注冊信息安全專業人員,英文名稱 Certified Information Security Professional,簡稱 CISP,是面向信息安全企業、信息安全咨詢服務機構、信息安全測評機構、政府機構、社會各組織、團體、大專院校以及企事業單位中負責信息系統建設、運行維護和管理工作的信息安全專業人員所頒發的專業資質證書。
是中國信息安全測評中心為滿足社會各界對于專業安全人員的迫切需求,建立和發展的一套信息安全保障人才體系戰略,從 2002 年開始啟動了CISP資質。
CISP根據工作領域和實際崗位需要,分為十五類證書:
“注冊信息安全工程師”,英文為Certified Information Security Engineer,簡稱CISE。證書持有人員主要從事信息安全技術領域的工作,具有從事信息系統安全集成、安全技術測試、安全加固和安全運維的基本知識和能力。
“注冊信息安全管理員”,英文為Certified Information Security Officer,簡稱CISO。證書持有人員主要從事信息安全管理領域的工作,具有組織信息安全風險評估、信息安全總體規劃編制、信息安全策略制度制定和監督落實的基本知識和能力。
“注冊信息系統審計師”,英文為Certified Information System Auditor,簡稱CISP-A。證書持有人主要從事信息系統審計工作,在全面掌握信息安全基本知識技能的基礎上,具有較強的信息安全風險評估、安全檢查實踐能力。
“注冊信息安全開發人員”,英文為Certified Information Security Deveoper,簡稱CISD。證書持有人主要從事軟件開發相關工作,在全面掌握信息安全基本知識技能的基礎上,具有較強的信息系統安全開發能力、熟練掌握應用安全。
“注冊滲透測試工程師”,英文為Certified Information Security Professiona - Penetration Testing Engineer,簡稱CISP-PTE。證書持有人主要從事信息安全技術領域滲透測試工作,具有漏洞驗證、制定滲透測試方案與測試計劃、編寫測試用例、實施測試、輸出測試報告的基本知識和能力。
“注冊滲透測試專家”,英文為Certified Information Security Professiona - Penetration Testing Speciaist,簡稱CISP-PTS。證書持有人主要從事信息安全技術領域高級滲透測試工作,具有較強的漏洞研究、代碼分析、進行最新網絡安全動態跟蹤研究以及策劃解決方案等方面的知識和能力。
“注冊應急響應工程師”,英文為Certified Information Security Professiona - Incident Response Engineer,簡稱CISP-IRE。證書持有人主要從事信息安全技術領域應急響應工作,具有實施應急響應事件監測、應急響應事件分析和處置的基本知識和能力。
“注冊應急響應專家”,英文為Certified Information Security Professiona - Incident Response Speciaist,簡稱CISP-IRS。證書持有人主要從事信息安全技術領域應急響應高級分析及規劃管理工作,具有網絡安全事件溯源分析、規劃和制定重大網絡安全事件應急處理方案,以及應急實施與處置過程協調管理等方面的知識和能力。
“注冊工業控制系統安全工程師”,英文為Certified Information Security Professiona–Industria Contro System Security Engineer,簡稱CISP-ICSSE。持證人員主要從事信息安全技術領域工業控制系統安全方向的工作,具備制定工控安全威脅應對方案、開展工控系統安全防護設計、建立工控安全應急處置體系、實施安全管理等工作的基本知識和能力。
“注冊云安全工程師”,英文名Certified Information Security Professiona–Coud Security Engineer,簡稱CISP-CSE。持證人員掌握云計算體系架構及關鍵技術、云計算安全威脅與需求分析、云計算安全技術、云計算安全防護應用、云計算安全管理、云安全政策法規與標準規范等知識內容,具備從事云計算安全規劃和系統運維等安全工作的能力,可從事云計算安全設計、安全運維、安全管理等工作。。
