信息安全保障人员CISAW认证培训方案
浏览:145次 作者:小编培训简介
信息安全保障人员认证(CISAW)项目,作为中国网络安全审查技术与认证中心(原中国信息安全认证中心)六年磨一剑的杰作,汇聚了业界权威专家、企业翘楚、高等院校及科研机构的智慧结晶。该体系针对信息安全保障的多个专业技术方向、应用领域以及保障岗位,严格遵循国际标准ISO/IEC 17024《人员认证机构通用要求》,精心构建了一个层次分明、全面系统的信息安全保障人员认证体系。
中国网络安全审查技术与认证中心(简称CCRC,原名为中国信息安全认证中心),在2006年获得中央机构编制委员会办公室的批准正式成立,隶属于国家市场监督管理总局,为直属的正司局级事业单位,肩负着维护国家网络安全的重要使命。
开班计划
CISAW课程方向 | CISAW安全集成 | CISAW安全运维 | CISAW风险管理 |
培训地点 | 北京 | 北京 | 北京 |
培训时间 | 随报随学 | 随报随学 | 随报随学 |
授课专家
本次培训课程特别荣幸邀请到中国网络安全审查技术与认证中心的资深信息安全专家,他们将亲自担纲主讲,为您提供权威、专业的授课体验。
考试&取证
CISAW考试,作为中国网络安全审查技术与认证中心的权威组织实施项目,旨在评估考生在网络安全领域的专业素养。
本次考试采用传统的笔试试卷形式,总计120分的满分设置,旨在全面检验考生的知识储备与应用能力。考试时长为150分钟,考生需在规定时间内完成答题。值得注意的是,合格分数线设定为84分(含),以确保考生具备一定的专业水平。
在诚信考试的原则下,一旦发现考生有作弊行为,其最终笔试成绩将被直接判定为0分,以维护考试的公正性和严肃性。对于那些成绩达到“合格”标准的考生,他们将有资格依据《信息安全保障人员认证准则》的相关规定,申请专业级认证证书,为个人职业发展增添光彩。
报考条件
(一)CISAW安全集成方向
为确保信息安全保障人员具备专业素质与能力,获证人员必须通过信息安全保障人员认证(CISAW)安全集成方向的专业考试。此外,还需符合以下条件之一:
a) 拥有硕士研究生及以上学历,具备两年以上信息安全相关工作经验,并至少有一年的安全集成专业领域工作经验;
b) 本科毕业生,拥有四年以上信息安全相关工作经验,并且至少两年安全集成专业领域的工作背景;
c) 专科毕业生,具备六年以上信息安全相关工作经验,同时至少有两年安全集成专业方向的工作经历;
d) 拥有七年以上信息安全相关工作经验,并且至少两年在安全集成专业方向上的工作经验;
e) 具有信息技术相关中级技术职称,并且在安全集成专业方向上拥有两年以上的工作经验。
(二)CISAW安全运维方向
获证人员须通过信息安全保障人员认证(CISAW)安全运维方向的专业考试,并至少符合以下条件之一,以确保其专业素质与实战经验:
a) 拥有硕士研究生及以上学位,具备两年以上的信息安全相关工作经验,并在此期间,至少有一年的安全运维专业方向工作经验;
b) 本科毕业,拥有四年以上的信息安全行业工作经验,并在其中至少两年从事安全运维专业方向的工作;
c) 专科毕业,拥有六年以上的信息安全行业工作经验,并在其中至少两年专注于安全运维专业方向的工作;
d) 七年以上的信息安全行业工作经验,并至少两年投身于安全运维专业方向的工作;
e) 拥有信息技术相关中级技术职称,并在安全运维专业方向上拥有至少两年以上的工作经验,以确保理论与实践的深度融合。
(三)CISAW风险管理方向
获证人员须通过信息安全保障人员认证(CISAW)风险管理方向的严格考试,并至少符合以下条件之一:
a) 拥有硕士研究生及以上学历,具备2年以上的信息安全领域工作经验,并在此期间,至少有1年专注于风险管理专业方向的实践经历;
b) 本科毕业,拥有4年以上的信息安全领域工作经验,并在此期间,至少有2年从事风险管理专业方向的深耕细作;
c) 专科毕业后,在信息安全领域累积6年以上的工作经验,并且至少有2年投身于风险管理专业方向的深度实践;
d) 拥有7年以上的信息安全领域工作经验,期间至少有2年致力于风险管理专业方向的研究与应用;
e) 具备信息技术相关专业的中级技术职称,并在风险管理专业方向上积累了至少2年的丰富工作经验。
日程安排
