2023年注冊信息安全專業(yè)人員CISP知識體系

注冊信息安全專業(yè)人員（Certified Information Security Professional，簡稱“CISP"），中國信息安全測評中心依據(jù)中編辦賦予的職能，建立和發(fā)展的一整套完整的信息安全保障人才培訓體系。CISP證書是國家對信息安全專業(yè)人員能力的最高認可。

CISP培訓對象為信息安全企業(yè)、信息安全咨詢服務機構、信息安全測評機構、政府機構、社會各組織、團體、大專院校以及企事業(yè)單位從事信息安全工作相關人員及信息系統(tǒng)建設、運行和應用管理的專業(yè)崗位人員。


CISP認證方向中，可選CISE和CISO兩個方向：

1、注冊信息安全工程師(Certified Information Security Engineer 簡稱CISE)，?主要從事信息安全技術開發(fā)服務工程建設等工作。
2、注冊信息安全管理員(Certified Information Security Officer 簡稱CISO)，?主要從事信息安全管理等相關工作。

以上兩個方向均需學習和掌握本知識體系結構框架中的所有內容。由于兩種注冊證書持有人的工作崗位和工作領域的不同，考試的側重點有所區(qū)別，所對應的試題比例不同。


CISP注冊信息安全專業(yè)人員認證培訓知識體系
CISP培訓內容包括信息安全保障、網(wǎng)絡安全監(jiān)管、信息安全管理、信息安全評估、安全工程與運營、信息安全支撐技術、業(yè)務連續(xù)性、物理與網(wǎng)絡通信安全、計算環(huán)境安全、軟件安全開發(fā)10個獨立知識域。

知識域一：信息安全保障

知識子域：信息安全保障基礎
1. 信息安全概念
2. 信息安全屬性
3. 信息安全視角
4. 信息安全發(fā)展階段
5. 信息安全保障新領域

知識子域：安全保障框架模型
1. 基于時間的 PDR 與 PPDR 模型
2. 信息安全保障技術框架
3. 信息系統(tǒng)安全保障評估框架
4. 企業(yè)安全架構


知識域二：網(wǎng)絡安全監(jiān)管

知識子域：網(wǎng)絡安全法律體系建設
1. 計算機犯罪
2. 我國立法體系
3. 網(wǎng)絡安全法
4. 網(wǎng)絡安全相關法規(guī)建設

知識子域：網(wǎng)絡安全國家政策
1. 國家網(wǎng)絡空間安全戰(zhàn)略
2. 國家網(wǎng)絡安全等保政策

知識子域：網(wǎng)絡安全道德準則
1. 道德約束
2. 職業(yè)道德準則

知識子域：信息安全標準
1. 信息安全標準基礎
2. 我國信息安全標準
3. 等級保護標準族

知識域三：信息安全管理

知識子域：信息安全管理基礎
1. 基本概念
2. 信息安全管理的作用

知識子域：信息安全風險管理
1. 風險管理基本概念
2. 常見風險管理模型
3. 安全風險管理基本過程

知識子域：信息安全管理體系建設
1. 信息安全管理體系成功因素
2. PDCA 過程
3. 信息安全管理體系建設過程
4. 文檔化

知識子域：信息安全管理體系最佳實踐
1. 信息安全管理體系控制類型
2. 信息安全管理體系控制措施結構
3. 信息安全管理體系控制措施

知識子域：信息安全管理體系度量
1. 基本概念
2. 測量要求與實現(xiàn)


知識域四：業(yè)務連續(xù)性

知識子域：業(yè)務連續(xù)性管理
1. 業(yè)務連續(xù)性管理基礎
2. 業(yè)務連續(xù)性計劃

知識子域：信息安全應急響應
1. 信息安全事件與應急響應
2. 網(wǎng)絡安全應急響應預案
3. 計算機取證及保全
4. 信息安全應急響應管理過程

知識子域：災難備份與恢復
1. 災難備份與恢復基礎
2. 災難恢復相關技術
3. 災難恢復策略
4. 災難恢復管理過程

知識域五：安全工程與運營

知識子域：系統(tǒng)安全工程
1. 系統(tǒng)安全工程基礎
2. 系統(tǒng)安全工程理論基礎
3. 系統(tǒng)安全工程能力成熟度模型
4. SSE-CMM 安全工程過程
5. SSE-CMM 安全工程能力

