CISP认证的指定教材《注册信息安全专业人员培训教材》主要涉及信息安全管理的内容，主要从信息安全的角度进行阐述管理方向。何谓管理，许多职业经理人认为，从别人身上拿结果就是管理。著名的管理学大师德鲁克说：“所谓管理，就是激发员工身上善意的部分”。而安全管理就是通过设置必要的管理原则、规章制度和必要的度量办法来从制度和流程层面来有效管理组织的信息资产。我们都知道人属于企业资产的一部分，人也是信息安全保障的核心要素之一，我们需要规范人的日常运营和操作行为。

　　那么，建设安全体系的标准作为第一要务，进行有效的监控与监督来管控来不断规范企业员工的信息安全行为呢?国际标准化组织ISO给出了可以为每个企业借鉴的管控标准，即ISO 27000系列标准。比如ISO/IEC 27001的2013版提出14个控制类，113个控制点。这些控制类和控制点覆盖了信息安全行业的基本方面。

　　除了ISO体系，常见的安全风险管理框架还有企业风险治理框架(COSO)和IT治理框架(COBIT)等。CISP的信息安全管理章节重点讲述的是ISO 27002，即信息安全体系控制实施的具体内容。在CISP的书中，关于ISO 27002的具体内容是按照层次化的文档形式来分层展开的，文件分类的我们一定要熟读了解。

　　说到文件系统，一级文件一般涉及政策和政策，包括宏观信息安全管理策略。这一级别的文档通常由高级管理层发布。二级文档是制度、流程和规范，通过这些文档约束员工的行为，做到有章可循。三级文档是员工工作所需的手册、指南和操作指南，俗称操作指南(SOP)范围。第四级文件是针对员工操作记录文件，如执行日志、表格等。

　　总之，信息安全管理是一个可持续的过程，在本章书中特别提到(PDCA)方法。安全风险管理的基本过程也体现了这一点PDCA。例如，我们需要首先确定风险管理的对象和范围，然后根据特定对象的风险评估结果选择适当的风险处置方法，继续监督风险处置的整个过程，确保风险过程的有效性，充分考虑公司安全管理的成本效益，并进行必要的调整、优化和改进。

     如需要完整的PDF CISP教材可以像赛虎学院申请领取。如果报名参加CISP的学员可以免费领取CISP教材。