“注册信息安全专业人员(CISP)”资质评估认证简介

“注册信息安全专业人员”资质评估认证简介中国信息安全产品测评认证中心（CNITSEC）于2002年正式向社会推出“注册信息安全专业人员”资质认证项目。一、什么是“注册信息安全专业人员”“注册信息安全专业人员”，英文为CertifiedInformationSecurityProfessional，简称CISP，是指有关信息安全企业、信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员。CISP资质认证是中国信息安全产品测评认证中心根据国家相关授权对外开展的信息安全测评认证服务项目之一。根据实际工作岗位的需要，CISP分为以下三类：1.CISE，“注册信息安全工程师”，英文为CertifiedInformationSecurityEngineer，主要从事信息安全技术开发服务工程建设等工作；2.CISO，“注册信息安全管理人员”，英文为CertifiedInformationSecurityOfficer，主要从事信息安全管理等相关工作；3.CISA，“注册信息安全审核人员”，英文为CertifiedInformationSecurityAuditor，主要从事信息系统的安全测试、审核和评估等工作。二、CISP的基本职能、能力要求与道德标准1.CISP的基本职能为信息系统的安全提供技术保障。2.CISP的基本能力要求∙    具备一定的教育水准和相关工作经历∙    通过规定的培训，具备较为系统的信息安全知识∙    通过CISP资质认证考试，具备进行信息安全服务的能力∙    获得管理部门颁发的认证证书3.CISP的道德准则所有CISP都必须付出努力才能获得和维持该项认证。为贯彻这条原则，所有的CISP都必须承诺完全遵守道德准则：∙    必须诚实、公正、负责、守法；∙    必须勤奋和胜任工作，不断提高自身专业能力和水平；∙    必须保护信息系统、应用程序和系统的价值；∙    必须接受CNITSEC的监督，在任何情况下，不损坏CNITSEC或认证过程的声誉，对CNITSEC针对CISP进行的调查应给予充分的合作；∙    必须按规定向CNITSEC交纳费用。三、CISP资质认证的特点1.国家认证CNITSEC依据国家授权对外开展信息安全产品、信息系统安全、信息安全服务资质和信息安全人员资质认证业务，并向通过认证者颁发相应证书。“中华人民共和国国家信息安全认证”是国家对信息安全产品质量的最高认可。2.知识体系CISP的知识体系架构中列出了与信息安全保障相关的知识领域，分为信息安全体系及模型、安全技术、安全管理及工程过程四个知识域（见图1），从而避免了以往信息安全培训中仅仅偏重技术、忽视实践等狭隘认识及片面教学。3.课程设计根据CISP知识体系架构设计的培训课程涵盖了信息安全理论、信息安全技术、信息安全工程与管理以及信息安全标准及法律法规四个模块，使参加培训的学员得到全面、系统的学习。此外，课程还根据岗位和职业的要求突出了不同岗位人员的学习侧重，以及不同岗位需要学习的专门课程。4.资质认证分类根据工作岗位及职能的不同以及这些岗位的能力需求，对信息安全从业人员的资质进行分类认证，其中包括注册信息安全工程师（CISE）、注册信息安全管理人员（CISO）、注册信息安全审核员（CISA）。5.持续性学习通过对CISP资质认证的维持，鼓励获证人员积极参与、从事与信息安全相关的专业活动，保持持续性学习状态，以便将认证与其自身的职业发展紧密地结合起来。通过知识体系架构、培训课程设计和资质认证三部分的有机结合，CISP资质认证已经形成一套以知识体系架构为纲、模块化课程设计为基础，以信息安全保障培训教育为最终目标的信息安全专业人员认证体系。通过对人员职业资质的评估与认证，为信息安全相关从业人员的能力做出权威性的认可与保证，同时，有效的监督与鼓励机制，将最大程度地确保认证质量，并促进获证人员自身的职业发展。图1：CISP知识体系四、CISP的资质评估1.CISP资质评估CISP资质评估是评估机构（实验室）对信息安全从业人员的专业资质及相关能力作出独立而客观的评价，其目的是为CISP认证提供证据，同时，参加评估还可以使者对自身的知识掌握有一个较为清晰的了解。2.CISP资质评估机构CISP资质的评估机构为中国信息安全产品测评认证中心系统工程实验室。于1999年建立的系统工程实验室是CNITSEC直属的、经中国实验室国家认可委员会认可的第三方信息安全测评机构。该实验室主要面向社会开展信息安全领域的产品、信息系统（网络）、信息安全服务资质、信息安全专业人员测评业务。目前，系统工程实验室已拥有较强的信息安全测评技术水平，建立了一整套科学的信息安全测评，积累了丰富的信息安全测评经验，并具备一定的信息安全标准开发能力。实验室一贯坚持“质量第一”的方针，以“科学的方法、先进的技术、公正的态度、优质的服务”为宗旨，为社会提供高水平、高质量的信息安全测评服务。