cisp培訓業務連續性規劃bcp
1. CISP培訓都需要學習什麼內容
注冊信息安全專業人員 (Certified Information
Security Professio-nal, CISP)是中國信息安全測評中心應國家信息安全保障工作之需,
推出的一項提高我國信息安全從業人員素質的專業人才培訓認證服務。 經過近10年發展, CISP已經成為信息安全專業人員進行資質評定的權威品牌。
優惠政策:2020.5.1~12.31期間報名參加CISP培訓考試的人員(除CISM、NISP以外)給予費用25%的優惠;2020.6.1~12.31期間部分革命老區及其存在貧困縣村的總計40個地級行政單位內報名參加CISP培訓考試的人員(除CISM、NISP以外),額外給予費用25%的優惠。
可以去問一下賽虎學院 官網
2. cisp證書是培訓五天嗎
CISP證書大部分培訓都是五天培訓,然後第六天考試,最後還可以休息一天。比較人性化。
賽虎學院CISP為您解答。
3. CISP-F是什麼
一、CISP認證
培訓組織:經中國信息安全測評中心統一授權組織,由中國信息安全測評中心授權培訓機構進行具體培訓實施,培訓學習時間為6天。 是國家對信息安全人員資質的最高認可》
資質簡介:國家注冊信息安全專業人員(Certified Information Security Professional,簡稱CISP),分為三類「注冊信息安全工程師(CISE)」、「注冊信息安全管理人員(CISO)」、「注冊信息安全審核員(CISA)」等領域。
適合人群:信息安全管理人員、信息安全技術人員、信息安全服務人員、IT運維人員、網路安全顧問、網路安全開發人員、信息安全~
CISP考試形式:
考試時長:2個小時(120分鍾),考試題型:100個選擇題。(註:70分以上通過)
資質用途:CISP是我國信息安全從業人員及專業資深人員最高級別的能力認證、資質認證。CISE主要從事信息安全技術開發服務工程建設等工作,CISO從事信息安全管理等相關工作,CISA從事信息系統的安全性審核或評估等工作。同時該資質是辦理企業信息安全工程服務能力資質的必備基礎要求。
適用對象:這三類注冊信息安全專業人員是有關信息安全企業,信息安全咨詢服務機構、信息安全測評機構、社會各組織、團體、企事業有關信息系統(網路)建設、運行和應用管理的技術部門(含標准化部門)必備的專業崗位人員,其基本職能是對信息系統的安全提供技術保障,其所具備的專業資質和能力,系經中國信息安全測評中心實施注冊。
課題體系:本課程涵蓋CISP考試大綱五大知識體系,分別包括:信息安全法律法規和標准、信息安全保障體系及模型、信息安全技術及實踐、信息安全管理及實踐,以及信息安全工程。培訓採用理論與實際相結合的教學方法,以講為主,結合互動及討論等形式授課;為學員提供互動交流的平台,全面系統地理解和掌握信息安全方面的知識,為通過CISP注冊做好充分的准備。
CISP培訓內容: CISP知識體系結構共包含八個知識類,分別為:
信息安全保障:介紹了信息安全概念、信息安全保障的框架兩塊內容。主要包括信息安全概念、信息安全屬性、信息安全視角、信息安全發展階段、安全保障新領域,它是注冊信息安全專業人員首先需要掌握的基礎知識。
信息安全監管:主要包括網路安全法律體系建設、國家網路安全政策、網路安全道德准則、信息安全標准。
安全支撐技術:主要包括密碼學、身份鑒別、訪問控制。
安全工程與運營:主要包括系統安全工程、安全運營、內容安全、社會工程學與培訓教育。
信息安全管理:主要包括信息安全管理基礎、信息安全風險管理、安全管理體系建設、安全管理體系最佳實踐、信息安全管理體系體系。
物理與網路通信安全:主要包括物理安全、OSI通信模型、TCP/IP協議安全、無線通信安全、典型網路攻擊防範、網路安全防護技術。
業務連續性:主要包括業務連續性、信息安全應急響應、災難備份與恢復。
安全評估:主要包括安全評估基礎、安全評估實施、信息系統審計。
計算環境安全:主要包括操作系統安全、信息收集與系統攻擊、惡意代碼防護、應用安全、數據安全。
軟體安全開發:主要包括軟體安全開發生命周期、軟體安全需求及設計、軟體安全交付、軟體安全測試。
