本大纲依据CCAA《管理体系审核员注册准则》(以下简称注册准则)制定,适用于拟向CCAA申请注册为各级别质量管理体系审核员的人员。
2.考试要求
2.1考试科目
申请实习审核员注册需通过“基础知识”科目考试;
申请审核员注册需通过“审核知识与技能”科目考试。
2.2考试方式
参加“基础知识”考试时,考生不能携带任何参考资料;参加“审核知识与技能”考试时,考生自带未做任何标记的GB/T22080-2016/ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》标准文本。
2.3考试频次及地点
考试原则上每半年组织一次,在北京和选定的大中城市设立考点。CCAA在考前40天发布报名通知,审核员申请人可在每次设立的考点范围内选择报名并参加考试。
2.4考试的题型及分值
基础知识科目的题型及分值
审核知识与技能科目的题型及分值
2.5考试合格判定
基础知识科目满分为100分,80分(含)以上合格;
审核知识与技能科目考试满分为100分,70分(含)以上合格。
2.6考试结果发布
CCAA将在考试结束后45天(遇法定节日顺延)内公布考试合格人员名单。
3.基础知识科目的考试内容
3.1信息安全管理体系标准
c)理解GB/T22080-2016/ISO/IEC27001:2013的要求;
d)了解GB/T22081-2016/ISO/IEC27002:2013《信息技术安全技术信息安全控制实践指南》标准的结构、适用范围及其与GB/T29246/ISO/IEC27000《信息安全管理体系概述与词汇》、GB/T22080-2016/ISO/IEC27001:2013标准的关系;
e)理解ISO/IEC27000族标准的部分规范性文件和指南,如:
ISO/IEC27004《信息技术安全技术信息安全管理测量》;
ISO/IEC27005《信息技术安全技术信息安全风险管理》。
3.2信息安全管理体系审核
a)理解GB/T28450《信息安全管理体系审核指南》标准第3、4、6章及第5章5.4的内容;
b)理解CNAS-CC170《信息安全管理体系认证机构要求》的目的、意图以及第9章的内容。
3.3信息安全管理领域专业知识
1)常用统计技术方法;
2)测量和监视技术;
3)顾客满意的监视和测量、投诉处理、行为规范、争议解决;
4)风险管理方法;
5)持续改进、创新和学习。
3.4法律法规和其他要求
1)《中华人民共和国保守国家秘密法》;
2)《中华人民共和国网络安全法》;
3)《中华人民共和国计算机信息系统安全保护条例》;
4)《信息安全等级保护管理办法》;
5)《互联网信息服务管理办法》)。
b)了解国家认证认可法规、规章要求和国家认证认可体系:
《中华人民共和国认证认可条例》。
4.审核知识与技能科目的考试内容
4.1信息安全管理体系审核知识及应用
a)掌握GB/T28450标准第3、4、6章及第5章5.4的要求,并能应用到审核员实践中;
b)掌握GB/T28450标准附录B的内容,并能应用到审核实践中;
c)掌握CNAS-CC170第9章的内容,并能应用到审核实践中;
d)掌握信息安全管理体系要求;法律法规、认可准则要求;信息安全应用工具、方法、技术及其在审核过程中的综合运用。
4.2信息安全管理体系标准和规范性文件
a)理解GB/T29246/ISO/IEC27000标准中的术语和信息安全管理体系基础;
b)理解GB/T22080-2016/ISO/IEC27001:2013标准要求;
c)掌握ISO/IEC27000族标准部分规范性文件和指南的内容(GB/T22081-2016/ISO/IEC27002:2013、ISO/IEC27004、ISO/IEC27005);
d)掌握信息安全有关标准的要求:
1)GB17859《计算机信息系统安全保护等级划分准则》;
2)GB/Z20986《信息安全技术信息安全事件分类分级指南》。