cisp培训业务连续性规划bcp
1. CISP培训都需要学习什么内容
注册信息安全专业人员 (Certified Information
Security Professio-nal, CISP)是中国信息安全测评中心应国家信息安全保障工作之需,
推出的一项提高我国信息安全从业人员素质的专业人才培训认证服务。 经过近10年发展, CISP已经成为信息安全专业人员进行资质评定的权威品牌。
优惠政策:2020.5.1~12.31期间报名参加CISP培训考试的人员(除CISM、NISP以外)给予费用25%的优惠;2020.6.1~12.31期间部分革命老区及其存在贫困县村的总计40个地级行政单位内报名参加CISP培训考试的人员(除CISM、NISP以外),额外给予费用25%的优惠。
可以去问一下赛虎学院 官网
2. cisp证书是培训五天吗
CISP证书大部分培训都是五天培训,然后第六天考试,最后还可以休息一天。比较人性化。
赛虎学院CISP为您解答。
3. CISP-F是什么
一、CISP认证
培训组织:经中国信息安全测评中心统一授权组织,由中国信息安全测评中心授权培训机构进行具体培训实施,培训学习时间为6天。 是国家对信息安全人员资质的最高认可》
资质简介:国家注册信息安全专业人员(Certified Information Security Professional,简称CISP),分为三类“注册信息安全工程师(CISE)”、“注册信息安全管理人员(CISO)”、“注册信息安全审核员(CISA)”等领域。
适合人群:信息安全管理人员、信息安全技术人员、信息安全服务人员、IT运维人员、网络安全顾问、网络安全开发人员、信息安全~
CISP考试形式:
考试时长:2个小时(120分钟),考试题型:100个选择题。(注:70分以上通过)
资质用途:CISP是我国信息安全从业人员及专业资深人员最高级别的能力认证、资质认证。CISE主要从事信息安全技术开发服务工程建设等工作,CISO从事信息安全管理等相关工作,CISA从事信息系统的安全性审核或评估等工作。同时该资质是办理企业信息安全工程服务能力资质的必备基础要求。
适用对象:这三类注册信息安全专业人员是有关信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全测评中心实施注册。
课题体系:本课程涵盖CISP考试大纲五大知识体系,分别包括:信息安全法律法规和标准、信息安全保障体系及模型、信息安全技术及实践、信息安全管理及实践,以及信息安全工程。培训采用理论与实际相结合的教学方法,以讲为主,结合互动及讨论等形式授课;为学员提供互动交流的平台,全面系统地理解和掌握信息安全方面的知识,为通过CISP注册做好充分的准备。
CISP培训内容: CISP知识体系结构共包含八个知识类,分别为:
信息安全保障:介绍了信息安全概念、信息安全保障的框架两块内容。主要包括信息安全概念、信息安全属性、信息安全视角、信息安全发展阶段、安全保障新领域,它是注册信息安全专业人员首先需要掌握的基础知识。
信息安全监管:主要包括网络安全法律体系建设、国家网络安全政策、网络安全道德准则、信息安全标准。
安全支撑技术:主要包括密码学、身份鉴别、访问控制。
安全工程与运营:主要包括系统安全工程、安全运营、内容安全、社会工程学与培训教育。
信息安全管理:主要包括信息安全管理基础、信息安全风险管理、安全管理体系建设、安全管理体系最佳实践、信息安全管理体系体系。
物理与网络通信安全:主要包括物理安全、OSI通信模型、TCP/IP协议安全、无线通信安全、典型网络攻击防范、网络安全防护技术。
业务连续性:主要包括业务连续性、信息安全应急响应、灾难备份与恢复。
安全评估:主要包括安全评估基础、安全评估实施、信息系统审计。
计算环境安全:主要包括操作系统安全、信息收集与系统攻击、恶意代码防护、应用安全、数据安全。
软件安全开发:主要包括软件安全开发生命周期、软件安全需求及设计、软件安全交付、软件安全测试。
CISP报名要求: 1.教育与工作经历:硕士研究生以上,具有1年工作经历;或本科毕业,具有2年工作经历;或大专毕业,具有4年工作经历。
