信息安全保障人员CISAW认证
信息安全保障人员认证(CISAW)是中国网络安全审查技术与认证中心历经六年,集业界专家、企业精英、高校及研究机构学者参与打磨的针对信息安全保障不同专业技术方向、应用领域和保障岗位,依据国际标准ISO/IEC 17024《人员认证机构通用要求》所建立的、不同层次的信息安全保障人员认证体系。
CISAW证书样本
信息安全保障人员认证(CISAW)是中国网络安全审查技术与认证中心历经六年,集业界专家、企业精英、高校及研究机构学者参与打磨的针对信息安全保障不同专业技术方向、应用领域和保障岗位,依据国际标准ISO/IEC 17024《人员认证机构通用要求》所建立的、不同层次的信息安全保障人员认证体系。
CISAW证书样本
信息安全保障人员按照信息安全保障的技术专业方向和行业领域方向分别进行分类,技术专业方向共有 13 个,行业领域方向共有3 个。
中国网络安全审查技术与认证中心(原中国信息安全认证中心),是依据《国家网络安全法》和国家有关强制性产品认证、网络安全管理法规,负责实施网络安全审查和认证的专门机构。中心为国家市场监督管理总局直属事业单位,系第三方公正机构和法人实体。在业务上接受中共中央网络安全和信息化委员会办公室指导。
· 证明个人安全专业水平
· 提高信息安全相关的技术知识与应用能力
· 满足相关部门对上岗人员要求的资格证明和能力证明
· 薪资翻倍,相关岗位持有CISAW证书优先录取
· 满足甲方对项目人员的资质要求
· 衡量企业安全服务能力的一项重要指标
· 企业申请CCRC信息安全服务资质证书申请的必备条件
· 信息安全从业人员不到百万,人才缺口极大
· 通过培训学习新技术,提升应用能力,更受欢迎
· 安全人员持证上岗满足政策部门合规要求
· 落实《网络安全法》对关键岗位的要求
· 提高信息系统安全性及网络安全技能
主要对认证申请人员在信息系统安全集成方面的基础知识和基本技能的掌握程度与综合运用所学知识分析、解决安全集成问题的能力进行认证。
IT行业中涉及信息系统安全开发与建设、安全加固、安全优化、安全需求分析、安全设计、安全实施和安全保障等工作相关的管理人员、技术人员、维护人员和使用人员。
获证人员应通过信息安全保障人员CISAW认证安全集成方向考试,同时至少满足下面一项要求:
a) 硕士研究生(含)以上学历,2年以上从事信息安全有关工作经历,并且至少1年从事与安全集成专业方向相关的工作经历。
b) 本科毕业,4年以上从事信息安全有关工作经历,并且至少2年以上从事与安全集成专业方向相关的工作经历。
c) 专科毕业,6年以上从事信息安全有关工作经历,并且至少2年以上从事与安全集成专业方向相关的工作经历。
d) 7年以上从事信息安全有关工作经历,并且至少2年以上从事与安全集成专业方向相关的工作经历。
e) 具有信息技术相关专业的中级技术职称,并且从事至少2年以上安全集成专业方向相关的工作经历。
主要对认证申请人员对安全运维模型、业界最佳实践、相关标准和法律法规的理解能力;综合利用管理措施和技术手段实施安全服务,建立安全运维服务的管理流程和管控方法的能力;风险评估、分析、处置、监控的能力和对服务有效性进行评估并持续改进的能力进行认证。
各行业领域从事信息系统安全运维服务及相关工作的运维人员、管理人员、骨干技术人员、各级领导和核心人员。包括CIO、运维部门经理、信息安全经理、运维管理人员、运行维护人员和IT人员等。
获证人员应通过信息安全保障人员CISAW认证安全运维方向考试,同时至少满足下面一项要求:
a) 硕士研究生(含)以上学历,2年以上从事信息安全有关工作经历,并且至少1年从事与安全运维专业方向相关的工作经历。
b) 本科毕业,4年以上从事信息安全有关工作经历,并且至少2年以上从事与安全运维专业方向相关的工作经历。
c) 专科毕业,6年以上从事信息安全有关工作经历,并且至少2年以上从事与安全运维专业方向相关的工作经历。
d) 7年以上从事信息安全有关工作经历,并且至少2年以上从事与安全运维专业方向相关的工作经历。
e) 具有信息技术相关专业的中级技术职称,并且从事至少2年以上安全运维专业方向相关的工作经历。
