您現(xiàn)在的位置：首頁 > 企業(yè)內(nèi)訓(xùn) > 信息安全 > 信息安全保障人員CISAW認(rèn)證

信息安全保障人員CISAW認(rèn)證

2022-11-10 11:09:02　|　來源：企業(yè)IT培訓(xùn)

一、課程簡介

信息安全保障人員認(rèn)證（CISAW）是中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（原中國信息安全認(rèn)證中心）歷經(jīng)六年，集業(yè)界專家、企業(yè)精英、高校及研究機(jī)構(gòu)學(xué)者參與打磨的針對(duì)信息安全保障不同專業(yè)技術(shù)方向、應(yīng)用領(lǐng)域和保障崗位，依據(jù)國際標(biāo)準(zhǔn)ISO/IEC 17024《人員認(rèn)證機(jī)構(gòu)通用要求》所建立的、不同層次的信息安全保障人員認(rèn)證體系。

中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（英文縮寫為：CCRC,原為中國信息安全認(rèn)證中心）于2006年由中央機(jī)構(gòu)編制委員會(huì)辦公室批準(zhǔn)成立，為國家市場(chǎng)監(jiān)督管理總局直屬正司局級(jí)事業(yè)單位。

二、開班計(jì)劃

CISAW課程方向	CISAW安全集成	CISAW安全運(yùn)維	CISAW風(fēng)險(xiǎn)管理
培訓(xùn)地點(diǎn)	北京	北京	北京
培訓(xùn)時(shí)間	隨報(bào)隨學(xué)	隨報(bào)隨學(xué)	隨報(bào)隨學(xué)

三、授課專家

由中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心統(tǒng)一安排信息安全專家授課。

四、考試&取證

CISAW考試由中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心組織實(shí)施。

本考試為筆試試卷，滿分120分。考試時(shí)間為150分鐘，84分（含）為合格分。如考生有作弊行為則該考生最終筆試成績?yōu)?分。考生筆試考試成績?yōu)?ldquo;合格”的，該考生可根據(jù)《信息安全保障人員認(rèn)證準(zhǔn)則》相關(guān)要求，申請(qǐng)專業(yè)級(jí)認(rèn)證證書。

五、報(bào)考條件

（一）CISAW安全集成方向

獲證人員應(yīng)通過信息安全保障人員認(rèn)證（CISAW）安全集成方向考試，同時(shí)至少滿足下面一項(xiàng)要求：

a) 碩士研究生（含）以上學(xué)歷，2年以上從事信息安全有關(guān)工作經(jīng)歷，并且至少1年從事與安全集成專業(yè)方向相關(guān)的工作經(jīng)歷；

b) 本科畢業(yè)，4年以上從事信息安全有關(guān)工作經(jīng)歷，并且至少2年以上從事安全集成專業(yè)方向相關(guān)的工作經(jīng)歷；

c) 專科畢業(yè)，6年以上從事信息安全有關(guān)工作經(jīng)歷，并且至少2年以上從事安全集成專業(yè)方向相關(guān)的工作經(jīng)歷；

d) 7年以上從事信息安全有關(guān)工作經(jīng)歷，并且至少2年以上從事與安全集成專業(yè)方向相關(guān)的工作經(jīng)歷；

e) 具有信息技術(shù)相關(guān)專業(yè)的中級(jí)技術(shù)職稱，并且從事至少2年以上安全集成專業(yè)方向相關(guān)的工作經(jīng)歷。

（二）CISAW安全運(yùn)維方向

獲證人員應(yīng)通過信息安全保障人員認(rèn)證（CISAW）安全運(yùn)維方向考試，同時(shí)至少滿足下面一項(xiàng)要求：

a) 碩士研究生（含）以上學(xué)歷，2年以上從事信息安全有關(guān)工作經(jīng)歷，并且至少1年從事與安全運(yùn)維專業(yè)方向相關(guān)的工作經(jīng)歷；

b) 本科畢業(yè)，4年以上從事信息安全有關(guān)工作經(jīng)歷，并且至少2年以上從事安全運(yùn)維專業(yè)方向相關(guān)的工作經(jīng)歷；

c) 專科畢業(yè)，6年以上從事信息安全有關(guān)工作經(jīng)歷，并且至少2年以上從事安全運(yùn)維專業(yè)方向相關(guān)的工作經(jīng)歷；

d) 7年以上從事信息安全有關(guān)工作經(jīng)歷，并且至少2年以上從事與安全運(yùn)維專業(yè)方向相關(guān)的工作經(jīng)歷；

e) 具有信息技術(shù)相關(guān)專業(yè)的中級(jí)技術(shù)職稱，并且從事至少2年以上安全運(yùn)維專業(yè)方向相關(guān)的工作經(jīng)歷。

