“注冊(cè)信息安全專業(yè)人員(CISP)”資質(zhì)評(píng)估認(rèn)證簡介

注冊(cè)信息安全專業(yè)人員”資質(zhì)評(píng)估認(rèn)證簡介中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心（CNITSEC）于2002年正式向社會(huì)推出“注冊(cè)信息安全專業(yè)人員”資質(zhì)認(rèn)證項(xiàng)目。一、 什么是“注冊(cè)信息安全專業(yè)人員”“注冊(cè)信息安全專業(yè)人員"，英文為CertifiedInformationSecurityProfessional，簡稱CISP，是指有關(guān)信息安全企業(yè)、信息安全咨詢服務(wù)機(jī)構(gòu)、信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)（包含授權(quán)測(cè)評(píng)機(jī)構(gòu)）、社會(huì)各組織、團(tuán)體、企事業(yè)有關(guān)信息系統(tǒng)（網(wǎng)絡(luò)）建設(shè)、運(yùn)行和應(yīng)用管理的技術(shù)部門（含標(biāo)準(zhǔn)化部門）必備的專業(yè)崗位人員。CISP資質(zhì)認(rèn)證是中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心根據(jù)國家相關(guān)授權(quán)對(duì)外開展的信息安全測(cè)評(píng)認(rèn)證服務(wù)項(xiàng)目之一。根據(jù)實(shí)際工作崗位的需要，CISP分為以下三類：CISE,"注冊(cè)信息安全工程師"，英文為CertifiedInformationSecurityEngineer，主要從事信息安全技術(shù)開發(fā)服務(wù)工程建設(shè)等工作；CISO，“注冊(cè)信息安全管理人員”，英文為CertifiedInformationSecurityOfficer，主要從事信息安全管理等相關(guān)工作；CISA，“注冊(cè)信息安全審核人員”，英文為CertifiedInformationSecurityAuditor，主要從事信息系統(tǒng)的安全測(cè)試、審核和評(píng)估等工作。二、 CISP的基本職能、能力要求與道德標(biāo)準(zhǔn)CISP的基本職能為信息系統(tǒng)的安全提供技術(shù)保障。CISP的基本能力要求具備一定的教育水準(zhǔn)和相關(guān)工作經(jīng)歷通過規(guī)定的培訓(xùn)，具備較為系統(tǒng)的信息安全知識(shí)通過CISP資質(zhì)認(rèn)證考試，具備進(jìn)行信息安全服務(wù)的能力獲得管理部門頒發(fā)的認(rèn)證證書CISP的道德準(zhǔn)則所有CISP都必須付出努力才能獲得和維持該項(xiàng)認(rèn)證。為貫徹這條原則，所有的CISP都必須承諾完全遵守道德準(zhǔn)則：必須誠實(shí)、公正、負(fù)責(zé)、守法；必須勤奮和勝任工作，不斷提高自身專業(yè)能力和水平；必須保護(hù)信息系統(tǒng)、應(yīng)用程序和系統(tǒng)的價(jià)值；必須接受CNITSEC的監(jiān)督，在任何情況下，不損壞CNITSEC或認(rèn)證過程的聲譽(yù)，對(duì)CNITSEC針對(duì)CISP進(jìn)行的調(diào)查應(yīng)給予充分的合作；必須按規(guī)定向CNITSEC交納費(fèi)用。三、CISP資質(zhì)認(rèn)證的特點(diǎn)國家認(rèn)證CNITSEC依據(jù)國家授權(quán)對(duì)外開展信息安全產(chǎn)品、信息系統(tǒng)安全、信息安全服務(wù)資質(zhì)和信息安全人員資質(zhì)認(rèn)證業(yè)務(wù)，并向通過認(rèn)證者頒發(fā)相應(yīng)證書?！爸腥A人民共和國國家信息安全認(rèn)證”是國家對(duì)信息安全產(chǎn)品質(zhì)量的最高認(rèn)可。知識(shí)體系CISP的知識(shí)體系架構(gòu)中列出了與信息安全保障相關(guān)的知識(shí)領(lǐng)域，分為信息安全體系及模型、安全技術(shù)、安全管理及工程過程四個(gè)知識(shí)域（見圖1），從而避免了以往信息安全培訓(xùn)中僅僅偏重技術(shù)、忽視實(shí)踐等狹隘認(rèn)識(shí)及片面教學(xué)。課程設(shè)計(jì)根據(jù)CISP知識(shí)體系架構(gòu)設(shè)計(jì)的培訓(xùn)課程涵蓋了信息安全理論、信息安全技術(shù)、信息安全工程與管理以及信息安全標(biāo)準(zhǔn)及法律法規(guī)四個(gè)模塊，使參加培訓(xùn)的學(xué)員得到全面、系統(tǒng)的學(xué)習(xí)。此外，課程還根據(jù)崗位和職業(yè)的要求突出了不同崗位人員的學(xué)習(xí)側(cè)重，以及不同崗位需要學(xué)習(xí)的專門課程。資質(zhì)認(rèn)證分類根據(jù)工作崗位及職能的不同以及這些崗位的能力需求，對(duì)信息安全從業(yè)人員的資質(zhì)進(jìn)行分類認(rèn)證，其中包括注冊(cè)信息安全工程師（CISE）、注冊(cè)信息安全管理人員（CISO）、注冊(cè)信息安全審核員（CISA）。持續(xù)性學(xué)習(xí)通過對(duì)CISP資質(zhì)認(rèn)證的維持，鼓勵(lì)獲證人員積極參與、從事與信息安全相關(guān)的專業(yè)活動(dòng)，保持持續(xù)性學(xué)習(xí)狀態(tài)，以便將認(rèn)證與其自身的職業(yè)發(fā)展緊密地結(jié)合起來。通過知識(shí)體系架構(gòu)、培訓(xùn)課程設(shè)計(jì)和資質(zhì)認(rèn)證三部分的有機(jī)結(jié)合，CISP資質(zhì)認(rèn)證已經(jīng)形成