2. 专业工作经历,至少具备1年从事信息安全有关的工作经历。
CISP培训收益:
信息安全企业
提升专业服务资质、能力、竞争力
政府、企事业单位IT管理部门
提升信息安全管理能力,防范信息安全风险
信息安全、IT管理从业人员
提升职业能力、招聘市场竞争力
4. 信息系统审计方法了解吗
计算机信息系统环来境下审计技术方法自与手工环境下传统的审计技术方法相比,相应增加了计算机技术的内容。对信息系统审计的方法既包括一般方法即手工方法,也包括应用计算机审计的方法。例如,北京时代新威信息技术有限公司以信息系统审计服务、信息系统审计工具研发和信息系统审计师培训为核心业务是信息系统审计解决方案提供商,信息系统审计的一般方法主要用于对信息系统的了解和描述,包括:面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。应用计算机的方法一般用于对信息系统的控制测试,包括:测试数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试法、受控处理法和受控再处理法等。应用计算机技术的审计方法主要是指计算机辅助审计技术与工具的运用。但不能把计算机辅助审计技术与工具的使用过程与信息系统审计等同起来。在信息系统审计的过程中,仍然需要运用大量的手工审计技术。
5. 灾备的介绍
整个灾备行业的起源应该是在70年代,1979年,SunGard在美国费城建立了全世界第一个灾备中心,当内时大家关注容的主要就是企业IT这一块,比如数据备份和系统备份等;后来,IT备份发展到了灾难恢复规划(DRP),在IT备份中加入了灾难恢复预案、资源需求、灾备中心管理,形成了对生产运行中心的保障概念;再后来,人们把灾难恢复从IT角度逐渐转向了业务的角度,用业务来衡量灾备目标:哪些业务最重要?哪些业务可容忍的恢复时间最短?除了IT支撑之外,灾备中加入了业务影响分析、策略制定、业务恢复预案、人员架构、通信保障、第三方合作机构等,成为了业务连续性规划(BCP);在911事件之后,灾备再进一步,除了面向业务,还有了紧急事件响应、危机公关和供应链危机管理等等,都考虑了进去。
6. GDS万国数据的理念
公司愿景
矢志成为亚太地区数据中心服务的领军企业
公司使命
提供一流的IT外包服务,助力客户业务高速成长
专注
专注于IT服务外包,持续提升业务连续管理咨询能力与灾难恢复外包服务能力,为企业提供高可用性的服务
专业
建立中国最专业的IT外包服务管理团队
建立中国最专业的灾难备份中心运营团队
打造深入了解中国国情的CBCP专家领军的专业咨询团队
吸引并培养对行业有深入理解的专家人才
引入国际IT服务管理的最佳方法和理论,建立满足客户高可用性要求的服务体系和规范
建立覆盖全国的高可用性基础设施网络,为客户提供服务水平承诺
协作
在公司内部提倡协作精神,建立一支高服务质量的积极进取的专业团队
与客户保持良好的协作关系,提供主动式服务,以客户为中心,以服务质量为核心目标
跟踪行业最新发展,与产品厂商保持协作关系,建立学习型组织,不断提升服务管理水平
成功
成为国内领先的灾难恢复服务和业务连续管理服务提供商
成为国内领先的IT外包服务提供商
以高质量的服务水平,降低客户成本,提升价值,使客户专注于核心业务,实现双赢,与客户共同走向成功
2000年,GDS在深圳观澜规划、设计、开始建设符合国际标准的商业化灾备中心。
2002年,GDS成功为深圳发展银行提供了灾难恢复外包服务,包括业务分析、风险评估、灾难恢复系统设计、测试、实施及演练和灾难恢复计划制定等一整套业务连续和灾难恢复服务。该项目开创了国内灾难恢复外包服务的先例。
2003年5月,GDS首家获得公安部和人民银行共同颁发的“银行数据中心灾难备份外包服务资质”证书。
2004年6月,GDS为深圳市政府灾难备份及网络交互中心提供灾难恢复设计、实施和运营咨询服务,该项目为国内第一个政府灾难恢复咨询服务案例。
2004年8月,GDS为海富通基金管理公司实施了远程异地灾难恢复服务,该项目为国内第一个基金管理公司灾难恢复外包案例。
2004年9月,GDS作为唯一一家商业机构,受邀与国内八大重点行业协助国务院信息化工作办公室起草《重要信息系统灾难恢复指南》。
