CCAA 信息安全管理体系 考试大纲及重点题目记忆
考试内容
3.1 信息安全管理体系标准
a)了解 ISO/IEC 27000 系列标准发展概况;
b)了解 GB/T 28450《信息安全技术 信息安全管理体系审核指南》的内容;~ 27007
c)了解 ISO/IEC 27006《信息技术 安全技术 信息安全管理体系 审核认证机构的要求》的目的、意图以及第 9 章的内容; ~ GB/T 25067
d)理解 GB/T 29246 《信息技术 安全技术 信息安全管理体系 概述和词汇》中的术语,以及术语所涉及的相关技术、产品及其应用。~ IDT ISO/IEC 27000
e)理解和掌握 GB/T 22080《信息技术 安全技术 信息安全管理体系要求》的内容和要求;
~ IDT ISO/IEC 27001
f)了解 ISO/IEC 27000 系列标准的部分规范性文件和指南,如:
1) GB/T 22081《信息技术 安全技术 信息安全控制实用规则》;~ 27002+27003
2) ISO/IEC 27004《信息技术 安全技术 信息安全管理 监视, 测量,分析和评估》;
3) ISO/IEC 27005《信息技术 安全技术 信息安全风险管理》。
g)理解信息安全有关标准的要求。
1) GB 17859《计算机信息系统安全保护等级划分准则》;
2) GB/Z 20986《信息安全技术 信息安全事件分类分级指南》。
3.2 信息安全管理领域专业知识
a)掌握相关管理知识和技术:
1)常用统计技术方法;
2)风险管理方法;
3)测量和监视技术;
4)顾客满意的监视和测量、投诉处理、行为规范、争议解决;
5)持续改进、创新和学习。
b)理解信息安全领域的专业知识; 重点理解如下专业知识:网络结构与通信基础、数据安全、载体 安全、环境安全、边界安全、应用安全等相关技术;掌握与组织业务活动相关的知识,例如:流程、资产、风险、安全要求、控制措施以及信息安全技术和信息技术在业务活动中的特定应用等;
c)了解信息安全管理相关工具、方法、技术以及在审核过程中的
综合运用。
3.3 法律法规和其他要求
a)理解信息安全管理相关法律法规的要求,如:
1)《中华人民共和国保守国家秘密法》;施行时间:2010年10月1日
2)《中华人民共和国网络安全法》;施行时间:2017年6月1日
3)《中华人民共和国密码法》;施行时间:2020年1月1日
4)《中华人民共和国计算机信息系统安全保护条例》;2011年1月8日发布修订
5)《信息安全等级保护管理办法》;施行时间:2007年6月22日
6)《互联网信息服务管理办法》;2011年01月08日发布,自2000年09月25日起施行
7)《网络安全审查办法》。施行时间:2020年06月01日,2021年修订后2022年2月15日起
b)理解中国认证认可协会相关人员注册与管理要求。
注:本大纲中的标准和法律法规以现行有效的为准。
《中华人民共和国个人信息保护法》自2021年11月1日起施行。
《中华人民共和国数据安全法》自2021年9月1日起施行。
《关键信息基础设施安全保护条例》2021年9月1日起施行。
国标 | ISO/IEC 标号 | 标准名 | 主要描述 |
---|---|---|---|
GB/T29246 | 27000 | 《信息安全管理体系原理和术语》 | 该标准主要⽤于阐述ISMS的基本原理和术语 |
GB/T22080-2016 | 27001 | 《信息安全管理体系要求》 | 主要提出ISMS安全要求 |
GB/T22081-2016 | 27002 | 《信息安全管理实践规则》 | 国标22081 《信息技术 安全技术 信息安全控制实践指南》 |
27003 | 《信息技术安全技术-信息安全管理体系实施指南》 | 该标准将为ISMS的建⽴、实施、维持、改进提供指导 | |
27004 | 《信息安全管理测量与指标》 | ||
27005 | 《信息安全风险管理》 |
GB/T 31722-2015 中文标准名《信息技术 安全技术 信息安全风险管理》 GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》 |
|
GB/T 25067-2020 | 27006 | 《信息安全管理体系审核认证机构要求》 | 该标准对提供ISMS认证的机构提出要求,所有提供ISMS认证服务的机构需要按照该标准的要求证明其能⼒和可靠性。 |
GB/T28450-2020 | 27007 | 《信息安全技术 信息安全管理体系审核指南》 | |
GB/T 32923-2016 | 27014 | 《信息技术安全技术信息安全治理》 | |
27701 | |||
9000 | 质量管理体系认证的标准族 | ||
15408 | 信息技术 安全技术 IT安全评估准则 | ||
