cisp:cisp是什么?
一、CISP是什么
CISP是中国信息安全测评中心依据中编办赋予的职能,建立和发展的一整套完整的信息安全保障人才培训体系,从2002年开始启动。
CISP (CertifiedInformation Security Professional,CISP)中文名称为“注册信息安全专业人员”,是对信息安全专业人员所具备的专业素质和能力的认可。CISP培训对象为信息安全企业、信息安全咨询服务机构、信息安全测评机构、政府机构、社会各组织、团体、大专院校以及企事业单位从事信息安全工作相关人员及信息系统建设、运行和应用管理的专业岗位人员。CISP证书是国家对信息安全专业人员能力的最高认可。CISP认证根据信息安全工作的实际需要。CISP作为我国信息安全人员资质认定的主要形式,经过十多年的发展,已经成为我国批量、快速培养高素质信息安全人才的主要方式之一
CISM(Certified Information Security Member,CISM)中文名称为“注册信息安全员”,是对信息化工作人员的信息安全基本能力认可。CISM培训对象是信息安全企业、信息安全咨询服务机构、信息安全测评机构、政府机构、社会各组织、团体、大专院校以及企事业单位中从事信息系统建设、运行维护和管理工作的信息化工作人员。CISM证书是国家对信息化工作人员信息安全基本能力的权威认可。CISM也作为CISP培训知识体系的基础,目前使用与CISP相同大纲和教材,选择其中四个知识域作为培训和考试的内容。
二、如何成为一名CISP
申请成为CISP需要到中国信息安全测评中心官网(www.itsec.gov.cn)上下载相应的考试及注册申请表,选择培训机构参加培训后报名参加考试。
三、CISP证书类型
CISE/CISO是首批推出CISP培训证书,通过总结信息安全相关知识形成知识体系,其目标是通过短时间、集中性的培训帮助学员了解信息安全保障的概念,构建信息安全保障所需要的知识框架从而更好的应对信息安全保障工作。培训学员的定位是网络空间安全保障的基层“指挥官”和“作战参谋”,他们在基本安全技能上可以不如专业的技术人员,但必须各方面有所了解,不会因为存在知识的短板而导致决策错误。通过学习有效的形成信息安全保障工作的体系化思路,较好的避免了信息安全中“木桶效应”的出现。
CISP-A(Certified InformationSystem Auditor),中文名称为注册信息系统审计师。针对从事信息安全审计工作领域的从业人员提供的培训和资质认定,其知识体系在信息安全基本知识技能基础上,侧重信息安全风险评估、信息安全检查、信息系统审计等方面的知识和能力。持有信息系统审计师证书体现了证书持有者在信息系统审计,安全与控制等方面的综合实际能力。
CISP-PTE(Certified Information Security Professional – Penetration Test Engineer),中文名称为注册信息安全专业人员-渗透测试,是针对渗透测试岗位的专项证书。与CISE/CISO定位信息系统安全防护,侧重知识体系的全面性不同,CISP-PTE是“点”的能力要求,侧重的是“攻”,强调对信息系统的渗透能力,对学习和考试的人员没有任何学历和工作经验的要求,只要对自己的渗透测试技术有信心就可以报名。
CISD (Certified Information Security Developer),中文名称为注册信息安全开发人员,借鉴国际先进的软件安全开发人员经验,以软件安全软件安全开发周期思想为核心,介绍软件安全开发的背景及发展过程,软件安全开发每个阶段工作的目的、主要任务及软件安全编码知识等,帮助了解如何应对软件安全质量问题。
CWASPCSSP(Certified Secure Software Professional),中文名称注册软件安全专业人员,培训体系基于软件安全开发生命周期(S-SDLC:Secure Software Development Life Cycle)整理出的一套适用于广大软件开发人员的知识体系。
除了以上的专项领域外,目前正在逐步研发和推出的证书还有工业控制系统、云计算、大数据等新保障领域的安全培训证书。
CISP-ICSSE(Certified Information Security Professional–industrial control system SecurityEngineer),中文名称为注册工业控制系统安全工程师,针对工业控制系统安全的专项领域培训和资质证书。
CISP-CSE(Certified Information Security Professional–Cloud Security Engineer),中文名称注册云安全工程师,针对云计算领域的安全专项培训和资质证书。
CISP-BDSA(Certified Information Security Professional–Big Data Security Analyst),中文名称注册大数据安全分析师,针对大数据分析领域的安全专项培训及资质证书。
四、道德准则
作为国家注册信息安全专业人员应该遵循其应有的道德准则,中国信息安全测评中心为CISP持证人员设定了职业道德准则。
1)维护国家、社会和公众的信息安全
自觉维护国家信息安全,拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为;
自觉维护网络社会安全,拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为;
自觉维护公众信息安全,拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为。
2)诚实守信,遵纪守法
不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违反诚信原则的行为;
不利用个人的信息安全技术能力实施或组织各种违法犯罪行为;
不在公众网络传播反动、暴力、黄色、低俗信息及非法软件。
(3)努力工作,尽职尽责
热爱信息安全工作岗位,充分认识信息安全专业工作的责任和使命;
为发现和消除本单位或雇主的信息系统安全风险做出应有的努力和贡献;
帮助和指导信息安全同行提升信息安全保障知识和能力,为有需要的人谨慎负责地提出应对信息安全问题的建议和帮助。
(4)发展自身,维护荣誉
通过持续学习保持并提升自身的信息安全知识;
利用日常工作、学术交流等各种方式保持和提升信息安全实践能力;
以CISP身份为荣,积极参与各种证后活动,避免任何损害CISP声誉形象的行为。
五、CISP知识体系
CISP知识体系大纲规范了CISP/CISM考试范围。在整个CISP的知识体系结构中,根据实际工作需要,将信息安全从业人员所需要的掌握的知识构建成若干的知识域,每个知识域包含多个知识子域,每个知识子域中包含需要掌握的知识点。