知識子域：安全運營
1. 安全運營概念
2. 安全運營管理

知識子域：內容安全
1. 內容安全基礎
2. 數(shù)字版權
3. 信息保護
4. 網(wǎng)絡輿情

知識子域：社會工程學與培訓教育
1. 社會工程學
2. 培訓教育


知識域六：安全評估

知識子域： 安全評估基礎
1. 安全評估概念
2. 安全評估標準

知識子域：安全評估實施
1. 風險評估相關要素
2. 風險評估途徑與方法
3. 風險評估的基本過程
4. 風險評估文檔

知識子域：信息系統(tǒng)審計
1. 審計原則與方法
2. 審計技術控制
3. 審計管理控制
4. 審計報告


知識域七：信息安全支撐技術

知識子域：密碼學
1. 基本概念
2. 對稱密碼算法
3. 公鑰密碼算法
4. 其他密碼服務
5. 公鑰基礎設施

知識子域：身份鑒別
1. 身份鑒別的概念
2. 基于實體所知的鑒別
3. 基于實體所有的鑒別
4. 基于實體特征的鑒別
5. kerberos 體系
6. 認證、授權和計費

知識子域：訪問控制
1. 訪問控制模型的基本概念
2. 自主訪問控制模型
3. 強制訪問控制模型
4. 基于角色的訪問控制模型
5. 特權管理基礎設施


知識域八：物理與網(wǎng)絡通信安全

知識子域：物理與環(huán)境安全
1. 環(huán)境安全
2. 設施安全
3. 傳輸安全

知識子域：OSI 通信模型
1. OSI 模型
2. 模型通信過程
3. 模型安全體系構成

知識子域：TCP/IP 協(xié)議安全
1. 協(xié)議結構及安全問題
2. 安全解決方案
3. 無線通信安全
4. 無線局域網(wǎng)安全
5. 藍牙通信安全
6. RFID 通信安全

知識子域：典型網(wǎng)絡攻擊及防范
1. 欺騙攻擊
2. 拒絕服務攻擊

知識子域：網(wǎng)絡安全防護技術
1. 邊界安全防護
2. 檢測與審計
3. 接入管理

知識域九：計算環(huán)境安全

知識子域：操作系統(tǒng)安全
1. 操作系統(tǒng)安全機制
2. 操作系統(tǒng)安全配置

知識子域：信息收集與系統(tǒng)攻擊
1. 信息收集
2. 緩沖區(qū)溢出攻擊

知識子域：惡意代碼防護
1. 惡意代碼的預防
2. 惡意代碼的檢測分析
3. 惡意代碼的清除
4. 基于互聯(lián)網(wǎng)的惡意代碼防護

知識子域：應用安全
1. 應用安全
2. 電子郵件安全
3. 其他互聯(lián)網(wǎng)應用

知識子域：數(shù)據(jù)安全
1. 數(shù)據(jù)庫安全
2. 數(shù)據(jù)泄露防護

知識域十：軟件安全開發(fā)

知識子域：軟件安全開發(fā)生命周期
1. 軟件生命周期模型
2. 軟件危機與安全問題
3. 軟件安全生命周期模型

知識子域：軟件安全需求及設計
1. 威脅建模
2. 軟件安全需求分析
3. 軟件安全設計

知識子域：軟件安全實現(xiàn)
1. 安全編碼原則
2. 代碼安全編譯
3. 代碼安全審核

知識子域：軟件安全測試
1. 軟件測試
2. 軟件安全測試

知識子域：軟件安全交付
1. 軟件供應鏈安全
2. 軟件安全驗收
3. 軟件安全部署

CISP授權培訓機構——中科至善
中國信息安全測評中心授權培訓機構，所有授課講師均為國測授權培訓講師CISI，報名提供預習視頻、隨堂回放視頻；每月組織CISP考試，可全國安排考試；有刷題系統(tǒng)，精選練習題與沖刺題；直播、面授、視頻課多種上課模式，有專職班主任負責報考指導與答疑等。

CISP報名電話：19141056590