CCAA2018年ISMS信息安全审核员ISO27001考试大纲

—1—中国认证认可协会信息安全管理体系审核员考试大纲第2版第1次修订文件编号：CCAA-307发布日期：2017年7月28日实施日期：2017年7月28日—2—信息安全管理体系审核员考试大纲第2版第1次修订1．总则本大纲依据CCAA《管理体系审核员注册准则》（以下简称注册准则）制定，适用于拟向CCAA申请注册为各级别质量管理体系审核员的人员。2．考试要求2.1考试科目申请实习审核员注册需通过“基础知识”科目考试；申请审核员注册需通过“审核知识与技能”科目考试。2.2考试方式考试为书面考试，考试试题由CCAA统一编制，每科考试时间2小时。参加“基础知识”考试时，考生不能携带任何参考资料；参加“审核知识与技能”考试时，考生自带未做任何标记的GB/T22080-2016/ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》标准文本。2.3考试频次及地点考试原则上每半年组织一次，在北京和选定的大中城市设立考点。CCAA在考前40天发布报名通知，申请人可在每次设立的考点范围内选择报名并参加考试。2.4考试的题型及分值基础知识科目的题型及分值分值分布1.信息安全管理体系标准约占50%2.信息安全管理领域专业知识约占20%3.信息安全管理体系审核约占15%4.法律法规和其他要求约占15%题型数量单题分值（分）小计分值（分）单项选择题50150判断题10110多项选择题20240审核知识与技能科目的题型及分值分值分布1.信息安全管理体系审核知识及应用约占45%2.信息安全管理体系标准和规范性文件、专业知识、法律法规的综合应用约占40%3.信息安全管理领域专业知识约占15%题型数量单题分值（分）小计分值（分）—3—单项选择题30130多项选择题10220阐述题21020案例分析题56302.5考试合格判定基础知识科目满分为100分，80分（含）以上合格;审核知识与技能科目考试满分为100分，70分（含）以上合格。2.6考试结果发布CCAA将在考试结束后45天（遇法定节日顺延）内公布考试合格人员名单。3．基础知识科目的考试内容3.1信息安全管理体系标准a）了解ISO/IEC27000族标准的发展概况及相关国家标准；b）理解GB/T29246/ISO/IEC27000《信息安全管理体系概述与词汇》中的部分术语，重点理解以下术语：访问控制、攻击、身份鉴别、真实性、可用性、保密性、符合性、后果、控制措施、控制目标、纠正、纠正措施、决策准则、形成文件的信息、事态、外部环境、信息安全治理、信息处理设施、信息安全、信息安全连续性、信息安全事态、信息安全事件、信息安全事件管理、信息系统、完整性、相关方、内部环境、风险水平、可能性、不符合、不可否认性、过程、可靠性、要求、残余风险、评审、风险、风险接受、风险分析、风险评估、风险沟通和咨询、风险准则、风险评价、风险识别、风险管理、风险责任者、风险处置、安全实施标准、威胁、脆弱性；c）理解GB/T22080-2016/ISO/IEC27001:2013的要求；d）了解GB/T22081-2016/ISO/IEC27002：2013《信息技术安全技术信息安全控制实践指南》标准的结构、适用范围及其与GB/T29246/ISO/IEC27000《信息安全管理体系概述与词汇》、GB/T22080-2016/ISO/IEC27001:2013标准的关系；e）理解ISO/IEC27000族标准的部分规范性文件和指南，如：ISO/IEC27004《信息技术安全技术信息安全管理测量》；ISO/IEC27005《信息技术安全技术信息安全风险管理》。3.2信息安全管理体系审核a）理解GB/T28450《信息安全管理体系审核指南》标准第3、4、6章及第5章5.4的内容；b）理解CNAS-CC170《信息安全管理体系认证机构要求》的目的、意图以及第9章的内容。3.3信息安全管理领域专业知识a）熟悉并掌握相关管理专业知识：1)常用统计技术方法；2)测量和监视技术；3)顾客满意的监视和测量、投诉处理、行为规范、争议解决；4)风险管理方法；—4—5)持续改进、创新和学习。b）了解信息安全管理相关工具、方法、技术及其应用。3.4法律法规和其他要求a）掌握信息安全管理相关法律法规和其他要求：1)《中华人民共和国保守国家秘密法》；2)《中华人民共和国网络安全法》；3)《中华人民共和国计算机信息系统安全保护条例》；4)《信息安全等级保护管理办法》；5)《互联网信息服务管理办法》)。b）了解国家认证认可法规、规章要求和国家认证认可体系：《中华人民共和国认证认可条例》。c）理解中国认证认可协会相关注册要求。4.审核知识与技能科目的考试内容4.1信息安全管理体系审核知识及应用a）掌握GB/T28450标准第3、4、6章及第5章5.4的要求，并能应用到审核实践中；b）掌握GB/T28450标准附录B的内容，并能应用到审核实践中；c）掌握CNAS-CC170第9章的内容，并能应用到审核实践中；d）掌握信息安全管理体系要求；法律法规、认可准则要求；信息安全应用工具、方法、技术及其在审核过程中的综合运用。4.2信息安全管理体系标准和规范性文件a）理解GB/T29246/ISO/IEC27000标准中的术语和信息安全管理体系基础；b）理解GB/T22080-2016/ISO/IEC27001:2013标准要求；c）掌握ISO/IEC27000族标准部分规范性文件和指南的内容（GB/T22081-2016/ISO/IEC27002:2013、ISO/IEC27004、ISO/IEC27005）；d）掌握信息安全有关标准的要求：1）GB17859《计算机信息系统安全保护等级划分准则》；2）GB/Z20986《信息安全技术信息安全事件分类分级指南》。4.3信息安全管理领域专业知识a）理解网络结构与通信基础、数据安全、载体安全、环境安全、边界安全、应用安全等相关技术；b）掌握与组织业务活动相关的知识，例如流程、资产、风险、安全要求、控制措施以及信息安全技术和信息技术在业务活动中的特定应用等方面的知识。