國(guó)家信息安全水平考試

知識(shí)體系大綱

（信息系統(tǒng)審計(jì)專項(xiàng)）

NISP專項(xiàng)證書管理中心

2020年12月30日

國(guó)家信息安全水平考試（NISP）知識(shí)體系大綱

目錄

目錄..............................................................................................................................1

一、概述........................................................................................................................4

1.1適用范圍........................................................................................................5

1.2大綱框架結(jié)構(gòu)................................................................................................5

1.3知識(shí)體系構(gòu)成及考試....................................................................................6

二、專項(xiàng)基礎(chǔ)模塊........................................................................................................7

2.1知識(shí)域：網(wǎng)絡(luò)與網(wǎng)絡(luò)安全設(shè)備....................................................................7

2.1.1知識(shí)子域：網(wǎng)絡(luò)與網(wǎng)絡(luò)設(shè)備.............................................................7

2.1.2知識(shí)子域：防火墻.............................................................................7

2.1.3知識(shí)子域：邊界安全設(shè)備.................................................................7

2.1.4知識(shí)子域：入侵檢測(cè)與網(wǎng)絡(luò)審計(jì).....................................................7

2.1.5知識(shí)子域：虛擬專網(wǎng)（VPN）.........................................................7

2.2知識(shí)域：Window系統(tǒng)安全基礎(chǔ).................................................................8

2.2.1知識(shí)子域：windows終端安全........................................................8

2.2.2知識(shí)子域：windowsserver安全設(shè)置............................................8

2.2.3知識(shí)子域：windows系統(tǒng)服務(wù)配置................................................8

2.3知識(shí)域：Linux系統(tǒng)服務(wù)及安全管理..........................................................8

2.3.1知識(shí)子域：Linux系統(tǒng)終端安全......................................................8

2.3.2知識(shí)子域：Linux系統(tǒng)服務(wù)安全部署..............................................8

2.4知識(shí)域：Web應(yīng)用安全基礎(chǔ).......................................................................8

2.4.1知識(shí)子域：Web瀏覽器安全............................................................8

2.4.2知識(shí)子域：HTTP協(xié)議.....................................................................9

2.5知識(shí)域：數(shù)據(jù)庫(kù)安全....................................................................................9

2.5.1知識(shí)子域：數(shù)據(jù)庫(kù)安全基礎(chǔ).............................................................9

2.5.2知識(shí)子域：數(shù)據(jù)庫(kù)安全配置及管理.................................................9

2.6知識(shí)域：Web服務(wù)軟件安全.......................................................................9

2.6.1知識(shí)子域：IIS服務(wù)配置及安全管理...............................................9

-1-

國(guó)家信息安全水平考試（NISP）知識(shí)體系大綱

2.6.2知識(shí)子域：Web服務(wù)配置及安全管理............................................9

2.7知識(shí)域：信息安全法律及標(biāo)準(zhǔn)..................................................................10

2.7.1知識(shí)子域：網(wǎng)絡(luò)安全法...................................................................10

2.7.2知識(shí)子域：等級(jí)保護(hù).......................................................................10

2.7.3知識(shí)子域：關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例.......................................10

2.7.4知識(shí)子域：個(gè)人信息保護(hù)法...........................................................10

2.8知識(shí)域：信息系統(tǒng)審計(jì)工具......................................................................10

2.8.1知識(shí)子域：信息系統(tǒng)審計(jì)工具.......................................................10

2.8.1知識(shí)子域：文檔及數(shù)據(jù)編輯工具...................................................11

2.8.2知識(shí)子域：python語言基礎(chǔ)..........................................................11

三、專項(xiàng)能力模塊.....................................................................................................12

3.1知識(shí)域：信息系統(tǒng)審計(jì)基礎(chǔ).......................................................................12

3.1.1知識(shí)子域：審計(jì)與信息系統(tǒng)審計(jì)...................................................12

3.1.2知識(shí)子域：信息系統(tǒng)審計(jì)實(shí)施基礎(chǔ)...............................................12

3.1.3知識(shí)子域：信息系統(tǒng)審計(jì)依據(jù)和規(guī)范...........................................12

