考试内容
3.1 信息安全管理体系标准
a)了解 ISO/IEC 27000 系列标准发展概况;
b)了解 GB/T 28450《信息安全技术 信息安全管理体系审核指南》的内容;~ 27007
c)了解 ISO/IEC 27006《信息技术 安全技术 信息安全管理体系 审核认证机构的要求》的目的、意图以及第 9 章的内容; ~ GB/T 25067
d)理解 GB/T 29246 《信息技术 安全技术 信息安全管理体系 概述和词汇》中的术语,以及术语所涉及的相关技术、产品及其应用。~ IDT ISO/IEC 27000
e)理解和掌握 GB/T 22080《信息技术 安全技术 信息安全管理体系要求》的内容和要求;
~ IDT ISO/IEC 27001
f)了解 ISO/IEC 27000 系列标准的部分规范性文件和指南,如:
1) GB/T 22081《信息技术 安全技术 信息安全控制实用规则》;~ 27002+27003
2) ISO/IEC 27004《信息技术 安全技术 信息安全管理 监视, 测量,分析和评估》;
3) ISO/IEC 27005《信息技术 安全技术 信息安全风险管理》。
g)理解信息安全有关标准的要求。
1) GB 17859《计算机信息系统安全保护等级划分准则》;
2) GB/Z 20986《信息安全技术 信息安全事件分类分级指南》。
3.2 信息安全管理领域专业知识
a)掌握相关管理知识和技术:
1)常用统计技术方法;
2)风险管理方法;
3)测量和监视技术;
4)顾客满意的监视和测量、投诉处理、行为规范、争议解决;
5)持续改进、创新和学习。
b)理解信息安全领域的专业知识; 重点理解如下专业知识:网络结构与通信基础、数据安全、载体 安全、环境安全、边界安全、应用安全等相关技术;掌握与组织业务活动相关的知识,例如:流程、资产、风险、安全要求、控制措施以及信息安全技术和信息技术在业务活动中的特定应用等;
c)了解信息安全管理相关工具、方法、技术以及在审核过程中的
综合运用。
3.3 法律法规和其他要求
a)理解信息安全管理相关法律法规的要求,如:
1)《中华人民共和国保守国家秘密法》;施行时间:2010年10月1日
2)《中华人民共和国网络安全法》;施行时间:2017年6月1日
3)《中华人民共和国密码法》;施行时间:2020年1月1日
4)《中华人民共和国计算机信息系统安全保护条例》;2011年1月8日发布修订
5)《信息安全等级保护管理办法》;施行时间:2007年6月22日
6)《互联网信息服务管理办法》;2011年01月08日发布,自2000年09月25日起施行
7)《网络安全审查办法》。施行时间:2020年06月01日,2021年修订后2022年2月15日起
b)理解中国认证认可协会相关人员注册与管理要求。
注:本大纲中的标准和法律法规以现行有效的为准。
《中华人民共和国个人信息保护法》自2021年11月1日起施行。
《中华人民共和国数据安全法》自2021年9月1日起施行。
《关键信息基础设施安全保护条例》2021年9月1日起施行。
国标 | ISO/IEC 标号 | 标准名 | 主要描述 |
---|---|---|---|
GB/T29246 | 27000 | 《信息安全管理体系原理和术语》 | 该标准主要⽤于阐述ISMS的基本原理和术语 |
GB/T22080-2016 | 27001 | 《信息安全管理体系要求》 | 主要提出ISMS安全要求 |
GB/T22081-2016 | 27002 | 《信息安全管理实践规则》 | 国标22081 《信息技术 安全技术 信息安全控制实践指南》 |
27003 | 《信息技术安全技术-信息安全管理体系实施指南》 | 该标准将为ISMS的建⽴、实施、维持、改进提供指导 | |
27004 | 《信息安全管理测量与指标》 | ||
27005 | 《信息安全风险管理》 | GB/T 31722-2015 中文标准名《信息技术 安全技术 信息安全风险管理》 GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》 | |
GB/T 25067-2020 | 27006 | 《信息安全管理体系审核认证机构要求》 | 该标准对提供ISMS认证的机构提出要求,所有提供ISMS认证服务的机构需要按照该标准的要求证明其能⼒和可靠性。 |
GB/T28450-2020 | 27007 | 《信息安全技术 信息安全管理体系审核指南》 | |
GB/T 32923-2016 | 27014 | 《信息技术安全技术信息安全治理》 | |
27701 | |||
