國家注冊信息安全專業(yè)人員CISP 2018版

培訓(xùn)教育培訓(xùn)教育TrainingServices國家注冊信息安全專業(yè)人員CISP培訓(xùn)邀請函【認(rèn)證機(jī)構(gòu)介紹】中國信息安全測評中心(以下簡稱中心)是經(jīng)中央批準(zhǔn)成立的國家信息安全權(quán)威測評機(jī)構(gòu)，職能是開展信息安全漏洞分析和風(fēng)險(xiǎn)評估工作，對信息技術(shù)產(chǎn)品、信息系統(tǒng)和工程的安全性進(jìn)行測試與評估。對信息安全服務(wù)和人員的資質(zhì)進(jìn)行審核與評價(jià)。英文名稱為：ChinaInformationTechnologySecurityEvaluationCenter，簡稱：CNITSEC。中國信息安全測評中心始建于1997年，1998年以“中國互聯(lián)網(wǎng)絡(luò)安全產(chǎn)品測評認(rèn)證中心”的名稱試運(yùn)行。同年經(jīng)國家技術(shù)監(jiān)督局授權(quán)為“中國國家信息安全測評認(rèn)證中心”。2001年，中央機(jī)構(gòu)編制委員會將其正式定名為“中國信息安全產(chǎn)品測評認(rèn)證中心”，并批準(zhǔn)了相應(yīng)的職能任務(wù)和機(jī)構(gòu)編制。2007年，經(jīng)中央批準(zhǔn)，增加漏洞分析和風(fēng)險(xiǎn)評估職能，更名為“中國信息安全測評中心”，成為國家信息安全專控隊(duì)伍。【培訓(xùn)機(jī)構(gòu)介紹】谷安學(xué)院（GOOANNINSTITUTE），位于中國北京，隸屬北京谷安天下科技有限公司，其前身是谷安培訓(xùn)，是中國信息安全人才培養(yǎng)和學(xué)術(shù)研究的重要基地之一。谷安學(xué)院的校訓(xùn)為“格物致知，知行合一”，以服務(wù)國家和行業(yè)為己任，以培養(yǎng)德才兼?zhèn)涞男畔踩瞬艦樽谥?，聚集了一批業(yè)內(nèi)一流的信息安全專家學(xué)者，為政府、央企、銀行、證券、保險(xiǎn)、電信、移動、交通、電力、安全廠商、互聯(lián)網(wǎng)公司、高校等行業(yè)培養(yǎng)優(yōu)秀信息安全專業(yè)人才幾萬人，創(chuàng)造了大批科研成果，影響和推動了中國信息安全行業(yè)的發(fā)展。經(jīng)過多年的發(fā)展，谷安學(xué)院形成了專業(yè)教育、認(rèn)證培訓(xùn)、就業(yè)培訓(xùn)、安全意識教育、在線教育為支柱的教育培訓(xùn)體系；課程體系涵蓋信息安全意識、信息安全管理、信息安全技術(shù)、信息系統(tǒng)審計(jì)、大數(shù)據(jù)、云安全等重要領(lǐng)域。谷安學(xué)院在教學(xué)中秉承國際化的視野，不僅傳遞知識、還分享實(shí)戰(zhàn)經(jīng)驗(yàn)，突出應(yīng)用型人才培養(yǎng)特點(diǎn)，注重實(shí)踐型、啟發(fā)型教學(xué)。近年來，谷安學(xué)院瞄準(zhǔn)世界前沿，同時(shí)加強(qiáng)國內(nèi)外合作，與國內(nèi)外一流的大學(xué)、社會組織、科研機(jī)構(gòu)建立了合作關(guān)系，并與清華大學(xué)、網(wǎng)信辦、中國信息安全測評中心、中國信息安全認(rèn)證中心、公安部、美國計(jì)算機(jī)協(xié)CompTIA、(ISC)2、ISACA、Gartner等組織機(jī)構(gòu)開展了實(shí)質(zhì)性的合作?！綜ISP認(rèn)證課程介紹】CISP認(rèn)證概述信息安全作為我國信息化建設(shè)健康發(fā)展的重要因素，關(guān)系到貫徹落實(shí)科學(xué)發(fā)展觀、全面建設(shè)小康社會、構(gòu)建社會主義和諧社會及建設(shè)創(chuàng)新型社會等國家戰(zhàn)略舉措的實(shí)施，是國家安全的重要組成部分。在信息系統(tǒng)安全保障工作中，人是最核心、也是最活躍的因素，人員的信息安全意識、知識與技能已經(jīng)成為保障信息系統(tǒng)安全穩(wěn)定運(yùn)行的重要基本要素之一。