CISP-01-信息安全培训和CISP知识体系介绍

信息安全培训和CISP知识体系中国信息安全测评中心2010年6月24日自我介绍™宋曦™中国信息安全测评中心™高级咨询顾问助理研究员CISO等级保护中级评估师™联系方式：8234158713911407879™邮箱:songxi@itsec.gov.cn™地址：北京市海淀区上地西路八号院1号楼™邮编：100085目录一．信息安全培训业务介绍„信息安全培训业务现状„美国政府部委信息安全培训体系介绍„信息安全培训体系介绍二．CISP知识体系介绍„注册信息安全专业人员（CISP）介绍„CISP知识体系大纲介绍信息安全培训——人的问题人是信息安全中昀核心问题之一！我们政府部门的广大干部对信息安全重要性的认识和相关技术问题的了解还远远不能满足国家发展的需要信息安全人才需求的背景™信息安全保障的重要性„中办[2003]27号文件“国家信息化领导小组关于加强信息安全保障工作的意见”；„党的十六届四中全会将“信息安全”提升为国家安全的组成部分(经济安全、政治安全、社会安全、文化安全)™构建全面的信息安全人才体系的需求„是国家政策的要求„是组织机构信息安全保障建设自身的要求„是组织机构人员自身职业发展的要求我国信息安全从业人员素质现状分析™从数量上看，信息安全从业人员数量同实际需求存在巨大缺口。„信息安全人才需求不断增加„培养来源：由高校学历教育以及以各种专业注册培训为核心、辅以各种职业技能培训的社会培训组成。„信息安全从业人员的数量同社会实际需求仍存在巨大缺口。™从质量上来看，高端信息安全人才，特别是信息安全管理人才以及信息安全高层次和综合性人才严重缺乏™从行业领域上，信息安全从业人员主要集中在政府、金融、电信等信息化发达的行业领域以及信息安全专业公司中„根据对上千名注册信息安全专业人员（CISP）的分析，其中38%的专业人员来自安全厂商，20%来自金融领域，26%来自税务、海关和部委等政府机构，8%来自电力和电信领域，4%来自于测评机构，其他占4%。™从信息安全从业人员更多集中在技术领域，而且主要偏向于具体产品的研发、技术支持和维护。™信息安全从业人员在组织机构中的地位开始得到显著提高，正逐渐从单纯的技术支持进入到组织机构技术决策和风险管理的角色。™信息安全人才发展战略缺少系统、全面的规划和协调。™信息安全学历教育和社会实践、社会认证培训的结合问题。™信息安全人才的管理问题。™信息安全管理人才，特别是懂业务的高层次人才严重缺乏。™信息安全人才培养不规范。™信息安全意识的缺乏我国信息安全从业人员素质方面突出的问题信息安全培训业务的目的和目标™目标„为国家信息安全保障人才体系建设做出应有的贡献ƒ增强政府部委、党政机关、重要信息系统和基础网络的管理和运行人员排除隐患和漏洞的认识、知识和能力ƒ通过市场化，提高国家信息安全人才素质和能力„服务对象：ƒ面向政府部委、党政机关、重要信息系统和基础网络ƒ面向市场信息安全培训业务介绍™2002年，中心在国内率先推出了专业权威的注册信息安全专业人员（CISP）资质认证™2003年，中心正式出版了注册信息安全专业人员资质认证教材™2002年—2005年：CISP已成为国内昀具含金量的信息安全专业资质认证品牌„遍布全国的18家授权培训机构„已经为对信息安全有较高要求的人民银行、海关、国税等政府机构、金融电信领域、信息安全专业厂商等培养了大批专业的信息安全技术、管理和审核人员，得到了广泛的认可™2005年9月：正式发布注册信息安全员（CISM）资质认证注册信息安全专业人员（CISP）统计200220032004200520062007200802004006008001000120014001600180020002200CISOCISECISACISP获证人数增长图™正式出版发布资料„中心官方网站：„对外发行杂志：《国家信息安全测评认证》„正式出版教材CISP培训教材（共三册）™其他培训产品化资料„培训管理规章制度„培训申请指南文件„知识体系大纲„奥运信息安全培训手册等专用培训教材正式出版发布资料目录一．