3.CISP资质评估依据系统工程实验室依据实验室自身开发并经信息安全测评认证管理委员会确认和CNITSEC注册的《注册信息安全专业人员资质评估准则》，开展对信息安全专业人员的测评活动。五、CISP资质认证流程CISP资质认证可以划分为四个阶段，即，申请阶段、评估阶段、认证阶段和监督阶段。其中：申请阶段——申请者应了解认证流程及相关手续，确定认证目标，参加并完成CISP资质认证培训。将申请所需的各类资料准备齐全，并向实验室提起申请。评估阶段——系统工程实验室将依据注册信息安全专业人员资质评估准则，采用相应评估方法，通过一定的评估程序，对申请评估的人员进行测试与评估，并依据测评过程中取得的和结果数据，生成该人员的测评结论。该结论将作为认证证据递交CNITSEC，供人员认证时使用，同时，结论也会通知申请者本人知晓。认证阶段——CNITSEC依据信息安全专业人员资质的相关评估标准，按照规定的程序对信息安全从业人员的专业资质及能力进行认证，以确定其所能达到的能力水平。维持阶段——CNITSEC为了保证通过认证的人员在认证证书有效期内，持续保持其资质与能力水平，对所有获证人员进行认证维持监督。CISP资质认证的流程如下图所示：图2：CISP资质认证流程1.申请阶段(1)相关信息的咨询CISP申请者应先了解有关资质的各种相关前提条件和知识体系框架，根据自己岗位和职业发展需求选择相应资质认证目标。图3：CISP培训与资质认证(2)参加知识培训为了具备CISP的基本知识水平，申请者应在申请认证前的一年内，参加并完成由CNITSEC或有其授权的培训机构组织的信息安全专业人员培训的全部课程，并取得培训合格（结业）证书。培训对象——CISP资质认证培训的主要对象是具有一定相关工作经验的技术、管理及审核人员。培训教材——CISP培训所用教材由CNITSEC组织编写，其内容紧密结合“注册信息安全专业人员”培训、考试及认证的相关知识要求。培训机构——提供CISP资质认证培训服务的机构必须得到CNITSEC的授权，其培训服务行为将受CNITSEC的严格监督。CISP资质认证授权培训机构名录：授权证书编号授权培训机构名称CNITSEC-ATA-001北京天融信网络安全技术有限公司CNITSEC-ATA-002联想计算机系统技术服务有限公司CNITSEC-ATA-003北京冠群金辰软件有限公司CNITSEC-ATA-004北京清华万博网络技术股份有限公司CNITSEC-ATA-005广东省颐东通讯公司CNITSEC-ATA-006北京江南科友科技有限公司CNITSEC-ATA-007深圳市安络科技有限公司CNITSEC-ATA-008上海金诺网络安全技术发展股份有限公司CNITSEC-ATA-009吉首大学张家界学院CNITSEC-ATA-010北京世纪互联信息系统有限公司CNITSEC-ATA-011北京启明星辰信息技术有限公司CNITSEC-ATA-012北京银长城信息技术有限公司CNITSEC-ATA-013北京中贸技术培训中心有限公司 CNITSEC-ATA-016中国信息安全产品测评认证中心云南测评中心授课讲师培训讲师资格须经CNITSEC认定，其授课资质由CNITSEC统一审核，并予以公示。培训课程CISE和CISO的培训课程见下表：CISE课程内容建议授课时间信息安全理论信息安全保障体系、信息安全模型、信息安全测评认证1.5天信息安全技术密码技术、网络与通信安全、防火墙、入侵检测技术、VPN、PKI/CA、Unix安全管理、Windows安全管理、数据库安全管理、恶意代码、安全编程6天安全工程及管理信息安全管理体系、风险评估、安全工程、应急响应、灾难备份与恢复、安全攻防、物理安全4.5天安全标准和法律法规信息安全标准、信息安全法律法规1.5天CISO课程内容建议授课时间信息安全理论信息安全概况、信息安全保障体系、信息安全模型、信息安全测评认证2天信息安全技术密码技术、网络与通信安全、防火墙、入侵检测技术、PKI/CA、VPN、系统安全管理、恶意代码4天安全工程及管理信息安全管理体系、风险评估、安全工程、应急响应、灾难备份与恢复、安全攻防、物理安全6天安全标准和法律法规信息安全标准、信息安全法律法规1.5天CISA在CISE或CISO基础上附加以下课程：CISA课程内容建议授课时间信息安全产品测评信息安全产品测评标准、信息安全产品测评方法、防火墙测试、IDS测试、IC卡测试3天信息系统安全测评信息系统安全测评标准、信息安全管理审核、信息系统安全测试2天(3)提出考试申请申请者须书面填写《注册信息安全专业人员资质认证考试申请表》，并按照申请表要求提交有关的证明资料及培训合格（结业）证书复印件。2.评估阶段申请者根据CNITSEC的相关考试安排，参加由CNITSEC组织的相应专业资质考试。CISP资质认证考试试卷由CNITSEC系统工程实验室依据相关评估准则及CISP知识体系大纲要求编拟。