CISP认证考试指南2019

国家注册信息安全专业人员,CISP认证考试指南,CISP认证考试指南,认证机构CISP简介CISP知识框架CISP认证过程CISM简介其他相关认证,SPISECCorporation,第2页,认证机构,认证机构中国信息安全测评中心（以下简称测评中心）是我国专门从事信息技术安全测试和风险评估的权威职能机构。英语简称（CNITSEC）。依据中央授权，测评中心的主要职能包括：负责信息技术产品和系统的安全漏洞分析与信息通报；负责党政机关信息网络、重要信息系统的安全风险评估；开展信息技术产品、系统和工程建设的安全性测试与评估；开展信息安全服务和专业人员的能力评估与资质审核；从事信息安全测试评估的理论研究、技术研发、标准研制等。测评中心是国家信息安全保障体系中的重要基础设施之一，在国家专项投入的支持下，拥有国内一流的信息安全漏洞分析资源和测试评估技术装备；建有漏洞基础研究、应用软件安全、产品安全检测、系统隐患分析和测评装备研发等多个专业性技术实验室；具有专门面向党政机关、基础信息网络和重要信息系统开展风险评估的国家专控队伍。中国信息安全测评中心负责注册信息安全专业人员（CISP）的咨询和管理工作，包括注册信息安全专业人员（CISP）的培训管理、考试、注册以及教材编写、师资管理、授权培训机构管理等方面。,SPISECCorporation,第3页,认证机构,认证机构目前中国信息安全测评中心对于人员的注册分为以下几类：,SPISECCorporation,第4页,注册信息安全审计师（CertifiedInformationSecurityProfessional-Auditor，简称CISA）,“注册信息安全员”，（CertifiedInformationSecurityMember，简称CISM）,注册信息安全专业人员渗透测试工程师（CertifiedInformationSecurityProfessional-PenetrationTestEngineer，简称CISP-PTE）,注册信息安全专业人员，（CertifiedInformationSecurityProfessional，简称CISP）,关于我们,汇哲科技（简称“SPISEC”）致力于网络空间安全、IT治理、信息安全、IT风险管理和审计、IT服务管理、业务连续性、项目管理等方面实践培训与研究，始终以培养国内网络空间安全专业人才、组织中国网络空间安全人才交流为发展目标。目前，汇哲科技在上海、北京、杭州等地设立公司、在全国开展网络安全培训与企业安全意识服务工作。作为专业教育服务机构，汇哲科技常年专注于推广网络空间安全理论和实践，为学员提供“学习国际知识、拓宽职业道路、融入专业社区、持续提升能力”的专业服务。中国信息安全测评中心授权培训机构/授权人员注册维持机构。,SPISECCorporation,第5页,CISP简介,注册信息安全专业人员，英文名称CertifiedInformationSecurityProfessional，简称CISP，是向信息安全企业、信息安全咨询服务机构、信息安全测评机构、政府机构、社会各组织、团体、大专院校以及企事业单位中负责信息系统建设、运行维护和管理工作的信息安全专业人员所颁发的专业资质证书。截至2018年底国内持证人数3,0000+。也是网络安全法中针对网络安全从业人员的资格证书之一。在各行业文件中均有明确的要求如：政府、金融、通信、电力、国防、军工、交通、烟草、税务、等行业”,SPISECCorporation,第6页,CISP简介,CISP适合对象国家机关、企事业单位网络安全工作人员；信息安全管理人员；网络安全技术人员；信息安全运维人员；信息安全审计人员；信息安全开发人员；信息安全灾备人员；其他相关工作人员。,SPISECCorporation,第7页,CISP简介,成为注册信息安全专业人员（CISP），必须同时满足以下基本要求：1)教育和工作经历要求：硕士及硕士以上学历，具备1年以上工作经历；或大学本科学历，具备2年以上工作经历；或大学专科学历，具备4年以上工作经历；2)信息安全专业工作经历要求：具备1年以上从事信息安全相关的工作经历。