注冊信息安全專業(yè)人員（CISP）是對我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的信息安全專業(yè)人員開展在職培訓(xùn)的重要形式，多年來為落實(shí)我國有關(guān)政策“加快信息安全人才培養(yǎng)，增強(qiáng)全民信息安全意識”的指導(dǎo)精神，構(gòu)建信息安全人才體系發(fā)揮了巨大作用。CISP根據(jù)實(shí)際崗位工作需要，CISP分為三類,分別是“注冊信息安全工程師”,英文為CertifiedInformationSecurityEngineer（簡稱CISE）;“注冊信息安全管理人員”，英文為CertifiedInformationSecurityOfficer(簡稱CISO)，“注冊信息安全審核員”英文為CertifiedInformationSecurityAuditor(簡稱CISA)。其中CISE主要從事信息安全技術(shù)開發(fā)服務(wù)工程建設(shè)等工作，CISO從事信息安全管理等相關(guān)工作，CISA從事信息系統(tǒng)的安全性審核或評估等工作。這三類注冊信息安全專業(yè)人員是有關(guān)信息安全企業(yè)，信息安全咨詢服務(wù)機(jī)構(gòu)、信息安全測評機(jī)構(gòu)、社會各組織、團(tuán)體、企事業(yè)有關(guān)信息系統(tǒng)（網(wǎng)絡(luò)）建設(shè)、運(yùn)行和應(yīng)用管理的技術(shù)部門（含標(biāo)準(zhǔn)化部門）必備的專業(yè)崗位人員，其基本職能是對信息系統(tǒng)的安全提供技術(shù)保障，其所具備的專業(yè)資質(zhì)和能力，系經(jīng)中國信息安全測評中心實(shí)施注冊。CISP認(rèn)證知識體系結(jié)構(gòu)CISE/CISO知識體系使用組件模塊化的結(jié)構(gòu)，包括知識域、知識子域、知識點(diǎn)三個層次。每個知識點(diǎn)根據(jù)內(nèi)容和深度要求，分為“了解”、“理解”、和“掌握”三類。了解：是最低深度要求，學(xué)員需要正確認(rèn)識該知識要點(diǎn)的基本概念和原理；理解：是中等深度要求，學(xué)員需要在正確認(rèn)識該知識要點(diǎn)的基本概念和原理的基礎(chǔ)上，深入理解其內(nèi)容，并可以進(jìn)一步的判斷和推理；掌握：是最高深度要求，學(xué)員需要正確認(rèn)識該知識要點(diǎn)的概念、原理，并在深入理解的基礎(chǔ)上靈活運(yùn)用。CISE/CISO的知識體系結(jié)構(gòu)，包括信息安全保障、信息安全規(guī)劃、信息安全實(shí)現(xiàn)、信息安全運(yùn)營、信息安全管理、信息安全評估、軟件安全開發(fā)、法律法規(guī)政策與標(biāo)準(zhǔn)共八個知識域。每個知識域包括多個知識子域，每個知識子域包括一個或多個知識點(diǎn)要求。下圖為CISE/CISO知識體系結(jié)構(gòu)框架：CISP培訓(xùn)課程大綱【2018年1月啟用新版大綱認(rèn)證】：序號課程名稱1信息安全保障2法律法規(guī)政策與標(biāo)準(zhǔn)3安全支撐技術(shù)與保障新領(lǐng)域4物理環(huán)境與網(wǎng)絡(luò)通信安全5計(jì)算環(huán)境安全6信息安全管理7信息安全工程8安全評估9安全運(yùn)營10軟件安全開發(fā)CISP知識域與知識點(diǎn)【2018年1月啟用新版大綱認(rèn)證】CISP知識域CISP知識子域CISP知識點(diǎn)一、知識域：信息安全保障1.1知識子域：信息安全概念1.1.2信息安全屬性1.1.3信息安全視角1.1.4信息安全發(fā)展階段1.1.5信息安全國家戰(zhàn)略1.2知識子域：安全保障框架模型1.2.1基于時(shí)間的PDR與PPDR模型1.2.2信息安全保障技術(shù)框架1.2.3信息系統(tǒng)安全保障評估框架1.2.4舍伍德的商業(yè)應(yīng)用安全