注册信息安全专业人员(CISP)知识体系大纲.docx
《注册信息安全专业人员(CISP)知识体系大纲.docx》由会员分享,可在线阅读,更多相关《注册信息安全专业人员(CISP)知识体系大纲.docx(38页珍藏版)》请在三一办公上搜索。
1、注册信息安全专业人员(CISP)知识体系大纲发布日期:2009年5月1日版本:1.2中国信息安全测评中心版权2009中国信息安全测评中心注册信息安全专业人员(CISP)知识体系大纲咨询及索取关于中国信息安全测评中心信息安全人员培训相关的文件,请与中国信息安全测评中心信息系统测评服务部接洽。在中国信息安全测评中心网址:上可获取本文件。版权版权2008中国信息安全测评中心联系信息关于中国信息安全测评中心(CNITSEC)信息安全人员培训相关的更多信息,请与中国信息安全测评中心(CNITSEC)联系:联系方式:中国信息安全测评中心信息安全测评服务部【联系地址】北京市海淀区上地西路8号院1号楼【邮政编
2、码】100085【电 话】(010)82341585【传 真】(010)82341100【电子邮件】training 目录目录II图表IV注册信息安全专业人员(CISP)知识体系介绍1第 1 章 注册信息安全专业人员(CISP)知识体系概述21.1 CISP资质证书介绍21.2 CISP知识体系介绍21.2.1 概述21.2.2 CISP知识体系框架结构介绍41.2.3 CISP(CISE/CISO/CISA)考试的知识体系结构介绍6第 2 章 知识类:信息安全体系和模型82.1 概述82.2 原理说明92.2.1 概述92.2.2 知识体:安全体系92.2.3 知识体:信息安全模型112.3
3、 知识体系大纲122.3.1 BD(知识体):信息安全体系122.3.2 BD(知识体):信息安全模型12第 3 章 知识类:信息安全技术143.1 概述143.2 原理说明143.2.1 概述143.2.2 知识体:信息安全技术机制153.2.3 知识体:信息和通信技术(ICT)安全163.2.4 知识体:信息安全实践173.3 知识体系大纲183.3.1 BD(知识体):信息安全技术机制183.3.2 BD(知识体):信息和通信技术(ICT)安全193.3.3 BD(知识体):信息安全实践21第 4 章 知识类:信息安全管理234.1 概述234.2 原理说明234.2.1 概述234.2
4、.2 知识体:安全管理体系244.2.3 知识体:关键安全管理过程244.3 知识体系大纲254.3.1 BD(知识体):安全管理基础254.3.2 BD(知识体):关键安全管理过程26第 5 章 知识类:信息安全工程285.1 概述285.2 原理说明285.2.1 概述285.2.2 知识体:安全工程基础295.2.3 知识体:安全工程过程和实践295.2.4 知识体:项目管理过程和实践305.3 知识体系大纲305.3.1 BD(知识体):安全工程基础305.3.2 BD(知识体):安全工程过程和实践305.3.3 BD(知识体):项目管理过程和实践30第 6 章 知识类:信息安全标准和
5、法律法规316.1 概述316.2 原理说明316.3 知识体系大纲326.3.1 BD(知识体):概述326.3.2 BD(知识体):信息系统相关标准326.3.3 BD(知识体):道德规范326.3.4 BD(知识体):信息安全标准326.3.5 BD(知识体):信息安全法律法规33图表图表 11:CISP知识体系的组件模块结构4图表 12:CISP知识体系结构框架6图表 21:信息安全体系和模型知识类(PT)的知识体系结构概述8图表 22:信息安全体系和模型知识类(PT)的知识体系结构详细描述9图表 23:知识体-安全体系原理:信息安全保障模型10图表 24:知识体:安全模型原理说明11
6、图表 31:信息安全技术知识类(PT)的知识体系结构概述14图表 32:知识体:信息安全技术机制原理说明16图表 33:知识体:信息和通信技术(ICT)安全原理说明17图表 34:知识体:信息安全实践原理说明18图表 41:信息安全管理知识类(PT)的知识体系结构概述23图表 42:知识体:安全管理体系说明24图表 43:知识体:关键安全管理过程原理说明25图表 51:信息安全工程知识类(PT)的知识体系结构概述28图表 52:信息系统安全工程标准背景29图表 61:信息安全标准和法律法规知识类(PT)的知识体系结构概述31注册信息安全专业人员(CISP)知识体系介绍注册信息安全专业人员知识体
