信息安全保障人员认证考试大纲.pdf-道客多多

资源描述

1、发布日期： 2013 年 4 月 22 日实施日期： 2012 年 2 月 10 日信息安全保障人员认证考试大纲 ISCCC-COP-R02 中国信息安全认证中心 ISCCC-COP- R02： 2013 信息安全保障人员认证考试大纲中国信息安全认证中心第页共 24页 1 信息安全保障人员认证考试大纲 1 目的为使考生达到信息安全保障人员认证准则规定的各个方向和级别的能力要求，指导考生有效准备考试，特制定本考试大纲（以下简称大纲）。 2 适用范围本大纲适用于所有参与信息安全保障人员认证的机构和个人。 3 术语与定义本大纲采用下列术语定义

2、。 3.1 信息安全保障人员（ CISAW）从事信息安全相关工作的所有人员，如组织的管理人员（包括 CIO、 CSO、科技管理部门和风险控制管理部门的人员）、 IT 相关的技术人员（包括运维、开发和集成人员）、信息安全服务组织的技术人员（包括信息安全产品研发人员、信息安全咨询人员、信息安全服务实施人员和外派服务人员）。 4 考试 4.1 考试机构 CISAW 考试机构为中国信息安全认证中心。 4.2 考试范围与要求依据信息安全保障人员认证准则要求，制定考试范围，如表 1 所示。表 1. 认证分类分级与考试范围结构图专业方向安全软件安全集成安全管

3、理安全运维安全咨询风险管理应急服务灾备服务业务连续性类别级别考试课程专业认证 III级 (专业高级 ) III 级专业课程 +附加课程 +II 级信息安全实验（适用时） II级（专业级） II级通用课程 +II级专业课程资格认证 I 级（基础级）基础课程 +I级通用课程预备认证预备级大专院校认定课程 +基础课程注参见 4.2.4，注参见 4.2.5，注参见 4.2.3，注参见 4.2.3，注参见 4.2.2。 ISCCC-COP- R02： 2013 信息安全保障人员认证考试大纲中国信息安全认证中心第页共 24页 2 4.2

4、.1 各认证级别、专业方向相关要求各认证级别和专业方向的范围与要求见表 2-20：表 2：基础级范围与要求课程名称课程类型选择范围所占比例信息安全保障人员基本素质基础课程全部 5% 信息安全意识教育基础课程全部 10% 信息安全法律法规体系基础课程全部 10% 风险管理基础基础课程全部 15% 项目管理基础（ I 级）通用课程全部 10% 信息安全技术（ I 级）通用课程 1、 3、 7 必选 2、 4、 5、 6 任选 2 个以上 50% 表 3：安全软件专业级范围与要求课程名称课程类型选择范围所占比例项目管理基础（ II 级）通用

5、课程全部 10% 信息安全技术（ I 级）通用课程 2、 5、 6 10% 安全软件技术与测试（ II 级）专业课程全部 80% 信息安全实验（ I 级）通用课程任选 3 个以上表 4：安全软件专业高级范围与要求课程名称课程类型选择范围所占比例信息安全技术（ II 级）通用课程 2、 5、 6 20% 安全软件技术与测试（ III 级）专业课程全部 80% 信息安全实验（ II 级）通用课程任选 2 个以上表 5：安全集成专业级范围与要求课程名称课程类型选择范围所占比例项目管理基础（ II 级）通用课程全部 10% 信息安全技术（ I 级）

6、通用课程全部 50% 安全集成（ II 级）专业课程全部 30% 通信技术基础附加课程全部 10% 信息安全实验（ I 级）通用课程任选 3 个以上表 6：安全集成专业高级范围与要求课程名称课程类型选择范围所占比例 ISCCC-COP- R02： 2013 信息安全保障人员认证考试大纲中国信息安全认证中心第页共 24页 3 信息安全技术（ II 级）通用课程全部 40% 安全集成（ III 级）专业课程全部 50% 通信技术基础附加课程全部 10% 信息安全实验（ II 级）通用课程任选 2 个以上表 7：安全管理专业级范围与要求课程名称

