CCAA 信息安全管理体系考试大纲及重点题目记忆

考试内容

3.1 信息安全管理体系标准

a)了解 ISO/IEC 27000 系列标准发展概况；

b)了解 GB/T 28450《信息安全技术信息安全管理体系审核指南》的内容；~ 27007

c)了解 ISO/IEC 27006《信息技术安全技术信息安全管理体系 审核认证机构的要求》的目的、意图以及第 9 章的内容； ~ GB/T 25067

d)理解 GB/T 29246 《信息技术安全技术信息安全管理体系概述和词汇》中的术语，以及术语所涉及的相关技术、产品及其应用。~ IDT ISO/IEC 27000

e)理解和掌握 GB/T 22080《信息技术安全技术信息安全管理体系要求》的内容和要求；

~ IDT ISO/IEC 27001

f)了解 ISO/IEC 27000 系列标准的部分规范性文件和指南，如：

1) GB/T 22081《信息技术安全技术信息安全控制实用规则》；~ 27002+27003

2) ISO/IEC 27004《信息技术安全技术信息安全管理 监视，测量，分析和评估》；

3) ISO/IEC 27005《信息技术安全技术信息安全风险管理》。

g)理解信息安全有关标准的要求。

1) GB 17859《计算机信息系统安全保护等级划分准则》；

2) GB/Z 20986《信息安全技术信息安全事件分类分级指南》。

3.2 信息安全管理领域专业知识

a)掌握相关管理知识和技术：

1)常用统计技术方法；

2)风险管理方法；

3)测量和监视技术；

4)顾客满意的监视和测量、投诉处理、行为规范、争议解决；

5)持续改进、创新和学习。

b)理解信息安全领域的专业知识；重点理解如下专业知识:网络结构与通信基础、数据安全、载体安全、环境安全、边界安全、应用安全等相关技术；掌握与组织业务活动相关的知识，例如：流程、资产、风险、安全要求、控制措施以及信息安全技术和信息技术在业务活动中的特定应用等；

c)了解信息安全管理相关工具、方法、技术以及在审核过程中的

综合运用。

3.3 法律法规和其他要求

a)理解信息安全管理相关法律法规的要求，如：

1)《中华人民共和国保守国家秘密法》；施行时间：2010年10月1日

2)《中华人民共和国网络安全法》；施行时间：2017年6月1日

3)《中华人民共和国密码法》；施行时间：2020年1月1日

4)《中华人民共和国计算机信息系统安全保护条例》；2011年1月8日发布修订

5)《信息安全等级保护管理办法》；施行时间：2007年6月22日

6)《互联网信息服务管理办法》；2011年01月08日发布，自2000年09月25日起施行

7)《网络安全审查办法》。施行时间：2020年06月01日，2021年修订后2022年2月15日起

b)理解中国认证认可协会相关人员注册与管理要求。

注：本大纲中的标准和法律法规以现行有效的为准。

《中华人民共和国个人信息保护法》自2021年11月1日起施行。

《中华人民共和国数据安全法》自2021年9月1日起施行。

《关键信息基础设施安全保护条例》2021年9月1日起施行。

1、常见的信息安全管理类标准及标号

国标	ISO/IEC 标号	标准名	主要描述
GB/T29246	27000	《信息安全管理体系原理和术语》	该标准主要⽤于阐述ISMS的基本原理和术语
GB/T22080-2016	27001	《信息安全管理体系要求》	主要提出ISMS安全要求
GB/T22081-2016	27002	《信息安全管理实践规则》	国标22081 《信息技术安全技术信息安全控制实践指南》
GB/T22081-2016	27003	《信息技术安全技术-信息安全管理体系实施指南》	该标准将为ISMS的建⽴、实施、维持、改进提供指导
	27004	《信息安全管理测量与指标》
	27005	《信息安全风险管理》	GB/T 31722-2015 中文标准名《信息技术安全技术信息安全风险管理》 GB/T 20984-2007 《信息安全技术信息安全风险评估规范》
GB/T 25067-2020	27006	《信息安全管理体系审核认证机构要求》	该标准对提供ISMS认证的机构提出要求，所有提供ISMS认证服务的机构需要按照该标准的要求证明其能⼒和可靠性。
GB/T28450-2020	27007	《信息安全技术信息安全管理体系审核指南》