“注冊大數據安全分析師”,英文為Certified Information Security Professiona–Big Data Security Anayst,簡稱CISP-BDSA。持證人員掌握大數據分析過程、數據分析算法原理、大數據系統工程實現、大數據安全分析常見案例、大數據系統安全法律法規等知識內容,具備大數據安全分析理論基礎和實踐能力,可從事大數據安全分析、安全管理等工作。
“注冊電子數據取證專業人員”,英文為Certified Information Security Professiona – Forensics,簡稱CISP-F。證書持有人掌握電子取證法律、法規、標準規范,以及電子數據取證的流程和主要技術,在國家政府機構、事業單位或企業從事網絡安全事件、案件的取證、分析等工作。
“注冊信息安全專業人員-密碼技術專家”,英文為Certified Information Security Professiona -Cryptography Technoogy Expert,簡稱CISP-CTE。證書持有人掌握密碼學基礎理論、密碼法律法規、密碼應用和密碼工程實現等方面知識,為黨政機關、關鍵信息基礎設施和互聯網等領域的密碼實施應用提供服務。
“注冊個人信息保護專業人員”,英文為Certified Information Security Professiona - Persona Information Protection,簡稱CISP-PIP。證書主要面向我國數據保護、信息審計、組織合規與風險管理等領域的信息安全專業人員,以加強用戶個人信息保護為目標,同時兼顧國家重要數據保護需求以及醫療健康、金融等領域的行業監管要求,旨在為我國數據安全保護工作培養一支強有力的專業人才隊伍。
“注冊數據安全治理專業人員”,英文為Certified Information Security Professiona - Data Security Governance,簡稱CISP-DSG。證書持有人具備數據安全治理過程能力,能幫助各類組織機構解決數據安全頂層設計及管理體系建設的問題,提升國家企事業單位信息安全管理能力。
包括在國家信息安全測評機構、信息安全咨詢服務機構、社會各組織、團體、企事業單位從事信息安全服務或高級安全管理工作的人員、企業信息安全主管、信息安全服務提供商、IT或安全顧問人員、IT審計人員 、信息安全類講師或培訓人員、信息安全事件調查人員 、其他從事與信息安全相關工作的人員(如系統管理員、程序員等)
CISP是當下信息安全領域專業的從業資格認證,經由中國信息安全測評中心實施國家認證,是國家對信息安全人員資質的最高認可。
關于CISP的難度官方沒有解釋,從近幾年參加CISP考試的考生感受,可以看到CISP的考試難度因人而異,對于從事安全行業多年的人士,特別是本人還擁有一定的學歷,CISP難度于此類人群而言,難度處于簡單。而對于基礎不是很好的考生而言,工作經驗不是很足,是否能過CISP除了取決于考生個人學習能力之外,一個好的培訓機構也能讓考生備考之路更為順暢。
當然最重要的就是考生的主動學習性,是否選擇培訓機構,因考慮自身經濟和自我知識儲備各方面。
CISP沒有具體的報名時間,一般來說有考試就可以報名(理論上來說每個月都有考試,也就是說每個月都可以進行報名),報名時間具體咨詢CISP授權培訓機構。
成為CISP,必須滿足以下基本要求:
申請CISE、CISO注冊資質,需滿足以下教育和工作經驗要求:
教育和工作經歷要求:
碩士及碩士以上學歷,具備1年以上工作經歷;或
大學本科學歷,具備2年以上工作經歷;或
大學??茖W歷,具備4年以上工作經歷;
信息安全專業工作經歷要求:
具備1年以上從事信息安全領域工作經歷。
申請CISP其他專業方向注冊資質,需滿足各專業方向注冊資質的教育和工作經驗要求;
通過中國信息安全測評中心組織的CISP考試;
同意并遵守CISP職業準則;
滿足CISP注冊要求并成功通過CISP注冊審核;