一套以知識(shí)體系架構(gòu)為綱、模塊化課程設(shè)計(jì)為基礎(chǔ)，以信息安全保障培訓(xùn)教育為最終目標(biāo)的信息安全專業(yè)人員認(rèn)證體系。

通過對(duì)人員職業(yè)資質(zhì)的評(píng)估與認(rèn)證，為信息安全相關(guān)從業(yè)人員的能力做出權(quán)威性的認(rèn)可與保證，同時(shí)，有效的監(jiān)督與鼓勵(lì)機(jī)制，將最大程度地確保認(rèn)證質(zhì)量，并促進(jìn)獲證人員自身的職業(yè)發(fā)展。Irteniet安全體至惜直安全測(cè)評(píng)認(rèn)還信息安全體系

與模型Irteniet安全體至惜直安全測(cè)評(píng)認(rèn)還信息安全體系

與模型信息安全意識(shí)與基礎(chǔ)知識(shí)圖1：CISP知識(shí)體系四、 CISP的資質(zhì)評(píng)估CISP資質(zhì)評(píng)估CISP資質(zhì)評(píng)估是評(píng)估機(jī)構(gòu)（實(shí)驗(yàn)室）對(duì)信息安全從業(yè)人員的專業(yè)資質(zhì)及相關(guān)能力作出獨(dú)立而客觀的評(píng)價(jià)，其目的是為CISP認(rèn)證提供證據(jù)，同時(shí)，參加評(píng)估還可以使申請(qǐng)者對(duì)自身的知識(shí)掌握有一個(gè)較為清晰的了解。CISP資質(zhì)評(píng)估機(jī)構(gòu)CISP資質(zhì)的評(píng)估機(jī)構(gòu)為中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心系統(tǒng)工程實(shí)驗(yàn)室。于1999年建立的系統(tǒng)工程實(shí)驗(yàn)室是CNITSEC直屬的、經(jīng)中國實(shí)驗(yàn)室國家認(rèn)可委員會(huì)認(rèn)可的第三方信息安全測(cè)評(píng)機(jī)構(gòu)。該實(shí)驗(yàn)室主要面向社會(huì)開展信息安全領(lǐng)域的產(chǎn)品、信息系統(tǒng)（網(wǎng)絡(luò)）、信息安全服務(wù)資質(zhì)、信息安全專業(yè)人員測(cè)評(píng)業(yè)務(wù)。目前，系統(tǒng)工程實(shí)驗(yàn)室已擁有較強(qiáng)的信息安全測(cè)評(píng)技術(shù)水平，建立了一整套科學(xué)的信息安全測(cè)評(píng)方法，積累了豐富的信息安全測(cè)評(píng)經(jīng)驗(yàn)，并具備一定的信息安全標(biāo)準(zhǔn)開發(fā)能力。實(shí)驗(yàn)室一貫堅(jiān)持“質(zhì)量第一”的方針，以“科學(xué)的方法、先進(jìn)的技術(shù)、公正的態(tài)度、優(yōu)質(zhì)的服務(wù)”為宗旨，為社會(huì)提供高水平、高質(zhì)量的信息安全測(cè)評(píng)服務(wù)。