“注冊信息安全專業人員(yuán)” ,英文爲Certified Information Security Professional (簡稱CISP)簡稱CISP,是由中(zhōng)國信息安全測評中(zhōng)心2002年推出的信息安全從業人員(yuán)專業資(zī)質認證。
注冊信息安全專業人員(yuán)是有關信息安全企業,信息安全咨詢服務機構、信息安全測評機構、社會各組織、團體(tǐ)、企事業有關信息系統(網絡)建設、運行和應用管理的技術部門(含标準化部門)必備的專業崗位人員(yuán),其基本職能是對信息系統的安全提供技術保障,其所具備的專業資(zī)質和能力,系經中(zhōng)國信息安全測評中(zhōng)心實施注冊。
根據工(gōng)作領域和實際崗位,CISP分(fēn)爲五個類别:
1、注冊信息安全工(gōng)程師( Certified Information Security Engineer,CISE)面向信息安全技術領域的工(gōng)作人員(yuán),該培訓将使相關人員(yuán)具備構建信息系統安全架構,制定并實施信息安全技術措施的能力,對信息系統的安全運行提供系統的技術保障。
2、注冊信息安全管理員(yuán)(Certified Information Security Officer,CISO)面向信息安全管理領域的工(gōng)作人員(yuán),該培訓将使相關人員(yuán)具備構建信息安全管理體(tǐ)系,實施信息安全管理措施的能力,對信息系統的安全提供全面的管理。
3、注冊信息安全審計師(Certified Information Security Auditor,CISP-AUDITOR)面向信息安全審計領域的工(gōng)作人員(yuán),該培訓将使相關人員(yuán)具備制定信息安全審計方案,實施信息安全審計,評判信息安全控制措施有效性的能力。從事信息安全審計的人員(yuán)。
4、注冊信息安全災難恢複工(gōng)程師(Certified Information Security Disaster Recovery Personnel,CISP-DRP)面向信息系統災難恢複領域的工(gōng)作人員(yuán),該培訓将使相關人員(yuán)具備較強的信息系統災難恢複建設、實施和管理的能力。
5、注冊信息安全開(kāi)發人員(yuán)(Certified Information Security Developer,CISD)面向信息系統研發領域的工(gōng)作人員(yuán),通過該培訓将使相關人員(yuán)熟悉軟件安全開(kāi)發的背景和過程,掌握軟件安全開(kāi)發各階段的目的、主要任務和技術手段。
CISP知(zhī)識體(tǐ)系結構共包含五個知(zhī)識類,分(fēn)别爲:
信息安全保障概述:介紹了信息安全保障的框架、基本原理和實踐,它是注冊信息安全專業人員(yuán)首先需要掌握的基礎知(zhī)識。
信息安全技術:主要包括密碼技術、訪問控制、審計監控等安全技術機制,網絡、操作系統、數據庫和應用軟件等方面的基本安全原理和實踐,以及信息安全攻防和軟件安全開(kāi)發相關的技術知(zhī)識和實踐。
信息安全管理:主要包括信息安全管理體(tǐ)系建設、信息安全風險管理、安全管理措施等相關的管理知(zhī)識和實踐。
信息安全工(gōng)程:主要包括信息安全相關的工(gōng)程的基本理論和實踐方法。
信息安全标準法規:主要包括信息安全相關的标準、法律法規、政策和道德規範,是注冊信息安全專業人員(yuán)需要掌握的通用基礎知(zhī)識。
CISP認證培訓内容(供參考):
時間 | 課程名稱 | 課程内容 |
第一(yī)單元 | 信息安全保障 | 信息安全保障背景 |
信息安全保障概念與模型 | ||
典型信息系統安全模型與框架 | ||
信息安全保障現狀 | ||