3.1.4知識(shí)子域：信息系統(tǒng)審計(jì)測(cè)試.......................................................12

3.2知識(shí)域：信息系統(tǒng)審計(jì)流程.......................................................................13

3.2.1知識(shí)子域：信息系統(tǒng)審計(jì)前期階段...............................................13

3.2.2知識(shí)子域：信息系統(tǒng)審計(jì)實(shí)施階段...............................................13

3.2.3知識(shí)子域：信息系統(tǒng)審計(jì)完成階段...............................................13

3.3知識(shí)域：風(fēng)險(xiǎn)管理與IT治理審計(jì).............................................................13

3.3.1知識(shí)子域：風(fēng)險(xiǎn)管理.......................................................................13

3.3.2知識(shí)子域：IT治理基礎(chǔ)..................................................................13

3.3.3知識(shí)子域：IT治理方法與審計(jì)......................................................14

3.4知識(shí)域：信息安全管理審計(jì).......................................................................14

3.4.1知識(shí)子域：信息安全管理基礎(chǔ).......................................................14

3.4.2知識(shí)子域：信息安全管理體系建設(shè)...............................................14

3.4.3知識(shí)子域：信息安全管理審計(jì).......................................................14

-2-

國(guó)家信息安全水平考試（NISP）知識(shí)體系大綱

3.5知識(shí)域：業(yè)務(wù)連續(xù)性審計(jì)...........................................................................14

3.5.1知識(shí)子域：業(yè)務(wù)連續(xù)性管理...........................................................14

3.5.2知識(shí)子域：災(zāi)難備份與恢復(fù)...........................................................14

3.5.3知識(shí)子域：業(yè)務(wù)連續(xù)性審計(jì)...........................................................15

3.6知識(shí)域：信息系統(tǒng)購(gòu)置與建設(shè)審計(jì)...........................................................15

3.6.1知識(shí)子域：項(xiàng)目管理.......................................................................15

3.6.2知識(shí)子域：系統(tǒng)安全工程能力成熟度模型...................................15

3.6.3知識(shí)子域：信息資產(chǎn)保護(hù)...............................................................15

3.6.4知識(shí)子域：新技術(shù)應(yīng)用審計(jì)...........................................................15

3.7知識(shí)域：物理風(fēng)險(xiǎn)與網(wǎng)絡(luò)通信安全審計(jì)...................................................16

3.7.1知識(shí)子域：物理環(huán)境風(fēng)險(xiǎn)審計(jì).......................................................16

3.7.2知識(shí)子域：基礎(chǔ)網(wǎng)絡(luò)架構(gòu)...............................................................16

3.7.3知識(shí)子域：網(wǎng)絡(luò)安全設(shè)備...............................................................16

3.7.4知識(shí)子域：網(wǎng)絡(luò)通信安全審計(jì).......................................................16

3.8知識(shí)域：計(jì)算環(huán)境安全審計(jì).......................................................................16

3.8.1知識(shí)子域：操作系統(tǒng)安全審計(jì).......................................................16

3.8.2知識(shí)子域：Web及電子郵件應(yīng)用安全審計(jì).................................16

3.8.3知識(shí)子域：數(shù)據(jù)庫(kù)安全審計(jì)...........................................................17

3.9知識(shí)域：業(yè)務(wù)系統(tǒng)開發(fā)審計(jì)......................................................................17

3.9.1知識(shí)子域：軟件安全開發(fā)生命周期...............................................17

3.9.2知識(shí)子域：業(yè)務(wù)系統(tǒng)安全測(cè)試與代碼審計(jì)...................................17

3.9.3知識(shí)子域：業(yè)務(wù)應(yīng)用風(fēng)險(xiǎn)審計(jì).......................................................17

3.10知識(shí)域：信息系統(tǒng)運(yùn)營(yíng)管理審計(jì).............................................................17

3.10.1知識(shí)子域：信息系統(tǒng)運(yùn)營(yíng)管理....................................................17

3.10.2知識(shí)子域：日志審計(jì)....................................................................18

3.10.3知識(shí)子域：安全事件處置及應(yīng)急響應(yīng)........................................18