CISP資質(zhì)評(píng)估依據(jù)系統(tǒng)工程實(shí)驗(yàn)室依據(jù)實(shí)驗(yàn)室自身開發(fā)并經(jīng)信息安全測(cè)評(píng)認(rèn)證管理委員會(huì)確認(rèn)和CNITSEC注冊(cè)的《注冊(cè)信息安全專業(yè)人員資質(zhì)評(píng)估準(zhǔn)則》，開展對(duì)信息安全專業(yè)人員的測(cè)評(píng)活動(dòng)。五、 CISP資質(zhì)認(rèn)證流程CISP資質(zhì)認(rèn)證可以劃分為四個(gè)階段，即，申請(qǐng)階段、評(píng)估階段、認(rèn)證階段和監(jiān)督階段。其中：申請(qǐng)階段——申請(qǐng)者應(yīng)了解認(rèn)證流程及相關(guān)手續(xù)，確定認(rèn)證目標(biāo)，參加并完成CISP資質(zhì)認(rèn)證培訓(xùn)。將申請(qǐng)所需的各類資料準(zhǔn)備齊全，并向?qū)嶒?yàn)室提起申請(qǐng)。評(píng)估階段——系統(tǒng)工程實(shí)驗(yàn)室將依據(jù)注冊(cè)信息安全專業(yè)人員資質(zhì)評(píng)估準(zhǔn)則，采用相應(yīng)評(píng)估方法，通過一定的評(píng)估程序，對(duì)申請(qǐng)?jiān)u估的人員進(jìn)行測(cè)試與評(píng)估，并依據(jù)測(cè)評(píng)過程中取得的記錄和結(jié)果數(shù)據(jù)，生成該人員的測(cè)評(píng)結(jié)論。該結(jié)論將作為認(rèn)證證據(jù)遞交CNITSEC,供人員認(rèn)證時(shí)使用，同時(shí)，結(jié)論也會(huì)通知申請(qǐng)者本人知曉。認(rèn)證階段——CNITSEC依據(jù)信息安全專業(yè)人員資質(zhì)的相關(guān)評(píng)估標(biāo)準(zhǔn)，按照規(guī)定的程序?qū)π畔踩珡臉I(yè)人員的專業(yè)資質(zhì)及能力進(jìn)行認(rèn)證，以確定其所能達(dá)到的能力水平。

維持階段一一CNITSEC為了保證通過認(rèn)證的人員在認(rèn)證證書有效期內(nèi)，持續(xù)保持其資質(zhì)與能力水平，對(duì)所有獲證人員進(jìn)行認(rèn)證維持監(jiān)督。CISP資質(zhì)認(rèn)證的流程如下圖所示：考試通過認(rèn)證通過無法維持認(rèn)證考試通過認(rèn)證通過無法維持認(rèn)證圖2：CISP資質(zhì)認(rèn)證流程申請(qǐng)階段相關(guān)信息的咨詢CISP申請(qǐng)者應(yīng)先了解有關(guān)資質(zhì)的各種相關(guān)前提條件和知識(shí)體系框架，根據(jù)自己崗位和職業(yè)發(fā)展需求選擇相應(yīng)資質(zhì)認(rèn)證目標(biāo)。

