CISPCISM人员培训白皮书.doc

第 1 章 服务/产品名称信息安全人员培训与资质认定1.1 服务/产品说明信息安全人员测评与资质认定，包括注册信息安全专业人员（CISP）资质和注册信息安全员（CISM）的知识技能培训和执业资质认定，以及专项的信息安全意识和技能培训。“注册信息安全专业人员”，英文为Certified Information Security Professional，简称CISP，是指有关信息安全企业、信息安全咨询服务机构、信息安全测评注册机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员。CISP资质注册是中国信息安全测评中心（CNITSEC）根据国家相关授权而对外开展的信息安全测评服务项目之一。根据实际工作岗位的需要，CISP主要分为三类，其中“注册信息安全工程师”（CISE），主要从事信息安全技术开发、服务、工程建设等工作；“注册信息安全管理人员”（CISO），主要从事信息安全管理等相关工作；“注册信息安全审核人员”（CISA），主要从事信息系统的安全测试、审核和评估等工作。“注册信息安全员资质”，英文为Certified Information Security Member，简称CISM。这类信息安全员资质注册是有关信息安全企业、信息安全咨询服务机构、信息安全测评认定机构（包含授权测评机构）、社会各组织、团体、大专院校、企事业单位有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）的信息安全员，具备信息安全员的资质和能力，经中国信息安全测评中心实施国家认定。除CISP和CISM等信息安全执业资质认定外，中国信息安全测评中心还为国家重要信息系统的管理与维护机构，提供专项的信息安全意识和技能培训，以满足特定机构、特定信息系统对信息安全专业人才的特定需求。1.2 服务/产品的目的信息安全人员培训与资质认定的目的是构建全面的信息安全人才体系。构建全面的信息安全人才体系是国家政策的要求，是组织机构信息安全保障建设自身的要求和组织机构人员自身职业发展的要求。l 是国家政策的要求：中办发200327号文件国家信息化领导小组关于加强信息安全保障工作的意见中提出了“加快信息安全人才培养，增强全民信息安全意识”的指导精神，重点强调了信息安全人才培养的重要性。 l 是组织机构信息安全保障建设自身的要求：企事业单位、政府机构等组织机构在信息安全保障建设、信息化建设中，需要有一个完整层次化的信息安全人才队伍以保障其信息安全、保障其信息化建设，从而保障其业务和使命。l 是组织机构人员自身职业发展的要求：作为人员本身，在其工作和职业发展中，需要充实其信息安全保障相关的知识和经验，以更好地开展其工作并为自己的职业发展提供帮助。1.3 服务流程/产品模块1.3.1 CISP/CISM注册流程CISP和CISM的注册流程如下图所示：1、申请者向中国信息安全测评中心或授权培训机构提出申请，并咨询相关事宜；2、申请者参加由中国信息安全测评中心或授权培训机构组织的培训；3、参加规定的培训课程后，由培训机构统一提交考试申请；4、参加考试；5、考试通过后，由培训机构统一提交注册申请；6、通过注册后，取得资质证书；7、参加中国信息安全测评中心组织的研讨会等活动，并定期提交从业资料，以维持资质证书。图：CISP/CISM注册流程1.3.2 CISP培训与资质认定1.3.2.1 CISP知识体系图：CISP知识体系结构CISP的知识体系机构分为信息安全技术、信息安全管理、信息安全工程、信息安全体系和模型以及信息安全标准和法律法规。其中，信息安全技术包括：l 访问控制系统；l 密码技术及应用；l 审计及监控；l 应用安全；l 系统安全；l 电信和网络安全；l 物理安全等。信息安全管理包括：l 信息安全管理概述；l 组织保障和人员管理；l 风险评估；l 信息安全规划；l 业务持续性和灾难恢复；l 应用和系统开发；l 事件响应；l 运营管理等。信息安全工程包括：l 信息安全工程基础；l 安全工程过程和实践；l 项目管理过程和实践等。1.3.2.2 CISP资质培训课程表：CISP培训课程课程模块课程名称信息安全理论（1.5天）信息安全保障体系信息安全模型信息安全测评注册信息安全技术（6天）密码技术网络与通信安全防火墙入侵检测技术VPN加密技术PKI/CAUnix安全管理Windows安全管理数据库安全管理恶意代码防护安全编程安全工程及管理(4.5天)信息安全管理体系风险评估安全工程应急响应灾难备份与恢复安全攻防物理安全安全标准和法规(1.5天)信息安全标准信息安全法律法规1.3.3 CISM资质认定1.3.3.1 CISM知识体系图 CISM知识体系结构CISM知识体系架构涵盖了信息安全保障基础、信息安全技术、信息安全管理、信息安全工程以及信息安全标准法规五个模块。1.3.3.2 CISM资质认定培训课程根据CISM知识体系架构设计的培训课程涵盖了信息安全保障基础、信息安全技术、信息安全管理、信息安全工程以及信息安全标准法规五个模块，使参加培训的学员得到全面、系统的基础知识和技能的学习。此外，课程还根据岗位和职业的要求突出了不同岗位人员的学习侧重，以及不同岗位需要学习的专门课程。表：CISM培训课程课程模块课程名称安全保障基础（0.5天）信息系统安全保障框架信息系统安全保障测评标准法规（0.5天）信息安全标准信息安全法规安全技术（1.5天）密码技术和应用常见网络安全技术恶意代码防护技术系统和常见应用安全安全管理（1.0天）信息安全管理基础信息安全管理技术安全工程（0.5天）安全工程过程和实践安全工程监理咨询和实践1.4 服务成果学员经过培训和自学，具备相应人员资质认证知识体系大纲要求的知识和技能，通过考试后，取得CISP或CISM资质认证证书。1.5 服务/产品报价1.5.1 CISP资质注册费用CISP资质注册费用以12,800元/人的标准计算。其中费用含学员的培训费、教材费、考试费、注册审核注册费及注册年金。各项费用明细如下：表：CISP注册费用明细序号费用名称费用标准备注1培训费9,800元/人含资料费2考试费1,000元/人3注册费500元/人4CISP年金500元/人年共三年合计-12,800元/人1.5.2 CISM资质注册费用CISM资质注册费用以5,400元/人的标准计算。其中费用含学员的培训费、教材费、考试费、注册审核注册费及注册年金。各项费用明细如下：表：CISM注册费用明细序号费用名称费用标准备注1培训费4,000元/人含资料费2考试费500元/人3注册费300元/人4CISM年金200元/人年共三年合计-5,400元/人联系方式北京谷安天下科技有限公司 培