CISP(Certified Information Security Professional,简称CISP)即“注册信息安全专业人员”,是面向信息安全企业、信息安全咨询服务机构、信息安全测评机构、政府机构、社会各组织、团体、大专院校以及企事业单位中负责信息系统建设、运行维护和管理工作的信息安全专业人员所颁发的专业资质证书。是国家对信息安全人员资质的最高认可,从2002开始启动了CISP资质[1-2]。
CISP注册资质需满足以下教育和工作经历要求:硕士及硕士以上学历,具备一年以上工作经历;或大学本科学历,具备两年以上工作经历;或大学专科学历,具备四年以上工作经历;具备一年以上从事信息安全领域工作经历;参加并完成由中国信息安全测评中心授权培训机构组织的CISP专业培训;通过中国信息安全测评中心组织的CISP考试;同意并遵守CISP职业准则;满足CISP注册要求并成功通过CISP注册审核;获得CISP资质证书后,遵守和满足CISP注册维持要求,并缴付年费。CISP证书有效期为3年[2]。
基本信息
中文名注册信息安全专业人员
外文名Certified Information Security Professional
简称CISP
释义国家对信息安全人员资质最高认可[1]
认证机构中国信息安全产品测评认证中心
认证对象信息安全人员
英文名缩写CISP
职业要求
注册要求
1.教育与工作经历
硕士研究生以上,具有1年工作经历;或本科毕业,具有2年工作经历;或大专毕业,具有4年工作经历。
2.专业工作经历
至少具备1年从事信息安全有关的工作经历[2]。
3.培训资格
在申请注册前,成功地完成了CNITSEC或其授权培训机构组织的注册信息安全专业人员培训课程相应资质所需的分类课程,并取得培训合格证书。
4.通过由CNITSEC举行的注册信息安全专业人员考试;
能力要求
具备一定的信息安全基础知识,了解并掌握GB/T 18336、ISO 15408、ISO 17799等有关信息安全标准,具有进行信息安全服务的能力。
道德准则
注册信息安全专业人员必须严格履行其职责并遵守以下道德准则:
1.所有注册信息安全专业人员(CISP)都必须付出努力才能注册。为贯彻这条原则,所有的CISP都必须承诺完全遵守道德准则。
2.CISP必须诚实,公正,负责,守法;
3.CISP必须勤奋和胜任工作,不断提高自身专业能力和水平;
4.CISP必须保护信息系统、应用程序和系统的价值;
5.CISP必须接受CNITSEC的监督,在任何情况下,不损坏CNITSEC或注册过程的声誉,对CNITSEC针对CISP而进行的调查应给予充分的合作;
6.CISP必须按规定向CNITSEC交纳费用。
培训和考试大纲
在整个注册信息安全专业人员(CISP)的知识体系结构中,共包括信息安全保障概述、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规这五个知识类,每个知识类根据其逻辑划分为多个知识体,每个知识体包含多个知识域,每个知识域由一个或多个知识子域组成。
CISP知识体系结构共包含五个知识类,分别为:
信息安全保障概述:介绍了信息安全保障的框架、基本原理和实践,它是注册信息安全专业人员首先需要掌握的基础知识。
信息安全技术:主要包括密码技术、访问控制、审计监控等安全技术机制,网络、操作系统、数据库和应用软件等方面的基本安全原理和实践,以及信息安全攻防和软件安全开发相关的技术知识和实践。
信息安全管理:主要包括信息安全管理体系建设、信息安全风险管理、安全管理措施等相关的管理知识和实践。
信息安全工程:主要包括信息安全相关的工程的基本理论和实践方法。
信息安全标准法规:主要包括信息安全相关的标准、法律法规、政策和道德规范,是注册信息安全专业人员需要掌握的通用基础知识。
报考指南
考试大纲
在整个注册信息安全专业人员(CISP)的知识体系结构中,共包括信息安全保障概述、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规这五个知识类,每个知识类根据其逻辑划分为多个知识体,每个知识体包含多个知识域,每个知识域由一个或多个知识子域组成。
CISP知识体系结构共包含五个知识类,分别为:
信息安全保障概述:介绍了信息安全保障的框架、基本原理和实践,它是注册信息安全专业人员首先需要掌握的基础知识。
信息安全技术:主要包括密码技术、访问控制、审计监控等安全技术机制,网络、系统软件和应用等层次的基本安全原理和实践,以及信息安全攻防和软件安全开发相关的技术知识和实践。
信息安全管理:主要包括信息安全管理体系建设、信息安全风险管理、具体信息安全管理措施等同信息安全相关的管理知识和实践。
信息安全工程:主要包括同信息安全相关的工程知识和实践。
信息安全标准法规:主要包括信息安全相关的标准、法律法规和道德规范,是注册信息安全专业人员需要掌握的通用基础知识。
下表描述了CISE/CISO考试的各知识类的大致比例。(具体详细比例以CNITSEC公布的最新资料为准)
| CISP资质类型 知识类别 | CISE | CISO |
| 信息安全保障概述 | 10% | 10% |
| 信息安全技术 | 50% | 30% |
| 信息安全管理 | 20% | 40% |
| 信息安全工程 | 10% | 10% |
| 信息安全标准和法律法规 | 10% | 10% |
