信息安全保障人員CISAW認證
信息安全保障人員認證(CISAW)是中國網絡安全審查技術與認證中心歷經六年,集業界專家、企業精英、高校及研究機構學者參與打磨的針對信息安全保障不同專業技術方向、應用領域和保障崗位,依據國際標準ISO/IEC 17024《人員認證機構通用要求》所建立的、不同層次的信息安全保障人員認證體系。
CISAW證書樣本
400-626-7377
400-626-7377
信息安全保障人員認證(CISAW)是中國網絡安全審查技術與認證中心歷經六年,集業界專家、企業精英、高校及研究機構學者參與打磨的針對信息安全保障不同專業技術方向、應用領域和保障崗位,依據國際標準ISO/IEC 17024《人員認證機構通用要求》所建立的、不同層次的信息安全保障人員認證體系。
CISAW證書樣本
信息安全保障人員按照信息安全保障的技術專業方向和行業領域方向分別進行分類,技術專業方向共有 13 個,行業領域方向共有3 個。
中國網絡安全審查技術與認證中心(原中國信息安全認證中心),是依據《國家網絡安全法》和國家有關強制性產品認證、網絡安全管理法規,負責實施網絡安全審查和認證的專門機構。中心為國家市場監督管理總局直屬事業單位,系第三方公正機構和法人實體。在業務上接受中共中央網絡安全和信息化委員會辦公室指導。
· 證明個人安全專業水平
· 提高信息安全相關的技術知識與應用能力
· 滿足相關部門對上崗人員要求的資格證明和能力證明
· 薪資翻倍,相關崗位持有CISAW證書優先錄取
· 滿足甲方對項目人員的資質要求
· 衡量企業安全服務能力的一項重要指標
· 企業申請CCRC信息安全服務資質證書申請的必備條件
· 信息安全從業人員不到百萬,人才缺口極大
· 通過培訓學習新技術,提升應用能力,更受歡迎
· 安全人員持證上崗滿足政策部門合規要求
· 落實《網絡安全法》對關鍵崗位的要求
· 提高信息系統安全性及網絡安全技能
主要對認證申請人員在信息系統安全集成方面的基礎知識和基本技能的掌握程度與綜合運用所學知識分析、解決安全集成問題的能力進行認證。
IT行業中涉及信息系統安全開發與建設、安全加固、安全優化、安全需求分析、安全設計、安全實施和安全保障等工作相關的管理人員、技術人員、維護人員和使用人員。
獲證人員應通過信息安全保障人員CISAW認證安全集成方向考試,同時至少滿足下面一項要求:
a) 碩士研究生(含)以上學歷,2年以上從事信息安全有關工作經歷,并且至少1年從事與安全集成專業方向相關的工作經歷。
b) 本科畢業,4年以上從事信息安全有關工作經歷,并且至少2年以上從事與安全集成專業方向相關的工作經歷。
c) 專科畢業,6年以上從事信息安全有關工作經歷,并且至少2年以上從事與安全集成專業方向相關的工作經歷。
d) 7年以上從事信息安全有關工作經歷,并且至少2年以上從事與安全集成專業方向相關的工作經歷。
e) 具有信息技術相關專業的中級技術職稱,并且從事至少2年以上安全集成專業方向相關的工作經歷。
主要對認證申請人員對安全運維模型、業界最佳實踐、相關標準和法律法規的理解能力;綜合利用管理措施和技術手段實施安全服務,建立安全運維服務的管理流程和管控方法的能力;風險評估、分析、處置、監控的能力和對服務有效性進行評估并持續改進的能力進行認證。
各行業領域從事信息系統安全運維服務及相關工作的運維人員、管理人員、骨干技術人員、各級領導和核心人員。包括CIO、運維部門經理、信息安全經理、運維管理人員、運行維護人員和IT人員等。
獲證人員應通過信息安全保障人員CISAW認證安全運維方向考試,同時至少滿足下面一項要求:
a) 碩士研究生(含)以上學歷,2年以上從事信息安全有關工作經歷,并且至少1年從事與安全運維專業方向相關的工作經歷。
b) 本科畢業,4年以上從事信息安全有關工作經歷,并且至少2年以上從事與安全運維專業方向相關的工作經歷。
c) 專科畢業,6年以上從事信息安全有關工作經歷,并且至少2年以上從事與安全運維專業方向相關的工作經歷。
d) 7年以上從事信息安全有關工作經歷,并且至少2年以上從事與安全運維專業方向相關的工作經歷。
e) 具有信息技術相關專業的中級技術職稱,并且從事至少2年以上安全運維專業方向相關的工作經歷。