课程体系严格遵照中国网络安全审查技术与认证中心的课程大纲要求。
课题 | CISAW安全集成方向 | CISAW安全运维方向 | CISAW风险管理方向 | |||||||||
时间 | 模块 | 大纲 | 模块 | 大纲 | 模块 | 大纲 | ||||||
第一天上午 | CISAW简介 | 信息安全形势严峻,国家对保障人才需求迫切。CISAW作为专业认证体系,提供全面知识架构,助力人才培养。其开设情况良好,知识体系涵盖信息安全核心内容。 | CISAW 知识体系 | 讨论信息安全形势,介绍信息安全基本概念和发展历程、法律法规。介绍 CISAW 知识体系的核心理念,重点讲解CISAW 信息安全保障模型和基本内容、信息安全技术综述等 | 风险管理基本概念 | 1.概述 2.风险管理基本概念 3、风险管理标准体系 | ||||||
基本概念 | 从信息、安全等基本概念出发来引入信息安全技术的讲解,讲解信息安全的基础概念。 | 安全运维模型 | 讨论运维过程中的安全事件,介绍安全运维和运维安全两种模式的基本概念、详细分析信息系统安全运维模型,讲解模型各元素的关系和安全运维和运维安全两种模式的含义、区别和联系 | |||||||||
CISAW模型 | 从PDR 到WPDRRC 系列模型出发,介绍 CISAW 统一模型,介绍安全保障的本质对象、实体对象、保障环节以及模型的特点与核心内容。 | |||||||||||
第一天下午 | 数据安全 | 从数据的基本概念出发,介绍动态数据与静态数据的安全技术与措施,具体包括基本的密码技术与应用,数据安全存储、信息隐藏等。 | 安全运维综述 | 介绍安全运维体系框架,分别从安全运维、运维安全、合规性要求、评审和改进等方面进行阐述。安全运维中重点描述运维主体、运维对象、运维 流程、支撑平台和运维活动, 运维安全重点分析安全运维过程中可能衍生风险,介绍风险处置和过程监控手段。 | 风险管理相关标准 | 1. 风险管理标准 ISO 31000 2. 信息安全风险管理标准 ISO/IEC 27005 3. 信息安全风险管理评估标准 GB/T 20984 | ||||||
第二天上午 | 载体安全 | 介绍存储与传输数据的载体,包括物理载体和逻辑载体的安全技术与措施,包括存储安全、传输安全、安全协议等。 | 合规要求 | 介绍安全运维的合规要求,即安全运维工作应该符合的法律 法规、标准规范、安全管理制度及监管要求等。 | 项目准备和风险识别(一) | 1. 项目管理基础和环境建立 2. 发展战略和业务识别 3. 资产识别 | ||||||
环境安全 | 介绍载体所依赖的外部环境的安全保障技术,包括物理环境和逻辑环境的安全技术和措施,具体包括机房安全、主机安全、访问控制、安全审计、入侵检测等。 | |||||||||||
第二天下午 | 边界安全 | 介绍环境之间的边界的安全保障技术与措施,包括物理边界和逻辑边界的安全技术与措施,具体包括了周界安全,网络边界安全的防火墙、网闸、主机边界安全等。 | 安全策略 | 介绍在安全运维策略在安全运维活动中的作用,重点介绍安全运维中策略的定义、作用和层次,从安全运维对象为基础从决策层、管理层和实施层三个维度来介绍安全策略。以案例的方式介绍决策层安全运维纲领性方针,管理层安全规范和制度体系,实施层落实到安全运维对象的具体技术点和管控点。 | 风险识别(二) | 1. 威胁识别 2. 脆弱性识别 3. 已有安全措施识别 | ||||||
第三天上午 | 安全集成概述 | 从基本概念出发,介绍安全集成的范畴,形成初步理解框架,分析安全集成的本质问题。 | 运维准备 | 从实施信息系统安全运维的角度,介绍如何明确安全运维需求,并以此形服务策划,组建服务团队、编制运维服务预算和确定运维服务范围,建立科学规范的安全运维管理体系。以案例的方式详细介绍运维准备工作的各个环节,包括安全运维需求分析、运维策划、运维预算、运维对象、运维外包及准备要点所包括的主要内容。 | 项目准备和风险识别(一) | 1. 项目管理基础和环境建立 2. 发展战略和业务识别 3. 资产识别 | ||||||
安全集成模型 | 给出 CISAW 安全集成模型,介绍安全集成的本质目标,安全集成的两种模式和对应的关键环节,对比两种模式的差异和联系。 | |||||||||||