圖3：CISP培訓(xùn)與資質(zhì)認(rèn)證參加知識(shí)培訓(xùn)為了具備CISP的基本知識(shí)水平，申請(qǐng)者應(yīng)在申請(qǐng)認(rèn)證前的一年內(nèi)，參加并完成由CNITSEC或有其授權(quán)的培訓(xùn)機(jī)構(gòu)組織的信息安全專業(yè)人員培訓(xùn)的全部課程，并取得培訓(xùn)合格(結(jié)業(yè))證書。培訓(xùn)對(duì)象一一CISP資質(zhì)認(rèn)證培訓(xùn)的主要對(duì)象是具有一定相關(guān)工作經(jīng)驗(yàn)的技術(shù)、管理及審核人員。培訓(xùn)教材——CISP培訓(xùn)所用教材由CNITSEC組織編寫，其內(nèi)容緊密結(jié)合“注冊(cè)信息安全專業(yè)人員”培訓(xùn)、考試及認(rèn)證的相關(guān)知識(shí)要求。培訓(xùn)機(jī)構(gòu)一一提供CISP資質(zhì)認(rèn)證培訓(xùn)服務(wù)的機(jī)構(gòu)必須得到CNITSEC的授權(quán)，其培訓(xùn)服務(wù)行為將受CNITSEC的嚴(yán)格監(jiān)督。CISP資質(zhì)認(rèn)證授權(quán)培訓(xùn)機(jī)構(gòu)名錄：授權(quán)證書編號(hào)授權(quán)培訓(xùn)機(jī)構(gòu)名稱CNITSEC-ATA-001北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司CNITSEC-ATA-002聯(lián)想計(jì)算機(jī)系統(tǒng)技術(shù)服務(wù)有限公司CNITSEC-ATA-003北京冠群金辰軟件有限公司CNITSEC-ATA-004北京清華萬博網(wǎng)絡(luò)技術(shù)股份有限公司CNITSEC-ATA-005廣東省頤東通訊公司

CNITSEC-ATA-007深圳市安絡(luò)科技有限公司CNITSEC-ATA-008上海金諾網(wǎng)絡(luò)安全技術(shù)發(fā)展股份有限公司CNITSEC-ATA-009吉首大學(xué)張家界學(xué)院CNITSEC-ATA-010北京世紀(jì)互聯(lián)信息系統(tǒng)有限公司CNITSEC-ATA-011北京啟明星辰信息技術(shù)有限公司CNITSEC-ATA-012北京銀長城信息技術(shù)有限公司CNITSEC-ATA-013北京中貿(mào)技術(shù)培訓(xùn)中心有限公司CNITSEC-ATA-016中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心云南測(cè)評(píng)中心授課講師培訓(xùn)講師資格須經(jīng)CNITSEC認(rèn)定，其授課資質(zhì)由CNITSEC統(tǒng)一審核，并予以公示。培訓(xùn)課程CISE和CISO的培訓(xùn)課程見下表:CISE課程內(nèi)容建議授課時(shí)間信息安全理論信息安全保障體系、信息安全模型、信息安全測(cè)評(píng)認(rèn)證1.5天信息安全技術(shù)密碼技術(shù)、網(wǎng)絡(luò)與通信安全、防火墻、入侵檢測(cè)技術(shù)、VPN、PKI/CA、Unix安全管理、Windows安全管理、數(shù)據(jù)庫安全管理、惡意代碼、安全編程6天安全工程及管理信息安全管理體系、風(fēng)險(xiǎn)評(píng)估、安全工程、應(yīng)急響應(yīng)、災(zāi)難備份與恢復(fù)、安全攻防、物理安全4.5天安全標(biāo)準(zhǔn)和法律法規(guī)信息安全標(biāo)準(zhǔn)、信息安全法律法規(guī)1.5天CISO課程內(nèi)容建議授課時(shí)間信息安全理論信息安全概況、信息安全保障體系、信息安全模型、信息安全測(cè)評(píng)認(rèn)證2天信息安全技術(shù)密碼技術(shù)、網(wǎng)絡(luò)與通信安全、防火墻、入侵檢測(cè)技術(shù)、PKI/CA、VPN、系統(tǒng)安全管理、惡意代碼4天安全工程及管理信息安全管理體系、風(fēng)險(xiǎn)評(píng)估、安全工程、應(yīng)急響應(yīng)、災(zāi)難備份與恢復(fù)、安全攻防、物理安全6天