著重考查認證申請人員在信息安全風險管理方面的基礎知識、基本技能、綜合運用所學知識分析和解決實際問題的能力。
政府部門、企事業單位從事網絡與信息安全服務的各級管理人員和技術人員,特別是從事信息安全風險管理、信息安全風險評估的專業人員,以及與信息安全保障工作相關的人員。
獲證人員應通過信息安全保障人員CISAW認證風險管理方向考試,同時至少滿足下面一項要求:
a) 碩士研究生(含)以上學歷,2年以上從事信息安全有關工作經歷,并且至少1年從事與風險管理專業方向相關的工作經歷。
b) 本科畢業,4年以上從事信息安全有關工作經歷,并且至少2年以上從事與風險管理專業方向相關的工作經歷。
c) 專科畢業,6年以上從事信息安全有關工作經歷,并且至少2年以上從事與風險管理專業方向相關的工作經歷。
d) 7年以上從事信息安全有關工作經歷,并且至少2年以上從事與風險管理專業方向相關的工作經歷。
e) 具有信息技術相關專業的中級技術職稱,并且從事至少2年以上風險管理專業方向相關的工作經歷。
19年IT培訓經驗
老牌培訓機構信得過
官方授權
培訓質量有保證
CISAW考試
通過率高
講師項目在職
經驗豐富 技術主流
教輔材料豐富
實驗/考試全覆蓋
移動端刷題
靈活高效
| 時間 | 模塊 | 大綱 |
|---|---|---|
| 第一天上午 | CISAW簡介 | 介紹信息安全的總體形勢,國家對信息安全保障人才的需求,CISAW的整體架構與開設情況,知識體系介紹。 |
| 基本概念 | 從信息、安全等基本概念出發來引入信息安全技術的講解,講解信息安全的基礎概念。 | |
| CISAW模型 | 從PDR 到WPDRRC 系列模型出發,介紹 CISAW統一模型,介紹安全保障的本質對象、實體對象、保障環節以及模型的特點與核心內容。 | |
| 第一天下午 | 數據安全 | 從數據的基本概念出發,介紹動態數據與靜態數據的安全技術與措施,具體包括基本的密碼技術與應用,數據安全存儲、信息隱藏等。 |
| 第二天上午 | 載體安全 | 介紹存儲與傳輸數據的載體,包括物理載體和邏輯載體的安全技術與措施,包括存儲安全、傳輸安全、安全協議等。 |
| 環境安全 | 介紹載體所依賴的外部環境的安全保障技術,包括物理環境和邏輯環境的安全技術和措施,具體包括機房安全、主機安全、訪問控制、安全審計、入侵檢測等。 | |
| 第二天下午 | 邊界安全 | 介紹環境之間的邊界的安全保障技術與措施,包括物理邊界和邏輯邊界的安全技術與措施,具體包括了周界安全,網絡邊界安全的防火墻、網閘、主機邊界安全等。 |
| 第三天上午 | 安全集成概述 | 從基本概念出發,介紹安全集成的范疇,形成初步理解框架,分析安全集成的本質問題。 |
| 安全集成模型 | 給出 CISAW安全集成模型,介紹安全集成的本質目標,安全集成的兩種模式和對應的關鍵環節,對比兩種模式的差異和聯系。 | |
| 系統安全工程基本理論 | 介紹系統工程、系統安全工程的基本概念,系統工程基本模型。 | |
| 第三天下午 | SSE-CMM | 介紹系統安全工程成熟度模型的相關概念,二維模型,三個過程域,11個相關基本慣例。 |
| 安全集成實施過程 | 從安全集成模型出發,介紹兩種集成模式中的關鍵環節,和安全集成的實施過程要點。 | |
| 第四天上午 | 安全技術與安全集成綜述 | 對安全技術與安全集成的內容進行回顧和串講,形成總體架構概念。 |
| 案例分析 | 給出兩種集成模式的案例,進行安全分析和講解。 | |
| 第四天下午 | 安全集成研討 | 針對安全集成的關鍵環節,給出研討題目,并分組進行交流和研討。 |
| 第五天上午 | 認證規范解讀總結與復習 | 對《信息安全服務規范》進行解讀。對課程進行總結,對重點知識點進行復習。 |
| 第五天下午 | 考試 | 根據具體情況安排 |
| 時間 | 模塊 | 大綱 |
|---|---|---|
| 第一天上午 | CISAW 知識體系 | 討論信息安全形勢,介紹信息安全基本概念和發展歷程、法律法規。介紹 CISAW 知識體系的核心理念,重點講解CISAW 信息安全保障模型和基本內容、信息安全技術綜述等 |
