认证考试指南(2).pdf

国家注册信息安全开发人员 CISD认证考试指南 CISD认证考试指南 认证机构 CISD简介 CISD知识框架 CISD认证过程 其他 SPISEC Corporation第 2 页 认证机构 认证机构 中国信息安全测评中心（以下简称测评中心）是我国专门从事信息技术安全测 试和风险评估的权威职能机构。英语简称（CNITSEC）。 依据中央授权，测评中心的主要职能包括：负责信息技术产品和系统的安全漏 洞分析与信息通报；负责党政机关信息网络、重要信息系统的安全风险评估； 开展信息技术产品、系统和工程建设的安全性测试与评估；开展 信息安全服务 和专业人员的能力评估与资质审核；从事信息安全测试评估的理论研究、技术 研发、标准研制等。测评中心是国家信息安全保障体系中的重要基础设施之一 ，在国家专项投入的支持下，拥有国内一流的信息安全漏洞分析资源和测试评 估技术装备；建有漏洞基础研究、应用软件安全、产品安全检测、系统隐患分 析和测评装备研发等多个专业性技术实验室；具有专门面向党政机关、基础信 息网络和重要信息系统开展风险评估的 国家专控队伍。 中国信息安全测评中心负责注册信息安全开发人员（CISD）的咨询和管理工作 ，包括注册信息安全开发人员（CISD）的培训管理、考试、注册以及教材编写 、师资管理、授权培训机构管理等方面。 / SPISEC Corporation第 3 页 认证机构 认证机构 目前中国信息安全测评中心对于人员的注册分为以下几类： SPISEC Corporation第 4 页 注册信息安全审计师（注册信息安全审计师（Certified Information Security Professional -Auditor，简称，简称CISA） “注册信息安全员”，（ ） “注册信息安全员”，（Certified Information Security Member ，简称，简称CISM） 注册信息安全开发人员（ ） 注册信息安全开发人员（Certified Information Security Developer ，简称，简称CISD） 注册信息安全专业人员，（ ） 注册信息安全专业人员，（Certified Information Security Professional，简称，简称CISP） 关于我们 “汇哲科技”是由北京汇哲信安科技有限公司、上海汇哲信息科技有限 公司等多个独立公司所组成。（简称“汇哲科技”或“SPISEC”）。长 年致力于IT治理,信息安全,IT审计,IT服务管理,业务连续性,项目管理,领先 理念等方面实践培训与研究，始终以培养国内信息安全专业人才、组织 中国信息安全人交流为发展目标。 作为领先的专业培训服务机构，汇哲一直致力于推广信息安全理论和实 践，为学员提供“学习国际知识、拓宽职业道路、融入专业社区、持续 提升能力”服务。中国信息安全测评中心授权培训机构 SPISEC Corporation第 5 页 CISD简介 “注册信息安全开发人员”，英文为Certified Information Security Developer ，简称CISD，系经中国信息安全测评中心认定的信息安全开 发人员，具备一定的软件安全开发知识和技术，能为软件全生命周期中 提供安全保障。 注册信息安全开发人员（CISD）是对我国网络基础设施和重要信息系统 的软件开发人员安全开发能力实施的一种资质评定。 SPISEC Corporation第 6 页 CISD简介 CISD适合对象 IT总监/经理；信息安全经理； 项目经理；软件项目经理； 软件架构师；软件工程师； 软件开发工程师； 应用程序安全专家；软件采购分析员； 渗透测试人员；质量保证测试员； 其他从事信息安全开发工作的有关人员。 SPISEC Corporation第 7 页 CISD简介 成为注册信息安全开发人员（CISD）必须同时满足以下基本要求： -1) 教育和工作经历要求： - 硕士及硕士以上学历，具备1年以上工作经历；或 - 大学本科学历，具备2年以上工作经历；或 - 大学专科学历，具备4年以上工作经历； -2) 信息安全专业工作经历要求： - 具备1年以上从事信息安全或软件开发相关的工作经历。 -2. 参加并完成由中国信息安全测评中心授权的培训机构组织的注册信息安全开 发人员（CISD）专业培训； -3. 通过中国信息安全测评中心组织的注册信息安全开发人员（CISD）考试； -4. 同意并遵守注册信息安全开发人员（CISD）职业准则； -5. 满足注册信息安全开发人员（CISD）注册要求并成功通过注册信息安全开发 人员（CISD）注册审核； -6. 获得注册信息安全开发人员（CISD）资质证书后，遵守和满足注册信息安全 开发人员（CISD）注册维持要求，并缴付年费； SPISEC Corporation第 8 页 CISD知识框架 CISD知识体系 信息安全保障： 信息安全保障体系概述介绍了信息安全保障中的框架原理、政策法规、 风险管理等管理内容，访问控制、密码学、系统安全、网络安全等技术 内容，以及信息安全工程的原理，它是注册信息安全专业人员首先需要 掌握的基础知识。 -信息安全保障基本知识 -信息安全法规与政策 -访问控制技术 -密码学原理 -网络安全 -系统安全 -信息安全风险管理 -信息安全工程原理 SPISEC Corporation第 9 页 CISD知识框架 CISD知识体系 软件安全开发 软件安全开发首先讲授了传统软件开发的局限和当前软件安全开发的发 展，然后按照整个软件开发的生命周期依次介绍了软件安全需求分析、 安全设计、安全编码、安全测试，以及安全部署与安全开发项目管理方 面的知识。 -软件安全开发概论 -软件安全需求分析 -软件安全设计 -软件安全编码 -软件安全测试 -软件安全部署与安全开发项目管理 SPISEC Corporation第 10 页 CISD知识框架 CISD知识体系图 SPISEC Corporation第 11 页 信息安全保障信息安全保障 访问控 制 访问控 制 信息安全风险管理信息安全风险管理信息安全工程原理信息安全工程原理 密码学 基础 密码学 基础 协议与 网络架 构安全 协议与 网络架 构安全 系统安 全 系统安 全 信息安全保障 基本知识 信息安全保障 基本知识 信息安全法规 与政策 信息安全法规 与政策 信息安全标准信息安全标准 软件安全开发软件安全开发 软件安全开发基础软件安全开发基础 软件安全设计软件安全设计 软件安全测试软件安全测试 安全需求分析安全需求分析 软件安全编码软件安全编码 软件安全部署与安全开 发项目管理 软件安全部署与安全开 发项目管理 注册信息安全开发人员（CISD）注册流程： 申请资料要求 -1. 注册信息安全开发人员（CISD）考试及注册申请表 -申请表格可采用电子模版录入填写，也可手写。应确保填 写内容的真实准确，手写申请表格应用正楷字体，字迹要 求清晰可辨。 -注：填写注册申请表第二部分时，需要由申请人所在单位 （部门）领导签字并加盖单位公章。 -2. 其他资料 -申请CISD注册资质除了填写申请表外，还需要准备以下资 料： - 个人近期免冠2寸彩色白底证件照片3张 - 身份证复印件1份 - 学位、学历证明复印件1份 -3. 资料的提交时间 -学员应在报名同时将所有资料提交。 -授权培训机构结业证书 CISD认证过程 SPISEC Corporation第 12 页 CISD认证过程 CISD教材 -中国信息安全测评中心指定统一教材 CISD费用 -培训费：全国统一培训费 9800元/人;（培训8天，考试1天） -考试费：1000元/人; -认证费：500元/人; -年 金：500元/人/年,一次性需缴纳三年年金，合计：1500元/人； -费用合计：12800元/人 CISD费用(持有CISP认证资格者) 培训费：4.500元/人 考试费：500元/人; 认证费：500元/人; 年 金：300元/人/年,一次性需缴纳三年年金，合计：900元/人； 费用合计：6400元/人 注：有关考试费、认证费、年金的规定及收取，详情请参阅中国信息安全测评中心网站 。 SPISEC Corporation第 13 页 CISD认证过程 CISD考试过程 考试时间：2小时 考试题型：单项选择题目，100题目； 考试分数：满分100分，70分通过； 考试形式：笔试（培训结束最后一天） 考试考点：（北京、上海、广州） -北京：国际关系学院交流中心第一放映厅（地址：北市海淀区坡上村12号） -上海：上海交通大学信息安全工程学院北3楼208（地址：上海市徐汇区华山路 1954号） -广州：广东省民政职业技术学校教学楼4楼大多媒体室（地址：海珠区新港中路 艺苑南路29号) 其他地区可由授权机构像中心申请，在培训最后一天在当地组织考试 SPISEC Corporation第 14 页 培训班通过率 SPISEC Corporation第 15 页 汇哲科技在CISD培训项目上一直处于领先地位，历年来都创下非常高的通过率 ，但并不是外界所传的百分之百。 培训讲师的作用：提纲挈领，剖析重点难点，答疑解惑。 对培训讲师的要求：贤者以其昭昭使人昭昭，今以其昏昏使人昭昭。-孟子 组成：具有丰富经验的讲师团队与通过认证的助教团队 职责：教材更新，题目梳理，邮件组传递，问题解答，考 试报名，认证申请，CPE维持，学员群体维护等； 认证指导 实践指导 组成：具有丰富经验的管理咨询与技术服务专家 职责：问题解答，远程指导，现场（0.5/天)指导;知识更 新,实践参考,环境搭建,技术知识更新与开发,应急响应等; 职业指导 组成：行业协会专家,公司资深研究人员 职责：行业问题分析与指导，免费沙龙活动知识分享，前 沿技术的梳理与传递，行业分析与研究，专家评审与保障； 后续服务保障能力： 2007年至今，以上团队共保