内容发布更新时间 : 2024/5/18 13:02:52星期一 下面是文章的全部内容请认真阅读。

注册信息安全专业人员（CISP） 知识体系大纲

版本：3.0 发布日期：2014 年 12 月 1 日生效日期：2015 年 1 月 1 日 中国信息安全测评中心

?版权 2014—中国信息安全测评中心

注册信息安全专业人员（CISP）知识体系大纲 V2.3 中国信息安全测评中心 1 目录

目录 .............................................................................................................. 1 前言 .................................................................................................................. 4 第 1 章注册信息安全专业人员（CISP）知识体系概述 .................................. 5 1.1 CISP 资质认定类别 ............................................................................. 5 1.2 大纲范围 ............................................................................................. 5 1.3 CISP 知识体系框架结构 ...................................................................... 5 1.4 CISP（CISE/CISO）考试试题结构 ..................................................... 7 第 2 章知识类：信息安全保障 ....................................................................... 9 2.1 知识体：信息安全保障基础 ................................................................ 9 2.1.1 知识域：信息安全保障背景 ...................................................... 9 2.1.2 知识域：信息安全保障概念与模型 ......................................... 10 2.1.3 知识域：信息系统安全保障概念与模型 .................................. 10 2.2 知识体：信息安全保障实践 .............................................................. 11 2.2.1 知识域：信息安全保障现状 .................................................... 11 2.2.2 知识域：我国信息安全保障工作主要内容 .............................. 11 2.2.3 知识域：信息安全保障工作方法 ............................................. 12 第 3 章知识类：信息安全技术 ..................................................................... 13 3.1 知识体：密码技术 ............................................................................ 13 3.1.1 知识域：密码学基础 ............................................................... 13 3.1.2 知识域：密码学应用 ............................................................... 14 3.2 知识体：鉴别与访问控制 .................................................................. 15 3.2.1 知识域：鉴别 ......................................................................... 15 3.2.2 知识域：访问控制模型 ........................................................... 16 3.2.3 知识域：访问控制技术 ........................................................... 16 3.3 知识体：网络安全 ............................................................................ 17 3.3.1 知识域：网络协议安全 ........................................................... 17 3.3.2 知识域：网络安全设备 ........................................................... 17 3.3.3 知识域：网络架构安全 ........................................................... 18 3.4 知识体：操作系统与数据库安全 ....................................................... 19 3.4.1 知识域：操作系统安全 ........................................................... 19 3.4.2 知识域：数据库安全 ............................................................... 20 3.5 知识体：应用安全 ............................................................................ 20 3.5.1 知识域：应用安全 .................................................................. 20

注册信息安全专业人员（CISP）知识体系大纲 V2.3 中国信息安全测评中心 2

3.6 知识体：安全漏洞、恶意代码与攻防 ................................................ 21 3.6.1 知识域：安全漏洞与恶意代码 ................................................ 21 3.6.2 知识域：安全攻击与防

护 ....................................................... 22 3.7 知识体：软件安全开发 ..................................................................... 23 3.7.1 知识域：软件安全开发概况 .................................................... 23 3.7.2 知识域：软件安全开发的关键工作 ......................................... 24 第 4 章知识类：信息安全管理 ..................................................................... 25 4.1 知识体：信息安全管理基础 .............................................................. 25 4.1.1 知识域：信息安全管理概述 .................................................... 25 4.1.2 知识域：信息安全管理方法与实施 ......................................... 25 4.2 知识体：信息安全风险管理 .............................................................. 26 4.2.1 知识域：信息安全风险管理基础 ............................................. 26 4.2.2 知识域：信息安全风险管理主要内容 ...................................... 27 4.2.3 知识域：信息安全风险评估 .................................................... 27 4.3 知识体：信息安全管理体系 .............................................................. 28 4.3.1 知识域：信息安全管理体系基础 ............................................. 29 4.3.2 知识域：信息安全管理体系建设 ............................................. 29 4.3.3 知识域：信息安全控制措施 .................................................... 30 4.4 知识体：应急响应与灾难恢复 .......................................................... 31 4.4.1 知识域：应急响应概况 ........................................................... 31 4.4.2 知识域：信息系统灾难恢复 .................................................... 32 4.4.3 知识域：灾难恢复相关技术 .................................................... 32 第 5 章知识类：信息安全工程 ..................................................................... 34 5.1 知识体：信息安全工程基础 .............................................................. 34 5.1.1 知识域：信息安全工程概述 .................................................... 34 5.1.2 知识域：信息安全工程实施 .................................................... 35 5.1.3 知识域：信息安全工程监理 .................................................... 35 5.2 知识体：信息安全工程能力评估 ....................................................... 36 5.2.1 知识域：SSE-CMM 概述 ........................................................ 36 5.2.2 知识域：信息安全工程过程 .................................................... 37 5.2.3 知识域：信息安全工程能力 .................................................... 37 第 6 章知识类：信息安全法规标准 ............................................................. 38 6.1 知识体：信息安全法规与政策 .......................................................... 38 6.1.1 知识域：信息安全法规 ........................................................... 38 6.1.2 知识域：信息安全政策 ........................................................... 39

