CISP-00-注册信息安全专业人员(CISP)培训介绍-备注

中国信息安全产品测评认证中心注册信息安全专业人员（CISP）培训介绍编号：CISP-00-注册信息安全专业人员（CISP）培训介绍自我介绍目录注册信息安全专业人员（CISP）介绍2全面建设信息安全人才体系31CISP知识体系大纲介绍33中国信息安全产品测评认证中心（CISE/CISO/CISA）-CIAE31全面建设信息安全人才体系背景™构建全面的信息安全人才体系的需求ƒ是国家政策的要求ƒ是组织机构信息安全保障建设自身的要求ƒ是组织机构人员自身职业发展的要求信息安全人才体系战略组织机构信息安全人才体系战略安全意识安全基础和安全文化信息安全专业人员（信息安全相关的岗位和职责）计划组织开发采购实施交付运行维护废弃信息安全从业人员（信息系统相关的岗位和职责）所有员工注册信息安全员（CISM）信息安全保障专家注册信息安全专业人员（CISP）培训意识信息安全人才体系战略组织机构信息安全人才体系结构信息安全保障专家注册信息安全专业人员注册信息安全员专家CISPCISM信息安全意识培训CISECISOCISA所有用户技术人员管理人员审核审计人员信息安全人才体系战略信息安全专业人员职业发展三部曲从业人员专业人员专家CISM注册信息安全员CISP注册信息安全专业人员信息安全保障专家中国信息安全产品测评认证中心注册信息安全专业人员（CISP）介绍2CISP（CISE/CISO/CISA）资质分类™“注册信息安全专业人员”，英文为CertifiedInformationSecurityProfessional（简称CISP），根据实际岗位工作需要，CISP分为三类：ƒ“注册信息安全工程师”，英文为CertifiedInformationSecurityEngineer（简称CISE）；ƒ“注册信息安全管理人员”，英文为CertifiedInformationSecurityOfficer（简称CISO）；ƒ“注册信息安全审核员”，英文为CertifiedInformationSecurityAuditor（简称CISA）。CISP（CISP/CISE/CISO）知识体系结构注册信息安全专业人员（CISP）知识体系结构信息安全技术信息安全管理信息安全工程信息安全体系模型信息安全标准和法律法规信息安全管理概述应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术组织保障人员管理风险评估业务持续性和灾难恢复事件响应信息安全规划应用和系统开发运行管理安全工程过程和实践项目管理过程和实践安全工程基础CISP同CISSP知识体系结构的比较注册信息安全专业人员（CISP）知识体系结构信息安全技术信息安全管理信息安全工程信息安全体系模型信息安全标准和法律法规信息安全管理概述应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术组织保障人员管理风险评估业务持续性和灾难恢复事件响应信息安全规划应用和系统开发运行管理安全工程过程和实践项目管理过程和实践安全工程基础CISP（CISE/CISO/CISA）试题区别说明注：CISA在CISE或CISO的基础上再加上50道信息安全审计相关的试题。10%10%信息安全标准和法律法规15%15%信息安全工程40%20%信息安全管理20%40%信息安全技术15%15%信息安全体系和模型CISOCISECISPCISP资质类型知识类别CISP知识体系大纲的特点™以信息安全保障（IA）作为贯穿整个CISP知识体系大纲的主线™使用知识类（PT）-知识体（BD）-知识域（KA）-知识子域（SA）来组织的组件模块化的知识体系结构CISP知识体系特点介绍—知识结构整体信息安全工程信息安全保障核心和主线信息安全标准和法律法规信息安全体系模型信息安全技术信息安全管理CISP知识体系特点介绍—知识结构组织知识类（PT）知识类（PT）知识体（BD）知识体（BD）知识域（KA）知识域（KA）知识域（KA）知识子域（SA）知识子域（SA）知识子域（SA）中国信息安全产品测评认证中心信息安全体系模型信息安全体系模型信息安全技术信息安全技术信息安全管理信息安全管理信息安全标准和法律法规信息安全标准和法律法规信息安全工程信息安全工程注册信息安全专业人员（CISP）知识体系结构信息安全技术信息安全管理信息安全工程信息安全体系模型信息安全标准和法律法规信息安全管理概述应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术应用安全系统安全电信和网络安全物理安全访问控制系统密码技术和应用审计和监控安全攻防技术组织保障人员管理风险评估业务持续性和灾难恢复事件响应信息安全规划应用和系统开发运行管理安全工程过程和实践项目管理过程和实践安全工程基础知识类：信息安全体系和模型信息安全保障框架知识类：信息安全体系和模型知识体系概述安全模型安全体系知识类（PT）知识体（BD）知识域（KA）信息安全体系和模型OSI开放系统互联安全体系架构信息技术安全性评估信息安全保障评估信息安全模型基础访问控制模型其他安全模型知识类：信息安全体系和模型知识体系详述信息技术安全评估历史和发展可信计算机系统评估准则（TCSEC）IT安全性评估通用准则（CC）信息系统安全保障评估框架信息安全产品测试评估信息系统安全测试评估信息安全服务测试评估信息安全人员测试评估自主访问控制（DAC）模型（访问矩阵模型及其实现）强制访问控制（MAC）模型（Bell-Lapudula/Biba/Clark-Wilson/ChineseWall/BMA模型）基于角色访问控制（RBAC）模型信息安全保障框架安全模型安全体系知识类知识体知识域信息安全体系和模型OSI开放系统互联安全体系架构信息技术安全性评估信息安全保障评估信息安全模型基础访问控制模型其他安全模型知识子域知识域说明PT：信息安全体系知识类™PT（知识类）：信息安全体系ƒKA（知识域）：信息安全保障框架•理解信息安全保障的背景和历史；•理解信息安全保障的定义、模型和含义。