CISP

CISP既“注册信息安全专业人员”，英文为CertifiedInformationSecurityProfessional(简称CISP)，CISP系经中国信息安全产品测评认证中心实施国家认证。系国家对信息安全人员资质的最高认可。CISP介绍CISP既“注册信息安全专业人员”，英文为CertifiedInformationSecurityProfessional(简称CISP)，培训时间12天，费用9800元/每人，根据实际岗位工作需要，CISP分为三类,分别是“注册信息安全工程师”,英文为CertifiedInformationSecurityEngineer（简称CISE）;“注册信息安全管理人员”，英文为CertifiedInformationSecurityOfficer(简称CISO)，“注册信息安全审核员”英文为CertifiedInformationSecurityAuditor(简称CISA)。其中CISE主要从事信息安全技术开发服务工程建设等工作，CISO从事信息安全管理等相关工作，CISA从事信息系统的安全性审核或评估等工作。这三类注册信息安全专业人员是有关信息安全企业，信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全产品测评认证中心实施国家认证。CISP系国家对信息安全人员资质的最高认可。CISP的企业所需CISP认证安全专家能够较好满足企业信息安全规划、建设、维护能力要求；解决各类突发信息安全问题；获得CISP认证的专业人员将很大程度上提升安全技术、管理等方面的专业性和服务能力，从而为企业内外部客户提供更加专业和有效的安全服务。认证安全专家能够满足企业长远的信息安全规划、建设、维护能力要求，解决企业遇到的各类信息安全问题拥有多名CISP表明企业对信息系统安全保障的承诺和信心，能够为客户提供信赖的服务；CISP的个人所需CISP作为国家最高级别的信息安全专业资格认证将帮助安全从业人员在信息安全领域登上职业生涯的顶峰。CISP的适用群体企业信息安全管理人员信息安全服务提供商IT或安全顾问人员IT审计人员信息安全类讲师或培训人员信息安全事件调查人员其他从事与信息安全相关工作的人员CISE（注册信息安全工程师）：适合政府、各大企事业单位、网络安全集成服务提供商的网络安全技术人员CISO（注册信息安全管理人员）：适合政府、各大企事业单位的网络安全管理人员，也适合网络安全集成服务提供商的网络安全顾问人员CISA（注册信息安全审核员）：适合政府、各大企事业单位的网络安全技术人员、也适合网络安全集成服务提供商的网络安全顾问人员[编辑本段]2009年最新CISP考试认证学习大纲序号课程名称课程主要内容知识要点1信息安全测评服务介绍介绍各类信息安全测评服务，包括信息安全产品、系统、人员和服务测评的概念和内容中国信息安全测评中心的主要职能中国信息安全测评中心产品、系统、服务和人员安全测评服务的意义和流程介绍2信息安全培训和CISP知识体系介绍介绍中国信息安全测评中心信息安全人才体系战略和信息安全培训工作介绍。介绍注册信息安全专业人员（CISP）培训工作，并简要介绍CISP的知识体系。构建中国信息安全人才体系的重要性和开展CISP培训认证的意义CISP的知识体系结构和知识要点3信息安全保障体系深入介绍信息安全保障框架的概念和内容信息安全保障历史和背景信息系统安全保障评估框架信息系统安全保障建设和评估实践4信息安全模型深入介绍信息安全相关的模型安全模型的定义和作用以下安全模型的原理、用途和特点信息流访问控制模型多级安全模型Bell-Lapadula模型Clark-Wilson模型Biba模型多边安全模型Chinesewall模型BMA模型5密码技术概述深入介绍密码技术的历史、背景、发展，以及各种密码算法等的基础知识。明确密码学基本概念及其重要性；了解密码学发展的历史；掌握对称密码和非对称密码体制；哈希函数的原理和作用；掌握数字签名的基本原理。6密码技术应用-VPN/SSL深入介绍密码技术网络应用，重点介绍IPSec、SSL等的基础和应用。VPN基本概念VPN的类型掌握VPN有关协议的基本工作原理，重点是IPSec和SSL协议族7密码技术应用-PKI/CA深入介绍密码技术在公钥基础设施（PKI/CA）等的应用。