CISP知识体系大纲2.0正式版

注册信息安全专业人员（CISP）知识体系大纲，V2.0注册信息安全专业人员（CISP）知识体系大纲版本：2.0正式版中国信息安全测评中心中国信息安全测评中心 注册信息安全专业人员（CISP）知识体系大纲，V2.0正式版目录前言4第 1 章 注册信息安全专业人员（CISP）知识体系概述51.1 CISP资质认定类别51.2 大纲范围51.3 CISP知识体系框架结构61.4 CISP（CISE/CISO）考试试题结构8第 2 章 知识类：信息安全保障概述102.1 知识体：信息安全保障基本知识102.1.1 知识域：信息安全保障背景102.1.2 知识域：信息安全保障原理112.1.3 知识域：典型信息系统安全模型与框架112.2 知识体：信息安全保障基本实践122.2.1 知识域：信息安全保障工作概况122.2.2 知识域：信息系统安全保障工作基本内容12第 3 章 知识类：信息安全技术143.1 知识体：密码技术143.1.1 知识域：密码学基础153.1.2 知识域：密码学应用153.2 知识体：访问控制与审计监控163.2.1 知识域：访问控制模型173.2.2 知识域：访问控制技术173.2.3 知识域：审计和监控技术183.3 知识体：网络安全183.3.1 知识域：网络协议安全183.3.2 知识域：网络安全设备193.3.3 知识域：网络架构安全193.4 知识体：系统安全203.4.1 知识域：操作系统安全203.4.2 知识域：数据库安全213.5 知识体：应用安全223.5.1 知识域：网络服务安全223.5.2 知识域：个人用户安全233.5.3 知识域：恶意代码233.6 知识体：安全攻防243.6.1 知识域：信息安全漏洞243.6.2 知识域：安全攻防基础253.6.3 知识域：安全攻防实践253.7 知识体：软件安全开发263.7.1 知识域：软件安全开发概况263.7.2 知识域：软件安全开发的关键阶段26第 4 章 知识类：信息安全管理284.1 知识体：信息安全管理体系284.1.1 知识域：信息安全管理基本概念284.1.2 知识域：信息安全管理体系建设294.2 知识体：信息安全风险管理304.2.1 知识域：风险管理工作内容304.2.2 知识域：信息安全风险评估实践314.3 知识体：安全管理措施324.3.1 知识域：基本安全管理措施324.3.2 知识域：重要安全管理过程34第 5 章 知识类：信息安全工程365.1 知识体：信息安全工程原理365.1.1 知识域：安全工程理论背景365.1.2 知识域： 安全工程能力成熟度模型375.2 知识体：信息安全工程实践385.2.1 知识域： 安全工程实施实践385.2.2 知识域： 信息安全工程监理39第 6 章 知识类：信息安全标准法规406.1 知识体：信息安全法规与政策406.1.1 知识域：信息安全相关法律406.1.2 知识域：信息安全国家政策416.2 知识体：信息安全标准426.2.1 知识域：安全标准化概述426.2.2 知识域：信息安全评估标准426.2.3 知识域：信息安全管理标准436.2.4 知识域：等级保护标准436.3 知识体：道德规范446.3.1 知识域：信息安全从业人员道德规范446.3.2 知识域：通行道德规范45前言信息安全作为我国信息化建设健康发展的重要因素，关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施，是国家安全的重要组成部分。在信息系统安全保障工作中，人是最核心、也是最活跃的因素，人员的信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。注册信息安全专业人员（CISP）是对我国网络基础设施和重要信息系统的信息安全专业人员进行资质评定的重要形式。多年来为落实我国有关政策“加快信息安全人才培养，增强全民信息安全意识”的指导精神，构建信息安全人才体系发挥了巨大作用。本大纲从我国国情出发，结合我国网络基础设施和重要信息系统安全保障的实际需求，以知识体系的全面性和实用性为原则，明确规定了注册信息安全专业人员应当掌握的知识要点，是CISP教材编制，讲师授课，学员学习，以及考试命题的重要依据。本大纲包含以下章节：l 第1章 注册信息安全专业人员（CISP）知识体系概述l 第2章 知识类：信息安全保障概述l 第3章 知识类：信息安全技术l 第4章 知识类：信息安全管理l 第5章 知识类：信息安全工程l 第6章 知识类：信息安全标准法规第 1 章 注册信息安全专业人员（CISP）知识体系概述1.1 CISP资质认定类别 “注册信息安全专业人员”，英文为Certified Information Security Professional ，简称CISP，系经中国信息安全测评中心认定的国家信息安全专业人员，具备保障信息系统安全的专业资质。根据岗位工作需要，CISP分为两个基础类别：l “注册信息安全工程师”，英文为Certified Information Security Engineer，简称CISE。证书持有人员主要从事信息安全技术领域的工作，具有从事信息系统安全集成、安全技术测试、安全加固和安全运维的基本知识和能力；l “注册信息安全管理人员”， 英文为Certified Information Security Officer，简称CISO。