2004年12月,GDS与国际灾难恢复组织DRI Asia结为战略合作联盟。
2005年2月,GDS技术、咨询和运维团队在美国接受SunGard公司的专业技术培训,并获认证。
2005年4月,GDS为首创安泰人寿保险公司提供远程异地灾难恢复外包服务,该项目为国内第一个保险行业灾难恢复外包案例。
2005年5月,GDS成功协助举办“首届中国灾难恢复行业高层论坛”,配合国务院信息化工作办公室宣贯《重要信息系统灾难恢复指南》。
2005年5月,GDS被中国信息化推进联盟评为“中国业务连续管理最佳服务商”,这是本届年会颁发的唯一一个业务联续性管理奖项。
2005年9月,GDS开始为交通银行总行实施应急管理咨询项目。
2005年12月,GDS中标某大型国有商业银行业务连续性BCP咨询项目,为其提供业务连续管理咨询服务。
2005年12月,GDS通过英国国际标准协会(BSI)的ISO9001认证,GDS的数据中心也同时通过了BSI的ISO27001认证。
2006年2月,在国家信息化评测中心主办的“2005年度中国企业信息化500强大会”上,GDS万国数据被评为唯一“最佳灾难恢复服务提供商”。
2006年6月,GDS万国数据中标广东发展银行灾难备份中心运营外包项目。
2006年7月,国内灾难恢复行业第一本专业书籍《信息系统灾难恢复的规划与实施》正式出版。GDS万国数据的专家参与了此书的编写。
2006年8月,GDS万国数据被中国石油和化工协会推介为石油和化工行业信息化服务单位。
2006年11月,GDS万国数据中标国家开发银行数据中心建设及运维和外包服务项目。
2006年11月,GDS万国数据中标国家税务总局金税工程(三期)容灾备份系统方案咨询项目。
2007年2月,在“2006年度中国企业信息化500强大会”上,GDS万国数据再度被评为“最佳业务连续与灾难恢复服务提供商”;同时,GDS万国数据和组办方共同成功举办了“首届大型企业灾难恢复模拟演练”,近百名信息化500强企业的代表参与了此次演练。
2007年2月,GDS万国数据中标华夏银行大集中工程灾难备份咨询项目。
2007年3月,GDS万国数据成功获得国际金融公司(IFC)、软银中国和光大控股等著名投资机构的第二轮融资。融资将继续助力GDS万国数据领跑于中国灾难恢复行业及IT外包服务行业。
2007年4月,GDS万国数据中标深圳发展银行新一期灾难备份同城和异地服务项目。这是深圳发展银行对GDS万国数据从2002年以来提供专业服务的充分肯定。
2007年4月,GDS万国数据签署意向协议投资8亿在成都开始建设高可用性数据中心,这是亚洲目前为止建设规模最大的数据中心。
2007年6月,GDS万国数据与西安高新区举行合作签约仪式,GDS万国数据作为西安高新区唯一战略合作伙伴将在西安高新区建立大型高可用性数据中心。建成的高可用性基础设施将具备数据处理中心和灾难备份中心的功能,为国内电子政务、大型企事业单位和境外企业等提供专业的高可用性基础设施服务。
2007年6月,在“2007中国软件和信息服务外包年会”上,GDS万国数据荣获 “第三届中国软件和信息服务外包贡献奖”之“杰出IT外包服务贡献奖”。
2007年6月,GDS万国数据BS7799认证成功转版为ISO27001。
2007年9月,GDS万国数据为深圳发展银行实施的灾难备份外包项目荣获2007业务连续性管理十大样板工程奖。
2008年1月,GDS万国数据通过了中国信息安全产品测评认证中心的审核,成功获得国家信息安全认证”信息安全服务资质(灾难恢复类)一级证书“,这是国内灾难恢复行业的第一份信息安全服务资质认证。
7. 业务连续性计划的业务连续性计划的运作流程
BCP运作共有6个阶段,分别为:1、项目初始化、2、风险分析及业务影响、3、策略及实施、4、BCP开发、5、培训计划、6、测试及维护。
1、项目初始化
2、风险分析及业务影响分析
3、业务持续性策略及实施
4、BCP开发
5、培训计划
6、测试及维护
进行演示及有规律的测试,增强信心及效率,确保其相关的文档时常更新。
(1)BCP的测试
制定好的BCP需要进行适当地测试才能投入使用。这一过程必须经常周期性地进行。省略了这一过程就意味着BCP只能等灾难实际发生之后进行实地测试,这样做的风险太大,恐怕任何一家企业都不敢做这种尝试。
