CISE讲义CISP-02-信息安全培训和CISP知识体系介绍-YYZ

信息安全培训和CISP知识体系介绍中国信息安全测评中心CISP-02-信息安全培训和CISP知识体系介绍2008年11月目录一．信息安全培训业务介绍•信息安全培训业务现状•美国政府部委信息安全培训体系介绍•信息安全培训体系介绍二．CISP知识体系介绍•注册信息安全专业人员（CISP）介绍•CISP知识体系大纲介绍一、信息安全培训业务介绍目录一．信息安全培训业务介绍•信息安全培训业务现状•美国政府部委信息安全培训体系介绍•信息安全培训体系介绍二．CISP知识体系介绍•注册信息安全专业人员（CISP）介绍•CISP知识体系大纲介绍1、信息安全培训业务现状信息安全培训——人的问题人是信息安全中最核心问题之一！我们政府部门的广大干部对信息安全重要性的认识和相关技术问题的了解还远远不能满足国家发展的需要信息安全人才需求的背景信息安全保障的重要性•中办[2003]27号文件“国家信息化领导小组关于加强信息安全保障工作的意见”；•党的十六届四中全会将“信息安全”提升为国家安全的组成部分构建全面的信息安全人才体系的需求•是国家政策的要求•是组织机构信息安全保障建设自身的要求•是组织机构人员自身职业发展的要求我国信息安全从业人员素质现状分析从数量上来看，信息安全从业人员的数量同实际需求存在巨大缺口。•信息安全人才需求不断增加•培养来源：由高校学历教育以及以各种专业注册培训为核心、辅以各种职业技能培训的社会培训组成。•从近期来看，信息安全从业人员的数量同社会实际需求仍存在巨大缺口。从质量上来看，高端信息安全人才，特别是信息安全管理人才以及信息安全高层次和综合性人才严重缺乏从行业领域上，信息安全从业人员主要集中在政府、金融、电信等信息化发达的行业领域以及信息安全专业公司中•根据对上千名注册信息安全专业人员（CISP）的分析，其中38%的专业人员来自安全厂商，20%来自金融领域，26%来自税务、海关和部委等政府机构，8%来自电力和电信领域，4%来自于测评机构，其他占4%。从信息安全从业人员更多集中在技术领域，而且主要偏向于具体产品的研发、技术支持和维护。信息安全从业人员在组织机构中的地位开始得到显著提高，正逐渐从单纯的技术支持进入到组织机构技术决策和风险管理的角色。信息安全人才发展战略缺少系统、全面的规划和协调。信息安全学历教育和社会实践、社会认证培训的结合问题信息安全人才的管理问题。信息安全管理人才，特别是懂业务的高层次人才严重缺乏。信息安全人才培养不规范。信息安全意识的缺乏我国信息安全从业人员素质方面突出的问题信息安全培训业务的目的和目标目标•为国家信息安全保障人才体系建设做出应有的贡献增强政府部委、党政机关、重要信息系统和基础网络的管理和运行人员排除隐患和漏洞的认识、知识和能力通过市场化，提高国家信息安全人才素质和能力•服务对象：面向政府部委、党政机关、重要信息系统和基础网络面向市场信息安全培训业务介绍2002年，中心在国内率先推出了专业权威的注册信息安全专业人员（CISP）资质认证2003年，中心正式出版了注册信息安全专业人员资质认证教材2002年—2005年：CISP已成为国内最具含金量的信息安全专业资质认证品牌•遍布全国的18家授权培训机构•已经为对信息安全有较高要求的人民银行、海关、国税等政府机构、金融电信领域、信息安全专业厂商等培养了大批专业的信息安全技术、管理和审核人员，得到了广泛的认可•。。。