架構(gòu)1.3知識子域：信息安全保障工作內(nèi)容與方法1.3.1信息安全保障工作內(nèi)容1.3.2信息安全保障工作方法1.4知識子域：信息安全工程1.4.1安全工程基礎(chǔ)1.4.2信息安全工程理論基礎(chǔ)1.4.3信息系統(tǒng)安全工程1.4.4安全工程能力成熟度模型1.4.5SSE-CMM安全工程過程1.4.6SSE-CMM安全工程能力1.4.7安全工程能力成熟度模型評估1.5知識子域：安全保障新領(lǐng)域1.5.1工業(yè)控制系統(tǒng)安全1.5.2云計(jì)算安全與虛擬化1.5.3物聯(lián)網(wǎng)安全1.5.4移動互聯(lián)網(wǎng)安全二、知識域：信息安全規(guī)劃2.1知識子域：風(fēng)險(xiǎn)管理2.1.1風(fēng)險(xiǎn)管理概念2.1.2風(fēng)險(xiǎn)管理常用模型2.1.3信息安全風(fēng)險(xiǎn)管理過程2.2知識子域：密碼學(xué)2.2.1基本概念2.2.2對稱密碼算法2.2.3公鑰密碼算法2.2.4其他密碼服務(wù)2.2.5公鑰基礎(chǔ)設(shè)施2.2.6區(qū)塊鏈2.3知識子域：身份鑒別2.3.1身份鑒別的概念2.3.2基于實(shí)體所知的鑒別2.3.3基于實(shí)體所有的鑒別2.3.4基于實(shí)體特征的鑒別2.3.5kerberos體系2.3.6認(rèn)證、授權(quán)和計(jì)費(fèi)2.4知識子域：訪問控制2.4.1訪問控制模型的基本概念2.4.2自主訪問控制模型2.4.3強(qiáng)制訪問控制模型2.4.4基于角色的訪問控制模型2.4.5基于規(guī)則的訪問控制模型2.4.6特權(quán)管理基礎(chǔ)設(shè)施三、知識域：安全設(shè)計(jì)與實(shí)現(xiàn)3.1知識子域：物理和環(huán)境安全3.1.1環(huán)境安全3.1.2.設(shè)施安全3.1.3.傳輸安全3.2知識子域：網(wǎng)絡(luò)和通信安3.2.1OSI模型及安全體系3.2.2TCP/IP協(xié)議安全3.2.3設(shè)計(jì)網(wǎng)絡(luò)安全體系3.2.4無線局域網(wǎng)安全3.2.5近距離無線通信安全3.2.6網(wǎng)絡(luò)攻擊及防范3.2.7網(wǎng)絡(luò)安全防護(hù)技術(shù)3.3知識子域：系統(tǒng)環(huán)境安全3.3.1操作系統(tǒng)安全3.3.2信息收集與系統(tǒng)攻擊3.3.3惡意代碼防護(hù)3.4知識子域：應(yīng)用與數(shù)據(jù)安全3.4.1應(yīng)用安全威脅3.4.2Web應(yīng)用安全3.4.3針對Web應(yīng)用的攻擊3.4.4電子郵件安全3.4.5其他互聯(lián)網(wǎng)應(yīng)用3.4.6數(shù)據(jù)庫安全四、知識域：安全運(yùn)營4.1知識子域：安全運(yùn)維4.1.1安全運(yùn)維管理對象4.1.2漏洞評估4.1.3.安全補(bǔ)丁4.1.4安全審計(jì)4.1.5應(yīng)急響應(yīng)4.1.6培訓(xùn)及教育4.2知識子域：內(nèi)容安全4.2.1內(nèi)容安全基礎(chǔ)4.2.2數(shù)字版權(quán)4.2.3信息保護(hù)4.2.4網(wǎng)絡(luò)輿情4.3知識子域：業(yè)務(wù)連續(xù)性管理4.3.1管理方針4.3.2實(shí)施流程4.3.3文化建立4.4知識子域：災(zāi)難備份4.4知識子域：災(zāi)難備份4.4.1災(zāi)備概述4.4.2容災(zāi)規(guī)劃4.4.3災(zāi)備標(biāo)準(zhǔn)4.5知識子域：大數(shù)據(jù)安全4.5.1大數(shù)據(jù)基本概念4.5.2大數(shù)據(jù)安全威脅4.5.3大數(shù)據(jù)安全標(biāo)準(zhǔn)五、知識域：安全管理5.1知識子域：安全管理體系建設(shè)5.1.1信息安全管理5.1.2安全管理體系建設(shè)5.1.3PDCA過程5.2知識子域：安全管理控制措施5.2.1信息安全方針5.