7、系介绍中将介绍注册信息安全专业人员(CISP)考试大纲的结构和内容。本文包含以下章节:l 第1章 注册信息安全专业人员(CISP)知识体系概述l 第2章 知识类:信息安全体系和模型l 第3章 知识类:信息安全技术l 第4章 知识类:信息安全管理l 第5章 知识类:信息安全工程l 第6章 知识类:信息安全标准和法律法规第 1 章 注册信息安全专业人员(CISP)知识体系概述1.1 CISP资质证书介绍本文主要描述了“注册信息安全专业人员”(CISP-Certified Information Security Professional)组件模块化的知识体系大纲。“注册信息安全专业人员”,英文为C
8、ertified Information Security Professional (简称CISP),根据实际岗位工作需要,CISP分为三类:l “注册信息安全工程师”,英文为Certified Information Security Engineer(简称CISE),CISE证书持有人员主要从事信息安全技术领域的工作;l “注册信息安全管理人员”, 英文为Certified Information Security Officer(简称CISO),CISO证书持有人员主要从事信息安全管理领域的工作;l “注册信息安全审核员”,英文为Certified Information Securi
9、ty Auditor(简称CISA),CISA证书持有人员主要从事信息系统的安全审核、安全评估和安全审计等工作。这三类注册信息安全专业人员是信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织团体、企事业单位中进行信息系统建设、运行和应用管理的技术部门(含标准化部门)所必备的专业岗位人员,其基本职能是对信息系统提供安全保障,其所具备的专业资质和能力,系经中国信息安全测评中心所注册的国家信息安全专业人员。有关“注册信息安全专业人员”(简称CISP)的更详细的相关资料,查阅网址。1.2 CISP知识体系介绍1.2.1 概述注册信息安全专业人员(CISP)人员资质的推出,对提高国家信息安
10、全保障的能力和培养高素质的信息安全专业人员作出了巨大的贡献。在注册信息安全专业人员(CISP)教材第1版出版发行后,CISP培训不断蓬勃发展、CISP注册证书作为国家信息安全领域专业人才的最高认可也越来越得到社会的认可。随着信息安全领域的发展以及CISP培训的不断深入,社会各界,包括CISP人才的使用单位、CISP的培训机构、CISP证书获得人员、信息安全专业人员等对CISP以及CISP的发展提供了很多很有价值和意义的帮助和建议;同时,中国信息安全测评中心在信息安全领域也进行了大量的研究和实践,逐步完善了以信息安全产品测评、信息系统安全测评、信息安全服务测评和信息安全人员测评四大业务为基础的信
11、息安全保障服务体系。为了更好的提供注册信息安全专业人员(CISP)的培训服务,更好的体现我们在信息安全保障领域的学习、研究和实践成果,注册信息安全专业人员(CISP)教材和大纲的改进作为中国信息安全测评中心的一项重要工作开始展开。本文所提供的CISP知识体系大纲是我们这几年在信息安全保障领域学习、研究和实践的成果,特别是在信息安全培训领域以及我们在国家标准-“信息系统安全保障评估框架”的编制中所得到的心得和成果的反应。本次修订的知识体系大纲从整体上来看主要有以下两个最主要的特点和特色:l 以信息安全保障(IA)作为贯穿整个CISP知识体系大纲的主线,形成以体系和模型以及标准和法规为基础、覆盖信