2.参加并完成由中国信息安全测评中心授权的培训机构组织的注册信息安全专业人员（CISP）专业培训；3.通过中国信息安全测评中心组织的注册信息安全专业人员（CISP）考试；4.同意并遵守注册信息安全专业人员（CISP）职业准则；5.满足注册信息安全专业人员（CISP）注册要求并成功通过注册信息安全专业人员（CISP）注册审核；6.获得注册信息安全专业人员（CISP）资质证书后，遵守和满足注册信息安全专业人员（CISP）注册维持要求，并缴付年费；,SPISECCorporation,第8页,CISP知识框架,SPISECCorporation,第9页,2018年10月1日生效CISP知识体系4.1结构框架图,CISP知识框架,CISP知识体系信息安全保障本知识域包括信息安全保障的基本概念、模型、工作内容与工作方法，同时包括信息安全保障要素中的安全工程相关内容及新技术领域信息安全保障的相关知识。通过对本知识域的学习，学员应该理解信息安全问题产生的根源，信息安全基本概念。了解PPDR、IATF、等信息系统安全保障评估框架等安全保障框架，并理解信息安全保障工作内容及方法、信息系统安全工程（ISSE）及安全工程能力成熟度模型（SSE-CMM）等相关知识。信息安全规划本知识域包括信息安全风险管理及密码学、身份鉴别及访问控制等信息安全支撑技术相关知识。通过本知识域的学习，学员了解风险管理相关概念并掌握风险管理的工作方法，并且掌握密码学、身份鉴别、访问控制等信息安全基础技术，为信息系统安全体系规划及信息安全保障工作提供支撑。安全设计与实现本知识域包括物理和环境安全、网络和通信安全、计算机环境安全和应用与数据安全四个知识子域。通过对知识域的学习，学员了解并掌握信息系统物理、网络、主机、应用等多个层面的安全问题及防护措施。,SPISECCorporation,第10页,CISP知识框架,安全运营本知识域包括安全运维、内容安全管理、业务连续性管理、灾难备份及大数据等相关知识。通过本知识域的学习，学员了解信息系统安全运维相关工作如漏洞评估、安全补丁、安全审计、应急响应及培训与教育等工作内容，并掌握内容安全管理、业务连续性管理的重要性及灾难恢复相关知识。安全管理本知识域参考ISO27000系列标准，包括信息安全管理体系、信息安全管理措施及社会工程学等相关知识。通过学习学员能够了解信息安全管理工作的重要性，并且掌握ISO27000系列标准的应用。安全评估本知识域包括信息安全评估相关的知识，包括安全评估相关基础知识、安全评估标准及信息系统审计三个知识域。学员通过学习需要掌握安全评估的相关概念、安全评估的实现方法及安全审计相关的内容。,SPISECCorporation,第11页,CISP知识框架,软件安全开发本知识域主要介绍软件安全开发管理相关知识，包括软件安全开发需求及设计、软件安全实现及软件安全审计、软件开发管理过程等知识。通过学习，学员需要了解如何确定软件安全需求，软件代码安全、以及实施软件安全开发管理、降低软件安全漏洞的危险。法律法规政策与标准本知识域包括信息安全法律法规、政策、标准等知识。通过对本知识域的学习，学员能了解我国立法体系、法律中网络安全相关条款，理解网络安全法相关要求。,SPISECCorporation,第12页,CISP注册信息安全专业人员注册流程：申请资料要求1.注册信息安全专业人员（CISP）考试及注册申请表申请表格可采用电子模版录入填写，也可手写。应确保填写内容的真实准确，手写申请表格应用正楷字体，字迹要求清晰可辨。注：填写注册申请表第二部分时，需要由申请人所在单位（部门）领导签字并加盖单位公章。2.其他资料申请CISP注册资质除了填写申请表外，还需要准备以下资料：个人近期免冠2寸彩色白底证件照片3张身份证复印件1份学位、学历证明复印件1份3.资料的提交时间学员应在报名同时将所有资料提交。