2022年信息安全保障人员认证(CISAW)风险管理方向考试新大纲

2022年信息安全保障人员认证(CISAW)风险管理方向考试大纲修订

　　(基础级/专业级)

　　第一部分 考核目标与要求

　　本考试大纲依据《信息安全保障人员认证准则》，确定信息安全保障人员认证(CISAW)风险管理方向的考试目标和要求。信息安全保障人员认证(CISAW)风险管理方向的考试主要考查

　　考生对信息安全风险管理相关基础知识和基本技能的掌握情况、综合运用所学知识分析和解决实际问题的能力。本考试大纲适用于申请信息安全保障人员认证(CISAW)风险管理方向基础级和专业级的考生。

第二部分 对知识考点内容的要求层次

　　本考试对知识考点层次的要求依次是了解、理解、综合应用三个层次，具体内容要求如下：

　　1. 了解：要求考生对所列知识的含义有初步的、感性的认识，知道这一知识内容是什么，按照一定的程序和步骤照样模仿，并能(或会)在有关的问题中识别和认识它。

　　2. 理解：要求考生对所列知识内容有较深刻的理性认识，知道知识间的逻辑关系，能够对所列知识做正确的描述说明并表达，能够利用所学的知识内容对有关问题进行比较、判别、讨论，具备利用所学知识解决简单问题的能力。

　　3. 综合应用：要求考生能够对所列的知识内容进行推导证明，能够利用所学知识对问题进行分析、研究、讨论，并且加以解决。

　　第三部分 能力要求

　　本考试主要考查考生学习理解能力、逻辑推理能力、实际操作能力、沟通交流能力和综合应用能力。具体能力要求如下：

　　1. 学习理解能力：考生应具有学习能力，能够理解风险管理的基本概念、基本原则、总体框架和实施过程，并掌握风险预防、风险识别和风险处置的基础知识。

　　2. 逻辑推理能力：考生应具有风险管理的逻辑推理和逻辑判断能力，能够根据组织面临的风险独立进行调研和分析，并给出合理的解决方案。

　　3. 实际操作能力：考生应具有风险管理的实操和动手能力，能够熟练使用检测工具实施风险识别;能够针对不同的风险采取适当的处置方式和控制措施进行风险处置。

　　4. 沟通交流能力：考生应具有风险管理过程中沟通、交流和协调能力，能够挖掘客户需求、寻求管理层支持、反馈阶段性成果，保证风险管理各环节信息沟通的及时和顺畅。

　　5. 综合应用能力：考生应具有综合运用所学理论知识解决风险管理实际问题的能力，能够制订风险评价准则、管理评估团队、实施风险评估、分析计算和评价风险、撰写风险评估报告;能够制定风险

　　处置计划和方案、实施风险处置并对风险处置效果做出评价，做好风险控制，全面和准确把控风险管理过程。

第五部分 试卷满分及考试时间

　　本考试为笔试试卷，满分 120 分。考试时间为 150 分钟，84 分含)为合格分。如考生有作弊行为则该考生最终笔试成绩为 0 分。

　　考生笔试考试成绩为“合格”的，该考生可根据《信息安全保障人员认证准则》相关要求，被授予基础级或专业级认证证书。

试题题型的变化

新版风险管理试题在原有单选题、多选题和综合题的基础上，增加了简答题和计算题。

变更前的旧版试卷题型和分数为：单选题1分*80道+多选题1分*20道+综合题20分*1道 = 120分；

变更后的新版试卷题型和分数为：单选题1分*70道+多选题2分*10道+简答题10分*1道+计算题10分*1道+综合题10分*1道 = 120分。

考试时间的变化

新版风险管理的认证考试时间由原先的3个小时压缩至2个半小时。

知识点掌握的层次变化

新版考试大纲明确了考生对知识点掌握的层次要求，即“了解”、“理解”和“综合应用”。了解是最基本的识记要求，理解是在了解的基础之上，综合应用是在了解和理解的基础之上，三者层层递进、渐次提高。同时，新版考试大纲也明确提出了对考生的能力要求，即“学习理解能力”、“逻辑推理能力”、“实际操作能力”、“沟通交流能力”和“综合应用能力”。

