(yè)需要：信息化發(fā)展，企業(yè)依賴信息安全，好多重應用輕安全，隱患多，網絡安全事件也常見，做好等保保護企業(yè)利益。
主管單位要求：主管單位監(jiān)管越來越嚴，像教育部門、衛(wèi)健委、證監(jiān)銀保等部門都有相關規(guī)定。

02_如何做等保？步驟與流程

一般來說，等保的流程包括以下幾個步驟：

自主定級：就是自己定級，把資料給當地公安備案。
差距分析：找專業(yè)機構分析現有安全措施的差距，找隱患。
整改設計與實施：根據結果制定整改方案并實施，比如買設備、培訓人員。
等級測評：整改完找測評機構測評，看是否達到安全保護等級。
安全運營：_后就是日常安全運營維護，_系統(tǒng)一直安全。

03_等保測評內容以及測評中需要重點關注什么

從測評內容上面來看，具體分為兩大塊：

（1）安全管理層面：安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理。

（2）安全技術層面：物理和環(huán)境安全、網絡和通信安全、設備和計算安全、應用和數據安全。

測評時需要重點關注什么？

完整性和保密性
- 網絡和通信安全的“通信傳輸”控制點，還有應用和數據安全里的“數據完整性”和“數據保密性”有要求。
- 測評實施時需要重點理解：網絡和通信層面或應用和數據安全層面實現一個就行；重點理解應用和數據里的“數據完整性”和“數據保密性”，像鑒別數據、重要業(yè)務數據、審計數據、配置數據、視頻數據、個人信息等的完整性和保密性。
邊界保護
- 源于舊版的“邊界完整性檢查”，有了更完善的要求。
- 測評實施時需要重點理解：所有跨邊界的訪問和數據流得通過受控端口通信，要考慮網絡大邊界、不同級別系統(tǒng)小邊界，還有非授權的移動數據上網卡、無線 WIFI 等；限制無線網絡使用，核查無線網絡單獨組網后通過邊界防護設備接入內網。
訪問控制（網絡和通信安全）
- 和舊版比變化大，重點是安全策略的完善優(yōu)化。
- 測評實施時需要重點理解：訪問控制設備_后一條策略是拒絕所有通信；對進出網絡的內容管控要用下一代防火墻。
入侵防范（網絡和通信安全）
- 要防范從外到內和從內發(fā)起的網絡攻擊，注重網絡行為分析。
- 測評實施時需要重點理解：看能不能防范內部發(fā)起的攻擊；能不能分析新型網絡攻擊行為。
集中管控
- 是新增控制點，要求對分布網絡中的安全設備或組件集中管控。
- 測評時要核查：像遠程管理是不是加密；有沒有綜合網管、審計系統(tǒng)；有沒有集中防病毒、補丁管理系統(tǒng)；有沒有集中的安全事件識別、報警和分析系統(tǒng)等等。
雙因素認證
- 涉及網絡設備、安全設備、操作系統(tǒng)和應用系統(tǒng)等。
- 測評實施時需要重點理解：雙因素認證很重要；網絡設備、安全設備、操作系統(tǒng)適合令牌方式，應用系統(tǒng)適合數字證書或生物技術；主流堡壘機主要提供網絡訪問控制和操作審計功能，不能根本實現雙因素認證。
其他新增測評要求
- 核查能不能審計互聯(lián)網訪問行為；能不能保護惡意郵件、垃圾郵件；注重數據安全保護測評；整個測評要求 IPv6 商用環(huán)境也適用。

04_常見問題解答

1.等保是強制性的嗎？

《中華人民共和國網絡安全法》第二十一條規(guī)定網絡運營者應當按照網絡安全等級保護制度的要求，履行相關的安全保護義務。同時第七十六條定義了網絡運營者是指網絡的所有者、管理者和網絡服務提供者。等級保護相關標準雖然為非強制性的推薦標準，但網絡（個人與家庭網絡除外）運營者必須按網絡安全法開展等級保護工作。

2.不做等保沒關系，只要不出事就行？企業(yè)不做等保有啥處罰？

這可不行！法律明確要求網絡運營者履行安全保護義務，不做等保就是違法，可能面臨罰款甚至刑事責任。

我們一起看看我國網絡安全法的相關規(guī)定，僅供參考：

第五十九條網絡運營者不履行本法第二十一條、第二十五條規(guī)定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

3.等保分為幾級？企業(yè)如何定級？

等保測評分為五個級別，從一到五級別逐漸升高。等級越高，說明信息系統(tǒng)重要性越高。一般企業(yè)項目多為等保二級、三級。對網絡安全有特定高要求的軍工、電力、金融等單位應符合等保三級或等保四級；等保一級和等保五級（涉密）由于安全性太低或太高，單位或組織少有涉及。

