信息安全人员资格认证和培训体系

4个系列中的每个系列 又分成四个等级
信息安全技术水平考试－NCSE
NCSE（国家信息安全技术水平考试）是NCIE体系中推出的专业安全方向的 认证考试。 分为四级，前三级需要参加相应级别的考试。考试分为知识水平和实践能力 两部分。 NCSE一级认证，专门设计来认证一个网络安全专业人员的基本技能。 NCSE二级认证，专门设计来验证一个信息安全专业人员的技能有效性和方 案解决能力。 NCSE三级认证，专门设计来认证网络安全专业人员的规划与管理技能。 NCSE四级认证，高级信息安全专家，是NCSE认证体系里最高级别的认 证。本级别无需考试，而要求学员进行论文答辩，由专家指导委员会进行 评审来获得本证。
Microsoft（微软）认证体系
1）架构师；2）IT专家、专业开发者；3）技术工程师
Microsoft（微软）认证体系
技术系列：证明掌握微软技术的核心技术技能 帮助专业人士针对专门技术进行学习，使他们能够在所从事领域充分展示其广 博而精湛的技术知识与专业技能，能针对特定的微软技术开展实施与构建 工作，并能及时而高效地解决问题并进行调试 专业人员系列：证明专业技能以及从事某项工作的能力 证明具备成功从事某项工作所需的综合技能。相关技能包括设计、项目管理、 运营管理以及规划等，根据工作岗位的不同而有所差异。专业人员系列证 书证明您具备更为综合而精湛的技能 架构师系列：商业 IT 技能的代表，证明您有能力推出商业解决方案 证明是 IT 架构领域的顶级专家。拥有该证书的是至少拥有十年高级IT业工作 经验的知名专业人员，或拥有三年和/或三年以上实践经验的架构师，具备 精湛的技术与管理技能，是业界不可多得的精英。与其他业界认证不同的 是，该认证是由架构师团体共同创建并颁发的。报考者必须通过评审委员 会严格的评审程序。评审委员会由此前通过认证的架构师级人员组成
信息安全认证的组织管理机构
z
国内以信息产业部，信息安全评测机构为代表的组织来 管理实施的信息安全资格认证（或与国际组织联合颁 发） 由国外软件、网络产品厂商自己组织管理的产品专家认 证（侧重于厂商产品、技术认证） 国际权威信息安全组织、研究部门或培训机构组来管理 组织的国际化专业资格认证
z
z
国内流行的第三方信息安全认证
ProsoftTraining 的CIW中国认证体系
CIW中国认证体系中的 网络安全认证
网络安全专业课程体系
CIW 中国认证体系颁发的证书
ciw网络安全技术工程师
ciw网络安全操作能手 ciw网络安全高级工程师
ciw网络安全策略工程师
CIW是世界上最具权威地位的超越厂商背景的互联网证书。
CIW 国际认证体系颁发的证书
PADIMEE:安全生命周期的各阶段
Policy Phase 策略制订阶段：确定安全策略和安全目标； Assessment Phase 评估分析阶段：实现需求分析、风险分析、安全功能分析 和评估准则设计等，明确表述现状和目标之间的差距； Design Phase 方案设计阶段：形成系统安全解决方案，为达到目标给出有效的 方法和步骤； Implementation Phase 工程实施阶段：根据方案设计框架，建设、调试并将整 个系统投入使用。 Management Phase 运行管理阶段：管理阶段包括两种情况——正常状态下的 维护/管理( Management Status )，包括对客户信息系统中发现的漏洞进行安 全加固，消除安全隐患。以及异常状态下的应急响应/异常处理( Emergency Response Status )。 Education Phase 安全教育：贯穿整个安全生命周期的工作，需要对企业决策 层、技术管理层、分析设计人员、工作执行人员等进行教育
全国信息化工程师认证体系（NCIE）
NCIE是在信息产业部领导下组织实施的国家级IT专业政府认证体系，由网络、 信息安全、数据库、信息资源管理、电子商务、信息工程监理等一系列认证 考试构成。通过与国际知名认证考试机构－美国国家通信系统工程师协会 （NACSE）合作，NCIE成为具有国际水准的信息技术工程师认证； 国家信息化工程师考试（The National Certification of Informatization Engineer ─简称NCIE） 组织管理认证:全国信息化工程师考试管理中心，信息产业部电子人才交流中心
