了解
01CISP相关政策
注册信息安全专业人员,英文名称 Certified Information Security Professional,简称 CISP,是面向信息安全企业、信息安全咨询服务机构、信息安全测评机构、政府机构、社会各组织、团体、大专院校以及企事业单位中负责信息系统建设、运行维护和管理工作的信息安全专业人员所颁发的专业资质证书。
是中国信息安全测评中心为满足社会各界对于专业安全人员的迫切需求,建立和发展的一套信息安全保障人才体系战略,从 2002 年开始启动了CISP资质。
02考试简介
CISP根据工作领域和实际岗位需要,分为十五类证书:
“注册信息安全工程师”,英文为Certified Information Security Engineer,简称CISE。证书持有人员主要从事信息安全技术领域的工作,具有从事信息系统安全集成、安全技术测试、安全加固和安全运维的基本知识和能力。
“注册信息安全管理员”,英文为Certified Information Security Officer,简称CISO。证书持有人员主要从事信息安全管理领域的工作,具有组织信息安全风险评估、信息安全总体规划编制、信息安全策略制度制定和监督落实的基本知识和能力。
“注册信息系统审计师”,英文为Certified Information System Auditor,简称CISP-A。证书持有人主要从事信息系统审计工作,在全面掌握信息安全基本知识技能的基础上,具有较强的信息安全风险评估、安全检查实践能力。
“注册信息安全开发人员”,英文为Certified Information Security Deveoper,简称CISD。证书持有人主要从事软件开发相关工作,在全面掌握信息安全基本知识技能的基础上,具有较强的信息系统安全开发能力、熟练掌握应用安全。
“注册渗透测试工程师”,英文为Certified Information Security Professiona - Penetration Testing Engineer,简称CISP-PTE。证书持有人主要从事信息安全技术领域渗透测试工作,具有漏洞验证、制定渗透测试方案与测试计划、编写测试用例、实施测试、输出测试报告的基本知识和能力。
“注册渗透测试专家”,英文为Certified Information Security Professiona - Penetration Testing Speciaist,简称CISP-PTS。证书持有人主要从事信息安全技术领域高级渗透测试工作,具有较强的漏洞研究、代码分析、进行最新网络安全动态跟踪研究以及策划解决方案等方面的知识和能力。
“注册应急响应工程师”,英文为Certified Information Security Professiona - Incident Response Engineer,简称CISP-IRE。证书持有人主要从事信息安全技术领域应急响应工作,具有实施应急响应事件监测、应急响应事件分析和处置的基本知识和能力。
“注册应急响应专家”,英文为Certified Information Security Professiona - Incident Response Speciaist,简称CISP-IRS。证书持有人主要从事信息安全技术领域应急响应高级分析及规划管理工作,具有网络安全事件溯源分析、规划和制定重大网络安全事件应急处理方案,以及应急实施与处置过程协调管理等方面的知识和能力。
“注册工业控制系统安全工程师”,英文为Certified Information Security Professiona–Industria Contro System Security Engineer,简称CISP-ICSSE。持证人员主要从事信息安全技术领域工业控制系统安全方向的工作,具备制定工控安全威胁应对方案、开展工控系统安全防护设计、建立工控安全应急处置体系、实施安全管理等工作的基本知识和能力。
