安全審計師
電腦和網路等構成的信息系統已經成為當今社會的重要生產工具,她在推動社會文明和進步的同時,也給人類的生存帶來了新的安全問題:信息安全。
1) 信息安全已經成為國家安全的重要組成部分;
2) 信息安全已經成為生產安全的重要組成部分;
3) 信息安全已經成為社會安全的重要組成部分;
4) 信息安全已經成為國際貿易中技術性貿易壁壘(TBT)的手段。
保障信息安全,是一個PDCA循環過程。過去十幾年,我們在P和D上面做了許多努力,未來十幾年,需要我們在C和A上,給予更多關注。
1) 將信息安全審計與信息安全控制實施崗位分開,是信息安全策略中“職責分離”的基本要求;
2) 國家審計機關已經開展的信息系統審計工作中,信息安全審計是其重要內容之一;
3) 我國銀監會、證監會等多個行業監管部門均已出台相關政策,要求建立信息安全審計制度,定期實施信息安全審計。
帶來的價值
信息安全審計師給組織帶來的價值:
1) 信息安全相應崗位人員持證上崗,滿足了政策部門的合規性要求;
2) 專業人員的職業能力提高了組織信息安全保障水平;
3) 為組織實施信息安全崗位績效考核提供了標準和依據;
4) 專業人才隊伍的培養和監理,提高了組織的核心競爭力。
信息安全審計師給個人帶來的價值:
1) 國家註冊資格給您帶來更多職業選擇機會;
2) 權威認證證明您從事信息安全審計和信息系統審計工作的執業能力;
3) 權威認證提升您職業選擇中的競爭力;
4) 國家註冊資格給您帶來更多晉升機會。
制度
中國信息安全測評中心鼓勵從事信息安全審計和信息系統審計崗位的工作人員取得國家註冊信息安全審計師認證資格.
取得國家註冊信息安全審計師認證資格,需參加經中國信息安全測評中心授權培訓機構的相關課程培訓,並通過由中國信息安全測評中心組織的相關考試。
繳納培訓和考試費用。取得註冊資格證書後,按時完成規定的持續專業發展課程。取得證書三年後希望繼續保持註冊資格者,需按時繳納證書維持費用;上述收費標準由中國信息安全測評中心統一規定。
考試大綱
在整個信息安全審計師的知識體系結構中,共包括信息安全保障、信息安全標準與法律法規、信息安全技術、信息安全管理、信息安全工程、信息安全審計概述、信息安全審計組織和實施、信息安全控制措施審計實務這八個知識類,每個知識類根據其邏輯劃分為多個知識體,每個知識體包含多個知識域,每個知識域由一個或多個知識子域組成。
信息安全審計師知識體系的八個知識類分別為:
信息安全保障:主要包括信息安全保障的框架、基本原理和實踐。
信息安全標準與法律法規:主要包括信息安全相關的標準、法律法規和道德規範。
信息安全技術:主要包括密碼學基礎與套用、網路安全、作業系統安全和套用安全等內容。
信息安全管理:主要包括信息安全管理基本概念、信息安全風險管理、信息安全管理體系建設及信息安全等級保護管理機制等內容。
信息安全工程:主要包括同信息安全相關的工程知識和實踐。
信息安全審計概述:主要包括審計的背景、審計的分類和對象、審計相關術語和定義、信息系統/信息安全審計的提出和發展、內容以及審計相關法律法規與準則等內容。
信息安全審計的組織與實施:主要包括信息安全審計方法、信息安全審計計畫、信息安全審計證據、信息安全審計工作底稿、信息安全審計報告、信息安全審計案例及練習活動(審計風險判斷、編制審計計畫、編制審計檢查表、判斷問題事項及安全風險等)等內容。
信息安全控制措施審計實務:主要包括信息安全管理控制審計實務、信息安全工程控制審計實務、信息安全技術控制審計實務以及信息安全審計上機實驗和信息安全審計工具測試案例介紹。
認證註冊要求
1) 教育與工作經歷
博士研究生;碩士研究生以上,具有1年工作經歷;或本科畢業,具有2年工作經歷;或大專畢業,具有4年工作經歷。
2) 專業工作經歷
至少具備2年從事信息安全或審計有關的工作經歷。
3) 培訓資格
在申請註冊前,成功地完成了中國信息安全測評中心授權培訓機構組織的註冊信息安全審計師培訓課程,並取得培訓合格證書。
4) 通過由中國信息安全測評中心舉行的註冊信息安全審計師考試。
相關機構
中國信息安全測評中心(CNITSEC、以下簡稱測評中心)是註冊信息安全審計師的考試註冊機構。測評中心是我國專門從事信息技術安全測試和風險評估的權威職能機構,是國家信息安全保障體系中的重要基礎設施之一。開展信息安全專業人員的能力評估與資格註冊是中心重要職能。自2002年起,中國信息安全測評中心啟動了“註冊信息安全專業人員(CISP)”資格認證註冊工作,並先後開展了“註冊信息安全管理員(CISP-Officer)”和“註冊信息安全工程師(CISP-Engineer)”的資格認證註冊。信息安全審計師是中國信息安全測評中心2012年推出的又一項信息安全專業人員資格認證項目。
北京中天安信息技術服務有限公司(以下簡稱中天安)是中國信息安全測評中心授權的註冊信息安全專業人員(CISP)運營機構,中天安以CISP運營中心名義對外開展業務,負責CISP業務的推廣、市場宣傳、授權培訓機構管理及持證人員的服務,為CISP業務發展做出了積極的貢獻。
北京時代新威信息技術有限公司(以下簡稱時代新威)2012 年經中國信息安全測評中心授權,成為全國唯一“國家註冊信息安全審計師(CISP-Auditor)”認證培訓機構,時代新威以保護信息系統安全性、有效性為使命,以信息系統審計服務、信息系統審計工具研發和信息系統審計師培訓為核心業務,是目前我國最專業的信息系統審計解決方案提供商之一。