中国国家信息安全认证－CISP
CISP（Certified Information Security Professional，注册信息安全专业人 员）认证 组织管理认证:中国信息安全产品测评认证中心 CISP认证和培训赋予如下专业资质和能力：有关信息安全企业/咨询服务机 构/测评认证机构/授权测评机构和企事业有关信息系统建设/运行和应用管 理的技术部门和标准化部门必备的专业岗位人员。 资质维护：在三年有效期内实行年度确认制度，在其三年证书有效期内须完 成60分以上涉及信息安全的专业发展活动，第3年进行复查换证。
互联网认证老牌－CIW
CIW (Certified Internet Webmaster)证书由三个国际性的互联网专家协会认可 并签署：国际Webmaster协会(IWA)，互联网专家协会（AIP）及位于欧洲 的国际互联网证书机构（ICII）。属于第三方认证，涉及多个操作系统， 知识涵盖比较全面。 根据全球最大考试机构Prometric提供的资料表明，CIW认证在美国已位居考 试量第二位，仅次于Microsoft认证考试。CIW证书的拥有者遍及100多个 国家，得到业界很多著名企业的支持，如IBM、HP、NOVELL等。 CIW认证知识覆盖面广，技术难度高，专业性强，是一种基于互联网专业技 能的培训认证，适合设计、开发、管理、安全防护、技术支持互联网及企 业网相关业务的人士。 CIW培训着重于技术水平的提高和商业实践的具体运用。CIW培训认证在中 国刚刚开始, ProsoftTraining于2004年 正式建立CIW中国认证体系
信息安全人员资格认证和培训体系
雷思诚
2007.09
安全模型与培训体系
PADIMEE安全模型
PADIMEE:偏重于安全生命周期和工程实施的 工程安全模型
P.策略 P.策略 AA 评估 评估 DD 设计 设计 II 实现 实现 MM 管理 管理 EE 应急响应 应急响应 EE 安全教育（培训，宣 安全教育（培训，宣 传） 传）
z z z
CIW Associate Certification CIW Professional Certification Master CIW Certification
CIW是世界上最具权威地位的超越厂商背景的互联网证书。
国际著名厂商有关信息（安全）的认证
· Microsoft 微软 · Cisco 思科 · Check point · IBM · Notel 北电网络 · Symantec 赛门铁克 · Trand 趋势科技 · RSA · SUN 。。。。。
信息系统相关技术人员
专业培 专业培 训 训
（系统/网络/数据库管理；应用开发..） ——————————— 了解技术标准规范，掌握理论和方法，在技术层 面对ISMS的支持，实现，运作 各类相关标准、系统安全、网络安全、信息安全 的（认证）培训。。。。
信息安全培训体系模型
按国际培训惯例，根据培训不同对 象和特点，课程分为四种层次： 称之为ATM-C 培训体系，即 Awareness-TechnologyManagement-Certification。
z新一代微软认证体ຫໍສະໝຸດ Baidu,包括三个系列，四大类证书：
为 IT 经理人提供一种更简便、更有针对性的认证框架，以验证其核心技术 技能、专业技能以及架构设计技能。
Microsoft（微软）认证体系
初级 Microsoft Certified Technology Specialist 需要参加1至3门的考试即可获得证书。 中级 Microsoft Certified IT Professional Microsoft Certified Professional Developer 需先持有 Technology Specialist 的证书，再参加1至3门的考试即可获得 相应证书。 高级 Microsoft Certified Architect 没有限制可以直接参加考试，但证书有时间限制，并且引入了再认证的概 念。