2.2信息安全組織5.2.3人力資源安全5.2.4資產(chǎn)管理5.2.5訪問控制5.2.6密碼學(xué)5.2.7物理與環(huán)境安全5.2.8操作安全5.2.9通信安全5.2.10信息獲取、開發(fā)和維護(hù)5.2.11供應(yīng)商關(guān)系5.2.12信息安全事件管理5.2.13信息安全方面的業(yè)務(wù)連續(xù)性管理5.2.14符合性5.3知識子域：社會工程學(xué)5.3.1社會工程學(xué)概念5.3.2社會工程學(xué)利用的人性“弱點(diǎn)”5.3.3社會工程學(xué)攻擊5.3.4社會工程學(xué)防御六、知識域：安全評估6.1知識子域：安全評估基礎(chǔ)6.1.1安全評估概念6.1.2風(fēng)險(xiǎn)評估的基本過程6.1.3風(fēng)險(xiǎn)評估文檔6.2知識子域：安全評估標(biāo)準(zhǔn)6.2.1安全評估標(biāo)準(zhǔn)發(fā)展6.2.2安全評估相關(guān)標(biāo)準(zhǔn)6.3信息系統(tǒng)審計(jì)6.3.1信息系統(tǒng)審計(jì)概念6.3.2信息系統(tǒng)審計(jì)的重要性6.3.3信息系統(tǒng)審計(jì)流程6.3.4信息系統(tǒng)審計(jì)報(bào)告七、知識域：軟件安全開發(fā)7.1知識子域：軟件安全開發(fā)生命周期7.1.1軟件開發(fā)概念及特點(diǎn)7.1.2軟件危機(jī)7.1.3軟件工程方法學(xué)7.1.4軟件生命周期模型7.1.5軟件安全保障7.1.6軟件安全開發(fā)生命周期模型7.2知識子域：軟件安全需求及設(shè)計(jì)7.2.1軟件安全需求分析7.2.2軟件安全設(shè)計(jì)7.3知識子域：軟件安全實(shí)現(xiàn)7.3.1安全編碼原則7.3.2代碼安全編譯7.3.3代碼安全審核7.4知識子域：軟件安全測試7.4.1軟件測試7.4.2軟件安全測試7.5知識子域：軟件安全開發(fā)管理過程7.5.1變更管理7.5.2配置管理7.5.3安全培訓(xùn)7.5.4安全監(jiān)理八、知識域：法律法規(guī)、政策與標(biāo)準(zhǔn)8.1知識子域：法律法規(guī)規(guī)章及道德8.1.1我國立法體系8.1.2網(wǎng)絡(luò)安全法8.1.3其他法律網(wǎng)絡(luò)安全相關(guān)條文8.1.4網(wǎng)絡(luò)安全違法責(zé)任8.1.5CISP職業(yè)道德8.2知識子域：網(wǎng)絡(luò)安全政策8.2.1國家網(wǎng)絡(luò)空間安全發(fā)展政策8.2.2我國信息安全政策8.3知識子域：信息安全標(biāo)準(zhǔn)8.3.1信息安全標(biāo)準(zhǔn)基礎(chǔ)8.3.2我國網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)8.4知識子域：等級保護(hù)標(biāo)準(zhǔn)體系8.4.1等級保護(hù)政策發(fā)展過程8.4.2等級保護(hù)標(biāo)準(zhǔn)體系8.4.3等級保護(hù)實(shí)施流程8.4.4等級保護(hù)要求體系8.4.5等級保護(hù)測評【CISP認(rèn)證程序及要求】CISP認(rèn)證程序流程如下圖【CISP認(rèn)證要求人員滿足下面條件】1、教育與工作經(jīng)歷碩士研究生以上，具有1年工作經(jīng)歷；或本科畢業(yè)，具有2年工作經(jīng)歷；或大專畢業(yè)，具有4年工作經(jīng)歷。2、專業(yè)工作經(jīng)歷，至少具備1年從事信息安全有關(guān)的工作經(jīng)歷。3、培訓(xùn)資格在申請認(rèn)證前的一年內(nèi)，成功地完成了CNITSEC或其授權(quán)培訓(xùn)機(jī)構(gòu)組織的注冊信息安全專業(yè)人員培訓(xùn)課程相應(yīng)資質(zhì)所需的分類課程，并取得培訓(xùn)合格證書。通過由CNITSEC舉行的注冊信息安全專業(yè)人員考試；【培訓(xùn)教材】中國信息安全測評中心標(biāo)準(zhǔn)CI