授权培训机构结业证书,CISP认证过程,SPISECCorporation,第13页,CISP认证过程,CISP教材标准教材注册信息安全专业人员CISE/CISO培训教材,CISP培训讲义（电子版）CISP认证费用培训费：全国统一培训费9800元/人;（培训5天，考试1天）考试费：1000元/人;认证费：500元/人;年金：500元/人/年,一次性需缴纳三年年金，合计：1500元/人；费用合计：12800元/人注：有关考试费、认证费、年金的规定及收取，详情请参阅中国信息安全测评中心网站。,SPISECCorporation,第14页,CISP认证过程,CISP考试过程考试时间：2小时考试题型：单项选择题目，100题目；考试分数：满分100分，70分通过；考试形式：机考（培训结束最后一天）试卷分类：CISP（CISO试卷类型侧重与管理题型，CISE试卷类型侧重与技术题型，比例：3：7）,SPISECCorporation,第15页,CISM简介,注册信息安全员，英文名称CertifiedInformationSecurityMember，简称CISM，是向政府机构、信息安全企业、信息安全咨询服务机构、信息安全测评机构、大专院校以及企事业单位中从事信息系统建设、运行维护和管理工作的信息安全员所颁发的专业资质证书。持有注册信息安全员（CISM）证书的人员具备了信息安全员的资质和能力。适合对象网络安全技术人员；信息安全管理人员；网络安全技术人员；信息安全运维人员；信息安全管理人员；信息安全审计人员；信息安全开发人员；国家机关、企事业单位信息安全工作人员；其他从事信息安全专业工作的有关人员,SPISECCorporation,第16页,CISM简介,成为注册信息安全员（CISM），必须同时满足以下基本要求：1)教育和工作经历要求：大学本科及大学本科以上学历，具备6个月以上工作经历；或大学专科学历，具备1年以上工作经历；2)信息安全专业工作经历要求：具备6个月以上从事信息安全有关的工作经历。2.参加并完成由中国信息安全测评中心授权的培训机构组织的注册信息安全员（CISM）专业培训；3.通过中国信息安全测评中心组织的注册信息安全员（CISM）考试；4.同意并遵守注册信息安全员（CISM）职业准则；5.满足注册信息安全员（CISM）注册要求并成功通过注册信息安全员（CISM）注册审核；6.获得注册信息安全员（CISM）资质证书后，遵守和满足注册信息安全员注册维持要求，并缴付年费；,SPISECCorporation,第17页,CISM知识框架,信息安全保障：为CISM学员提供了建设和评估信息安全保障工作的基础知识。学习和掌握信息安全保障基础是整个CISM知识体系的基础。信息安全技术：主要讨论了同信息安全相关的技术知识和实践。信息安全管理：主要讨论了同信息安全相关的管理知识和实践。信息安全工程：主要讨论了同信息安全相关的工程知识和实践。,SPISECCorporation,第18页,CISM认证过程,CISM注册信息安全员注册流程：申请资料要求1.注册信息安全员（CISM）考试及注册申请表申请表格可采用电子模版录入填写，也可手写。应确保填写内容的真实准确，手写申请表格应用正楷字体，字迹要求清晰可辨。注：填写注册申请表第三部分时，需要由申请人所在单位（部门）领导签字并加盖单位公章。2.其他资料申请CISM注册资质除了填写申请表外，还需要准备以下资料：个人近期免冠2寸彩色白底证件照片3张身份证复印件1份学位、学历证明复印件1份3.资料的提交时间学员应在报名同时将所有资料提交。授权培训机构结业证书,SPISECCorporation,第19页,CISM认证过程,CISM教材测评中心标准教材,信息安全保障基础，培训讲义（电子版）CISM认证费用培训费：全国统一培训费2100元/人;（培训2天，含考试2小时与CISP考试形式相同）考试费：300元/人;认证费：200元/人;年金：300元/人/年,一次性需缴纳三年年金，合计：300元/人；费用合计：2900元/人注：有关考试费、认证费、年金的规定及收取，详情请参阅中国信息安全测评中心网站。,SPISECCorporation,第20页,2019年CISP/CISM全国统考时间,SPISECCorpor