CISM大纲.docxVIP

文件编号：CNITSEC-CISM-201版本：中国信息安全测评中心发布日期：2013年8月?版权2013—中国信息安全测评中心目录前言11注册信息安全员（CISM）知识体系概述11.1 CISM资质介绍11.2 CISM知识体系介绍11.2.1大纲范围11.2.2知识体系结构11.2.3课程时间安排32知识类：信息安全保障基础42.1知识体：信息安全保障框架42.2知识体：国家信息安全政策法规43知识类：信息安全技术43.1知识体：密码和网络安全技术43.2知识体：系统及应用安全53.3知识体：恶意代码及网络安全攻防64知识类：信息安全管理64.1知识体：信息安全管理基础64.2知识体：信息安全管理方法75知识类：信息安全工程75.1知识体：信息安全工程基础75.2知识体：安全工程能力成熟度模型85.3知识体：信息系统安全工程生命周期8前言信息安全作为我国信息化建设健康发展的重要因素，关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施，是国家安全的重要组成部分。在信息系统安全保障工作中，人是最核心、也是最活跃的因素，人员的信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。注册信息安全员（CISM）是由中国信息安全测评中心向政府机构、社会团体、企事业单位中的信息安全工作人员颁发的专业资质证书，是对我国信息安全人员进行资质评定的重要形式之一。持证人员掌握保障信息系统安全的基本知识和技能，具备从事信息安全相关工作的基本能力。CISM知识体系大纲面向注册信息安全培训人员，以及信息系统维护人员的工作需求，注重基本知识和实践操作。大纲内容从我国国情出发，根据地方/行业信息安全管理的实际工作需要，以实用性和操作性为原则，明确规定了CISM应当掌握的知识要点，是CISM教材编制、讲师授课、学员学习，以及考试命题的重要依据。注册信息安全员（CISM）知识体系概述CISM资质介绍“注册信息安全员”，英文为Certified Information Security Member ，简称CISM。CISM面向政府机构、社会团体、企事业单位中从事信息安全相关工作的人员。CISM证书由中国信息安全测评中心颁发，持证人员掌握保障信息系统安全的基本知识和技能，具备从事信息安全相关工作的基本能力。CISM知识体系介绍大纲范围本大纲涵盖了CISM注册人员需要掌握的知识要点，主要包括信息安全保障基础、信息安全技术、信息安全管理、信息安全工程以及“地方/行业信息安全”五部分，其中“地方/行业信息安全”由地方或行业自行定制，属于可选内容。知识体系结构CISM知识体系使用层次化、组件化和模块化的结构，即CISM知识体系使用知识类（缩写为PT）、知识体（缩写为BD）和知识域（缩写为KA）的结构。其中，每个知识类根据其逻辑划分为一个或多个知识体（BD），每个知识体包含一个或多个知识域（KA）。描述了CISM知识体系的层次结构：图11：CISM知识体系的层次结构在整个注册信息安全员（CISM）的知识体系结构中，共包括四个必修知识类和一个可选知识类，其中必修知识类为信息安全保障基础、信息安全技术、信息安全管理和信息安全工程，可选知识类为地方/行业信息安全，分别为：信息安全保障基础：本知识类介绍信息安全有关的基本概念和模型、我国有关的信息安全保障实践工作和信息安全政策法规。本知识类是CISM知识体系的基础知识。信息安全技术：主要包括密码和网络安全技术、操作系统与应用安全、恶意代码及网络安全攻防三个知识体。信息安全管理：主要包括信息安全管理基础和信息安全管理方法两个方面的内容。信息安全工程：主要包括信息安全工程基础、安全工程能力成熟度模型和信息系统安全工程生命周期三个方面的内容。地方/行业信息安全：本知识类为可选内容，各地或各行业可根据自身信息安全管理需求定制课程内容，包括地方/行业信息安全法规政策、行业安全技术、行业安全管理特点等，具体内容不在本大纲中介绍。在中，从整体上描述了CISM的知识体系结构框架。图12：CISM知识体系结构框架课程时间安排根据CISM知识体系大纲和教材内容，给出了三天培训内容和课时安排，如下所示。表11 CISM课程时间安排课程编号课程名课程介绍课时CISM0101信息安全保障基础介绍信息安全保障基本知识，信息安全保障框架模型、信息安全保障实践，以及国家信息安全政策法规方面知识。3CISM0102信息安全工程介绍信息安全工程基础知识， SSE-CMM模型及信息系统安全生命周期等内容。3 CISM0201信息安全管理介绍安全管理和风险管理的概念，以及安全管理的基本措施等知识。3 CISM0202密码和网络安全技术介绍密码基本知识、网络安全基础知识，及典型网络安全设备。3CISM