“注册信息安全专业人员(CISP)”资质评估认证简介_第1页
“注册信息安全专业人员(CISP)”资质评估认证简介_第2页
“注册信息安全专业人员(CISP)”资质评估认证简介_第3页
“注册信息安全专业人员(CISP)”资质评估认证简介_第4页
“注册信息安全专业人员(CISP)”资质评估认证简介_第5页
已阅读5页,还剩9页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

注册信息安全专业人员”资质评估认证简介中国信息安全产品测评认证中心(CNITSEC)于2002年正式向社会推出“注册信息安全专业人员”资质认证项目。一、 什么是“注册信息安全专业人员”“注册信息安全专业人员",英文为CertifiedInformationSecurityProfessional,简称CISP,是指有关信息安全企业、信息安全咨询服务机构、信息安全测评认证机构(包含授权测评机构)、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员。CISP资质认证是中国信息安全产品测评认证中心根据国家相关授权对外开展的信息安全测评认证服务项目之一。根据实际工作岗位的需要,CISP分为以下三类:CISE,"注册信息安全工程师",英文为CertifiedInformationSecurityEngineer,主要从事信息安全技术开发服务工程建设等工作;CISO,“注册信息安全管理人员”,英文为CertifiedInformationSecurityOfficer,主要从事信息安全管理等相关工作;CISA,“注册信息安全审核人员”,英文为CertifiedInformationSecurityAuditor,主要从事信息系统的安全测试、审核和评估等工作。二、 CISP的基本职能、能力要求与道德标准CISP的基本职能为信息系统的安全提供技术保障。CISP的基本能力要求具备一定的教育水准和相关工作经历通过规定的培训,具备较为系统的信息安全知识通过CISP资质认证考试,具备进行信息安全服务的能力获得管理部门颁发的认证证书CISP的道德准则所有CISP都必须付出努力才能获得和维持该项认证。为贯彻这条原则,所有的CISP都必须承诺完全遵守道德准则:必须诚实、公正、负责、守法;必须勤奋和胜任工作,不断提高自身专业能力和水平;必须保护信息系统、应用程序和系统的价值;必须接受CNITSEC的监督,在任何情况下,不损坏CNITSEC或认证过程的声誉,对CNITSEC针对CISP进行的调查应给予充分的合作;必须按规定向CNITSEC交纳费用。三、CISP资质认证的特点国家认证CNITSEC依据国家授权对外开展信息安全产品、信息系统安全、信息安全服务资质和信息安全人员资质认证业务,并向通过认证者颁发相应证书。“中华人民共和国国家信息安全认证”是国家对信息安全产品质量的最高认可。知识体系CISP的知识体系架构中列出了与信息安全保障相关的知识领域,分为信息安全体系及模型、安全技术、安全管理及工程过程四个知识域(见图1),从而避免了以往信息安全培训中仅仅偏重技术、忽视实践等狭隘认识及片面教学。课程设计根据CISP知识体系架构设计的培训课程涵盖了信息安全理论、信息安全技术、信息安全工程与管理以及信息安全标准及法律法规四个模块,使参加培训的学员得到全面、系统的学习。此外,课程还根据岗位和职业的要求突出了不同岗位人员的学习侧重,以及不同岗位需要学习的专门课程。资质认证分类根据工作岗位及职能的不同以及这些岗位的能力需求,对信息安全从业人员的资质进行分类认证,其中包括注册信息安全工程师(CISE)、注册信息安全管理人员(CISO)、注册信息安全审核员(CISA)。持续性学习通过对CISP资质认证的维持,鼓励获证人员积极参与、从事与信息安全相关的专业活动,保持持续性学习状态,以便将认证与其自身的职业发展紧密地结合起来。通过知识体系架构、培训课程设计和资质认证三部分的有机结合,CISP资质认证已经形成

一套以知识体系架构为纲、模块化课程设计为基础,以信息安全保障培训教育为最终目标的信息安全专业人员认证体系。

通过对人员职业资质的评估与认证,为信息安全相关从业人员的能力做出权威性的认可与保证,同时,有效的监督与鼓励机制,将最大程度地确保认证质量,并促进获证人员自身的职业发展。Irteniet安全体至惜直安全测评认还信息安全体系

