信息安全保障人员认证(CISAW)风险管理认证考试大纲依据《信息安全保障人员认证准则》,确定风险管理方向的考试目标和要求。
信息安全保障人员认证(CISAW)风险管理方向的考试主要考查认证申请人对信息安全风险管理相关基础知识和基本技能的掌握情况、综合运用所学知识分析和解决实际问题的能力。本考试大纲适用于申请信息安全保障人员认证(CISAW)风险管理方向基础级和专业级的认证申请人。
能力要求
CISAW风险管理认证考试主要考查认证申请人学习理解能力、逻辑推理能力、实际操作能力、沟通交流能力和综合应用能力。具体能力要求如下:
学习理解能力:认证申请人应具有学习能力,能够理解风险管理的基本概念、基本原则、总体框架和实施过程,并掌握风险预防、风险识别和风险处置的基础知识。
逻辑推理能力:认证申请人应具有风险管理的逻辑推理和逻辑判断能力,能够根据组织面临的风险独立进行调研和分析,并给出合理的解决方案。
实际操作能力:认证申请人应具有风险管理的实操和动手能力,能够熟练使用检测工具实施风险识别;能够针对不同的风险采取适当的处置方式和控制措施进行风险处置。
沟通交流能力:认证申请人应具有风险管理过程中沟通、交流和协调能力,能够挖掘客户需求、寻求管理层支持、反馈阶段性成果,保证风险管理各环节信息沟通的及时和顺畅。
综合应用能力:认证申请人应具有综合运用所学理论知识解决风险管理实际问题的能力,能够制订风险评价准则、管理评估团队、实施风险评估、分析计算和评价风险、撰写风险评估报告;能够制定风险处置计划和方案、实施风险处置并对风险处置效果做出评价,做好风险控制,全面和准确把控风险管理过程。
适合对象
政府部门、企事业单位从事网络与信息安全服务的各级管理人员和技术人员,特别是从事信息安全风险管理、信息安全风险评估的专业人员,以及与信息安全保障工作相关的人员。
考试内容
|
知识内容
|
要求
|
|
风险管理基本概念
|
信息安全
|
了解
|
|
风险管理
|
理解
|
|
信息安全风险
|
理解
|
|
信息安全风险管理
|
理解
|
|
信息安全风险评估
|
理解
|
|
风险管理标准化组织及风险管理标准体系
|
了解
|
|
风险管理标准 ISO 31000
|
理解
|
|
信息安全风险管理标准 ISO/IEC 27005
|
理解
|
|
信息安全风险评估标准 GB/T 20984
|
理解
|
|
项目管理基础和环境建立
|
项目管理相关定义
|
了解
|
|
项目生命周期和项目管理知识体系
|
理解
|
|
环境建立相关定义
|
了解
|
|
环境建立过程和示例
|
综合应用
|
|
风险识别
|
风险评估准备和风险识别概述
|
了解
|
|
发展战略和业务识别内容
|
理解
|
|
发展战略和业务识别分析、赋值
|
综合应用
|
|
发展战略和业务识别过程、输出和示例
|
综合应用
|
|
资产识别相关定义
|
了解
|
|
资产识别方法和工具
|
理解
|
|
资产识别分析和赋值
|
综合应用
|
|
资产识别过程、输出和示例
|
综合应用
|
|
威胁识别相关定义
|
了解
|
|
威胁识别方法和工具
|
理解
|
|
威胁调查、分析和赋值
|
综合应用
|
|
威胁识别过程、输出和示例
|
综合应用
|
|
脆弱性识别概述
|
了解
|
|
物理脆弱性识别
|
综合应用
|
|
网络脆弱性识别
|
综合应用
|
|
系统软件脆弱性识别
|
综合应用
|
|
应用中间件脆弱性识别
|
理解
|
|
应用系统脆弱性识别
|
综合应用
|
|
管理脆弱性识别
|
综合应用
|
|
已有安全措施识别相关定义
|
了解
|
|
已有安全措施识别方法和工具
|
理解
|
|
已有安全措施识别分析
|
综合应用
|
|
已有安全措施识别过程、输出和示例
|
综合应用
|
|
风险分析与计算
|
风险分析概述和原理
|
理解
|
|
风险可能性和损失分析
|
综合应用
|
|
风险计算结果分析
|
综合应用
|
|
风险要素关联方法
|
综合应用
|
|
风险计算概述
|
理解
|
|
矩阵法及示例
|
综合应用
|
|
相乘法及示例
|
综合应用
|
|
风险评价和评估输出
|
风险评价定义和准则
|
了解
|
|
风险评价过程
|
理解
|
|
风险评价结果
|
理解
|
|
风险评估文档输出
|
理解
|
|
风险评估报告
|
综合应用
|
|
风险处置
和风险接受
|
风险处置概念、原则、方式和流程
|
理解
|
|
威胁识别过程、输出和示例
|
综合应用
|
|
脆弱性识别概述
|
了解
|
|
物理脆弱性识别
|
综合应用
|
|
网络脆弱性识别
|
综合应用
|
|
系统软件脆弱性识别
|
综合应用
|
|
应用中间件脆弱性识别
|
理解
|
|
应用系统脆弱性识别
|
综合应用
|
|
管理脆弱性识别
|
综合应用
|
|
已有安全措施识别相关定义
|
了解
|
|
已有安全措施识别方法和工具
|
理解
|
|
已有安全措施识别分析
|
综合应用
|
|
已有安全措施识别过程、输出和示例
|
综合应用
|
|
风险处置准备和实施
|
综合应用
|
|
风险处置效果评价
|
理解
|
|
残余风险和风险接受
|
理解
|
|
沟通咨询和监视评审
|
沟通咨询概述
|
了解
|
|
沟通咨询过程
|
理解
|
|
监视评审概述
|
了解
|
|
监视评审内容
|
理解
|
|
监视评审过程
|
理解
|
试卷满分及考试时间
本考试为笔试试卷,满分 120 分。考试时间为 150 分钟,考题包括单选题70道,多选题10道,简答题1道,计算题1道和综合应用题1道。
84 分(含)为合格分,如认证申请人有作弊行为则该认证申请人最终笔试成绩为 0 分。认证申请人笔试考试成绩为“合格”的,该认证申请人可根据《信息安全保障人员认证准则》相关要求,被授予基础级或专业级认证证书。
试卷内容结构
|
知识内容
|
所占比例( % )
|
|
风险管理基本概念
|
27
|
|
项目管理基础和环境建立
|
5
|
|
风险识别
|
43
|
|
风险分析与计算
|
9
|
|
风险评价和评估输出
|
5
|
|
风险处置和风险接受
|
7
|
中培现已开设CISAW风险管理方向线上培训班,由于疫情影响,该课程为网络直播课,线下面授课暂缓,如有报考CISAW风险管理方向认证的小伙伴们抓紧时间报名吧!报名热线:400-808-2006。
关注中培公众号,获取更多关于CISAW风险管理方向认证的信息,点击在线客服获取课程报名表!快快行动吧!
[1] |