-3-

國(guó)家信息安全水平考試（NISP）知識(shí)體系大綱

一、概述

信息安全作為我國(guó)信息化建設(shè)健康發(fā)展的重要因素，關(guān)系到貫徹落實(shí)科學(xué)發(fā)

展觀、全面建設(shè)小康社會(huì)、構(gòu)建社會(huì)主義和諧社會(huì)和建設(shè)創(chuàng)新型社會(huì)等國(guó)家戰(zhàn)略

舉措的實(shí)施，是國(guó)家安全的重要組成部分。我國(guó)信息安全保障體系建設(shè)，需要完

善信息安全立法，做好信息安全頂層設(shè)計(jì)，強(qiáng)化信息基礎(chǔ)設(shè)施建設(shè)，特別地，需

要加強(qiáng)信息安全人才培養(yǎng)與管理。在信息系統(tǒng)安全保障工作中，人是最核心、也

是最活躍的因素，人員的信息安全意識(shí)、知識(shí)與技能已經(jīng)成為保障信息系統(tǒng)安全

穩(wěn)定運(yùn)行的重要基本要素之一，近年來，我國(guó)網(wǎng)絡(luò)安全人才培養(yǎng)取得一定進(jìn)展，

但專業(yè)人才缺口仍然較大。

為培養(yǎng)更多優(yōu)秀的實(shí)踐型網(wǎng)絡(luò)安全人才，中國(guó)信息安全測(cè)評(píng)中心推出了國(guó)家

信息安全水平考試（NationalInformationSecurityTestProgram，簡(jiǎn)稱NISP）。

NISP考試采用理論與實(shí)踐相結(jié)合的教學(xué)模式，是評(píng)定考生掌握信息安全知識(shí)、

技能和本領(lǐng)的全國(guó)性信息安全水平考試體系。NISP水平考試分通用證書和專項(xiàng)

證書，通用證書分為一級(jí)和二級(jí)，分別定位于不同層次的目標(biāo)群體。專項(xiàng)證書面

向特定技術(shù)領(lǐng)域的人才培養(yǎng)。

NISP一級(jí)主要面向各行業(yè)信息系統(tǒng)使用人員及高校非信息安全專業(yè)學(xué)生，

普及信息安全知識(shí)，增強(qiáng)信息安全意識(shí)，提高安全防范技能，為今后工作中能安

全的使用信息系統(tǒng)。

NISP二級(jí)主要面向從事信息安全相關(guān)行業(yè)人員及高校信息安全相關(guān)專業(yè)

學(xué)生，構(gòu)建信息安全知識(shí)框架，幫助學(xué)員形成信息安全保障的總體概念，為國(guó)家

信息安全保障工作的順利實(shí)施打下堅(jiān)實(shí)的理論基礎(chǔ)。

NISP三級(jí)（專項(xiàng)）主要面向有志于從事信息安全相關(guān)行業(yè)的從業(yè)人員，在

理解信息安全基礎(chǔ)知識(shí)基礎(chǔ)上，掌握信息系統(tǒng)安全運(yùn)營(yíng)知識(shí)、滲透測(cè)試、信息系

統(tǒng)審計(jì)、數(shù)據(jù)隱私保護(hù)、工業(yè)控制系統(tǒng)安全等特定信息安全領(lǐng)域的知識(shí)和技能，

為國(guó)家培養(yǎng)跨領(lǐng)域的信息安全專項(xiàng)人才。

-4-

國(guó)家信息安全水平考試（NISP）知識(shí)體系大綱

1.1適用范圍

本大綱從我國(guó)國(guó)情和企事業(yè)單位信息系統(tǒng)審計(jì)人才的需求出發(fā)，結(jié)合我國(guó)網(wǎng)

絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全保障的實(shí)際需求，兼顧知識(shí)體系的全面性、實(shí)用

性和實(shí)踐性。

本大綱明確NISP信息系統(tǒng)審計(jì)專項(xiàng)能力（NISP-A）應(yīng)當(dāng)掌握的知識(shí)要點(diǎn)，

是NISP-A課程教材編制、講師授課、學(xué)員學(xué)習(xí)以及考試命題的重要依據(jù)。

1.2大綱框架結(jié)構(gòu)