信息安全培训业务介绍„信息安全培训业务现状„美国政府部委信息安全培训体系介绍„信息安全培训体系介绍二．CISP知识体系介绍„注册信息安全专业人员（CISP）介绍„CISP知识体系大纲介绍信息安全培训业务背景美国FISMA（联邦信息安全管理法案）年度报告要求——解析信息安全意识和培训•全员的信息安全意识培训•同岗位相关的模块化的培训•计算机化、自动化的课程管理、跟踪、考核、统计和服务系统•同现实需求紧密结合的专业、权威的课件负有重要安全职责的专业人员•国家权威机构的信息安全专业注册资质•重要岗位的资质准入管理经费的保证美国FISMA（联邦信息安全管理法案）年度评估报告美国国防部信息安全人员要求™建立分级分类的信息安全人才要求„分类：分为技术和管理类„分级：每一类分为1到3级™要求培训、注册、在职培训和继续培训美国国防部信息安全人员要求™借助社会力量完成信息安全人才的培养„（ISC）2的CISSP/SSCP„ISACA的CISA/CISM„SANS/GIAC的GSEC/GSE/GISF„CompTIA的A+/Network+/Security+„…美国国防部信息安全人员培训计划™建立人员数据库，确认人员及其类别和级别要求™从2006年开始启动，2007年开始正式实施，2010年前完成所有8万人的基础要求培训„第1年10%，后3年每年30%„2011年继续维护和知识更新目录一．信息安全培训业务介绍„信息安全培训业务现状„美国政府部委信息安全培训体系介绍„信息安全培训体系介绍二．CISP知识体系介绍„注册信息安全专业人员（CISP）介绍„CISP知识体系大纲介绍信息安全人才体系战略加快信息安全人才培养，增强全民信息安全意识加快信息安全人才培养增强全民信息安全意识意识教育安全培训高等教育专业培训安全意识安全基础和安全文化信息安全专业人员（信息安全相关的岗位和职责）计划组织开发采购实施交付运行维护废弃信息安全从业人员（信息系统相关的岗位和职责）所有人员信息安全保障专家培训教育和经验组织机构信息安全人才体系战略安全意识安全基础和安全文化信息安全专业人员（信息安全相关的岗位和职责）计划组织开发采购实施交付运行维护废弃信息安全从业人员（信息系统相关的岗位和职责）所有员工注册信息安全员（CISM）信息安全保障专家注册信息安全专业人员（CISP）培训意识信息安全人才战略——培训体系专家CISPCISECISOCISACISM信息安全意识培训技术人员管理人员审核审计人员信息安全人才战略——培训体系CISM注册信息安全员CISP注册信息安全专业人员信息安全保障专家信息安全培训整体方案一．所有人员进行信息安全意识培训二．IT和安全相关人员：建立分级分类的信息安全基本要求，资质和培训•分级：高/中/低、一级/二级/三级•分类：技术/管理/审核三．IT和安全相关人员：基于岗位的信息安全技能，资质和培训•特定实践：Windows操作系统安全、Oracle数据库安全等•特定专题：风险管理、漏洞管理等四．持续学习和更新信息安全培训咨询注册信息安全员（CISM）行业和组织机构特点和特殊需求岗位职责相关的职业技能培训信息安全从业人员信息安全基础知识和能力基于岗位职业技能注册信息安全专业人员（CISP）信息安全专业人员信息安全培训咨询服务信息安全意识培训信息安全意识普及信息安全专题培训信息安全实验和实践行业和组织机构特点和特殊需求国家信息安全培训系列丛书目录一．信息安全培训业务介绍„信息安全培训业务现状„美国政府部委信息安全培训体系介绍„信息安全培训体系介绍二．