2022年CISE/CISO知識(shí)體系大綱： 信息安全管理

2022年CISE/CISO（注冊(cè)信息安全專(zhuān)業(yè)人員）考試內(nèi)容以考試大綱為基礎(chǔ)，如有考生想要參加并獲得CISE/CISO認(rèn)證，建議先了解考綱，2022年預(yù)計(jì)仍沿用2019年版本，小編特為大家整理了注冊(cè)信息安全專(zhuān)業(yè)人員知識(shí)體系大綱（CISE/CISO）每章內(nèi)容供大家參考。以下是關(guān)于CISE/CISO的“知識(shí)域：信息安全管理”內(nèi)容。

注冊(cè)信息安全專(zhuān)業(yè)人員知識(shí)體系大綱（CISE/CISO）

三、知識(shí)域：信息安全管理   

3.1  知識(shí)子域： 信息安全管理基礎(chǔ)

3.1.1 基本概念

了解信息、信息安全管理、信息安全管理體系等基本概念。

3.1.2 信息安全管理的作用

理解信息安全管理的作用，對(duì)組織內(nèi)部和組織外部的價(jià)值。

3.2 知識(shí)子域： 信息安全風(fēng)險(xiǎn)管理

3.2.1 風(fēng)險(xiǎn)管理基本概念

了解信息安全風(fēng)險(xiǎn)、風(fēng)險(xiǎn)管理的概念；

理解信息安全風(fēng)險(xiǎn)管理的作用和價(jià)值；

3.2.2 常見(jiàn)風(fēng)險(xiǎn)管理模型

了解COSO報(bào)告、 ISO31000、COBIT等風(fēng)險(xiǎn)管理模型。

3.2.3 安全風(fēng)險(xiǎn)管理基本過(guò)程

理解風(fēng)險(xiǎn)管理的背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝 通咨詢(xún)六個(gè)方面的工作目標(biāo)及內(nèi)容；

3.3 知識(shí)子域： 信息安全管理體系建設(shè)

3.3.1 信息安全管理體系成功因素

理解 GB/T29246-2017中描述的信息安全管理體系成功的主要因素。

3.3.2 PDCA 過(guò)程

理解 PDCA 過(guò)程模型的構(gòu)成及作用；

了解 ISO/IEC27001:2013中定義的PDCA過(guò)程方法四個(gè)階段工作。

3.3.3 信息安全管理體系建設(shè)過(guò)程

掌握規(guī)劃與建立階段組織背景、領(lǐng)導(dǎo)力、計(jì)劃、支持等主要工作的內(nèi)容； 理解實(shí)施與運(yùn)行、監(jiān)視和評(píng)審、維護(hù)和改進(jìn)階段工作內(nèi)容。

3.3.4 文檔化

理解文檔化的重要性并了解文件體系及文件控制的方式。

3.4  知識(shí)子域： 信息安全管理體系最佳實(shí)踐

3.4.1 信息安全管理體系控制類(lèi)型

了解預(yù)防性、檢測(cè)性、糾正性控制措施的差別及應(yīng)用。

3.4.2 信息安全管理體系控制措施結(jié)構(gòu)

了解 ISO27002中控制措施的分類(lèi)及控制措施描述結(jié)構(gòu)。

3.4.3 信息安全管理體系控制措施

了解安全方針、信息安全組織、人力資源安全、資產(chǎn)管理、訪(fǎng)問(wèn)控制、密碼 學(xué)、物理和環(huán)境安全、操作安全、通信安全、安全采購(gòu)開(kāi)發(fā)和維護(hù)、供應(yīng)商關(guān)系、

安全事件管理、業(yè)務(wù)連續(xù)性管理及合規(guī)性14個(gè)控制類(lèi)別的控制目標(biāo)、控制措施 并理解實(shí)施指南的相關(guān)要素。

3.5  知識(shí)子域： 信息安全管理體系度量

3.5.1 基本概念

了解ISMS 測(cè)量的基本概念、方法選擇和作用；

了解27004 定義的測(cè)量模型。

3.5.2測(cè)量要求與實(shí)現(xiàn)

了解測(cè)量實(shí)現(xiàn)的工作內(nèi)容。