规划一次BCP测试需要规定以下事项:
· 测试脚本——将可能发生的灾难定义为测试的一个部分。
· 测试计划——定义检查程序、各种测试脚本、任务的类型、任务的参与者,比如说主要团队或者主要团队与预备团队的混合行动。
简而言之,在测试BCP时,需要执行下列行动
(2)BCP的维护
一个BCP必须周期性地加以检查和维护。一旦有新的系统、新的业务流程、或者新的商业行动计划加入企业的生产系统或者信息系统,引起企业整体系统发生变化时,就更应该强制启动这种检查程序。除此之外,像联系人名单的更改这样微小的变动都可能触发BCP计划的更新。
每一次在进行这种检查程序时,最好是与对BCP的改进相互结合。例如,在测试过程中发现的问题、企业为了实现连续性对机构所作的调整,或者在保持业务连续性测试时发现了更好的行动方式和计划等等。因此,BCP的维护应该是变化和改进的结合与不断促进。
每一次对BCP计划所作的改动都应该及时通知所有的BCP团队,并具体落实到每一次的培训和测试过程中去。
最后,与业务连续性相关的资源——人和设备——也会受到维护的影响。人员会通过培训和测试程序受到影响,设备会通过维护程序受到影响。只有当这些资源始终处于良好状态,才能在危机发生时成为可靠和可依赖的资源。
公司没有业务持续计划就象是不设防,不可能阻止任何不可预测的破坏所造成的各种损失。所以公司必须认真的对待业务持续计划。
8. CISP培训都包含哪些内容
年起来cissp认证的考核的CBK方向
• 安全与源风险管理 (安全、风险、合规、法律、法规、业务连续性)
• 资产安全 (保护资产的安全性)
• 安全工程 (安全工程与管理)
• 通信与网络安全 (设计和保护网络安全 )
• 身份与访问管理 (访问控制和身份管理 )
• 安全评估与测试 (设计、执行和分析安全测试)
• 安全运营 (基本概念、调查、事件管理、灾难恢复)
• 软件开发安全 (理解、应用、和实施软件安全)
谷安备注说明:
• 新版考试知识域的内容偏向于新威胁、新技术和法律法规;
• 知识域也从原来的信息安全知识的传递转向于具体的信息安全工作实践;
• 知识域新增了两个:资产安全、安全评估和测试(其他的领域做了整合,见附件);
• 考试过程中还是不会考具体某家厂商的技术和产品,但是会考国际标准
• 新版考试的时间:英语从2015年4月15日开始,中文从2015年7月1日开始;
9. 浅谈如何开展计算机信息系统审计
未来一段时期内,审计机关要想完成“全面审计,突出重点”的审计目标,担负起社会经济运行的“免疫系统”作用,就必须要使信息系统审计有所作为,这迫使我们必须加快信息系统审计的步伐。
信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程(国际信息系统审计与控制协会ISACA的定义)。目前审计机关信息系统审计主要有两种方式,一种是将信息系统审计作为常规审计的一部分,为实现审计项目的总体目标服务,即数据审计、信息系统审计和系统内部控制审计“三位一体”的结合方式。信息系统审计和系统内部控制审计为数据审计服务,通过审计数据得出结论。另一种是独立立项的,直接审计信息系统本身的安全性、可靠性和有效性。
二、开展信息系统审计的紧迫性
信息系统审计作为国家审计机关的一项重要工作,是信息化发展到一定程度的必然产物。
(一)开展信息系统审计是控制审计风险的要求。近几年,审计纸质账目时,内部控制也要审计,不能假账真审。同样的道理也不能假电子数据真审,如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题,计算机数据审计就会存在风险,系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。
(二)开展信息系统审计是全面履行审计职责的要求。信息化环境下的审计,电子数据、信息系统、系统内部控制审计必须“三位一体”,在审计过程中,这三项内容不能少。只有这样,我们才能完成“全面审计,突出重点”的要求,全面履行审计职责。
(一)提高全体审计人员信息系统审计的意识。