CISA在CISE或CISO基礎(chǔ)上附加以下課程:CISA課程內(nèi)容建議授課時(shí)間信息安全產(chǎn)品測(cè)評(píng)信息安全產(chǎn)品測(cè)評(píng)標(biāo)準(zhǔn)、信息安全產(chǎn)品測(cè)評(píng)方法、防火墻測(cè)試、IDS測(cè)試、IC卡測(cè)試3天信息系統(tǒng)安全測(cè)評(píng)信息系統(tǒng)安全測(cè)評(píng)標(biāo)準(zhǔn)、信息安全管理審核、信息系統(tǒng)安全測(cè)試2天安全標(biāo)準(zhǔn)和法律法規(guī)信息安全標(biāo)準(zhǔn)、信息安全法律法規(guī)安全標(biāo)準(zhǔn)和法律法規(guī)信息安全標(biāo)準(zhǔn)、信息安全法律法規(guī)1.5天提出考試申請(qǐng)申請(qǐng)者須書面填寫《注冊(cè)信息安全專業(yè)人員資質(zhì)認(rèn)證考試申請(qǐng)表》，并按照申請(qǐng)表要求提交有關(guān)的證明資料及培訓(xùn)合格(結(jié)業(yè))證書復(fù)印件。評(píng)估階段申請(qǐng)者根據(jù)CNITSEC的相關(guān)考試安排，參加由CNITSEC組織的相應(yīng)專業(yè)資質(zhì)考試。CISP資質(zhì)認(rèn)證考試試卷由CNITSEC系統(tǒng)工程實(shí)驗(yàn)室依據(jù)相關(guān)評(píng)估準(zhǔn)則及CISP知識(shí)體系大綱要求編擬。在考試結(jié)束后，實(shí)驗(yàn)室將安排組織相關(guān)人員于考試后1個(gè)月內(nèi)在集中封閉、不受干擾的場(chǎng)所完成閱卷工作。閱卷工作結(jié)束后，考試結(jié)果經(jīng)實(shí)驗(yàn)室審定后，將提交考生本人及CNITSEC。認(rèn)證階段(1)申請(qǐng)認(rèn)證認(rèn)證類別認(rèn)證內(nèi)容注”信息安全專業(yè)人員?認(rèn)證要求1.教育與工作經(jīng)歷?碩士研究生以上，具有1年工作經(jīng)歷；或?本科畢業(yè)，具有2年工作經(jīng)歷；或?大專畢業(yè)，具有4年工作經(jīng)歷。2.專業(yè)工作經(jīng)歷至少具備1年從事信息安全有關(guān)的工作經(jīng)歷。3.培訓(xùn)資格在申請(qǐng)認(rèn)證前一年內(nèi)，成功地完成了CNITSEC或其授權(quán)培訓(xùn)機(jī)構(gòu)組織的信息安全專業(yè)人員培訓(xùn)課程的全部課程，并取得培訓(xùn)合格證書。4.通過由CNITSEC舉行的注冊(cè)信息安全專業(yè)人員考試；?認(rèn)證申請(qǐng)材料1.認(rèn)證申請(qǐng)表；2?學(xué)歷證書(原件或復(fù)印件)；3?信息安全專業(yè)人員培訓(xùn)合格證書；4.CNITSEC舉行注冊(cè)信息安全專業(yè)人員的考試成績單；認(rèn)證要求與申請(qǐng)材料5?交納規(guī)定的認(rèn)證申請(qǐng)費(fèi)用；6.近期二寸照片兩張。CNITSEC將根據(jù)申請(qǐng)者提供的相關(guān)證明材料對(duì)申請(qǐng)人員進(jìn)行專業(yè)經(jīng)歷的審核。(3)CISP認(rèn)證與公布每份申請(qǐng)到達(dá)CNITSEC后，初審人員將首先對(duì)申請(qǐng)材料的完整性進(jìn)行初審，如果材料不完整，CNITSEC將通知申請(qǐng)人補(bǔ)充材料或退回。當(dāng)確認(rèn)申請(qǐng)材料完整后，將由2名與申請(qǐng)方無利益

