CISP課程設(shè)置及知識(shí)要點(diǎn)

CISP課程設(shè)置及知識(shí)要點(diǎn)版本：V2.0版本：V2.0中國(guó)信息安全測(cè)評(píng)中心重要信息系統(tǒng)評(píng)估部Ib說(shuō)明1、 下表是根據(jù)中國(guó)信息安全測(cè)評(píng)中心CISP培訓(xùn)知識(shí)大綱，編制的CISP課程設(shè)置和授課知識(shí)要點(diǎn)。2、所有CISP培訓(xùn)組織機(jī)構(gòu)，在開(kāi)展CISP培訓(xùn)時(shí)，應(yīng)按照下表內(nèi)容，安排課程。3、 CISP培訓(xùn)組織機(jī)構(gòu)可以按照受培訓(xùn)方的需求增加其它課程或延長(zhǎng)授課時(shí)間，但不允許隨意刪減課程或授課時(shí)間。4、所有CISP授課講師，在進(jìn)行CISP授課時(shí)，應(yīng)按照下表中相應(yīng)課程的主要內(nèi)容和知識(shí)要點(diǎn)進(jìn)行授課。5、 CISP授課講師可以根據(jù)個(gè)人知識(shí)的更新和技術(shù)的發(fā)展增加授課內(nèi)容，但不允許隨意刪減授課內(nèi)容。6、 重要信息系統(tǒng)評(píng)估部已經(jīng)制作了最新版本的標(biāo)準(zhǔn)課件，中心內(nèi)部講師有權(quán)利在授課前向重要信息系統(tǒng)評(píng)估部人員與服務(wù)評(píng)估組所要標(biāo)準(zhǔn)課件。7、 中心內(nèi)部講師有義務(wù)在授課過(guò)程中根據(jù)個(gè)人知識(shí)的更新和技術(shù)的發(fā)展，標(biāo)準(zhǔn)課件進(jìn)行持續(xù)的更新和完善，并反饋給重要信息

序號(hào)課程名稱課程主要內(nèi)容知識(shí)要點(diǎn)1信息安全測(cè)評(píng)服務(wù)介紹介紹各類信息安全測(cè)評(píng)服務(wù)，包括信息安全產(chǎn)品、系統(tǒng)、人員和服務(wù)測(cè)評(píng)的概念和內(nèi)容中國(guó)信息安全測(cè)評(píng)中心的主要職能中國(guó)信息安全測(cè)評(píng)中心產(chǎn)品、系統(tǒng)、服務(wù)和人員安全測(cè)評(píng)服務(wù)的意義和流程介紹2信息安全培訓(xùn)和CISP知識(shí)體系介紹介紹中國(guó)信息安全測(cè)評(píng)中心信息安全人才體系戰(zhàn)略和信息安全培訓(xùn)工作介紹。介紹注冊(cè)信息安全專業(yè)人員（CISP）培訓(xùn)工作，并簡(jiǎn)要介紹CISP的知識(shí)體系。構(gòu)建中國(guó)信息安全人才體系的重要性和開(kāi)展CISP培訓(xùn)認(rèn)證的意義CISP的知識(shí)體系結(jié)構(gòu)和知識(shí)要點(diǎn)3信息安全保障體系深入介紹信息安全保障框架的概念和內(nèi)容信息安全保障歷史和背景信息系統(tǒng)安全保障評(píng)估框架信息系統(tǒng)安全保障建設(shè)和評(píng)估實(shí)踐4信息安全模型深入介紹信息安全相關(guān)的模型安全模型的定義和作用以下安全模型的原理、用途和特點(diǎn)-信息流訪問(wèn)控制模型-多級(jí)安全模型Bell-Lapadula模型Clark-Wilson模型Biba模型-多邊安全模型Chinesewall模型