着重考查认证申请人员在信息安全风险管理方面的基础知识、基本技能、综合运用所学知识分析和解决实际问题的能力。
政府部门、企事业单位从事网络与信息安全服务的各级管理人员和技术人员,特别是从事信息安全风险管理、信息安全风险评估的专业人员,以及与信息安全保障工作相关的人员。
获证人员应通过信息安全保障人员CISAW认证风险管理方向考试,同时至少满足下面一项要求:
a) 硕士研究生(含)以上学历,2年以上从事信息安全有关工作经历,并且至少1年从事与风险管理专业方向相关的工作经历。
b) 本科毕业,4年以上从事信息安全有关工作经历,并且至少2年以上从事与风险管理专业方向相关的工作经历。
c) 专科毕业,6年以上从事信息安全有关工作经历,并且至少2年以上从事与风险管理专业方向相关的工作经历。
d) 7年以上从事信息安全有关工作经历,并且至少2年以上从事与风险管理专业方向相关的工作经历。
e) 具有信息技术相关专业的中级技术职称,并且从事至少2年以上风险管理专业方向相关的工作经历。
18年IT培训经验
老牌培训机构信得过
官方授权
培训质量有保证
CISAW考试
通过率高
讲师项目在职
经验丰富 技术主流
教辅材料丰富
实验/考试全覆盖
移动端刷题
灵活高效
| 时间 | 模块 | 大纲 |
|---|---|---|
| 第一天上午 | CISAW简介 | 介绍信息安全的总体形势,国家对信息安全保障人才的需求,CISAW的整体架构与开设情况,知识体系介绍。 |
| 基本概念 | 从信息、安全等基本概念出发来引入信息安全技术的讲解,讲解信息安全的基础概念。 | |
| CISAW模型 | 从PDR 到WPDRRC 系列模型出发,介绍 CISAW统一模型,介绍安全保障的本质对象、实体对象、保障环节以及模型的特点与核心内容。 | |
| 第一天下午 | 数据安全 | 从数据的基本概念出发,介绍动态数据与静态数据的安全技术与措施,具体包括基本的密码技术与应用,数据安全存储、信息隐藏等。 |
| 第二天上午 | 载体安全 | 介绍存储与传输数据的载体,包括物理载体和逻辑载体的安全技术与措施,包括存储安全、传输安全、安全协议等。 |
| 环境安全 | 介绍载体所依赖的外部环境的安全保障技术,包括物理环境和逻辑环境的安全技术和措施,具体包括机房安全、主机安全、访问控制、安全审计、入侵检测等。 | |
| 第二天下午 | 边界安全 | 介绍环境之间的边界的安全保障技术与措施,包括物理边界和逻辑边界的安全技术与措施,具体包括了周界安全,网络边界安全的防火墙、网闸、主机边界安全等。 |
| 第三天上午 | 安全集成概述 | 从基本概念出发,介绍安全集成的范畴,形成初步理解框架,分析安全集成的本质问题。 |
| 安全集成模型 | 给出 CISAW安全集成模型,介绍安全集成的本质目标,安全集成的两种模式和对应的关键环节,对比两种模式的差异和联系。 | |
| 系统安全工程基本理论 | 介绍系统工程、系统安全工程的基本概念,系统工程基本模型。 | |
| 第三天下午 | SSE-CMM | 介绍系统安全工程成熟度模型的相关概念,二维模型,三个过程域,11个相关基本惯例。 |
| 安全集成实施过程 | 从安全集成模型出发,介绍两种集成模式中的关键环节,和安全集成的实施过程要点。 | |
| 第四天上午 | 安全技术与安全集成综述 | 对安全技术与安全集成的内容进行回顾和串讲,形成总体架构概念。 |
| 案例分析 | 给出两种集成模式的案例,进行安全分析和讲解。 | |
| 第四天下午 | 安全集成研讨 | 针对安全集成的关键环节,给出研讨题目,并分组进行交流和研讨。 |
| 第五天上午 | 认证规范解读总结与复习 | 对《信息安全服务规范》进行解读。对课程进行总结,对重点知识点进行复习。 |
| 第五天下午 | 考试 | 根据具体情况安排 |
| 时间 | 模块 | 大纲 |
|---|---|---|
| 第一天上午 | CISAW 知识体系 | 讨论信息安全形势,介绍信息安全基本概念和发展历程、法律法规。介绍 CISAW 知识体系的核心理念,重点讲解CISAW 信息安全保障模型和基本内容、信息安全技术综述等 |