“审计人员不掌握计算机技术,将失去审计资格”这一观点基本得到了八万审计人员的认同,这些年计算机在审计领域得到了普遍的应用,数据审计得到了有力的推进,但大多数人对于信息系统审计的认识还不到位,对开展信息系统审计的必要性、紧迫性认识不足,甚至对开展信息系统审计的可行性持怀疑态度。为保证信息系统产生的数据真实完整,信息系统的安全、可靠和有效,重大的审计项目,只要被审计单位应用的是信息系统,我们就必须审计信息系统,检查系统内部控制,只有这样才能防止假账真审。
(二)重视计算机信息系统审计人才的培养,不断提高其审计技能。
计算机信息系统审计对审计人员的专业技能要求较高,除了需要审计人员具备相应的审计技能外,还要具备较高的计算机水平。计算机信息系统审计人员的获得有两个渠道,一是在配备人员时就将计算机技能作为一个必要条件,在实际工作中不断培养其审计技能;二是对现有审计人员进行计算机知识的培训,增强其信息技术审计能力。由于计算机技术涉及的范围广、技术复杂性强、计算机信息技术快速发展的特点,决定了不论以何种方式获得的信息技术审计人员,都要对其进行持续不断的后续教育。
(三)信息系统审计应重点关注三个环节
(1)内部控制环节。
在计算机系统中,应检查以下方面来证明内控制度的有效性:1.控制系统资源的存取。包括物理资源,例如终端、服务器、连接盒、相关文档等;还包括逻辑资源,如软件、系统文件和表、数据等。2.控制系统资源的使用。用户应该只能对授权给他们的那些资源进行操作。3.建立按用户职能分配资源的制度。把重要的任务功能按用户或用户组进行分离,以减少无意的误操作、滥用系统资源和对数据的非授权修改。4.记录系统的使用情况。按时间顺序建立一个使用记录,记录内容应包括例外事例和与安全有关的事件是由谁触发的,财务信息的创建、修改和删除是由谁完成的。5.确认处理过程的准确性。用产生财务控制信息,确认处理过程的准确完成。6.管理人员对财务信息系统的修改。应该保证财务信息系统的所有修改都是经过授权、有文档记录、经过彻底(独立地)测试的,确认最后以一种有控制的方式投入使用。7.保护财务信息系统免遭计算机病毒的袭击。必须建立一套控制措施,检测病毒,防止病毒感染财务信息系统。
(2)数据环节。
在审计中,审计人员选择一些交易对其进行详细检查,确认交易记录是否符合一般的审计目标。一是检查会计事项信息,要检查它的完整性、时效性、合规性和信息披露等方面,检查内容包括与本会计年度有关的交易是否全部记录在册;所有记录的交易是否都是合理发生的并与本会计年度有关;记录的交易是否数据准确,计算无误:记录的交易是否符合基本的和辅助的法律规定,符合特定权威机构的要求;对记录的交易是否进行正确的分类,并符合信息对外披露的要求等。二是检查财务报表信息,要检查完整性、存在性、会计计量、所有权以及信息披露等方面,检查内容包括是否记录了所有的资产和负债:所有记录的资产和负债是否都是存在的;对资产和负债的计量是否精确,计算方法是否符合按合理性、一致的标准制定的会计政策的要求:确认资产是被审主体所有的、负债是被审主体应该承担的,并且资产和负债是否由合法的经济活动产生的;资产、负债、资本和存货是否都得到正确的披露。同时对信息系统提供的业务信息也要进行分析,例如每月的工资总数、某阶段的付款清单和订货信息等,要弄清基本的交易情况,并一直追踪到信息源。对上述信息的分析可以采用计算机辅助审计技术,按照特定的标准对数据进行汇总、分类、排序、比较和选择,并进行各种运算。
(3)数据传输转移环节.
在信息系统中,有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移,在此过程中可能会出现一些问题,尤其是在需要手工重新录入时。因此在审计时要重点关注以下方面:在转移过程中数据可能会发生变化;新的科目代码表与老的可能不一样,需要在两个财务信息系统之间建立复杂的对应关系:中心数据库可能被一些地理上分散的服务器取代;当前财务信息系统中的数据质量不佳;当用一个总的信息系统取代一个预定财务信息系统时,需要补充许多新的数据。在检查这一环节时,一定要保证输出的消息是经过批准、完整和精确的,保证输出的消息在约定时间内准确地发送给指定的接收者,保证流人的消息是完整、准确和真实可靠的。