12、息安全技术、管理和工程保障领域的信息安全保障有机知识整体。近几年,我们对国内和国际信息安全测评、培训和教育领域做了大量的研究,为了更好地学习和实践,我们自己也亲自参与并获得了信息安全领域的几乎所有国内外知名的认证和考试的证书。在这些信息安全培训的学习、研究和实践中,我们发现信息安全相关的一些考试提供了非常优秀的知识域的描述,但是在整个知识体系的构建上,缺乏一条贯穿整个知识体系的主线。因此,在本次的知识体系大纲中,从整体上我们使用信息安全保障作为整个CISP知识体系大纲的主线和灵魂,更完整的诠释了信息安全保障的有机知识整体。另外,本次CISP知识体系大纲也是对我们所编制的国家标准-“信息系统安全
13、保障评估框架”的诠释。信息系统安全保障评估框架是我们在信息安全保障领域里的一个重要的研究成果,它建立了以风险和策略为核心,覆盖整个信息系统生命周期的技术、管理、工程和人员的保障。本次知识体系大纲也是从技术、管理和工程领域诠释了信息安全专业人员在这些领域中进行信息安全保障工作中所需要了解的知识和实践的要求,这样通过CISP知识体系的学习,读者就能进一步将所学的知识应用在其信息安全保障的工作实践中。l 使用知识类(PT)-知识体(BD)-知识域(KA)-知识子域(SA)来组织的组件模块化的知识体系结构,使整个知识体系大纲的结构更清晰、重点更突出、更易于结构化和模块化的学习和扩展信息安全是架构在信息
14、技术等知识基础之上的一门综合的学科,因此信息安全的学习是一件非常庞大复杂的任务。在信息安全的学习过程中,我们需要一种更加结构化和科学化的方法来将信息安全的相关知识进行梳理分析,并进一步根据需要进行更深入的学习、研究和实践。在本次知识体系大纲的编制过程中,我们根据信息安全领域的知识的内在联系和关系通过知识类、知识体、知识域和知识子域的结构进行分析和分解,形成了新的覆盖内容更广泛、重点更突出、更强调实践性和实用性的组件模块化的知识体系结构。这样,一方面读者可以更清晰、深入地了解信息安全的各知识组成、知识重点以及各知识内容的内在联系,方便了读者的学习、理解和复习;另一方面,读者可以根据这些组件模块,
15、结合自己的工作需求和知识结构,有区别、有重点地有的放矢地学习和应用,提供了更好的灵活性和实用性。在介绍了本次知识体系大纲的主要特点后,本章后面的内容将简单描述一下本次知识体系大纲的结构和内容。1.2.2 CISP知识体系框架结构介绍CISP知识体系使用组件模块化的结构,即CISP知识体系使用知识类(缩写为PT)、知识体(缩写为BD)、知识域(缩写为KA)和知识子域(缩写为SA)的结构,图表 11描述了CISP知识体系的组件模块结构:图表 11:CISP知识体系的组件模块结构在整个注册信息安全专业人员(CISP)的知识体系结构中,共包括信息安全体系和模型、信息安全标准和法律法规、信息安全技术、信
16、息安全管理和信息安全工程这五个知识类(PT),每个知识类根据其逻辑划分为一个或多个知识体(BD),每个知识体包含一个或多个知识域(KA),每个知识域由一个或多个知识子域组成。知识类、知识体、知识域和知识子域的划分和内容并不是随意选择的,它们模块结构的含义如下:l 知识类(PT)是根据整个信息安全保障领域的分类来划分,共包括信息安全体系和模型、信息安全标准和法规、信息安全技术、信息安全管理和信息安全工程五个知识类;l 知识体(BD)是在知识类的分类范围内对知识域的逻辑组织划分;l 知识域(KA)是知识体系结构的主要知识点组成结构,它描述了注册信息安全专业人员知识体系结构的实际主要内容;l 知识子
17、域(SA)是进一步划分、细化描述知识域的组成部分。知识类、知识体、知识域和知识子域的描述如下:l 知识类(PT):在CISP知识体系结构中,共包括五个知识类,它们分别为:信息安全体系和模型、信息安全标准和法律法规、信息安全技术、信息安全管理和信息安全工程。l 知识体(BD):每个知识类都由一个或多个知识体组成,例如:在信息安全体系和模型知识类(PT)包含两个知识体-安全体系知识体和安全模型知识体。l 知识域(KA):每个知识体由一个或多个知识域组成,知识域是CISP知识体系结构的主要知识点的分类,在CISP知识体系中,主要的考试内容是根据知识域来划分展开的。例如:在信息安全体系和模型知识类(P