“注册云安全工程师”,英文名Certified Information Security Professiona–Coud Security Engineer,简称CISP-CSE。持证人员掌握云计算体系架构及关键技术、云计算安全威胁与需求分析、云计算安全技术、云计算安全防护应用、云计算安全管理、云安全政策法规与标准规范等知识内容,具备从事云计算安全规划和系统运维等安全工作的能力,可从事云计算安全设计、安全运维、安全管理等工作。。
“注册大数据安全分析师”,英文为Certified Information Security Professiona–Big Data Security Anayst,简称CISP-BDSA。持证人员掌握大数据分析过程、数据分析算法原理、大数据系统工程实现、大数据安全分析常见案例、大数据系统安全法律法规等知识内容,具备大数据安全分析理论基础和实践能力,可从事大数据安全分析、安全管理等工作。
“注册电子数据取证专业人员”,英文为Certified Information Security Professiona – Forensics,简称CISP-F。证书持有人掌握电子取证法律、法规、标准规范,以及电子数据取证的流程和主要技术,在政府机构、事业单位或企业从事网络安全事件、案件的取证、分析等工作。
“注册信息安全专业人员-密码技术专家”,英文为Certified Information Security Professiona -Cryptography Technoogy Expert,简称CISP-CTE。证书持有人掌握密码学基础理论、密码法律法规、密码应用和密码工程实现等方面知识,为党政机关、关键信息基础设施和互联网等领域的密码实施应用提供服务。
“注册个人信息保护专业人员”,英文为Certified Information Security Professiona - Persona Information Protection,简称CISP-PIP。证书主要面向我国数据保护、信息审计、组织合规与风险管理等领域的信息安全专业人员,以加强用户个人信息保护为目标,同时兼顾重要数据保护需求以及医疗健康、金融等领域的行业监管要求,旨在为我国数据安全保护工作培养一支强有力的专业人才队伍。
“注册数据安全治理专业人员”,英文为Certified Information Security Professiona - Data Security Governance,简称CISP-DSG。证书持有人具备数据安全治理过程能力,能帮助各类组织机构解决数据安全顶层设计及管理体系建设的问题,提升企事业单位信息安全管理能力。
03适用人群
包括在信息安全测评机构、信息安全咨询服务机构、社会各组织、团体、企事业单位从事信息安全服务或高级安全管理工作的人员、企业信息安全主管、信息安全服务提供商、IT或安全顾问人员、IT审计人员 、信息安全类讲师或培训人员、信息安全事件调查人员 、其他从事与信息安全相关工作的人员(如系统管理员、程序员等)
04考试难度
CISP是当下信息安全领域专业的从业资格认证,经由中国信息安全测评中心实施认证,是对信息安全人员资质的最高认可。
关于CISP的难度没有解释,从近几年参加CISP考试的考生感受,可以看到CISP的考试难度因人而异,对于从事安全行业多年的人士,特别是本人还拥有一定的学历,CISP难度于此类人群而言,难度处于简单。而对于基础不是很好的考生而言,工作经验不是很足,是否能过CISP除了取决于考生个人学习能力之外,一个好的培训机构也能让考生备考之路更为顺畅。
当然最重要的就是考生的主动学习性,是否选择培训机构,因考虑自身经济和自我知识储备各方面。
报名
01报名时间
CISP没有具体的报名时间,一般来说有考试就可以报名(理论上来说每个月都有考试,也就是说每个月都可以进行报名),报名时间具体咨询CISP授权培训机构。
02报名条件
成为CISP,必须满足以下基本要求:
申请CISE、CISO注册资质,需满足以下教育和工作经验要求:
教育和工作经历要求:
硕士及硕士以上学历,具备1年以上工作经历;或
大学本科学历,具备2年以上工作经历;或
大学专科学历,具备4年以上工作经历;
信息安全专业工作经历要求:
具备1年以上从事信息安全领域工作经历。
