CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類(lèi)，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識(shí)點(diǎn)梳理，詳情如下：

第三章：知識(shí)域：信息安全管理

3.3知識(shí)子域：信息安全管理體系建設(shè)

3.3.1信息安全管理體系成功因素

信息安全管理就是風(fēng)險(xiǎn)管理，信息安全控制措施的本質(zhì)就是風(fēng)險(xiǎn)處置

3.3.2 PDCA過(guò)程

信息安全管理體系采用通用的PDCA（plan-do-check-act或者plan-do-check-adjust）過(guò)程方法，PDCA過(guò)程方法也稱(chēng)為戴明環(huán)，由美國(guó)質(zhì)量管理希賽網(wǎng)戴明博士首先提出

PDCA循環(huán)的4個(gè)階段，策劃-實(shí)施-檢查-改進(jìn)

3.3.3信息安全管理體系建設(shè)過(guò)程

1.規(guī)劃與建立

（1）組織背景

建立組織背景時(shí)建立信息安全管理體系的基礎(chǔ)，首先應(yīng)該了解組織有關(guān)信息安全的內(nèi)部和外部問(wèn)題，以及影響組織建立體系時(shí)需要解決的內(nèi)部和外部問(wèn)題

（2）領(lǐng)導(dǎo)力

管理承諾時(shí)建立信息安全管理體系的關(guān)鍵成功因素之一

（3）計(jì)劃

計(jì)劃的建立時(shí)在風(fēng)險(xiǎn)評(píng)估基礎(chǔ)之上

組織的計(jì)劃必須符合組織的安全目標(biāo)

（4）支持

組織在建立信息安全管理體系中需要獲得資源以建立、實(shí)施、保持和持續(xù)改進(jìn)ISMS

2.實(shí)施與運(yùn)行

3.監(jiān)視與評(píng)審

組織需要通過(guò)根據(jù)組織政策和目標(biāo)，監(jiān)控和評(píng)估績(jī)效來(lái)維護(hù)和改進(jìn)ISMS，并將結(jié)果報(bào)告給管理層進(jìn)行審核

（1）監(jiān)測(cè)、測(cè)量、分析和評(píng)價(jià)

在評(píng)價(jià)信息安全性能和ISMS的有效性時(shí)，應(yīng)該確定需要檢測(cè)和測(cè)量的對(duì)象

選擇適用的監(jiān)測(cè)、測(cè)量、分析和評(píng)價(jià)方法以確保有效的結(jié)果

（2）內(nèi)部審核

內(nèi)部審計(jì)目的是提供信息確定ISMS是否符合組織自身對(duì)ISMS的要求和對(duì)本國(guó)際標(biāo)準(zhǔn)的要求

（3）管理評(píng)審

組織的管理者按計(jì)劃的時(shí)間間隔評(píng)審組織的ISMS，確保其持續(xù)的適宜性、充分性和有效性

管理評(píng)審的輸出應(yīng)包括持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定和任何ISMS需要的變化

4.維護(hù)和改進(jìn)

（1）不符合和糾正措施

（2）持續(xù)改進(jìn)

3.3.4文檔化

1.體系文件分類(lèi)

體系文件的分類(lèi)一級(jí)文件（目標(biāo)）：方針、政策

二級(jí)文件（措施）：制度、流程、規(guī)范

三級(jí)文件（執(zhí)行）：使用手冊(cè)、操作指南、作業(yè)指導(dǎo)書(shū)

四級(jí)文件（結(jié)果）：日志、記錄、檢查表、模板、表單

管理體系的文檔化分為文件和記錄兩部分。文件是管理體系審核的依據(jù)，記錄時(shí)管理體系審核的證據(jù)

層次化的文件結(jié)構(gòu)時(shí)構(gòu)成管理體系的重要內(nèi)容之一，通常文件分為4個(gè)層級(jí)

一級(jí)文件：由高級(jí)管理層發(fā)布

二級(jí)文件：由組織管理者代表簽署發(fā)布；二級(jí)文件發(fā)布范圍通常在組織內(nèi)部

三級(jí)文件：包括員工具體執(zhí)行所需的手冊(cè)、指南和作業(yè)指導(dǎo)書(shū)

四級(jí)文件：為了有效支撐文件的執(zhí)行，文件必須包含記錄

2.文件控制

（1）文件的建立

只有在有風(fēng)險(xiǎn)的地方才需要建立文件

（2）文件的批準(zhǔn)與發(fā)布

（3）文件的評(píng)審與更新

（4）文件保存

（5）文件作廢

防止作廢文件的非預(yù)期使用

3.記錄管理

（1）記錄的作用

（2）記錄的管理

應(yīng)保留過(guò)程執(zhí)行記錄和所有與信息安全管理體系有關(guān)的安全事故發(fā)生的記錄。