网络空间安全专业人员认证网络安全风险评估、网络安全应急处理、云计算安全、物联网安全考试大纲.docxVIP

附 录G （规范性） 网络安全风险评估考试大纲 G.1 目的 为使考生达到本认证规范中网络空间安全专业人员在网络安全风险评估方向二级、三级能力要求，指导考生有效准备考试，特制定本考试大纲（以下简称大纲）。 G.2 考试内容 G.2.1专业课程要求 表G.1课程要求 课程名称 课程类型 选择范围 网络安全风险管理人员基本素质 基础课程 全部 网络安全风险管理意识教育 基础课程 全部 网络安全法律法规体系 基础课程 全部 网络安全风险管理基础 专业课程 全部 网络安全风险管理基础（H级） 专业课程 全部 网络安全风险管理基础（HH级） 专业课程 全部 信息安全风险评估实施方法 专业课程 全部 信息安全风险评估案例分析 专业课程 全部 G.3 各课程知识点要求 G.3.1 网络安全风险管理基础 表G.2 网络安全风险管理基础课程内容与要求 章节号 章节名 内容与要求 1 职业素养 了解从事网络安全风险管理工作必备的职业素养 2 知识结构 理解从事网络安全风险管理工作的基础知识 3 工作技能 理解从事网络安全风险管理工作的基础技能 G.3.2 信息安全风险评估的基础理念 表G.3信息安全风险评估的基础理念课程内容与要求 章节号 章节名 内容与要求 1 信息安全风险评估的基本概念 风险评估的介绍、基本注意事项 2 信息安全风险评估相关标准 了解国际上通用的信息安全风险评估标准以及国内的风险评估标准 3 信息安全风险评估的发展与现状 了解国内信息安全风险评估的发展、现状 G.3.3 信息安全风险评估框架及流程 表G.4 信息安全风险评估框架及流程内容与要求 章节号 章节名 内容与要求 1 信息安全风险评估的主要内容 掌握风险评估的依据、原则；风险评估基础模型、风险分析原理、风险评估方法介绍 2 信息系统生命周期各阶段的风险评估 掌握信息系统规划、设计、实施、运维、废弃阶段的信息安全风险评估 3 风险评估管理工具及评估工具介绍 掌握风险评估管理工具（MBSA、COBRA）、评估工具（极光远程安全评估系统、天镜脆弱性扫描与管理系统、KALH渗透测试工具）使用方法 G.3.4 信息安全风险评估实施方法 表G.4 信息安全风险评估实施方法内容与要求 章节号 章节名 内容与要求 1 信息安全风险实施1 资产识别（资产分类、资产赋值）、威胁识别（威胁分类、威胁赋值）、脆弱性识别（脆弱性识别、脆弱性赋值） 2 信息安全风险实施2 确认已有安全措施，对识别的风险进行分析，风险计算原理，风险结果判定，制定风险处置计划 3 信息安全风险报告编制 掌握风险评估记录方法，风险评估工作形式（自评估、检查评估），风险计算方法（矩阵法计算风险、相乘法计算风险） 4 风险评估辅助工具使用 风险评估资产调研表、人员访谈模板、基线检查模板、风险评估工作申请单、项目计划及会议纪要 5 风险评估脆弱性识别工具使用 掌握极光远程安全评估系统、天镜脆弱性扫描与管理系统、KALH渗透测试等工具使用方法 G.3.5 网络安全风险防范 表G.5网络安全风险防范内容与要求 章节号 章节名 内容与要求 1 信息系统安全风险说明 掌握信息系统的安全属性，安全风险要素，风险评估与控制模型。 2 信息系统资源分布模型及基于信息资产的风险识别与分析 掌握信息网络安全风险识别过程，信息网络系统的威胁识别，信息系统的脆弱性识别，信息系统的风险分析。 3 网络安全机制设计 掌握网络安全攻防，安全等设计方法。 4 网络安全访问控制策略设计 掌握网络安全访问控制策略的特点，理解当前网络安全访问控制策略的设计。 5 网络云端安全设计 掌握网络安全云端安全机制，理解云计算云服务的安全策略设计。 6 网络安全系统实现 掌握网络安全系统设计流程，理解安全平台使用的各种安全机制及其实施。 G.3.5 网络安全风险管理 表G.6 网络安全风险管理内容与要求 章节号 章节名 内容与要求 1 网络安全系统风险评估 掌握信息保护设计原则，风险属性等 2 网络安全系统统合规性监管 掌握网络安全设备合规性监管及制定网络安全合规程度的方法，掌握构建或调整网络合规性监管方法 3 网络安全风险事件管理与取证 掌握网络安全事件管理内容，理解网络安全事件响应方法的制定、规划与实施，检测与分析以及取证等解决办法 4 网络安全风险运维 掌握网络安全系统生命周期，理解网络安全与风险管理规划、部署、管理、监控与检测、修复与处置等方面的运维方法 G.3.6 信息安全风险评估案例分析 表G.6 信息安全风险评估案例分析内容与要求 章节号 章节名 内容与要求 1 信息安全风险评估概述 确定评估的内容、评估的依据 2 安全现状分析 对系统进行介绍、编制资产调查列表、描述网络现状 3 风险评估内容 进行安全评估综合分析，具体包括：威胁评估、网络设备安全评估