20000 | 信息技术服务管理体系标准 | ||
TR13335 | IT安全管理技术 | 从6 方面的安全需求提出系列的安全防护措施,主要与IT安全管理流程有关。 |
GB/T 32923-2016 IDT ISO27014:2013《信息技术安全技术信息安全治理》
GB/T22080-2016/ISO/IEC27001:2013信息安全管理体系认证。
根据GB/T22080-2016标准,审核中下列哪些章节不能删减(4-10 )
GB/T28450-2020 《信息安全技术 信息安全管理体系审核指南》是等同采用国际标准ISO/IEC27007的国家标准。 同时,与ISO19011 、ISO/IEC 27006 内容相一致。
ISO/IEC 27003 《信息技术安全技术-信息安全管理体系实施指南》
GB/T29246标准为组织和个人提供( ISMS体系标准族 所有的术语定义)
GB/T29246—2017 《信息技术 安全技术 信息安全管理体系 概述 和词汇》
ISO/IEC27006是ISO/IEC17021的相关要求的补充。
ISO/IEC 15408 是《信息技术 安全技术 IT安全评估准则》---
ISO 14000 环境管理系列标准 ISO 9000 国际质量标准体系;ISO20000 IT服务管理
2、 ISO27001 GB/T22080-2016标准 附录A 【N道题】
附录A 共11个控制域、39个控制目标、133个控制措施(control)
关于27001的附录A,哪些能裁剪哪些不能裁剪。
根据GB/T22080-2016标准A.12.3.1条款原文: 应按照既定的备份策略,对信息、软件和系统镜像进行备份,并定期测试。 [2019.11审核知识]
S323以下符合GB/T22080-2016标准A.18.1.4条款要求的情况是( 认证范围内的员工/顾客/相关方的个人隐私信息数据均得到保护) 【一道多选题】
3、 机密性 、保密性、完整性、
(机密性 )是确保信息没有非授权泄密,即信息不被未授权的个人、实体或过程,不为其所用。
(可用性)确保授权用户或者实体对于信息及资源的正常使用不会被异常拒绝,允许其可靠而且及时地访问信息及资源的特性是( )
信息安全的基本属性主要表现在以下5个方面:
(1)保密性(Confidentiality)
即保证信息为授权者享用而不泄漏给未经授权者。
(2)完整性(Integrity)
即保证信息从真实的发信者传送到真实的收信者手中,传送过程中没有被非法用户添加、删除、替换等。
(3)可用性(Availability)
即保证信息和信息系统随时为授权者提供服务,保证合法用户对信息和资源的使用不会被不合理的拒绝。
(4)可控性(Controllability)
即出于国家和机构的利益和社会管理的需要,保证管理者能够对信息实施必要的控制管理,以对抗社会犯罪和外敌侵犯。
(5)不可否认性(Non-Repudiation)
即人们要为自己的信息行为负责,提供保证社会依法管理需要的公证、仲裁信息证据。
延展阅读:ISO/IEC TR 13335:IT安全和安全管理
4、风险识别
风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、(识别脆弱性和识别后果 )
信息安全风险评估的基本要素包括( 资产、脆弱性和威胁)
风险处置计划和信息安全残余风险应获得最高管理者的授受和批准。【为什么是错的?】
纠正措施( corrective action)为消除已发现的不合格或其他不期望情况的原因所采取的措施。
纠正和纠正措施的区别,立马采取的行为视为纠正,不算纠正措施。
4、文件化和成文的信息
文件化信息创建和更新时,组织应确保适当的(对适应性和充分性的评审与批准 )
5、其他
信息是消除(不确定性)的东西。
组织应在相关( 职能和层次)上建立信息安全目标。
62.计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。( 对)
65.客户所有场所业务的范围相同,且在同一ISMS 下运行,并接受统一的管理、内部审核和管理评审时,认证机构可以考虑使用基于抽样的认证审核。( 对)
在ISO组织框架中,负责ISO/IEC27000系列标准编制工作的技术委员会是( ISO/IEC JTC1 SC27 )
(所有与信息系统有关的人员 )对于信息安全管理负有责任。
组织应(确定 )与其意图相关的,且影响其实现信息安全管理体系预期结果能力的和内部事项。
CCAA 信息安全管理体系 考试大纲及重点题目记忆相关推荐
- 2021年信息系统管理工程师考试大纲
很多考生准备参加2021年信息系统管理工程师考试,为大家整理了信息系统管理工程师考试大纲,供大家备考复习. 一.考试说明 1.考试要求 (1)熟悉计算机系统以及各主要设备的性能,并理解其基本工作原理: ...