| 安全運維模型 | 討論運維過程中的安全事件,介紹安全運維和運維安全兩種模式的基本概念、詳細分析信息系統安全運維模型,講解模型各元素的關系和安全運維和運維安全兩種模式的含義、區別和聯系 | |
| 第一天下午 | 安全運維綜述 | 介紹安全運維體系框架,分別從安全運維、運維安全、合規性要求、評審和改進等方面進行闡述。安全運維中重點描述運維主體、運維對象、運維 流程、支撐平臺和運維活動, 運維安全重點分析安全運維過程中可能衍生風險,介紹風險處置和過程監控手段。 |
| 第二天上午 | 合規要求 | 介紹安全運維的合規要求,即安全運維工作應該符合的法律法規、標準規范、安全管理制度及監管要求等。 |
| 第二天下午 | 安全策略 | 介紹在安全運維策略在安全運維活動中的作用,重點介紹安全運維中策略的定義、作用和層次,從安全運維對象為基礎從決策層、管理層和實施層三個維度來介紹安全策略。以案例的方式介紹決策層安全運維綱領性方針,管理層安全規范和制度體系,實施層落實到安全運維對象的具體技術點和管控點。 |
| 第三天上午 | 運維準備 | 從實施信息系統安全運維的角度,介紹如何明確安全運維需求,并以此形服務策劃,組建服務團隊、編制運維服務預算和確定運維服務范圍,建立科學規范的安全運維管理體系。以案例的方式詳細介紹運維準備工作的各個環節,包括安全運維需求分析、運維策劃、運維預算、運維對象、運維外包及準備要點所包括的主要內容。 |
| 第三天下午 | 運維實施 | 以案例的方式重點介紹日常安全運維的工作內容,包括例行巡檢、故障處理、安全審計、安全通告。以及安全運維工作組織保障、針對各類對象的相應的運維內容以及日常運維工作的實施流程。 |
| 第四天上午 | 運維實施 | 以案例的方式介紹應急響應的內容,包括事件的分類、分級和識別以及安全事件應急響應服務主要包括的內容,以及應急響應的流程及各個階段工作內容。以案例方式介紹優化改善實施和監管評估工作的內容、原則和工作方式以及工作組織保障的要求。 |
| 第四天下午 | 運維安全 | 以案例方式介紹運維安全的重要環節,使學員可以從風險的角度,運用風險管理中的風險識別、風險分析、風險處置的知識理論,結合系統運維管 理流程,探討在安全運維過程中如何降低安全風險,保障信息系統運行的方法。 |
| 第五天上午 | 運維及改進 | 從運維評審和持續改進兩個方面介紹安全運維過程有效性評估的概念、原則和特點,重點講解對安全設備、應用系統和基礎設施運維的有效性評估要點;學習掌握日常運維改進和應急體系完善的方法。 |
| 第五天下午 | 考試 | 根據具體情況安排 |
| 時間 | 模塊 | 大綱 |
|---|---|---|
| 第一天上午 | 風險管理基本概念 | 1. 概述 2. 風險管理基本概念 3、風險管理標準體系 |
| 第一天下午 | 風險管理相關標準 | 1. 風險管理標準 ISO 31000 2. 信息安全風險管理標準 ISO/IEC 27005 3. 信息安全風險管理評估標準 GB/T 20984 |
| 第二天上午 | 項目準備和風險識別(一) | 1. 項目管理基礎和環境建立 2. 發展戰略和業務識別 3. 資產識別 |
| 第二天下午 | 風險識別(二) | 1. 威脅識別 2. 脆弱性識別 3. 已有安全措施識別 |
| 第三天上午 | 風險分析與評價 | 1. 風險分析 2. 風險計算 3. 風險評價及評估文檔輸出 |
| 第三天下午 | 風險處置與監控 | 1. 風險處置概述 2. 風險處置及風險接受 3. 溝通咨詢及監視評審 |
| 第四天上午 | 技術脆弱性識別(一) | 1. 物理脆弱性別技術及案例分析 2. 網絡脆弱性識別技術及案例分析 3. 系統脆弱性識別技術及案例分析 |
| 第四天下午 | 技術脆弱性識別(二)與管理脆弱性識別 | 1. 應用脆弱性識別技術及案例分析 2. 數據脆弱性識別技術及案例分析 3. 管理脆弱性識別技術及案例分析 |
| 第五天上午 | 復習串講 | 1. 串講課程重點知識點。 2. 現場答疑 |
| 第五天下午 | 考試 | 根據具體情況安排 |