9000 | 质量管理体系认证的标准族 | ||
15408 | 信息技术 安全技术 IT安全评估准则 | ||
20000 | 信息技术服务管理体系标准 | ||
TR13335 | IT安全管理技术 | 从6 方面的安全需求提出系列的安全防护措施,主要与IT安全管理流程有关。 |
GB/T 32923-2016 IDT ISO27014:2013《信息技术安全技术信息安全治理》
GB/T22080-2016/ISO/IEC27001:2013信息安全管理体系认证。
根据GB/T22080-2016标准,审核中下列哪些章节不能删减(4-10 )
GB/T28450-2020 《信息安全技术 信息安全管理体系审核指南》是等同采用国际标准ISO/IEC27007的国家标准。 同时,与ISO19011 、ISO/IEC 27006 内容相一致。
ISO/IEC 27003 《信息技术安全技术-信息安全管理体系实施指南》
GB/T29246标准为组织和个人提供( ISMS体系标准族 所有的术语定义)
GB/T29246—2017 《信息技术 安全技术 信息安全管理体系 概述 和词汇》
ISO/IEC27006是ISO/IEC17021的相关要求的补充。
ISO/IEC 15408 是《信息技术 安全技术 IT安全评估准则》---
ISO 14000 环境管理系列标准 ISO 9000 国际质量标准体系;ISO20000 IT服务管理
2、 ISO27001 GB/T22080-2016标准 附录A 【N道题】
附录A 共11个控制域、39个控制目标、133个控制措施(control)
关于27001的附录A,哪些能裁剪哪些不能裁剪。
根据GB/T22080-2016标准A.12.3.1条款原文: 应按照既定的备份策略,对信息、软件和系统镜像进行备份,并定期测试。 [2019.11审核知识]
S323以下符合GB/T22080-2016标准A.18.1.4条款要求的情况是( 认证范围内的员工/顾客/相关方的个人隐私信息数据均得到保护) 【一道多选题】
3、 机密性 、保密性、完整性、
(机密性 )是确保信息没有非授权泄密,即信息不被未授权的个人、实体或过程,不为其所用。
(可用性)确保授权用户或者实体对于信息及资源的正常使用不会被异常拒绝,允许其可靠而且及时地访问信息及资源的特性是( )
信息安全的基本属性主要表现在以下5个方面:
(1)保密性(Confidentiality)
即保证信息为授权者享用而不泄漏给未经授权者。
(2)完整性(Integrity)
即保证信息从真实的发信者传送到真实的收信者手中,传送过程中没有被非法用户添加、删除、替换等。
(3)可用性(Availability)
即保证信息和信息系统随时为授权者提供服务,保证合法用户对信息和资源的使用不会被不合理的拒绝。
(4)可控性(Controllability)
即出于国家和机构的利益和社会管理的需要,保证管理者能够对信息实施必要的控制管理,以对抗社会犯罪和外敌侵犯。
(5)不可否认性(Non-Repudiation)
即人们要为自己的信息行为负责,提供保证社会依法管理需要的公证、仲裁信息证据。
延展阅读:ISO/IEC TR 13335:IT安全和安全管理
4、风险识别
风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、(识别脆弱性和识别后果 )
信息安全风险评估的基本要素包括( 资产、脆弱性和威胁)
风险处置计划和信息安全残余风险应获得最高管理者的授受和批准。【为什么是错的?】
纠正措施( corrective action)为消除已发现的不合格或其他不期望情况的原因所采取的措施。
纠正和纠正措施的区别,立马采取的行为视为纠正,不算纠正措施。
4、文件化和成文的信息
文件化信息创建和更新时,组织应确保适当的(对适应性和充分性的评审与批准 )
5、其他
信息是消除(不确定性)的东西。
组织应在相关( 职能和层次)上建立信息安全目标。
62.计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。( 对)
65.客户所有场所业务的范围相同,且在同一ISMS 下运行,并接受统一的管理、内部审核和管理评审时,认证机构可以考虑使用基于抽样的认证审核。( 对)
在ISO组织框架中,负责ISO/IEC27000系列标准编制工作的技术委员会是( ISO/IEC JTC1 SC27 )
(所有与信息系统有关的人员 )对于信息安全管理负有责任。
组织应(确定 )与其意图相关的,且影响其实现信息安全管理体系预期结果能力的和内部事项。