CISP介绍

CISP既“注册信息安全专业人员”，英文为Certified Information Security Professional (简称CISP)，培训时间12天，费用9800元/每人，根据实际岗位工作需要，CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer（简称CISE）; “注册信息安全管理人员”， 英文为Certified Information Security Officer(简称CISO)，“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。其中CISE主要从事信息安全技术开发服务工程建设等工作，CISO从事信息安全管理等相关工作，CISA从事信息系统的安全性审核或评估等工作。这三类注册信息安全专业人员是有关信息安全企业，信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全产品测评认证中心实施国家认证。CISP系国家对信息安全人员资质的最高认可。

CISP的企业所需

CISP认证安全专家能够较好满足企业信息安全规划、建设、维护能力要求；解决各类突发信息安全问题；获得CISP认证的专业人员将很大程度上提升安全技术、管理等方面的专业性和服务能力，从而为企业内外部客户提供更加专业和有效的安全服务。

认证安全专家能够满足企业长远的信息安全规划、建设、维护能力要求，解决企业遇到的各类信息安全问题

拥有多名CISP表明企业对信息系统安全保障的承诺和信心，能够为客户提供信赖的服务；

CISP的个人所需

CISP作为国家最高级别的信息安全专业资格认证将帮助安全从业人员在信息安全领域登上职业生涯的顶峰。

CISP的适用群体

企业信息安全管理人员

信息安全服务提供商

IT或安全顾问人员

IT审计人员

信息安全类讲师或培训人员

信息安全事件调查人员

其他从事与信息安全相关工作的人员

CISE（注册信息安全工程师）：

适合政府、各大企事业单位、网络安全集成服务提供商的网络安全技术人员

CISO（注册信息安全管理人员）：

适合政府、各大企事业单位的网络安全管理人员，也适合网络安全集成服务提供商的网络安全顾问人员

CISA（注册信息安全审核员）：

适合政府、各大企事业单位的网络安全技术人员、也适合网络安全集成服务提供商的网络安全顾问人员

2009年最新CISP考试认证学习大纲

序号 课程名称 课程主要内容 知识要点

1 信息安全测评服务介绍

介绍各类信息安全测评服务，包括信息安全产品、系统、人员和服务测评的概念和内容 中国信息安全测评中心的主要职能

中国信息安全测评中心产品、系统、服务和人员安全测评服务的意义和流程介绍

2 信息安全培训和CISP知识体系介绍

介绍中国信息安全测评中心信息安全人才体系战略和信息安全培训工作介绍。介绍注册信息安全专业人员（CISP）培训工作，并简要介绍CISP的知识体系。 构建中国信息安全人才体系的重要性和开展CISP培训认证的意义

CISP的知识体系结构和知识要点

3 信息安全保障体系

深入介绍信息安全保障框架的概念和内容 信息安全保障历史和背景

信息系统安全保障评估框架

信息系统安全保障建设和评估实践

4 信息安全模型

深入介绍信息安全相关的模型 安全模型的定义和作用

以下安全模型的原理、用途和特点

信息流访问控制模型

多级安全模型

Bell-Lapadula模型

Clark-Wilson模型

Biba模型

多边安全模型

Chinese wall模型

BMA模型

5 密码技术概述

深入介绍密码技术的历史、背景、发展，以及各种密码算法等的基础知识。 明确密码学基本概念及其重要性；

了解密码学发展的历史；

掌握对称密码和非对称密码体制；

哈希函数的原理和作用；

掌握数字签名的基本原理。

6 密码技术应用

-VPN/SSL 深入介绍密码技术网络应用，重点介绍IPSec、SSL等的基础和应用。 VPN基本概念

VPN的类型

掌握VPN有关协议的基本工作原理，重点是IPSec和SSL协议族

7 密码技术应用

-PKI/CA 深入介绍密码技术在公钥基础设施（PKI/CA）等的应用。 PKI/CA的基本概念

PKI/CA的体系结构和工作流程

X.509的有关标准协议

PKI/CA的典型应用，如CFCA、CTCA等

8 网络与通信安全基础 深入介绍网络安全相关的各种基础知识。 OSI模型和TCP/IP协议簇

通信和网络技术

互联网技术与服务

主要网络安全协议和机制

9 网络安全应用 深入介绍常见网络安全产品和技术，包括对防火墙、入侵检测、漏洞扫描等常见网络安全技术和产品知识和应用。 常见网络安全设备的用途、分类、工作原理和应用技巧：