与模型Irteniet安全体至惜直安全测评认还信息安全体系

与模型信息安全意识与基础知识图1:CISP知识体系四、 CISP的资质评估CISP资质评估CISP资质评估是评估机构(实验室)对信息安全从业人员的专业资质及相关能力作出独立而客观的评价,其目的是为CISP认证提供证据,同时,参加评估还可以使申请者对自身的知识掌握有一个较为清晰的了解。CISP资质评估机构CISP资质的评估机构为中国信息安全产品测评认证中心系统工程实验室。于1999年建立的系统工程实验室是CNITSEC直属的、经中国实验室国家认可委员会认可的第三方信息安全测评机构。该实验室主要面向社会开展信息安全领域的产品、信息系统(网络)、信息安全服务资质、信息安全专业人员测评业务。目前,系统工程实验室已拥有较强的信息安全测评技术水平,建立了一整套科学的信息安全测评方法,积累了丰富的信息安全测评经验,并具备一定的信息安全标准开发能力。实验室一贯坚持“质量第一”的方针,以“科学的方法、先进的技术、公正的态度、优质的服务”为宗旨,为社会提供高水平、高质量的信息安全测评服务。CISP资质评估依据系统工程实验室依据实验室自身开发并经信息安全测评认证管理委员会确认和CNITSEC注册的《注册信息安全专业人员资质评估准则》,开展对信息安全专业人员的测评活动。五、 CISP资质认证流程CISP资质认证可以划分为四个阶段,即,申请阶段、评估阶段、认证阶段和监督阶段。其中:申请阶段——申请者应了解认证流程及相关手续,确定认证目标,参加并完成CISP资质认证培训。将申请所需的各类资料准备齐全,并向实验室提起申请。评估阶段——系统工程实验室将依据注册信息安全专业人员资质评估准则,采用相应评估方法,通过一定的评估程序,对申请评估的人员进行测试与评估,并依据测评过程中取得的记录和结果数据,生成该人员的测评结论。该结论将作为认证证据递交CNITSEC,供人员认证时使用,同时,结论也会通知申请者本人知晓。认证阶段——CNITSEC依据信息安全专业人员资质的相关评估标准,按照规定的程序对信息安全从业人员的专业资质及能力进行认证,以确定其所能达到的能力水平。

维持阶段一一CNITSEC为了保证通过认证的人员在认证证书有效期内,持续保持其资质与能力水平,对所有获证人员进行认证维持监督。CISP资质认证的流程如下图所示:考试通过认证通过无法维持认证考试通过认证通过无法维持认证图2:CISP资质认证流程申请阶段相关信息的咨询CISP申请者应先了解有关资质的各种相关前提条件和知识体系框架,根据自己岗位和职业发展需求选择相应资质认证目标。

图3:CISP培训与资质认证参加知识培训为了具备CISP的基本知识水平,申请者应在申请认证前的一年内,参加并完成由CNITSEC或有其授权的培训机构组织的信息安全专业人员培训的全部课程,并取得培训合格(结业)证书。培训对象一一CISP资质认证培训的主要对象是具有一定相关工作经验的技术、管理及审核人员。培训教材——CISP培训所用教材由CNITSEC组织编写,其内容紧密结合“注册信息安全专业人员”培训、考试及认证的相关知识要求。培训机构一一提供CISP资质认证培训服务的机构必须得到CNITSEC的授权,其培训服务行为将受CNITSEC的严格监督。CISP资质认证授权培训机构名录:授权证书编号授权培训机构名称CNITSEC-ATA-001北京天融信网络安全技术有限公司CNITSEC-ATA-002联想计算机系统技术服务有限公司CNITSEC-ATA-003北京冠群金辰软件有限公司CNITSEC-ATA-004北京清华万博网络技术股份有限公司CNITSEC-ATA-005广东省颐东通讯公司

CNITSEC-ATA-007深圳市安络科技有限公司CNITSEC-ATA-008上海金诺网络安全技术发展股份有限公司CNITSEC-ATA-009吉首大学张家界学院CNITSEC-ATA-010北京世纪互联信息系统有限公司CNITSEC-ATA-011北京启明星辰信息技术有限公司CNITSEC-ATA-012北京银长城信息技术有限公司CNITSEC-ATA-013北京中贸技术培训中心有限公司CNITSEC-ATA-016中国信息安全产品测评认证中心云南测评中心授课讲师培训讲师资格须经CNITSEC认定,其授课资质由CNITSEC统一审核,并予以公示。培训课程CISE和CISO的培训课程见下表:CISE课程内容建议授课时间信息安全理论信息安全保障体系、信息安全模型、信息安全测评认证1.5天信息安全技术密码技术、网络与通信安全、防火墙、入侵检测技术、VPN、PKI/CA、Unix安全管理、Windows安全管理、数据库安全管理、恶意代码、安全编程6天安全工程及管理信息安全管理体系、风险评估、安全工程、应急响应、灾难备份与恢复、安全攻防、物理安全4.5天安全标准和法律法规信息安全标准、信息安全法律法规1.5天CISO课程内容建议授课时间信息安全理论信息安全概况、信息安全保障体系、信息安全模型、信息安全测评认证2天信息安全技术密码技术、网络与通信安全、防火墙、入侵检测技术、PKI/CA、VPN、系统安全管理、恶意代码4天安全工程及管理信息安全管理体系、风险评估、安全工程、应急响应、灾难备份与恢复、安全攻防、物理安全6天

