注册信息安全专业人员（CISP）知识体系大纲发布日期：2009年5月1日版本：1.2中国信息安全测评中心©版权2009—中国信息安全测评中心注册信息安全专业人员（CISP）知识体系大纲咨询及索取关于中国信息安全测评中心信息安全人员培训相关的文件，请与中国信息安全测评中心信息系统测评服务部接洽。

在中国信息安全测评中心网址：上可获取本文件。

版权©版权2008—中国信息安全测评中心联系信息关于中国信息安全测评中心（CNITSEC）信息安全人员培训相关的更多信息，请与中国信息安全测评中心（CNITSEC）联系：联系方式：中国信息安全测评中心信息安全测评服务部【联系地址】北京市海淀区上地西路8号院1号楼【邮政编码】100085【电话】【传真】(010)【电子邮件】目录目录.................................................................................................................. I I 图表. (IV)注册信息安全专业人员（CISP）知识体系介绍 (1)第1 章注册信息安全专业人员（CISP）知识体系概述 (2)1.1 CISP资质证书介绍 (2)1.2 CISP知识体系介绍 (2)1.2.1 概述 (2)1.2.2 CISP知识体系框架结构介绍 (4)1.2.3 CISP（CISE/CISO/CISA）考试的知识体系结构介绍 (6)第2 章知识类：信息安全体系和模型 (8)2.1 概述 (8)2.2 原理说明 (9)2.2.1 概述 (9)2.2.2 知识体：安全体系 (9)2.2.3 知识体：信息安全模型 (11)2.3 知识体系大纲 (12)2.3.1 BD（知识体）：信息安全体系 (12)2.3.2 BD（知识体）：信息安全模型 (12)第3 章知识类：信息安全技术 (14)3.1 概述 (14)3.2 原理说明 (14)3.2.1 概述 (14)3.2.2 知识体：信息安全技术机制 (15)3.2.3 知识体：信息和通信技术（ICT）安全 (16)3.2.4 知识体：信息安全实践 (17)3.3 知识体系大纲 (18)3.3.1 BD（知识体）：信息安全技术机制 (18)3.3.2 BD（知识体）：信息和通信技术（ICT）安全 (19)3.3.3 BD（知识体）：信息安全实践 (21)第4 章知识类：信息安全管理 (23)4.1 概述 (23)4.2 原理说明 (23)4.2.1 概述 (23)4.2.2 知识体：安全管理体系 (24)4.2.3 知识体：关键安全管理过程 (24)4.3 知识体系大纲 (25)4.3.1 BD（知识体）：安全管理基础 (25)4.3.2 BD（知识体）：关键安全管理过程 (26)第5 章知识类：信息安全工程 (28)5.1 概述 (28)5.2 原理说明 (28)5.2.1 概述 (28)5.2.2 知识体：安全工程基础 (29)5.2.3 知识体：安全工程过程和实践 (29)5.2.4 知识体：项目管理过程和实践 (30)5.3 知识体系大纲 (30)5.3.1 BD（知识体）：安全工程基础 (30)5.3.2 BD（知识体）：安全工程过程和实践 (30)5.3.3 BD（知识体）：项目管理过程和实践 (30)第6 章知识类：信息安全标准和法律法规 (31)6.1 概述 (31)6.2 原理说明 (31)6.3 知识体系大纲 (32)6.3.1 BD（知识体）：概述 (32)6.3.2 BD（知识体）：信息系统相关标准 (32)6.3.3 BD（知识体）：道德规范 (32)6.3.4 BD（知识体）：信息安全标准 (32)6.3.5 BD（知识体）：信息安全法律法规 (33)图表图表1-1：CISP知识体系的组件模块结构 (4)图表1-2：CISP知识体系结构框架 (6)图表2-1：信息安全体系和模型知识类（PT）的知识体系结构概述 (8)图表2-2：信息安全体系和模型知识类（PT）的知识体系结构详细描述 (9)图表2-3：知识体-安全体系原理：信息安全保障模型 (10)图表2-4：知识体：安全模型原理说明 (11)图表3-1：信息安全技术知识类（PT）的知识体系结构概述 (14)图表3-2：知识体：信息安全技术机制原理说明 (16)图表3-3：知识体：信息和通信技术（ICT）安全原理说明 (17)图表3-4：知识体：信息安全实践原理说明 (18)图表4-1：信息安全管理知识类（PT）的知识体系结构概述 (23)图表4-2：知识体：安全管理体系说明 (24)图表4-3：知识体：关键安全管理过程原理说明 (25)图表5-1：信息安全工程知识类（PT）的知识体系结构概述 (28)图表5-2：信息系统安全工程标准背景 (29)图表6-1：信息安全标准和法律法规知识类（PT）的知识体系结构概述 (31)注册信息安全专业人员（CISP）知识体系介绍注册信息安全专业人员知识体系介绍中将介绍注册信息安全专业人员（CISP）考试大纲的结构和内容。

