2022年CISE/CISO(注册信息安全专业人员)考试内容以考试大纲为基础,如有考生想要参加并获得CISE/CISO认证,建议先了解考纲,2022年预计仍沿用2019年版本,小编特为大家整理了注册信息安全专业人员知识体系大纲(CISE/CISO)每章内容供大家参考。以下是关于CISE/CISO的“知识域:信息安全管理”内容。
注册信息安全专业人员知识体系大纲(CISE/CISO)
三、知识域:信息安全管理
3.1 知识子域: 信息安全管理基础
3.1.1 基本概念
了解信息、信息安全管理、信息安全管理体系等基本概念。
3.1.2 信息安全管理的作用
理解信息安全管理的作用,对组织内部和组织外部的价值。
3.2 知识子域: 信息安全风险管理
3.2.1 风险管理基本概念
了解信息安全风险、风险管理的概念;
理解信息安全风险管理的作用和价值;
3.2.2 常见风险管理模型
了解COSO报告、 ISO31000、COBIT等风险管理模型。
3.2.3 安全风险管理基本过程
理解风险管理的背景建立、风险评估、风险处理、批准监督、监控审查和沟 通咨询六个方面的工作目标及内容;
3.3 知识子域: 信息安全管理体系建设
3.3.1 信息安全管理体系成功因素
理解 GB/T29246-2017中描述的信息安全管理体系成功的主要因素。
3.3.2 PDCA 过程
理解 PDCA 过程模型的构成及作用;
了解 ISO/IEC27001:2013中定义的PDCA过程方法四个阶段工作。
3.3.3 信息安全管理体系建设过程
掌握规划与建立阶段组织背景、领导力、计划、支持等主要工作的内容; 理解实施与运行、监视和评审、维护和改进阶段工作内容。
3.3.4 文档化
理解文档化的重要性并了解文件体系及文件控制的方式。
3.4 知识子域: 信息安全管理体系最佳实践
3.4.1 信息安全管理体系控制类型
了解预防性、检测性、纠正性控制措施的差别及应用。
3.4.2 信息安全管理体系控制措施结构
了解 ISO27002中控制措施的分类及控制措施描述结构。
3.4.3 信息安全管理体系控制措施
了解安全方针、信息安全组织、人力资源安全、资产管理、访问控制、密码 学、物理和环境安全、操作安全、通信安全、安全采购开发和维护、供应商关系、
安全事件管理、业务连续性管理及合规性14个控制类别的控制目标、控制措施 并理解实施指南的相关要素。
3.5 知识子域: 信息安全管理体系度量
3.5.1 基本概念
了解ISMS 测量的基本概念、方法选择和作用;
了解27004 定义的测量模型。
3.5.2测量要求与实现
了解测量实现的工作内容。