NISP課程使用組件模塊化的結(jié)構(gòu)，包括知識(shí)域和知識(shí)子域兩個(gè)層次。

知識(shí)域：是屬于同一技術(shù)領(lǐng)域的知識(shí)內(nèi)容構(gòu)成的相對(duì)獨(dú)立的知識(shí)集合；

知識(shí)子域：是構(gòu)成知識(shí)域的基本模塊，對(duì)知識(shí)域進(jìn)一步分解細(xì)化形成的完整

的知識(shí)組件。每個(gè)知識(shí)子域由一至多個(gè)具體知識(shí)要點(diǎn)構(gòu)成。

圖1：知識(shí)體系組件模塊結(jié)構(gòu)

本大綱規(guī)定了知識(shí)子域中每一個(gè)知識(shí)要點(diǎn)的內(nèi)容和深度要求，分為“了解”、

“理解”和“掌握”三類。

了解：是最低深度要求，學(xué)員需要正確認(rèn)識(shí)該知識(shí)要點(diǎn)的基本概念和原理；

理解：是中等深度要求，學(xué)員需要在正確認(rèn)識(shí)該知識(shí)要點(diǎn)的基本概念和原理

的基礎(chǔ)上，深入理解其內(nèi)容，并可以進(jìn)一步的判斷和推理；

掌握：是最高深度要求，學(xué)員需要正確認(rèn)識(shí)該知識(shí)點(diǎn)的概念、原理，并在深

入理解的基礎(chǔ)上靈活運(yùn)用。

-5-

國(guó)家信息安全水平考試（NISP）知識(shí)體系大綱

1.3知識(shí)體系構(gòu)成及考試

NISP信息系統(tǒng)審計(jì)專項(xiàng)知識(shí)體系包括綜合理論、專項(xiàng)基礎(chǔ)和專項(xiàng)能力三個(gè)

模塊。

綜合理論模塊為所有NISP專項(xiàng)課程通用，采用NISP二級(jí)課程體系。

專項(xiàng)基礎(chǔ)模塊劃分為八個(gè)知識(shí)域，是信息系統(tǒng)審計(jì)專項(xiàng)能力的基礎(chǔ)，在培訓(xùn)

時(shí)可根據(jù)學(xué)員基礎(chǔ)水平安排適當(dāng)課程。該模塊中的知識(shí)在理論考試中均可能作為

考點(diǎn)。

專項(xiàng)能力模塊包括十個(gè)知識(shí)域，在理論考試和實(shí)操考試中會(huì)將此模塊中的知

識(shí)點(diǎn)作為考點(diǎn)。

圖2NISP-A（信息系統(tǒng)審計(jì)專項(xiàng)）知識(shí)體系結(jié)構(gòu)

NISP信息系統(tǒng)審計(jì)專項(xiàng)考試題型為單項(xiàng)選擇題，共100道考題，每題分值

為1分，總分共100分，得到70分以上（含70分）為通過。

-6-

國(guó)家信息安全水平考試（NISP）知識(shí)體系大綱

二、專項(xiàng)基礎(chǔ)模塊

2.1知識(shí)域：網(wǎng)絡(luò)與網(wǎng)絡(luò)安全設(shè)備

2.1.1知識(shí)子域：網(wǎng)絡(luò)與網(wǎng)絡(luò)設(shè)備

了解網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)結(jié)構(gòu)等計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)知識(shí)；

了解路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的工作原理及作用；

了解IP地址規(guī)劃、Vlan等網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃相關(guān)概念。

2.1.2知識(shí)子域：防火墻

了解防火墻產(chǎn)品的基本概念、工作原理及應(yīng)用場(chǎng)景；

了解包過濾、代理、NAT、狀態(tài)檢測(cè)等防火墻應(yīng)用技術(shù)；

了解防火墻部署的方式及防火墻應(yīng)用中的優(yōu)缺點(diǎn)。

2.1.3知識(shí)子域：邊界安全設(shè)備

了解網(wǎng)閘的工作原理及應(yīng)用場(chǎng)景；

了解IPS、UTM等邊界安全防護(hù)設(shè)備的工作原理及應(yīng)用場(chǎng)景；

了解防病毒網(wǎng)關(guān)、上網(wǎng)行為管理等防護(hù)設(shè)備的工作原理及應(yīng)用場(chǎng)景。

2.1.4知識(shí)子域：入侵檢測(cè)與網(wǎng)絡(luò)審計(jì)