7、课程类型选择范围所占比例项目管理基础（ II 级）通用课程全部 10% 信息安全技术（ I 级）通用课程 1、 3、 4、 7 10% 安全管理（ II 级）专业课程全部 80% 安全管理实验（ I 级）通用课程安全管理实验表 8：安全管理专业高级范围与要求课程名称课程类型选择范围所占比例信息安全技术（ II 级）通用课程 1、 3、 4、 7 10% 安全管理（ III 级）专业课程全部 70% 管理体系审核附加课程全部 20% 安全管理实验（ II 级）通用课程安全管理实验表 9：安全运维专业级范围与要求课程名称课程类型选择范围所

8、占比例项目管理基础（ II 级）通用课程全部 10% 信息安全技术（ I 级）通用课程 1、 3、 4、 7 20% 安全运维技术与应用（ II 级）专业课程全部 70% 信息安全实验（ I 级）通用课程任选 3 个以上表 10：安全运维专业高级范围与要求课程名称课程类型选择范围所占比例信息安全技术（ II 级）通用课程 1、 3、 4、 7 20% 安全运维技术与应用（ III 级）专业课程全部 80% 信息安全实验（ II 级）通用课程任选 2 个以上表 11：安全咨询专业级范围与要求课程名称课程类型选择范围所占比例项目管理基础（ II

9、级）通用课程全部 10% ISCCC-COP- R02： 2013 信息安全保障人员认证考试大纲中国信息安全认证中心第页共 24页 4 信息安全技术（ I 级）通用课程全部 20% 安全咨询（ II 级）专业课程全部 60% 通信技术基础附加课程全部 10% 表 12：安全咨询专业高级范围与要求课程名称课程类型选择范围所占比例信息安全技术（ II 级）通用课程全部 10% 安全咨询（ III 级）专业课程全部 80% 通信技术基础附加课程全部 10% 表 13：风险管理专业级范围与要求课程名称课程类型选择范围所占比例项目管理基础（ II

10、级）通用课程全部 10% 信息安全技术（ I 级）通用课程 3、 4、 5、 6 10% 风险管理（ II 级）专业课程全部 70% 通信技术基础附加课程全部 10% 信息安全实验（ I 级）通用课程任选 3 个以上表 14：风险管理专业高级范围与要求课程名称课程类型选择范围所占比例信息安全技术（ II 级）通用课程 3、 4、 5、 6 10% 风险管理（ III 级）专业课程全部 80% 通信技术基础附加课程全部 10% 信息安全实验（ II 级）通用课程任选 2 个以上表 15：应急服务专业级范围与要求课程名称课程类型选择范围所占比

11、例项目管理基础（ II 级）通用课程全部 10% 信息安全技术（ I 级）通用课程 3、 4 10% 应急服务技术与应用（ II 级）专业课程全部 60% 通信技术基础附加课程全部 10% 渗透测试技术与应用附件课程全部 10% 信息安全实验（ I 级）通用课程任选 3 个以上表 16：应急服务专业高级范围与要求课程名称课程类型选择范围所占比例 ISCCC-COP- R02： 2013 信息安全保障人员认证考试大纲中国信息安全认证中心第页共 24页 5 信息安全技术（ II 级）通用课程 3、 4 10% 应急服务技术与应用（ III 级）专业课

12、程全部 70% 通信技术基础附加课程全部 10% 渗透测试技术与应用附件课程全部 10% 信息安全实验（ II 级）通用课程任选 2 个以上表 17：灾备服务专业级范围与要求课程名称课程类型选择范围所占比例项目管理基础（ II 级）通用课程全部 10% 信息安全技术（ I 级）通用课程 3、 4、 6、 7 10% 灾备服务技术与应用（ II 级）专业课程全部 80% 信息安全实验（ I 级）通用课程任选 3 个以上表 18：灾备服务专业高级范围与要求课程名称课程类型选择范围所占比例信息安全技术（ II 级）通用课程 3、 4、 6、 7

