CISP认证考试指南2019

1、国家注册信息安全专业人员 CISP认证考试指南 CISP认证考试指南 认证机构 CISP简介 CISP知识框架 CISP认证过程 CISM简介 其他相关认证 SPISEC Corporation第 2 页 认证机构 认证机构 中国信息安全测评中心（以下简称测评中心）是我国专门从事信息技术安全测 试和风险评估的权威职能机构。英语简称（CNITSEC）。 依据中央授权，测评中心的主要职能包括：负责信息技术产品和系统的安全漏 洞分析与信息通报；负责党政机关信息网络、重要信息系统的安全风险评估； 开展信息技术产品、系统和工程建设的安全性测试与评估；开展 信息安全服务 和专业人员的能力评估与资质审核；从

2、事信息安全测试评估的理论研究、技术 研发、标准研制等。测评中心是国家信息安全保障体系中的重要基础设施之一 ，在国家专项投入的支持下，拥有国内一流的信息安全漏洞分析资源和测试评 估技术装备；建有漏洞基础研究、应用软件安全、产品安全检测、系统隐患分 析和测评装备研发等多个专业性技术实验室；具有专门面向党政机关、基础信 息网络和重要信息系统开展风险评估的 国家专控队伍。 中国信息安全测评中心负责注册信息安全专业人员（CISP）的咨询和管理工作 ，包括注册信息安全专业人员（CISP）的培训管理、考试、注册以及教材编写 、师资管理、授权培训机构管理等方面。 SPISEC Corporation第 3 页

3、 认证机构 认证机构 目前中国信息安全测评中心对于人员的注册分为以下几类： SPISEC Corporation第 4 页 注册信息安全审计师（注册信息安全审计师（Certified Information Security Professional -Auditor，简称，简称CISA） “注册信息安全员”，（“注册信息安全员”，（Certified Information Security Member ，简称，简称CISM） 注册信息安全专业人员注册信息安全专业人员渗透测试工程师渗透测试工程师 （Certified Information Security Professional- P

4、enetration Test Engineer，简称，简称CISP-PTE） 注册信息安全专业人员，（注册信息安全专业人员，（Certified Information Security Professional，简称，简称CISP） 关于我们 汇哲科技（简称“SPISEC”）致力于网络空间安全、IT治理、信息安全 、IT风险管理和审计、IT服务管理、业务连续性、项目管理等方面实践 培训与研究，始终以培养国内网络空间安全专业人才、组织中国网络空 间安全人才交流为发展目标。目前，汇哲科技在上海、北京、杭州等地 设立公司、在全国开展网络安全培训与企业安全意识服务工作。 作为专业教育服务机构，汇哲

5、科技常年专注于推广网络空间安全理论和 实践，为学员提供“学习国际知识、拓宽职业道路、融入专业社区、持 续提升能力”的专业服务。中国信息安全测评中心授权培训机构/授权人员注册维持机构。 SPISEC Corporation第 5 页 CISP简介 注册信息安全专业人员，英文名称Certified Information Security Professional，简称CISP，是向信息安全企业、信息安全咨询服务机构 、信息安全测评机构、政府机构、社会各组织、团体、大专院校以及企 事业单位中负责信息系统建设、运行维护和管理工作的信息安全专业人 员所颁发的专业资质证书。截至2018年底国内持证人数3

6、,0000+。 也是网络安全法中针对网络安全从业人员的资格证书之一。 在各行业文件中均有明确的要求如：政府、金融、通信、电力、国防、 军工、交通、烟草、税务、等行业” SPISEC Corporation第 6 页 CISP简介 CISP适合对象 国家机关、企事业单位网络安全工作人员； 信息安全管理人员； 网络安全技术人员； 信息安全运维人员； 信息安全审计人员； 信息安全开发人员； 信息安全灾备人员； 其他相关工作人员。 SPISEC Corporation第 7 页 CISP简介 成为注册信息安全专业人员（CISP），必须同时满足以下基本要求： -1) 教育和工作经历要求： 硕士及硕士以上

7、学历，具备1年以上工作经历；或 大学本科学历，具备2年以上工作经历；或 大学专科学历，具备4年以上工作经历； -2) 信息安全专业工作经历要求： -具备1年以上从事信息安全相关的工作经历。 -2. 参加并完成由中国信息安全测评中心授权的培训机构组织的注册信息安全专 业人员（CISP）专业培训； -3. 通过中国信息安全测评中心组织的注册信息安全专业人员（CISP）考试； -4. 同意并遵守注册信息安全专业人员（CISP）职业准则； -5. 满足注册信息安全专业人员（CISP）注册要求并成功通过注册信息安全专业 人员（CISP）注册审核； -6. 获得注册信息安全专业人员（CISP）资质证书后，

