注册信息安全员（CISM）介绍-注册信息安全员（CISM

注册信息安全员（CISM）介绍文件编号：CNITSEC-TBWT-CISM01版本：1.0中国信息安全产品测评认证中心人员培训事业部发布日期：2006年3月1日©版权2006—中国信息安全产品测评认证中心注册信息安全员（CISM）授权培训讲义注册信息安全员（CISM）介绍1中国信息安全产品测评认证中心（CNITSEC）介绍....................................12注册信息安全员（CISM）介绍....................................................................22.1全面建设信息安全人才体系................................................................32.2注册信息安全员（CISM）介绍...........................................................92.3CISM知识体系大纲介绍...................................................................221中国信息安全产品测评认证中心（CNITSEC）介绍中国信息安全产品测评认证中心人员培训事业部第1页，共42页1中国信息安全产品测评认证中心（CNITSEC）介绍网址：中国信息安全产品测评认证中心是经中央批准成立，国家质检总局授权、代表国家开展信息安全测评认证工作的职能机构，依据国家有关产品质量认证和信息安全管理的法律法规，管理和运行国家信息安全测评认证体系。中国信息安全产品测评认证中心筹建于1997年初，1998年7月以“中国互联网络安全产品测评认证中心”的名称试运行。1998年10月经国家质量技术监督局授权，成立了“中国国家信息安全测评认证中心”。1999年2月,中心及其安全测试实验室分别通过“中国产品质量认证机构国家认可委员会”和“中国实验室国家认可委员会”的认可。同年，国家质量技术监督局正式批准并向社会公告了《中国国家信息安全测评认证管理委员会章程》、《中国国家信息安全测评认证管理办法》、《中国国家信息安全测评认证标志和第一批实施测评认证的信息安全产品目录》等文件。2001年5月，中央编制委员会正式批准认证中心的职能任务、机构和编制，将认证中心正式更名为“中国信息安全产品测评认证中心”，英文为ChinaInformationTechnologySecurityCertificationCenter，简称CNITSEC。中国信息安全产品测评认证中心的主要职能是：z对国内外信息安全产品和信息技术进行测评和认证；z对国内信息系统和工程进行安全性评估和认证；z对提供信息系统安全服务的组织和单位进行评估和认证；z对注册信息安全专业人员的资质进行评估和认证。“中华人民共和国国家信息安全认证”是国家对信息安全技术、产品、信息系统安全质量以及信息安全服务资质、人员资质的昀高认可。国家信息安全测评认证活动的技术依据是由中国国家信息安全测评认证管理委员会确认的有关产品质量认证和信息安全管理的国际标准、国家标准、行业标准和其他补充技术要求与技术规范。2注册信息安全员（CISM）介绍中国信息安全产品测评认证中心人员培训事业部第2页，共42页2注册信息安全员（CISM）介绍随着我国社会信息化进程发展，计算机网络及信息系统在政府机构、企事业单位及社会团体的运作中发挥着越来越重要的作用，信息化水平的提高在带来巨大发展机遇的同时也带来了严峻的挑战。信息安全不仅关系着个人的隐私，也关系着国计民生，乃至整个国家的安全与利益。随着网络攻击、病毒入侵事件日益严重，信息失窃及泄密事件屡有发生，国家把信息安全保障工作迅速提到了一个非常重要的位置。中办发[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》中提出了“加快信息安全人才培养，增强全民信息安全意识”的指导精神，重点强调了信息安全人才培养的重要性。在这样的大环境下，社会对信息安全人员的需求逐年增加。从国际国内形势分析，当前信息安全领域昀突出的问题是：我国信息安全产业发展滞后，信息安全科研和教育滞后，而关键是信息安全人才的极度匮乏。国家间在信息安全领域的竞争，与其说是技术的竞争，不如说是人才的竞争，包括人才素质和规模的竞争。中国信息安全产品测评认证中心从2002年启动了“注册信息安全专业人员”（CISP）资质注册。截至目前，已为国家培养了一支近千人的信息安全专业人才队伍，对提高信息安全专业人员的职业道德和技术水平、提升信息安全产业的竞争能力和强化国家信息安全管理发挥了重要作用。中国信息安全产品测评认证中心现推出“注册信息安全员”（CertifiedInformationSecurityMember，CISM）资质注册，旨在适应我国信息化迅速发展对不同层次、不同水平和不同岗位的信息安全人才的广泛需求，加大对信息安全人才的培养范围和信息安全知识的普及教育力度。2注册信息安全员（CISM）介绍中国信息安全产品测评认证中心人员培训事业部第3页，共42页2.1全面建设信息安全人才体系在全面建设信息安全人才体系中，介绍了中国信息安全产品测评认证中心的信息安全人才体系战略结构。2注册信息安全员（CISM）介绍中国信息安全产品测评认证中心人员培训事业部第4页，共42页背景构建全面的信息安全人才体系是国家政策、组织机构自身和人员职业发展所共同的需求。构建全面的信息安全人才体系的需求z是国家政策的要求„中办发[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》中提出了“加快信息安全人才培养，增强全民信息安全意识“的指导精神，重点强调了信息安全人才培养的重要性。