本文轉自:http://www.topsec.com.cn/shpx/rzpx/pxkc/cisp/index.htm
CISP(注冊信息安全專業人員)認證(11天) 中國信息安全產品測評認證中心(CNITSEC)於2002年正式向社會推出“注冊信息安全專業人員”資質認證項目。
一、什么是“注冊信息安全專業人員” “注冊信息安全專業人員”,英文為Certified Information Security Professional,簡稱CISP,是指有關信息安全企業、信息安全咨詢服務機構、信息安全測評認證機構(包含授權測評機構)、社會各組織、團體、企事業有關信息系統(網絡)建設、運行和應用管理的技術部門(含標准化部門)必備的專業崗位人員。CISP資質認證是中國信息安全產品測評認證中心根據國家相關授權對外開展的信息安全測評認證服務項目之一。
二、CISP的基本職能、能力要求與道德標准 1. CISP的基本職能 為信息系統的安全提供技術保障。 2. CISP的基本能力要求 具備一定的教育水准和相關工作經歷 通過規定的培訓,具備較為系統的信息安全知識 通過CISP資質認證考試,具備進行信息安全服務的能力 獲得管理部門頒發的認證證書 3. CISP的道德准則 所有CISP都必須付出努力才能獲得和維持該項認證。為貫徹這條原則,所有的CISP都必須承諾完全遵守道德准則: 必須誠實、公正、負責、守法; 必須勤奮和勝任工作,不斷提高自身專業能力和水平; 必須保護信息系統、應用程序和系統的價值; 必須接受CNITSEC的監督,在任何情況下,不損壞CNITSEC或認證過的聲譽,對CNITSEC針對CISP進行的調查應給予充分的合作; 必須按規定向CNITSEC交納費用。
三、CISP資質認證的特點 1. 國家認證 CNITSEC依據國家授權對外開展信息安全產品、信息系統安全、信息安全服務資質和信息安全人員資質認證業務,並向通過認證者頒發相應證書。“中華人民共和國國家信息安全認證”是國家對信息安全產品質量的最高認可。 2. 知識體系 CISP的知識體系架構中列出了與信息安全保障相關的知識領域,分為信息安全體系及模型、安全技術、安全管理及工程過程四個知識域,從而避免了以往信息安全培訓中僅僅偏重技術、忽視實踐等狹隘認識及片面教學。 3. CISP認證分類 根據實際工作崗位的需要,CISP 分為以下兩類: CISE:“ 注冊信息安全工程師”, 英文為 Certified Information Security Engineer,主要從事信息安全技術開發服務工程建設等工作; CISO:“ 注冊信息安全管理人員”, 英文為 Certified Information Security Officer,主要從事信息安全管理等相關工作;
四、CISP市場需求 企業提升信息安全技術、管理、保障能力的基礎是專業人員以及由專業人員組成的安全組織。企業希望通過專業的安全培訓服務培養專業人員,而基於規范與標准的專業人員認證是體現專業人員價值的基礎。通過CISP培訓、認證: 1、企業受訓員工成為真正的安全專家,認證安全專家能夠滿足長遠的企業信息安全規划、建設、維護能力要求,解決企業遇到的各類信息安全問題 2、擁有多名CISP表明企業對信息系統安全保障的承諾和信心,能夠為客戶提供信賴的服務;
五、CISP適用群體 企業信息安全管理人員 信息安全服務提供商 IT或安全顧問人員 IT審計人員 信息安全類講師或培訓人員 信息安全事件調查人員 其他從事與信息安全相關工作的人員
六、CISP認證要求 1、教育與工作經歷: A、碩士研究生以上,具有1年工作經歷; B、本科畢業,具有2年工作經歷; C、大專畢業,具有4年工作經歷。
2、專業工作經歷: 至少具備1年從事信息安全有關的工作經歷。
七、課程表
| 時間 | 課程編碼 |
課程名稱 |
課時內容 |
| 第一天 |
CISP0101、102 |
信息安全保障基本知識及實踐 |
信息安全保障基本知識 信息安全保障原理 典型信息系統安全模型與框架 信息安全保障工作概況 信息系統安全保障工作基本內容 |
| CISP0501 |
信息安全標准與法規概況 |
信息安全法規與政策概況 重點信息安全法規和政策文件解讀 信息安全道德規范 |
|
| 第二天 |
CISP0502 |
信息安全標准介紹 |
安全標准化概述 信息安全管理標准ISMS/信息安全評估標准CC 等級保護標准 |
| CISP0206 |
操作系統安全 |
操作系統基礎/安全機制 Unix安全實踐 Windows安全實踐 |
|
| CISP0207 |
系統應用 |
數據庫基礎知識及安全機制/數據庫管理系統安全管理/中間件安全web服務基礎、web瀏覽器與服務安全、電子郵件安全/FTP安全、常用軟件安全 |
|
| 第三天 |
CISP0204 |
網絡協議及架構安全 |
TCP/IP協議安全 無線安全/移動通信安全 網絡架構安全 |
| CISP0205 |
網絡安全設備 |
防火牆技術 入侵檢測技術 其他網絡安全技術 |
|
| 第四天 |
CISP0401、02 |
信息安全工程原理及實踐 |
信息安全工程理論背景 安全工程能力成熟度模型 安全工程實施實踐 信息安全工程監理 |
| CISP0302 |
信息安全風險管理 |
風險管理工作內容 信息安全風險評估實踐 |
|
| 第五天,休息 |
|||
| 第六天 |
CISP0201 |
密碼學基礎 |
密碼學基礎概念 密碼學算法(對稱、非對稱、哈希函數) |
| CISP0202 |
密碼學應用 |
VPN技術 PKI/CA系統 |
|
| 第七天 |
CISP0303 |
信息安全管理措施 |
安全基本管理措施 |
| CISP0304 |
重要安全管理過程 |
重要安全管理過程 |
|
| CISP0301 |
信息安全管理體系 |
信息安全管理基本概念 信息安全管理體系建設 |
|
| 第八天 |
CISP0208 |
安全漏洞及惡意代碼 |
惡意代碼基本概念及原理、防御技術 信息安全漏洞/安全攻防基礎 |
| CISP0209 |
安全攻防實踐 |
安全攻防基礎 目標信息收集/密碼破解原理與實踐 緩存溢出原理與實踐 電子欺騙攻擊原理與實例 拒絕服務攻擊原理與實例 網頁腳本漏洞原理與實例 計算機取證 |
|
| 第九天 |
CISP0203 |
訪問控制與審計監控 |
訪問控制模型 訪問控制技術 審計和監控技術 |
| CISP0210 |
軟件安全開發 |
軟件安全開發概況 軟件安全開發的關鍵階段 |
|
| 串講 |
綜合知識梳理 |
||
| 第十天 |
考生考前自由復習 |
||
| 第十一天 |
考試 |
||
八、培訓及考試時間 為了維護CISP考試的嚴肅性和權威性,保證考試的公平與公正,中國信息安全測評中心從2012年4月21日起在北京試行定時定點考試制度。考試地點為國際關系學院