CISP-Auditor,即"注册信息安全审计师",CISP-Auditor是中国信息安全测评中心在CISP现有人员资格认证注册工作的基础上,于2012年推出的又一项信息安全专业人员资格认证项目,是CISP家族的新成员,是国家对信息安全审计人员资质的最高认可。
一、考试大纲
在整个信息安全审计师的知识体系结构中,共包括信息安全保障、信息安全标准与法律法规、信息安全技术、信息安全管理、信息安全工程、信息安全审计概述、信息安全审计组织和实施、信息安全控制措施审计实务这八个知识类,每个知识类根据其逻辑划分为多个知识体,每个知识体包含多个知识域,每个知识域由一个或多个知识子域组成。
信息安全审计师知识体系的八个知识类分别为:
信息安全保障:主要包括信息安全保障的框架、基本原理和实践。
信息安全标准与法律法规:主要包括信息安全相关的标准、法律法规和道德规范。
信息安全技术:主要包括密码学基础与应用、网络安全、操作系统安全和应用安全等内容。
信息安全管理:主要包括信息安全管理基本概念、信息安全风险管理、信息安全管理体系建设及信息安全等级保护管理机制等内容。
信息安全工程:主要包括同信息安全相关的工程知识和实践。
信息安全审计概述:主要包括审计的背景、审计的分类和对象、审计相关术语和定义、信息系统/信息安全审计的提出和发展、内容以及审计相关法律法规与准则等内容。
信息安全审计的组织与实施:主要包括信息安全审计方法、信息安全审计计划、信息安全审计证据、信息安全审计工作底稿、信息安全审计报告、信息安全审计案例及练习活动(审计风险判断、编制审计计划、编制审计检查表、判断问题事项及安全风险等)等内容。
信息安全控制措施审计实务:主要包括信息安全管理控制审计实务、信息安全工程控制审计实务、信息安全技术控制审计实务以及信息安全审计上机实验和信息安全审计工具测试案例介绍。
二、认证注册要求
1) 教育与工作经历
博士研究生;硕士研究生以上,具有1年工作经历;或本科毕业,具有2年工作经历;或大专毕业,具有4年工作经历。
2) 专业工作经历
至少具备2年从事信息安全或审计有关的工作经历。
3) 培训资格
在申请注册前,成功地完成了中国信息安全测评中心授权培训机构组织的注册信息安全审计师培训课程,并取得培训合格证书。
4) 通过由中国信息安全测评中心举行的注册信息安全审计师考试。
三、相关机构
中国信息安全测评中心(CNITSEC、以下简称测评中心)是注册信息安全审计师的考试注册机构。测评中心是我国专门从事信息技术安全测试和风险评估的权威职能机构,是国家信息安全保障体系中的重要基础设施之一。开展信息安全专业人员的能力评估与资格注册是中心重要职能。自2002年起,中国信息安全测评中心启动了"注册信息安全专业人员(CISP)"资格认证注册工作,并先后开展了"注册信息安全管理员(CISP-Officer)"和"注册信息安全工程师(CISP-Engineer)"的资格认证注册。信息安全审计师是中国信息安全测评中心2012年推出的又一项信息安全专业人员资格认证项目。
北京中天安信息技术服务有限公司(以下简称中天安)是中国信息安全测评中心授权的注册信息安全专业人员(CISP)运营机构,中天安以CISP运营中心名义对外开展业务,负责CISP业务的推广、市场宣传、授权培训机构管理及持证人员的服务,为CISP业务发展做出了积极的贡献。
北京时代新威信息技术有限公司(以下简称时代新威)2012 年经中国信息安全测评中心授权,成为全国唯一"国家注册信息安全审计师(CISP-Auditor)"认证培训机构,时代新威以保护信息系统安全性、有效性为使命,以信息系统审计服务、信息系统审计工具研发和信息系统审计师培训为核心业务,是目前我国最专业的信息系统审计解决方案提供商之一。