13、20% 灾备服务技术与应用（ III 级）专业课程全部 80% 信息安全实验（ II 级）通用课程任选 2 个以上表 19：业务连续性专业级范围与要求课程名称课程类型选择范围所占比例项目管理基础（ II 级）通用课程全部 10% 信息安全技术（ I 级）通用课程 3、 4、 6、 7 10% 业务连续性管理（ II 级）专业课程全部 80% 信息安全实验（ I 级）通用课程任选 3 个以上表 20：业务连续性专业高级范围与要求课程名称课程类型选择范围所占比例信息安全技术（ II 级）通用课程 3、 4、 6、 7 20% 业务连续性管理（ II

14、I 级）专业课程全部 80% 信息安全实验（ II 级）通用课程任选 2 个以上 4.2.2 基础课程目前设置的基础课程包括：信息安全保障人员基本素质教育、信息安全意识教育、信息安全法律法规体系和风险管理基础。具体范围与要求见ISCCC-COP- R02： 2013 信息安全保障人员认证考试大纲中国信息安全认证中心第页共 24页 6 表 21-24：表 21：信息安全保障人员基本素质教育范围与要求章节号章节名内容与要求参考文献 1 职业素养 1. 深刻理解从事信息安全保障工作必备的职业素养 2. 深刻理解从事信息安全保障工作的特殊责任 1 信息安全

15、保障人员认证考试辅导丛书 2 各类信息安全报刊 2 知识结构 1 理解从事信息安全保障工作所需的基础知识结构 2 深刻理解信息安全保障的本质含义 3 工作技能 1 理解从事信息安全保障工作所需的基本技能 2 理解信息安全保障工作的特殊困难表 22：信息安全意识教育范围与要求章节号章节名内容与要求参考文献 1 信息安全保障概念 1 了解信息安全的发展足迹 2 理解什么是通信保密 3 理解什么是网络安全 4 理解什么是信息安全 5 理解什么是信息安全保障 6 准确理解信息安全属性 7 掌握什么时候需要分别考虑信息安全属性 1 信息安全保障人员

16、认证考试辅导丛书 2各类信息安全报刊与年鉴 2 信息安全形势 1 了解国内外的信息安全形势 2 了解最新的典型信息安全问题 3 了解应对典型信息安全问题的手段 3 信息安全需求识别 1 了解形势发展的需要 2 理解社会责任的需求 3 理解组织业务保障的需要 4 了解现实信息技术环境的需求 5 指导如何提出实际需要 6 了解法律法规的要求 7 了解客户合同的要求 8 了解强制标准的要求 9 了解风险评估的要求 10 了解日常保障的要求 11 了解新技术和新措施应用的要求表 23：信息安全法律法规体系范围与要求章节号章节名内容与要求参考文献 1 法律法规结构体系

17、1 了解我国信息安全法律法规结构 2 了解我国信息安全法律法规的基本分类 1 信息安全保障人员认证考试辅导丛书 2 国内有2 国内外信息安全法律法规建设概况 1 了解我国信息安全相关法律法规建设情况 2 了解美国信息安全相关法律法规建设情况 3 了解其他国家信息安全相关法律法规建设情况 ISCCC-COP- R02： 2013 信息安全保障人员认证考试大纲中国信息安全认证中心第页共 24页 7 3 国内外信息安全标准建设概况 1 了解国外信息安全标准化相关机构以及相互关系，如国际标准化组织（ ISO）、国际电工委员会（ IEC）、即国际电信联盟（ ITU）和

18、国发达家的信息安全标准相关组织机构，如美国、英国等 2 了解我国信息安全标准相关组织机构及其关系，如国家标准化管理委员会、全国信息安全标准化技术委员会（ TC260）等 3 了解 ISO、 IEC 和 ITU 的信息安全相关标准建设情况 4 了解美国特有的信息安全相关标准建设情况 5 了解我国信息安全相关标准建设情况关法律法规 3各类信息安全报刊与年鉴 4 我国信息安全管理概况 1 了解我国信息安全相关管理机构 2 了解我国信息安全相关管理模式 3 了解我国主要的信息安全管理手段 5 典型信息安全法律法规 1 了解刑法与信息安全相关条款 2 了解保