8、遵守和满足注册信息安全 专业人员（CISP）注册维持要求，并缴付年费； SPISEC Corporation第 8 页 CISP知识框架 SPISEC Corporation第 9 页 2018年10月1日生效CISP知识体系4.1结构框架图 CISP知识框架 CISP知识体系 信息安全保障 本知识域包括信息安全保障的基本概念、模型、工作内容与工作方法，同时包 括信息安全保障要素中的安全工程相关内容及新技术领域信息安全保障的相关 知识。通过对本知识域的学习，学员应该理解信息安全问题产生的根源，信息 安全基本概念。了解PPDR、IATF、等信息系统安全保障评估框架等安全保障框 架，并理解信息安全

9、保障工作内容及方法、信息系统安全工程（ISSE）及安全 工程能力成熟度模型（SSE-CMM）等相关知识。 信息安全规划 本知识域包括信息安全风险管理及密码学、身份鉴别及访问控制等信息安全支 撑技术相关知识。通过本知识域的学习，学员了解风险管理相关概念并掌握风 险管理的工作方法，并且掌握密码学、身份鉴别、访问控制等信息安全基础技 术，为信息系统安全体系规划及信息安全保障工作提供支撑。 安全设计与实现 本知识域包括物理和环境安全、网络和通信安全、计算机环境安全和应用与数 据安全四个知识子域。通过对知识域的学习，学员了解并掌握信息系统物理、 网络、主机、应用等多个层面的安全问题及防护措施。 SPIS

10、EC Corporation第 10 页 CISP知识框架 安全运营 本知识域包括安全运维、内容安全管理、业务连续性管理、灾难备份及大数据 等相关知识。通过本知识域的学习，学员了解信息系统安全运维相关工作如漏 洞评估、安全补丁、安全审计、应急响应及培训与教育等工作内容，并掌握内 容安全管理、业务连续性管理的重要性及灾难恢复相关知识。 安全管理 本知识域参考ISO27000系列标准，包括信息安全管理体系、信息安全管理措施 及社会工程学等相关知识。通过学习学员能够了解信息安全管理工作的重要性 ，并且掌握ISO27000系列标准的应用。 安全评估 本知识域包括信息安全评估相关的知识，包括安全评估相关

11、基础知识、安全评 估标准及信息系统审计三个知识域。学员通过学习需要掌握安全评估的相关概 念、安全评估的实现方法及安全审计相关的内容。 SPISEC Corporation第 11 页 CISP知识框架 软件安全开发 本知识域主要介绍软件安全开发管理相关知识，包括软件安全开发需求及设计 、软件安全实现及软件安全审计、软件开发管理过程等知识。通过学习，学员 需要了解如何确定软件安全需求，软件代码安全、以及实施软件安全开发管理 、降低软件安全漏洞的危险。 法律法规政策与标准 本知识域包括信息安全法律法规、政策、标准等知识。通过对本知识域的学习 ，学员能了解我国立法体系、法律中网络安全相关条款，理解网

12、络安全法相关 要求。 SPISEC Corporation第 12 页 CISP注册信息安全专业人员注册流程： 申请资料要求 -1. 注册信息安全专业人员（CISP）考试及注册申请表 -申请表格可采用电子模版录入填写，也可手写。应确保填 写内容的真实准确，手写申请表格应用正楷字体，字迹要 求清晰可辨。 -注：填写注册申请表第二部分时，需要由申请人所在单位 （部门）领导签字并加盖单位公章。 -2. 其他资料 -申请CISP注册资质除了填写申请表外，还需要准备以下资 料： -个人近期免冠2寸彩色白底证件照片3张 -身份证复印件1份 -学位、学历证明复印件1份 -3. 资料的提交时间 -学员应在报名

13、同时将所有资料提交。 -授权培训机构结业证书 CISP认证过程 SPISEC Corporation第 13 页 CISP认证过程 CISP教材 标准教材注册信息安全专业人员CISE/CISO培训教材,CISP培训讲义（ 电子版） CISP认证费用 -培训费：全国统一培训费 9800元/人;（培训5天，考试1天） -考试费：1000元/人; -认证费：500元/人; -年 金：500元/人/年,一次性需缴纳三年年金，合计：1500元/人； -费用合计：12800元/人 -注：有关考试费、认证费、年金的规定及收取，详情请参阅中国信息安全测评 中心网站 。 SPISEC Corporation第