獲得CISP資質證書后,遵守和滿足CISP注冊維持要求,并繳付年費;
CISP的注冊流程如圖2所示,首先CISP申請者可以通過電話、郵件或微信公眾號等途徑咨詢CISP相關申請事宜。然后需報名申請參加CISP考試。如果考試未通過可以申請補考,直至考試通過后申請者需提交CISP注冊申請。如果未達到注冊所必須的基本要求,則需要補充材料或等待滿足條件后再次申請。如果滿足注冊要求,測評中心將向申請者頒發CISP證書。發證后,CISP持證人員需持續進行相關學習,三年后需提前申請證書維持。對于不滿足維持條件的持證人員將需要重新申請考試,考試通過后可繼續維持CISP資質。
圖2 CISP注冊流程
CISP報考材料:(提交報名老師)
1.學員需要填寫如下申請資料:
《注冊信息安全專業人員(CISP)考試及注冊申請表》
填寫申請表格時應注意:申請表格可采用電子模版錄入填寫,也可手寫,填寫過程中應確保內容的真實準確,手寫申請表格應用正楷字體,字跡要求清晰可辨。
注:填寫注冊申請表第二部分時,需要由申請人所在單位(部門)領導簽字并加蓋本單位公章。
2.其他資料
申請(CISP)注冊資質除了填寫申請書外,還需要準備以下資料:
個人近期免冠2寸彩色白底證件照片2張
身份證復印件1份
學位、學歷證明復印件1份
3.關于材料的提交時間
學員應在報名同時將所有資料全部提交。
事實上關于CISP考試費用分為兩個部分,一是通過CISP考試的費用,即報考費用和培訓費用;另一部分就是CISP考試證書維持費用,是證書獲得3年之后需要繳納的費用。
CISP專業培訓是由中國信息安全測評中心統一管理和規范并授權培訓機構組織實施的信息安全專業培訓。
該培訓將從信息安全保障、網絡安全監管、信息安全技術、信息安全管理和信息安全工程等方面學員提供全面、系統、專業的信息安全知識和技能學習。
CISP知識體系大綱明確了CISP考試范圍。在整個CISP的知識體系結構中,根據實際工作,將信息安全從業人員所需掌握的知識構建成若干知識域,每個知識域包含多個知識子域,每個知識子域中包含需要掌握的知識點。
目前使用的CISE、CISO V 4.2版的知識體系結構包括信息安全保障、網絡安全監管、信息安全管理、業務連續性、安全工程與運營、安全評估、信息安全支撐技術、、物理與網絡通信安全、計算環境安全、軟件安全開發共十個知識域,如圖1所示:
CISP是沒有固定的報考時間,CISP考試報名事項均由培訓機構決定,一般來說有培訓計劃就能報名,培訓時間一般是5天(不同機構稍有不同),培訓完后即可參加CISP考試。以下是2022年全國CISP考試時間安排(1月-6月),考生可查看報考地區的2022年1月至6月月CISP考試安排。
2022年各地區CISP考試安排(1-6月)
CISP知識體系規范了CISP考試范圍。在整個CISP的知識體系結構中,共包括信息安全保障、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規這五個知識類,每個知識類根據其邏輯劃分為多個知識體,每個知識體包含多個知識域,每個知識域由一個或多個知識子域組成。
CISP知識體系結構共包含五個知識類,分別為:
信息安全保障:介紹了信息安全保障的框架、基本原理和實踐,它是注冊信息安全專業人員首先需要掌握的基礎知識。
信息安全技術:主要包括密碼技術、訪問控制、審計監控等安全技術機制,網絡、系統軟件和應用等層次的基本安全原理和實踐,以及信息安全攻防和軟件安全開發相關的技術知識和實踐。
信息安全管理:主要包括信息安全管理體系建設、信息安全風險管理、具體信息安全管理措施等同信息安全相關的管理知識和實踐。
信息安全工程:主要包括同信息安全相關的工程知識和實踐。
信息安全標準法規:主要包括信息安全相關的標準、法律法規和道德規范,是注冊信息安全專業人員需要掌握的通用基礎知識。
圖1-2描述了CISP知識體系結構
圖1-2:CISP知識體系結構框架
CISP考試大綱從我國國情出發,結合我國網絡基礎設施和重要信息系統安全保障的實際需求,以知識體系的全面性和實用性為原則,明確規定了注冊信息安全專業人員應當掌握的知識要點,是 CISP 教材編制、講師授課、學員學習以及考試命題的重要依據。預計2022年CISP考試大綱仍然沿用以前公布的版本,請考生知悉!