關(guān)系的技術(shù)評(píng)價(jià)人員審查申請(qǐng)材料中各項(xiàng)內(nèi)容是否符合相應(yīng)的要求，并以抽樣方式對(duì)其提供的材料進(jìn)行驗(yàn)證。如果CNITSEC認(rèn)證決定委員會(huì)根據(jù)申請(qǐng)人提供的信息不能作出是否準(zhǔn)予認(rèn)證的決定，則要求申請(qǐng)人澄清或增加信息。必要時(shí)安排面談。對(duì)準(zhǔn)予認(rèn)證的申請(qǐng)人，CNITSEC將公布注冊(cè)人員名錄并向申請(qǐng)人發(fā)放認(rèn)證證書。認(rèn)證維持階段每位注冊(cè)的CISP都需要通過持續(xù)的信息安全專業(yè)發(fā)展來保持其能力和素質(zhì)。CNITSEC將通過評(píng)價(jià)申請(qǐng)表中的信息、專業(yè)發(fā)展記錄來驗(yàn)證每一位CISP的工作能力，同時(shí)

還將采用申訴系統(tǒng)、現(xiàn)場(chǎng)見證、從聘用機(jī)構(gòu)調(diào)閱檔案以及向受CISP服務(wù)方調(diào)查等方式來驗(yàn)證CISP的專業(yè)工作和素質(zhì)。CISP認(rèn)證證書在三年有效期內(nèi)實(shí)行確認(rèn)制度，第3年進(jìn)行復(fù)查換證。保持認(rèn)證要求認(rèn)證級(jí)別保持認(rèn)證要求，復(fù)查換證與申請(qǐng)材料信息安全專業(yè)信息安全專業(yè)人

員?復(fù)查換證要求認(rèn)證資格每三年進(jìn)行一次復(fù)查換證。在證書有效期屆滿前60天內(nèi)，須提出復(fù)查換證申請(qǐng)。年度確認(rèn)在證書有效期內(nèi)，完成規(guī)定的年度確認(rèn)，并且合格。專業(yè)經(jīng)歷完成至少6次完整的信息安全服務(wù)經(jīng)歷。專業(yè)發(fā)展三年內(nèi)應(yīng)至少完成60分以上的專業(yè)發(fā)展活動(dòng)。遵守信息安全專業(yè)人員行為準(zhǔn)則。?申請(qǐng)材料CNITSEC信息安全專業(yè)人員復(fù)查換證申請(qǐng)表（原件）；提交的專業(yè)經(jīng)歷記錄包括：信息安全專業(yè)人員專業(yè)經(jīng)歷記錄或相應(yīng)的服務(wù)咨詢合同（原件或復(fù)印件）。3?本文第11條規(guī)定的信息安全專業(yè)人員專業(yè)發(fā)展證實(shí)材料（即3年專業(yè)發(fā)展記錄）；交納復(fù)查換證申請(qǐng)費(fèi)用；近期兩寸照片兩張。六、CISP認(rèn)證服務(wù)開展情況的簡要介紹CISP資質(zhì)認(rèn)證從2002年推出至2003年12月，共有253人通過該項(xiàng)認(rèn)證，其中通過CISE認(rèn)證的人數(shù)為148人，獲得CISO認(rèn)證的人數(shù)為97人，獲得CISA認(rèn)證的人數(shù)為8人。40% 3%57%圖5：CISP的獲證情況（二）通過對(duì)現(xiàn)有CISP獲證人員的資料統(tǒng)計(jì)可以看出以下幾個(gè)特點(diǎn)：獲證人員的行業(yè)性特點(diǎn)較為明顯獲證人員大部分是來自國內(nèi)各信息安全公司的相關(guān)從業(yè)人員，其所從事的工作主要是信息安全工程的設(shè)計(jì)、實(shí)施、測(cè)試、運(yùn)行和維護(hù)，