“注册信息安全专业人员(CISP)”资质评估认证简介

“注册信息安全专业人员”资质评估认证简介

中国信息安全产品测评认证中心（CNITSEC）于2002年正式向社会推出“注册信息安全专业人员”资质认证项目。

一、什么是“注册信息安全专业人员”

“注册信息安全专业人员”，英文为Certified Information Security Professional，简称CISP，是指有关信息安全企业、信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员。CISP资质认证是中国信息安全产品测评认证中心根据国家相关授权对外开展的信息安全测评认证服务项目之一。

根据实际工作岗位的需要，CISP分为以下三类：

1. CISE，“注册信息安全工程师”，英文为Certified Information Security Engineer，主要从事信息安全技术开发服务工程建设等工作；

2. CISO，“注册信息安全管理人员”，英文为Certified Information Security Officer，主要从事信息安全管理等相关工作；

3. CISA，“注册信息安全审核人员” ，英文为Certified Information Security Auditor，主要从事信息系统的安全测试、审核和评估等工作。

二、CISP的基本职能、能力要求与道德标准 1. CISP的基本职能

为信息系统的安全提供技术保障。 2. CISP的基本能力要求

? 具备一定的教育水准和相关工作经历

? 通过规定的培训，具备较为系统的信息安全知识 ? 通过CISP资质认证考试，具备进行信息安全服务的能力 ? 获得管理部门颁发的认证证书 3. CISP的道德准则

所有CISP都必须付出努力才能获得和维持该项认证。为贯彻这条原则，所有的CISP都必须承诺完全遵守道德准则：

? 必须诚实、公正、负责、守法；

? 必须勤奋和胜任工作，不断提高自身专业能力和水平； ? 必须保护信息系统、应用程序和系统的价值；

? 必须接受CNITSEC的监督，在任何情况下，不损坏CNITSEC或认证过程的声誉，对

CNITSEC针对CISP进行的调查应给予充分的合作； ? 必须按规定向CNITSEC交纳费用。 三、CISP资质认证的特点 1. 国家认证

CNITSEC依据国家授权对外开展信息安全产品、信息系统安全、信息安全服务资质和信息安全人员资质认证业务，并向通过认证者颁发相应证书。“中华人民共和国国家信息安全认证”是国家对信息安全产品质量的最高认可。

2. 知识体系

CISP的知识体系架构中列出了与信息安全保障相关的知识领域，分为信息安全体系及模型、安全技术、安全管理及工程过程四个知识域（见图1），从而避免了以往信息安全培训中仅仅偏重技术、忽视实践等狭隘认识及片面教学。

3. 课程设计

根据CISP知识体系架构设计的培训课程涵盖了信息安全理论、信息安全技术、信息安全工程与管理以及信息安全标准及法律法规四个模块，使参加培训的学员得到全面、系统的学习。此外，课程还根据岗位和职业的要求突出了不同岗位人员的学习侧重，以及不同岗位需要学习的专门课程。

4. 资质认证分类

根据工作岗位及职能的不同以及这些岗位的能力需求，对信息安全从业人员的资质进行分类认证，其中包括注册信息安全工程师（CISE）、注册信息安全管理人员（CISO） 、注册信息安全审核员（CISA）。

5. 持续性学习

通过对CISP资质认证的维持，鼓励获证人员积极参与、从事与信息安全相关的专业活动，保持持续性学习状态，以便将认证与其自身的职业发展紧密地结合起来。

通过知识体系架构、培训课程设计和资质认证三部分的有机结合，CISP资质认证已经形成一套以知识体系架构为纲、模块化课程设计为基础，以信息安全保障培训教育为最终目标的信息安全专业人员认证体系。

通过对人员职业资质的评估与认证，为信息安全相关从业人员的能力做出权威性的认可与保证，同时，有效的监督与鼓励机制，将最大程度地确保认证质量，并促进获证人员自身的职业发展。

图1：CISP知识体系

四、CISP的资质评估 1. CISP资质评估

CISP资质评估是评估机构（实验室）对信息安全从业人员的专业资质及相关能力作出独立而客观的评价，其目的是为CISP认证提供证据，同时，参加评估还可以使申请者对自身的知识掌握有一个较为清晰的了解。 2. CISP资质评估机构

CISP资质的评估机构为中国信息安全产品测评认证中心系统工程实验室。于1999年建立的系统工程实验室是CNITSEC直属的、经中国实验室国家认可委员会认可的第三方信息安全测评机构。该实验室主要面向社会开展信息安全领域的产品、信息系统（网络）、信息安全服务资质、信息安全专业人员测评业务。目前，系统工程实验室已拥有较强的信息安全测评技术水平，建立了一整套科学的信息安全测评方法，积累了丰富的信息安全测评经验，并具备一定的信息安全标准开发能力。实验室一贯坚持“质量第一”的方针，以“科学的方法、先进的技术、公正的态度、优质的服务”为宗旨，为社会提供高水平、高质量的信息安全测评服务。 3. CISP资质评估依据

系统工程实验室依据实验室自身开发并经信息安全测评认证管理委员会确认和CNITSEC注册的《注册信息安全专业人员资质评估准则》，开展对信息安全专业人员的测评活动。 五、CISP资质认证流程

CISP资质认证可以划分为四个阶段，即，申请阶段、评估阶段、认证阶段和监督阶段。其中：

申请阶段——申请者应了解认证流程及相关手续，确定认证目标，参加并完成CISP资质认证培训。将申请所需的各类资料准备齐全，并向实验室提起申请。

评估阶段——系统工程实验室将依据注册信息安全专业人员资质评估准则，采用相应评估方法，通过一定的评估程序，对申请评估的人员进行测试与评估，并依据测评过程中取得的记录和结果数据，生成该人员的测评结论。该结论将作为认证证据递交CNITSEC，供人员认证时使用，同时，结论也会通知申请者本人知晓。

认证阶段——CNITSEC依据信息安全专业人员资质的相关评估标准，按照规定的程序对信息安全从业人员的专业资质及能力进行认证，以确定其所能达到的能力水平。

维持阶段——CNITSEC为了保证通过认证的人员在认证证书有效期内，持续保持其资质与能力水平，对所有获证人员进行认证维持监督。

CISP资质认证的流程如下图所示：

图2：CISP资质认证流程

1.申请阶段 (1)相关信息的咨询

CISP申请者应先了解有关资质的各种相关前提条件和知识体系框架，根据自己岗位和职业发展需求选择相应资质认证目标。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库“注册信息安全专业人员(CISP)”资质评估认证简介在线全文阅读。