CISP報名要求: 1.教育與工作經歷:碩士研究生以上,具有1年工作經歷;或本科畢業,具有2年工作經歷;或大專畢業,具有4年工作經歷。
2. 專業工作經歷,至少具備1年從事信息安全有關的工作經歷。
CISP培訓收益:
信息安全企業
提升專業服務資質、能力、競爭力
政府、企事業單位IT管理部門
提升信息安全管理能力,防範信息安全風險
信息安全、IT管理從業人員
提升職業能力、招聘市場競爭力
4. 信息系統審計方法了解嗎
計算機信息系統環來境下審計技術方法自與手工環境下傳統的審計技術方法相比,相應增加了計算機技術的內容。對信息系統審計的方法既包括一般方法即手工方法,也包括應用計算機審計的方法。例如,北京時代新威信息技術有限公司以信息系統審計服務、信息系統審計工具研發和信息系統審計師培訓為核心業務是信息系統審計解決方案提供商,信息系統審計的一般方法主要用於對信息系統的了解和描述,包括:面談法、系統文檔審閱法、觀察法、計算機系統文字描述法、表格描述法、圖形描述法等。應用計算機的方法一般用於對信息系統的控制測試,包括:測試數據法、平行模擬法、在線連續審計技術(通過嵌入審計模塊實現)、綜合測試法、受控處理法和受控再處理法等。應用計算機技術的審計方法主要是指計算機輔助審計技術與工具的運用。但不能把計算機輔助審計技術與工具的使用過程與信息系統審計等同起來。在信息系統審計的過程中,仍然需要運用大量的手工審計技術。
5. 災備的介紹
整個災備行業的起源應該是在70年代,1979年,SunGard在美國費城建立了全世界第一個災備中心,當內時大家關注容的主要就是企業IT這一塊,比如數據備份和系統備份等;後來,IT備份發展到了災難恢復規劃(DRP),在IT備份中加入了災難恢復預案、資源需求、災備中心管理,形成了對生產運行中心的保障概念;再後來,人們把災難恢復從IT角度逐漸轉向了業務的角度,用業務來衡量災備目標:哪些業務最重要?哪些業務可容忍的恢復時間最短?除了IT支撐之外,災備中加入了業務影響分析、策略制定、業務恢復預案、人員架構、通信保障、第三方合作機構等,成為了業務連續性規劃(BCP);在911事件之後,災備再進一步,除了面向業務,還有了緊急事件響應、危機公關和供應鏈危機管理等等,都考慮了進去。
6. GDS萬國數據的理念
公司願景
矢志成為亞太地區數據中心服務的領軍企業
公司使命
提供一流的IT外包服務,助力客戶業務高速成長
專注
專注於IT服務外包,持續提升業務連續管理咨詢能力與災難恢復外包服務能力,為企業提供高可用性的服務
專業
建立中國最專業的IT外包服務管理團隊
建立中國最專業的災難備份中心運營團隊
打造深入了解中國國情的CBCP專家領軍的專業咨詢團隊
吸引並培養對行業有深入理解的專家人才
引入國際IT服務管理的最佳方法和理論,建立滿足客戶高可用性要求的服務體系和規范
建立覆蓋全國的高可用性基礎設施網路,為客戶提供服務水平承諾
協作
在公司內部提倡協作精神,建立一支高服務質量的積極進取的專業團隊
與客戶保持良好的協作關系,提供主動式服務,以客戶為中心,以服務質量為核心目標
跟蹤行業最新發展,與產品廠商保持協作關系,建立學習型組織,不斷提升服務管理水平
成功
成為國內領先的災難恢復服務和業務連續管理服務提供商
成為國內領先的IT外包服務提供商
以高質量的服務水平,降低客戶成本,提升價值,使客戶專注於核心業務,實現雙贏,與客戶共同走向成功
2000年,GDS在深圳觀瀾規劃、設計、開始建設符合國際標準的商業化災備中心。
2002年,GDS成功為深圳發展銀行提供了災難恢復外包服務,包括業務分析、風險評估、災難恢復系統設計、測試、實施及演練和災難恢復計劃制定等一整套業務連續和災難恢復服務。該項目開創了國內災難恢復外包服務的先例。
2003年5月,GDS首家獲得公安部和人民銀行共同頒發的「銀行數據中心災難備份外包服務資質」證書。
2004年6月,GDS為深圳市政府災難備份及網路交互中心提供災難恢復設計、實施和運營咨詢服務,該項目為國內第一個政府災難恢復咨詢服務案例。
2004年8月,GDS為海富通基金管理公司實施了遠程異地災難恢復服務,該項目為國內第一個基金管理公司災難恢復外包案例。