| 安全运维模型 | 讨论运维过程中的安全事件,介绍安全运维和运维安全两种模式的基本概念、详细分析信息系统安全运维模型,讲解模型各元素的关系和安全运维和运维安全两种模式的含义、区别和联系 | |
| 第一天下午 | 安全运维综述 | 介绍安全运维体系框架,分别从安全运维、运维安全、合规性要求、评审和改进等方面进行阐述。安全运维中重点描述运维主体、运维对象、运维 流程、支撑平台和运维活动, 运维安全重点分析安全运维过程中可能衍生风险,介绍风险处置和过程监控手段。 |
| 第二天上午 | 合规要求 | 介绍安全运维的合规要求,即安全运维工作应该符合的法律法规、标准规范、安全管理制度及监管要求等。 |
| 第二天下午 | 安全策略 | 介绍在安全运维策略在安全运维活动中的作用,重点介绍安全运维中策略的定义、作用和层次,从安全运维对象为基础从决策层、管理层和实施层三个维度来介绍安全策略。以案例的方式介绍决策层安全运维纲领性方针,管理层安全规范和制度体系,实施层落实到安全运维对象的具体技术点和管控点。 |
| 第三天上午 | 运维准备 | 从实施信息系统安全运维的角度,介绍如何明确安全运维需求,并以此形服务策划,组建服务团队、编制运维服务预算和确定运维服务范围,建立科学规范的安全运维管理体系。以案例的方式详细介绍运维准备工作的各个环节,包括安全运维需求分析、运维策划、运维预算、运维对象、运维外包及准备要点所包括的主要内容。 |
| 第三天下午 | 运维实施 | 以案例的方式重点介绍日常安全运维的工作内容,包括例行巡检、故障处理、安全审计、安全通告。以及安全运维工作组织保障、针对各类对象的相应的运维内容以及日常运维工作的实施流程。 |
| 第四天上午 | 运维实施 | 以案例的方式介绍应急响应的内容,包括事件的分类、分级和识别以及安全事件应急响应服务主要包括的内容,以及应急响应的流程及各个阶段工作内容。以案例方式介绍优化改善实施和监管评估工作的内容、原则和工作方式以及工作组织保障的要求。 |
| 第四天下午 | 运维安全 | 以案例方式介绍运维安全的重要环节,使学员可以从风险的角度,运用风险管理中的风险识别、风险分析、风险处置的知识理论,结合系统运维管 理流程,探讨在安全运维过程中如何降低安全风险,保障信息系统运行的方法。 |
| 第五天上午 | 运维及改进 | 从运维评审和持续改进两个方面介绍安全运维过程有效性评估的概念、原则和特点,重点讲解对安全设备、应用系统和基础设施运维的有效性评估要点;学习掌握日常运维改进和应急体系完善的方法。 |
| 第五天下午 | 考试 | 根据具体情况安排 |
| 时间 | 模块 | 大纲 |
|---|---|---|
| 第一天上午 | 风险管理基本概念 | 1. 概述 2. 风险管理基本概念 3、风险管理标准体系 |
| 第一天下午 | 风险管理相关标准 | 1. 风险管理标准 ISO 31000 2. 信息安全风险管理标准 ISO/IEC 27005 3. 信息安全风险管理评估标准 GB/T 20984 |
| 第二天上午 | 项目准备和风险识别(一) | 1. 项目管理基础和环境建立 2. 发展战略和业务识别 3. 资产识别 |
| 第二天下午 | 风险识别(二) | 1. 威胁识别 2. 脆弱性识别 3. 已有安全措施识别 |
| 第三天上午 | 风险分析与评价 | 1. 风险分析 2. 风险计算 3. 风险评价及评估文档输出 |
| 第三天下午 | 风险处置与监控 | 1. 风险处置概述 2. 风险处置及风险接受 3. 沟通咨询及监视评审 |
| 第四天上午 | 技术脆弱性识别(一) | 1. 物理脆弱性别技术及案例分析 2. 网络脆弱性识别技术及案例分析 3. 系统脆弱性识别技术及案例分析 |
| 第四天下午 | 技术脆弱性识别(二)与管理脆弱性识别 | 1. 应用脆弱性识别技术及案例分析 2. 数据脆弱性识别技术及案例分析 3. 管理脆弱性识别技术及案例分析 |
| 第五天上午 | 复习串讲 | 1. 串讲课程重点知识点。 2. 现场答疑 |
| 第五天下午 | 考试 | 根据具体情况安排 |