试卷内容结构的变化

新版考试大纲对CISAW风险管理方向的考试内容进行了优化，在重新梳理知识点的基础上，进一步明确了知识内容及所占比例，力求使考生明确CISAW风险管理方向的考核目标、内容分布和培训重点。新版考试大纲也对考核的知识内容做出了详细的说明，并针对各知识内容提出了相应的能力要求。

考试大纲变化的总结

本次新版考试大纲减少了对知识点“死记硬背”的考核要求，增加了“计算题”和“综合题”的考核，更加重视考查考生对所学知识的“活学活用”技能。同时对原有的考核知识点进行了再次梳理，加入了最新的风险管理方法和技术的考核内容，使考查范围更加全面。网络与信息安全风险管理是一项对实操性要求很高的工作，在充分掌握基础理论知识的同时，考生还应具有可以基于不同业务环境，熟练准确利用风险评估工具和评估方法开展风险评估及风险处置等工作。新版考试大纲的修订是中心进一步做好CISAW考试认证工作的重要举措。

信息安全保障人员（CISAW）风险管理方向认证简介

　　中国网络安全审查技术与认证中心依据《信息安全人员认证准则》，发布了信息安全保障人员认证（CISAW）风险管理方向的考试和人员认证。

　　信息安全保障人员认证（CISAW）风险管理方向的人员认证着重考查认证申请人员在信息安全风险管理方面的基础知识、基本技能、综合运用所学知识分析和解决实际问题的能力。

什么人员适合申请信息安全保障人员（CISAW）风险管理方向认证

　　政府部门、企事业单位从事网络与信息安全服务的各级管理人员和技术人员，特别是从事信息安全风险管理、信息安全风险评估的专业人员，以及与信息安全保障工作相关的人员。

信息安全保障人员（CISAW）风险管理方向认证级别划分

　　信息安全保障人员认证（CISAW）风险管理方向认证分为基础级、专业级和专业高级三个级别，认证申请人员在通过基础专业级考试后，可依据工作经历和项目经历要求申请基础级或专业级认证；在取得专业级认证证书后，通过专业高级认证考查后可以申请专业高级。具体级别工作经历要求见下：

　　> 基础级认证工作经历要求

　　获证人员应通过信息安全保障人员认证（CISAW）风险管理方向考试，同时至少满足下面一项要求：

　　a) 本科（含）以上学历， 1 年以上从事信息安全有关工作经历；

　　b) 专科毕业，3 年以上从事信息安全有关的工作经历；

　　c) 5 年以上从事信息安全有关的工作经历；

　　d) 具有信息技术相关专业的初级技术职称，并且至少 1 年以上从事信息安全保障相关工作经历。

　　> 专业级认证工作经历要求

　　获证人员应通过信息安全保障人员认证（CISAW）风险管理方向考试，同时至少满足下面一项要求：

　　a) 硕士研究生（含）以上学历，2 年以上从事信息安全有关工作经历，并且至少 1 年从事与风险管理专业方向相关的工作经历；

　　b) 本科毕业，4 年以上从事信息安全有关工作经历，并且至少 2 年以上从事风险管理专业方向相关的工作经历；

　　c) 专科毕业，6 年以上从事信息安全有关工作经历，并且至少 2 年以上从事风险管理专业方向相关的工作经历；

　　d) 7 年以上从事信息安全有关工作经历，并且至少 2 年以上从事与风险管理专业方向相关的工作经历；

　　e) 具有信息技术相关专业的中级技术职称，并且从事至少 2 年以上风险管理专业方向相关的工作经历。

　　> 专业高级认证工作经历要求

　　获证人员应取得信息安全保障人员认证（CISAW）风险管理方向专业级证书，并通过信息安全保障人员认证（CISAW）风险管理方向专业高级考核，同时至少满足下面一项要求：

　　a) 硕士研究生（含）以上学历， 3 年以上从事信息安全有关工作经历，并且至少 2 年以上从事风险管理方向相关的工作经历；

　　b) 本科毕业，5 年以上从事信息安全有关工作经历，并且至少 3 年以上从事风险管理方向相关的工作经历；

　　c) 专科毕业，7 年以上从事信息安全有关工作经历，并且至少 3 年以上从事风险管理方向相关的工作经历；

　　d) 8 年以上从事信息安全有关工作经历，并且至少 3 年以上从事风险管理方向相关的工作经历；

　　e) 具有信息技术相关专业的高级技术职称，并且至少 3 年以上从事风险管理方向相关的工作经历。