标准 / 信息安全
ISO/IEC 27001:2022
信息安全管理体系
标准的完整参考资料,外加ISTO理解测验和可下载的大纲。全球最知名的信息安全管理框架——帮助组织管理网络风险、保护信息资产,并在人员、政策和技术层面构建韧性。
70K+
全球已颁发证书数
150+
采用 ISO 27001 的国家数
#1
信息安全标准
1. 关于 ISO 27001
ISO/IEC 27001 是全球最知名的信息安全管理体系(ISMS)标准。它定义了ISMS必须满足的要求,为任何规模、各行各业的公司提供建立、实施、保持并持续改进信息安全管理体系的指南。遵循该标准,组织可以管理诸如财务信息、知识产权、员工数据以及第三方委托的信息等资产的安全。
符合 ISO/IEC 27001 意味着组织已建立一套体系,用于管理与其拥有或处理的数据安全相关的风险,并且该体系遵循该标准所载的所有最佳实践和原则。作为更广泛的 ISO/IEC 27000 系列的一部分,它可通过共享的 Annex SL 高层结构与 ISO 9001 等其他管理体系标准轻松整合。
为什么 ISO 27001 很重要?
商业效益包括:
网络韧性
贯穿人员、政策和技术的整体方法,帮助组织抵御网络攻击,并从中断和数据泄露中迅速恢复。
风险管理
该标准提供了一个系统框架,在信息安全风险演变为代价高昂的事件之前,对其加以识别、评估和处置。
相关方信任
验证彰显对信息安全的真诚承诺,让客户、监管机构、投资者和供应链伙伴确信数据得到妥善保护。
持续改进
ISO 27001 鼓励的定期审核与评审使组织能够调整其控制措施,以应对不断变化的威胁态势和日益严格的监管要求。
ISO 27001:2022 及其2024年修订案
ISO/IEC 27001:2022 将 Annex A 重组为四个控制主题,修订案 1:2024 增加了气候变化考量。我们的大纲已紧跟当前要求——针对最新版进行备考。
2. 关于 ISO/IEC 27001:2022 的 ISTO 理解测验
本测验专为ISO管理体系标准(“MSS”)专业人士设计,例如中高层管理人员、负责人(如条款 5.3 所定义)、内部审核员、第三方验证机构审核员以及对MSS实施成效起关键作用的顾问。这是一项选择题测验,设有三种成果:
- 验证考生对相应标准的理解
- 测量在八(8)个 A·C·C·U·R·A·T·E 分析维度中的理解程度
- 在个性化分析报告中对考生表现进行排名
考生将获得
成就证书
可验证的理解力证明,附带唯一URL。
点击放大 ↗
个性化分析报告
包含您在八个维度上的 A·C·C·U·R·A·T·E 分析,以及您相对于测验人群的百分位排名。
点击放大 ↗
不仅仅是理解
ISTO测验不仅关注对标准要求的理解,还旨在确保通过测验者已展示出对底层管理体系原则、定义、适用性的掌握,能够区分明确要求与未明确要求,并理解该标准的实务实施。
公信力
ISO 27001 审核员/顾问/讲师的雇主会发现,ISTO TOU 资格是其甄选过程中的良好基准,因为 ISTO TOU 能提升员工整体绩效的卓越性与一致性。拥有 ISTO TOU 凭证的课程讲师能够为学员提供更准确、更完整的标准讲解。
3. 理解测验的结构
ISTO TOU由选择题组成,每题有四(4)个备选项,其中只有一(1)项为“最佳”选项。ISTO TOU是限制式开卷在线测验,但考生可参阅相应ISO标准的无标注副本,这是测验期间唯一允许的参考资料。在在线测验中,除测验窗口外,还会在单独的窗口中提供标准副本。
四选一,择优
每道题都有唯一的最佳答案。
限制式开卷,在线
在ISTO测验门户上进行。
侧窗中的标准
参阅 ISO 27001 的无标注副本——这是唯一允许的参考资料。
1) ISO/IEC 27001 的哪个条款规定了信息安全风险评估的要求?
题目总览
一级测验与二级测验的区别
一级测验评估考生对ISO管理体系标准(MSS)基本原则和要求的理解。二级是一项综合测验,涵盖原则、要求以及在各种场景和业务领域中的实施。
| 一级 — 从业人员 | 二级 — 专业人员 | |
|---|---|---|
| 等级 | 从业人员 | 专业人员 |
| 作答时间 | 120 分钟 | 180 分钟 |
| 题目数量 | 80 | 120 |
| 通过标准达到通过标准的考生将获得成就证书 | 60% | 70% |
| 优异标准达到优异标准的考生将获得优异成就证书 | 80% | 85% |
| A·C·C·U·R·A·T·E 分析所有考生都将收到一份报告,显示其在星形图中八(8)个维度各自的理解程度及相对排名 | ✓ 含报告 | ✓ 含报告 |
测验各部分明细
题目在各等级中的分布方式。
第 1 部分
20 题
原则与定义、适用性、条款 4.3
第 2 部分
30 题
基于条款 4、5、6、9 和 10(条款 4.3 除外)的管理体系要求
第 3 部分
30 题
基于条款 7 和 8 的运行要求
第 1 部分
30 题
原则与定义、适用性、条款 4.3
第 2 部分
30 题
基于条款 4、5、6、9 和 10(条款 4.3 除外)的管理体系要求
第 3 部分
30 题
基于条款 7 和 8 的运行要求
第 4 部分
30 题
六(6)个场景,每个场景五(5)道题,侧重实务方面
4. A·C·C·U·R·A·T·E 分析
基于ISTO的研究并经ISTO技术顾问委员会认可,对ISO管理体系标准的理解程度可归纳为八(8)个理解维度。
- Ac标准中与文件相关的实际(Actual)要求。
- Co概念(Concept)——管理体系标准所依据的管理原则。这包括标准所要求的活动顺序。
- CISO 管理体系标准中某项特定要求的唯一条款(Clause)引用。
- U标准中未规定(Unspecified)的要求(即并不存在的要求)。
- R标准中某项确定的要求(Requirement,即要求的文本)。
- A标准的适用性(Applicability)。这包括某项要求的意图以及标准的范围。
- T标准中使用的术语和定义(Terms and definitions)。一般而言,这些在每项 ISO 管理体系标准的第 3 条款中加以定义。就 ISO 9001 QMS 而言,术语和定义在 ISO 9000 标准中加以定义。
- E标准中与文件相关的错误(Erroneous)要求。
5. 测验说明与大纲
两个等级,提供七种语言版本。选择一份文档进行下载。
一级 — 从业人员
二级 — 专业人员
6. 测验语言可用情况
ISO/IEC 27001:2022
信息安全管理体系
English
English
English, Español, Français, Portuguese, 中文 (HK), 中文 (PRC), 中文 (TW)
7. 资源与延伸阅读
ISO/IEC 27001:2022 有哪些新内容
标准更新 · 6 分钟
一级 vs 二级:哪项测验适合您?
指南 · 4 分钟
解读2024年气候变化修订案
标准更新 · 5 分钟