一、什么是“注册信息安全专业人员”

“注册信息安全专业人员”，英文为Certified Information Security Professional，简称CISP，是指有关信息安全企业、信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员。CISP资质认证是中国信息安全产品测评认证中心根据国家相关授权对外开展的信息安全测评认证服务项目之一。

根据实际工作岗位的需要，CISP分为以下三类：

1. CISE，“注册信息安全工程师”，英文为Certified Information Security Engineer，主要从事信息安全技术开发服务工程建设等工作；

2. CISO，“注册信息安全管理人员”，英文为Certified Information Security Officer，主要从事信息安全管理等相关工作；

3. CISA，“注册信息安全审核人员” ，英文为Certified Information Security Auditor，主要从事信息系统的安全测试、审核和评估等工作。

二、CISP的基本职能、能力要求与道德标准

1. CISP的基本职能

为信息系统的安全提供技术保障。

2. CISP的基本能力要求

·具备一定的教育水准和相关工作经历

·通过规定的培训，具备较为系统的信息安全知识

·通过CISP资质认证考试，具备进行信息安全服务的能力

·获得管理部门颁发的认证证书

3. CISP的道德准则

所有CISP都必须付出努力才能获得和维持该项认证。为贯彻这条原则，所有的CISP都必须承诺完全遵守道德准则：

·必须诚实、公正、负责、守法；

·必须勤奋和胜任工作，不断提高自身专业能力和水平；

·必须保护信息系统、应用程序和系统的价值；

·必须接受CNITSEC的监督，在任何情况下，不损坏CNITSEC或认证过程的声誉，对CNITSEC针对CISP进行的调查应给予充分的合作；

·必须按规定向CNITSEC交纳费用。

三、CISP资质认证的特点

1.国家认证

CNITSEC依据国家授权对外开展信息安全产品、信息系统安全、信息安全服务资质和信息安全人员资质认证业务，并向通过认证者颁发相应证书。“中华人民共和国国家信息安全认证”是国家对信息安全产品质量的最高认可。

2.知识体系

CISP的知识体系架构中列出了与信息安全保障相关的知识领域，分为信息安全体系及模型、安全技术、安全管理及工程过程四个知识域（见图1），从而避免了以往信息安全培训中仅仅偏重技术、忽视实践等狭隘认识及片面教学。

3.课程设计

根据CISP知识体系架构设计的培训课程涵盖了信息安全理论、信息安全技术、信息安全工程与管理以及信息安全标准及法律法规四个模块，使参加培训的学员得到全面、系统的学习。此外，课程还根据岗位和职业的要求突出了不同岗位人员的学习侧重，以及不同岗位需要学习的专门课程。

4.资质认证分类

根据工作岗位及职能的不同以及这些岗位的能力需求，对信息安全从业人员的资质进行分类认证，其中包括注册信息安全工程师（CISE）、注册信息安全管理人员（CISO） 、注册信息安全审核员（CISA）。

5.持续性学习

通过对CISP资质认证的维持，鼓励获证人员积极参与、从事与信息安全相关的专业活动，保持持续性学习状态，以便将认证与其自身的职业发展紧密地结合起来。

通过知识体系架构、培训课程设计和资质认证三部分的有机结合，CISP资质认证已经形成一套以知识体系架构为纲、模块化课程设计为基础，以信息安全保障培训教育为最终目标的信息安全专业人员认证体系。

通过对人员职业资质的评估与认证，为信息安全相关从业人员的能力做出权威性的认可与保证，同时，有效的监督与鼓励机制，将最大程度地确保认证质量，并促进获证人员自身的职业发展。