ƒKA（知识域）：OSI开放系统互联安全体系结构•理解和掌握OSI开放系统互联安全体系结构•理解和掌握OSI开放系统互联安全体系结构同TCP/IP的映射ƒKA（知识域）：信息技术安全性评估•理解和掌握信息技术安全性评估准则发展的背景、历史和关系；•理解和掌握可信计算机系统评估准则（TCSEC）以及彩虹系列的内容和含义；•理解和掌握信息技术安全性评估主则（CC）的内容和含义。ƒKA（知识域）：信息安全保障评估•理解和掌握信息系统安全保障评估框架的内容和含义；•理解和掌握信息安全保障评估的各中测试评估的类别和含义（信息安全产品测试评估、信息系统安全测试评估、信息安全服务测试评估和信息安全人员测试评估）信息技术安全评估标准的历史和发展1985年美国国防部可信计算机评估准则（TCSEC）1999年GB17859计算机信息系统安全保护等级划分准则1999年GB17859计算机信息系统安全保护等级划分准则2001年GB/T18336信息技术安全性评估准则2001年GB/T18336信息技术安全性评估准则1991年欧洲信息技术安全性评估准则（ITSEC）1989年英国可信级别标准（MEMO3DTI）德国评估标准（ZSEIC）法国评估标准（B-W-RBOOK）1993年美国NIST的MSFR1993年加拿大可信计算机产品评估准则（CTCEC）1993年美国联邦准则（FC1.0）国际通用评估准则•1996年，CC1.0•1998年，CC2.0•1999年，CC2.11999年国际标准ISO/IEC15408信息安全保障模型技术工程管理人员保障要素开发采购实施交付运行维护完整性可用性废弃保密性安全特征计划组织生命周期组成及与现有标准关系信息系统和信息系统安全保障架构信息系统架构GB18336idt.ISO/IEC15408信息技术安全性评估准则IATF信息保障技术框架将GB18336从产品和产品系统扩展到信息技术系统安全性评估技术保障（信息系统安全技术保障）信息系统安全保障评估框架BS7799,ISO/IEC17799信息安全管理实践准则其他相关标准、准则例如：ISO/IEC15443,COBIT。。。信息安全管理和管理能力成熟度模型管理保障（信息系统安全管理保障）ISSE信息系统安全工程SSE-CMM系统安全工程能力成熟度模型工程保障（信息系统安全工程保障）安全工程过程和能力成熟度模型系统认证和认可标准和实践例如：美国DITSCAP,…中国信息安全产品测评认证中心相关文档和系统测评认证实践传统C&A信息系统认证认可和实践其他：ISO/IEC19791，NISTSP。。。信息系统和信息系统安全保障架构信息系统和信息系统安全保障架构信息系统架构GB18336idt.ISO/IEC15408信息技术安全性评估准则GB18336idt.ISO/IEC15408信息技术安全性评估准则IATF信息保障技术框架IATF信息保障技术框架将GB18336从产品和产品系统扩展到信息技术系统安全性评估技术保障（信息系统安全技术保障）技术保障（信息系统安全技术保障）信息系统安全保障评估框架BS7799,ISO/IEC17799信息安全管理实践准则BS7799,ISO/IEC17799信息安全管理实践准则其他相关标准、准则例如：ISO/IEC15443,COBIT。。。其他相关标准、准则例如：ISO/IEC15443,COBIT。。。信息安全管理和管理能力成熟度模型管理保障（信息系统安全管理保障）管理保障（信息系统安全管理保障）ISSE信息系统安全工程ISSE信息系统安全工程SSE-CMM系统安全工程能力成熟度模型SSE-CMM系统安全工程能力成熟度模型工程保障（信息系统安全工程保障）工程保障（信息系统安全工程保障）安全工程过程和能力成熟度模型系统认证和认可标准和实践例如：美国DITSCAP,…系统认证和认可标准和实践例如：美国DITSCAP,…中国信息安全产品测评认证中心相关文档和系统测评认证实践中国信息安全产品测评认证中心相关文档和系统测评认证实践传统C&A信息系统认证认可和实践其他：ISO/IEC19791，NISTSP。。。其他：ISO/IEC19791，NISTSP。。。信息系统安全保障级别评估说明技术保障管理保障工程保障ISALTCML安全技术架构能力成熟度级MCML安全管理能力成熟度级TCML安全工程能力成熟度级XX信息系统安全目标（ISST）XX信息系统保护轮廓（ISPP）信息系统保障评估方法信息系统安全保障级信息系统安全保障评估ISPP评估ISST评估技术保障管理保障工程保障ISALTCML安全技术架构能力成熟度级MCML安全管理能力成熟度级TCML安全工程能力成熟度级XX信息系统安全目标（ISST）XX信息系统保护轮廓（ISPP）信息系统保障评估方法信息系统安全保障级信息系统安全保障评估ISPP评估ISST评估知识体：信息安全模型原理说明模型访问控制模型信息流模型强制访问控制模型（MAC）自主访问控制模型（DAC）访问矩阵模型访问控制列表（ACL）权能列表（CapacityList）实现多级环境多边环境静态动态Bell-Lapudula模型Biba模型Clark-Wilson模型ChineseWall模型BMA模型保密性完整性基于角色访问控制模型（RBAC）知识域说明PT：信息安全模型™PT（知识类）：信息安全模型ƒKA（知识域）：信息安全模型基础•理解信息安全模型同安全策略、安全控制之间的关系•理解可信计算基和参考监视器等的基本概念•理解各种安全模型的分类和关系ƒKA（知识域）：访问