了解入侵檢測(cè)系統(tǒng)的基本概念、工作原理及應(yīng)用場(chǎng)景；

了解入侵檢測(cè)系統(tǒng)的數(shù)據(jù)采集、入侵檢測(cè)實(shí)現(xiàn)原理；

了解入侵檢測(cè)產(chǎn)品的類型、部署方式及優(yōu)缺點(diǎn)；

了解網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)庫(kù)審計(jì)等審計(jì)類產(chǎn)品的工作原理、部署方式及應(yīng)用

場(chǎng)景。

2.1.5知識(shí)子域：虛擬專網(wǎng)（VPN）

了解虛擬專網(wǎng)（VPN）的概念，作用及應(yīng)用場(chǎng)景；

了解VPN實(shí)現(xiàn)的技術(shù)原理及隧道模式、傳輸模式的區(qū)別；

了解IPSec、SSL兩種不同VPN協(xié)議的區(qū)別。

-7-

國(guó)家信息安全水平考試（NISP）知識(shí)體系大綱

2.2知識(shí)域：Window系統(tǒng)安全基礎(chǔ)

2.2.1知識(shí)子域：windows終端安全

了解windows終端安全安裝的基本要求；

了解Windows終端安全配置等相關(guān)要求。

2.2.2知識(shí)子域：windowsserver安全設(shè)置

了解windowsserver安全安裝的基本概念要求；

掌握windowsServer安全策略設(shè)置；

掌握windows系統(tǒng)常用命令的使用。

2.2.3知識(shí)子域：windows系統(tǒng)服務(wù)配置

掌握Windowsserver上各類服務(wù)的部署及安全設(shè)置；

了解WindowsServer上VPN、遠(yuǎn)程終端等遠(yuǎn)程管理服務(wù)的部署及安全

設(shè)置。

2.3知識(shí)域：Linux系統(tǒng)服務(wù)及安全管理

2.3.1知識(shí)子域：Linux系統(tǒng)終端安全

了解Linux系統(tǒng)終端安裝過程；

掌握Linux系統(tǒng)常用命令的使用；

了解Linux系統(tǒng)的日常使用及安全策略設(shè)置。

2.3.2知識(shí)子域：Linux系統(tǒng)服務(wù)安全部署

了解Linux系統(tǒng)服務(wù)器安裝過程；

掌握Linux系統(tǒng)上FTP、DNS、Openssh等常用應(yīng)用的安全部署。

2.4知識(shí)域：Web應(yīng)用安全基礎(chǔ)

2.4.1知識(shí)子域：Web瀏覽器安全

了解Web應(yīng)用體系的結(jié)構(gòu)及相關(guān)問題；

理解Web客戶端（瀏覽器）常用的安全機(jī)制及安全風(fēng)險(xiǎn)；

-8-

國(guó)家信息安全水平考試（NISP）知識(shí)體系大綱

理解瀏覽器端面臨的網(wǎng)頁(yè)掛馬、網(wǎng)絡(luò)釣魚等攻擊的技術(shù)原理并掌握瀏覽

器安全設(shè)置方法。

了解XML、HMTL等Web應(yīng)用中常用開發(fā)語言。

2.4.2知識(shí)子域：HTTP協(xié)議

理解HTTP協(xié)議的請(qǐng)求、響應(yīng)工作機(jī)制；

了解URL、請(qǐng)求方法（Post、get等）、響應(yīng)狀態(tài)碼等基本概念；

了解cookie、session等機(jī)制及存在的安全風(fēng)險(xiǎn)。

2.5知識(shí)域：數(shù)據(jù)庫(kù)安全

2.5.1知識(shí)子域：數(shù)據(jù)庫(kù)安全基礎(chǔ)

