本文目录导读:

CISP-PU(注册信息安全专业人员-公共管理方向)是国家信息安全测评中心推出的针对关键信息基础设施(关基)安全管理的专业认证,其公共管理框架主要围绕安全运营、风险管理、合规管理、应急响应等核心领域构建,旨在提升关基运营者(CIIO)的管理能力。
以下是该框架的主要内容及结构解析:
框架核心定位
CISP-PU 的公共管理框架并非纯技术框架,而是管理与技术融合的框架,重点解决“如何管”而非“如何做”,它基于《网络安全法》、《关键信息基础设施安全保护条例》等国内法规,并参考了 NIST、ISO 27001 等国际标准。
框架四大核心模块
安全保护与运营管理(基石)
- 资产与供应链管理:识别关基资产,建立资产台账;管理供应商及第三方服务的安全风险。
- 安全策略与制度:制定符合关基要求的网络安全策略、管理制度及操作流程。
- 日常运营:包括安全监控、日志审计、漏洞扫描与修复、配置管理等。
- 安全开发与集成:确保关基系统在新建、改造、升级阶段满足安全要求(安全左移)。
风险管理与合规管理(抓手)
- 风险评估:对关基系统进行资产、威胁、脆弱性、业务影响分析,形成风险清单。
- 合规审查:对标《网络安全等级保护2.0》、《关基保护条例》及行业标准(如金融、电力、交通等),进行自查与整改。
- 安全认证与审计:配合国家及行业监管部门的检查、渗透测试、符合性评估。
应急响应与事件管理(底线)
- 应急预案制定:编制覆盖网络攻击、设备故障、数据泄露的专项预案。
- 演练与模拟:定期开展桌面推演或实战模拟,提升团队协同能力。
- 事件处置:基于PDCA(计划-执行-检查-处理)循环,完成发现、上报、定级、分析、遏制、取证、恢复、总结全流程。
- 事后改进:分析根因并纳入持续改进流程。
数据安全与个人信息保护(重点)
- 数据分类分级:对关基系统中的核心业务数据、用户隐私数据进行分类。
- 数据全生命周期安全:涉及采集、存储、使用、传输、销毁各环节的安全控制。
- 跨境数据管理:针对关基数据出境场景,评估并确保符合《数据出境安全评估办法》等要求。
框架的典型应用场景
| 场景 | 框架应用点 |
|---|---|
| 新建关基系统 | 在规划阶段嵌入安全架构设计(安全开发管理模块) |
| 日常运维 | 利用运营管理模块进行漏洞全生命周期闭环 |
| 遭受攻击后 | 启动应急响应模块,完成取证、恢复与报告 |
| 监管检查 | 借助合规管理模块快速完成自查与整改材料准备 |
学习与备考建议(针对认证)
- 重点理解:关基条例中的“运营者责任”(如每年至少一次风险评估、安全事件1小时内上报)。
- 结合案例:关基泄露事件(如能源、通信行业案例)中,分析管理失效环节(如权限管控、第三方审计缺失)。
- 关注术语:CIIO、安全保护能力成熟度模型、供应链安全“白名单”机制。
与通用安全框架的区别
- 比ISO 27001更强调“强制合规”:法律后果(如约谈、罚款、吊销资格)在框架中权重更高。
- 比CIS Controls更偏“管理控制”:技术控制(如防火墙规则)须与管理制度、岗位职责绑定。
CISP-PU的公共管理框架本质是“以合规为前提,以风险为导向,以运营为核心”的闭环管理体系,对于关基运营者而言,掌握该框架意味着能设计出兼顾业务连续性与国家安全保护的管理方案。
如果你需要针对某个具体模块(如供应链风险管理或应急响应流程)的细化内容,我可以进一步为你展开。