注册信息安全专业人员认证

信息安全和审计注册信息安全专业人员认证引言1 能力要求2 注册人员范围3 注册信息安全专业人员 道德准则4 认证程序5 培训6 考试7 申请认证8 经历审核9 评价、认证与公布9.1评价9.2认证与公布10 保持认证11 专业发展12 处罚13 争议、投诉与申诉14 注册人员档案15 有关费用16 相关文件及表格中国信息安全产品测评认证中心(简称CNITSEC)是经中央批准成立的、代表国家开展信息安全测评认证工作的职能机构，依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国家信息安全测评认证体系。 中国信息安全产品测评认证中心的主要职能是：对国内外信息安全产品和信息技术进行测评和认证； 对国内信息系统和工程进行安全性评估和认证； 对提供信息系统安全服务的组织和单位进行评估和认证；对注册信息安全专业人员的资质进行评估和认证。 “中华人民共和国国家信息安全认证”是国家对信息安全技术、产品、信息系统安全质量以及信息安全服务资质、人员资质的最高认可。国家信息安全测评认证活动的技术依据是由中国国家信息安全测评认证管理委员会确认的有关产品质量认证和信息安全管理的国际标准、国家标准、行业标准和其他补充技术要求与技术规范。“注册信息安全专业人员”，英文为Certified Information Security Professional (简称CISP)，根据实际岗位工作需要，CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer（简称CISE）; “注册信息安全管理人员”， 英文为Certified Information Security Officer(简称CISO)，“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。其中CISE主要从事信息安全技术开发服务工程建设等工作，CISO从事信息安全管理等相关工作，CISA从事信息系统的安全性审核或评估等工作。这三类注册信息安全专业人员是有关信息安全企业，信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全产品测评认证中心实施国家认证。本指南适用于所有向CNITSEC提出申请“注册信息安全专业人员”认证的中华人民共和国公民。1 能力要求具备一定的信息安全基础知识，了解并掌握GB/T 18336、ISO 15408、ISO 17799等有关信息安全标准，具有进行信息安全服务的能力。其知识体系的要求详见“注册信息安全专业人员资质评估准则”。2 注册人员范围包括在国家信息安全测评认证机构（包含授权测评机构）、信息安全咨询服务机构、社会各组织、团体、企事业单位从事信息安全服务或高级安全管理工作的人员。3 注册信息安全专业人员道德准则注册信息安全专业人员必须严格履行其职责并遵守以下道德准则：1. 所有注册信息安全专业人员 （CISP）都必须付出努力才能获得和维持该项认证。为贯彻这条原则，所有的CISP都必须承诺完全遵守道德准则。2.CISP必须诚实，公正，负责，守法；3.CISP必须勤奋和胜任工作，不断提高自身专业能力和水平；4.CISP必须保护信息系统、应用程序和系统的价值5.CISP必须接受CNITSEC的监督，在任何情况下，不损坏CNITSEC或认证过程的声誉，对CNITSEC6.对CISP而进行的调查应给予充分的合作；7.CISP必须按规定向CNITSEC交纳费用。4 认证程序CISP认证程序流程如下图，后续章节将对其中关键过程进行详细描述。5 培训为了具备CISP基本知识水平，申请者必须参加注册信息安全专业人员培训。CNITSEC将在或相关网站和媒体上公布授权培训机构。培训费用由中国信息安全产品测评认证中心全国统一规定，为9800元/人。6 考试CNITSEC在 或相关网站和媒体上公布考试相关情况。考试内容见“注册信息安全专业人员资质评估准则”，但考试内容不仅限于大纲要求。7 申请认证认证受理部门是CNITSEC认证认可部，联系方式同上。认证申请要求注册级别认证要求与申请材料注册信息安全专业人员一 、认证要求1.教育与工作经历 硕士研究生以上，具有1年工作经历；或本科毕业，具有4年工作经历；或大专毕业，具有6年工作经历。2.专业工作经历至少具备1年从事信息安全有关的工作经历。3.培训资格 在申请认证前的一年内，成功地完成了CNITSEC或其授权培训机构组织的注册信息安全专业人员培训课程相应资质所需的分类课程，并取得培训合格证书。