了解SQL的基本概念并掌握Select、update、delete等常用的SQL命

令的使用；

了解數(shù)據(jù)庫(kù)用戶、權(quán)限管理機(jī)制及安全策略；

了解存儲(chǔ)過程、視圖等數(shù)據(jù)庫(kù)機(jī)制對(duì)安全的作用；

掌握數(shù)據(jù)庫(kù)漏洞掃描軟件的使用；

理解針對(duì)數(shù)據(jù)庫(kù)的攻擊方法并掌握如何構(gòu)建安全的數(shù)據(jù)庫(kù)防御體系。

2.5.2知識(shí)子域：數(shù)據(jù)庫(kù)安全配置及管理

掌握SQLserver安全配置、安全管理的方法與工具；

掌握Mysql安全配置、安全管理的方法與工具；

掌握Oracle安全配置、安全管理的方法與工具。

2.6知識(shí)域：Web服務(wù)軟件安全

2.6.1知識(shí)子域：IIS服務(wù)配置及安全管理

掌握IIS服務(wù)網(wǎng)站配置的方法；

掌握IIS安全配置及安全管理的方法；

掌握IIS中Https的配置方法；

掌握IIS日志安全配置及管理相關(guān)要求。

2.6.2知識(shí)子域：Web服務(wù)配置及安全管理

-9-

國(guó)家信息安全水平考試（NISP）知識(shí)體系大綱

掌握基于Apache配置Web網(wǎng)站的方法及安全管理要求；

掌握基于Tomcat配置Web網(wǎng)站及安全管理要求；

了解Nginx、weblogic等其他Linux系統(tǒng)常用Web服務(wù)軟件的配置和管

理要求。

2.7知識(shí)域：信息安全法律及標(biāo)準(zhǔn)

2.7.1知識(shí)子域：網(wǎng)絡(luò)安全法

了解網(wǎng)絡(luò)安全法出臺(tái)相關(guān)背景；

理解網(wǎng)絡(luò)安全法中相關(guān)條款的要求；

理解網(wǎng)絡(luò)安全法配套的其他法律法規(guī)相關(guān)要求。

2.7.2知識(shí)子域：等級(jí)保護(hù)

了解等級(jí)保護(hù)發(fā)展及相關(guān)政策法規(guī)；

掌握等級(jí)保護(hù)定級(jí)方法及流程；

掌握等級(jí)保護(hù)相關(guān)要求及測(cè)評(píng)方法。

2.7.3知識(shí)子域：關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例

了解關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例出臺(tái)背景及相關(guān)政策；

理解關(guān)鍵信息基礎(chǔ)設(shè)施劃分范圍；

理解關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)部門的管理職責(zé)；

理解關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例相關(guān)要求。

2.7.4知識(shí)子域：個(gè)人信息保護(hù)法

了解個(gè)人信息保護(hù)法出臺(tái)的背景及想政策；

理解個(gè)人信息保護(hù)相關(guān)規(guī)則和要求。

2.8知識(shí)域：信息系統(tǒng)審計(jì)工具

2.8.1知識(shí)子域：信息系統(tǒng)審計(jì)工具

了解kaliLinux等滲透測(cè)試集成工具包；

掌握KaliLinux在虛擬機(jī)及實(shí)體計(jì)算機(jī)上安裝及配置。、

-10-

國(guó)家信息安全水平考試（NISP）知識(shí)體系大綱

了解系統(tǒng)漏洞掃描、數(shù)據(jù)庫(kù)漏洞掃描、Web漏洞掃描等漏洞掃描軟件的

作用及使用。

2.8.1知識(shí)子域：文檔及數(shù)據(jù)編輯工具

了解WPS文字、Word等文字編輯軟件的使用技巧；

了解WPS幻燈片、Powerpoint等匯報(bào)幻燈片的編寫及使用技巧；

了解WPS表格、Excel等表格及統(tǒng)計(jì)軟件使用技巧。

2.8.2知識(shí)子域：python語言基礎(chǔ)

掌握Python語言環(huán)境的部署；

了解Python腳本在滲透測(cè)試中的應(yīng)用。

-11-

國(guó)家信息安全水平考試（NISP）知識(shí)體系大綱

三、專項(xiàng)能力模塊

3.1知識(shí)域：信息系統(tǒng)審計(jì)基礎(chǔ)