14、14 页 CISP认证过程 CISP考试过程 考试时间：2小时 考试题型：单项选择题目，100题目； 考试分数：满分100分，70分通过； 考试形式：机考（培训结束最后一天） 试卷分类：CISP（CISO试卷类型侧重与管理题型，CISE试卷类型侧重与技术 题型，比例：3：7） SPISEC Corporation第 15 页 CISM简介 注册信息安全员，英文名称Certified Information Security Member，简 称CISM，是向政府机构、信息安全企业、信息安全咨询服务机构、信 息安全测评机构、大专院校以及企事业单位中从事信息系统建设、运行 维护和管理工作的信息安全

15、员所颁发的专业资质证书。持有注册信息安 全员（CISM）证书的人员具备了信息安全员的资质和能力。 适合对象 -网络安全技术人员； -信息安全管理人员； -网络安全技术人员； -信息安全运维人员； -信息安全管理人员； -信息安全审计人员； -信息安全开发人员； -国家机关、企事业单位信息安全工作人员； -其他从事信息安全专业工作的有关人员 SPISEC Corporation第 16 页 CISM简介 成为注册信息安全员（CISM），必须同时满足以下基本要求： 1) 教育和工作经历要求： 大学本科及大学本科以上学历，具备6个月以上工作经历；或 大学专科学历，具备1年以上工作经历； 2) 信息安

16、全专业工作经历要求： 具备6个月以上从事信息安全有关的工作经历。 2. 参加并完成由中国信息安全测评中心授权的培训机构组织的注册信息安全员 （CISM）专业培训； 3. 通过中国信息安全测评中心组织的注册信息安全员（CISM）考试； 4. 同意并遵守注册信息安全员（CISM）职业准则； 5. 满足注册信息安全员（CISM）注册要求并成功通过注册信息安全员（CISM ）注册审核； 6. 获得注册信息安全员（CISM）资质证书后，遵守和满足注册信息安全员注册 维持要求，并缴付年费； SPISEC Corporation第 17 页 CISM知识框架 信息安全保障：为CISM学员提供了建设和评估信息

17、安全保障工作的基础知识。 学习和掌握信息安全保障基础是整个CISM知识体系的基础。 信息安全技术：主要讨论了同信息安全相关的技术知识和实践。 信息安全管理：主要讨论了同信息安全相关的管理知识和实践。 信息安全工程：主要讨论了同信息安全相关的工程知识和实践。 SPISEC Corporation第 18 页 CISM认证过程 CISM注册信息安全员注册流程： 申请资料要求 -1. 注册信息安全员（CISM）考试及注册申请表 -申请表格可采用电子模版录入填写，也可手写。应 确保填写内容的真实准确，手写申请表格应用正楷 字体，字迹要求清晰可辨。 -注：填写注册申请表第三部分时，需要由申请人所 在单位

18、（部门）领导签字并加盖单位公章。 -2. 其他资料 -申请CISM注册资质除了填写申请表外，还需要准备 以下资料： -个人近期免冠2寸彩色白底证件照片3张 -身份证复印件1份 -学位、学历证明复印件1份 -3. 资料的提交时间 -学员应在报名同时将所有资料提交。 -授权培训机构结业证书 SPISEC Corporation第 19 页 CISM认证过程 CISM教材 测评中心标准教材,信息安全保障基础，培训讲义（电子版） CISM认证费用 -培训费：全国统一培训费 2100元/人;（培训2天，含考试2小时与CISP考试形式 相同） -考试费：300元/人; -认证费：200元/人; -年金 ：

19、300元/人/年,一次性需缴纳三年年金，合计：300元/人； -费用合计：2900元/人 -注：有关考试费、认证费、年金的规定及收取，详情请参阅中国信息安全测评 中心网站 。 SPISEC Corporation第 20 页 2019年CISP/CISM全国统考时间 SPISEC Corporation第 21 页 北京：北市海淀区坡上村12号国际关系学院交流中心第一放映厅 上海：上海市徐汇区平江路8号3楼教室 广州：广州市珠海区电大1号楼301室 成都：成都市高新区云华路333号7栋教室注：其他地区请参考考前地点安排 培训班通过率 SPISEC Corporation第 22 页 汇哲科技在CISP培训项目上一直处于领先地位，历年来都创下非常高的通过率 ，但