注冊信息安全專業(yè)人員,英文名稱 Certified Information Security Professional,簡稱 CISP,是面向信息安全企業(yè)、信息安全咨詢服務(wù)機構(gòu)、信息安全測評機構(gòu)、政府機構(gòu)、社會各組織、團體、大專院校以及企事業(yè)單位中負責信息系統(tǒng)建設(shè)、運行維護和管理工作的信息安全專業(yè)人員所頒發(fā)的專業(yè)資質(zhì)證書。
是中國信息安全測評中心為滿足社會各界對于專業(yè)安全人員的迫切需求,建立和發(fā)展的一套信息安全保障人才體系戰(zhàn)略,從 2002 年開始啟動了CISP資質(zhì)。
CISP根據(jù)工作領(lǐng)域和實際崗位需要,分為十五類證書:
“注冊信息安全工程師”,英文為Certified Information Security Engineer,簡稱CISE。證書持有人員主要從事信息安全技術(shù)領(lǐng)域的工作,具有從事信息系統(tǒng)安全集成、安全技術(shù)測試、安全加固和安全運維的基本知識和能力。
“注冊信息安全管理員”,英文為Certified Information Security Officer,簡稱CISO。證書持有人員主要從事信息安全管理領(lǐng)域的工作,具有組織信息安全風險評估、信息安全總體規(guī)劃編制、信息安全策略制度制定和監(jiān)督落實的基本知識和能力。
“注冊信息系統(tǒng)審計師”,英文為Certified Information System Auditor,簡稱CISP-A。證書持有人主要從事信息系統(tǒng)審計工作,在全面掌握信息安全基本知識技能的基礎(chǔ)上,具有較強的信息安全風險評估、安全檢查實踐能力。
“注冊信息安全開發(fā)人員”,英文為Certified Information Security Deveoper,簡稱CISD。證書持有人主要從事軟件開發(fā)相關(guān)工作,在全面掌握信息安全基本知識技能的基礎(chǔ)上,具有較強的信息系統(tǒng)安全開發(fā)能力、熟練掌握應(yīng)用安全。
“注冊滲透測試工程師”,英文為Certified Information Security Professiona - Penetration Testing Engineer,簡稱CISP-PTE。證書持有人主要從事信息安全技術(shù)領(lǐng)域滲透測試工作,具有漏洞驗證、制定滲透測試方案與測試計劃、編寫測試用例、實施測試、輸出測試報告的基本知識和能力。
“注冊滲透測試專家”,英文為Certified Information Security Professiona - Penetration Testing Speciaist,簡稱CISP-PTS。證書持有人主要從事信息安全技術(shù)領(lǐng)域高級滲透測試工作,具有較強的漏洞研究、代碼分析、進行最新網(wǎng)絡(luò)安全動態(tài)跟蹤研究以及策劃解決方案等方面的知識和能力。
“注冊應(yīng)急響應(yīng)工程師”,英文為Certified Information Security Professiona - Incident Response Engineer,簡稱CISP-IRE。證書持有人主要從事信息安全技術(shù)領(lǐng)域應(yīng)急響應(yīng)工作,具有實施應(yīng)急響應(yīng)事件監(jiān)測、應(yīng)急響應(yīng)事件分析和處置的基本知識和能力。
“注冊應(yīng)急響應(yīng)專家”,英文為Certified Information Security Professiona - Incident Response Speciaist,簡稱CISP-IRS。證書持有人主要從事信息安全技術(shù)領(lǐng)域應(yīng)急響應(yīng)高級分析及規(guī)劃管理工作,具有網(wǎng)絡(luò)安全事件溯源分析、規(guī)劃和制定重大網(wǎng)絡(luò)安全事件應(yīng)急處理方案,以及應(yīng)急實施與處置過程協(xié)調(diào)管理等方面的知識和能力。