序號(hào)課程名稱課程主要內(nèi)容知識(shí)要點(diǎn)-BMA模型5密碼技術(shù)概述深入介紹密碼技術(shù)的歷史、背景、發(fā)展，以及各種密碼算法等的基礎(chǔ)知識(shí)。明確密碼學(xué)基本概念及其重要性；了解密碼學(xué)發(fā)展的歷史；掌握對(duì)稱密碼和非對(duì)稱密碼體制；哈希函數(shù)的原理和作用；掌握數(shù)字簽名的基本原理。6密碼技術(shù)應(yīng)用-VPN/SSL深入介紹密碼技術(shù)網(wǎng)絡(luò)應(yīng)用，重點(diǎn)介紹IPSec、SSL等的基礎(chǔ)和應(yīng)用。VPN基本概念VPN的類型掌握VPN有關(guān)協(xié)議的基本工作原理，重點(diǎn)是IPSec和SSL協(xié)議族7密碼技術(shù)應(yīng)用-PKI/CA深入介紹密碼技術(shù)在公鑰基礎(chǔ)設(shè)施（PKI/CA）等的應(yīng)用。PKI/CA的基本概念PKI/CA的體系結(jié)構(gòu)和工作流程3.PKI/CA的典型應(yīng)用，如CFCA、CTCA等8網(wǎng)絡(luò)與通信安全基礎(chǔ)深入介紹網(wǎng)絡(luò)安全相關(guān)的各種基礎(chǔ)知識(shí)。OSI模型和TCP/IP協(xié)議簇通信和網(wǎng)絡(luò)技術(shù)互聯(lián)網(wǎng)技術(shù)與服務(wù)主要網(wǎng)絡(luò)安全協(xié)議和機(jī)制9網(wǎng)絡(luò)安全應(yīng)用深入介紹常見(jiàn)網(wǎng)絡(luò)安全產(chǎn)品和技術(shù)，包括對(duì)防火墻、入侵檢測(cè)、漏洞掃描等常見(jiàn)網(wǎng)絡(luò)安常見(jiàn)網(wǎng)絡(luò)安全設(shè)備的用途、分類、工作原理和應(yīng)用技巧：

序號(hào)課程名稱課程主要內(nèi)容知識(shí)要點(diǎn)全技術(shù)和產(chǎn)品知識(shí)和應(yīng)用。防火墻入侵檢測(cè)系統(tǒng)漏洞掃掃描系統(tǒng)安全隔離與信息交換系統(tǒng)（網(wǎng)閘）10UNIX操作系統(tǒng)安全深入介紹UNIX操作系統(tǒng)安全基礎(chǔ)和安全實(shí)踐技術(shù)。UNIX發(fā)展歷史和體系架構(gòu)UNIX常見(jiàn)應(yīng)用服務(wù)及其安全Unix系統(tǒng)安全配置及最佳安全實(shí)踐11Windows操作系統(tǒng)安全深入介紹Windows操作系統(tǒng)安全基礎(chǔ)和安全實(shí)踐技術(shù)。Windows發(fā)展歷史和體系構(gòu)架Windos常見(jiàn)應(yīng)用服務(wù)及其安全Windows安全配置及最佳安全實(shí)踐12Web與數(shù)據(jù)庫(kù)安全管理深入介紹常見(jiàn)網(wǎng)絡(luò)應(yīng)用（Web/郵件系統(tǒng)等）的安全基礎(chǔ)和安全實(shí)踐技術(shù)深入介紹各種數(shù)據(jù)庫(kù)系統(tǒng)安全基礎(chǔ)和安全實(shí)踐技術(shù)。Web應(yīng)用安全基礎(chǔ)?Web應(yīng)用的歷史和作用?Web應(yīng)用面臨的安全威脅和漏洞?Web應(yīng)用安全防護(hù)技術(shù)數(shù)據(jù)庫(kù)安全?數(shù)據(jù)庫(kù)的歷史和作用數(shù)據(jù)面臨的安全威脅和漏洞數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)（SQLserver和Oracle）13惡意代碼防護(hù)深入介紹各種惡意代碼的基本概念和防護(hù)技術(shù)了解病毒、蠕蟲(chóng)、木馬、惡意網(wǎng)頁(yè)的原理掌握病毒、蠕蟲(chóng)、木馬、惡意網(wǎng)頁(yè)的防范了解惡意代碼的分析方法