4.通过由CNITSEC举行的注册信息安全专业人员考试；二、 申请材料1. 认证申请表；2. 学历证书（原件或复印件）； 3. 注册信息安全专业人员培训合格证书；4. CNITSEC举行注册信息安全专业人员的考试成绩单；5. 申请人专业工作证明文件；需单位证明；6. 交纳规定的认证申请费用；7 近期二寸照片两张。CNITSEC承诺对认证申请者的申请材料予以保密，不向第三方提供。8 经历审核注册信息安全专业人员应提交能证明其从事信息专业经历的文件，例如：1) 雇主或所工作的组织机构提供的文件；2) 个人从事专业工作的证明文件。9 评估、认证与公布9.1评估9.1.1 CNITSEC应对注册信息安全专业人员的认证及复查换证的申请进行技术评价，作出是否予以批准的决定。9.1.2 认证申请人在向CNITSEC递交认证申请材料前，须对照相应的“CNITSEC注册信息安全专业人员 认证指南”逐项检查所填报材料的完整性和正确性。每份申请到达CNITSEC后，初审人员首先对申请材料的完整性进行初审，如果材料不完整，CNITSEC将通知申请人补充材料或退回。9.1.3当确认申请材料完整后，将由2名与申请方无利益关系的技术评估人员审查申请材料中各项内容是否符合相应的要求，并以抽样方式对其提供的材料进行验证。如果CNITSEC认证决定委员会根据申请人提供的信息不能作出是否准予认证的决定，则要求申请人澄清或增加信息，必要时安排面谈。9.2认证与公布对准予认证的申请人，CNITSEC将公布注册人员名录并向申请人发放认证证书。证书持有人应遵守“证书及标志使用说明”中的有关规定。9.2.1 CNITSEC在信息安全相关专业媒体或中心网站上公布“注册信息安全专业人员 ”名录，包括以下内容：1) 注册人员姓名； 2) 注册级别(必要时)；3) 注册专业范围(必要时)；4) 注册日期(必要时)；5) 证书编号(必要时)。9.2.2 CNITSEC出版“注册信息安全专业人员 ”名录，其内容包括：1) 注册人员姓名； 2) 注册级别(必要时)；3) 证书编号； 4) 注册专业范围；（必要时）5) 联系电话、传真(必要时)； 6) 联系单位、地址、邮政编码(必要时)；7) 注册日期； 8) 受聘状态(必要时)。9.2.3 CNITSEC将按期公布CISP名单/名录，CISP如不愿公布自己的信息，须在递交申请书时予以说明。若CISP工作、联系方式变动时，须及时通知CNITSEC，可通过电子邮件或信件联系。10 保持认证10.1 每位注册的CISP需通过持续的信息安全专业发展来保持其能力和素质。10.2 CNITSEC将通过评价申请表中的信息、专业发展记录来验证每一位CISP的工作能力，同时还通过申诉系统、现场见证、从聘用机构调阅档案以及向受CISP服务方调查等方式来验证CISP的工作和素质。10.3 CISP认证证书在三年有效期内实行年度确认制度，第3年进行复查换证。保持认证要求认证级别保持认证要求,复查换证与申请材料信息安全专业人员复查换证要求认证资格每三年进行一次复查换证。在证书有效期届满前60天内，须提出复查换证申请。1. 年度确认在证书有效期内，完成规定的年度确认，并且合格。2. 专业经历完成至少6次完整的信息安全服务经历注1。3. 专业发展三年内应至少完成60分以上的专业发展活动。4. 遵守注册信息安全专业人员 行为准则。 申请材料1.CNITSEC注册信息安全专业人员 复查换证申请表（原件）；2.提交的专业经历记录包括：注册信息安全专业人员 专业经历记录或相应的服务咨询合同（原件或复印件）。3.本文第11条规定的注册信息安全专业人员 专业发展证实材料（即3年专业发展记录）；4.交纳复查换证申请费用；5.近期两寸照片两张。说明：对审定不合格的申请材料，CNITSEC将通知补充材料或退还。若属重新申报，应在信封和申请表的左下角注明“重新申报”字样，附上须重新申报的证明，并交纳重新申报费用。注1：信息安全服务是指信息安全工程的设计、实施、测试、运行和维护，以及相关的咨询和培训活动。