CISP知識(shí)體系概述

第1章注冊(cè)信息安全專業(yè)人員（CISP）知識(shí)體系概述

1.1CISP類別

“注冊(cè)信息安全專業(yè)人員”，英文為Certified Information Security Professional，簡(jiǎn)稱CISP，根據(jù)崗位工作需要，分為四個(gè)類別：

“注冊(cè)信息安全工程師”，英文為Certified Information Security Engineer，簡(jiǎn)稱CISE。證書持有人員主要從事信息安全技術(shù)領(lǐng)域的工作，具有從事信息系統(tǒng)安全集成、安全技術(shù)測(cè)試、安全加固和安全運(yùn)維的基本知識(shí)和能力。

“注冊(cè)信息安全管理員”，英文為Certified Information Security Officer，簡(jiǎn)稱CISO。證書持有人員主要從事信息安全管理領(lǐng)域的工作，具有組織信息安全風(fēng)險(xiǎn)評(píng)估、信息安全總體規(guī)劃編制、信息安全策略制度制定和監(jiān)督落實(shí)的基本知識(shí)和能力。

“注冊(cè)信息系統(tǒng)審計(jì)師”，英文為Certified Information System Auditor，簡(jiǎn)稱CISP-A。證書持有人主要從事信息安全審計(jì)工作，在全面掌握信息安全基本知識(shí)技能的基礎(chǔ)上，具有較強(qiáng)的信息安全風(fēng)險(xiǎn)評(píng)估、安全檢查實(shí)踐能力。

“注冊(cè)信息安全開發(fā)人員”，英文為Certified Information Security Developer，簡(jiǎn)稱CISD。證書持有人主要從事軟件開發(fā)相關(guān)工作，在全面掌握信息安全基本知識(shí)技能的基礎(chǔ)上，具有較強(qiáng)的信息系統(tǒng)安全開發(fā)能力、熟練掌握應(yīng)用安全。

1.2大綱范圍

本大綱涵蓋了CISE和CISO兩類注冊(cè)人員需要掌握的知識(shí)要點(diǎn)。

CISP-A需要更加深入地掌握有關(guān)信息系統(tǒng)審計(jì)和風(fēng)險(xiǎn)評(píng)估的知識(shí)，有關(guān)內(nèi)容將在CISP-A知識(shí)體系大綱中進(jìn)行介紹。

CISD需要更加深入地掌握有關(guān)信息系統(tǒng)安全開發(fā)的知識(shí)，有關(guān)內(nèi)容將在

CISD知識(shí)體系大綱中進(jìn)行介紹。

1.3CISP知識(shí)體系框架結(jié)構(gòu)

CISP知識(shí)體系使用組件模塊化的結(jié)構(gòu)，包括知識(shí)類、知識(shí)體、知識(shí)域和知識(shí)子域四個(gè)層次。

知識(shí)類：是對(duì)信息安全保障知識(shí)領(lǐng)域的總體劃分，包含信息安全專業(yè)人員需要掌握的五大知識(shí)類別；

知識(shí)體：是知識(shí)類中由屬于同一技術(shù)領(lǐng)域的知識(shí)內(nèi)容構(gòu)成的相對(duì)獨(dú)立、成體系的知識(shí)集合；

知識(shí)域：是對(duì)知識(shí)體進(jìn)一步分解細(xì)化形成的完整的知識(shí)組件；

知識(shí)子域：是構(gòu)成知識(shí)域的基本模塊，由一至多個(gè)具體知識(shí)要點(diǎn)構(gòu)成。

本大綱規(guī)定了知識(shí)子域中每一個(gè)知識(shí)要點(diǎn)的內(nèi)容和深度要求，分為“了解”、“理解”、和“掌握”三類。

了解：是最低深度要求，學(xué)員需要正確認(rèn)識(shí)該知識(shí)要點(diǎn)的基本概念和原理；

理解：是中等深度要求，學(xué)員需要在正確認(rèn)識(shí)該知識(shí)要點(diǎn)的基本概念和原理的基礎(chǔ)上，深入理解其內(nèi)容，并可以進(jìn)一步的判斷和推理；

掌握：是較高深度要求，學(xué)員需要正確認(rèn)識(shí)該知識(shí)要點(diǎn)的概念、原理，并在深入理解的基礎(chǔ)上靈活運(yùn)用。

圖1-1描述了CISP知識(shí)體系的結(jié)構(gòu)：

圖1-1：CISP知識(shí)體系的組件模塊結(jié)構(gòu)

在整個(gè)注冊(cè)信息安全專業(yè)人員（CISP）的知識(shí)體系結(jié)構(gòu)中，共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全法規(guī)標(biāo)準(zhǔn)這五個(gè)知識(shí)類，每個(gè)知識(shí)類根據(jù)其邏輯劃分為多個(gè)知識(shí)體，每個(gè)知識(shí)體包含多個(gè)知識(shí)域，每個(gè)知識(shí)域由一個(gè)或多個(gè)知識(shí)子域組成。

CISP知識(shí)體系結(jié)構(gòu)共包含五個(gè)知識(shí)類，分別為：

信息安全保障：介紹了信息安全保障的框架、基本原理和實(shí)踐，它是注冊(cè)信息安全專業(yè)人員首先需要掌握的基礎(chǔ)知識(shí)。

信息安全技術(shù)：主要包括密碼、訪問控制等安全技術(shù)與機(jī)制，網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用軟件等方面的基本安全原理和實(shí)踐，以及安全攻防和軟件安全開發(fā)相關(guān)的技術(shù)知識(shí)和實(shí)踐。

信息安全管理：主要包括信息安全管理體系建設(shè)、信息安全風(fēng)險(xiǎn)管理、安全管理措施等相關(guān)的管理知識(shí)和實(shí)踐。

信息安全工程：主要包括信息安全相關(guān)的工程的基本理論和實(shí)踐方法。

信息安全法規(guī)標(biāo)準(zhǔn)：主要包括信息安全相關(guān)的法律法規(guī)、政策、標(biāo)準(zhǔn)和道德規(guī)范，是注冊(cè)信息安全專業(yè)人員需要掌握的通用基礎(chǔ)知識(shí)。

圖1-2描述了CISP知識(shí)體系結(jié)構(gòu)框架：

圖1-2：CISP知識(shí)體系結(jié)構(gòu)框架

1.4CISP（CISE/CISO）考試試題結(jié)構(gòu)

CISP考試題型均為單項(xiàng)選擇題，共100題，每題1分，得到70分以上（含70分）為通過。

“注冊(cè)信息安全工程師”（CISE）和“注冊(cè)信息安全管理人員”（CISO）都需要學(xué)習(xí)和掌握CISP知識(shí)體系結(jié)構(gòu)框架中的所有內(nèi)容。由于兩種注冊(cè)證書持有人的工作崗位和工作領(lǐng)域的不同，考試的側(cè)重點(diǎn)有所區(qū)別，因此，所對(duì)應(yīng)的試題比例不同。

表1-1中描述了CISE/CISO考試各知識(shí)類試題的所占比例。

表1-1：CISP（CISE/CISO）試題結(jié)構(gòu)