19、守国家秘密法 3 了解商用密码管理条例 4 了解互联网相关管理规定 5 了解信息安全产品相关管理规定表 24：风险管理基础范围与要求章节号章节名内容与要求参考文献 1 基本概念 1 理解风险的定义 2 理解风险管理的基本思想 1 信息安全保障人员认证考试辅导丛书 2 各类风险管理正式出版书籍 2 常见风险评估方法 1 了解各类风险评估方法的基本思路 2 了解各类风险评估方法的应用场景 3 典型的风险评估方法 1 掌握 1 种风险评估方法 4 风险处置方法 1 了解各种风险处置方法 2 了解各种风险处置方法的应用场景 5 风险管理相关标

20、准 1 了解国际相关标准 2 了解我国相关标准 4.2.3 通用课程按照信息安全保障人员认证准则的要求，目前设置的通用课程包括：项目管理基础、信息安全技术和信息安全实验。具体范围与要求见表 25-27：表 25：项目管理基础范围与要求章节号章节名内容与要求参考文献 I 级 II 级 1 项目管理基本概念 1 正确理解项目的本质 2 正确理解管理的本质 1 正确理解项目的本质 2 正确理解管理的本质 1信息安全保障人员ISCCC-COP- R02： 2013 信息安全保障人员认证考试大纲中国信息安全认证中心第页共 24页 8 3 掌握项目管理的基本分类 4

21、理解项目管理的生命周期与流程 5 了解项目管理相对其他管理的特性 3 掌握项目管理的基本分类 4 熟练掌握项目管理的生命周期与流程 5 掌握项目管理相对其他管理的特性认证考试辅导丛书 2各类项目管理期刊 3各类项目管理正式出版文献 4 PMP 相关书籍 5 Prince2 相关书籍 2 项目管理的发展历史与现状 1 了解项目管理的发展过程 2 了解国际项目管理发展现状 3 了解国际国内项目管理人员认证情况 1 了解项目管理的发展过程 2 了解国际项目管理发展现状 3 了解国际国内项目管理人员认证情况 3 九大项目管理知识领域 1 理解项目综合管理、项目范围管理

22、、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项目沟通管理、项目风险管理和项目采购管理思想与方法 2 了解项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项目沟通管理、项目风险管理和项目采购管理工具和实施技巧 1 熟练掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项目沟通管理、项目风险管理和项目采购管理思想与方法 2 掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项目沟通管理、项目风险管理和项目采购管理工具和实施技巧 4 开发类项目管

23、理技巧 1 了解开发类项目管理的特点 2 了解开发类项目生命周期 3 了解开发类项目九大管理知识领域特性 4 了解一个完整的开发类项目过程 1 掌握开发类项目管理的特点 2 掌握开发类项目生命周期 3 正确掌握开发类项目九大管理知识领域特性 4 实践一个完整的开发类项目过程 5 集成类项目管理技巧 1 了解集成类项目管理的特点 2 了解集成类项目生命周期 3 了解集成类项目九大管理知识领域特性 4 了解一个完整的集成1 掌握集成类项目管理的特点 2 掌握集成类项目生命周期 3 掌握集成类项目九大管理知识领域特性 4 实践一个完整的集成ISCCC-COP- R0

24、2： 2013 信息安全保障人员认证考试大纲中国信息安全认证中心第页共 24页 9 类项目过程类项目过程表 26：信息安全技术范围与要求章节号章节名内容与要求参考文献 I 级 II 级 1 信息安全技术发展 1 了解信息安全技术结构及相互关系 2 了解信息安全技术最新进展 3 了解信息安全技术应用基本方法 1 理解信息安全技术结构及相互关系 2 掌握信息安全技术最新进展 3 掌握信息安全技术应用基本方法 1信息安全保障人员认证考试辅导丛书 2各类信息安全期刊 3各类信息安全正式出版文献 2 密码学及其应用 1 了解密码学的发展历史 2