PKI/CA的基本概念PKI/CA的体系结构和工作流程X.509的有关标准协议PKI/CA的典型应用，如CFCA、CTCA等8网络与通信安全基础深入介绍网络安全相关的各种基础知识。OSI模型和TCP/IP协议簇通信和网络技术互联网技术与服务主要网络安全协议和机制9网络安全应用深入介绍常见网络安全产品和技术，包括对防火墙、入侵检测、漏洞扫描等常见网络安全技术和产品知识和应用。常见网络安全设备的用途、分类、工作原理和应用技巧：防火墙入侵检测系统漏洞扫扫描系统安全隔离与信息交换系统（网闸）10UNIX操作系统安全深入介绍UNIX操作系统安全基础和安全实践技术。UNIX发展历史和体系架构UNIX常见应用服务及其安全Unix系统安全配置及最佳安全实践11Windows操作系统安全深入介绍Windows操作系统安全基础和安全实践技术。Windows发展历史和体系构架Windos常见应用服务及其安全Windows安全配置及最佳安全实践12Web与数据库安全管理深入介绍常见网络应用（Web/邮件系统等）的安全基础和安全实践技术深入介绍各种数据库系统安全基础和安全实践技术。Web应用安全基础Web应用的历史和作用Web应用面临的安全威胁和漏洞Web应用安全防护技术数据库安全数据库的历史和作用数据面临的安全威胁和漏洞数据库安全防护技术（SQLserver和Oracle）13恶意代码防护深入介绍各种恶意代码的基本概念和防护技术了解病毒、蠕虫、木马、恶意网页的原理掌握病毒、蠕虫、木马、恶意网页的防范了解恶意代码的分析方法14安全编程深入介绍源代码安全的有关知识，编成过程中的安全注意事项和源代码安全测试的流程和方法安全编程基本概念安全编程基本原则程序安全测试方法Windows、Unix、脚本安全编程实践15安全攻防深入介绍信息安全攻防的基本概念和攻防的实践技能。安全攻防的基本概念渗透性测试的一般流程黑客攻击的常用工具和技术防范和检测黑客攻击的工具和技术16信息安全管理体系深入介绍信息安全管理的基础知识，27001和27002的内容信息安全管理的基本概念ISO27001的用途和主要内容ISO27002的用途和主要内容基本安全管理措施：策略、组织和人员重要安全管理措施：资产管理、通信和操作管理、访问控制和符合性17风险管理深入介绍风险管理、风险评估的基础知识、国家政策要求等以及风险管理的实践。风险管理的基本概念常见的风险管理体系风险管理的一般过程常见的风险评估方法（定性、定量方法的介绍和各自的优缺点）风险评估的一般实施过程18安全工程深入介绍信息安全工程理论方法、标准和实践系统工程、质量管理、能力成熟度模型和项目管理基本概念运用“信息系统安全工程”（ISSE）的方法考虑信息安全工程的实施理解并运用“信息安全工程能力成熟度模型”（SSE-CMM）指导信息安全工程的实施IT项目的各个阶段需要考虑的安全要素，包括立项阶段的安全需求挖掘、采购开发阶段中应用系统对数据的正确处理、加密控制、系统资源安全等理解信息安全工程监理的概念、意义和实践方法19应急响应深入介绍应急响应管理的基础知识和实践。应急响应的基本概念应急响应小组的组建应急响应的一般过程应急响应服务的形式和内容应急响应服务的指标20灾难备份与恢复深入介绍业务持续性和灾难恢复管理的基础知识、国家政策要求等以及实践。BCP&DRP概念和背景业务持续性计划编制和内容灾难恢复的等级划分灾难恢复工作流程和方法灾难恢复系统的建设和技术21物理安全深入介绍物理安全的基本概念和实践考虑。物理安全的基本概念物理安全防护技术物理区域划分和问控制措施物理安全监控措施物理环境保障措施22信息安全标准深入介绍国际/国内信息安全管理、技术、工程等领域主要标准的关系和内容。标准和标准化的概念国际、外国、我国信息安全标准化机构信息安全相关国际标准和指南信息安全相关国内标准和指南23信息安全法律法规深入介绍信息安全相关的国际/国内法律法规。信息安全管理体制信息安全法律法规概况我国信息安全相关法律法规和相关政策文件24串讲与复习总结CISP的知识要点，介绍考核中的注意事项，模拟考题的讲解说明考场记律说明考试过程中的注意事项说明考题形式和不同考试类型题目所占比例回顾知识要点串讲模拟考题自由学习考试讨论网站：=40