本文包含以下章节：●第1章注册信息安全专业人员（CISP）知识体系概述●第2章知识类：信息安全体系和模型●第3章知识类：信息安全技术●第4章知识类：信息安全管理●第5章知识类：信息安全工程●第6章知识类：信息安全标准和法律法规第 1 章注册信息安全专业人员（CISP）知识体系概述1.1 CISP资质证书介绍本文主要描述了“注册信息安全专业人员”（CISP-Certified Information Security Professional）组件模块化的知识体系大纲。

“注册信息安全专业人员”，英文为Certified Information Security Professional （简称CISP），根据实际岗位工作需要，CISP分为三类：●“注册信息安全工程师”，英文为Certified Information SecurityEngineer（简称CISE），CISE证书持有人员主要从事信息安全技术领域的工作；●“注册信息安全管理人员”，英文为Certified Information SecurityOfficer（简称CISO），CISO证书持有人员主要从事信息安全管理领域的工作；●“注册信息安全审核员”，英文为Certified Information SecurityAuditor（简称CISA），CISA证书持有人员主要从事信息系统的安全审核、安全评估和安全审计等工作。

这三类注册信息安全专业人员是信息安全企业，信息安全咨询服务机构、信息安全测评机构、社会各组织团体、企事业单位中进行信息系统建设、运行和应用管理的技术部门（含标准化部门）所必备的专业岗位人员，其基本职能是对信息系统提供安全保障，其所具备的专业资质和能力，系经中国信息安全测评中心所注册的国家信息安全专业人员。

有关“注册信息安全专业人员”（简称CISP）的更详细的相关资料，查阅网址。

1.2 CISP知识体系介绍1.2.1 概述注册信息安全专业人员（CISP）人员资质的推出，对提高国家信息安全保障的能力和培养高素质的信息安全专业人员作出了巨大的贡献。

在注册信息安全专业人员（CISP）教材第1版出版发行后，CISP培训不断蓬勃发展、CISP注册证书作为国家信息安全领域专业人才的最高认可也越来越得到社会的认可。

随着信息安全领域的发展以及CISP培训的不断深入，社会各界，包括CISP 人才的使用单位、CISP的培训机构、CISP证书获得人员、信息安全专业人员等对CISP以及CISP的发展提供了很多很有价值和意义的帮助和建议；同时，中国信息安全测评中心在信息安全领域也进行了大量的研究和实践，逐步完善了以信息安全产品测评、信息系统安全测评、信息安全服务测评和信息安全人员测评四大业务为基础的信息安全保障服务体系。

为了更好的提供注册信息安全专业人员（CISP）的培训服务，更好的体现我们在信息安全保障领域的学习、研究和实践成果，注册信息安全专业人员（CISP）教材和大纲的改进作为中国信息安全测评中心的一项重要工作开始展开。

本文所提供的CISP知识体系大纲是我们这几年在信息安全保障领域学习、研究和实践的成果，特别是在信息安全培训领域以及我们在国家标准-“信息系统安全保障评估框架”的编制中所得到的心得和成果的反应。

本次修订的知识体系大纲从整体上来看主要有以下两个最主要的特点和特色：●以信息安全保障（IA）作为贯穿整个CISP知识体系大纲的主线，形成以体系和模型以及标准和法规为基础、覆盖信息安全技术、管理和工程保障领域的信息安全保障有机知识整体。

近几年，我们对国内和国际信息安全测评、培训和教育领域做了大量的研究，为了更好地学习和实践，我们自己也亲自参与并获得了信息安全领域的几乎所有国内外知名的认证和考试的证书。

在这些信息安全培训的学习、研究和实践中，我们发现信息安全相关的一些考试提供了非常优秀的知识域的描述，但是在整个知识体系的构建上，缺乏一条贯穿整个知识体系的主线。

因此，在本次的知识体系大纲中，从整体上我们使用信息安全保障作为整个CISP知识体系大纲的主线和灵魂，更完整的诠释了信息安全保障的有机知识整体。

另外，本次CISP知识体系大纲也是对我们所编制的国家标准-“信息系统安全保障评估框架”的诠释。

信息系统安全保障评估框架是我们在信息安全保障领域里的一个重要的研究成果，它建立了以风险和策略为核心，覆盖整个信息系统生命周期的技术、管理、工程和人员的保障。

本次知识体系大纲也是从技术、管理和工程领域诠释了信息安全专业人员在这些领域中进行信息安全保障工作中所需要了解的知识和实践的要求，这样通过CISP知识体系的学习，读者就能进一步将所学的知识应用在其信息安全保障的工作实践中。

●使用知识类（PT）-知识体（BD）-知识域（KA）-知识子域（SA）来组织的组件模块化的知识体系结构，使整个知识体系大纲的结构更清晰、重点更突出、更易于结构化和模块化的学习和扩展信息安全是架构在信息技术等知识基础之上的一门综合的学科，因此信息安全的学习是一件非常庞大复杂的任务。

在信息安全的学习过程中，我们需要一种更加结构化和科学化的方法来将信息安全的相关知识进行梳理分析，并进一步根据需要进行更深入的学习、研究和实践。

在本次知识体系大纲的编制过程中，我们根据信息安全领域的知识的内在联系和关系通过知识类、知识体、知识域和知识子域的结构进行分析和分解，形成了新的覆盖内容更广泛、重点更突出、更强调实践性和实用性的组件模块化的知识体系结构。