25、了解密码学在信息安全中的特殊地位 3 基本理解密码学的基本原理 4 基本掌握典型密码算法（对称、非对称、HASH 函数） 5 基本掌握典型密码算法的作用与应用方法 6 基本掌握典型应用中如何采用密码技术 7 了解密钥管理方法 1 掌握密码学的发展历史 2 掌握密码学在信息安全中的特殊地位 3 理解密码学的基本原理 4 掌握典型密码算法（对称、非对称、 HASH函数） 5 掌握典型密码算法的作用与应用方法 6 掌握典型应用中如何采用密码技术 7 正确掌握密钥管理方法 3 网络安全技术 1 了解网络安全技术的范畴 2 了解网络边界划分原则与方法 3 了解典型的网络安全问题 4 了解

26、典型的网络攻击手段 5 了解网络边界防御原理与方法 6 了解典型的网络边界防御设备的系统原理与应用方法（网关防御、网络监控、网络交换） 7 了解网络通讯安全原理与方法 8 了解典型的网络通讯1 正确理解网络安全技术的范畴 2 理解网络边界划分原则与方法 3 熟悉典型的网络安全问题 4 熟知典型的网络攻击手段 5 理解网络边界防御原理与方法 6 掌握典型的网络边界防御设备的系统原理与应用方法（网关防御、网络监控、网络交换） 7 理解网络通讯安全原理与方法 8 掌握典型的网络通讯ISCCC-COP- R02： 2013 信息安全保障人员认证考试大纲中国信息安全认证中心第页

27、共 24页 10 安全设备的系统原理与应用方法（访问控制、通讯加密）安全设备的系统原理与应用方法（访问控制、通讯加密） 4 平台安全技术 1 了解常用系统平台（ UNIX 、 Linux 、Windows 等）的典型安全问题 2 了解常用的应用支撑平台（ WEB、数据库等）的典型安全问题 3 了解各类安全漏洞的管理标准与方法 4 了解典型的对平台攻击手段 5 了解主机安全防护的主要手段（安全加固、安全监控、安全审计、主机保护等）的原理与实施方法及其工具 6 了解桌面系统的典型安全问题 7 了解桌面系统的安全保障方法与工具 1 熟悉常用系统平台（ UNIX 、 Linux 、Windows

28、等）的典型安全问题 2 熟悉常用的应用支撑平台（ WEB、数据库等）的典型安全问题 3 掌握各类安全漏洞的管理标准与方法 4 熟知典型的对平台攻击手段 5 掌握主机安全防护的主要手段（安全加固、安全监控、安全审计、主机保护等）的原理与实施方法及其工具 6 熟悉桌面系统的典型安全问题 7 掌握桌面系统的安全保障方法与工具 5 应用安全技术 1 了解各类常用应用系统（通用应用系统、专业应用系统、特殊业务系统等）的典型安全问题 2 了解安全软件开发过程管理与控制 3 了解典型的应用安全漏洞 4 了解应用软件安全测试方法与工具 1 熟悉各类常用应用系统（通用应用系统、专业应用系统、特殊

29、业务系统等）的典型安全问题 2 了解安全软件开发过程管理与控制 3 了解典型的应用安全漏洞 4 了解应用软件安全测试方法与工具 6 数据安全技术 1 了解数据安全的范畴 2 了解数据生命周期的各阶段安全需求 3 了解数据生命周期的各阶段安全保障技术与方法 4 了解灾难备份与恢复技术 1 理解数据安全的范畴 2 理解数据生命周期的各阶段安全需求 3 基本掌握数据生命周期的各阶段安全保障技术与方法 4 熟悉灾难备份与恢复技术应用和系统设计 7 物理安全技术 1 了解信息安全保障中物理安全的范畴 1 熟知信息安全保障中物理安全的范畴 ISCCC-COP- R02： 2013 信息安全保