在考试结束后，实验室将安排组织相关人员于考试后1个月内在集中封闭、不受干扰的场所完成阅卷工作。阅卷工作结束后，考试结果经实验室审定后，将提交考生本人及CNITSEC。3.认证阶段(1)申请认证认证类别认证内容注册信息安全专业人员认证要求与申请材料●认证要求1.教育与工作经历• 硕士研究生以上，具有1年工作经历；或• 本科毕业，具有2年工作经历；或• 大专毕业，具有4年工作经历。2.专业工作经历至少具备1年从事信息安全有关的工作经历。3.培训资格在申请认证前一年内，成功地完成了CNITSEC或其授权培训机构组织的信息安全专业人员培训课程的全部课程，并取得培训合格证书。4.通过由CNITSEC举行的注册信息安全专业人员考试；●认证申请材料1.认证申请表；2.学历证书（原件或复印件）；3.信息安全专业人员培训合格证书；4.CNITSEC举行注册信息安全专业人员的考试成绩单；5.交纳规定的认证申请费用；6．近期二寸照片两张。CNITSEC将根据申请者提供的相关证明材料对申请人员进行专业经历的审核。(3)CISP认证与公布每份申请到达CNITSEC后，初审人员将首先对申请材料的完整性进行初审，如果材料不完整，CNITSEC将通知申请人补充材料或退回。当确认申请材料完整后，将由2名与申请方无利益关系的技术评价人员审查申请材料中各项内容是否符合相应的要求，并以抽样方式对其提供的材料进行验证。如果CNITSEC认证决定委员会根据申请人提供的信息不能作出是否准予认证的决定，则要求申请人澄清或增加信息。必要时安排面谈。对准予认证的申请人，CNITSEC将公布注册人员名录并向申请人发放认证证书。4.认证维持阶段每位注册的CISP都需要通过持续的信息安全专业发展来保持其能力和素质。CNITSEC将通过评价申请表中的信息、专业发展记录来验证每一位CISP的工作能力，同时还将采用申诉系统、现场见证、从聘用机构调阅档案以及向受CISP服务方调查等方式来验证CISP的专业工作和素质。CISP认证证书在三年有效期内实行确认，第3年进行复查换证。保持认证要求认证级别保持认证要求,复查换证与申请材料信息安全专业人员●  复查换证要求认证资格每三年进行一次复查换证。在证书有效期届满前60天内，须提出复查换证申请。年度确认在证书有效期内，完成规定的年度确认，并且合格。专业经历完成至少6次完整的信息安全服务经历。专业发展三年内应至少完成60分以上的专业发展活动。遵守信息安全专业人员行为准则。●    申请材料1.   CNITSEC信息安全专业人员复查换证申请表（原件）；2．提交的专业经历记录包括：信息安全专业人员专业经历记录或相应的服务咨询（原件或复印件）。3．本文第11条规定的信息安全专业人员专业发展证实材料（即3年专业发展记录）；4． 交纳复查换证申请费用；5.近期两寸照片两张。六、CISP认证服务开展情况的简要介绍CISP资质认证从2002年推出至2003年12月，共有253人通过该项认证，其中通过CISE认证的人数为148人，获得CISO认证的人数为97人，获得CISA认证的人数为8人。图4：CISP的获证情况（一）图5：CISP的获证情况（二）通过对现有CISP获证人员的资料统计可以看出以下几个特点：1.获证人员的行业性特点较为明显获证人员大部分是来自国内各信息安全公司的相关从业人员，其所从事的工作主要是信息安全工程的设计、实施、测试、运行和维护，以及相关的咨询和培训活动；其次，对信息安全要求较高的银行等金融机构的相关岗位人员在获证人员中所占比例也较高，这些人员主要是安全技术类人员和安全管理类人员。2.获证人员的学历水平较高在所有获证人员中，拥有大专学历的占总人数的11%，拥有本科学历的占69%，硕士学位的占18%，拥有博士学位的占2%。图6：CISP获证人员的学历构成3、获证人员的地域分布不均CISP的获证人员多集中于北京、上海、广州、深圳等信息安全产业发展较快的城市，仅在这四个城市，通过CISP认证的人数就占了总人数近40%。而与此相比，东北地区及广大西部地区在信息安全专业人才储备方面就略显不足，当然，这也是由于我国信息化及信息安全产业东、西部发展不均衡所导致的。图7：CISP获证人员地区分布情况作为企业信息安全服务资质认证的审核条件之一，CISP认证在衡量企业安全服务水平，提高企业服务能力，推动企业自身发展等方面都发挥了积极的作用。经过近两年的运作及完善，2003年末，CNITSEC与国内多家信息安全公司合作，以授权培训的形式全面推广CISP资质认证的培训工作。随着CISP认证概念的推广，CISP获证人数的增加，以及市场对CISP认证的了解及认可程度的增加，CISP资质认证必将进入一个崭新的发展阶段。围绕CISP资质认证，CNITSEC在完善信息安全培训标准的制定，加强信息安全专业人才间的交流，提高信息安全从业人员素质等领域不断努力，为国家信息安全专业人才教育培训体系的建设提供有力支持。