您現在的位置：首頁 > 企業內訓 > 信息安全 > 信息安全保障人員CISAW認證

信息安全保障人員CISAW認證

2022-11-10 11:09:02　|　來源：企業IT培訓

一、課程簡介

信息安全保障人員認證（CISAW）是中國網絡安全審查技術與認證中心（原中國信息安全認證中心）歷經六年，集業界專家、企業精英、高校及研究機構學者參與打磨的針對信息安全保障不同專業技術方向、應用領域和保障崗位，依據國際標準ISO/IEC 17024《人員認證機構通用要求》所建立的、不同層次的信息安全保障人員認證體系。

中國網絡安全審查技術與認證中心（英文縮寫為：CCRC,原為中國信息安全認證中心）于2006年由中央機構編制委員會辦公室批準成立，為國家市場監督管理總局直屬正司局級事業單位。

二、開班計劃

CISAW課程方向	CISAW安全集成	CISAW安全運維	CISAW風險管理
培訓地點	北京	北京	北京
培訓時間	隨報隨學	隨報隨學	隨報隨學

三、授課專家

由中國網絡安全審查技術與認證中心統一安排信息安全專家授課。

四、考試&取證

CISAW考試由中國網絡安全審查技術與認證中心組織實施。

本考試為筆試試卷，滿分120分。考試時間為150分鐘，84分（含）為合格分。如考生有作弊行為則該考生最終筆試成績為0分。考生筆試考試成績為“合格”的，該考生可根據《信息安全保障人員認證準則》相關要求，申請專業級認證證書。

