“注册信息安全专业人员”资质评估认证简介.docx

注册信息安全专业人员”资质评估认证简介中国信息安全产品测评认证中心（CNITSEC）于2002年正式向社会推出“注册信息安全专业人员” 资质认证项目一、 什么是“注册信息安全专业人员”“注册信息安全专业人员"，英文为 Certified Information Security Professional，简 称CISP，是指有关信息安全企业、信息安全咨询服务机构、信息安全测评认证机构（包含授权 测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部 门（含标准化部门）必备的专业岗位人员CISP资质认证是中国信息安全产品测评认证中心根 据国家相关授权对外开展的信息安全测评认证服务项目之一根据实际工作岗位的需要，CISP分为以下三类：1. CISE,"注册信息安全工程师"，英文为 Certified Information Security Engineer， 主要从事信息安全技术开发服务工程建设等工作；2. CISO， “注册信息安全管理人员”，英文为 CertifiedInformationSecurityOfficer， 主要从事信息安全管理等相关工作；3. CISA， “注册信息安全审核人员” ，英文为 Certified Information SecurityAuditor， 主要从事信息系统的安全测试、审核和评估等工作。

二、 CISP的基本职能、能力要求与道德标准1. CISP 的基本职能为信息系统的安全提供技术保障2. CISP 的基本能力要求• 具备一定的教育水准和相关工作经历• 通过规定的培训，具备较为系统的信息安全知识• 通过CISP资质认证考试，具备进行信息安全服务的能力• 获得管理部门颁发的认证证书3. CISP 的道德准则所有CISP都必须付出努力才能获得和维持该项认证为贯彻这条原则，所有的CISP都必 须承诺完全遵守道德准则：必须诚实、公正、负责、守法；• 必须勤奋和胜任工作，不断提高自身专业能力和水平；• 必须保护信息系统、应用程序和系统的价值；• 必须接受CNITSEC的监督，在任何情况下，不损坏CNITSEC或认证过程的声誉，对 CNITSEC针对CISP进行的调查应给予充分的合作；• 必须按规定向CNITSEC交纳费用三、CISP资质认证的特点1. 国家认证CNITSEC 依据国家授权对外开展信息安全产品、信息系统安全、信息安全服务资质和信息安 全人员资质认证业务，并向通过认证者颁发相应证书中华人民共和国国家信息安全认证”是 国家对信息安全产品质量的最高认可2. 知识体系CISP 的知识体系架构中列出了与信息安全保障相关的知识领域，分为信息安全体系及模型、 安全技术、安全管理及工程过程四个知识域（见图 1），从而避免了以往信息安全培训中仅仅偏 重技术、忽视实践等狭隘认识及片面教学。

3. 课程设计根据CISP知识体系架构设计的培训课程涵盖了信息安全理论、信息安全技术、信息安全工 程与管理以及信息安全标准及法律法规四个模块，使参加培训的学员得到全面、系统的学习此 外，课程还根据岗位和职业的要求突出了不同岗位人员的学习侧重，以及不同岗位需要学习的专 门课程4. 资质认证分类 根据工作岗位及职能的不同以及这些岗位的能力需求，对信息安全从业人员的资质进行分类认证，其中包括注册信息安全工程师（CISE）、注册信息安全管理人员（CISO）、注册信息 安全审核员（CISA）5. 持续性学习通过对 CISP 资质认证的维持，鼓励获证人员积极参与、从事与信息安全相关的专业活动， 保持持续性学习状态，以便将认证与其自身的职业发展紧密地结合起来通过知识体系架构、培训课程设计和资质认证三部分的有机结合，CISP资质认证已经形成一套以知识体系架构为纲、模块化课程设计为基础，以信息安全保障培训教育为最终目标的信息安全专业人员认证体系通过对人员职业资质的评估与认证，为信息安全相关从业人员的能力做出权威性的认可与保证，同时，有效的监督与鼓励机制，将最大程度地确保认证质量，并促进获证人员自身的职业发展。

Irteniet 安全体至惜直安全 测评认还信息安全体系与模型信息安全意识与基础知识图 1 ：CISP 知识体系四、 CISP的资质评估1. CISP 资质评估CISP 资质评估是评估机构（实验室）对信息安全从业人员的专业资质及相关能力作出独立 而客观的评价，其目的是为 CISP 认证提供证据，同时，参加评估还可以使申请者对自身的知识 掌握有一个较为清晰的了解2. CISP资质评估机构CISP 资质的评估机构为中国信息安全产品测评认证中心系统工程实验室于1999年建立的 系统工程实验室是 CNITSEC 直属的、经中国实验室国家认可委员会认可的第三方信息安全测评机 构该实验室主要面向社会开展信息安全领域的产品、信息系统（网络）、信息安全服务资质、 信息安全专业人员测评业务目前，系统工程实验室已拥有较强的信息安全测评技术水平，建立 了一整套科学的信息安全测评方法，积累了丰富的信息安全测评经验，并具备一定的信息安全标 准开发能力实验室一贯坚持“质量第一”的方针，以“科学的方法、先进的技术、公正的态度、 优质的服务”为宗旨，为社会提供高水平、高质量的信息安全测评服务3. CISP 资质评估依据系统工程实验室依据实验室自身开发并经信息安全测评认证管理委员会确认和 CNITSEC 注 册的《注册信息安全专业人员资质评估准则》，开展对信息安全专业人员的测评活动。