系统安全工程基本理论 | 介绍系统工程、系统安全工程的基本概念,系统工程基本模型。 | |||||||||||
SSE-CMM | 从基本概念出发,介绍安全集成的范畴,形成初步理解框架,分析安全集成的本质问题。 | |||||||||||
第三天下午 | SSE-CMM | 介绍系统安全工程成熟度模型的相关概念,二维模型,三个过程域,11个相关基本惯例。 | 运维实施 | 以案例的方式重点介绍日常安全运维的工作内容,包括例行巡检、故障处理、安全审计、安全通告。以及安全运维工作组织保障、针对各类对象的相应的运维内容以及日常运维工作的实施流程。 | 风险处置与监控 | 1. 风险处置概述 2. 风险处置及风险接受 3. 沟通咨询及监视评审 | ||||||
安全集成实施过程 | 从安全集成模型出发,介绍两种集成模式中的关键环节,和安全集成的实施过程要点。 | |||||||||||
第四天上午 | 安全技术与安全集成综述 | 对安全技术与安全集成的内容进行回顾和串讲,形成总体架构概念。 | 运维实施 | 以案例的方式介绍应急响应的内容,包括事件的分类、分级和识别以及安全事件应急响应服务主要包括的内容,以及应急响应的流程及各个阶段工作内容。以案例方式介绍优化改善实施和监管评估工作的内容、原则和工作方式以及工作组织保障的要求。 | 技术脆弱性识别(一) | 1. 物理脆弱性别技术及案例分析 2. 网络脆弱性识别技术及案例分析 3. 系统脆弱性识别技术及案例分析 | ||||||
案例分析 | 给出两种集成模式的案例,进行安全分析和讲解。 | |||||||||||
第四天下午 | 安全集成研讨 | 针对安全集成的关键环节,给出研讨题目,并分组进行交流和研讨。 | 运维安全 | 以案例方式介绍运维安全的重要环节,使学员可以从风险的 角度,运用风险管理中的风险识别、风险分析、风险处置的知识理论,结合系统运维管 理流程,探讨在安全运维过程中 如何降低安全风险,保障信息系统运行的方法。 | 技术脆弱性识别(二)与管理脆弱性识别 | 1. 应用脆弱性识别技术及案例分析 2. 数据脆弱性识别技术及案例分析 3. 管理脆弱性识别技术及案例分析 | ||||||
第五天上午 | 认证规范解读 总结与复习 | 对《信息安全服务规范》进行解读。对课程进行总结,对重点知识点进行复习。 | 运维及改进 | 从运维评审和持续改进两个方面介绍安全运维过程有效性评估的概念、原则和特点,重点讲解对安全设备、应用系统和基础设施运维的有效性评估要点;学习掌握日常运维改进和应急体系完善的方法。 | 复习串讲 | 1. 串讲课程重点知识点。 2. 现场答疑 | ||||||
第五天下午 | 考试 | 根据具体情况安排 | 考试 | 根据具体情况安排 | 考试 | 根据具体情况安排 | ||||||
试卷结构 | 1 | 单选 | 70题,每小题1分,共70分 | 1 | 单选 | 60题,每小题1分 共60分 | 1 | 单选 | 70题,每小题1分, 共70分 | |||
2 | 多选 | 10题,每小题2分,共20分 | 2 | 多选 | 10 题,每小题 2 分,共 20 分 | 2 | 多选 | 10 题,每小题 2 分,共 20 分 | ||||
3 | 简答 | 1 题,每小题6分,共6分 | 3 | 简答 | 1 题,每小题 10分,共 10分 | 3 | 简答 | 1 题,每小题 10分,共 10分 | ||||
4 | 综合应用 | 2 题,每小题12分,共24分 | 4 | 实验题 | 2 题,每小题 15分,共 30分 | 4 | 计算 | 1题,每小题 10分,共 10分 | ||||
5 | 合计 | 120分,84分合格 | 5 | 合计 | 120分,84分合格 | 5 | 综合 | 1题,每小题 10分,共 10分 | ||||
6 | 合计 | 120分,84分合格 | ||||||||||
证书样本
企业内训1
- 标签: CISAW 信息安全保障人员培训 信息安全保障人员课程 CISAW认证培训 CISAW认证课程 CISAW认证 信息安全保障人员
-
下篇: 信息安全风险评估培训方案