CISP知识体系介绍„注册信息安全专业人员（CISP）介绍„CISP知识体系大纲介绍CISP资质分类™“注册信息安全专业人员”，英文为CertifiedInformationSecurityProfessional（简称CISP），根据实际岗位工作需要，CISP分为三类：„“注册信息安全工程师”，英文为CertifiedInformationSecurityEngineer（简称CISE）；„“注册信息安全管理人员”，英文为CertifiedInformationSecurityOfficer（简称CISO）；„“注册信息安全审核员”，英文为CertifiedInformationSecurityAuditor（简称CISA）。注册信息安全员（CISP）资质注册流程CISP申请者咨询相关事宜参加培训考试申请参加考试注册申请注册决定取得证书证后维持考试未通过注册未通过考试通过注册通过无法维持注册CISP知识体系结构注册信息安全专业人员（CISP）知识体系结构信息安全技术信息安全管理信息安全工程信息安全体系模型信息安全标准和法律法规信息安全管理概述应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术组织保障人员管理风险评估业务持续性和灾难恢复事件响应信息安全规划应用和系统开发运行管理安全工程过程和实践项目管理过程和实践安全工程基础CISP（CISE/CISO/CISA）区别说明注：CISA在CISE或CISO的基础上再加上50道信息安全审计相关的试题。10%10%信息安全标准和法律法规15%15%信息安全工程40%20%信息安全管理20%40%信息安全技术15%15%信息安全体系和模型CISOCISECISPCISP资质类型知识类别CISP知识体系大纲的特点™以信息安全保障（IA）作为贯穿整个CISP知识体系大纲的主线™使用知识类（PT）-知识体（BD）-知识域（KA）-知识子域（SA）来组织的组件模块化的知识体系结构知识体系结构特点介绍—知识结构组织知识类（PT）知识类（PT）知识体（BD）知识体（BD）知识域（KA）知识域（KA）知识域（KA）知识子域（SA）知识子域（SA）知识子域（SA）知识体系结构特点介绍—知识结构整体信息安全工程信息安全技术信息安全标准法规信息安全保障基础信息安全管理信息安全保障核心和主线目录一．信息安全培训业务介绍„信息安全培训业务现状„美国政府部委信息安全培训体系介绍„信息安全培训体系介绍二．CISP知识体系介绍„注册信息安全专业人员（CISP）介绍„CISP知识体系大纲介绍注册信息安全专业人员（CISP）知识体系结构信息安全技术信息安全管理信息安全工程信息安全体系模型信息安全标准和法律法规信息安全管理概述应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术组织保障人员管理风险评估业务持续性和灾难恢复事件响应信息安全规划应用和系统开发运行管理安全工程过程和实践项目管理过程和实践安全工程基础知识类：信息安全体系和模型信息安全保障框架知识类：信息安全体系和模型知识体系概述安全模型安全体系知识类（PT）知识体（BD）知识域（KA）信息安全体系和模型OSI开放系统互联安全体系架构信息技术安全性评估信息安全保障评估信息安全模型基础访问控制模型其他安全模型知识类：信息安全体系和模型知识体系详述信息技术安全评估历史和发展可信计算机系统评估准则（TCSEC）IT安全性评估通用准则（CC）信息系统安全保障评估框架信息安全产品测试评估信息系统安全测试评估信息安全服务测试评估信息安全人员测试评估自主访问控制（DAC）模型（访问矩阵模型及其实现）强制访问控制（MAC）模型（Bell-Lapudula/Biba/Clark-Wilson/ChineseWall/BMA模型）基于角色访问控制（RBAC）模型信息安全保障框架安全模型安全体系知识类知识体知识域信息安全体系和模型OSI开放系统互联安全体系架构信息技术安全性评估信息安全保障评估信息安全模型基础访问控制模型其他安全模型知识子域知识域说明PT：信息安全体系知识类™