“注冊工業(yè)控制系統(tǒng)安全工程師”,英文為Certified Information Security Professiona–Industria Contro System Security Engineer,簡稱CISP-ICSSE。持證人員主要從事信息安全技術(shù)領(lǐng)域工業(yè)控制系統(tǒng)安全方向的工作,具備制定工控安全威脅應(yīng)對方案、開展工控系統(tǒng)安全防護設(shè)計、建立工控安全應(yīng)急處置體系、實施安全管理等工作的基本知識和能力。
“注冊云安全工程師”,英文名Certified Information Security Professiona–Coud Security Engineer,簡稱CISP-CSE。持證人員掌握云計算體系架構(gòu)及關(guān)鍵技術(shù)、云計算安全威脅與需求分析、云計算安全技術(shù)、云計算安全防護應(yīng)用、云計算安全管理、云安全政策法規(guī)與標準規(guī)范等知識內(nèi)容,具備從事云計算安全規(guī)劃和系統(tǒng)運維等安全工作的能力,可從事云計算安全設(shè)計、安全運維、安全管理等工作。。
“注冊大數(shù)據(jù)安全分析師”,英文為Certified Information Security Professiona–Big Data Security Anayst,簡稱CISP-BDSA。持證人員掌握大數(shù)據(jù)分析過程、數(shù)據(jù)分析算法原理、大數(shù)據(jù)系統(tǒng)工程實現(xiàn)、大數(shù)據(jù)安全分析常見案例、大數(shù)據(jù)系統(tǒng)安全法律法規(guī)等知識內(nèi)容,具備大數(shù)據(jù)安全分析理論基礎(chǔ)和實踐能力,可從事大數(shù)據(jù)安全分析、安全管理等工作。
“注冊電子數(shù)據(jù)取證專業(yè)人員”,英文為Certified Information Security Professiona – Forensics,簡稱CISP-F。證書持有人掌握電子取證法律、法規(guī)、標準規(guī)范,以及電子數(shù)據(jù)取證的流程和主要技術(shù),在政府機構(gòu)、事業(yè)單位或企業(yè)從事網(wǎng)絡(luò)安全事件、案件的取證、分析等工作。
“注冊信息安全專業(yè)人員-密碼技術(shù)專家”,英文為Certified Information Security Professiona -Cryptography Technoogy Expert,簡稱CISP-CTE。證書持有人掌握密碼學基礎(chǔ)理論、密碼法律法規(guī)、密碼應(yīng)用和密碼工程實現(xiàn)等方面知識,為黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施和互聯(lián)網(wǎng)等領(lǐng)域的密碼實施應(yīng)用提供服務(wù)。
“注冊個人信息保護專業(yè)人員”,英文為Certified Information Security Professiona - Persona Information Protection,簡稱CISP-PIP。證書主要面向我國數(shù)據(jù)保護、信息審計、組織合規(guī)與風險管理等領(lǐng)域的信息安全專業(yè)人員,以加強用戶個人信息保護為目標,同時兼顧重要數(shù)據(jù)保護需求以及醫(yī)療健康、金融等領(lǐng)域的行業(yè)監(jiān)管要求,旨在為我國數(shù)據(jù)安全保護工作培養(yǎng)一支強有力的專業(yè)人才隊伍。
“注冊數(shù)據(jù)安全治理專業(yè)人員”,英文為Certified Information Security Professiona - Data Security Governance,簡稱CISP-DSG。證書持有人具備數(shù)據(jù)安全治理過程能力,能幫助各類組織機構(gòu)解決數(shù)據(jù)安全頂層設(shè)計及管理體系建設(shè)的問題,提升企事業(yè)單位信息安全管理能力。