18、T)的安全模型知识体(BD)中,根据信息安全模型的分类分为信息安全模型基础、访问控制模型、信息流模型和其他信息安全模型这四个知识域,通过对这四个知识域的学习和掌握,就构成了对信息安全模型的理解。l 知识子域(SA):每个知识域可以包括也可以不包括知识子域,知识子域是对知识域的进一步划分。例如:在信息安全体系和模型知识类(PT)的安全模型知识体(BD)的访问控制模型知识域(KA)中,包括自主访问控制(DAC)模型、强制访问控制(MAC)模型和基于角色的访问控制(RBAC)模型这三个具体的访问控制模型知识子域。在完成对CISP知识体系的模块结构的介绍后,我们就可以来学习CISP知识体系的具体结构内
19、容介绍了。CISP知识体系结构共包含五个知识类,分别为:l 信息安全体系和模型:信息安全体系和模型是信息安全作为独立学科的理论基础,它主要介绍了信息安全保障的安全体系架构和信息安全保障相关的安全理论模型。学习和掌握信息安全体系和模型是整个注册信息安全专业人员知识体系的基础之一。l 信息安全标准和法律法规:信息安全标准和法律法规主要讨论了信息安全相关的标准和法律法规。学习和掌握信息安全标准和法律法规是注册信息安全专业人员知识体系的另一个基础知识领域。l 信息安全技术:信息安全技术主要讨论了同信息安全相关的技术知识和实践。l 信息安全管理:信息安全管理主要讨论了同信息安全相关的管理知识和实践。l
20、信息安全工程:信息安全工程主要讨论了同信息安全相关的工程知识和实践。在图表 12中,从整体上描述了CISP的知识体系结构框架。图表 12:CISP知识体系结构框架1.2.3 CISP(CISE/CISO/CISA)考试的知识体系结构介绍“注册信息安全专业人员”(CISP-Certified Information Security Professional),是从事信息安全领域工作的人员的专业资质和能力的证明,根据实际岗位工作需要,CISP包括三类:“注册信息安全工程师”(CISE)、“注册信息安全管理人员”(CISO)和“注册信息安全审核师”(CISA)。所有CISP三类注册人员都需要学习和
21、掌握CISP知识体系结构框架中的所有内容,三种注册证书的区别在于在考试中根据三种注册证书持有人的工作岗位和工作领域的不同而各有不同的侧重点,因此,所对应的考试结构、比例和内容略有不同。表格 11中描述了CISE/CISO/CISA考试的各知识类的比例。表格 11:CISP(CISE/CISO/CISA)试题结构CISP资质类型知识类别CISPCISECISO信息安全体系和模型15%15%信息安全技术40%20%信息安全管理20%40%信息安全工程15%15%信息安全标准和法律法规10%10%注:CISA在CISE或CISO的基础上再加上50道信息安全审计相关的试题。从表格 11中可见,CISP
22、三种注册证书的主要区别如下:l “注册信息安全审核员”(CISA)是在CISE或CISO的基础上,附加50道通信息安全审计相关的信息安全审计领域的试题综合而成。l “注册信息安全工程师”(CISE)和“注册信息安全管理人员”(CISO)两者都需要学习和掌握所有CISP的五个知识类的内容,它们之间主要的区别在于:n 在信息安全技术和信息安全管理知识体中,由于CISE偏重技术、CISO偏重管理,因此在试题结构中信息安全技术占CISE考试的40%,信息安全管理占CISE考试的20%,而CISO中这两个知识类所占的比例相反(即信息安全技术占CISO考试的20%,而信息安全管理占CISO考试的40%)。
23、n 在信息安全工程知识体中,虽然CISE和CISO的考试比例相同,但CISE更倾向于从信息安全工程实施和建设的角度来考察CISE考试人员,而CISO更倾向于从信息安全工程实施和建设的管理角度来考察CISO应试人员。第 2 章 知识类:信息安全体系和模型2.1 概述在注册信息安全专业人员(CISP)知识体系的五个知识类中,信息安全体系和模型以及信息安全标准和法律法规是注册信息安全专业人员知识体系结构的基础,其中信息安全体系和模型知识类更是信息安全成为一门独立学科的整体和理论的基础。注册信息安全专业人员(CISP)的所有人员都必须学习和掌握信息安全体系和模型知识类的相关知识。信息安全体系和模型知识
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 注册 信息 安全 专业人员 CISP 知识 体系 大纲
链接地址:https://www.31ppt.com/p-1738219.html