本文转自:http://www.topsec.com.cn/shpx/rzpx/pxkc/cisp/index.htm
CISP(注册信息安全专业人员)认证(11天) 中国信息安全产品测评认证中心(CNITSEC)于2002年正式向社会推出“注册信息安全专业人员”资质认证项目。
一、什么是“注册信息安全专业人员” “注册信息安全专业人员”,英文为Certified Information Security Professional,简称CISP,是指有关信息安全企业、信息安全咨询服务机构、信息安全测评认证机构(包含授权测评机构)、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员。CISP资质认证是中国信息安全产品测评认证中心根据国家相关授权对外开展的信息安全测评认证服务项目之一。
二、CISP的基本职能、能力要求与道德标准 1. CISP的基本职能 为信息系统的安全提供技术保障。 2. CISP的基本能力要求 具备一定的教育水准和相关工作经历 通过规定的培训,具备较为系统的信息安全知识 通过CISP资质认证考试,具备进行信息安全服务的能力 获得管理部门颁发的认证证书 3. CISP的道德准则 所有CISP都必须付出努力才能获得和维持该项认证。为贯彻这条原则,所有的CISP都必须承诺完全遵守道德准则: 必须诚实、公正、负责、守法; 必须勤奋和胜任工作,不断提高自身专业能力和水平; 必须保护信息系统、应用程序和系统的价值; 必须接受CNITSEC的监督,在任何情况下,不损坏CNITSEC或认证过的声誉,对CNITSEC针对CISP进行的调查应给予充分的合作; 必须按规定向CNITSEC交纳费用。
三、CISP资质认证的特点 1. 国家认证 CNITSEC依据国家授权对外开展信息安全产品、信息系统安全、信息安全服务资质和信息安全人员资质认证业务,并向通过认证者颁发相应证书。“中华人民共和国国家信息安全认证”是国家对信息安全产品质量的最高认可。 2. 知识体系 CISP的知识体系架构中列出了与信息安全保障相关的知识领域,分为信息安全体系及模型、安全技术、安全管理及工程过程四个知识域,从而避免了以往信息安全培训中仅仅偏重技术、忽视实践等狭隘认识及片面教学。 3. CISP认证分类 根据实际工作岗位的需要,CISP 分为以下两类: CISE:“ 注册信息安全工程师”, 英文为 Certified Information Security Engineer,主要从事信息安全技术开发服务工程建设等工作; CISO:“ 注册信息安全管理人员”, 英文为 Certified Information Security Officer,主要从事信息安全管理等相关工作;
四、CISP市场需求 企业提升信息安全技术、管理、保障能力的基础是专业人员以及由专业人员组成的安全组织。企业希望通过专业的安全培训服务培养专业人员,而基于规范与标准的专业人员认证是体现专业人员价值的基础。通过CISP培训、认证: 1、企业受训员工成为真正的安全专家,认证安全专家能够满足长远的企业信息安全规划、建设、维护能力要求,解决企业遇到的各类信息安全问题 2、拥有多名CISP表明企业对信息系统安全保障的承诺和信心,能够为客户提供信赖的服务;
五、CISP适用群体 企业信息安全管理人员 信息安全服务提供商 IT或安全顾问人员 IT审计人员 信息安全类讲师或培训人员 信息安全事件调查人员 其他从事与信息安全相关工作的人员
六、CISP认证要求 1、教育与工作经历: A、硕士研究生以上,具有1年工作经历; B、本科毕业,具有2年工作经历; C、大专毕业,具有4年工作经历。
2、专业工作经历: 至少具备1年从事信息安全有关的工作经历。
七、课程表
| 时间 |
课程编码 |
课程名称 |
课时内容 |
|
第一天 |
CISP0101、102 |
信息安全保障基本知识及实践 |
信息安全保障基本知识 信息安全保障原理 典型信息系统安全模型与框架 信息安全保障工作概况 信息系统安全保障工作基本内容 |
|
CISP0501 |
信息安全标准与法规概况 |
信息安全法规与政策概况 重点信息安全法规和政策文件解读 信息安全道德规范 |
|
|
第二天 |
CISP0502 |
信息安全标准介绍 |
安全标准化概述 信息安全管理标准ISMS/信息安全评估标准CC 等级保护标准 |
|
CISP0206 |
操作系统安全 |
操作系统基础/安全机制 Unix安全实践 Windows安全实践 |
|
|
CISP0207 |
系统应用 |
数据库基础知识及安全机制/数据库管理系统安全管理/中间件安全web服务基础、web浏览器与服务安全、电子邮件安全/FTP安全、常用软件安全 |
|
|
第三天 |
CISP0204 |
网络协议及架构安全 |
TCP/IP协议安全 无线安全/移动通信安全 网络架构安全 |
|
CISP0205 |
网络安全设备 |
防火墙技术 入侵检测技术 其他网络安全技术 |
|
|
第四天 |
CISP0401、02 |
信息安全工程原理及实践 |
信息安全工程理论背景 安全工程能力成熟度模型 安全工程实施实践 信息安全工程监理 |
|
CISP0302 |
信息安全风险管理 |
风险管理工作内容 信息安全风险评估实践 |
|
|
第五天,休息 |
|||
|
第六天 |
CISP0201 |
密码学基础 |
密码学基础概念 密码学算法(对称、非对称、哈希函数) |
|
CISP0202 |
密码学应用 |
VPN技术 PKI/CA系统 |
|
|
第七天 |
CISP0303 |
信息安全管理措施 |
安全基本管理措施 |
|
CISP0304 |
重要安全管理过程 |
重要安全管理过程 |
|
|
CISP0301 |
信息安全管理体系 |
信息安全管理基本概念 信息安全管理体系建设 |
|
|
第八天 |
CISP0208 |
安全漏洞及恶意代码 |
恶意代码基本概念及原理、防御技术 信息安全漏洞/安全攻防基础 |
|
CISP0209 |
安全攻防实践 |
安全攻防基础 目标信息收集/密码破解原理与实践 缓存溢出原理与实践 电子欺骗攻击原理与实例 拒绝服务攻击原理与实例 网页脚本漏洞原理与实例 计算机取证 |
|
|
第九天 |
CISP0203 |
访问控制与审计监控 |
访问控制模型 访问控制技术 审计和监控技术 |
|
CISP0210 |
软件安全开发 |
软件安全开发概况 软件安全开发的关键阶段 |
|
|
串讲 |
综合知识梳理 |
||
|
第十天 |
考生考前自由复习 |
||
|
第十一天 |
考试 |
||
八、培训及考试时间 为了维护CISP考试的严肃性和权威性,保证考试的公平与公正,中国信息安全测评中心从2012年4月21日起在北京试行定时定点考试制度。考试地点为国际关系学院