GB/T 32923-2016	27014	《信息技术安全技术信息安全治理》
	27701
	9000	质量管理体系认证的标准族
	15408	信息技术安全技术 IT安全评估准则
	20000	信息技术服务管理体系标准
	TR13335	IT安全管理技术	从6 方面的安全需求提出系列的安全防护措施，主要与IT安全管理流程有关。

GB/T 32923-2016 IDT ISO27014：2013《信息技术安全技术信息安全治理》

GB/T22080-2016/ISO/IEC27001:2013信息安全管理体系认证。

根据GB/T22080-2016标准，审核中下列哪些章节不能删减（4-10 ）

GB/T28450-2020 《信息安全技术信息安全管理体系审核指南》是等同采用国际标准ISO/IEC27007的国家标准。同时，与ISO19011 、ISO/IEC 27006 内容相一致。

ISO/IEC 27003 《信息技术安全技术-信息安全管理体系实施指南》

GB/T29246标准为组织和个人提供（ ISMS体系标准族所有的术语定义）

GB/T29246—2017 《信息技术安全技术信息安全管理体系概述和词汇》

ISO/IEC27006是ISO/IEC17021的相关要求的补充。

ISO/IEC 15408 是《信息技术安全技术 IT安全评估准则》---

ISO 14000 环境管理系列标准 ISO 9000 国际质量标准体系;ISO20000 IT服务管理

2、 ISO27001 GB/T22080-2016标准附录A 【N道题】

附录A 共11个控制域、39个控制目标、133个控制措施（control）

关于27001的附录A，哪些能裁剪哪些不能裁剪。

根据GB/T22080-2016标准A.12.3.1条款原文：应按照既定的备份策略，对信息、软件和系统镜像进行备份，并定期测试。 [2019.11审核知识]

S323以下符合GB/T22080-2016标准A.18.1.4条款要求的情况是（认证范围内的员工/顾客/相关方的个人隐私信息数据均得到保护）【一道多选题】

3、机密性、保密性、完整性、

（机密性）是确保信息没有非授权泄密，即信息不被未授权的个人、实体或过程，不为其所用。

（可用性）确保授权用户或者实体对于信息及资源的正常使用不会被异常拒绝，允许其可靠而且及时地访问信息及资源的特性是（ )

信息安全的基本属性主要表现在以下5个方面:

(1)保密性(Confidentiality)

即保证信息为授权者享用而不泄漏给未经授权者。

(2)完整性(Integrity)

即保证信息从真实的发信者传送到真实的收信者手中，传送过程中没有被非法用户添加、删除、替换等。

(3)可用性(Availability)

即保证信息和信息系统随时为授权者提供服务，保证合法用户对信息和资源的使用不会被不合理的拒绝。

(4)可控性(Controllability)

即出于国家和机构的利益和社会管理的需要，保证管理者能够对信息实施必要的控制管理，以对抗社会犯罪和外敌侵犯。

(5)不可否认性(Non-Repudiation)

即人们要为自己的信息行为负责，提供保证社会依法管理需要的公证、仲裁信息证据。

延展阅读：ISO/IEC TR 13335：IT安全和安全管理

4、风险识别

风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、（识别脆弱性和识别后果）

信息安全风险评估的基本要素包括（资产、脆弱性和威胁）

风险处置计划和信息安全残余风险应获得最高管理者的授受和批准。【为什么是错的？】

纠正措施（ corrective action）为消除已发现的不合格或其他不期望情况的原因所采取的措施。

纠正和纠正措施的区别，立马采取的行为视为纠正，不算纠正措施。

4、文件化和成文的信息

文件化信息创建和更新时，组织应确保适当的（对适应性和充分性的评审与批准）

5、其他

信息是消除（不确定性）的东西。

组织应在相关（职能和层次）上建立信息安全目标。

62.计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。（对）

65.客户所有场所业务的范围相同，且在同一ISMS 下运行，并接受统一的管理、内部审核和管理评审时，认证机构可以考虑使用基于抽样的认证审核。（对）

在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（ ISO/IEC JTC1 SC27 ）

（所有与信息系统有关的人员）对于信息安全管理负有责任。

组织应（确定）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的和内部事项。