一般開展等保的行業(yè)/群體有：

（1）政府機關：電子政務網絡；

（2）金融行業(yè)：監(jiān)管機構，銀行，保險公司等；

（3）電信行業(yè)：各大運營商；

（4）能源行業(yè)：電力（比如xxx電網），石油等；

（5）互聯(lián)網單位：各大企業(yè)，上市公司等；

（6）其他有監(jiān)管要求的行業(yè)

4.等保與分保有什么區(qū)別？

等保主要由公安部門監(jiān)管，適用于非涉密系統(tǒng)，分保則由國家保密局監(jiān)管，適用于涉密系統(tǒng)。等保分為五個級別，而分保分為三個級別。分級保護與等級保護對應關系：秘密級對應等保三級、機密級對應等保四級、絕密級對應等保五級。

5.系統(tǒng)上云了就不用做等保嗎？

不可以！“誰運營誰負責”是原則，系統(tǒng)即使上了云，網絡運營者仍需對系統(tǒng)的安全負責。

6.等保工作就做測評就可以了嗎？

不行！等保是一系列流程，包括定級、備案、整改、復測等，測評只是其中一部分。

05_總結

在信息安全日益重要的今天，等保不僅是法律的要求，也是企業(yè)保護自身信息安全的重要手段。從定級、備案到整改和測評，每一步都至關重要。

對于許多企業(yè)而言，安全經理一般都要承擔“等?！钡墓ぷ鳌Ｔ谡衅复祟愱P鍵崗位時，企業(yè)往往會將 CISSP 或 CISP 等相關認證視為優(yōu)先考慮的條件或加分項。這并非是毫無緣由的，而是基于多方面的實際考量。

擁有 CISSP 或 CISP 認證的人員，通常在信息安全領域具備更全面、更深入的知識體系和實踐技能。他們能夠更好地應對等保工作中的各種復雜挑戰(zhàn)，如精準識別系統(tǒng)潛在的安全風險，制定切實有效的防護策略，確保企業(yè)信息系統(tǒng)符合等保的嚴格要求。

小艾老師因此推薦大家參加 CISSP信息安全專家認證（國際認證）、CISP信息安全從業(yè)人員認證（國內本土認證）。通過CISSP或CISP，不僅能系統(tǒng)地學習和掌握前沿的信息安全知識，還能提升個人在行業(yè)內的競爭力，能夠更好地承擔起等保等工作。

贊

什么是等保？為什么做等保？如何做等保？喊話安全經理：你們家的系統(tǒng)通過“三級等保”了嗎？安全經理們你們都會做等保嗎? 什么是等保？為什么做等保？如何做等保？喊話安全經理：你們家的系統(tǒng)通過“三級等?！绷藛幔?等保 #CISSP #CISP #安全經理...
信息安全工作無非就是防“黑客”與防“內鬼”罷了！大白話告訴你：進入信息安全圈子，到底需要學些啥？現在，咱們的工作和生活越來越離不開互聯(lián)網了。雖然能享受網絡帶來的各種便利，但咱們也在網上留下了大量個人信息和私密數據。比如說，用手機上的APP吧，幾乎都會要求填個人信息，或者收集微信、微博賬號之 …...
信息安全圈子還是很“吃”證書的！簡單說一下CISSP /CISM /CISA…等主流證書的聯(lián)系與區(qū)別！ 01 數字化時代，信息安全不再是企業(yè)可有可無的選擇，而是決定企業(yè)生死存亡的關鍵！大家想想看，現在我們的生活和工作都離不開互聯(lián)網和各種電子設備。我們的個人信息、公司的商業(yè)機密、金融數據等等， …...
如何打造企業(yè)信息安全的“銅墻鐵壁”？看這三大組合拳：風險管理、安全管理、安全運營信息安全事件到底是啥？簡單來說，就是在組織里出現了不好的信息安全狀況，像信息泄露啦、中了勒索病毒啦、數據被損毀啦等等。總的來講，只要是對機密性（Confidentiality）、完整性（Integrity）、可用性 …...
信息安全工作=防“黑客”+防“內鬼”？道高一尺魔高一丈，網安小哥肩上的擔子不輕啊！大白話告訴你：進入信息安全圈子，到底需要學些啥？信息安全工作=防“黑客”+防“內鬼”？道高一尺魔高一丈，網安小哥肩上的擔子不輕??！大白話告訴你：進入信息安全圈子，到底需要學些啥？如果個人信息保護不好，我們每個人可能都會變成透明人，成為受害者。 …...
如何打造企業(yè)信息安全的“銅墻鐵壁"? 看這三大組合拳:風險管理、安全管理、安全運營怎么做好信息安全工作如何打造企業(yè)信息安全的“銅墻鐵壁"? 看這三大組合拳:風險管理、安全管理、安全運營#信息安全 #CISSP #CISM...