（三）CISAW風(fēng)險(xiǎn)管理方向

獲證人員應(yīng)通過信息安全保障人員認(rèn)證（CISAW）風(fēng)險(xiǎn)管理方向考試，同時(shí)至少滿足下面一項(xiàng)要求：

a) 碩士研究生（含）以上學(xué)歷，2年以上從事信息安全有關(guān)工作經(jīng)歷，并且至少1年從事與風(fēng)險(xiǎn)管理專業(yè)方向相關(guān)的工作經(jīng)歷；

b) 本科畢業(yè)，4年以上從事信息安全有關(guān)工作經(jīng)歷，并且至少2年以上從事風(fēng)險(xiǎn)管理專業(yè)方向相關(guān)的工作經(jīng)歷；

c) 專科畢業(yè)，6年以上從事信息安全有關(guān)工作經(jīng)歷，并且至少2 年以上從事風(fēng)險(xiǎn)管理專業(yè)方向相關(guān)的工作經(jīng)歷；

d) 7年以上從事信息安全有關(guān)工作經(jīng)歷，并且至少2年以上從事與風(fēng)險(xiǎn)管理專業(yè)方向相關(guān)的工作經(jīng)歷；

e) 具有信息技術(shù)相關(guān)專業(yè)的中級(jí)技術(shù)職稱，并且從事至少2年以上風(fēng)險(xiǎn)管理專業(yè)方向相關(guān)的工作經(jīng)歷。

六、日程安排

課程體系嚴(yán)格遵照中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心的課程大綱要求。

（一）CISAW安全集成方向

時(shí)間	模塊		大綱
第一天上午	CISAW簡介		介紹信息安全的總體形勢(shì)，國家對(duì)信息安全保障人才的需求，CISAW的整體架構(gòu)與開設(shè)情況，知識(shí)體系介紹。
	基本概念		從信息、安全等基本概念出發(fā)來引入信息安全技術(shù)的講解，講解信息安全的基礎(chǔ)概念。
	CISAW模型		從PDR 到WPDRRC 系列模型出發(fā)，介紹 CISAW 統(tǒng)一模型，介紹安全保障的本質(zhì)對(duì)象、實(shí)體對(duì)象、保障環(huán)節(jié)以及模型的特點(diǎn)與核心內(nèi)容。
第一天下午	數(shù)據(jù)安全		從數(shù)據(jù)的基本概念出發(fā)，介紹動(dòng)態(tài)數(shù)據(jù)與靜態(tài)數(shù)據(jù)的安全技術(shù)與措施，具體包括基本的密碼技術(shù)與應(yīng)用，數(shù)據(jù)安全存儲(chǔ)、信息隱藏等。
第二天上午	載體安全		介紹存儲(chǔ)與傳輸數(shù)據(jù)的載體，包括物理載體和邏輯載體的安全技術(shù)與措施，包括存儲(chǔ)安全、傳輸安全、安全協(xié)議等。
	環(huán)境安全		介紹載體所依賴的外部環(huán)境的安全保障技術(shù)，包括物理環(huán)境和邏輯環(huán)境的安全技術(shù)和措施，具體包括機(jī)房安全、主機(jī)安全、訪問控制、安全審計(jì)、入侵檢測(cè)等。
第二天下午	邊界安全		介紹環(huán)境之間的邊界的安全保障技術(shù)與措施，包括物理邊界和邏輯邊界的安全技術(shù)與措施，具體包括了周界安全，網(wǎng)絡(luò)邊界安全的防火墻、網(wǎng)閘、主機(jī)邊界安全等。
第三天上午	安全集成概述		從基本概念出發(fā)，介紹安全集成的范疇，形成初步理解框架，分析安全集成的本質(zhì)問題。
	安全集成模型		給出 CISAW 安全集成模型，介紹安全集成的本質(zhì)目標(biāo)，安全集成的兩種模式和對(duì)應(yīng)的關(guān)鍵環(huán)節(jié)，對(duì)比兩種模式的差異和聯(lián)系。
	系統(tǒng)安全工程基本理論		介紹系統(tǒng)工程、系統(tǒng)安全工程的基本概念，系統(tǒng)工程基本模型。
第三天下午	SSE-CMM		介紹系統(tǒng)安全工程成熟度模型的相關(guān)概念，二維模型，三個(gè)過程域，11個(gè)相關(guān)基本慣例。
	安全集成實(shí)施過程		從安全集成模型出發(fā)，介紹兩種集成模式中的關(guān)鍵環(huán)節(jié)，和安全集成的實(shí)施過程要點(diǎn)。
第四天上午	安全技術(shù)與安全集成綜述		對(duì)安全技術(shù)與安全集成的內(nèi)容進(jìn)行回顧和串講，形成總體架構(gòu)概念。
	案例分析		給出兩種集成模式的案例，進(jìn)行安全分析和講解。
第四天下午	安全集成研討		針對(duì)安全集成的關(guān)鍵環(huán)節(jié)，給出研討題目，并分組進(jìn)行交流和研討。
第五天上午	認(rèn)證規(guī)范解讀總結(jié)與復(fù)習(xí)		對(duì)《信息安全服務(wù)規(guī)范》進(jìn)行解讀。對(duì)課程進(jìn)行總結(jié)，對(duì)重點(diǎn)知識(shí)點(diǎn)進(jìn)行復(fù)習(xí)。
第五天下午	考試		根據(jù)具體情況安排
試卷結(jié)構(gòu)	1	單選	70題，每小題1分，共70分
	2	多選	10題，每小題2分，共20分
	3	簡答	1 題，每小題6分，共6分
	4	綜合應(yīng)用	2 題，每小題12分，共24分
	5	合計(jì)	120分，84分合格

