注册信息安全专业人员(CISP)
知识体系大纲
版本:2.0正式版
中国信息安全测评中心
注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
目录
前言 .................................................................................................................. 3 第 1 章注册信息安全专业人员(CISP)知识体系概述 ................................... 4
1.1 CISP资质认定类别 ............................................................................. 4 1.2大纲范围 ............................................................................................. 4 1.3 CISP知识体系框架结构 ...................................................................... 5 1.4 CISP(CISE/CISO)考试试题结构 ..................................................... 7 第 2 章知识类:信息安全保障概述 ................................................................. 9
2.1知识体:信息安全保障基本知识 .......................................................... 9
2.1.1知识域:信息安全保障背景 ....................................................... 9 2.1.2知识域:信息安全保障原理 ..................................................... 10 2.1.3知识域:典型信息系统安全模型与框架 ................................... 10 2.2知识体:信息安全保障基本实践 ........................................................ 11
2.2.1知识域:信息安全保障工作概况 .............................................. 11 2.2.2知识域:信息系统安全保障工作基本内容 ............................... 11
第 3 章知识类:信息安全技术 ...................................................................... 13
3.1知识体:密码技术 ............................................................................. 13
3.1.1知识域:密码学基础................................................................ 14 3.1.2知识域:密码学应用................................................................ 14 3.2知识体:访问控制与审计监控 ........................................................... 15
3.2.1知识域:访问控制模型 ............................................................ 16 3.2.2知识域:访问控制技术 ............................................................ 16 3.2.3知识域:审计和监控技术 ........................................................ 17 3.3知识体:网络安全 ............................................................................. 17
3.3.1知识域:网络协议安全 ............................................................ 17 3.3.2知识域:网络安全设备 ............................................................ 18 3.3.3知识域:网络架构安全 ............................................................ 18 3.4知识体:系统安全 ............................................................................. 19
3.4.1知识域:操作系统安全 ............................................................ 19 3.4.2知识域:数据库安全................................................................ 20 3.5知识体:应用安全 ............................................................................. 21
3.5.1知识域:网络服务安全 ............................................................ 21 3.5.2知识域:个人用户安全 ............................................................ 22 3.5.3知识域:恶意代码 ................................................................... 22 3.6知识体:安全攻防 ............................................................................. 23
中国信息安全测评中心 -1-
注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
3.6.1知识域:信息安全漏洞 ............................................................ 23 3.6.2知识域:安全攻防基础 ............................................................ 24 3.6.3知识域:安全攻防实践 ............................................................ 24 3.7知识体:软件安全开发 ...................................................................... 25
3.7.1知识域:软件安全开发概况 ..................................................... 25 3.7.2知识域:软件安全开发的关键阶段 .......................................... 25
第 4 章知识类:信息安全管理 ...................................................................... 27
4.1知识体:信息安全管理体系 ............................................................... 27
4.1.1知识域:信息安全管理基本概念 .............................................. 27 4.1.2知识域:信息安全管理体系建设 .............................................. 28 4.2知识体:信息安全风险管理 ............................................................... 29
4.2.1知识域:风险管理工作内容 ..................................................... 29 4.2.2知识域:信息安全风险评估实践 .............................................. 30 4.3知识体:安全管理措施 ...................................................................... 31
4.3.1知识域:基本安全管理措施 ..................................................... 31 4.3.2知识域:重要安全管理过程 ..................................................... 33
第 5 章知识类:信息安全工程 ...................................................................... 35
5.1知识体:信息安全工程原理 ............................................................... 35
5.1.1知识域:安全工程理论背景 ..................................................... 35 5.1.2知识域:安全工程能力成熟度模型 .......................................... 36 5.2知识体:信息安全工程实践 ............................................................... 37
5.2.1知识域:安全工程实施实践 ..................................................... 37 5.2.2知识域:信息安全工程监理 ..................................................... 38
第 6 章知识类:信息安全标准法规 ............................................................... 39
6.1知识体:信息安全法规与政策 ........................................................... 39
6.1.1知识域:信息安全相关法律 ..................................................... 39 6.1.2知识域:信息安全国家政策 ..................................................... 40 6.2知识体:信息安全标准 ...................................................................... 41
6.2.1知识域:安全标准化概述 ........................................................ 41 6.2.2知识域:信息安全评估标准 ..................................................... 41 6.2.3知识域:信息安全管理标准 ..................................................... 42 6.2.4知识域:等级保护标准 ............................................................ 42 6.3知识体:道德规范 ............................................................................. 43
6.3.1知识域:信息安全从业人员道德规范....................................... 43 6.3.2知识域:通行道德规范 ............................................................ 44
中国信息安全测评中心 -2-
注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
前言
信息安全作为我国信息化建设健康发展的重要因素,关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施,是国家安全的重要组成部分。在信息系统安全保障工作中,人是最核心、也是最活跃的因素,人员的信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。
注册信息安全专业人员(CISP)是对我国网络基础设施和重要信息系统的信息安全专业人员进行资质评定的重要形式。多年来为落实我国有关政策“加快信息安全人才培养,增强全民信息安全意识”的指导精神,构建信息安全人才体系发挥了巨大作用。
本大纲从我国国情出发,结合我国网络基础设施和重要信息系统安全保障的实际需求,以知识体系的全面性和实用性为原则,明确规定了注册信息安全专业人员应当掌握的知识要点,是CISP教材编制,讲师授课,学员学习,以及考试命题的重要依据。
本大纲包含以下章节:
? 第1章注册信息安全专业人员(CISP)知识体系概述 ? 第2章知识类:信息安全保障概述 ? 第3章知识类:信息安全技术 ? 第4章知识类:信息安全管理 ? 第5章知识类:信息安全工程 ? 第6章知识类:信息安全标准法规
中国信息安全测评中心 -3-
注册信息安全专业人员(CISP)知识体系大纲,V2.0正式版
第 1 章 注册信息安全专业人员(CISP)知识体系概述
1.1 CISP资质认定类别
“注册信息安全专业人员”,英文为Certified Information Security Professional ,简称CISP,系经中国信息安全测评中心认定的国家信息安全专业人员,具备保障信息系统安全的专业资质。根据岗位工作需要,CISP分为两个基础类别:
? “注册信息安全工程师”,英文为Certified Information Security
Engineer,简称CISE。证书持有人员主要从事信息安全技术领域的工作,具有从事信息系统安全集成、安全技术测试、安全加固和安全运维的基本知识和能力;
? “注册信息安全管理人员”,英文为Certified Information Security
Officer,简称CISO。证书持有人员主要从事信息安全管理领域的工作,具有组织信息安全风险评估、信息安全总体规划编制、信息安全策略制度制定和监督落实的基本知识和能力。
“注册信息安全专业人员”在两个基础类别之上还有两个扩展类别: ? “注册信息安全专业人员-审计师”,简称CISP-AUDIT(原CISA)。
证书持有人主要从事信息安全审计工作,在全面掌握信息安全基本知识技能的基础上,具有较强的信息安全风险评估、安全检查实践能力。 ? “注册信息安全专业人员-灾难恢复工程师”,简称CISP-DRP。证书
持有人主要从事信息系统灾难恢复工作,在全面掌握信息安全基本知识技能的基础上,具有较强的信息系统灾难恢复建设和管理的实践能力。
1.2 大纲范围
本大纲涵盖了CISE和CISO两种CISP基础类别注册人员需要掌握的知识要点。
中国信息安全测评中心 -4-