防火墙

入侵检测系统

漏洞扫扫描系统

安全隔离与信息交换系统（网闸）

10 UNIX操作系统安全 深入介绍UNIX操作系统安全基础和安全实践技术。 UNIX发展历史和体系架构

UNIX常见应用服务及其安全

Unix系统安全配置及最佳安全实践

11 Windows操作系统安全 深入介绍Windows操作系统安全基础和安全实践技术。 Windows发展历史和体系构架

Windos常见应用服务及其安全

Windows安全配置及最佳安全实践

12 Web与数据库安全管理 深入介绍常见网络应用（Web/邮件系统等）的安全基础和安全实践技术

深入介绍各种数据库系统安全基础和安全实践技术。 Web应用安全基础

Web应用的历史和作用

Web应用面临的安全威胁和漏洞

Web应用安全防护技术

数据库安全

数据库的历史和作用

数据面临的安全威胁和漏洞

数据库安全防护技术（SQL server和Oracle）

13 恶意代码防护 深入介绍各种恶意代码的基本概念和防护技术 了解病毒、蠕虫、木马、恶意网页的原理

掌握病毒、蠕虫、木马、恶意网页的防范

了解恶意代码的分析方法

14 安全编程 深入介绍源代码安全的有关知识，编成过程中的安全注意事项和源代码安全测试的流程和方法 安全编程基本概念

安全编程基本原则

程序安全测试方法

Windows、Unix、脚本安全编程实践

15 安全攻防 深入介绍信息安全攻防的基本概念和攻防的实践技能。 安全攻防的基本概念

渗透性测试的一般流程

黑客攻击的常用工具和技术

防范和检测黑客攻击的工具和技术

16 信息安全管理体系 深入介绍信息安全管理的基础知识，27001和27002的内容 信息安全管理的基本概念

ISO27001的用途和主要内容

ISO27002的用途和主要内容

基本安全管理措施：策略、组织和人员

重要安全管理措施：资产管理、通信和操作管理、访问控制和符合性

17 风险管理 深入介绍风险管理、风险评估的基础知识、国家政策要求等以及风险管理的实践。 风险管理的基本概念

常见的风险管理体系

风险管理的一般过程

常见的风险评估方法（定性、定量方法的介绍和各自的优缺点）

风险评估的一般实施过程

18 安全工程 深入介绍信息安全工程理论方法、标准和实践 系统工程、质量管理、能力成熟度模型和项目管理基本概念

运用“信息系统安全工程”（ISSE）的方法考虑信息安全工程的实施

理解并运用“信息安全工程能力成熟度模型”（SSE-CMM）指导信息安全工程的实施

IT项目的各个阶段需要考虑的安全要素，包括立项阶段的安全需求挖掘、采购开发阶段中应用系统对数据的正确处理、加密控制、系统资源安全等

理解信息安全工程监理的概念、意义和实践方法

19 应急响应 深入介绍应急响应管理的基础知识和实践。 应急响应的基本概念

应急响应小组的组建

应急响应的一般过程

应急响应服务的形式和内容

应急响应服务的指标

20 灾难备份与恢复 深入介绍业务持续性和灾难恢复管理的基础知识、国家政策要求等以及实践。 BCP&DRP概念和背景

业务持续性计划编制和内容

灾难恢复的等级划分

灾难恢复工作流程和方法

灾难恢复系统的建设和技术

21 物理安全 深入介绍物理安全的基本概念和实践考虑。 物理安全的基本概念

物理安全防护技术

物理区域划分和问控制措施

物理安全监控措施

物理环境保障措施

22 信息安全标准 深入介绍国际/国内信息安全管理、技术、工程等领域主要标准的关系和内容。 标准和标准化的概念

国际、外国、我国信息安全标准化机构

信息安全相关国际标准和指南

信息安全相关国内标准和指南

23 信息安全法律法规 深入介绍信息安全相关的国际/国内法律法规。 信息安全管理体制

信息安全法律法规概况

我国信息安全相关法律法规和相关政策文件

24 串讲与复习 总结CISP的知识要点，介绍考核中的注意事项，模拟考题的讲解 说明考场记律

说明考试过程中的注意事项

说明考题形式和不同考试类型题目所占比例

回顾知识要点

串讲模拟考题