（二）CISAW安全運(yùn)維方向

時(shí)間	模塊		大綱
第一天上午	CISAW 知識(shí)體系		討論信息安全形勢(shì)，介紹信息安全基本概念和發(fā)展歷程、法律法規(guī)。介紹 CISAW 知識(shí)體系的核心理念，重點(diǎn)講解CISAW 信息安全保障模型和基本內(nèi)容、信息安全技術(shù)綜述等
第一天上午	安全運(yùn)維模型		討論運(yùn)維過程中的安全事件，介紹安全運(yùn)維和運(yùn)維安全兩種模式的基本概念、詳細(xì)分析信息系統(tǒng)安全運(yùn)維模型，講解模型各元素的關(guān)系和安全運(yùn)維和運(yùn)維安全兩種模式的含義、區(qū)別和聯(lián)系
第一天下午	安全運(yùn)維綜述		介紹安全運(yùn)維體系框架，分別從安全運(yùn)維、運(yùn)維安全、合規(guī)性要求、評(píng)審和改進(jìn)等方面進(jìn)行闡述。安全運(yùn)維中重點(diǎn)描述運(yùn)維主體、運(yùn)維對(duì)象、運(yùn)維流程、支撐平臺(tái)和運(yùn)維活動(dòng)，運(yùn)維安全重點(diǎn)分析安全運(yùn)維過程中可能衍生風(fēng)險(xiǎn)，介紹風(fēng)險(xiǎn)處置和過程監(jiān)控手段。
第二天上午	合規(guī)要求		介紹安全運(yùn)維的合規(guī)要求，即安全運(yùn)維工作應(yīng)該符合的法律法規(guī)、標(biāo)準(zhǔn)規(guī)范、安全管理制度及監(jiān)管要求等。
第二天下午	安全策略		介紹在安全運(yùn)維策略在安全運(yùn)維活動(dòng)中的作用，重點(diǎn)介紹安全運(yùn)維中策略的定義、作用和層次，從安全運(yùn)維對(duì)象為基礎(chǔ)從決策層、管理層和實(shí)施層三個(gè)維度來介紹安全策略。以案例的方式介紹決策層安全運(yùn)維綱領(lǐng)性方針，管理層安全規(guī)范和制度體系，實(shí)施層落實(shí)到安全運(yùn)維對(duì)象的具體技術(shù)點(diǎn)和管控點(diǎn)。
第三天上午	運(yùn)維準(zhǔn)備		從實(shí)施信息系統(tǒng)安全運(yùn)維的角度，介紹如何明確安全運(yùn)維需求，并以此形服務(wù)策劃，組建服務(wù)團(tuán)隊(duì)、編制運(yùn)維服務(wù)預(yù)算和確定運(yùn)維服務(wù)范圍，建立科學(xué)規(guī)范的安全運(yùn)維管理體系。以案例的方式詳細(xì)介紹運(yùn)維準(zhǔn)備工作的各個(gè)環(huán)節(jié)，包括安全運(yùn)維需求分析、運(yùn)維策劃、運(yùn)維預(yù)算、運(yùn)維對(duì)象、運(yùn)維外包及準(zhǔn)備要點(diǎn)所包括的主要內(nèi)容。
第三天下午	運(yùn)維實(shí)施		以案例的方式重點(diǎn)介紹日常安全運(yùn)維的工作內(nèi)容，包括例行巡檢、故障處理、安全審計(jì)、安全通告。以及安全運(yùn)維工作組織保障、針對(duì)各類對(duì)象的相應(yīng)的運(yùn)維內(nèi)容以及日常運(yùn)維工作的實(shí)施流程。
第四天上午	運(yùn)維實(shí)施		以案例的方式介紹應(yīng)急響應(yīng)的內(nèi)容，包括事件的分類、分級(jí)和識(shí)別以及安全事件應(yīng)急響應(yīng)服務(wù)主要包括的內(nèi)容，以及應(yīng)急響應(yīng)的流程及各個(gè)階段工作內(nèi)容。以案例方式介紹優(yōu)化改善實(shí)施和監(jiān)管評(píng)估工作的內(nèi)容、原則和工作方式以及工作組織保障的要求。
第四天下午	運(yùn)維安全		以案例方式介紹運(yùn)維安全的重要環(huán)節(jié)，使學(xué)員可以從風(fēng)險(xiǎn)的角度，運(yùn)用風(fēng)險(xiǎn)管理中的風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)處置的知識(shí)理論,結(jié)合系統(tǒng)運(yùn)維管理流程,探討在安全運(yùn)維過程中如何降低安全風(fēng)險(xiǎn)，保障信息系統(tǒng)運(yùn)行的方法。
第五天上午	運(yùn)維及改進(jìn)		從運(yùn)維評(píng)審和持續(xù)改進(jìn)兩個(gè)方面介紹安全運(yùn)維過程有效性評(píng)估的概念、原則和特點(diǎn)，重點(diǎn)講解對(duì)安全設(shè)備、應(yīng)用系統(tǒng)和基礎(chǔ)設(shè)施運(yùn)維的有效性評(píng)估要點(diǎn)；學(xué)習(xí)掌握日常運(yùn)維改進(jìn)和應(yīng)急體系完善的方法。
第五天下午	考試		根據(jù)具體情況安排
試卷結(jié)構(gòu)	1	單選	60題，每小題1分共60分
	2	多選	10 題，每小題 2 分，共 20 分
	3	簡答	1 題，每小題 10分，共 10分
	4	實(shí)驗(yàn)題	2 題，每小題 15分，共 30分
	5	合計(jì)	120分，84分合格

