艾威培训CISP认证培训和CISM认证培训人员培训白皮书

　　第 1 章  服务/产品名称  信息安全人员培训与资质认定

　　1.1  服务/产品说明  信息安全人员测评与资质认定，包括注册信息安全专业人员（CISP）资质和注册信息安全员（CISM）的知识技能培训和执业资质认定，以及专项的信息安全意识和技能培训。

　　“注册信息安全专业人员”，英文为Certified Information Security Professional，简称CISP，是指有关信息安全企业、信息安全咨询服务机构、信息安全测评注册机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员。CISP资质注册是中国信息安全测评中心（CNITSEC）根据国家相关授权而对外开展的信息安全测评服务项目之一。根据实际工作岗位的需要，CISP主要分为三类，其中“注册信息安全工程师”（CISE），主要从事信息安全技术开发、服务、工程建设等工作；“注册信息安全管理人员”（CISO），主要从事信息安全管理等相关工作。

　　“注册信息安全审核人员”（CISA），主要从事信息系统的安全测试、审核和评估等工作。  “注册信息安全员资质”，英文为Certified Information Security Member，简称CISM。这类信息安全员资质注册是有关信息安全企业、信息安全咨询服务机构、信息安全测评认定机构（包含授权测评机构）、社会各组织、团体、大专院校、企事业单位有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）的信息安全员，具备信息安全员的资质和能力，经中国信息安全测评中心实施国家认定。

　　除CISP和CISM等信息安全执业资质认定外，中国信息安全测评中心还为国家重要信息系统的管理与维护机构，提供专项的信息安全意识和技能培训，以满足特定机构、特定信息系统对信息安全专业人才的特定需求。

　　1.2  服务/产品的目的

　　信息安全人员培训与资质认定的目的是构建全面的信息安全人才体系。

　　构建全面的信息安全人才体系是国家政策的要求，是组织机构信息安全保障建设自身的要求和组织机构人员自身职业发展的要求。

　　是国家政策的要求：  中办发[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》中提出了“加快信息安全人才培养，增强全民信息安全意识”的指导精神，重点强调了信息安全人才培养的重要性。

　　是组织机构信息安全保障建设自身的要求：

　　企事业单位、政府机构等组织机构在信息安全保障建设、信息化建设中，需要有一个完整层次化的信息安全人才队伍以保障其信息安全、保障其信息化建设，从而保障其业务和使命。

　　是组织机构人员自身职业发展的要求：

　　作为人员本身，在其工作和职业发展中，需要充实其信息安全保障相关的知识和经验，以更好地开展其工作并为自己的职业发展提供帮助。

　　1.3  服务流程/产品模块

　　1.3.1  CISP/CISM注册流程

　　1、申请者向中国信息安全测评中心或授权培训机构提出申请，并咨询相关事宜；

　　2、申请者参加由中国信息安全测评中心或授权培训机构组织的培训；

　　3、参加规定的培训课程后，由培训机构统一提交考试申请；

　　4、参加考试；

　　5、考试通过后，由培训机构统一提交注册申请；

　　6、通过注册后，取得资质证书；

　　7、参加中国信息安全测评中心组织的研讨会等活动，并定期提交从业资料，以维持资质证书。

　　CISP/CISM注册流程

　　1.3.2  CISP培训与资质认定

　　1.3.2.1  CISP知识体系

　　CISP知识体系结构

　　CISP的知识体系机构分为信息安全技术、信息安全管理、信息安全工程、 信息安全体系和模型以及信息安全标准和法律法规。  其中，信息安全技术包括：

　　访问控制系统；

　　密码技术及应用；

　　审计及监控；

　　应用安全；

　　系统安全；

　　电信和网络安全；

　　物理安全等。

　　信息安全管理包括：

　　信息安全管理概述；

　　组织保障和人员管理；

　　风险评估；

　　信息安全规划；

　　业务持续性和灾难恢复。