申请CISP其他专业方向注册资质,需满足各专业方向注册资质的教育和工作经验要求;
通过中国信息安全测评中心组织的CISP考试;
同意并遵守CISP职业准则;
满足CISP注册要求并成功通过CISP注册审核;
获得CISP资质证书后,遵守和满足CISP注册维持要求,并缴付年费;
03报名流程
CISP的注册流程如图2所示,首先CISP申请者可以通过电话、邮件或微信公众号等途径咨询CISP相关申请事宜。然后需报名申请参加CISP考试。如果考试未通过可以申请补考,直至考试通过后申请者需提交CISP注册申请。如果未达到注册所必须的基本要求,则需要补充材料或等待满足条件后再次申请。如果满足注册要求,测评中心将向申请者颁发CISP证书。发证后,CISP持证人员需持续进行相关学习,三年后需提前申请证书维持。对于不满足维持条件的持证人员将需要重新申请考试,考试通过后可继续维持CISP资质。
图2 CISP注册流程
CISP报考材料:(提交报名老师)
1.学员需要填写如下申请资料:
《注册信息安全专业人员(CISP)考试及注册申请表》
填写申请表格时应注意:申请表格可采用电子模版录入填写,也可手写,填写过程中应确保内容的真实准确,手写申请表格应用正楷字体,字迹要求清晰可辨。
注:填写注册申请表第二部分时,需要由申请人所在单位(部门)领导签字并加盖本单位公章。
2.其他资料
申请(CISP)注册资质除了填写申请书外,还需要准备以下资料:
个人近期免冠2寸彩色白底证件照片2张
身份证复印件1份
学位、学历证明复印件1份
3.关于材料的提交时间
学员应在报名同时将所有资料全部提交。
04报名费用
事实上关于CISP考试费用分为两个部分,一是通过CISP考试的费用,即报考费用和培训费用;另一部分就是CISP考试证书维持费用,是证书获得3年之后需要缴纳的费用。
CISP培训
01培训介绍
CISP专业培训是由中国信息安全测评中心统一管理和规范并授权培训机构组织实施的信息安全专业培训。
该培训将从信息安全保障、网络安全监管、信息安全技术、信息安全管理和信息安全工程等方面学员提供全面、系统、专业的信息安全知识和技能学习。
02培训内容
CISP知识体系大纲明确了CISP考试范围。在整个CISP的知识体系结构中,根据实际工作,将信息安全从业人员所需掌握的知识构建成若干知识域,每个知识域包含多个知识子域,每个知识子域中包含需要掌握的知识点。
目前使用的CISE、CISO V 4.2版的知识体系结构包括信息安全保障、网络安全监管、信息安全管理、业务连续性、安全工程与运营、安全评估、信息安全支撑技术、、物理与网络通信安全、计算环境安全、软件安全开发共十个知识域,如图1所示:
考试
01考试时间
CISP是没有固定的报考时间,CISP考试报名事项均由培训机构决定,一般来说有培训计划就能报名,培训时间一般是5天(不同机构稍有不同),培训完后即可参加CISP考试。
02考试内容
CISP知识体系规范了CISP考试范围。在整个CISP的知识体系结构中,共包括信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规这五个知识类,每个知识类根据其逻辑划分为多个知识体,每个知识体包含多个知识域,每个知识域由一个或多个知识子域组成。
CISP知识体系结构共包含五个知识类,分别为:
信息安全保障:介绍了信息安全保障的框架、基本原理和实践,它是注册信息安全专业人员首先需要掌握的基础知识。
信息安全技术:主要包括密码技术、访问控制、审计监控等安全技术机制,网络、系统软件和应用等层次的基本安全原理和实践,以及信息安全攻防和软件安全开发相关的技术知识和实践。
信息安全管理:主要包括信息安全管理体系建设、信息安全风险管理、具体信息安全管理措施等同信息安全相关的管理知识和实践。
信息安全工程:主要包括同信息安全相关的工程知识和实践。
信息安全标准法规:主要包括信息安全相关的标准、法律法规和道德规范,是注册信息安全专业人员需要掌握的通用基础知识。
图1-2描述了CISP知识体系结构
图1-2:CISP知识体系结构框架
03考试大纲