2004年9月,GDS作為唯一一家商業機構,受邀與國內八大重點行業協助國務院信息化工作辦公室起草《重要信息系統災難恢復指南》。
2004年12月,GDS與國際災難恢復組織DRI Asia結為戰略合作聯盟。
2005年2月,GDS技術、咨詢和運維團隊在美國接受SunGard公司的專業技術培訓,並獲認證。
2005年4月,GDS為首創安泰人壽保險公司提供遠程異地災難恢復外包服務,該項目為國內第一個保險行業災難恢復外包案例。
2005年5月,GDS成功協助舉辦「首屆中國災難恢復行業高層論壇」,配合國務院信息化工作辦公室宣貫《重要信息系統災難恢復指南》。
2005年5月,GDS被中國信息化推進聯盟評為「中國業務連續管理最佳服務商」,這是本屆年會頒發的唯一一個業務聯續性管理獎項。
2005年9月,GDS開始為交通銀行總行實施應急管理咨詢項目。
2005年12月,GDS中標某大型國有商業銀行業務連續性BCP咨詢項目,為其提供業務連續管理咨詢服務。
2005年12月,GDS通過英國國際標准協會(BSI)的ISO9001認證,GDS的數據中心也同時通過了BSI的ISO27001認證。
2006年2月,在國家信息化評測中心主辦的「2005年度中國企業信息化500強大會」上,GDS萬國數據被評為唯一「最佳災難恢復服務提供商」。
2006年6月,GDS萬國數據中標廣東發展銀行災難備份中心運營外包項目。
2006年7月,國內災難恢復行業第一本專業書籍《信息系統災難恢復的規劃與實施》正式出版。GDS萬國數據的專家參與了此書的編寫。
2006年8月,GDS萬國數據被中國石油和化工協會推介為石油和化工行業信息化服務單位。
2006年11月,GDS萬國數據中標國家開發銀行數據中心建設及運維和外包服務項目。
2006年11月,GDS萬國數據中標國家稅務總局金稅工程(三期)容災備份系統方案咨詢項目。
2007年2月,在「2006年度中國企業信息化500強大會」上,GDS萬國數據再度被評為「最佳業務連續與災難恢復服務提供商」;同時,GDS萬國數據和組辦方共同成功舉辦了「首屆大型企業災難恢復模擬演練」,近百名信息化500強企業的代表參與了此次演練。
2007年2月,GDS萬國數據中標華夏銀行大集中工程災難備份咨詢項目。
2007年3月,GDS萬國數據成功獲得國際金融公司(IFC)、軟銀中國和光大控股等著名投資機構的第二輪融資。融資將繼續助力GDS萬國數據領跑於中國災難恢復行業及IT外包服務行業。
2007年4月,GDS萬國數據中標深圳發展銀行新一期災難備份同城和異地服務項目。這是深圳發展銀行對GDS萬國數據從2002年以來提供專業服務的充分肯定。
2007年4月,GDS萬國數據簽署意向協議投資8億在成都開始建設高可用性數據中心,這是亞洲目前為止建設規模最大的數據中心。
2007年6月,GDS萬國數據與西安高新區舉行合作簽約儀式,GDS萬國數據作為西安高新區唯一戰略合作夥伴將在西安高新區建立大型高可用性數據中心。建成的高可用性基礎設施將具備數據處理中心和災難備份中心的功能,為國內電子政務、大型企事業單位和境外企業等提供專業的高可用性基礎設施服務。
2007年6月,在「2007中國軟體和信息服務外包年會」上,GDS萬國數據榮獲 「第三屆中國軟體和信息服務外包貢獻獎」之「傑出IT外包服務貢獻獎」。
2007年6月,GDS萬國數據BS7799認證成功轉版為ISO27001。
2007年9月,GDS萬國數據為深圳發展銀行實施的災難備份外包項目榮獲2007業務連續性管理十大樣板工程獎。
2008年1月,GDS萬國數據通過了中國信息安全產品測評認證中心的審核,成功獲得國家信息安全認證」信息安全服務資質(災難恢復類)一級證書「,這是國內災難恢復行業的第一份信息安全服務資質認證。
7. 業務連續性計劃的業務連續性計劃的運作流程
BCP運作共有6個階段,分別為:1、項目初始化、2、風險分析及業務影響、3、策略及實施、4、BCP開發、5、培訓計劃、6、測試及維護。
1、項目初始化
2、風險分析及業務影響分析
3、業務持續性策略及實施
4、BCP開發
5、培訓計劃
6、測試及維護
進行演示及有規律的測試,增強信心及效率,確保其相關的文檔時常更新。
(1)BCP的測試
