2022年CISE/CISO(注册信息安全专业人员)考试内容以考试大纲为基础,如有考生想要参加并获得CISE/CISO认证,建议先了解考纲,2022年预计仍沿用2019年版本,小编特为大家整理了注册信息安全专业人员知识体系大纲(CISE/CISO)每章内容供大家参考。以下是关于CISE/CISO的“知识域:安全评估”内容。
注册信息安全专业人员知识体系大纲(CISE/CISO)
六、知识域:安全评估
6.1知识子域:安全评估基础
6.1.1安全评估概念
了解安全评估的定义、价值、风险评估工作内容及安全评估工具类型;了解安全评估标准的发展。
6.1.2安全评估标准
了解TCSEC标准的基本目标和要求、分级等概念;
了解ITSEC标准的适用范围,功能准则和评估准则的级别;了解ISO15408标准的适用范围、作用和使用中的局限性;了解GB/T18336的结构、作用及评估过程;
理解评估对象(TOE)、保护轮廓(PP)、安全目标(ST)、评估保证级(EAL)等关键概念;
了解信息安全等级测评的作用和过程。
6.2知识子域:安全评估实施
6.2.1风险评估相关要素
理解资产、威胁、脆弱性、安全风险、安全措施、残余风险等风险评估相关要素及相互关系。
6.2.2风险评估途径与方法
了解基线评估等风险评估途径及自评估、检查评估等风险评估方法;
了解基于知识的评估,理解定性评估、定量评估的概念及区别并掌握定量分析中量化风险的方法。
6.2.3风险评估的基本过程
了解风险评估基本过程;
理解风险评估准备工作内容;
掌握风险识别中资产的赋值方法;
理解风险分析的方法;
了解风险结果判定、风险处理计划、残余风险评估等阶段工作内容。
6.3.4风险评估文档
了解风险评估文档化工作的重要性及对文档的相关要求;
6.3知识子域:信息系统审计
6.3.1审计原则与方法
了解信息系统审计职能、流程、内部控制及审计标准;
6.3.2审计技术控制
了解脆弱性措施、渗透测试等审计技术控制措施;
6.3.3审计管理控制
了解账户管理、备份验证等审计管理控制措施;
6.2.4审计报告
了解信息系统审计报告标准SAS70和SOC;
