本文目录导读:

CISP-AM(注册信息安全专业人员-资产管理与审计)是中国信息安全测评中心(CISP)体系下的一个专业方向,专注于信息资产管理与审计,虽然“关基”(关键信息基础设施)通常与CISP-CIIPT(关键信息基础设施保护专业人员)关联更紧密,但CISP-AM所建立的资产管理和档案管理框架,是关基保护中“资产识别与分类分级”的基础核心。
关于“关基安全CISP-AM档案管理框架”,通常可以理解为将CISP-AM知识体系中的资产管理方法论,应用于关键信息基础设施的档案建设与管理,其核心框架可分解为以下五个逻辑层次:
核心目标:建立“看得见、管得住、能溯源”的资产档案
在关基场景下,档案管理不仅仅是“台账”,而是为了支撑风险评估、威胁监测、应急响应和合规审计,CISP-AM框架强调:
- 全面性:物理资产、虚拟资产、数据资产、软件资产、服务资产、人员资产等。
- 动态性:档案需随资产变更实时/定期更新。
- 关联性:资产档案必须具备“业务-系统-组件-数据-责任人”的关联关系。
档案管理框架的关键组件(CISP-AM方法论在关基中的映射)
该框架通常包含以下5个核心域:
资产识别与分类分级(关基档案的“骨骼”)
- 识别范围:包括网络设施(DNS、路由)、计算存储设备、安全设备、工业控制系统(ICS/SCADA)、云平台资源、数据资产(公民个人信息、重要业务数据)、供应链服务(SaaS、API接口)。
- 分类标准:依据关基保护条例及GB/T 22239(等保2.0)、GB/T 20984(风险评估规范),将资产分为系统软件、应用软件、硬件设备、数据文档、虚拟资源、人员、服务等大类。
- 分级依据:C、I、A(机密性、完整性、可用性)三性评估,在关基中,A(可用性) 权重极高,但涉及重要数据的场景C(机密性) 同样关键,档案中需标注安全等级(如:核心级、重要级、一般级)。
资产信息采集与建模(档案的“血肉”)
- 基础属性:资产编号、名称、型号、序列号、IP地址、MAC地址、OS版本、中间件版本、物理位置、逻辑位置(VLAN、网段)。
- 关基特有属性:
- 业务连续性属性:RTO(恢复时间目标)、RPO(恢复点目标)。
- 关联关系:所属业务系统、上下游依赖、所承载的业务类型(如:生产调度、交易处理)。
- 供应链信息:厂商、供应商、开源组件列表(SBOM,软件物料清单)。
- 采集方式:自动化(CMDB系统、网络扫描、Agent采集)结合人工登记审核。
档案生命周期管理(全生命周期追溯)
- 创建/入库:新设备入网必须建立档案,包括安全基线配置检查记录。
- 变更/维护:任何软硬件升级、补丁安装、配置修改需触发档案更新,并记录变更审批单。
- 退役/报废:数据擦除、介质销毁记录。关键点:需确保在档案中清除授权关系,并从监控系统中移除,防止出现“幽灵资产”。
审计与合规核查(档案的“验证”)
- 档案真实性审计:定期核对“纸面档案”与“物理/逻辑资产”的一致性。
- 脆弱性关联审计:将CVE漏洞库、安全通告与档案中的软件版本进行自动比对。
- 合规审计:档案是否满足《关键信息基础设施安全保护条例》第10条(要求建立资产档案)、等保2.0三级/四级要求(资产清单、设备台账)。
- 审计留痕:每一次档案访问、修改、查阅的记录。
档案支持与应急联动(档案的“价值”)
- 应急响应支撑:当发生安全事件时,快速从档案中提取受影响资产的IP、位置、负责人、系统版本、备份恢复方案。
- 漏洞闭环管理:档案中的资产列表可直接推送给漏洞扫描系统,形成“发现-定位-修复-验证”闭环。
- 风险管理决策:基于档案的资产权重,计算业务风险值。
关基CISP-AM档案管理的特殊要求(区别于一般企业)
- 高动态性要求:关基资产变化频繁(如云原生环境、容器化部署),档案管理需具备实时或准实时的动态更新能力,不能依赖季度年报。
- 供应链深度:需要记录到每个中间件的版本号、开源许可证、组件依赖关系(SBOM档案)。
- 国家级合规性:必须满足《关基条例》、《网络安全法》、《数据安全法》对重要资产档案的保密要求(通常档案系统本身需重点保护)。
- 容灾与备份:资产档案本身(数据库)需做异地容灾备份,防止档案丢失导致管理盲区。
典型落地框架图(概念)
一个基于CISP-AM的关基档案管理框架通常呈现“三级架构”:
- 一级(管理决策层):基于档案的资产风险评估报表、合规状态仪表盘、应急资源调度视图。
- 二级(核心数据层):CMDB(配置管理数据库)系统,存储所有的结构化资产档案(包括关基特有的业务依赖、安全等级、供应链信息)。
- 三级(采集与执行层):网络扫描、系统Agent、API接口、人工录入终端、工单系统(用于变更触发)。
关基安全CISP-AM档案管理框架的核心在于:将传统的“IT资产管理(ITAM)”上升到“关基安全资产管理”,它不只是一个库存清单,而是一个业务驱动的、动态的、可审计的、面向风险的生命周期管理模型。
如果你需要针对具体行业(如电力、金融、交通)的关基资产分类模板,或者如何利用CISP-AM知识体系统筹关基档案与等保档案的差异,可以进一步说明。