3.1.1知識(shí)子域：審計(jì)與信息系統(tǒng)審計(jì)

了解審計(jì)的基本概念，審計(jì)主體、客體、依據(jù)等概念；

了解我國(guó)審計(jì)的三種組織形式的差異、特點(diǎn)；

理解審計(jì)模式的變遷；

了解信息系統(tǒng)審計(jì)的概念、發(fā)展；

理解信息系統(tǒng)審計(jì)的重要性。

3.1.2知識(shí)子域：信息系統(tǒng)審計(jì)實(shí)施基礎(chǔ)

了解信息系統(tǒng)審計(jì)的目標(biāo)、基本類型、范圍等概念；

了解信息系統(tǒng)審計(jì)一般控制、應(yīng)用控制和系統(tǒng)數(shù)據(jù)三類審計(jì)內(nèi)容；

了解信息系統(tǒng)中進(jìn)行審計(jì)的審閱法、面談法、現(xiàn)場(chǎng)觀察法、調(diào)查問卷法、函

證法的概念。

3.1.3知識(shí)子域：信息系統(tǒng)審計(jì)依據(jù)和規(guī)范

了解信息系統(tǒng)審計(jì)依據(jù)的概念；

了解ISACA審計(jì)準(zhǔn)則體系及我國(guó)信息系統(tǒng)審計(jì)相關(guān)法律、法規(guī)政策；

了解審計(jì)職業(yè)道德規(guī)范；

了解審計(jì)專業(yè)能力和職業(yè)審慎的概念；

了解審計(jì)質(zhì)量控制的概念及方法。

3.1.4知識(shí)子域：信息系統(tǒng)審計(jì)測(cè)試

了解審計(jì)測(cè)試的概念、審計(jì)測(cè)試程序的作用；

理解符合性測(cè)試和實(shí)質(zhì)性測(cè)試方法的差異；

了解黑箱法、白箱法審計(jì)測(cè)試方式的區(qū)別；

了解審計(jì)抽樣的概念，統(tǒng)計(jì)抽樣和非統(tǒng)計(jì)抽樣的區(qū)別及優(yōu)缺點(diǎn)；

了解審計(jì)抽樣的風(fēng)險(xiǎn)及受控再處理法的概念。

-12-

國(guó)家信息安全水平考試（NISP）知識(shí)體系大綱

3.2知識(shí)域：信息系統(tǒng)審計(jì)流程

3.2.1知識(shí)子域：信息系統(tǒng)審計(jì)前期階段

理解前期調(diào)研的工作內(nèi)容；

理解審計(jì)團(tuán)隊(duì)組建工作內(nèi)容；

理解信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)管理工作內(nèi)容；

掌握審計(jì)計(jì)劃制定的方法。

3.2.2知識(shí)子域：信息系統(tǒng)審計(jì)實(shí)施階段

了解審計(jì)過程方法；

掌握審計(jì)證據(jù)收集的工作內(nèi)容；

掌握審計(jì)工作底稿的內(nèi)容及編寫。

3.2.3知識(shí)子域：信息系統(tǒng)審計(jì)完成階段

掌握信息系統(tǒng)審計(jì)報(bào)告編寫方法；

理解提交審計(jì)報(bào)告及后續(xù)工作。

3.3知識(shí)域：風(fēng)險(xiǎn)管理與IT治理審計(jì)

3.3.1知識(shí)子域：風(fēng)險(xiǎn)管理

了解風(fēng)險(xiǎn)管理的概念及常見風(fēng)險(xiǎn)管理模型；

了解風(fēng)險(xiǎn)管理的過程；

了解風(fēng)險(xiǎn)評(píng)估的實(shí)施流程；

了解自評(píng)估、檢查評(píng)估兩種風(fēng)險(xiǎn)評(píng)估方式；

了解定性、定量及半定量等風(fēng)險(xiǎn)評(píng)估方法；

了解控制自我評(píng)估(CSA)的概念。

3.3.2知識(shí)子域：IT治理基礎(chǔ)

