考试大纲
ISO27001信息安全管理体系ISMS国家注册审核员人员注册准则
2021-12-12 官方公众号
ISO27001信息安全管理体系ISMS国家注册审核员人员注册准则
1.教育经历
申请人应具有大学本科(含)以上学历,适宜的高等教育学科专业包括:数学与应用数学、信息与计算科学、应用物理学、地理信息科学、统计学、应用统计学、电气工程及其自动化、电子信 息工程、电子科学与技术、通信工程、微电子科学与工程、光电信息科学与工程、信息工程、自动 化、计算机科学与技术、软件工程、网络工程、信息安全、物联网工程、数字媒体技术、信息管理与信息系统、审计学、信息资源管理、电子商务、集成电路设计与集成系统、电子信息科学与技术、 电信工程及管理、智能科学与技术、空间信息与数字技术、电子与计算机工程、密码学、人工智能 等专业。
注1:专业名称如有差异或发生变化,以教育部本科或研究生学科目录为准。
注2:如果没有上述相关的学历专业,也想考,应具有至少8年专业工作经历及相应专业中级(含)以上 技术职称。
2.工作经历
A.实习审核员申请人无工作经历要求。
B.大学本科(含)以上学历审核员申请人应至少具有4年全职工作经历。
C.满足CCAA注册要求的工作经历应在取得相应学历后,在负有判定责任的技术、专业或管理岗位获得。研究生学习经历可按50%计算工作经历。
3.专业工作经历
A.实习审核员申请人无专业工作经历要求。
B.大学本科(含)以上学历审核员申请人应至少具有2年全职专业工作经历。
C.申请人应提交专业工作经历证明,相应领域专业工作经历要求详见本文下方附录说明。
D.专业工作经历可与工作经历同时产生。
4.审核经历
A.实习审核员申请人无审核经历要求。
B.审核员申请人审核经历要求: 以实习审核员的身份,作为审核组成员在审核员级别注册人员的指导和帮助下完成至少4次相应领域完整体系审核,现场审核经历不少于15天。现场审核应覆盖相应领域认证标准所有条款。
注:相应领域注册资格扩展要求详见本文下方附录说明。
C.所有审核经历应在申请注册前3年内获得,并取得覆盖审核依据标准的全条款和GB/T19011标 准7.2.3.2 a)条款合格的现场见证结论。
D.可接受的审核经历
a) 第三方审核经历,应从CNCA批准的认证机构获得;境外的第三方审核经历,应从国际认可论坛 (IAF)成员机构认可的认证机构获得;
b) 第二方审核经历,应从CCAA承认的二方审核机构获得。
5. 注册级别
CCAA管理体系审核员注册分为 实习审核员 和 审核员 两个级别。
6. 考试要求:
A.实习审核员申请人考试: 实习审核员申请人应在申请注册前5年内通过CCAA统一组织的“认证通用基础”考试,且在申请注册前3年内通过CCAA统一组织的“相应认证领域基础”考试。
B.审核员申请人考试:审核员申请人应在申请注册前3年内通过CCAA统一组织的“管理体系认证基础”考试。
C.考试内容和方式见注册审核员考试大纲。
附录
信息安全管理体系注册审核员特定要求:
1. 教育经历要求:本文上方已叙述过。
2. 专业工作经历要求
2.1 适宜的信息安全管理专业工作经历包括:
一一信息安全管理工作经历;
一一信息安全技术研宄与开发及服务工作经历;
一一信息安全相关测评认证工作经历;
一一信息安全教学工作经历;
一一信息安全管理相关标准制修订工作经历。
2.2 如果没有相关的学历专业,也想考,应具有至少8年专业工作经历及相应专业中级(含)以上 技术职称。
3 知识与技能要求
3.1 实习审核员应具备的知识与技能
3.1.1 信息安全管理体系相关标准
a)了解ISO/IEC 27000系列标准发展概况;
b)了解GB/T 28450《信息安全技术信息安全管理体系审核指南》的内容;
c)了解ISO/IEC 27006《信息技术安全技术信息安全管理体系审核认证机构的要求》的目的、意 图以及第9章的内容;
d) 理解GB/T 29246《信息技术安全技术信息安全管理体系概述和词汇》中的术语,以及术语所 涉及的相关技术、产品及其应用;
e)理解和掌握GB/T 22080《信息技术安全技术信息安全管理体系要求》的内容和要求;
f)了解ISO/IEC 27000系列标准的部分规范性文件和指南,如:
1)GB/T 22081《信息技术安全技术信息安全控制实用规则》;
2)ISO/IEC 27004《信息技术安全技术信息安全管理监视,测量,分析和评估》;
3)ISO/IEC 27005《信息技术安全技术信息安全风险管理》。
g)理解信息安全有关标准的要求。
3.1.2 信息安全管理专业知识
a)掌握相关管理知识和技术:
1)常用统计技术方法;
2)风险管理方法;
3)测量和监视技术;
4)顾客满意的监视和测量、投诉处理、行为规范、争议解决;
5)持续改进、创新和学习。
b)理解信息安全领域的专业知识;
c) 了解信息安全管理相关工具、方法、技术以及在审核过程中的综合运用。
3.1.3 法律法规及其他要求
理解信息安全管理相关法律法规和其他相关要求,如:
a)《中华人民共和国保守国家秘密法》;
b)《中华人民共和国网络安全法》;
c)《中华人民共和国密码法》;
d)《中华人民共和国计算机信息系统安全保护条例》;
e)《信息安全等级保护管理办法》;
f)《互联网信息服务管理办法》;
g)《网络安全审查办法》;
h)相关注册要求。
3.2 审核员应具备的知识与技能
3.2.1 信息安全管理体系相关标准
a)理解GB/T 29246标准中的术语;
b)理解GB/T 19000标准给出的质量管理体系基础的部分内容;
c)掌握GB/T 28450标准的内容和要求,并能应用于审核实践;
d)掌握GB/T 22080标准的内容和要求,并能应用于审核实践;
e)掌握ISO/IEC 27006标准第9章的内容,并能应用于审核实践;
f)理解GB/T 22081标准的内容;
g)理解ISO/IEC 27000系列标准的部分规范性文件和指南;
h)掌握信息安全有关标准的要求,包括:GB 17859《计算机信息系统安全保护等级划分准则》,GB/Z 20986《信息安全技术信息安全事件分类分级指南》。
3.2.2 信息安全管理专业知识
a)理解网络结构与通信基础、数据安全、载体安全、环境安全、边界安全、应用安全等相关技术;
b)掌握与组织业务活动相关的知识,如流程、资产、风险、安全要求、控制措施以及信息安全技术 和信息技术在业务活动中的特定应用等方面的知识。
3.2.3 法律法规及其他相关要求
掌握信息安全管理相关的法律法规及其他相关要求。
3.2.4 综合应用技能
掌握信息安全管理体系相关标准、规范性文件、专业知识和相关法律法规在审核实践中的综合应用技能。
4 注册资格扩展
当申请信息安全管理体系审核员注册时,申请人具有CCAA其他管理体系审核员级别注册资格的,可在本准则第二章2.3.4.2条款要求基础上减少1次完整体系审核和5天现场审核经历。
手机扫一扫
进行注册审核员考试咨询
进行注册审核员考试咨询
微信号:ccaa315
功能介绍:注册审核员 考试通知、培训信息;
认证机构挂靠、人员注册、复习题、模拟试题。