包括在信息安全測評機構(gòu)、信息安全咨詢服務(wù)機構(gòu)、社會各組織、團體、企事業(yè)單位從事信息安全服務(wù)或高級安全管理工作的人員、企業(yè)信息安全主管、信息安全服務(wù)提供商、IT或安全顧問人員、IT審計人員 、信息安全類講師或培訓人員、信息安全事件調(diào)查人員 、其他從事與信息安全相關(guān)工作的人員(如系統(tǒng)管理員、程序員等)
CISP是當下信息安全領(lǐng)域?qū)I(yè)的從業(yè)資格認證,經(jīng)由中國信息安全測評中心實施認證,是對信息安全人員資質(zhì)的最高認可。
關(guān)于CISP的難度沒有解釋,從近幾年參加CISP考試的考生感受,可以看到CISP的考試難度因人而異,對于從事安全行業(yè)多年的人士,特別是本人還擁有一定的學歷,CISP難度于此類人群而言,難度處于簡單。而對于基礎(chǔ)不是很好的考生而言,工作經(jīng)驗不是很足,是否能過CISP除了取決于考生個人學習能力之外,一個好的培訓機構(gòu)也能讓考生備考之路更為順暢。
當然最重要的就是考生的主動學習性,是否選擇培訓機構(gòu),因考慮自身經(jīng)濟和自我知識儲備各方面。
CISP沒有具體的報名時間,一般來說有考試就可以報名(理論上來說每個月都有考試,也就是說每個月都可以進行報名),報名時間具體咨詢CISP授權(quán)培訓機構(gòu)。
成為CISP,必須滿足以下基本要求:
申請CISE、CISO注冊資質(zhì),需滿足以下教育和工作經(jīng)驗要求:
教育和工作經(jīng)歷要求:
碩士及碩士以上學歷,具備1年以上工作經(jīng)歷;或
大學本科學歷,具備2年以上工作經(jīng)歷;或
大學??茖W歷,具備4年以上工作經(jīng)歷;
信息安全專業(yè)工作經(jīng)歷要求:
具備1年以上從事信息安全領(lǐng)域工作經(jīng)歷。
申請CISP其他專業(yè)方向注冊資質(zhì),需滿足各專業(yè)方向注冊資質(zhì)的教育和工作經(jīng)驗要求;
通過中國信息安全測評中心組織的CISP考試;
同意并遵守CISP職業(yè)準則;
滿足CISP注冊要求并成功通過CISP注冊審核;
獲得CISP資質(zhì)證書后,遵守和滿足CISP注冊維持要求,并繳付年費;
CISP的注冊流程如圖2所示,首先CISP申請者可以通過電話、郵件或微信公眾號等途徑咨詢CISP相關(guān)申請事宜。然后需報名申請參加CISP考試。如果考試未通過可以申請補考,直至考試通過后申請者需提交CISP注冊申請。如果未達到注冊所必須的基本要求,則需要補充材料或等待滿足條件后再次申請。如果滿足注冊要求,測評中心將向申請者頒發(fā)CISP證書。發(fā)證后,CISP持證人員需持續(xù)進行相關(guān)學習,三年后需提前申請證書維持。對于不滿足維持條件的持證人員將需要重新申請考試,考試通過后可繼續(xù)維持CISP資質(zhì)。
圖2 CISP注冊流程
CISP報考材料:(提交報名老師)
1.學員需要填寫如下申請資料:
《注冊信息安全專業(yè)人員(CISP)考試及注冊申請表》
填寫申請表格時應(yīng)注意:申請表格可采用電子模版錄入填寫,也可手寫,填寫過程中應(yīng)確保內(nèi)容的真實準確,手寫申請表格應(yīng)用正楷字體,字跡要求清晰可辨。
注:填寫注冊申請表第二部分時,需要由申請人所在單位(部門)領(lǐng)導簽字并加蓋本單位公章。
2.其他資料
申請(CISP)注冊資質(zhì)除了填寫申請書外,還需要準備以下資料:
個人近期免冠2寸彩色白底證件照片2張
身份證復印件1份
學位、學歷證明復印件1份
3.關(guān)于材料的提交時間
學員應(yīng)在報名同時將所有資料全部提交。
事實上關(guān)于CISP考試費用分為兩個部分,一是通過CISP考試的費用,即報考費用和培訓費用;另一部分就是CISP考試證書維持費用,是證書獲得3年之后需要繳納的費用。