了解IT治理的基本概念及與企業(yè)治理、IT管理的關(guān)系；

了解Cobit等IT治理的標(biāo)準(zhǔn)與框架；

了解企業(yè)架構(gòu)的概念及扎克曼模型（Zachman）、SABSA（舍伍德的商業(yè)

應(yīng)用安全架構(gòu)）等企業(yè)安全架構(gòu)的構(gòu)成。

-13-

國(guó)家信息安全水平考試（NISP）知識(shí)體系大綱

3.3.3知識(shí)子域：IT治理方法與審計(jì)

了解IT治理的方法；

了解IT治理組織結(jié)構(gòu)、職責(zé)分離控制等概念；

了解IT治理審計(jì)的概念與審計(jì)的內(nèi)容。

3.4知識(shí)域：信息安全管理審計(jì)

3.4.1知識(shí)子域：信息安全管理基礎(chǔ)

理解信息安全屬性的概念及CIA三元組（保密性、完整性、可用性）；

理解信息安全管理的作用。

3.4.2知識(shí)子域：信息安全管理體系建設(shè)

了解信息安全管理體系實(shí)施成功的基本要素；

了解信息安全管理過程方法；

了解信息安全管理體系建設(shè)過程。

3.4.3知識(shí)子域：信息安全管理審計(jì)

了解信息安全管理控制措施內(nèi)部結(jié)構(gòu)；

了解信息安全管理體系中信息安全方針、信息安全組織、人力資源安全、資

產(chǎn)管理、訪問控制、加密、物理和環(huán)境安全、操作安全、通信安全、系統(tǒng)的

獲取、開發(fā)及維護(hù)、供應(yīng)商關(guān)系、信息安全事件管理、業(yè)務(wù)連續(xù)性管理中的

信息安全、符合性等14個(gè)控制類別的審計(jì)。

3.5知識(shí)域：業(yè)務(wù)連續(xù)性審計(jì)

3.5.1知識(shí)子域：業(yè)務(wù)連續(xù)性管理

了解業(yè)務(wù)連續(xù)性、業(yè)務(wù)連續(xù)性管理的概念；

理解業(yè)務(wù)連續(xù)性管理對(duì)組織機(jī)構(gòu)的重要性；

了解業(yè)務(wù)連續(xù)性管理生命周期六個(gè)階段的工作內(nèi)容；

了解業(yè)務(wù)連續(xù)性政策；

3.5.2知識(shí)子域：災(zāi)難備份與恢復(fù)

了解災(zāi)難備份與恢復(fù)基本概念；

-14-

國(guó)家信息安全水平考試（NISP）知識(shí)體系大綱

了解災(zāi)難備份相關(guān)技術(shù)；

理解災(zāi)難恢復(fù)策略與災(zāi)難恢復(fù)規(guī)劃管理過程。

3.5.3知識(shí)子域：業(yè)務(wù)連續(xù)性審計(jì)

了解業(yè)務(wù)連續(xù)性及災(zāi)難恢復(fù)審計(jì)的內(nèi)容；

理解業(yè)務(wù)連續(xù)性及災(zāi)難恢復(fù)審計(jì)的程序。

3.6知識(shí)域：信息系統(tǒng)購(gòu)置與建設(shè)審計(jì)

3.6.1知識(shí)子域：項(xiàng)目管理

了解項(xiàng)目管理基本概念；

了解項(xiàng)目管理內(nèi)容；

了解項(xiàng)目管理組織結(jié)構(gòu)。

了解信息系統(tǒng)驗(yàn)收流程；

了解系統(tǒng)上線方式；

了解系統(tǒng)驗(yàn)收內(nèi)容。

3.6.2知識(shí)子域：系統(tǒng)安全工程能力成熟度模型

了解能力成熟度模型的概念；

了解系統(tǒng)安全工程能力成熟度模型（SSE-CMM）的體系結(jié)構(gòu)；

了解SSE-CMM中域維及風(fēng)險(xiǎn)過程、工程過程、保證過程中11個(gè)PA的構(gòu)

成；

了解SSE-CMM中1~5級(jí)成熟度級(jí)別的差異。

3.6.3知識(shí)子域：信息資產(chǎn)保護(hù)

了解信息資產(chǎn)管理(