| 出版日期:2003-05-12 总期号:1214 本年期号:33 |
|
 |
四标准确保CISP“纯度”
CNITSEC广州培训中心王晓健主任谈CISP认证 崔溪 今年3月份,中国信息安全产品测评认证中心(CNITSEC)在广州开办了培训中心,专门进行注册信息安全专业人员(CISP)的培训。那么,此培训和一些信息安全厂商自己做的安全培训有何区别呢?日前,记者专程采访了培训中心的王晓健主任,王晓健表示:“我们中心CISP的‘纯度’更高。” 
王晓健对信息安全从业人员培训事业充满信心。 不是谁都可以上 一般的培训往往会把学员进入的“门槛”设置的很低,而CNITSEC广州培训中心对学员的要求却非常“苛刻”:要求申请认证必须具备硕士研究生以上学历,并具有1年工作经历;或者本科毕业,具有4年工作经历;或大专毕业,具有6年工作经历,而且所有的人必须至少具备1年从事信息安全有关的工作经历。 “信息系统的安全不同于其它的设施,一旦出现漏洞就将会造成不可估量的损失,所以对人员的基本素质要求必须严格。”王晓健表示,“另外,如果让一些层次过低的学员参加培训的话,他们也并不一定能够听懂,或者通过考试。” 所以,目前,广州培训中心针对的主要是重要行业的中层以上的领导,和一些从事信息安全业务的公司的技术骨干。 不是谁都可以教 CNITSEC广州培训中心对学员的要求很高,对师资的要求也非常严格。从去年12月开始筹建,王晓健和他的同事已经跑遍了广州的各大高校,目的就是要选合格的老师。目前,王晓健已经和华南理工大学、中山大学、广州大学等从事信息安全研究的教授建立了联系。 在大学里选的老师主要是给学员讲解理论课,CNITSEC广州培训中心还请来了一些在知名信息安全企业里的资深信息安全工程师以及一些行业如银行领域的的信息安全专家来为学员教授实战课,如攻防演习、查找漏洞等。此外,培训中心还会请国家级的专家,工程院院士来广州“支援”,对国家的安全体系、标准和最前沿的信息安全技术做指导性地报告。 “无用”的课也要上 从培训中心的课程设置可以看出,它与别的技术性培训最大的区别,在于多了很多“无用”的“宏观课”,如《信息安全概况与信息安全体系》、《信息安全测评认证体系》及《信息安全标准》等。 “这些课程表面上看和平时的具体工作没有多大的联系,但是,从系统的观点来看,这些课程无不和我们的每一个网络安全规划、方案、技术相紧密联系。安全是一个系统整体的安全,所以必须从宏观上、整体上去了解整个系统以及系统的安全特性。如果只是学习一些技术课,可能就没有办法做出系统的安全防护措施,出现‘防盗门很坚固,但窗户却开着’的现象,而即使在出现问题以后,也通常是‘头痛医头,脚痛医脚’。”王晓健说。 当然,针对不同的学员,CNITSEC广州培训中心的课程设置也会有所区别。比如,针对信息安全管理的人员,可能就会侧重于安全管理体系、信息安全标准等方面的课程多一些;而针对信息安全工程师的人员,就会在防火墙、安全编程、安全攻防等方面加大课程量。 分三步走的认证体系 “CISP的人员认证体系,是一个对信息安全从业人员的国家级的严格注册管理体系。”王晓健说,“我们希望把信息安全认证做成像注册会计师一样的高度。CISP将会对我们国家的信息化建设起到积极的推动作用。” 在整个认证中可以看到,考试合格只是具备了参加认证的资格。认证申请人提出申请后,先由技术评估人员审查其真实性;如果符合标准,则可以颁发认证书,并且公布在CNITSEC出版的“注册信息安全专业人员”名录中。 然而,这个证书只有三年的有效期,如果想继续拿到证书的话,还必须完成至少6次完整的信息安全服务经历;三年内至少完成60分以上的专业发展活动;遵守注册信息安全专业人员的行为准则等。 |
||||||||||||||||||||||