- 湖南省计算机二级tc,湖南计算机二级考试大纲,重点内容谢谢!
湖南计算机二级考试大纲,重点内容谢谢! 來源:互聯網 2009-11-19 05:35:38 評論 分類: 教育/科學 >> 職業教育 問題描述: 最好是针对2006年11月份的这次! ...
- 信息技术 安全技术 信息安全管理体系 要求
声明 本文是学习29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿. 下载地址 http://github5.com/view/54234而整理的学习笔记,分享出来希望更多人 ...
- 民航空管中计算机的应用发展,民航空管网络与信息安全管理体系的构建论文
民航空管网络与信息安全管理体系的构建论文 摘要:民航空管信息系统具有业务依附度高.应用涉及范围广以及规模庞大等特点,在民航空管工作中有着十分重要的作用,这就需要建设并完善民航空管信息安全管理体系来维持 ...
- 浅谈部署及运作信息安全管理体系ISMS
Standard Podcast [8:23m]: Hide Player | Play in Popup | Download 信息安全管理体系ISMS(Information Securitry ...
- 信息安全管理体系 ISMS
PDCA简介 计划(Plan)--根据风险评估结果.法律法规要求.组织业务运作自身需要来确定控制目标与控制措施: 实施(Do)--实施所选的安全控制措施: 检查(Check)--依据策略.程序.标准和 ...
- ISO27001信息安全管理体系建立
作为乙方如何更好的为甲方建立信息安全体系 体系建立的重要几点 1.了解客户的需求: 2.根据需求制定信息安全方案: 3.领导层的支持: 4.全体员工的配合: 5.足够的乙方服务能力 了解客户需求 在项 ...
- ISO27001LA 信息安全管理体系主任审核师学习心得
天气不冷不热刚刚好的五月,绿意也葱葱,上海信息化培训中心ISO27001LA开班啦!这个班除了可以称为是信息安全管理体系主任审核师培训班外,还可以叫"学友再次联盟班",特别有缘,本 ...
- ISO27000信息安全管理体系介绍
ISO27000信息安全管理体系介绍ISO/IEC 27000系列标准(又名ISO/IEC 27000 标准系列,即"信息安全管理系统标准族",简称"ISO27K&q ...
- 一文读懂ISO27001信息安全管理体系
ISO信息安全管理体系 1.ISO信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系. 2.信息安全管理体系认证 ISO信息安全管理体系认证旨在提升组织的信 ...
最新文章
- Science:致病菌激活根系内生微生物组抵抗病害的功能
- Building wheel for wrapt (setup.py) ... error
- Linux安全技术和防火墙介绍
- 1年排名前进13位 ,这个论题成顶会新宠!
- django安装_技术大牛详解:Django框架之环境安装
- xtrabackup部分备份数据库 Partial Backups
- 关于libusb-win32开发的经验
- 活动合作 | AI NEXTCon 硅谷AI技术峰会(北京分会)大咖来袭
- linux 种子文件怎么打开,torrent是什么文件?用什么打开?
- oracle罗马字符转数字,一些关于罗马字符的知识
- STC 芯片编写串口数据方法。
- Excel打开时自动开一个sheet1页面
- STEP2——《数据分析:企业的贤内助》重点摘要笔记(二)——数据获取资源...
- uniapp使用阿里云OSS直接上传文件
- 天翼云服务器挂载硬盘
- 2008最火爆的十大网络流行语:
- RPG游戏代理和传统游戏代理的区别
- 3个利器,打造超级爆红IP
- Java杂乱无章-判断为空的编码规范
- 你了解Java应用开发中的注入攻击吗?