制定好的BCP需要進行適當地測試才能投入使用。這一過程必須經常周期性地進行。省略了這一過程就意味著BCP只能等災難實際發生之後進行實地測試,這樣做的風險太大,恐怕任何一家企業都不敢做這種嘗試。
規劃一次BCP測試需要規定以下事項:
· 測試腳本——將可能發生的災難定義為測試的一個部分。
· 測試計劃——定義檢查程序、各種測試腳本、任務的類型、任務的參與者,比如說主要團隊或者主要團隊與預備團隊的混合行動。
簡而言之,在測試BCP時,需要執行下列行動
(2)BCP的維護
一個BCP必須周期性地加以檢查和維護。一旦有新的系統、新的業務流程、或者新的商業行動計劃加入企業的生產系統或者信息系統,引起企業整體系統發生變化時,就更應該強制啟動這種檢查程序。除此之外,像聯系人名單的更改這樣微小的變動都可能觸發BCP計劃的更新。
每一次在進行這種檢查程序時,最好是與對BCP的改進相互結合。例如,在測試過程中發現的問題、企業為了實現連續性對機構所作的調整,或者在保持業務連續性測試時發現了更好的行動方式和計劃等等。因此,BCP的維護應該是變化和改進的結合與不斷促進。
每一次對BCP計劃所作的改動都應該及時通知所有的BCP團隊,並具體落實到每一次的培訓和測試過程中去。
最後,與業務連續性相關的資源——人和設備——也會受到維護的影響。人員會通過培訓和測試程序受到影響,設備會通過維護程序受到影響。只有當這些資源始終處於良好狀態,才能在危機發生時成為可靠和可依賴的資源。
公司沒有業務持續計劃就象是不設防,不可能阻止任何不可預測的破壞所造成的各種損失。所以公司必須認真的對待業務持續計劃。
8. CISP培訓都包含哪些內容
年起來cissp認證的考核的CBK方向
• 安全與源風險管理 (安全、風險、合規、法律、法規、業務連續性)
• 資產安全 (保護資產的安全性)
• 安全工程 (安全工程與管理)
• 通信與網路安全 (設計和保護網路安全 )
• 身份與訪問管理 (訪問控制和身份管理 )
• 安全評估與測試 (設計、執行和分析安全測試)
• 安全運營 (基本概念、調查、事件管理、災難恢復)
• 軟體開發安全 (理解、應用、和實施軟體安全)
谷安備注說明:
• 新版考試知識域的內容偏向於新威脅、新技術和法律法規;
• 知識域也從原來的信息安全知識的傳遞轉向於具體的信息安全工作實踐;
• 知識域新增了兩個:資產安全、安全評估和測試(其他的領域做了整合,見附件);
• 考試過程中還是不會考具體某家廠商的技術和產品,但是會考國際標准
• 新版考試的時間:英語從2015年4月15日開始,中文從2015年7月1日開始;
9. 淺談如何開展計算機信息系統審計
未來一段時期內,審計機關要想完成「全面審計,突出重點」的審計目標,擔負起社會經濟運行的「免疫系統」作用,就必須要使信息系統審計有所作為,這迫使我們必須加快信息系統審計的步伐。
信息系統審計是一個獲取並評價證據,以判斷信息系統是否能夠保證資產的安全、數據的完整,以及有效率地利用組織的資源並有效果地實現組織目標的過程(國際信息系統審計與控制協會ISACA的定義)。目前審計機關信息系統審計主要有兩種方式,一種是將信息系統審計作為常規審計的一部分,為實現審計項目的總體目標服務,即數據審計、信息系統審計和系統內部控制審計「三位一體」的結合方式。信息系統審計和系統內部控制審計為數據審計服務,通過審計數據得出結論。另一種是獨立立項的,直接審計信息系統本身的安全性、可靠性和有效性。
二、開展信息系統審計的緊迫性
信息系統審計作為國家審計機關的一項重要工作,是信息化發展到一定程度的必然產物。
(一)開展信息系統審計是控制審計風險的要求。近幾年,審計紙質賬目時,內部控制也要審計,不能假賬真審。同樣的道理也不能假電子數據真審,如果被審計單位運載電子數據的信息系統的安全性、可靠性和有效性出現了問題,計算機數據審計就會存在風險,系統的可信與可靠程度是數據審計得以進行的前提和最終實現的基本條件。
(二)開展信息系統審計是全面履行審計職責的要求。信息化環境下的審計,電子數據、信息系統、系統內部控制審計必須「三位一體」,在審計過程中,這三項內容不能少。只有這樣,我們才能完成「全面審計,突出重點」的要求,全面履行審計職責。
(一)提高全體審計人員信息系統審計的意識。
