CISE讲义CISP-02-信息安全培训和CISP知识体系介绍-YYZ

《信息安全攻防技 术》配套实践书籍， 提供上百个信息安 全攻击实验演练 技术特点：
• 基于虚拟机技术 • 根据攻击方法、系 统平台分类 • 提供综合案例研究 和实践
IT安全培训矩阵
功能性的专业 培训内容区域
A B C
管理
1A
采购
1B
设计和开发
1C
实现和 运行维护
1D
D
审阅和 评价
1E
E
F
G
信息安全培训业务背景
美国FISMA（联邦信息安全管理法案）年度评估报告——总结表
信息安全培训业务背景 美国国防部信息安全人员要求
建立分级分类的信 息安全人才要求
• 分类：分为技术和 管理类 • 分级：每一类分为 1到3级
要求培训、注册、 在职培训和继续培 训
信息安全培训业务背景 美国国防部信息安全人员要求
信息安全 实践系列
信息安全意识系列
培训产品体系 培训总表
综合 SEC
安全专业
TEC-501 风险评估技术和 工程 … TEC-503 防火墙系统和工 程 … TEC-507 信息安全攻防 … MGT-501 信息安全管 理体系 MGT-502 风险管理 MGT-503 漏洞管理 MGT-504 业务连续性 和灾难恢复管理 …
3.1C 3.2C 3.3C 3.2D 3.3D 3.4D 3.5D 3.6D
3.1E 3.2E 3.3E 3.4E 3.5E 3.6E
3.1F 3.2F 3.3F 3.4F 3.5F
3.4A 3.5A 3.6A
3.4B 3.5B
3.4C 3.5C
4
其他
IT安全培训矩阵-外部审计员
功能性的专业 培训内容区域
CISM
注册信息安全员
培训产品体系——技术核心竞争力
综合权威 专题实践
信息安全 专业系列
信息安全 从业系列
信息安全 专题系列
200系列——信息安全， 人人有责，保护自己的信 息空间 300系列——最佳实践， 审计检查 400系列——全面信息安 全基础，信息安全人员必 备 500系列——专题研究， 术业有专攻 600系列——信息安全综 合知识能力证明，信息安 全专业人员必备
技术 TEC
管理 MGT
审计 AUD
安全专题
CRAC 注册风险评估咨询员 CVMC 注册漏洞管理咨询员
AUD-501 信息安全 审计 …
安全从业 安全实践 安全意识
SEC-201 保护信息安全实 践（普及） …
操作系统最佳实践 网络设备最佳实践 应用系统最佳实践 … 操作系统审计 网络设备审计 应用系统审计 …
2、美国政府部委信息安全培训体系介绍
信息安全培训业务背景
美国FISMA（联邦信息安全管理法案）年度报告要求——解析
信息安全意识和培训 •全员的信息安全意识培训 •同岗位相关的模块化的培训 •计算机化、自动化的课程管理、 跟踪、考核、统计和服务系统 •同现实需求紧密结合的专业、权 威的课件 负有重要安全职责的专业人员 •国家权威机构的信息安全专业注 册资质 •重要岗位的资质准入管理 经费的保证
A B C
管理
采购
设计和开发
实现和 运行维护
D
审阅和 评价
1E
E
F
G
使用
其他
1
法律法规
2
安全程序
2.1E 2.2E
2.1 计划 2.2 管理
3
系统生命周期安全
3.1E
3.2E 3.3E
3.1 初始化
3.2 开发 3.3 测试和评估 3.4 实现 3.5 运行维护 3.6 终止 4 其他
3.4E
3.5E 3.6E
信息安全培训业务介绍
2002年，中心在国内率先推出了专业权威的注册信息安全专业 人员（CISP）资质认证 2003年，中心正式出版了注册信息安全专业人员资质认证教材 2002年—2005年：CISP已成为国内最具含金量的信息安全专 业资质认证品牌
• 遍布全国的18家授权培训机构 • 已经为对信息安全有较高要求的人民银行、海关、国税等政府机构、金 融电信领域、信息安全专业厂商等培养了大批专业的信息安全技术、管 理和审核人员，得到了广泛的认可 • 。。。
借助社会力量完成信 息安全人才的培养
