2011年认证人员继续教育选修课

2011年认证人员继续教育选修课

《信息安全管理体系相关技术》培训大纲

1.总则

本大纲依据国家认证认可监督管理委员会《关于开展2011年度认证人员继续教育的通知》和中国认证认可协会《2011年度认证人员继续教育实施方案》编制，旨在规范继续教育培训的内容和实施过程，切实贯彻落实CNCA和CCAA 对认证人员继续教育的相关要求，全面提高认证人员的综合素质和专业能力。

2.培训要求

2.1培训对象

2010年12月31日前取得CCAA注册资格的所有领域的管理体系审核员和高级审核员。

2.2培训方式

原则上采用面授。

2.3培训时间

全部内容应在为期8学时的培训过程中完成。培训内容和时间分配如下

2.4培训教材

使用经CCAA确认的培训教材，培训机构应确保每位学员获得一套纸质的教学资料。

2.5培训班规模和教师

每期培训班人数不得多于100人，培训机构应指派一名以上经CCAA确认，具备能力的教师授课。

2.6学员评价和记录

学员评价由出勤和课堂测试（闭卷）两部分组成，培训机构应确保所有学员到达培训现场并参加培训，任何学员不得缺席或减少培训时间。缺席总学时的10%视为本期培训无效。在每期培训班结束前，对学员进行半小时的课堂测试。课堂测试试卷包括单项选择题15题（每题4分），判断题10题（每题4分），满分为100分，合格分数为70分。培训机构负责阅卷，并根据测验结果，对每位学员作出通过与否的评价。

评价结果及培训的相关记录应填写在“CCAA认证人员继续教育培训记录表”上，并要求学员在相应栏目签字。“CCAA认证人员继续教育培训记录表”应提交CCAA备案。培训机构应保存相关培训记录。

2.7培训证书

培训机构应为培训合格人员人发放CCAA统一格式的培训证书。

2.8补考

经评价不合格的学员可以参加1次补考，补考不合格者可以重新学习或选修其他课程。

3.培训内容

3.1概述

3.1.1技术控制措施的结构

a. 标准附录结构

b. 控制措施相关技术讲述结构

3.1.2相关技术概述

a. 相关信息技术概述

b. 相关信息安全技术概述

c. 典型信息系统概述

3.2物理和环境安全

3.2.1安全区域

a. 物理安全边界

b. 物理入口控制

c. 办公室、房间和设施的安全保护

d. 外部和环境威胁的安全防护

e. 在安全区域工作

f. 公共访问、交接区安全

3.2.2设备安全

a. 设备安置和保护

b. 支持性设施

c. 布缆安全

d. 设备维护

e. 组织场所外的设备安全

f. 设备的安全处置或再利用

g. 资产的移动

3.3通信和操作管理

3.3.1操作程序和职责

a. 文件化的操作程序

b. 变更管理

c. 责任分割

d. 开发、测试和运行设施分离

3.3.2第三方服务交付管理

a. 服务交付

b. 第三方服务的监视和评审

c. 第三方服务的变更管理

3.3.3系统规划和验收

a. 容量管理

b. 系统验收

3.3.4防范恶意和移动代码

a. 控制恶意代码

b. 控制移动代码

3.3.5备份

a. 信息备份

3.3.6网络安全管理

a. 网络控制

b. 网络服务的安全

3.3.7介质处置

a. 可移动介质的管理

b. 介质的处置

c. 信息处理程序

d. 系统文件安全

3.3.8信息的交换

a. 信息交换策略和程序

b. 交换协议

c. 运输中的物理介质

d. 电子消息发送

e. 业务信息系统

3.3.9电子商务服务

a. 电子商务

b. 在线交易

c. 公共可用信息

3.3.10监视

a. 审核日志

b. 监视系统的使用

c. 日志信息的保护

d. 管理员和操作员日志

e. 故障日志

f. 时钟同步

3.4访问控制

3.4.1访问控制的业务要求

a. 访问控制策略

3.4.2用户访问管理

a. 用户注册

b. 特殊权限管理

c. 用户口令管理

d. 用户访问权的复查

3.4.3用户职责

a. 口令使用

b. 无人值守的用户设备

c. 清空桌面和屏幕策略

3.4.4网络访问控制

a. 使用网络服务的策略

b. 外部连接的用户鉴别

c. 网络上的设备标识

d. 远程诊断和配置端口的保护

e. 网络隔离

f. 网络连接控制

g. 网络路由控制

3.4.5操作系统访问控制

a. 安全登录程序

b. 用户标识和鉴别

c. 口令管理系统

d. 系统实用工具的使用

e. 会话超时

f. 联机时间的限定

3.4.6应用和信息访问控制

a. 信息访问限制

b. 敏感系统隔离

3.4.7移动计算和远程工作

a. 移动计算和通信

b. 远程工作

3.5信息系统获取、开发和维护

3.5.1信息系统的安全要求

a. 安全要求分析和说明

3.5.2应用中的正确处理

a. 输入数据验证

b. 内部处理的控制

c. 消息完整性

d. 输出数据验证

3.5.3密码控制

a. 使用密码控制的策略

b. 密钥管理

3.5.4系统文件的安全

a. 运行软件的控制

b. 系统测试数据的保护

c. 对程序源代码的访问控制

3.5.5开发和支持过程中的安全

a. 变更控制程序

b. 操作系统变更后应用的技术评审

c. 软件包变更的限制

d. 信息泄露