「審計人員不掌握計算機技術,將失去審計資格」這一觀點基本得到了八萬審計人員的認同,這些年計算機在審計領域得到了普遍的應用,數據審計得到了有力的推進,但大多數人對於信息系統審計的認識還不到位,對開展信息系統審計的必要性、緊迫性認識不足,甚至對開展信息系統審計的可行性持懷疑態度。為保證信息系統產生的數據真實完整,信息系統的安全、可靠和有效,重大的審計項目,只要被審計單位應用的是信息系統,我們就必須審計信息系統,檢查系統內部控制,只有這樣才能防止假賬真審。
(二)重視計算機信息系統審計人才的培養,不斷提高其審計技能。
計算機信息系統審計對審計人員的專業技能要求較高,除了需要審計人員具備相應的審計技能外,還要具備較高的計算機水平。計算機信息系統審計人員的獲得有兩個渠道,一是在配備人員時就將計算機技能作為一個必要條件,在實際工作中不斷培養其審計技能;二是對現有審計人員進行計算機知識的培訓,增強其信息技術審計能力。由於計算機技術涉及的范圍廣、技術復雜性強、計算機信息技術快速發展的特點,決定了不論以何種方式獲得的信息技術審計人員,都要對其進行持續不斷的後續教育。
(三)信息系統審計應重點關注三個環節
(1)內部控制環節。
在計算機系統中,應檢查以下方面來證明內控制度的有效性:1.控制系統資源的存取。包括物理資源,例如終端、伺服器、連接盒、相關文檔等;還包括邏輯資源,如軟體、系統文件和表、數據等。2.控制系統資源的使用。用戶應該只能對授權給他們的那些資源進行操作。3.建立按用戶職能分配資源的制度。把重要的任務功能按用戶或用戶組進行分離,以減少無意的誤操作、濫用系統資源和對數據的非授權修改。4.記錄系統的使用情況。按時間順序建立一個使用記錄,記錄內容應包括例外事例和與安全有關的事件是由誰觸發的,財務信息的創建、修改和刪除是由誰完成的。5.確認處理過程的准確性。用產生財務控制信息,確認處理過程的准確完成。6.管理人員對財務信息系統的修改。應該保證財務信息系統的所有修改都是經過授權、有文檔記錄、經過徹底(獨立地)測試的,確認最後以一種有控制的方式投入使用。7.保護財務信息系統免遭計算機病毒的襲擊。必須建立一套控制措施,檢測病毒,防止病毒感染財務信息系統。
(2)數據環節。
在審計中,審計人員選擇一些交易對其進行詳細檢查,確認交易記錄是否符合一般的審計目標。一是檢查會計事項信息,要檢查它的完整性、時效性、合規性和信息披露等方面,檢查內容包括與本會計年度有關的交易是否全部記錄在冊;所有記錄的交易是否都是合理發生的並與本會計年度有關;記錄的交易是否數據准確,計算無誤:記錄的交易是否符合基本的和輔助的法律規定,符合特定權威機構的要求;對記錄的交易是否進行正確的分類,並符合信息對外披露的要求等。二是檢查財務報表信息,要檢查完整性、存在性、會計計量、所有權以及信息披露等方面,檢查內容包括是否記錄了所有的資產和負債:所有記錄的資產和負債是否都是存在的;對資產和負債的計量是否精確,計算方法是否符合按合理性、一致的標准制定的會計政策的要求:確認資產是被審主體所有的、負債是被審主體應該承擔的,並且資產和負債是否由合法的經濟活動產生的;資產、負債、資本和存貨是否都得到正確的披露。同時對信息系統提供的業務信息也要進行分析,例如每月的工資總數、某階段的付款清單和訂貨信息等,要弄清基本的交易情況,並一直追蹤到信息源。對上述信息的分析可以採用計算機輔助審計技術,按照特定的標准對數據進行匯總、分類、排序、比較和選擇,並進行各種運算。
(3)數據傳輸轉移環節.
在信息系統中,有些數據需要在兩個財務信息系統或財務信息系統與業務信息系統之間相互轉移,在此過程中可能會出現一些問題,尤其是在需要手工重新錄入時。因此在審計時要重點關注以下方面:在轉移過程中數據可能會發生變化;新的科目代碼表與老的可能不一樣,需要在兩個財務信息系統之間建立復雜的對應關系:中心資料庫可能被一些地理上分散的伺服器取代;當前財務信息系統中的數據質量不佳;當用一個總的信息系統取代一個預定財務信息系統時,需要補充許多新的數據。在檢查這一環節時,一定要保證輸出的消息是經過批准、完整和精確的,保證輸出的消息在約定時間內准確地發送給指定的接收者,保證流人的消息是完整、准確和真實可靠的。