z是组织机构信息安全保障建设自身的要求„企事业单位、政府机构等组织机构在信息安全保障建设、信息化建设中，需要有一个完整层次化的信息安全人才队伍以保障其信息安全、保障其信息化建设，从而保障其业务和使命z是组织机构人员自身职业发展的要求2注册信息安全员（CISM）介绍中国信息安全产品测评认证中心人员培训事业部第5页，共42页„作为人员本身，在其工作和职业发展中，需要充实其信息安全保障相关的知识和经验，以更好地开展其工作并为自己的职业发展提供帮助。2注册信息安全员（CISM）介绍中国信息安全产品测评认证中心人员培训事业部第6页，共42页信息安全人才体系对组织机构来说，应建立一个完整的信息安全人才体系。对组织机构来说，应建立一个完整的信息安全人才体系，信息安全人才体系应包括：z所有员工：需要进行信息安全保障意识教育，具体可以使用各种海报、组织机构网站上发布相关信息等以增强所有员工的安全意识；z对于涉及信息系统的岗位和职责的员工而言，需要进行相应的信息安全保障培训；注册信息安全员（CISM）为这些员工提供了全面的信息安全保障基础知识；z对于信息安全专业人员而言，应建立更全面专业的信息安全保障知识和经验；注册信息安全专业人员（CISP）为这些人员提供了信息安全专业知识能力的证明；z注册信息安全保障专家（CIAE）是在获得CISP基础上得到中国信息安全产品测评认证中心审核认可的信息安全保障领域的专家。2注册信息安全员（CISM）介绍中国信息安全产品测评认证中心人员培训事业部第7页，共42页信息安全人才结构整个信息安全人才结构是一个金字塔型的人才梯队。整个信息安全人才结构是一个金字塔型的人才梯队：z从纵向来看，人才梯队分为注册信息安全员（CISM）、注册信息安全专业人员（CISP）和注册信息安全保障专家（CIAE）；z从横向来看，信息安全人才根据其工作的领域和重点分别有技术、管理、审核审计三个领域和方向。2注册信息安全员（CISM）介绍中国信息安全产品测评认证中心人员培训事业部第8页，共42页信息安全人才职业发展三部曲信息安全专业人员应为其自身的职业发展建立其职业发展的路线。信息安全专业人员应为其自身的职业发展建立其职业发展的路线，信息安全专业人员职业发展三部曲包括CISM信息安全从业人员、CISP信息安全专业人员和CIAE信息安全专家。2注册信息安全员（CISM）介绍中国信息安全产品测评认证中心人员培训事业部第9页，共42页2.2注册信息安全员（CISM）介绍注册信息安全员（CISM）介绍中，介绍了CISM的资质注册流程、CISM知识体系结构、CISM课程设计、知识体系大纲的特点以及CISM的服务等。2注册信息安全员（CISM）介绍中国信息安全产品测评认证中心人员培训事业部第10页，共42页CISM资质注册流程整个CISM资质注册流程包括申请、培训、考试、注册和证后维持等阶段。2注册信息安全员（CISM）介绍中国信息安全产品测评认证中心人员培训事业部第11页，共42页CISM知识体系结构下图描述了CISM知识体系结构的整体。整个CISM知识体系中，共包括5个信息安全领域：信息安全保障基础、信息安全标准法规、信息安全技术、信息安全管理和信息安全工程；并进一步分成为12知识域。2注册信息安全员（CISM）介绍中国信息安全产品测评认证中心人员培训事业部第12页，共42页CISM的课程设计下面描述了CISM的课程设计和时间安排。CISM课程设计覆盖了CISM知识体系大纲的内容，整个培训课程设计为5天，其中昀后一天为复习和考试。zCISM01信息系统安全保障框架：介绍信息安全保障框架的概念和内容。zCISM02信息系统全保障测评：介绍信息安全产品、系统、人员和服务测评的概念和内容。zCISM03信息安全标准：介绍国际/国内信息安全管理、技术、工程等领域主要标准的关系和内容。zCISM04信息安全法规：介绍信息安全相关的国内法律法规。zCISM05密码技术和应用：介绍密码技术的基本知识，以及公钥基础设施（PKI）和数字签名等的应用。zCISM06常见网络安全技术：介绍网络安全基本概念，并包括对防火墙、入侵检测、VPN等常见网络安全技术。2注册信息安全员（CISM）介绍中国信息安全产品测评认证中心人员培训事业部第13页，共42页zCISM07：恶意代码防护技术：介绍各种恶意代码的基本概念和防护技术。zCISM08：系统及常见应用安全：介绍Windows操作系统等主流操作系统，以及Web、邮件、DNS等常见应用安全。zCISM09：信息安全管理基础：介绍信息安全管理的基础知识。zCISM10：信息安全管理技术：介绍风险管理、灾难恢复管理的基础知识和实践考虑。zCISM11：安全工程过程和实践：介绍信息安全工程过程的基础知识和实践考虑。zCM12：安全工程监理资源和实践：介绍信息安全工程监理咨询的基础知识和实践考虑。z答疑和复习，准备考试z正式考试2注册信息安全员（CISM）介绍中国信息安全产品测评认证中心人员培训事业部第14页，共42页CISM知识体系特点介绍（一）CISM知识体系的特点之一是以保障为核心的有机知识整体。CISM为信息安全从业人员建立了完整的、厂商中立的信息安全保障基础知识。从CISM知识体系结构的设计来看，CISM知识体系是以信息安全保障（IA）为核心和主线，覆盖信息安全管理、信息安全技术、信息安全工程、信息安全保障基础和信息安全标准法规五部分的有机知识整体。2注册信息安全员（CISM）介绍中国信息安全产品测评认证中心人员培训事业部第15页，共42页CISM知识体系特点介绍（二）CISM知识体系结构采用层次化的结构。从CISM的知识结构组织来看，采用层次化、组件模块化的知识结构组织，更加严谨、科学地将知识结构化，方便了CISM培训学习人员根据知识域来掌握CISM的知识要点。2注册信息安全员（CISM）介绍中国信息安全产品测评认证中心人员培训事业部第16页，共42页CISM知识体系特点介绍（三）在知识内容选择上，CISM更强调实用和实践性。从CISM的知识内容选择来看，CISM知识体系结构更突出了实用和实践性，并充分同我国信息安全保障的环境和现状相结合。例如：在安