CISP成績考后兩個月左右可查,在中國測評中心網站可以查到考生是否通過考試,考生根據提示,登錄個人信息即可查詢。因測評中心內部業務流程,大約成績公布2個月左右后能取得CISP證書。注冊申請是不需要培訓機構代辦,中國信息安全測評中心網站直接出證,由培訓機構郵寄。
CISP 考試題型均為單項選擇題,共100題,每題1分,得到70分以上(含70 分)為通過。
注:考試如未通過,可由我司提供2次免費補考機會。
CISP證書的注冊申請是不需要培訓機構代辦,是中國信息安全測評中心網站直接出證,由培訓機構郵寄。因測評中心內部業務流程,約2個月左右能取得證書。
由培訓機構郵寄。CISP考試結束后兩個月左右時間可公布是否通過,因測評中心內部業務流程,2個月左右能取得證書。CISP證書的注冊申請是不需要培訓機構代辦,中國信息安全測評中心網站直接出證。
CISP證書的注冊申請是不需要培訓機構代辦,中國信息安全測評中心網站直接出證,由培訓機構郵寄。CISP證書有效期只有3年,3年到期后應該在到期前一個月通過“官方證書維持注冊機構”進行申請更換新的認證,和繳納證書維持費500元/年。
每位注冊CISP需通過持續的信息安全專業發展來保持其能力和素質。
中國信息安全測評中心將通過評價申請表中的信息、專業發展記錄來驗證每一位CISP的工作能力,同時還通過現場見證、從聘用機構調閱檔案以及向受CISP服務方調查等方式來復查CISP的工作和素質。
CISP注冊證書在三年有效期內實行年度維持制度,第3年進行復查換證。
維持換證要求
1.在證書有效期屆滿前60天內,須提出維持換證申請。
2.完成至少3次完整的信息安全服務,信息安全服務是指信息安全工程的設計、實施、測試、運行和維護,以及相關的咨詢和培訓活動。具體形式包括:
安全工程:為信息系統進行安全方案設計、施工、驗證、運行和維護;
安全測試和監控:對已有信息安全系統進行安全性測試或對信息安全系統(包括硬件、軟件、固件和負責執行安全策略的組合體等)進行調整、增補與刪除;對信息系統進行安全監控和提出安全承諾;
安全相關施工:對信息安全系統外部設施(包括通信線路、鏈路、信道/隱蔽信道、保護建筑和標記等)進行信息安全調整、增補與刪除;
安全咨詢和教育:從事信息系統安全咨詢、培訓、宣傳的業務,包括書面提出并制訂信息系統安全方案或安全管理與操作規定的服務、在公開場合或媒體宣講傳播安全知識的活動;信息系統安全專家活動和政策制訂工作;從事信息系統安全教育工作;
方案試驗:在現有信息安全系統中測試、試驗某種安全產品、安全方案(如算法)的有償或無償活動;
其它服務:其它可能影響信息系統安全性能的服務或技術活動。
3. 遵守注冊信息安全專業人員行為準則。
申請材料
1. 注冊信息安全專業人員(CISP)注冊維持申請表(原件加蓋現工作單位公章及個人手寫簽名);
2. 提交CISP證書原件;若證書遺失,需要提供證書復印件、戶籍證明以及現工作單位證明;
3. 提交在有效期內的身份證正反面復印件以及近期兩寸白底彩色照片2張;
4. 交納維持換證申請費用。
維持費用:
CISP證書維持費500元/年×3年=1500元。CISM證書維持費200元/年*3年=600元由授權人員注冊維持機構統一收取、開據發票。
超期維持
1.證書超期6個月以上10個月內(含)遞交申請材料者,除交納正常維持年金外,還應補交一年維持年金。證書超期即將屆滿1年,須提前60天交齊維持申請材料。
2.證書超期1年以后再遞交申請材料者,均需要重新參加考試,考試通過后頒發新證書,并沿用原始CISP證書編號。
3.證書過期重考流程:
重考人員與初考報名的授權培訓機構聯系,申請報名重考,并根據情況,選擇培訓重考或者直接重考。
重考人員遞交的材料與首次注冊遞交的材料相同,報考類型選擇“重考”,材料由授權培訓機構統一交送CISP運營中心。
重考申請過程遇到的相關問題,可與CISP運營中心聯系解決。