七，知识域：安全评估

​6.1知识域：安全评估基础

​6.1.1安全评估概念

了解安全评估的定义，价值，风险评估工作内容及安全评估工具类型。

了解安全评估标准的发展。

​6.1.2安全评估标准

了解TCSEC标准的基本目标和要求，分级等概念。

了解ITSEC标准的适用范围，功能准则和评估准则的级别。

了解ISO 15408标准的适用范围，作用和使用中的局限性。

了解GB/18336的结构，作用及评估过程。

理解评估对象（TOE），保护轮廓（PP），安全目标（ST），评估保证级（EAL）等关键概念。

了解信息安全等级评测的作用和过程。

​6.2知识子域：安全评估实施​

6.2.1风险评估相关要素

​理解资产，威胁，脆弱性，安全风险，安全措施，残余风险等风险评估相关要素及相互关系。

​6.2.2风险评估途径与方法

​ 了解基线评估等风险评估途径及自评估，检查评估等风险评估方法。

了解基于知识的评估，理解定性评估，定量评估的概念及区别并掌握定量分析中量化风险的方法。

​6.2.3风险评估的基本过程

​ 了解风险评估基本过程。

理解风险评估准备工作内容。

掌握风险识别中资产的赋值方法。

理解风险风险的方法。

了解风险结果判定，风险处理计划，残余风险评估等阶段工作内容。

​6.3.4风险评估文档

​ 了解风险评估文档化工作的重要性及对文档的相关要求。

​6.3知识子域：信息系统审计

​6.3.1审计原则与方法

了解信息系统审计职能，流程，内部控制及审计标准。

​6.3.2审计技术控制

​了解脆弱性措施，渗透测试等审计技能控制措施。​

​6.3.3审计管理控制

了解账户管理，备份验证等审计管理控制措施。

​6.3.4审计报告

​了解信息系统审计报告标准SAS70和SOC。