五、 CISP 资质认证流程CISP 资质认证可以划分为四个阶段，即，申请阶段、评估阶段、认证阶段和监督阶段其 中：申请阶段——申请者应了解认证流程及相关手续，确定认证目标，参加并完成 CISP 资质认 证培训将申请所需的各类资料准备齐全，并向实验室提起申请评估阶段——系统工程实验室将依据注册信息安全专业人员资质评估准则，采用相应评估 方法，通过一定的评估程序，对申请评估的人员进行测试与评估，并依据测评过程中取得的记录 和结果数据，生成该人员的测评结论该结论将作为认证证据递交CNITSEC,供人员认证时使用， 同时，结论也会通知申请者本人知晓认证阶段——CNITSEC依据信息安全专业人员资质的相关评估标准，按照规定的程序对信息 安全从业人员的专业资质及能力进行认证，以确定其所能达到的能力水平维持阶段一一CNITSEC为了保证通过认证的人员在认证证书有效期内，持续保持其资质与能力水平，对所有获证人员进行认证维持监督CISP 资质认证的流程如下图所示：考试通过认证通过无法维持认证图2： CISP资质认证流程1. 申请阶段(1) 相关信息的咨询CISP申请者应先了解有关资质的各种相关前提条件和知识体系框架，根据自己岗位和职业 发展需求选择相应资质认证目标。

图 3 ：CISP 培训与资质认证(2) 参加知识培训为了具备CISP的基本知识水平，申请者应在申请认证前的一年内，参加并完成由CNITSEC 或有其授权的培训机构组织的信息安全专业人员培训的全部课程，并取得培训合格(结业)证书培训对象一一CISP资质认证培训的主要对象是具有一定相关工作经验的技术、管理及审核 人员培训教材——CISP培训所用教材由CNITSEC组织编写，其内容紧密结合“注册信息安全专 业人员”培训、考试及认证的相关知识要求培训机构一一提供CISP资质认证培训服务的机构必须得到CNITSEC的授权，其培训服务行 为将受 CNITSEC 的严格监督CISP 资质认证授权培训机构名录：授权证书编号授权培训机构名称CNITSEC-ATA-001北京天融信网络安全技术有限公司CNITSEC-ATA-002联想计算机系统技术服务有限公司CNITSEC-ATA-003北京冠群金辰软件有限公司CNITSEC-ATA-004北京清华万博网络技术股份有限公司CNITSEC-ATA-005广东省颐东通讯公司CNITSEC-ATA-007深圳市安络科技有限公司CNITSEC-ATA-008上海金诺网络安全技术发展股份有限公司CNITSEC-ATA-009吉首大学张家界学院CNITSEC-ATA-010北京世纪互联信息系统有限公司CNITSEC-ATA-011北京启明星辰信息技术有限公司CNITSEC-ATA-012北京银长城信息技术有限公司CNITSEC-ATA-013北京中贸技术培训中心有限公司CNITSEC-ATA-016中国信息安全产品测评认证中心云南测评中心授课讲师培训讲师资格须经CNITSEC认定，其授课资质由CNITSEC统一审核，并予以公示。

培训课程CISE和CISO的培训课程见下表:CISE课程内容建议授课时间信息安全理论信息安全保障体系、信息安全模型、信息安全测评认证1.5天信息安全技术密码技术、网络与通信安全、防火墙、入侵检测技术、 VPN、PKI/CA、Unix安全管理、Windows安全管理、数 据库安全管理、恶意代码、安全编程6天安全工程及管理信息安全管理体系、风险评估、安全工程、应急响应、 灾难备份与恢复、安全攻防、物理安全4.5天安全标准和法律法规信息安全标准、信息安全法律法规1.5天CISO课程内容建议授课时间信息安全理论信息安全概况、信息安全保障体系、信息安全模型、信息安全测评认证2天信息安全技术密码技术、网络与通信安全、防火墙、入侵检测技术、PKI/CA、VPN、系统安全管理、恶意代码4天安全工程及管理信息安全管理体系、风险评估、安全工程、应急响应、 灾难备份与恢复、安全攻防、物理安全6天CISA在CISE或CISO基础上附加以下课程:CISA课程内容建议授课时间信息安全产品测评信息安全产品测评标准、信息安全产品测评方法、防火墙测试、IDS测试、IC卡测试3天信息系统安全测评信息系统安全测评标准、信息安全管理审核、信息系 统安全测试2天安全标准和法律法规信息安全标准、信息安全法律法规1.5天(3) 提出考试申请申请者须书面填写《注册信息安全专业人员资质认证考试申请表》，并按照申请表要求提交有关的证明资料及培训合格(结业)证书复印件。

2. 评估阶段申请者根据CNITSEC的相关考试安排，参加由CNITSEC组织的相应专业资质考试CISP资 质认证考试试卷由 CNITSEC 系统工程实验室依据相关评估准则及 CISP 知识体系大纲要求编拟 在考试结束后，实验室将安排组织相关人员于考试后 1 个月内在集中封闭、不受干扰的场所完成 阅卷工作阅卷工作结束后，考试结果经实验室审定后，将提交考生本人及 CNITSEC3. 认证阶段(1)申请认证认证类别认证内容注”信息安全专业人员•认证要求1.教育与工作经历•硕士研究生以上，具有1年工作经历；或・本科毕业，具有2年工作经历；或・大专毕业，具有4年工作经历2.专业工作经历至少具备1年从事信息安全有关的工作经历3.培训资格在申请认证前一年内，成功地完成了 CNITSEC或其授权培训机构组 织的信息安全专业人员培训课程的全部课程，并取得培训合格证 书4.通过由CNITSEC举行的注册信息安全专业。