CISP考试大纲从我国国情出发,结合我国网络基础设施和重要信息系统安全保障的实际需求,以知识体系的全面性和实用性为原则,明确规定了注册信息安全专业人员应当掌握的知识要点,是 CISP 教材编制、讲师授课、学员学习以及考试命题的重要依据。
成绩
01成绩查询时间
CISP成绩考后两个月左右可查,在中国测评中心网站可以查到考生是否通过考试,考生根据提示,登录个人信息即可查询。因测评中心内部业务流程,大约成绩公布2个月左右后能取得CISP证书。注册申请是不需要培训机构代办,中国信息安全测评中心网站直接出证,由培训机构邮寄。
02合格标准
CISP 考试题型均为单项选择题,共100题,每题1分,得到70分以上(含70 分)为通过。
证书
01领取时间
CISP证书的注册申请是不需要培训机构代办,是中国信息安全测评中心网站直接出证,由培训机构邮寄。因测评中心内部业务流程,约2个月左右能取得证书。
02领取流程
由培训机构邮寄。CISP考试结束后两个月左右时间可公布是否通过,因测评中心内部业务流程,2个月左右能取得证书。CISP证书的注册申请是不需要培训机构代办,中国信息安全测评中心网站直接出证。
CISP证书的注册申请是不需要培训机构代办,中国信息安全测评中心网站直接出证,由培训机构邮寄。CISP证书有效期只有3年,3年到期后应该在到期前一个月通过“证书维持注册机构”进行申请更换新的认证,和缴纳证书维持费500元/年。
05证书维持办法
每位注册CISP需通过持续的信息安全专业发展来保持其能力和素质。
中国信息安全测评中心将通过评价申请表中的信息、专业发展记录来验证每一位CISP的工作能力,同时还通过现场见证、从聘用机构调阅档案以及向受CISP服务方调查等方式来复查CISP的工作和素质。
CISP注册证书在三年有效期内实行年度维持制度,第3年进行复查换证。
维持换证要求
1.在证书有效期届满前60天内,须提出维持换证申请。
2.完成至少3次完整的信息安全服务,信息安全服务是指信息安全工程的设计、实施、测试、运行和维护,以及相关的咨询和培训活动。具体形式包括:
安全工程:为信息系统进行安全方案设计、施工、验证、运行和维护;
安全测试和监控:对已有信息安全系统进行安全性测试或对信息安全系统(包括硬件、软件、固件和负责执行安全策略的组合体等)进行调整、增补与删除;对信息系统进行安全监控和提出安全承诺;
安全相关施工:对信息安全系统外部设施(包括通信线路、链路、信道/隐蔽信道、保护建筑和标记等)进行信息安全调整、增补与删除;
安全咨询和教育:从事信息系统安全咨询、培训、宣传的业务,包括书面提出并制订信息系统安全方案或安全管理与操作规定的服务、在公开场合或媒体宣讲传播安全知识的活动;信息系统安全专家活动和政策制订工作;从事信息系统安全教育工作;
方案试验:在现有信息安全系统中测试、试验某种安全产品、安全方案(如算法)的有偿或无偿活动;
其它服务:其它可能影响信息系统安全性能的服务或技术活动。
3. 遵守注册信息安全专业人员行为准则。
申请材料
1. 注册信息安全专业人员(CISP)注册维持申请表(原件加盖现工作单位公章及个人手写签名);
2. 提交CISP证书原件;若证书遗失,需要提供证书复印件、户籍证明以及现工作单位证明;
3. 提交在有效期内的身份证正反面复印件以及近期两寸白底彩色照片2张;
4. 交纳维持换证申请费用。
维持费用:
CISP证书维持费500元/年×3年=1500元。CISM证书维持费200元/年*3年=600元由授权人员注册维持机构统一收取、开据发票。
超期维持
1.证书超期6个月以上10个月内(含)递交申请材料者,除交纳正常维持年金外,还应补交一年维持年金。证书超期即将届满1年,须提前60天交齐维持申请材料。
2.证书超期1年以后再递交申请材料者,均需要重新参加考试,考试通过后颁发新证书,并沿用原始CISP证书编号。
3.证书过期重考流程:
重考人员与初考报名的授权培训机构联系,申请报名重考,并根据情况,选择培训重考或者直接重考。
重考人员递交的材料与首次注册递交的材料相同,报考类型选择“重考”,材料由授权培训机构统一交送CISP运营中心。
重考申请过程遇到的相关问题,可与CISP运营中心联系解决。
