[转]CISP（注册信息安全专业人员）认证（12天)

本文转自：http://www.topsec.com.cn/shpx/rzpx/pxkc/cisp/index.htm

CISP（注册信息安全专业人员）认证（11天) 中国信息安全产品测评认证中心（CNITSEC）于2002年正式向社会推出“注册信息安全专业人员”资质认证项目。

一、什么是“注册信息安全专业人员”  “注册信息安全专业人员”，英文为Certified Information Security Professional，简称CISP，是指有关信息安全企业、信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员。CISP资质认证是中国信息安全产品测评认证中心根据国家相关授权对外开展的信息安全测评认证服务项目之一。 
二、CISP的基本职能、能力要求与道德标准  1. CISP的基本职能  为信息系统的安全提供技术保障。  2. CISP的基本能力要求  具备一定的教育水准和相关工作经历  通过规定的培训，具备较为系统的信息安全知识  通过CISP资质认证考试，具备进行信息安全服务的能力  获得管理部门颁发的认证证书  3. CISP的道德准则  所有CISP都必须付出努力才能获得和维持该项认证。为贯彻这条原则，所有的CISP都必须承诺完全遵守道德准则：  必须诚实、公正、负责、守法；  必须勤奋和胜任工作，不断提高自身专业能力和水平；  必须保护信息系统、应用程序和系统的价值；  必须接受CNITSEC的监督，在任何情况下，不损坏CNITSEC或认证过的声誉，对CNITSEC针对CISP进行的调查应给予充分的合作；  必须按规定向CNITSEC交纳费用。

三、CISP资质认证的特点  1. 国家认证  CNITSEC依据国家授权对外开展信息安全产品、信息系统安全、信息安全服务资质和信息安全人员资质认证业务，并向通过认证者颁发相应证书。“中华人民共和国国家信息安全认证”是国家对信息安全产品质量的最高认可。  2. 知识体系  CISP的知识体系架构中列出了与信息安全保障相关的知识领域，分为信息安全体系及模型、安全技术、安全管理及工程过程四个知识域，从而避免了以往信息安全培训中仅仅偏重技术、忽视实践等狭隘认识及片面教学。  3. CISP认证分类  根据实际工作岗位的需要，CISP 分为以下两类：  CISE：“ 注册信息安全工程师”， 英文为 Certified Information Security Engineer，主要从事信息安全技术开发服务工程建设等工作；  CISO：“ 注册信息安全管理人员”， 英文为 Certified Information Security Officer，主要从事信息安全管理等相关工作；

四、CISP市场需求  企业提升信息安全技术、管理、保障能力的基础是专业人员以及由专业人员组成的安全组织。企业希望通过专业的安全培训服务培养专业人员，而基于规范与标准的专业人员认证是体现专业人员价值的基础。通过CISP培训、认证：  1、企业受训员工成为真正的安全专家，认证安全专家能够满足长远的企业信息安全规划、建设、维护能力要求，解决企业遇到的各类信息安全问题  2、拥有多名CISP表明企业对信息系统安全保障的承诺和信心，能够为客户提供信赖的服务；

五、CISP适用群体  企业信息安全管理人员  信息安全服务提供商  IT或安全顾问人员  IT审计人员  信息安全类讲师或培训人员  信息安全事件调查人员  其他从事与信息安全相关工作的人员

六、CISP认证要求  1、教育与工作经历:  A、硕士研究生以上，具有1年工作经历；  B、本科毕业，具有2年工作经历；  C、大专毕业，具有4年工作经历。

2、专业工作经历: 至少具备1年从事信息安全有关的工作经历。

七、课程表

时间	课程编码	课程名称	课时内容
第一天	CISP0101、102	信息安全保障基本知识及实践	信息安全保障基本知识  信息安全保障原理  典型信息系统安全模型与框架  信息安全保障工作概况  信息系统安全保障工作基本内容
	CISP0501	信息安全标准与法规概况	信息安全法规与政策概况  重点信息安全法规和政策文件解读  信息安全道德规范
第二天	CISP0502	信息安全标准介绍	安全标准化概述  信息安全管理标准ISMS/信息安全评估标准CC 等级保护标准
	CISP0206	操作系统安全	操作系统基础/安全机制  Unix安全实践  Windows安全实践
	CISP0207	系统应用	数据库基础知识及安全机制/数据库管理系统安全管理/中间件安全web服务基础、web浏览器与服务安全、电子邮件安全/FTP安全、常用软件安全
第三天	CISP0204	网络协议及架构安全	TCP/IP协议安全  无线安全/移动通信安全  网络架构安全
	CISP0205	网络安全设备	防火墙技术  入侵检测技术  其他网络安全技术
第四天	CISP0401、02	信息安全工程原理及实践	信息安全工程理论背景  安全工程能力成熟度模型  安全工程实施实践  信息安全工程监理
	CISP0302	信息安全风险管理	风险管理工作内容  信息安全风险评估实践
第五天，休息
第六天	CISP0201	密码学基础	密码学基础概念  密码学算法（对称、非对称、哈希函数）
	CISP0202	密码学应用	VPN技术  PKI/CA系统
第七天	CISP0303	信息安全管理措施	安全基本管理措施
	CISP0304	重要安全管理过程	重要安全管理过程
	CISP0301	信息安全管理体系	信息安全管理基本概念  信息安全管理体系建设
第八天	CISP0208	安全漏洞及恶意代码	恶意代码基本概念及原理、防御技术  信息安全漏洞/安全攻防基础
	CISP0209	安全攻防实践	安全攻防基础  目标信息收集/密码破解原理与实践  缓存溢出原理与实践  电子欺骗攻击原理与实例  拒绝服务攻击原理与实例  网页脚本漏洞原理与实例  计算机取证
第九天	CISP0203	访问控制与审计监控	访问控制模型  访问控制技术  审计和监控技术
	CISP0210	软件安全开发	软件安全开发概况  软件安全开发的关键阶段
	串讲	综合知识梳理
第十天	考生考前自由复习
第十一天	考试

八、培训及考试时间 为了维护CISP考试的严肃性和权威性，保证考试的公平与公正，中国信息安全测评中心从2012年4月21日起在北京试行定时定点考试制度。考试地点为国际关系学院