中國信息安全產品測評認證中心從2002年啟動了“註冊信息安全專業人員”(CISP)資質註冊。截至目前,已為國家培養了壹支近千人的信息安全專業人才隊伍,對提高信息安全專業人員的職業道德和技術水平、提升信息安全產業的競爭能力和強化國家信息安全管理發揮了重要作用。中國信息安全產品測評認證中心現推出“註冊信息安全員”(Certified Information Security Member,CISM)註冊資質,旨在適應我國信息化迅速發展對不同層次、不同水平和不同崗位的信息安全人才的廣泛需求,加大對信息安全人才的培養範圍和信息安全知識的普及教育力度。
壹、什麽是“註冊信息安全員”資質
“註冊信息安全員”(英文為Certified Information Security Member,簡稱CISM)資質是針對在信息安全企業、信息安全咨詢服務機構、信息安全測評認證機構(包含授權測評機構)、社會各組織、團體、大專院校、企事業單位有關信息系統(網絡)建設、運行和應用管理的技術部門(含標準化部門)中從事信息安全工作的人員,獲得此註冊資質,表明具備信息安全員的資質和能力,系經中國信息安全產品測評認證中心實施的國家認證。
二、CISM資質註冊範圍
CISM資質註冊適用以下人員:l 網絡安全技術人員
l IT或安全顧問人員
l IT或安全管理人員
l IT審計人員
l 大專院校學生
l 對信息安全技術有學習和研究從業的人員
l 機關、企事業單位信息化工作人員
三、CISM知識體系
“註冊信息安全員”知識體系覆蓋信息安全保障基礎、信息安全技術、信息安全管理、信息安全工程以及信息安全標準法規等領域。“註冊信息安全員”的培訓將為學員提供全面、系統、專業的基礎知識和技能學習;在技術領域,學員將能了解掌握和提高操作系統安全、防火墻、防病毒、入侵檢測、密碼技術和應用等安全技術知識和能力;在管理領域,學員將能了解信息安全管理和治理的基礎知識,學習和建立在開展風險評估、災難恢復、應急響應工作中所需的國家政策要求、相關知識和實踐能力;在工程領域,學員將能學習和了解開展信息安全工程管理、咨詢和監理的實踐及經驗;在標準和法律法規領域,學員將能全面了解國家信息安全相關的法律法規以及國內外信息安全相關的標準和實踐經驗。
四、課程設計
根據CISM知識體系架構設計的培訓課程涵蓋了信息安全保障基礎、信息安全技術、信息安全管理、信息安全工程以及信息安全標準法規五個模塊,使參加培訓的學員得到全面、系統的基礎知識和技能的學習。此外,課程還根據崗位和職業的要求突出了不同崗位人員的學習側重,以及不同崗位需要學習的專門課程。
課程編號 類別 課程 課程介紹 推薦時間
01安全保障基礎/信息系統安全保障框架 介紹信息安全保障框架的概念和內容 0.5天
02信息系統安全保障測評 介紹信息安全產品、系統、人員和服務測評的概念和內容
03標準法規/信息安全標準 介紹國際/國內信息安全管理、技術、工程等領域主要標準的關系和內容 0.5天
04信息安全法規 介紹信息安全相關的國內法律法規
05安全技術/密碼技術和應用 介紹密碼技術的基本知識,以及公鑰基礎設施(PKI)和數字簽名等的應用 0.5天
06常見網絡安全技術 介紹網絡安全基本概念,並包括對防火墻、入侵檢測、VPN等常見網絡安全技術 0.5天
07惡意代碼防護技術 介紹各種惡意代碼的基本概念和防護技術
08系統和常見應用安全 介紹Windows操作系統等主流操作系統,以及Web、郵件、DNS等常見應用安全 0.5天
09安全管理/信息安全管理基礎 介紹信息安全管理的基礎知識 0.5天
10信息安全管理技術 介紹風險管理、災難恢復管理的基礎知識和實踐考慮 0.5天
11安全工程/安全工程過程和實踐 介紹信息安全工程過程的基礎知識和實踐考慮 0.5天
12安全工程監理咨詢和實踐 介紹信息安全工程監理咨詢的基礎知識和實踐考慮
- 復習 復習迎考 答疑和復習,準備考試 0.5天
- 考試 考試 正式考試 0.5天
五、CISM資質註冊流程
CISM資質註冊分為四個階段,即,申請階段、評估階段、註冊階段和監督階段。其中:
申請階段——申請者應了解註冊流程及相關手續,確定註冊目標,參加並完成CISM授權培訓。將申請所需的各類資料準備齊全,並向中國信息安全產品測評認證中心提起申請。
評估階段——中國信息安全產品測評認證中心將依據信息安全員資質評估準則,采用相應評估方法,通過壹定的評估程序,對申請評估的人員進行測試與評估,並依據測評過程中取得的記錄和結果數據,生成該人員的測評結論。該結論將作為認證證據遞交中國信息安全產品測評認證中心,供人員註冊時使用,同時,結論也會通知申請者本人知曉。
註冊階段——中國信息安全產品測評認證中心依據信息安全員資質的相關評估標準,按照規定的程序對信息安全員的專業資質及能力進行認證,以確定其所能達到的能力水平。
維持階段——中國信息安全產品測評認證中心為了保證通過註冊的人員在認證證書有效期內,持續保持其資質與能力水平,對所有獲證人員進行認證維持監督