五、報考條件

（一）CISAW安全集成方向

獲證人員應通過信息安全保障人員認證（CISAW）安全集成方向考試，同時至少滿足下面一項要求：

a) 碩士研究生（含）以上學歷，2年以上從事信息安全有關工作經歷，并且至少1年從事與安全集成專業方向相關的工作經歷；

b) 本科畢業，4年以上從事信息安全有關工作經歷，并且至少2年以上從事安全集成專業方向相關的工作經歷；

c) 專科畢業，6年以上從事信息安全有關工作經歷，并且至少2年以上從事安全集成專業方向相關的工作經歷；

d) 7年以上從事信息安全有關工作經歷，并且至少2年以上從事與安全集成專業方向相關的工作經歷；

e) 具有信息技術相關專業的中級技術職稱，并且從事至少2年以上安全集成專業方向相關的工作經歷。

（二）CISAW安全運維方向

獲證人員應通過信息安全保障人員認證（CISAW）安全運維方向考試，同時至少滿足下面一項要求：

a) 碩士研究生（含）以上學歷，2年以上從事信息安全有關工作經歷，并且至少1年從事與安全運維專業方向相關的工作經歷；

b) 本科畢業，4年以上從事信息安全有關工作經歷，并且至少2年以上從事安全運維專業方向相關的工作經歷；

c) 專科畢業，6年以上從事信息安全有關工作經歷，并且至少2年以上從事安全運維專業方向相關的工作經歷；

d) 7年以上從事信息安全有關工作經歷，并且至少2年以上從事與安全運維專業方向相關的工作經歷；

e) 具有信息技術相關專業的中級技術職稱，并且從事至少2年以上安全運維專業方向相關的工作經歷。

（三）CISAW風險管理方向

獲證人員應通過信息安全保障人員認證（CISAW）風險管理方向考試，同時至少滿足下面一項要求：

a) 碩士研究生（含）以上學歷，2年以上從事信息安全有關工作經歷，并且至少1年從事與風險管理專業方向相關的工作經歷；

b) 本科畢業，4年以上從事信息安全有關工作經歷，并且至少2年以上從事風險管理專業方向相關的工作經歷；

c) 專科畢業，6年以上從事信息安全有關工作經歷，并且至少2 年以上從事風險管理專業方向相關的工作經歷；

d) 7年以上從事信息安全有關工作經歷，并且至少2年以上從事與風險管理專業方向相關的工作經歷；

e) 具有信息技術相關專業的中級技術職稱，并且從事至少2年以上風險管理專業方向相關的工作經歷。

六、日程安排

課程體系嚴格遵照中國網絡安全審查技術與認證中心的課程大綱要求。

（一）CISAW安全集成方向

時間	模塊		大綱
第一天上午	CISAW簡介		介紹信息安全的總體形勢，國家對信息安全保障人才的需求，CISAW的整體架構與開設情況，知識體系介紹。
	基本概念		從信息、安全等基本概念出發來引入信息安全技術的講解，講解信息安全的基礎概念。
	CISAW模型		從PDR 到WPDRRC 系列模型出發，介紹 CISAW 統一模型，介紹安全保障的本質對象、實體對象、保障環節以及模型的特點與核心內容。
第一天下午	數據安全		從數據的基本概念出發，介紹動態數據與靜態數據的安全技術與措施，具體包括基本的密碼技術與應用，數據安全存儲、信息隱藏等。
第二天上午	載體安全		介紹存儲與傳輸數據的載體，包括物理載體和邏輯載體的安全技術與措施，包括存儲安全、傳輸安全、安全協議等。
	環境安全		介紹載體所依賴的外部環境的安全保障技術，包括物理環境和邏輯環境的安全技術和措施，具體包括機房安全、主機安全、訪問控制、安全審計、入侵檢測等。
第二天下午	邊界安全		介紹環境之間的邊界的安全保障技術與措施，包括物理邊界和邏輯邊界的安全技術與措施，具體包括了周界安全，網絡邊界安全的防火墻、網閘、主機邊界安全等。
第三天上午	安全集成概述		從基本概念出發，介紹安全集成的范疇，形成初步理解框架，分析安全集成的本質問題。
	安全集成模型		給出 CISAW 安全集成模型，介紹安全集成的本質目標，安全集成的兩種模式和對應的關鍵環節，對比兩種模式的差異和聯系。
	系統安全工程基本理論		介紹系統工程、系統安全工程的基本概念，系統工程基本模型。
第三天下午	SSE-CMM		介紹系統安全工程成熟度模型的相關概念，二維模型，三個過程域，11個相關基本慣例。
	安全集成實施過程		從安全集成模型出發，介紹兩種集成模式中的關鍵環節，和安全集成的實施過程要點。
第四天上午	安全技術與安全集成綜述		對安全技術與安全集成的內容進行回顧和串講，形成總體架構概念。
	案例分析		給出兩種集成模式的案例，進行安全分析和講解。
第四天下午	安全集成研討		針對安全集成的關鍵環節，給出研討題目，并分組進行交流和研討。
第五天上午	認證規范解讀總結與復習		對《信息安全服務規范》進行解讀。對課程進行總結，對重點知識點進行復習。
第五天下午	考試		根據具體情況安排
試卷結構	1	單選	70題，每小題1分，共70分
	2	多選	10題，每小題2分，共20分
	3	簡答	1 題，每小題6分，共6分
	4	綜合應用	2 題，每小題12分，共24分
	5	合計	120分，84分合格