序號(hào)課程名稱課程主要內(nèi)容知識(shí)要點(diǎn)14安全編程深入介紹源代碼安全的有關(guān)知識(shí)，編成過(guò)程中的安全注意事項(xiàng)和源代碼安全測(cè)試的流程和方法安全編程基本概念安全編程基本原則程序安全測(cè)試方法Windows、Unix、腳本安全編程實(shí)踐15安全攻防深入介紹信息安全攻防的基本概念和攻防的實(shí)踐技能。安全攻防的基本概念滲透性測(cè)試的一般流程黑客攻擊的常用工具和技術(shù)防范和檢測(cè)黑客攻擊的工具和技術(shù)16信息安全官理體系深入介紹信息安全管理的基礎(chǔ)知識(shí)，27001和27002的內(nèi)容信息安全管理的基本概念I(lǐng)SO27001的用途和主要內(nèi)容ISO27002的用途和主要內(nèi)容基本安全管理措施：策略、組織和人員重要安全管理措施：資產(chǎn)管理、通信和操作管理、訪問(wèn)控制和符合性17風(fēng)險(xiǎn)管理深入介紹風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)知識(shí)、國(guó)家政策要求等以及風(fēng)險(xiǎn)管理的實(shí)踐。風(fēng)險(xiǎn)管理的基本概念常見(jiàn)的風(fēng)險(xiǎn)管理體系風(fēng)險(xiǎn)管理的一般過(guò)程常見(jiàn)的風(fēng)險(xiǎn)評(píng)估方法（定性、定量方法的介紹和各自的優(yōu)缺點(diǎn)）風(fēng)險(xiǎn)評(píng)估的一般實(shí)施過(guò)程18安全工程深入介紹信息安全工程理論方法、標(biāo)準(zhǔn)和實(shí)1.系統(tǒng)工程、質(zhì)量管理、能力成熟度模型和項(xiàng)目管

序號(hào)課程名稱課程主要內(nèi)容知識(shí)要點(diǎn)踐理基本概念運(yùn)用“信息系統(tǒng)安全工程”（ISSE）的方法考慮信息安全工程的實(shí)施理解并運(yùn)用“信息安全工程能力成熟度模型”（SSE-CMM）指導(dǎo)信息安全工程的實(shí)施IT項(xiàng)目的各個(gè)階段需要考慮的安全要素，包括立項(xiàng)階段的安全需求挖掘、采購(gòu)開(kāi)發(fā)階段中應(yīng)用系統(tǒng)對(duì)數(shù)據(jù)的正確處理、加密控制、系統(tǒng)資源安全等理解信息安全工程監(jiān)理的概念、意義和實(shí)踐方法19應(yīng)急響應(yīng)深入介紹應(yīng)急響應(yīng)管理的基礎(chǔ)知識(shí)和實(shí)踐。應(yīng)急響應(yīng)的基本概念應(yīng)急響應(yīng)小組的組建應(yīng)急響應(yīng)的一般過(guò)程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)服務(wù)的指標(biāo)20災(zāi)難備份與恢復(fù)深入介紹業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)管理的基礎(chǔ)知識(shí)、國(guó)家政策要求等以及實(shí)踐。BCP&DRP概念和背景業(yè)務(wù)持續(xù)性計(jì)劃編制和內(nèi)容災(zāi)難恢復(fù)的等級(jí)劃分災(zāi)難恢復(fù)工作流程和方法災(zāi)難恢復(fù)系統(tǒng)的建設(shè)和技術(shù)21物理安全深入介紹物理安全的基本概念和實(shí)踐考慮。1.物理安全的基本概念

序號(hào)課程名稱課程主要內(nèi)容知識(shí)要點(diǎn)2.物理安全防護(hù)技術(shù)-物理區(qū)域劃分和問(wèn)控制措施-物理安全監(jiān)控措施-物理環(huán)境保障措施22信息安全標(biāo)準(zhǔn)深入介紹國(guó)際/國(guó)內(nèi)信息安全管理、技術(shù)、工程等領(lǐng)域主要標(biāo)準(zhǔn)的關(guān)系和內(nèi)容。標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化的概念國(guó)際、外國(guó)、我國(guó)信息安全標(biāo)準(zhǔn)化機(jī)構(gòu)信息安全相關(guān)國(guó)際標(biāo)準(zhǔn)和指南信息安全相關(guān)國(guó)內(nèi)標(biāo)準(zhǔn)和指南23信息安全法