信息安全管理體系審核員CCAA考試大綱

1、信息安全管理體系審核員CCAA考試大綱總則本大綱依據(jù)CCAA管理體系審核員注冊準(zhǔn)則（以下簡稱注冊準(zhǔn)則）制定， 適用于擬向CCAA 申請注冊為各級別質(zhì)量管理體系審核員的人員?？荚囈罂荚嚳颇可暾垖?shí)習(xí)審核員注冊需通過“基礎(chǔ)知識”科目考試； 申請審核員注冊需通過“審核知識與技能”科目考試?？荚嚪绞娇荚嚍闀婵荚?，考試試題由 CCAA 統(tǒng)一編制，每科考試時(shí)間 2 小時(shí)。參加“基礎(chǔ)知識”考試時(shí)，考生不能攜帶任何參考資料；參加“審核知識與技能”考試時(shí)，考生自帶未做任何標(biāo)記的 GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求標(biāo)準(zhǔn)文本?？荚囶l次及地

2、點(diǎn)考試原則上每半年組織一次，在北京和選定的大中城市設(shè)立考點(diǎn)。CCAA 在考前 40 天發(fā)布報(bào)名通知，申請人可在每次設(shè)立的考點(diǎn)范圍內(nèi)選擇報(bào)名并參加考試?？荚嚨念}型及分值基礎(chǔ)知識科目的題型及分值分值分布信息安全管理體系標(biāo)準(zhǔn)約占50%信息安全管理領(lǐng)域?qū)I(yè)知識約占20%信息安全管理體系審核約占15%法律法規(guī)和其他要求約占15%題 型數(shù) 量單題分值（分）小計(jì)分值（分）單項(xiàng)選擇題50150判斷題10110多項(xiàng)選擇題20240審核知識與技能科目的題型及分值分值分布信息安全管理體系審核知識及應(yīng)用約占45%信息安全管理體系標(biāo)準(zhǔn)和規(guī)范性文件、專業(yè)知識、法律法規(guī)的綜合應(yīng)用約占40%信息安全管理領(lǐng)域?qū)I(yè)知識約占15%

3、題 型數(shù) 量單題分值（分）小計(jì)分值（分）XX單項(xiàng)選擇題30130多項(xiàng)選擇題10220闡述題21020案例分析題5630考試合格判定基礎(chǔ)知識科目滿分為100 分，80 分（含）以上合格;審核知識與技能科目考試滿分為100 分，70 分（含）以上合格?？荚嚱Y(jié)果發(fā)布CCAA 將在考試結(jié)束后45 天（遇法定節(jié)日順延）內(nèi)公布考試合格人員名單。3基礎(chǔ)知識科目的考試內(nèi)容信息安全管理體系標(biāo)準(zhǔn)了解ISO/IEC 27000 族標(biāo)準(zhǔn)的發(fā)展概況及相關(guān)國家標(biāo)準(zhǔn)；理解GB/T 29246/ISO/IEC 27000 信息安全管理體系 概述與詞匯中的部分術(shù)語，重點(diǎn)理解以下術(shù)語：訪問控制、攻擊、身份鑒別、真實(shí)性、可用性、保

4、密性、符合性、后果、控制措施、控制目標(biāo)、糾正、糾正措施、決策準(zhǔn)則、形成文件的信息、事態(tài)、外部環(huán)境、信息安全治理、信息處理設(shè)施、信息安全、信息安全連續(xù)性、信息安全事態(tài)、信息安全事件、信息安全事件管理、信息系統(tǒng)、完整性、相關(guān)方、內(nèi)部環(huán)境、風(fēng)險(xiǎn)水平、可能性、不符合、不可否認(rèn)性、過程、可靠性、要求、殘余風(fēng)險(xiǎn)、評審、風(fēng)險(xiǎn)、風(fēng)險(xiǎn)接受、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)溝通和咨詢、風(fēng)險(xiǎn)準(zhǔn)則、風(fēng)險(xiǎn)評價(jià)、風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)責(zé)任者、風(fēng)險(xiǎn)處置、安全實(shí)施標(biāo)準(zhǔn)、威脅、脆弱性；c）理解GB/T 22080-2016/ISO/IEC 27001:2013 的要求；了解 GB/T 22081-2016/ISO/IEC 27002