证书持有人员主要从事信息安全管理领域的工作，具有组织信息安全风险评估、信息安全总体规划编制、信息安全策略制度制定和监督落实的基本知识和能力。“注册信息安全专业人员”在两个基础类别之上还有两个扩展类别：l “注册信息安全专业人员-审计师”，简称CISP-AUDIT（原CISA）。证书持有人主要从事信息安全审计工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息安全风险评估、安全检查实践能力。l “注册信息安全专业人员-灾难恢复工程师”，简称CISP-DRP。证书持有人主要从事信息系统灾难恢复工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息系统灾难恢复建设和管理的实践能力。1.2 大纲范围本大纲涵盖了CISE和CISO两种CISP基础类别注册人员需要掌握的知识要点。CISP-AUDIT注册人员需要在本文规定的知识要点基础上，更加深入地掌握有关信息系统审计和风险评估的知识，有关内容将在CISP-AUDIT专门的知识大纲中进行介绍，而不在本大纲范围内。CISP-DRP注册人员需要在本文规定的知识要点基础上，更加深入地掌握有关信息系统灾难恢复工作的知识，有关内容将在CISP-DRP专门的知识大纲中进行介绍，而不在本大纲范围内。1.3 CISP知识体系框架结构CISP知识体系使用组件模块化的结构，包括知识类、知识体、知识域和知识子域四个层次。l 知识类：是对信息安全保障知识领域的总体划分，包含信息安全专业人员需要掌握的五大知识类别；l 知识体：是知识类中由属于同一技术领域的知识内容构成的相对独立、成体系的知识集合；l 知识域：是对知识体进一步分解细化形成的完整的知识组件；l 知识子域：是构成知识域的基本模块，由一至多个具体知识要点构成。本大纲规定了知识子域中每一个知识要点的内容和深度要求，分为“了解”、“理解”、和“掌握”三类。l 了解：是最低深度要求，学员只需要正确认识该知识要点的基本概念和原理；l 理解：是中等深度要求，学员需要在正确认识该知识要点的基本概念和原理的基础上，深入理解其内容，并可以进行进一步的判断和推理；l 掌握：是最高深度要求，学员需要正确认识该知识要点的概念、原理，并在深入理解的基础上灵活运用。图 11描述了CISP知识体系的结构：图 11：CISP知识体系的组件模块结构在整个注册信息安全专业人员（CISP）的知识体系结构中，共包括信息安全保障概述、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规这五个知识类，每个知识类根据其逻辑划分为多个知识体，每个知识体包含多个知识域，每个知识域由一个或多个知识子域组成。CISP知识体系结构共包含五个知识类，分别为：l 信息安全保障概述：介绍了信息安全保障的框架、基本原理和实践，它是注册信息安全专业人员首先需要掌握的基础知识。l 信息安全技术：主要包括密码技术、访问控制、审计监控等安全技术机制，网络、系统软件和应用等层次的基本安全原理和实践，以及信息安全攻防和软件安全开发相关的技术知识和实践。l 信息安全管理：主要包括信息安全管理体系建设、信息安全风险管理、具体信息安全管理措施等同信息安全相关的管理知识和实践。l 信息安全工程：主要包括同信息安全相关的工程知识和实践。l 信息安全标准法规：主要包括信息安全相关的标准、法律法规和道德规范，是注册信息安全专业人员需要掌握的通用基础知识。图1-2描述了CISP知识体系结构图 12：CISP知识体系结构框架1.4 CISP（CISE/CISO）考试试题结构CISP考试题型均为单项选择题，共100题，每题1分，得到70分以上（含70分）为通过。CISP两种基础类别“注册信息安全工程师”（CISE）和“注册信息安全管理人员”（CISO）的注册人员都需要学习和掌握CISP知识体系结构框架中的所有内容。由于两种注册证书持有人的工作岗位和工作领域的不同，考试的侧重点有所区别，因此，所对应的试题比例不同。表 11中描述了CISE/CISO考试的各知识类的比例。CISP资质类型知识类别CISECISO信息安全保障概述10%10%信息安全技术50%30%信息安全管理20%40%信息安全工程10%10%信息安全标准和法律法规10%10%表 11：CISP（CISE/CISO）试题结构第 2 章 知识类：信息安全保障概述信息安全保障体系概述介绍了信息安全保障的框架、基本原理和实践，它是注册信息安全专业人员首先需要掌握的基础知识。通过本部分的学习，学员应当：l 理解信息安全保障的意义和内涵；l 掌握信息安全保障工作的总体思路和基本实践方法。2.1 知识体：信息安全保障基本知识图 21：知识体：信息安全保障基本知识2.1.1 知识域：信息安全保障背景l 知识子域：信息技术发展阶段u 了解电报/电话、计算机、网络等阶段信息技术发展概况 u 了解信息化和网络对个人、企事业单位和社会团体、经济发展、社会稳定、国家安全等方面的影响： l 知识子域：信息安全发展阶段u 了解通信保密、计算机安全和信息安全保障u 了解各个阶段信息安全面临的主要威胁和防护措施2.1.2 知识域：信息安全保障原理l 知识子域：信息安全的内涵和外延u 理解信息安全的特征与范畴u 理解信息安全的地位和作用u 理解信息安全、信息系统和系统业务使命之间的关系l 知识子域