一、信息系统安全集成认证需求
信息系统安全集成是信息系统安全工程的一种具体形式。信息系统安全集成是将安全单元、产品部件进行集成的行为或活动,包括在新建信息系统的结构化设计中考虑信息安全保证因素,也包括在已有信息系统的基础上额外增加信息安全子系统或信息安全设备等,即所谓的安全优化或安全加固。
信息系统安全集成工程涉及集成方案设计、开发、实施和管理等诸多环节,每个环节都面临着相应的安全风险。
设计环节直接关系着系统的安全功能和安全性能。频频出现在各类网站中的用户验证和口令找回的安全隐患暴露出了系统在安全设计上的弱点;12306网站在上线的第一天就暴露出了信息泄露隐患和重复订票错误逻辑问题。这些安全问题主要源于系统在安全设计方案上存在的漏洞。
开发环节更多的是编码实现与测试所面临的安全问题。缓冲区溢出、格式化字符串、SQL注入等各种网络攻击都是利用了信息系统代码实现上的漏洞。诸多漏洞型病毒也是利用了操作系统核心进程的缓冲区溢出漏洞得以实现大规模传播和破坏。
实施环节的安全隐患主要体现在系统和设备的配置环节,如防火墙、入侵检测、网闸等安全系统和部件的配置上存在策略漏洞造成。
引发信息系统安全集成在设计、开发、实施和管理等环节安全问题的主要原因在于人,即相关人员在安全意识、安全技能和安全素养上的欠缺。
CISAW《信息系统安全集成》人员认证依据国家相关的政策和国内外相关标准对从事信息系统安全集成的安全设计、安全开发、安全实施和安全管理人员展开认证和培训,有效提升相关人员的安全意识、安全素养和安全技能。
CISAW《信息系统安全集成》人员认证中,参照的技术标准主要有:
1. 《系统安全工程能力成熟度模型》 (GB/T20261-2006/ISO 21827:2002)
2. 《信息系统安全工程管理要求》 (GB/T20282-2006)
3. 《信息技术安全性评估准则》 (GB/T18336-2008)
4. 《信息系统通用安全技术要求》 (GB/T20271-2006)
5. 《信息系统安全管理要求》 (GB/T 20269-2006)
6. 《信息安全风险评估规范》 (GB/T 20984-2007)
7. 《信息安全事件分类分级指南》 (GB/Z 20986-2007)
8. 《信息安全管理体系要求》 (GB/T 22080-2008)
9. 《信息安全管理实用规则》 (GB/T 22081-2008)
结合上述标准开展的《信息系统安全集成》人员认证,是实现信息系统安全集成和信息安全保障的有力手段。
二、培训对象
专业资格级培训对象:各行业领域从事信息系统安全集成及相关工作的人员。
专业级培训对象:各行业领域从事信息系统安全集成及相关工作的的骨干技术人员和管理人员。
专业高级培训对象:各行业领域从事信息系统安全集成及相关工作的核心人员。
三、培训内容
为满足ISCCC-COP-R02《信息安全保障人员认证考试大纲》对信息系统安全集成人员认证的要求,信息系统安全集成人员认证培训内容由信息安全技术、信息安全技术应用和信息系统安全集成等内容构成。
具体内容及安排,见表3和表4。
(一)专业高级认证培训
专业高级认证培训以研讨为主,讲授为辅,为期3天,具体研讨培训内容如下:
表1 专业高级认证培训课程内容
(二)专业级认证培训
专业级认证培训,以讲授为主,讨论与测试为辅。专业级认证培训为期5天,具体培训内容如表2所示。
表2 专业级认证培训课程内容
(三)专业资格认证培训
专业资格认证培训形式以讲授为主。培训为期3天,内容以岗位基础培训为主,具体培训内容如表3所示。
表3 专业资格认证培训课程内容
四、培训收益
通过培训有效提升管理和技术人员的安全意识、安全素养和信息系统安全集成的风险评估、措施应用、安全设计、工程实施和安全测评与改进等相关能力,整体提高信息系统安全集成能力。
考试通过后可获得由中国信息安全认证中心统一颁发的认证证书。
获证人员为信息系统安全集成服务资质认证提供支撑,是服务资质认证的审查条件之一。