• （ISC）2的 CISSP/SSCP • ISACA的CISA/CISM • SANS/GIAC的 GSEC/GSE/GISF • CompTIA的 A+/Network+/Security + • …
信息安全培训业务背景 美国国防部信息安全人员培训计划
建立人员数据库，确 认人员及其类别和级 别要求 从2006年开始启动， 2007年开始正式实施， 2010年前完成所有8 万人的基础要求培训
• 第1年10%，后3年每 年30% • 2011年继续维护和知 识更新
3、信息安全培训体系介绍
信息安全人才体系战略 组织机构信息安全人才体系战略
信息安全保障专家 信息安全专业人员 （信息安全相关的岗位和职责） 计划 开发 运行 废 实施 组织 采购 维护 弃 交付 信息安全从业人员 （信息系统相关的岗位和职责） 安全基础和安全文化
构建全面的信息安全人才体系的需求
• 是国家政策的要求 • 是组织机构信息安全保障建设自身的要求 • 是组织机构人员自身职业发展的要求
我国信息安全从业人员素质现状分析
从数量上来看，信息安全从业人员的数量同实际需求存在巨大缺口。
• • • 信息安全人才需求不断增加 培养来源：由高校学历教育以及以各种专业注册培训为核心、辅以各种职业技能培训的社 会培训组成。 从近期来看，信息安全从业人员的数量同社会实际需求仍存在巨大缺口。
使用
1F
其他
1
法律法规
2
安全程序
2.1A 2.2A 2.1B 2.2B 2.1C 2.2C 2.1D 2.2D 2.1E 2.2E
2.1 计划 2.2 管理 3 系统生命周期安全
3.1 初始化 3.2 开发 3.3 测试和评估 3.4 实现 3.5 运行维护 3.6 终止
3.1A 3.2A
3.1B 3.2B
二、CISP知识体系介绍
目录
一．信息安全培训业务介绍
• • •
• •
信息安全培训业务现状 美国政府部委信息安全培训体系介绍 信息安全培训体系介绍
注册信息安全专业人员（CISP）介绍 CISP知识体系大纲介绍
二．CISP知识体系介绍
1、注册信息安全专业人员（CISP）介绍
CISP（CISE/CISO/CISA） 资质分类
基于岗位职业技能
注册信息安全员 （CISM）
行业和组织机构 特点和特殊需求
信息安全从业人员 信息安全基础知识和能力
信息安全意识培训
行业和组织机构 特点和特殊需求
信息安全意识普及
信息安全培训咨询服务
国家信息安全培训系列丛书
《信息安全攻防技术》
《信息安全攻防技术》——攻击方法
《信息安全攻防实验》
信息安全培训和CISP知识体系介绍
中国信息安全测评中心 CISP-02-信息安全培训和CISP知识体系介绍 2008年11月
目录
一．信息安全培训业务介绍
• • •
• •
信息安全培训业务现状 美国政府部委信息安全培训体系介绍 信息安全培训体系介绍
注册信息安全专业人员（CISP）介绍 CISP知识体系大纲介绍
注册信息安全专业人员 （CISP）
培 训
注册信息安全员 （CISM）
所有员工 安全意识
意 识
信息安全人才体系战略
加快信息安全人才培养，增强全民信息安全意识
信息安全保障专家 培训教育和经验 信息安全专业人员 （信息安全相关的岗位和职责） 废 计划 开发采 实施交 运行维 弃 组织 购 护 付 信息安全从业人员 （信息系统相关的岗位和职责） 安全基础和安全文化

从信息安全从业人员更多集中在技术领域，而且主要偏向于具体产品的研发、技术 支持和维护。 信息安全从业人员在组织机构中的地位开始得到显著提高，正逐渐从单纯的技术支 持进入到组织机构技术决策和风险管理的角色。
我国信息安全从业人员素质方面突出的 问题
信息安全人才发展战略缺少系统、全面的规划 和协调。 信息安全学历教育和社会实践、社会认证培训 的结合问题 信息安全人才的管理问题。 信息安全管理人才，特别是懂业务的高层次人 才严重缺乏。 信息安全人才培养不规范。 信息安全意识的缺乏
• • 特定实践：Windows操作系统安全、Oracle数据库 安全等 特定专题：风险管理、漏洞管理等
信息安全 实践系列
信息安全 专题系列
四． 持续学习和更新
面向部委的信息安全培训咨询
注册信息安全专业 人员（CISP）