CISP專業(yè)培訓是由中國信息安全測評中心統(tǒng)一管理和規(guī)范并授權(quán)培訓機構(gòu)組織實施的信息安全專業(yè)培訓。
該培訓將從信息安全保障、網(wǎng)絡(luò)安全監(jiān)管、信息安全技術(shù)、信息安全管理和信息安全工程等方面學員提供全面、系統(tǒng)、專業(yè)的信息安全知識和技能學習。
CISP知識體系大綱明確了CISP考試范圍。在整個CISP的知識體系結(jié)構(gòu)中,根據(jù)實際工作,將信息安全從業(yè)人員所需掌握的知識構(gòu)建成若干知識域,每個知識域包含多個知識子域,每個知識子域中包含需要掌握的知識點。
目前使用的CISE、CISO V 4.2版的知識體系結(jié)構(gòu)包括信息安全保障、網(wǎng)絡(luò)安全監(jiān)管、信息安全管理、業(yè)務(wù)連續(xù)性、安全工程與運營、安全評估、信息安全支撐技術(shù)、、物理與網(wǎng)絡(luò)通信安全、計算環(huán)境安全、軟件安全開發(fā)共十個知識域,如圖1所示:
CISP是沒有固定的報考時間,CISP考試報名事項均由培訓機構(gòu)決定,一般來說有培訓計劃就能報名,培訓時間一般是5天(不同機構(gòu)稍有不同),培訓完后即可參加CISP考試。點擊查看:2023年上半年CISP考試時間(1月-6月)。
CISP知識體系規(guī)范了CISP考試范圍。在整個CISP的知識體系結(jié)構(gòu)中,共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標準法規(guī)這五個知識類,每個知識類根據(jù)其邏輯劃分為多個知識體,每個知識體包含多個知識域,每個知識域由一個或多個知識子域組成。
CISP知識體系結(jié)構(gòu)共包含五個知識類,分別為:
信息安全保障:介紹了信息安全保障的框架、基本原理和實踐,它是注冊信息安全專業(yè)人員首先需要掌握的基礎(chǔ)知識。
信息安全技術(shù):主要包括密碼技術(shù)、訪問控制、審計監(jiān)控等安全技術(shù)機制,網(wǎng)絡(luò)、系統(tǒng)軟件和應(yīng)用等層次的基本安全原理和實踐,以及信息安全攻防和軟件安全開發(fā)相關(guān)的技術(shù)知識和實踐。
信息安全管理:主要包括信息安全管理體系建設(shè)、信息安全風險管理、具體信息安全管理措施等同信息安全相關(guān)的管理知識和實踐。
信息安全工程:主要包括同信息安全相關(guān)的工程知識和實踐。
信息安全標準法規(guī):主要包括信息安全相關(guān)的標準、法律法規(guī)和道德規(guī)范,是注冊信息安全專業(yè)人員需要掌握的通用基礎(chǔ)知識。
圖1-2描述了CISP知識體系結(jié)構(gòu)
圖1-2:CISP知識體系結(jié)構(gòu)框架
CISP考試大綱從我國國情出發(fā),結(jié)合我國網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全保障的實際需求,以知識體系的全面性和實用性為原則,明確規(guī)定了注冊信息安全專業(yè)人員應(yīng)當掌握的知識要點,是 CISP 教材編制、講師授課、學員學習以及考試命題的重要依據(jù)。預(yù)計2023年CISP考試大綱仍然沿用以前公布的版本,請考生知悉!
CISP成績考后兩個月左右可查,在中國測評中心網(wǎng)站可以查到考生是否通過考試,考生根據(jù)提示,登錄個人信息即可查詢。因測評中心內(nèi)部業(yè)務(wù)流程,大約成績公布2個月左右后能取得CISP證書。注冊申請是不需要培訓機構(gòu)代辦,中國信息安全測評中心網(wǎng)站直接出證,由培訓機構(gòu)郵寄。
CISP 考試題型均為單項選擇題,共100題,每題1分,得到70分以上(含70 分)為通過。
注:考試如未通過,可由我司提供2次免費補考機會。
CISP證書的注冊申請是不需要培訓機構(gòu)代辦,是中國信息安全測評中心網(wǎng)站直接出證,由培訓機構(gòu)郵寄。因測評中心內(nèi)部業(yè)務(wù)流程,約2個月左右能取得證書。