信息安全培训的课程层次
根据ATM-C 设计思想，各层次培训课程适用面：
安全意识培训：面向组织的一般员工、非技术人员以及所有信息系统的用户， 目的是提高整个组织普遍的安全意识和人员安全防护能力，使组织员工充分 了解既定的安全策略，并能够切实执行。 安全技术培训：面向组织的网络和系统管理员、安全专职人员、技术开发人员 等，目的是让其掌握基本的安全攻防技术，提升其安全技术操作水平，培养 解决安全问题和杜绝安全隐患的技能。 安全管理培训：面向组织的管理职能和信息系统、信息安全管理人员，目的是 提升组织整体的信息安全管理水平和能力，帮助组织有效建立信息安全管理 体系。 资质认证培训：提供国际信息安全相关认证考试的辅导培训，帮助客户顺利通 过考试并获得各类信息安全资质认证
Microsoft（微软）认证体系
微软公司在2007年9月份开始陆续推出一整套新的认证体系，不同于以往 的MCP、MCSA、MCSE体系，特别强调了认证的方向。 按照微软计划表,新旧体系将会并存相当长一段时间，并慢慢的过渡到全新 的认证体系中，这是微软自1992年建立MCP认证体系以来最大的变动。 z新旧微软认证体系的融合 当前的认证体系将会按照以下的规划逐渐升级到全新的微软认证体系中， 但以往的认证仍然有效，对于目前的各项微软认证没有影响。
企业信息安全教育的目标
所有员工
普及教 普及教 育 育
——————————— 明确ISMS实施要求，法律法规要 求，支持体系的实施。 普及信息网络安全知识，强化安 全防范意识。。。。
信息系统相关管理人员
——————————— 标准的理解和实施，支持企业ISMS体 系建立，体系的管理、实施、审核， 评估 。。。。
中国国家信息安全认证－CISP
根据测评认证体系要求和岗位人员需求，分为4类：
1.注册信息安全工程师(Certified Information Security Engineer)，简称CISE 从事信息安全技术开发服务工程建设等工作 2.注册信息安全管理员(Certified Information Security Officer)，简称CISO 从事信息安全管理等相关工作 3. 注册信息安全评估师或审核员(Certified Information Security Auditor)，简称 CISA 从事信息系统的安全性审核或评估等工作。 4.注册信息安全员(Certified Information Security Member)，简称CISM 适用于IT安全顾问/安全管理人员，IT审计人员等从事信息安全人员。作为中 低端与CISP中高端培训形成互补
以安全策略为核心，设计－实现－管理－评估形成 围绕策略的闭环(其中紧急响应是管理组成部分之 一)，安全教育覆盖核心和各个环节
PADIMEE:网络安全需求的体现
（1）制订网络安全策略反映了组织的总体网络安全需求； （2）通过网络安全评估，提出需求，从而更合理有效地组织网络安全工作； （3）在新系统/项目设计和实现中，应充分分析网络安全需求，采取相应措 施，达到“事半功倍”的效果； （4）管理/监控是网络安全实现的重要环节。其中既包括了安全模型中的动态 检测内容，也涵盖安全管理要素。辅以必要的静态安全防护措施，使既定 的网络安全目标得以实现； （5）紧急响应是最后一道防线。由于相对性，采取的网络安全措施实际上都 是将安全工作的收益（避免导致的损失）和成本相平衡进行选择的结果。 因此在工程实现模型中设置最后防线有极为重要的意义。合理地选择紧急 响应措施，可以做到以最小的代价换取最大的收益。
1）操作层面针对的是从事日常业务处理的人员，即最一般性的信息系统用户； 2）技术层面主要针对信息系统运行维护和开发部门人员，包括信息网络系统管理员和安全 专职人员； 3）管理层则针对包括技术管理和行政管理在内的人员； 4）特定资质认证类的培训则针对特殊岗位所需的职能人员，包括审核部门、监管部门、信 息保障部门等。