一、CISP是什么
CISP是中国信息安全评估中心根据中国信息安全办公室赋予的职能,从2002年开始建立和开发的一套完整的信息安全人才培训体系。
中文名为“注册信息安全专业人员”的CISP(注册信息安全专业人员)认可信息安全专业人员的专业素质和能力。CISP培养目标是信息安全企业、信息安全咨询服务机构、信息安全评估机构、政府机关、社会团体、团体、高等院校、企事业单位从事信息安全相关人才和信息系统建设、运行和应用管理专业人才。CISP证书是对我国信息安全专业人才能力的最高认可。CISP认证是基于信息安全工作的实际需要。CISP作为我国信息安全人才资格认证的主要形式,经过十几年的发展,已经成为批量、快速培养高素质信息安全人才的主要途径之一
CISM(注册信息安全员),中文名“注册信息安全官”,认可信息工作者的信息安全基本能力。CISM培训对象是在信息安全企业、信息安全咨询服务机构、信息安全评估机构、政府机关、社会团体、团体、高校、企事业单位从事信息系统建设、运行、维护和管理的信息工作者。CISM证书是国家对信息工作者信息安全基本能力的权威认可。CISM也是CISP培训知识体系的基础。目前,它使用与CISP相同的教学大纲和教材,并选择四个知识领域作为培训和考试内容。
二、如何成为一名CISP
申请CISP,需要从中国信息安全评估中心官网(www.itsec.gov.cn)下载相应的考试报名申请表,选择培训机构参加培训后报名参加考试。
三、CISP证书类型
CISE/CISO是首批CISP培训证书,通过总结信息安全相关知识形成知识体系。其目的是帮助学生理解信息安全的概念,构建信息安全所需的知识框架,以便更好地应对信息安全工作。学员被定位为网络空间安全的基层“指挥员”和“作战参谋”。他们在基本的安全技能上可以不如专业技术人员,但必须各方面都懂,以免因知识上的不足而决策失误。通过学习有效形成系统的信息安全思想,可以避免信息安全中的“木桶效应”。
Cisp-a(注册信息系统审计师),中文名称为注册信息系统审计师。对于从事信息安全审计的员工提供的培训和资格认证,知识体系侧重于基于信息安全基础知识和技能的信息安全风险评估、信息安全检查和信息系统审计的知识和能力。持有信息系统审核员证书反映了证书持有人在信息系统审核、安全和控制方面的综合实践能力。
Cisp-pte(注册信息安全专业人员-渗透测试工程师),中文名为注册信息安全专业人员-渗透测试,是渗透测试岗位的专用证书。不同于CISE/CISO定位信息系统安全防护,侧重知识体系的全面性,c
ISP-PTE是“点”的能力要求,侧重的是“攻”,强调对信息系统的渗透能力,对学习和考试的人员没有任何学历和工作经验的要求,只要对自己的渗透测试技术有信心就可以报名。CISD (Certified Information Security Developer),中文名称为注册信息安全开发人员,借鉴国际先进的软件安全开发人员经验,以软件安全软件安全开发周期思想为核心,介绍软件安全开发的背景及发展过程,软件安全开发每个阶段工作的目的、主要任务及软件安全编码知识等,帮助了解如何应对软件安全质量问题。
CWASPCSSP(Certified Secure Software Professional),中文名称注册软件安全专业人员,培训体系基于软件安全开发生命周期(S-SDLC:Secure Software Development Life Cycle)整理出的一套适用于广大软件开发人员的知识体系。
除了以上的专项领域外,目前正在逐步研发和推出的证书还有工业控制系统、云计算、大数据等新保障领域的安全培训证书。
CISP-ICSSE(Certified Information Security Professional–industrial control system SecurityEngineer),中文名称为注册工业控制系统安全工程师,针对工业控制系统安全的专项领域培训和资质证书。
CISP-CSE(Certified Information Security Professional–Cloud Security Engineer),中文名称注册云安全工程师,针对云计算领域的安全专项培训和资质证书。
CISP-BDSA(Certified Information Security Professional–Big Data Security Analyst),中文名称注册大数据安全分析师,针对大数据分析领域的安全专项培训及资质证书。
四、道德准则
作为国家注册信息安全专业人员应该遵循其应有的道德准则,中国信息安全测评中心为CISP持证人员设定了职业道德准则。
1)维护国家、社会和公众的信息安全
自觉维护国家信息安全,拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为;
自觉维护网络社会安全,拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为;
自觉维护公众信息安全,拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为。
2)诚实守信,遵纪守法
不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违反诚信原则的行为;
不利用个人的信息安全技术能力实施或组织各种违法犯罪行为;
不在公众网络传播反动、暴力、黄色、低俗信息及非法软件。
(3)努力工作,尽职尽责
热爱信息安全工作岗位,充分认识信息安全专业工作的责任和使命;
为发现和消除本单位或雇主的信息系统安全风险做出应有的努力和贡献;
帮助和指导信息安全同行提升信息安全保障知识和能力,为有需要的人谨慎负责地提出应对信息安全问题的建议和帮助。
(4)发展自身,维护荣誉
通过持续学习保持并提升自身的信息安全知识;
利用日常工作、学术交流等各种方式保持和提升信息安全实践能力;
以CISP身份为荣,积极参与各种证后活动,避免任何损害CISP声誉形象的行为。
五、CISP知识体系
CISP知识体系大纲规范了CISP/CISM考试范围。在整个CISP的知识体系结构中,根据实际工作需要,将信息安全从业人员所需要的掌握的知识构建成若干的知识域,每个知识域包含多个知识子域,每个知识子域中包含需要掌握的知识点。