30、障人员认证考试大纲中国信息安全认证中心第页共 24页 11 2 了解典型的物理安全问题 3 了解典型的物理安全防范技术与方法 4 了解支持性基础设施的物理安全问题及保护措施 2 熟悉典型的物理安全问题 3 掌握典型的物理安全防范技术与方法 4 掌握支持性基础设施的物理安全问题及保护措施表 27：信息安全实验范围与要求章节号章节名内容与要求参考文献 I 级 II 级 1 实验平台构建实验 1 桌面虚拟机的安装、配置、使用和基本操作实验 2 使用虚拟机构建信息安全实验平台实验 1 基于服务器的信息安全实验平台安装、配置及实验实例构建 1信息安全保障人员认证

31、考试辅导丛书 2 网络基础实验实验 1 常用网络命令实验 2 地址转换协议（ APR）实验 3 网际协议（ IP）实验 4 用户数据报协议（ UDP）实验 5 传输控制协议（ TCP）实验 6 动态主机配置协议（ DHCP）实验 7 域名服务协议（ DNS）实验 8 超文本传输协议（ HTTP）实验 1 网络地址转换 NAT 实验 2 数据包捕获与分析实验实验 3 路由信息协议(RIP ) 实验 4 生成树协议（ STP）实验 5 简单网络管理协议（ SNMP）实验 6 TELNET 和 FTP 实验 7 邮件协议（ SMTP、POP3、 IMAP）实

32、验 8 NetBIOS 应用协议 3 主机安全实验实验 1 IE 安全设置实验 2 帐号和口令的安全设置实验 3 EFS 文件系统安全设置实验 4 端口安全设置实验 5 注册表编辑器的使用实验 6 安全补丁更新实验 1 注册表的使用技巧和安全配置实验 2 Linux 口令破解实验 3 Unix 操作系统的常用操作实验 4 Unix 操作系统的安全设置 4 数据库安全实验实验 1 SQL Server 数据库的安全配置实验 2 SQL Server 数据库安全扫描实验 1 Oracle数据库的安全配置实验 2 Oracle 数据库安全扫描 ISCCC-COP- R02

33、： 2013 信息安全保障人员认证考试大纲中国信息安全认证中心第页共 24页 12 5 密码学与加解密实验实验 1 DES 加密演示实验实验 2 RSA 加密演示实验实验 3 哈希算法实验实验 4 BIOS的密码设置与清除实验 5 Windows 的密码设置与破解实验实验 6 使用 LC5 破解账户口令实验 7 Office办公软件密码的设置与破解实验 8 用压缩软件加密文件及破解密码实验 1 PGP 的安装及密钥的生成实验实验 2 使用 PGP 对邮件、文件进行加密和解密和粉碎等 6 访问控制实验实验 l 典型计算机病毒演示实验实验 2 防病毒实验实验 3

34、 Windows 个人防火墙的配置实验 4 灰鸽子木马的种植和清除实验 5 基于 Snort 的 IDS安装实验 1 硬件防火墙的配置实验 2 嗅探器技术及Sniffer 的使用实验 3 硬件入侵检测设备的配置与使用 7 攻击技术实验实验 1 ARP 地址欺骗实验 2 ICMP 重定向实验 3 路由欺骗实验 4 IPC$入侵实验 5 远程管理计算机实验 6 Telnet 入侵实验 7 远程综合入侵实验 8 基于木马的入侵实验 1 口令破解实验 2 Land 攻击实验 3 UDP Flood 攻击实验 4 DDoS 攻击实验 5 CC 攻击实验 6 Dame

35、Ware 入侵 8 主动防御技术实验实验 1 端口扫描软件实验 2 IIS 的安全配置实验 3 使用 Windows系统备份工具对文件进行备份、还原及设置实验 4 Norton Ghost 数据备份与恢复实验 5 使用 Easy Recovery 恢复已删除的文件实验 6 使用 FinalData还原文件及硬盘数据实验 1 WWW服务器和 FTP服务器的安全配置实验 2 计算机取证过程演示实验实验 3 取证设备的演示实验 ISCCC-COP- R02： 2013 信息安全保障人员认证考试大纲中国信息安全认证中心第页共 24页 13 9 安全管理实验实验 l 使用 M