具体形式包括：包括： 1) 安全工程：为信息系统进行安全方案设计、施工、验证、运行和维护； 2) 安全测试和监控：对已有信息安全系统进行安全性测试和对保护装置总体(包括硬件、软件、固件和负责执行安全策略的组合体等)进行调整、增补与删除；对信息系统进行监控和提出安全承诺； 3) 安全相关施工：对信息安全系统外部设施(包括通信线路、链路、信道/隐蔽信道、保护建筑和标记等)进行调整、增补与删除； 4) 安全咨询和教育：从事信息系统安全咨询、培训、宣传的业务，包括书面提出并制订信息系统安全方案或安全管理与操作规定的服务、在公开场合或媒体宣讲传播安全知识的活动；信息系统安全的专家活动和政策制订工作；从事信息系统安全教育工作； 5) 方案试验：在现有信息安全系统中测试、试验某种安全产品、安全方案(如算法)的有偿或无偿活动；6) 其它服务：其它可能影响信息系统安全性能的有偿或无偿服务或技术活动。11 专业发展“注册信息安全专业人员 ”在其三年证书有效期内须完成60分以上涉及信息安全的专业发展活动，此项记录作为认证资格保持的一部分文件提交。CNITSEC规定的活动项目与活动计分方式如下：序号活 动 项 目应予说明的内容计 分1培训班或讲座内容、名称、时间、举办者、日期地点12分/8小时2自学自学课程说明15分/课程3学术会议内容、举办者、日期、地点12分/8小时4学术研究从事或参与的活动内容，承担的工作510分/项目5论文或著作作品标题，发表方式 12分/篇1020分/本6咨询或服务项目说明，但不适用于咨询机构工作人员1分/工作日最高10分/项目专业发展证实方式说明：1) 序号1、3、4、6证明方式可为由项目举办者(负责人)或申请人工作单位(聘用单位)在记录表上签名盖章予以证实，也可通过提供证书或证明予以证实。2) 序号2应提供自学课程心得报告一份。3) 序号5应提供论文首页及其发表刊物封面或著作封面复印件一份。12 处罚对于违反CNITSEC注册信息安全专业人员认证准则的行为，CNITSEC将视注册人员违规情节轻重予以处理。处罚方式违反准则行为从轻到重警告暂停降级取消1 未遵守行为准则 6个月 2 不满足专业经历要求 3 误用认证证书 6个月 4 不符合保持认证要求 6个月 5 未交纳规定的保持认证费用 6个月 6 CISP自愿放弃认证资格 注：表中“”表示每个项目可能受到的处罚。12.1某些违反认证准则项目的含义1) 不满足专业经历要求是指：受到与有关的投诉并经调查属实；2) 误用证书是指下列情况之一：允许他人使用自己的认证证书；使用过期或失效的认证证书(包括在暂停期间继续使用认证证书)；3) 不符合保持认证的要求是指不符合保持认证的经历要求和专业发展要求中任何一个方面的要求均属此列。12.2 处罚12.2.1注册信息安全专业人员（CISP）第一次违反认证准则时，CNITSEC将按上表中的规定视情节严重程度，确定一种适当的处罚12.2.2第二次重犯或在暂停期内再次发生违反认证准则或警告后仍未满足要求的CISP，则按较重的处罚方式进行处罚。12.2.3 CNITSEC将对受到取消处罚的CISP收回其认证证书。12.3 通告CNITSEC将经批准的处罚决定以书面形式通知CISP本人及其聘用机构并发布公告。12.4 恢复认证程序1) 适用范围：仅用于受到暂停处罚并在暂停期间达到以下要求之一者，并且未再次发生任何违反道德准则的CISP：因未遵守行为准则或误用证书者在暂停期内已经改正；因不符合保持认证要求者在暂停期内已达到保持认证的要求；因未交纳规定的保持认证费用者在暂停期内已交纳其费用。2) 受处罚的CISP本人向CNITSEC提出恢复认证申请，若CNITSEC经审查批准其恢复认证，则将按本文第12.3条进行通告。13 争议、投诉与申诉13.1向CNITSEC提出的有关注册人员或非注册人员的争议或书面投诉，将由CNITSEC记录在案，并予以调查解决。确属CISP行为不当或违反CNITSEC注册信息安全专业人员 行为准则的，CNITSEC将按本文第12条进行处罚。13.2对CNITSEC所作的认证决定或考试决定有异议时，可向CNITSEC提出书面申诉。CNITSEC申诉委员会将会责成与所申诉/投诉事项无利益相关人员进行调查。在调查基础上由申诉委员会作出结论。13.3每一位CISP应妥善处理因自己行为而发生的投诉，保留记录，并采取措施防止再发生。CNITSEC将在必要时调阅CISP的申诉/投诉记录。14 注册人员档案CNITSEC对每位CISP建立专项档案，所有资历材料将保存6年以上。申请升级、年度确认或复查换证时，只需追加或补加所要求的相应材料，CNITSEC实行记录累加制度。15 有关费用“注册信息安全专业人员”考试费1000元及认证费500元。考试费在报名时缴纳，如果无法前来参加考试，必须提前15天通过电话等方式确认，可以顺延到下一次参加考试，其他情况该费用一律不退。“注册信息安全专业人员”认证费及三年认证管理费在申请认证时缴纳，该费用不退。