（二）CISAW安全運維方向

時間	模塊		大綱
第一天上午	CISAW 知識體系		討論信息安全形勢，介紹信息安全基本概念和發展歷程、法律法規。介紹 CISAW 知識體系的核心理念，重點講解CISAW 信息安全保障模型和基本內容、信息安全技術綜述等
第一天上午	安全運維模型		討論運維過程中的安全事件，介紹安全運維和運維安全兩種模式的基本概念、詳細分析信息系統安全運維模型，講解模型各元素的關系和安全運維和運維安全兩種模式的含義、區別和聯系
第一天下午	安全運維綜述		介紹安全運維體系框架，分別從安全運維、運維安全、合規性要求、評審和改進等方面進行闡述。安全運維中重點描述運維主體、運維對象、運維流程、支撐平臺和運維活動，運維安全重點分析安全運維過程中可能衍生風險，介紹風險處置和過程監控手段。
第二天上午	合規要求		介紹安全運維的合規要求，即安全運維工作應該符合的法律法規、標準規范、安全管理制度及監管要求等。
第二天下午	安全策略		介紹在安全運維策略在安全運維活動中的作用，重點介紹安全運維中策略的定義、作用和層次，從安全運維對象為基礎從決策層、管理層和實施層三個維度來介紹安全策略。以案例的方式介紹決策層安全運維綱領性方針，管理層安全規范和制度體系，實施層落實到安全運維對象的具體技術點和管控點。
第三天上午	運維準備		從實施信息系統安全運維的角度，介紹如何明確安全運維需求，并以此形服務策劃，組建服務團隊、編制運維服務預算和確定運維服務范圍，建立科學規范的安全運維管理體系。以案例的方式詳細介紹運維準備工作的各個環節，包括安全運維需求分析、運維策劃、運維預算、運維對象、運維外包及準備要點所包括的主要內容。
第三天下午	運維實施		以案例的方式重點介紹日常安全運維的工作內容，包括例行巡檢、故障處理、安全審計、安全通告。以及安全運維工作組織保障、針對各類對象的相應的運維內容以及日常運維工作的實施流程。
第四天上午	運維實施		以案例的方式介紹應急響應的內容，包括事件的分類、分級和識別以及安全事件應急響應服務主要包括的內容，以及應急響應的流程及各個階段工作內容。以案例方式介紹優化改善實施和監管評估工作的內容、原則和工作方式以及工作組織保障的要求。
第四天下午	運維安全		以案例方式介紹運維安全的重要環節，使學員可以從風險的角度，運用風險管理中的風險識別、風險分析、風險處置的知識理論,結合系統運維管理流程,探討在安全運維過程中如何降低安全風險，保障信息系統運行的方法。
第五天上午	運維及改進		從運維評審和持續改進兩個方面介紹安全運維過程有效性評估的概念、原則和特點，重點講解對安全設備、應用系統和基礎設施運維的有效性評估要點；學習掌握日常運維改進和應急體系完善的方法。
第五天下午	考試		根據具體情況安排
試卷結構	1	單選	60題，每小題1分共60分
	2	多選	10 題，每小題 2 分，共 20 分
	3	簡答	1 題，每小題 10分，共 10分
	4	實驗題	2 題，每小題 15分，共 30分
	5	合計	120分，84分合格

（三）CISAW風險管理方向

時間	模塊		大綱
第一天上午	風險管理基本概念		1. 概述 2. 風險管理基本概念 3、風險管理標準體系
第一天下午	風險管理相關標準		1. 風險管理標準 ISO 31000 2. 信息安全風險管理標準 ISO/IEC 27005 3. 信息安全風險管理評估標準 GB/T 20984
第二天上午	項目準備和風險識別（一）		1. 項目管理基礎和環境建立 2. 發展戰略和業務識別 3. 資產識別
第二天下午	風險識別（二）		1. 威脅識別 2. 脆弱性識別 3. 已有安全措施識別
第三天上午	風險分析與評價		1. 風險分析 2. 風險計算 3. 風險評價及評估文檔輸出
第三天下午	風險處置與監控		1. 風險處置概述 2. 風險處置及風險接受 3. 溝通咨詢及監視評審
第四天上午	技術脆弱性識別（一）		1. 物理脆弱性別技術及案例分析 2. 網絡脆弱性識別技術及案例分析 3. 系統脆弱性識別技術及案例分析
第四天下午	技術脆弱性識別（二）與管理脆弱性識別		1. 應用脆弱性識別技術及案例分析 2. 數據脆弱性識別技術及案例分析 3. 管理脆弱性識別技術及案例分析
第五天上午	復習串講		1. 串講課程重點知識點。 2. 現場答疑
第五天下午	考試		根據具體情況安排
試卷結構	1	單選	70題，每小題1分，共70分
	2	多選	10 題，每小題 2 分，共 20 分
	3	簡答	1 題，每小題 10分，共 10分
	4	計算	1題，每小題 10分，共 10分
	5	綜合	1題，每小題 10分，共 10分
	6	合計	120分，84分合格