由培訓機構(gòu)郵寄。CISP考試結(jié)束后兩個月左右時間可公布是否通過,因測評中心內(nèi)部業(yè)務(wù)流程,2個月左右能取得證書。CISP證書的注冊申請是不需要培訓機構(gòu)代辦,中國信息安全測評中心網(wǎng)站直接出證。
CISP證書的注冊申請是不需要培訓機構(gòu)代辦,中國信息安全測評中心網(wǎng)站直接出證,由培訓機構(gòu)郵寄。CISP證書有效期只有3年,3年到期后應(yīng)該在到期前一個月通過“證書維持注冊機構(gòu)”進行申請更換新的認證,和繳納證書維持費500元/年。
每位注冊CISP需通過持續(xù)的信息安全專業(yè)發(fā)展來保持其能力和素質(zhì)。
中國信息安全測評中心將通過評價申請表中的信息、專業(yè)發(fā)展記錄來驗證每一位CISP的工作能力,同時還通過現(xiàn)場見證、從聘用機構(gòu)調(diào)閱檔案以及向受CISP服務(wù)方調(diào)查等方式來復查CISP的工作和素質(zhì)。
CISP注冊證書在三年有效期內(nèi)實行年度維持制度,第3年進行復查換證。
維持換證要求
1.在證書有效期屆滿前60天內(nèi),須提出維持換證申請。
2.完成至少3次完整的信息安全服務(wù),信息安全服務(wù)是指信息安全工程的設(shè)計、實施、測試、運行和維護,以及相關(guān)的咨詢和培訓活動。具體形式包括:
安全工程:為信息系統(tǒng)進行安全方案設(shè)計、施工、驗證、運行和維護;
安全測試和監(jiān)控:對已有信息安全系統(tǒng)進行安全性測試或?qū)π畔踩到y(tǒng)(包括硬件、軟件、固件和負責執(zhí)行安全策略的組合體等)進行調(diào)整、增補與刪除;對信息系統(tǒng)進行安全監(jiān)控和提出安全承諾;
安全相關(guān)施工:對信息安全系統(tǒng)外部設(shè)施(包括通信線路、鏈路、信道/隱蔽信道、保護建筑和標記等)進行信息安全調(diào)整、增補與刪除;
安全咨詢和教育:從事信息系統(tǒng)安全咨詢、培訓、宣傳的業(yè)務(wù),包括書面提出并制訂信息系統(tǒng)安全方案或安全管理與操作規(guī)定的服務(wù)、在公開場合或媒體宣講傳播安全知識的活動;信息系統(tǒng)安全專家活動和政策制訂工作;從事信息系統(tǒng)安全教育工作;
方案試驗:在現(xiàn)有信息安全系統(tǒng)中測試、試驗?zāi)撤N安全產(chǎn)品、安全方案(如算法)的有償或無償活動;
其它服務(wù):其它可能影響信息系統(tǒng)安全性能的服務(wù)或技術(shù)活動。
3. 遵守注冊信息安全專業(yè)人員行為準則。
申請材料
1. 注冊信息安全專業(yè)人員(CISP)注冊維持申請表(原件加蓋現(xiàn)工作單位公章及個人手寫簽名);
2. 提交CISP證書原件;若證書遺失,需要提供證書復印件、戶籍證明以及現(xiàn)工作單位證明;
3. 提交在有效期內(nèi)的身份證正反面復印件以及近期兩寸白底彩色照片2張;
4. 交納維持換證申請費用。
維持費用:
CISP證書維持費500元/年×3年=1500元。CISM證書維持費200元/年*3年=600元由授權(quán)人員注冊維持機構(gòu)統(tǒng)一收取、開據(jù)發(fā)票。
超期維持
1.證書超期6個月以上10個月內(nèi)(含)遞交申請材料者,除交納正常維持年金外,還應(yīng)補交一年維持年金。證書超期即將屆滿1年,須提前60天交齊維持申請材料。
2.證書超期1年以后再遞交申請材料者,均需要重新參加考試,考試通過后頒發(fā)新證書,并沿用原始CISP證書編號。
3.證書過期重考流程:
重考人員與初考報名的授權(quán)培訓機構(gòu)聯(lián)系,申請報名重考,并根據(jù)情況,選擇培訓重考或者直接重考。
重考人員遞交的材料與首次注冊遞交的材料相同,報考類型選擇“重考”,材料由授權(quán)培訓機構(gòu)統(tǒng)一交送CISP運營中心。
重考申請過程遇到的相關(guān)問題,可與CISP運營中心聯(lián)系解決。