36、icrosoft基准安全分析器实验 2 风险评估工具的使用实验 1 撰写应急响应计划实验 2 撰写灾难恢复应急预案 4.2.4 专业课程按照信息安全保障人员认证准则的要求，目前的专业课程是完全根据从业方向设置的，包括：安全软件技术与测试、信息系统安全集成、信息安全管理、安全运维技术与应用、安全咨询、风险管理、应急服务技术与应用、灾难备份技术与应用、业务连续性管理。具体范围与要求见表 28-36：表 28：安全软件技术与测试章节号章节名内容与要求参考文献 II 级 III 级 1 安全软件的业界标准与实践 1 了解信息安全管理

37、体系对安全软件的要求 2 了解 CC 对安全软件的要求 3 了解 FIPS 140-2 对安全软件的要求 4 了解 PCI DSS 对安全软件的要求 5 了解安全弱点管理相关规范，如 SCAP 1 理解信息安全管理体系对安全软件的要求 2 理解 CC 对安全软件的要求 3 理解 FIPS 140-2 对安全软件的要求 4 理解 PCI DSS 对安全软件的要求 5 理解安全弱点管理相关规范，如 SCAP 1 信息安全保障人员认证考试辅导丛书 2各类安全软件正式出版文献 2 安全开发生命周期 1 了解安全软件开发管理的全过程，如 SDL 2 了解安全需求分析

38、的主要方法 3 了解安全设计的主要方法 4 了解安全编码的主要工作 5 了解安全测试的主要内容 6 了解安全生产的主要内容 1 熟悉安全软件开发管理的全过程，如 SDL 2 掌握安全需求分析的主要方法 3 掌握安全设计的主要方法 4 掌握安全编码的主要工作 5 理解安全测试的主要内容 6 理解安全生产的主要内容 3 安全软件开发环境管理 1 熟悉物理环境控制 2 了解逻辑访问控制 3 了解开发工具与配置项管理 4 熟悉人员与角色管理 1 熟悉物理环境控制 2 熟悉逻辑访问控制 3 熟悉开发工具与配置项管理 4 熟悉人员与角色管理 ISCCC-COP- R02： 2013 信息

39、安全保障人员认证考试大纲中国信息安全认证中心第页共 24页 14 4 安全功能架构与设计 1 了解典型的安全功能 2 了解安全功能的实现模型 1 熟悉典型安全功能 2 熟悉安全功能的实现模型 5 安全漏洞分析 1 了解 SCAP 2 了解 CVSS 3 了解典型的安全漏洞机理 1 了解 SCAP 2 熟悉 CVSS 3 熟悉典型的安全漏洞机理 6 安全编码 1 了解典型的安全编码规则 2 了解典型问题的修复方法 1 熟悉典型的安全编码规则 2 熟悉典型问题的修复方法 7 密码安全模块 1 了解典型的加密算法和应用方法 2 了解典型的密码应用方式 3 熟悉 FIPS

40、140-2 的要求 1 熟悉典型的加密算法和应用方法 2 熟悉典型的密码应用方式 3 熟悉 FIPS 140-2 的要求 8 安全测试与实验 1 了解软件测试的基本方法 2 了解软件安全功能测试的基本手段 3 能够使用软件安全性测试工具（如扫描工具、压力测试工具等） 1 基本掌握软件测试的基本方法 2 掌握软件安全功能测试的基本手段 3 熟练使用软件安全性测试工具（如扫描工具、压力测试工具等）表 29：信息系统安全集成章节号章节名内容与要求参考文献 II 级 III 级 1 安全集成的业界标准与实践 1 了解 GB/T 20261 对安全集成的要求 2 了解 ISO/