2005年9月：正式发布注册信息安全员（CISM）资质认证目前，CISP获证人数为二千多人注册信息安全专业人员（CISP）统计200220032004200520062007200802004006008001000120014001600180020002200CISOCISECISA数据截止至2007年4月CISP获证人数增长图正式出版发布资料•中心官方网站：•对外发行杂志：《国家信息安全测评认证》•正式出版教材CISP培训教材（共三册）其他培训产品化资料•培训管理规章制度•培训申请指南文件•知识体系大纲•奥运信息安全培训手册正式出版发布资料2、美国政府部委信息安全培训体系介绍信息安全培训业务背景美国FISMA（联邦信息安全管理法案）年度报告要求——解析信息安全意识和培训•全员的信息安全意识培训•同岗位相关的模块化的培训•计算机化、自动化的课程管理、跟踪、考核、统计和服务系统•同现实需求紧密结合的专业、权威的课件负有重要安全职责的专业人员•国家权威机构的信息安全专业注册资质•重要岗位的资质准入管理经费的保证信息安全培训业务背景美国FISMA（联邦信息安全管理法案）年度评估报告——总结表信息安全培训业务背景美国国防部信息安全人员要求建立分级分类的信息安全人才要求•分类：分为技术和管理类•分级：每一类分为1到3级要求培训、注册、在职培训和继续培训信息安全培训业务背景美国国防部信息安全人员要求借助社会力量完成信息安全人才的培养•（ISC）2的CISSP/SSCP•ISACA的CISA/CISM•SANS/GIAC的GSEC/GSE/GISF•CompTIA的A+/Network+/Security+•…信息安全培训业务背景美国国防部信息安全人员培训计划建立人员数据库，确认人员及其类别和级别要求从2006年开始启动，2007年开始正式实施，2010年前完成所有8万人的基础要求培训•第1年10%，后3年每年30%•2011年继续维护和知识更新3、信息安全培训体系介绍信息安全人才体系战略组织机构信息安全人才体系战略安全意识安全基础和安全文化信息安全专业人员（信息安全相关的岗位和职责）计划组织开发采购实施交付运行维护废弃信息安全从业人员（信息系统相关的岗位和职责）所有员工注册信息安全员（CISM）信息安全保障专家注册信息安全专业人员（CISP）培训意识信息安全人才体系战略加快信息安全人才培养，增强全民信息安全意识加快信息安全人才培养增强全民信息安全意识意识教育安全培训高等教育专业培训安全意识安全基础和安全文化信息安全专业人员（信息安全相关的岗位和职责）计划组织开发采购实施交付运行维护废弃信息安全从业人员（信息系统相关的岗位和职责）所有人员信息安全保障专家培训教育和经验信息安全人才战略——培训体系专家CISPCISECISOCISACISM信息安全意识培训技术人员管理人员审核审计人员信息安全人才战略——培训体系CISM注册信息安全员CISP注册信息安全专业人员信息安全保障专家培训产品体系——技术核心竞争力综合权威专题实践300系列——最佳实践，审计检查600系列——信息安全综合知识能力证明，信息安全专业人员必备400系列——全面信息安全基础，信息安全人员必备500系列——专题研究，术业有专攻200系列——信息安全，人人有责，保护自己的信息空间信息安全意识系列信息安全意识系列信息安全专业系列信息安全专业系列信息安全从业系列信息安全从业系列信息安全实践系列信息安全实践系列信息安全专题系列信息安全专题系列培训产品体系培训总表综合SEC技术TEC管理MGT审计AUD安全专业安全专题CRAC注册风险评估咨询员CVMC注册漏洞管理咨询员TEC-501风险评估技术和工程…TEC-503防火墙系统和工程…TEC-507信息安全攻防…MGT-501信息安全管理体系MGT-502风险管理MGT-503漏洞管理MGT-504业务连续性和灾难恢复管理…AUD-501信息安全审计…安全从业安全实践操作系统最佳实践网络设备最佳实践应用系统最佳实践…操作系统审计网络设备审计应用系统审计…安全意识SEC-201保护信息安全实践（普及）…TEC-201网络和安全知识问答…面向部委的信息安全培训整体方案一．所有人员进行信息安全意识培训二．IT和安全相关人员：建立分级分类的信息安全基本要求，资质和培训•分级：高/中/低、一级/二级/三级•分类：技术/管理/审核三．