5、：2013信息技術(shù) 安全技術(shù) 信息安全控制實(shí)踐指南標(biāo)準(zhǔn)的結(jié)構(gòu)、適用范圍及其與GB/T 29246/ISO/IEC 27000信息安全管理體系 概述與詞匯、GB/T 22080-2016/ISO/IEC 27001:2013 標(biāo)準(zhǔn)的關(guān)系；理解ISO/IEC 27000 族標(biāo)準(zhǔn)的部分規(guī)范性文件和指南，如： ISO/IEC 27004信息技術(shù) 安全技術(shù) 信息安全管理 測量； ISO/IEC 27005信息技術(shù) 安全技術(shù) 信息安全風(fēng)險(xiǎn)管理。信息安全管理體系審核理解GB/T 28450信息安全管理體系審核指南標(biāo)準(zhǔn)第3、4 、6 章及第5 章5.4 的內(nèi)容；理解CNAS-CC170信息安全管理體系認(rèn)證機(jī)構(gòu)

6、要求的目的、意圖以及第9 章的內(nèi)容。信息安全管理領(lǐng)域?qū)I(yè)知識熟悉并掌握相關(guān)管理專業(yè)知識：常用統(tǒng)計(jì)技術(shù)方法；測量和監(jiān)視技術(shù)；顧客滿意的監(jiān)視和測量、投訴處理、行為規(guī)范、爭議解決；風(fēng)險(xiǎn)管理方法；持續(xù)改進(jìn)、創(chuàng)新和學(xué)習(xí)。了解信息安全管理相關(guān)工具、方法、技術(shù)及其應(yīng)用。XX法律法規(guī)和其他要求掌握信息安全管理相關(guān)法律法規(guī)和其他要求：中華人民共和國保守國家秘密法；中華人民共和國網(wǎng)絡(luò)安全法；中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例；信息安全等級保護(hù)管理辦法；互聯(lián)網(wǎng)信息服務(wù)管理辦法)。 b）了解國家認(rèn)證認(rèn)可法規(guī)、規(guī)章要求和國家認(rèn)證認(rèn)可體系：中華人民共和國認(rèn)證認(rèn)可條例。 c）理解中國認(rèn)證認(rèn)可協(xié)會(huì)相關(guān)注冊要求。審核知識

7、與技能科目的考試內(nèi)容信息安全管理體系審核知識及應(yīng)用掌握GB/T 28450 標(biāo)準(zhǔn)第3、4、6 章及第5 章5.4 的要求，并能應(yīng)用到審核實(shí)踐中；掌握GB/T 28450 標(biāo)準(zhǔn)附錄B 的內(nèi)容，并能應(yīng)用到審核實(shí)踐中； c） 掌握CNAS-CC170 第9 章的內(nèi)容，并能應(yīng)用到審核實(shí)踐中；d） 掌握信息安全管理體系要求；法律法規(guī)、認(rèn)可準(zhǔn)則要求；信息安全應(yīng)用工具、方法、技術(shù)及其在審核過程中的綜合運(yùn)用。信息安全管理體系標(biāo)準(zhǔn)和規(guī)范性文件a） 理解GB/T 29246/ISO/IEC 27000 標(biāo)準(zhǔn)中的術(shù)語和信息安全管理體系基礎(chǔ)； b） 理解GB/T 22080-2016/ISO/IEC 27001:2013 標(biāo)準(zhǔn)要求；掌握 ISO/IEC 27000 族標(biāo)準(zhǔn)部分規(guī)范性文件和指南的內(nèi)容（ GB/T 22081-2016/ISO/IEC 27002:2013、 ISO/IEC 27004、 ISO/IEC27005）；掌握信息安全有關(guān)標(biāo)準(zhǔn)的要求：GB 17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則；GB/Z 20986信息安全技術(shù) 信息安全事件分類分級指南。信息