下载文档原格式
注册信息安全专业人员(CISP认证培训)认证介绍国家注册信息安全专业人员(简称:CISP)是有关信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全测评中心实施注册。
2015年6月,全国获得CISP认证资格人员已超过15000名。
认证目的信息安全人员培训与姊姊认定的目的是构建全面的信息安全人才体系。
构建全面的信息安全人才体系是国家政策的要求,是组织机构信息安全保障建设自身的要求和组织机构人员自身职业发展的要求。
是国家政策的要求:中办发【2003】27号文件《国家信息化领导小组关于加强信息安全保障工作的I 安逸》中提出了“加快悉尼型安全人才培养,增强全民信息安全意识”的知道精神,重点强调了信息安全人才培养的重要性。
是组织机构信息安全保障建设自身的要求:企事业单位、政府机关等组织机构在信息安全保障建设、信息哈U建设中,需要有一个完整层次化的信息安全人才队伍以保障其信息安全、保障其信息化建设,从而保障其业务和使命。
是组织机构人员自身职业为发展的要求:作为人员本身,在其工作和职业发展中,需要充实其信息安全保障相关的只是和经验,以更好的开展其工作并为自己的只因为发展提供帮助。
认证价值对组织的价值:高素质的信息安全专业人才队伍,是信息安全的保障;信息安全人员持证上岗,满足政策部门的合规性要求;为组织实施信息安全岗位绩效考核提供了标准和依据;是信息安全企业申请安全服务资质必备的条件对个人的价值:适应市场中越来越热的对信息安全人才的需求;通过专业培训和考试提高个人信息安全从业水平;证明具备从事信息安全技术和管理工作的能力;权威认证提升职场竞争中的自身优势;可以获取信息安全专业人士的认可,方便交流。
认证分类根据工作领域和时间广州的需求,可以分为两类:注册信息安全工程师(CISE )主要从事信息安全技术开发服务工程建设等工作。
1.信息安全特征:信息安全是系统的安全,是动态的安全,是无边界的安全,是非传统的安全。
2.信息系统包含三个要素:信息,计算机网络系统和运行环境。
3.1985年,美国国防部的可信计算机系统评估保障(TCSEC,橙皮书),将操作系统安全分级(D、C1、C2、B1、B2、B3、A1).4.信息技术安全性评估准则,即通用准则CC(ISO/IEC 15408,GB/T 18336),其中保障定义为,实体满足其安全目的的信心基础。
5.风险是指威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能。
6.信息安全管理体系-ISMS,国际上主流的信息系统管理体系的标准有ISO/IEC 17799,英国标准协会(BSI)的77997.信息安全保障模型:保障要素:管理、工程、技术、人员。
安全特征:保密、完整、可用。
生命周期:规划组织、开发采购、实施交付、运行维护、废弃。
策略和风险是安全保障的核心问题。
信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。
8.风险管理贯穿整个信息系统生命周期,包括对象确立,风险评估,风险控制,审核批准,监控与审查和沟通与咨询6个方面。
9.基于时间的PDR模型(保护-检测-响应)是信息安全保障工作中常用的模型。
该模型的出发点是基于这样的前提:任何安全防护措施都是基于时间的,超过该时间段,这种防护措施是可能被攻破。
10.P2DR(策略-保护检测响应):所有的行为都是依据安全策略实施的。
该模型强调安全管理的持续性、安全策略的动态性。
防护时间Pt,检测时间Dt,反应时间Rt:如果pt>dt+rt,则系统安全;如果pt<dt+rt,则暴露时间Et=(dt+rt)-pt11.PDCA(计划、实施、检查、改进)是信息安全管理体系ISMS的核心。
《信息安全保障》考前知识点串讲一、信息安全保障基础1.信息安全定义:ISO定义等,掌握不同定义的使用场景。