信息系統安全保障工(gōng)作主要内容 | ||
信息安全保障工(gōng)作方法 | ||
信息安全法規、政策、标準和道德規範 | 信息安全法規與政策概況 | |
信息安全标準基礎與标準化組織 | ||
信息安全标準體(tǐ)系 | ||
我(wǒ)國信息安全典型标準介紹 | ||
信息技術通行道德規範 | ||
信息安全從業人員(yuán)道德規範 | ||
第二單元 | 信息安全管理基礎與管理體(tǐ)系 | 信息安全管理概述 |
信息安全管理方法與實施 | ||
信息安全管理體(tǐ)系基礎 | ||
信息安全管理體(tǐ)系建設 | ||
信息安全控制措施 | ||
信息安全風險管理 | 風險管理工(gōng)作内容 | |
信息安全風險管理主要内容 | ||
信息安全風險評估 | ||
第三單元 | 信息安全控制措施 | 安全方針與信息安全組織 |
資(zī)産管理與人力資(zī)源安全 | ||
物(wù)理和環境安全 | ||
通信和操作管理 | ||
訪問控制與信息系統獲取、開(kāi)發與維護 | ||
應急響應與災難恢複 | 應急響應概況 | |
信息系統災難恢複 | ||
災難恢複相關技術 | ||
第四單元 | 網絡安全 | 網絡協議安全 |
網絡安全設備 | ||
網絡架構安全 | ||
安全漏洞與惡意代碼 | 惡意代碼基本概念及原理、防禦技術 | |
信息安全漏洞/安全攻防基礎 | ||
第五單元 | 安全攻擊與防護 | 信息收集與分(fēn)析 |
常見攻擊與防護 | ||
後門設置與防範 | ||
痕迹清除與防範 | ||
密碼學基礎 | 密碼學基礎概念與發展簡史 | |
密碼學算法(對稱、非對稱、哈希函數) | ||
第六單元 | 密碼學應用 | 密碼學應用基礎 |
公鑰基礎設施 | ||
虛拟專用網絡 | ||
特權管理基礎設施 | ||
其他密碼學應用介紹 | ||
操作系統安全 | 操作系統安全概述 | |
Linux系統安全機制 | ||
Windows系統安全機制 | ||
安全操作系統 | ||
第七單元 | 數據庫及應用安全 | 數據庫系統概述 |
數據庫安全概述 | ||
數據庫運行安全防護 | ||
鑒别與控制訪問 | 鑒别 | |
訪問控制模型 | ||
訪問控制技術 | ||
第八單元 | 信息安全工(gōng)程 | 信息安全工(gōng)程基礎 |
信息安全工(gōng)程能力評估 | ||
軟件安全開(kāi)發 | 軟件安全開(kāi)發概況 | |
軟件安全開(kāi)發的關鍵工(gōng)作 |
“注冊信息安全員(yuán)”(Certified Information Security Member)簡稱CISM是中(zhōng)國信息安全測評中(zhōng)心開(kāi)展的信息安全基本技能的資(zī)質認證,較CISP培訓來講,CISM培訓課程内容的深度和廣度均低于CISP培訓課程,其知(zhī)識體(tǐ)系與課程内容如下(xià):
CISM 認證培訓内容(供參考)
時間 | 課程名稱 | 課程内容 |
第一(yī)天 | 信息安全保障概述 | 信息安全保障理論及實踐 |
信息安全法規政策标準 | ||
信息安全工(gōng)程 | 了解系統安全工(gōng)程能力成熟度模型(SSE-CMM) | |
了解信息系統安全工(gōng)程模模型(ISSE) | ||
第二天 | 信息安全管理基礎 | 信息安全管理基礎及應急響應 |
信息安全管理體(tǐ)系 | ||
網絡安全技術 | 密碼及網絡安全 | |
終端及數據安全 | ||
信息安全攻防技術 | ||
第三天 | 系統應用安全技術 | 掌握Windows安全策略及安全配置 |
掌握系統終端使用安全 | ||
了解常見應用軟件安全問題和防範方法 | ||
安全攻防 | 惡意代碼與防範 | |
網絡安全攻防技術 |