注册信息安全专业人员（CISP）知识体系大纲 V2.3 中国信息安全测评中心 3

6.2 知识体：信息安全标准 ..................................................................... 40 6.2.1 知识域：信息安全标准基础 .................................................... 40 6.2.2 知识域：信息安全标准化组织 ................................................ 41 6.2.3 知识域：信息安全标准体系 .................................................... 41 6.2.4 知识域：我国信息安全典型标准介绍 ...................................... 41 6.3 知识体：信息安全道德规范 .............................................................. 42 6.3.1 知识域：信息技术通行道德规范 ............................................. 42 6.3.2 知识域：信息安全从业人员道德规范 ...................................... 42

注册信息安全专业人员（CISP）知识体系大纲 V2.3

中国信息安全测评中心 4 前言

信息安全作为我国信息化建设健康发展的重要因素，关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会及建设创新型社会等国家战略举措的实施，是国家安全的重要组成部分。在信息系统安全保障工作中，人是最核心、也是最活跃的因素，人员的信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。注册信息安全专业人员（CISP）是对我国网络基础设施和重要信息系统的信息安全专业人员开展在职培训的重要形式，多年来为落实我国有关政策“加快信息安全人才培养，增强全民信息安全意识”的指导精神，构建信息安全人才体系发挥了巨大作用。本大纲从我国国情出发，结合我国网络基础设施和重要信息系统安全保障的实际需求，以知识体系的全面性和实用性为原则，明确规定了注册信息安全专业人员应当掌握的知识要点，是 CISP 教材编制、讲师授课、学员学习以及考试命题的重要依据。 本大纲包含以下章节：?第 1 章注册信息安全专业人员（CISP）知识体系概述? 第 2 章知识类：信息安全保障?第 3 章知识类：信息安全技术? 第 4 章知识类：信息安全管理? 第 5 章知识类：信息安全工程? 第 6 章知识类：信息安全法规标准 注册信息安全专业人员（CISP）知识体系大纲 V2.3 中国信息安全测评中心 5

第 1 章注册信息安全专业人员（CISP）知识体系概述 1.1 CISP 类别 “注册信息安全专业人员”，英文为 Certified Information Security Professional ，简称 CISP，根据岗位工作需要，分为四个类别：? 注“册信息安全工程师”，英文为 Certified Information Security Engineer，简称 CISE。证书持有人员主要从事信息安全技术领域的工作，具有从事信息系统安全集成、安全技术测试、安全加固和安全运维的基本知识和能力。? “注册信息安全管理员”，英文为 Certified Information Security Officer，简称 CISO。证书持有人员主要从事信息安全管理领域的工作，具有组织信息安全风险评估、信息安全总体规划编制、信息安全策略制度制定和监督落实的基本知识和能力。? 注“册信息安全审计师”，英文为 Certified Information Security Auditor，简称 CISA。证书持有人主要从事信息安全审计工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息安全风险评估、安全检查实践能力。? 注“册信息安全开发人员”，英文为 Certified Information Security Developer，简称 CISD。证书持有人主要从事软件开发相关工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息系统安全开发能力、熟练掌握应用安全。

1.2 大纲范围本大纲涵盖了 CISE 和 CISO 两类注册人员需要掌握的知识要点。 CISA 需要更加深入地掌握有关信息系统审计和风险评估的知识，有关内容将在 CISA 知识体系大纲中进行介绍。 CISD 需要更加深入地掌握有关信息系统安全开发的知识，有关内容将在 CISD 知识体系大纲中进行介绍。

1.3 CISP 知识体系框架结构 CISP 知识体系使用组件模块化的结构，包括知识类、知识体、知识域和知识子域四个层次。?知 识类：是对信息安全保障知识领域的总体划分，包含信息安全专业人员需要掌握的五大知识类别；

注册信息安全专业人员（CISP）知识体系大纲 V2.3 中国信息安全测评中心 6 ? 知识体：是知识类中由属于同一技术领域的知识内容构成的相对独立、成体系的知识集合；? 知识域：是对知识体进一步分解细化形成的完整的知识组件；?知 识子域：是构成知识域的基本模块，由一至多个具体知识要点构成。本大纲规定了知识子域中每一个知识要点的内容和深度要求，分为“了解”、 “理解”、和“掌握”三类。? 了解：是最低深度要求，学员需要正确认识该知识要点的基本概念和原理；?理 解：是中等深度要求，学员需