41、IEC 21827 对安全集成的要求 3 了解 SSE-CMM3.0 对安全集成的要求 4 了解信息系统安全集成服务资质认证实施规则对安全集成的要求 5 了解 CNCA/CTS 0052信息安全服务资质认证技术规范 1 掌握 GB/T 20261 对安全集成的要求 2 掌握 ISO/IEC 21827 对安全集成的要求 3 掌握 SSE-CMM3.0 对安全集成的要求 4 掌握信息系统安全集成服务资质认证实施规则对安全集成的要求 5 掌握 CNCA/CTS 0052信息安全服务资质认证技术规范 1 信息安全保障人员认证考试辅导丛书 2各类安全集成正式出版文献 2

42、安全集成过程 1 了解安全软件集成管理的全过程 2 了解安全集成准备工1 掌握安全软件集成管理的全过程 2 掌握安全集成准备工ISCCC-COP- R02： 2013 信息安全保障人员认证考试大纲中国信息安全认证中心第页共 24页 15 作（如需求分析）的主要方法 3 了解安全集成设计的主要方法 4 了解安全集成实施的主要工作 5 了解安全集成保证的主要内容作（如需求分析）的主要方法 3 掌握安全集成设计的主要方法 4 掌握安全集成实施的主要工作 5 掌握安全集成保证的主要内容 3 安全集成工具使用 1 了解典型的安全集成工具 2 熟悉需求分析工具使用 3

43、了解安全集成设计工具使用 4 了解安全保证工具使用 1 熟悉典型的安全集成工具； 2 熟悉需求分析工具使用 3 熟悉安全集成设计工具使用 4 熟悉安全保证工具使用 4 典型安全保障手段 1 了解典型的信息安全保障手段 2 了解常用的信息安全技术应用 3 了解常用的信息安全产品 1 熟悉典型的信息安全保障手段 2 熟悉常用的信息安全技术应用 3 熟悉常用的信息安全产品 5 安全集成实例 1 了解安全集成方案的结构 2 了解主要行业的安全集成特性 3 了解 1-2 个行业的典型安全集成实例 1 熟悉安全集成方案的结构 2 熟悉主要行业的安全集成特性 3 理解 1-

44、2 个行业的典型安全集成实例表 30：信息安全管理章节号章节名内容与要求参考文献 II 级 III 级 1 安全管理的业界标准与实践 1 理解 GB/T 22080（ ISO/IEC 27001） 2 理解 GB/T22081（ ISO/IEC 27002） 3 了解 ISO/IEC 27000系列其他标准 1 深刻理解 GB/T 22080（ ISO/IEC 27001） 2 深刻理解 GB/T 22081（ ISO/IEC 27002） 3 初步理解 ISO/IEC 27000 系列其他标准 1 信息安全保障人员认证考试辅导丛书 2各类安全管理正式出版

45、文献 2 安全管理的实施过程 1 了解安全管理的全过程 2 了解安全管理准备工作（如安全需求分析）的主要方法 3 了解安全管理设计的1 理解安全管理的全过程 2 理解安全管理准备工作（如安全需求分析）的主要方法 3 理解安全管理设计的ISCCC-COP- R02： 2013 信息安全保障人员认证考试大纲中国信息安全认证中心第页共 24页 16 主要方法 4 了解安全管理实施与运行的主要工作 5 了解安全管理的检查与评审主要内容 6 了解安全管理的保持与持续改进主要内容主要方法 4 理解安全管理实施与运行的主要工作 5 理解安全管理的检查与评审主要内容 6 理解安全管理的保持与持续改进主要内容 3 安全管理工具使用 1 了解典型的安全管理工具 1 熟悉典型的安全管理工具； 4 典型安全保障手段 1 了解典型的安全保障手段 2 了解常用的信息安全技术应用 3 了解常用的信息安全产品 1 熟悉典型的安全保障手段 2 熟悉常用的信息安全技术应用 3 熟悉常用的信息安全产品 5 安全管理实例 1 了解安全管理的结构 2 了解主要行业的安全管理特性 3 了解 1-2

展开阅读全文