CISP考试题型均为单项选择题,共60题,每题1分,主观题占40分,得到70分以上(含70分)为通过。
CISP两种基础类别“注册信息安全工程师”(CISE)和“注册信息安全管理人员”(CISO)的注册人员都需要学习和掌握CISP知识体系结构框架中的所有内容。由于两种注册证书持有人的工作岗位和工作领域的不同,考试的侧重点有所区别,因此,所对应的试题比例不同。
下表描述了CISE/CISO考试的各知识类的大致比例。(具体详细比例以CNITSEC公布的最新资料为准)
| CISP资质类型知识类别 | CISE | CISO |
| 信息安全保障概述 | 10% | 10% |
| 信息安全技术 | 50% | 30% |
| 信息安全管理 | 20% | 40% |
| 信息安全工程 | 10% | 10% |
| 信息安全标准和法律法规 | 10% | 10% |
职业分类
企业信息安全管理人员
信息安全服务提供商
IT或安全顾问人员
IT审计人员
信息安全类讲师或培训人员
信息安全事件调查人员
其他从事与信息安全相关工作的人员
认定类别
CISP 资质认定类别:
“注册信息安全专业人员”,英文为 Certified Information Security Professional ,简称 CISP,系经中国信息安全测评中心认定的国家信息安全专业人员,具备保障信息系统安全的专业资质。根据岗位工作需要,CISP 分为四个类别:
1、“注册信息安全工程师”,英文为 Certified Information Security Engineer,简称CISE。证书持有人员主要从事信息安全技术领域的工作,具有从事信息系统安全集成、安全技术测试、安全加固和安全运维的基本知识和能力;
2、 “注册信息安全管理员”,英文为 Certified Information Security Officer,简称CISO。证书持有人员主要从事信息安全管理领域的工作,具有组织信息安全风险评估、信息安全总体规划编制、信息安全策略制度制定和监督落实的基本知识和能力。
3、 “注册信息安全审计师”,简称CISA,证书持有人主要从事信息安全审计工作,在全面掌握信息安全基本知识技能的基础上,具有较强的信息安全风险评估、安全检查实践能力。
4、“注册信息安全灾难恢复工程师”,简称 CISP-DRP,证书持有人主要从事信息系统灾难恢复工作,在全面掌握信息安全基本知识技能的基础上,具有较强的信息系统灾难恢复建设和管理的实践能力。
就业前景
企业所需
注册信息安全专业人员是有关信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全测评中心实施注册。
个人所需
CISP作为目前国内最权威的信息安全认证,将会使您的个人职业生涯稳步提升,同时,CISP也是国内拥有会员数最多的信息安全认证,你可以通过CISP之家俱乐部与行业精英交流分享,提高个人信息安全保障水平。
适用人群
包括在国家信息安全测评机构、信息安全咨询服务机构、社会各组织、团体、企事业单位从事信息安全服务或高级安全管理工作的人员、企业信息安全主管、信息安全服务提供商、IT或安全顾问人员、IT审计人员 、信息安全类讲师或培训人员、信息安全事件调查人员 、其他从事与信息安全相关工作的人员(如系统管理员、程序员等)
1、CISE(注册信息安全工程师):
适合政府、各大企事业单位、网络安全集成服务提供商的网络安全技术人员
2、CISO(注册信息安全管理人员):
适合政府、各大企事业单位的网络安全管理人员,也适合网络安全集成服务提供商的网络安全顾问人员
3、CISA(注册信息安全审核员):
适合政府、各大企事业单位的网络安全技术人员、也适合网络安全集成服务提供商的网络安全顾问人
中国信息安全测评中心(以下简称测评中心)是我国专门从事信息技术安全测试和风险评估的权威职能机构。依据中央授权,测评中心的主要职能包括:负责信息技术产品和系统的安全漏洞分析与信息通报;负责党政机关信息网络、重要信息系统的安全风险评估;开展信息技术产品、系统和工程建设的安全性测试与评估;开展 信息安全服务和专业人员的能力评估与资质审核;从事信息安全测试评估的理论研究、技术研发、标准研制等。
CISP授权培训机构名录
| 贵州亨达集团信息安全技术有限公司 | 北京天融信科技有限公司 | 中国交通通信信息中心 | 广东省蓝盾职业培训学院(蓝盾学院) |
| 北京ITET培训中心 | 中央国家机关工委国青中心 | 浙江省发展信息安全测评技术有限公司 | 沈阳华信教育科技有限公司 |
| 北京网御星云信息技术有限公司 | 北京谷安天下科技有限公司(谷安天下) | 网神信息技术(北京)股份有限公司 | 北京启明星辰信息安全技术有限公司 |
| 江苏天创科技有限公司 | 中国电力科学研究院 | 中国金融电子化公司 | 中电运行(北京)技术研究院 |
| 北京时代新威信息技术有限公司 | 北京江南天安科技有限公司 | 深圳市易聆科信息技术有限公司 | 上海三零卫士信息安全有限公司 |
| 北京国务京安国防装备科技研究中心 | 北京瑞星信息技术有限公司 | 中电长城网际系统应用有限公司 | 中国人民解放军61195部队科技成果交流中心 |
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
扫一扫
1500
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
