CISP注册信息安全专业人员考试内容

CISP（Certified Information Security Professional）是中国信息安全测评中心（CNITSEC）推出的国家级信息安全认证，其考试的内容涵盖信息安全的核心领域，主要基于《CISP知识体系大纲》。

CISP注册信息安全专业人员考试内容分为十大知识域，具体如下：

1. 信息安全保障（10%）

信息安全基本概念（CIA三要素：机密性、完整性、可用性）

信息安全保障框架（如PDRR模型、WPDRRC模型）

信息安全生命周期管理

2. 信息安全监管（15%）

国内信息安全法律法规（如《网络安全法》《数据安全法》《个人信息保护法》）

信息安全标准（如GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》）

行业监管要求（金融、电信、能源等行业的合规要求）

3. 信息安全管理（15%）

信息安全管理体系（ISMS，如ISO 27001）

风险管理（风险评估、风险处置）

安全运维管理（安全策略、安全审计、应急响应）

4. 业务连续性（5%）

业务连续性管理（BCM）

灾难恢复（DRP）与备份策略

应急响应流程

5. 安全工程与架构（10%）

安全开发生命周期（SDLC）

系统安全架构设计（如零信任架构）

安全需求分析与安全方案设计

6. 物理与网络通信安全（10%）

物理安全（门禁、监控、防电磁泄漏）

网络协议安全（TCP/IP安全、VPN、防火墙）

无线网络安全（Wi-Fi安全、蓝牙安全）

7. 计算环境安全（15%）

操作系统安全（Windows/Linux安全加固）

数据库安全（SQL注入防护、访问控制）

应用安全（Web安全、移动APP安全）

8. 软件开发安全（5%）

安全编码规范（如OWASP Top 10）

代码审计与漏洞修复

软件供应链安全

9. 密码学（10%）

对称加密（AES、DES）与非对称加密（RSA、ECC）

哈希算法（SHA、MD5）

数字签名与PKI（公钥基础设施）

10. 安全攻防与渗透测试（5%）

常见攻击方式（SQL注入、XSS、CSRF、DDoS）

渗透测试流程（信息收集、漏洞扫描、漏洞利用）

安全防护措施（WAF、IDS/IPS、SOC）