IT和安全相关人员：基于岗位的信息安全技能，资质和培训•特定实践：Windows操作系统安全、Oracle数据库安全等•特定专题：风险管理、漏洞管理等四．持续学习和更新信息安全专业系列信息安全专业系列信息安全从业系列信息安全从业系列信息安全意识系列信息安全意识系列信息安全实践系列信息安全实践系列信息安全专题系列信息安全专题系列面向部委的信息安全培训咨询注册信息安全员（CISM）行业和组织机构特点和特殊需求岗位职责相关的职业技能培训信息安全从业人员信息安全基础知识和能力基于岗位职业技能注册信息安全专业人员（CISP）信息安全专业人员信息安全培训咨询服务信息安全意识培训信息安全意识普及信息安全专题培训信息安全实验和实践行业和组织机构特点和特殊需求国家信息安全培训系列丛书《信息安全攻防技术》《信息安全攻防技术》——攻击方法《信息安全攻防实验》《信息安全攻防技术》配套实践书籍，提供上百个信息安全攻击实验演练技术特点：•基于虚拟机技术•根据攻击方法、系统平台分类•提供综合案例研究和实践功能性的专业培训内容区域A管理BCDEFG1法律法规1A1B1C1D1E1F2安全程序2.1计划2.1A2.1B2.1C2.1D2.1E2.2管理2.2A2.2B2.2C2.2D2.2E3系统生命周期安全3.1初始化3.1A3.1B3.1C3.1E3.1F3.2开发3.2A3.2B3.2C3.2D3.2E3.2F3.3测试和评估3.3C3.3D3.3E3.3F3.4实现3.4A3.4B3.4C3.4D3.4E3.4F3.5运行维护3.5A3.5B3.5C3.5D3.5E3.5F3.6终止3.6A3.6D3.6E4其他采购设计和开发实现和运行维护审阅和评价使用其他IT安全培训矩阵功能性的专业培训内容区域A管理BCDEFG1法律法规1E2安全程序2.1计划2.1E2.2管理2.2E3系统生命周期安全3.1初始化3.1E3.2开发3.2E3.3测试和评估3.3E3.4实现3.4E3.5运行维护3.5E3.6终止3.6E4其他采购设计和开发实现和运行维护审阅和评价使用其他IT安全培训矩阵-外部审计员二、CISP知识体系介绍目录一．信息安全培训业务介绍•信息安全培训业务现状•美国政府部委信息安全培训体系介绍•信息安全培训体系介绍二．CISP知识体系介绍•注册信息安全专业人员（CISP）介绍•CISP知识体系大纲介绍1、注册信息安全专业人员（CISP）介绍CISP（CISE/CISO/CISA）资质分类“注册信息安全专业人员”，英文为CertifiedInformationSecurityProfessional（简称CISP），根据实际岗位工作需要，CISP分为三类：•“注册信息安全工程师”，英文为CertifiedInformationSecurityEngineer（简称CISE）；•“注册信息安全管理人员”，英文为CertifiedInformationSecurityOfficer（简称CISO）；•“注册信息安全审核员”，英文为CertifiedInformationSecurityAuditor（简称CISA）。CISP（CISP/CISE/CISO）知识体系结构注册信息安全专业人员（CISP）知识体系结构信息安全技术信息安全管理信息安全工程信息安全体系模型信息安全标准和法律法规信息安全管理概述应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术组织保障人员管理风险评估业务持续性和灾难恢复事件响应信息安全规划应用和系统开发运行管理安全工程过程和实践项目管理过程和实践安全工程基础CISP同CISSP知识体系结构的比较注册信息安全专业人员（CISP）知识体系结构信息安全技术信息安全管理信息安全工程信息安全体系模型信息安全标准和法律法规信息安全管理概述应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控