信息安全专业人员 信息 安全 实验 和实 践 信息 安全 专题 培训
岗位职责相关的 职业技能培训
人是信息安全中 最核心问题之 一！ 我们政府部门的 广大干部对信 息安全重要性 的认识和相关 技术问题的了 解还远远不能 满足国家发展 的需要
信息安全人才需求的背景
信息安全保障的重要性
• 中办[2003]27号文件“国家信息化领导小组关于加 强信息安全保障工作的意见”； • 党的十六届四中全会将“信息安全”提升为国家安 全的组成部分
信息安全培训业务的目的和目标
目标
• 为国家信息安全保障人才体系建设做出应有的贡献
增强政府部委、党政机关、重要信息系统和基础网络的 管理和运行人员排除隐患和漏洞的认识、知识和能力 通过市场化，提高国家信息安全人才素质和能力
• 服务对象：
面向政府部委、党政机关、重要信息系统和基础网络 面向市场
“注册信息安全专业人员”，英文为Certified Information Security Professional （简称 CISP），根据实际岗位工作需要，CISP分为三 类：
• “注册信息安全工程师”，英文为Certified Information Security Engineer（简称CISE）； • “注册信息安全管理人员”， 英文为Certified Information Security Officer（简称CISO）； • “注册信息安全审核员”，英文为Certified Information Security Auditor（简称CISA）。
TEC-201 网络和安全知识 问答 …
面向部委的信息安全培训整体方案
一． 所有人员进行信息安全意识培训
信息安全 意识系列
二． IT和安全相关人员：建立分级分类的信息安全 基本要求，资质和培训 信息安全
• • 分级：高/中/低、一级/二级/三级 分类：技术/管理/审核
从业系列
信息安全 专业系列
三． IT和安全相关人员：基于岗位的信息安全技能， 资质和培训
ห้องสมุดไป่ตู้
从质量上来看，高端信息安全人才，特别是信息安全管理人才以及信息安全高层次 和综合性人才严重缺乏 从行业领域上，信息安全从业人员主要集中在政府、金融、电信等信息化发达的行 业领域以及信息安全专业公司中
• 根据对上千名注册信息安全专业人员（CISP）的分析，其中38%的专业人员来自安全厂商， 20%来自金融领域，26%来自税务、海关和部委等政府机构，8%来自电力和电信领域， 4%来自于测评机构，其他占4%。
高等教育 专业培训
加快信息 安全人才 培养
所有人员 安全意识
意识教育 安全培训
增强全民 信息安全 意识
信息安全人才战略——培训体系
专家 CISP CISE CISO CISA
CISM
信息安全意识培训
技术人员
管理人员
审核审计人员
信息安全人才战略——培训体系
信息安全保障 专家
CISP
注册信息安全专业 人员
2005年9月：正式发布注册信息安全员（CISM）资质认证 目前，CISP获证人数为二千多人
注册信息安全专业人员（CISP）统计
CISP获证人数增长图
2200 2000 1800 1600 1400 1200 1000 800 600 400 200 0
CISO CISE CISA
2002
二．CISP知识体系介绍
一、信息安全培训业务介绍
目录
一．信息安全培训业务介绍
• • •
• •
信息安全培训业务现状 美国政府部委信息安全培训体系介绍 信息安全培训体系介绍
注册信息安全专业人员（CISP）介绍 CISP知识体系大纲介绍
二．CISP知识体系介绍
1、信息安全培训业务现状
信息安全培训——人的问题
2003
2004
2005
2006
2007
数据截止至2007年4月
2008
正式出版发布资料
正式出版发布资料
• 中心官方网站： www.itsec.gov.cn • 对外发行杂志： 《国家信息安全测评认证》 • 正式出版教材 CISP培训教材（共三册）
其他培训产品化资料
• • • • 培训管理规章制度 培训申请指南文件 知识体系大纲 奥运信息安全培训手册