16 相关文件及表格相关文件：1) “注册信息安全专业人员”证书及标志使用说明2) “注册信息安全专业人员”资质评估准则 3) “注册信息安全专业人员”申请者填表指南表 格：1) “注册信息安全专业人员”申请人考试申请表2) “注册信息安全专业人员”认证申请表3) “注册信息安全专业人员”认证申请人经历记录表4) “注册信息安全专业人员”复查换证申请表什么是CISP？ CISP即“注册信息安全专业人员”，英文为Certified Information Security Professional (简称CISP)，注册信息安全专业人员是有关信息安全企业，信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全产品测评认证中心实施国家认证。系国家对信息安全人员资质的最高认可。 根据实际岗位工作需要，CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer（简称CISE），CISE主要从事信息安全技术开发服务工程建设等工作; “注册信息安全管理人员”， 英文为Certified Information Security Officer(简称CISO)，CISO从事信息安全管理等相关工作;“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA), CISA从事信息系统的安全性审核或评估等工作。为什么企业需要CISP？企业提升信息安全技术、管理、保障能力的基础是专业人员以及由专业人员组成的安全组织。企业希望通过专业的安全培训服务培养专业人员，而基于规范与标准的专业人员认证是体现专业人员价值的基础。通过CISP培训、认证：1、 企业受训员工成为真正的安全专家，认证安全专家能够满足长远的企业信息安全规划、建设、维护能力要求，解决企业遇到的各类信息安全问题2、 拥有多名CISP表明企业对信息系统安全保障的承诺和信心，能够为客户提供信赖的服务；为什么个人需要CISP?CISP作为国家最高级别的信息安全专业资格认证将助您在信息安全领域登上职业生涯的顶峰。谁适合参加CISP认证培训？ 企业信息安全主管 信息安全服务提供商 IT或安全顾问人员 IT审计人员 信息安全类讲师或培训人员 信息安全事件调查人员 其他从事与信息安全相关工作的人员（如系统管理员、程序员、保安人员等）CISE（注册信息安全工程师）：适合政府、各大企事业单位、网络安全集成服务提供商的网络安全技术人员 CISO（注册信息安全管理人员）：适合政府、各大企事业单位的网络安全管理人员，也适合网络安全集成服务提供商的网络安全顾问人员CISA（注册信息安全审核员）：适合政府、各大企事业单位的网络安全技术人员、也适合网络安全集成服务提供商的网络安全顾问人员 CISP课程安排类别CISE（注册信息安全工程师）课程课 程 内 容建议授课时间信息安全理论（1.5天）信息安全保障体系0.5天信息安全模型0.5天信息安全测评认证 0.5天 信息安全技术（6天）信息安全测评认证 0.5天 密码技术 1天 网络与通信安全 0.5天 防火墙 0.5天 入侵检测技术 0.5天 VPN 0.5天 PKI/CA 0.5天 Unix安全管理 0.5天 Windows安全管理 0.5天 数据库安全管理 0.5天 恶意代码 0.5天 安全编程 0.5天 安全工程及管理(4.5天)信息安全管理体系 1天 风险评估 0.5天 安全工程 0.5天 应急响应 0.5天 灾难备份与恢复 0.5天 安全攻防 1天 物理安全 0.5天 安全标准和法规(1.5天)信息安全标准 1天 信息安全法律法规 0.5天 考试(0.5天)考试 0.5天 类别CISO（注册信息安全管理人员）课程课程内容 建议授课时间 信息安全理论（2天）信息安全概况 0.5天 信息安全保障体系 0.5天 信息安全模型 0.5天 信息安全测评认证 0.5天 信息安全技术（4天）密码技术 0.5天 网络与通信安全 0.5天 防火墙 0.5天 入侵检测技术 0.5天 PKI/CA 0.5天 VPN 0.5天 系统安全管理 0.5天 恶意代码 0.5天 安全工程及管理(6天)信息安全管理体系 3天 风险评估 0.5天 安全工程 0.5天 应急响应 0.5天 灾难备份与恢复 0.5天 安全攻防 0.5天 物理安全 0.5天 安全标准和法规(1.5天)信息安全标准 信息安全标准 信息安全法律法规 0.5天 考试(0.5天)考试