2.信息问题及分类:狭义和广义问题,根源包括内因和外因。
3.信息安全特征:系统、动态、无边界、非传统。
4.信息安全属性:保密性、完整性和可用性。
5.信息安全视角:国家、企业、个人。
6.信息安全发展:通信安全、计算机安全、网络安全(信息系统安全)、信息安全保障、网络空间安全。
掌握每一个阶段的内容和特点。
7.网络空间安全:学科、应用和物理范围上扩展了;防御、威慑和情报三位一体的安全;威胁情报和态势感知。
二、信息安全框架模型1.PPDR模型1)PPDR:策略、保护、检测和响应。
2)思想:填充安全间隙,安全在时间上连续性。
3)公式:Pt>Dt+Rt, Et<=0。
2.IATF模型1)思想:深度防御。
2)三要素:人、技术、操作。
3)四个方面:计算环境、网络基础设施、网络边界、支撑性基础设施。
3.保障评估框架1)内容:安全保障对象的全生命周期中通过人、技术、管理和工程实现保密、完整和可用,最终服务于业务使命。
2)使用:ISPP->ISST->建设->评估(TCML1-5,MCML1-5,ECML1-5)。
3)ISPP:标准化信息系统安全需求;ISST:标准化信息系统安全设计方案;4.商业应用架构(SBASA)1)出发:业务安全和业务风险为出发点,为组织架构建设和安全提供方法和流程。
2)内容:背景(业务)、概念(架构)、逻辑(设计)、物理(工程)、组件(实施)、运营(运维)。
3)阶段:规划、设计、实施、管理和测量(PDCA,计划、实施、检查、改进)。
三、信息安全工作流程1.需求:来源要全面(合规、业务、风险评估),建议使用ISPP的方法。
2.设计:建议使用ISST的方法。
3.工程:建议使用ISO/IEC 21827 SSE-CMM(分为1-5级)方法。
4.测评:产品CC标准(ISO/IEC 15408,GB/T 18336)EAL1-7;信息系统等级保护测评1-5;工程服务商1-5(SSE-CMM);人员测评(CISM/CISP等)。
信息安全培训和CISP知识体系中国信息安全测评中心2010年7月31日目录一.信息安全培训业务介绍信息安全培训业务现状美国政府部委信息安全培训体系介绍 信息安全培训体系介绍二.CISP知识体系介绍注册信息安全专业人员(CISP)介绍 CISP知识体系大纲介绍信息安全培训——人的问题人是信息安全中最核心问题之一!我们政府部门的广大干部对信息安全重要性的认识和相关技术问题的了解还远远不能满足国家发展的需要信息安全人才需求的背景信息安全保障的重要性中办[2003]27号文件“国家信息化领导小组关于加强信息安全保障工作的意见”;党的十六届四中全会将“信息安全”提升为国家安全的组成部分(经济安全、政治安全、社会安全、文化安全) 构建全面的信息安全人才体系的需求是国家政策的要求是组织机构信息安全保障建设自身的要求是组织机构人员自身职业发展的要求我国信息安全从业人员素质现状分析从数量上看,信息安全从业人员数量同实际需求存在巨大缺口。
信息安全人才需求不断增加培养来源:由高校学历教育以及以各种专业注册培训为核心、辅以各种职业技能培训的社会培训组成。
信息安全从业人员的数量同社会实际需求仍存在巨大缺口。
从质量上来看,高端信息安全人才,特别是信息安全管理人才以及信息安全高层次和综合性人才严重缺乏从行业领域上,信息安全从业人员主要集中在政府、金融、电信等信息化发达的行业领域以及信息安全专业公司中根据对上千名注册信息安全专业人员(CISP)的分析,其中38%的专业人员来自安全厂商,20%来自金融领域,26%来自税务、海关和部委等政府机构,8%来自电力和电信领域,4%来自于测评机构,其他占4%。
从信息安全从业人员更多集中在技术领域,而且主要偏向于具体产品的研发、技术支持和维护。
信息安全从业人员在组织机构中的地位开始得到显著提高,正逐渐从单纯的技术支持进入到组织机构技术决策和风险管理的角色。
我国信息安全从业人员素质方面突出的问题信息安全人才发展战略缺少系统、全面的规划和协调。
