CISP(注册信息安全专业人员)考试内容全面覆盖信息安全的核心领域,主要基于《CISP知识体系大纲》,可归纳为以下十大知识域:
信息安全保障:涵盖信息安全保障的框架、基本原理和实践,包括信息安全的基本概念、威胁与风险、策略与标准,以及信息安全管理体系(ISMS)的构建与运行。考生需理解信息安全保障的完整生命周期,掌握PDRR、WPDRRC等模型的应用。
信息安全监管:涉及国内信息安全法律法规(如《网络安全法》《数据安全法》)、信息安全标准(如GB/T 22239-2019)及行业监管要求(金融、电信、能源等行业的合规要求)。
信息安全管理:包括信息安全管理体系建设、风险管理及具体管理措施。考生需熟悉ISO 27001等标准,掌握风险评估、安全策略制定、安全控制措施实施及安全审计与合规性等关键流程。
业务连续性:涵盖业务连续性管理(BCM)、灾难恢复(DRP)与备份策略、应急响应流程。
安全工程与架构:涉及信息安全项目的规划、设计、实施和运维。考生需了解安全开发生命周期(SDLC)、系统安全架构设计(如零信任架构)及安全需求分析与方案设计等方法论。
物理与网络通信安全:包括物理安全(门禁、监控、防电磁泄漏)、网络协议安全(TCP/IP安全、VPN、防火墙)、无线网络安全(Wi-Fi安全、蓝牙安全)。
计算环境安全:涵盖操作系统安全(Windows/Linux安全加固)、数据库安全(SQL注入防护、访问控制)、应用安全(Web安全、移动APP安全)。
软件开发安全:包括安全编码规范(如OWASP Top 10)、代码审计与漏洞修复、软件供应链安全。
密码学:涉及对称加密(AES、DES)与非对称加密(RSA、ECC)、哈希算法(SHA、MD5)、数字签名与PKI(公钥基础设施)。
安全攻防与渗透测试:包括常见攻击方式(SQL注入、XSS、CSRF、DDoS)、渗透测试流程(信息收集、漏洞扫描、漏洞利用)、安全防护措施(WAF、IDS/IPS、SOC)。