（三）CISAW風(fēng)險(xiǎn)管理方向

時(shí)間	模塊		大綱
第一天上午	風(fēng)險(xiǎn)管理基本概念		1. 概述 2. 風(fēng)險(xiǎn)管理基本概念 3、風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系
第一天下午	風(fēng)險(xiǎn)管理相關(guān)標(biāo)準(zhǔn)		1. 風(fēng)險(xiǎn)管理標(biāo)準(zhǔn) ISO 31000 2. 信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn) ISO/IEC 27005 3. 信息安全風(fēng)險(xiǎn)管理評(píng)估標(biāo)準(zhǔn) GB/T 20984
第二天上午	項(xiàng)目準(zhǔn)備和風(fēng)險(xiǎn)識(shí)別（一）		1. 項(xiàng)目管理基礎(chǔ)和環(huán)境建立 2. 發(fā)展戰(zhàn)略和業(yè)務(wù)識(shí)別 3. 資產(chǎn)識(shí)別
第二天下午	風(fēng)險(xiǎn)識(shí)別（二）		1. 威脅識(shí)別 2. 脆弱性識(shí)別 3. 已有安全措施識(shí)別
第三天上午	風(fēng)險(xiǎn)分析與評(píng)價(jià)		1. 風(fēng)險(xiǎn)分析 2. 風(fēng)險(xiǎn)計(jì)算 3. 風(fēng)險(xiǎn)評(píng)價(jià)及評(píng)估文檔輸出
第三天下午	風(fēng)險(xiǎn)處置與監(jiān)控		1. 風(fēng)險(xiǎn)處置概述 2. 風(fēng)險(xiǎn)處置及風(fēng)險(xiǎn)接受 3. 溝通咨詢及監(jiān)視評(píng)審
第四天上午	技術(shù)脆弱性識(shí)別（一）		1. 物理脆弱性別技術(shù)及案例分析 2. 網(wǎng)絡(luò)脆弱性識(shí)別技術(shù)及案例分析 3. 系統(tǒng)脆弱性識(shí)別技術(shù)及案例分析
第四天下午	技術(shù)脆弱性識(shí)別（二）與管理脆弱性識(shí)別		1. 應(yīng)用脆弱性識(shí)別技術(shù)及案例分析 2. 數(shù)據(jù)脆弱性識(shí)別技術(shù)及案例分析 3. 管理脆弱性識(shí)別技術(shù)及案例分析
第五天上午	復(fù)習(xí)串講		1. 串講課程重點(diǎn)知識(shí)點(diǎn)。 2. 現(xiàn)場(chǎng)答疑
第五天下午	考試		根據(jù)具體情況安排
試卷結(jié)構(gòu)	1	單選	70題，每小題1分，共70分
	2	多選	10 題，每小題 2 分，共 20 分
	3	簡答	1 題，每小題 10分，共 10分
	4	計(jì)算	1題，每小題 10分，共 10分
	5	綜合	1題，每小題 10分，共 10分
	6	合計(jì)	120分，84分合格