CISA在CISE或CISO基础上附加以下课程:CISA课程内容建议授课时间信息安全产品测评信息安全产品测评标准、信息安全产品测评方法、防火墙测试、IDS测试、IC卡测试3天信息系统安全测评信息系统安全测评标准、信息安全管理审核、信息系统安全测试2天安全标准和法律法规信息安全标准、信息安全法律法规安全标准和法律法规信息安全标准、信息安全法律法规1.5天提出考试申请申请者须书面填写《注册信息安全专业人员资质认证考试申请表》,并按照申请表要求提交有关的证明资料及培训合格(结业)证书复印件。评估阶段申请者根据CNITSEC的相关考试安排,参加由CNITSEC组织的相应专业资质考试。CISP资质认证考试试卷由CNITSEC系统工程实验室依据相关评估准则及CISP知识体系大纲要求编拟。在考试结束后,实验室将安排组织相关人员于考试后1个月内在集中封闭、不受干扰的场所完成阅卷工作。阅卷工作结束后,考试结果经实验室审定后,将提交考生本人及CNITSEC。认证阶段(1)申请认证认证类别认证内容注”信息安全专业人员•认证要求1.教育与工作经历•硕士研究生以上,具有1年工作经历;或・本科毕业,具有2年工作经历;或・大专毕业,具有4年工作经历。2.专业工作经历至少具备1年从事信息安全有关的工作经历。3.培训资格在申请认证前一年内,成功地完成了CNITSEC或其授权培训机构组织的信息安全专业人员培训课程的全部课程,并取得培训合格证书。4.通过由CNITSEC举行的注册信息安全专业人员考试;•认证申请材料1.认证申请表;2•学历证书(原件或复印件);3•信息安全专业人员培训合格证书;4.CNITSEC举行注册信息安全专业人员的考试成绩单;认证要求与申请材料5•交纳规定的认证申请费用;6.近期二寸照片两张。CNITSEC将根据申请者提供的相关证明材料对申请人员进行专业经历的审核。(3)CISP认证与公布每份申请到达CNITSEC后,初审人员将首先对申请材料的完整性进行初审,如果材料不完整,CNITSEC将通知申请人补充材料或退回。当确认申请材料完整后,将由2名与申请方无利益

关系的技术评价人员审查申请材料中各项内容是否符合相应的要求,并以抽样方式对其提供的材料进行验证。如果CNITSEC认证决定委员会根据申请人提供的信息不能作出是否准予认证的决定,则要求申请人澄清或增加信息。必要时安排面谈。对准予认证的申请人,CNITSEC将公布注册人员名录并向申请人发放认证证书。认证维持阶段每位注册的CISP都需要通过持续的信息安全专业发展来保持其能力和素质。CNITSEC将通过评价申请表中的信息、专业发展记录来验证每一位CISP的工作能力,同时

还将采用申诉系统、现场见证、从聘用机构调阅档案以及向受CISP服务方调查等方式来验证CISP的专业工作和素质。CISP认证证书在三年有效期内实行确认制度,第3年进行复查换证。保持认证要求认证级别保持认证要求,复查换证与申请材料信息安全专业信息安全专业人

员•复查换证要求认证资格每三年进行一次复查换证。在证书有效期届满前60天内,须提出复查换证申请。年度确认在证书有效期内,完成规定的年度确认,并且合格。专业经历完成至少6次完整的信息安全服务经历。专业发展三年内应至少完成60分以上的专业发展活动。遵守信息安全专业人员行为准则。•申请材料CNITSEC信息安全专业人员复查换证申请表(原件);提交的专业经历记录包括:信息安全专业人员专业经历记录或相应的服务咨询合同(原件或复印件)。3•本文第11条规定的信息安全专业人员专业发展证实材料(即3年专业发展记录);交纳复查换证申请费用;近期两寸照片两张。六、CISP认证服务开展情况的简要介绍CISP资质认证从2002年推出至2003年12月,共有253人通过该项认证,其中通过CISE认证的人数为148人,获得CISO认证的人数为97人,获得CISA认证的人数为8人。40% 3%57%图5:CISP的获证情况(二)通过对现有CISP获证人员的资料统计可以看出以下几个特点:获证人员的行业性特点较为明显获证人员大部分是来自国内各信息安全公司的相关从业人员,其所从事的工作主要是信息安全工程的设计、实施、测试、运行和维护,

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论