信息安全檢測認證體系的基礎和

培訓介紹

中國信息安全iso三體系認證測評認證咨詢中心從2002年啟動了“申報信息安全專業(yè)人員”（CISP）資質申報。截至目前，已為單位培養(yǎng)了一支近千人的信息安全專業(yè)人才隊伍，對提高信息安全專業(yè)人員的職業(yè)道德和技術水平、提升信息安全產業(yè)的競爭能力和強化單位信息安全管理發(fā)揮了重要作用。中國信息安全iso三體系認證測評認證咨詢中心現推出“申報信息安全員”（Certified Information Security Member，CISM）申報資質，旨在適應我國信息化迅速發(fā)展對不同層次、不同水平和不同崗位的信息安全人才的廣泛需求，加大對信息安全人才的培養(yǎng)范圍和信息安全知識的普及教育力度。

一、什么是“申報信息安全員”資質

“申報信息安全員”（英文為Certified Information Security Member，簡稱CISM）資質是針對在信息安全企業(yè)、信息安全咨詢服務機構、信息安全測評認證咨詢機構（包含認證測評機構）、社會各組織、團體、大專院校、企事業(yè)單位有關信息系統(tǒng)（網絡）建設、運行和應用管理的技術部門（含標準化部門）中從事信息安全工作的人員，獲得此申報資質，表明具備信息安全員的資質和能力，系經中國信息安全iso三體系認證測評認證咨詢中心實施的單位認證咨詢。

二、CISM資質申報范圍

?CISM資質申報適用以下人員：

l 網絡安全技術人員

l IT或安全顧問人員

l IT或安全管理人員

l IT審計人員

l 大專院校學生

l 對信息安全技術有學習和研究從業(yè)的人員

l 單位、企事業(yè)單位信息化工作人員

三、CISM知識體系

“申報信息安全員”知識體系覆蓋信息安全保障基礎、信息安全技術、信息安全管理、信息安全工程以及信息安全標準法規(guī)等領域?！吧陥笮畔踩珕T”的培訓將為學員提供全面、系統(tǒng)、專業(yè)的基礎知識和技能學習；在技術領域，學員將能了解掌握和提高操作系統(tǒng)安全、防火墻、防病毒、入侵檢測、密碼技術和應用等安全技術知識和能力；在管理領域，學員將能了解信息安全管理和治理的基礎知識，學習和建立在開展風險評估、災難恢復、應急響應工作中所需的單位政策要求、相關知識和實踐能力；在工程領域，學員將能學習和了解開展信息安全工程管理、咨詢和監(jiān)理的實踐及經驗；在標準和法律法規(guī)領域，學員將能全面了解單位信息安全相關的法律法規(guī)以及國內外信息安全相關的標準和實踐經驗。

四、課程iso認證

根據CISM知識體系架構iso認證的培訓課程涵蓋了信息安全保障基礎、信息安全技術、信息安全管理、信息安全工程以及信息安全標準法規(guī)五個模塊，使參加培訓的學員得到全面、系統(tǒng)的基礎知識和技能的學習。此外，課程還根據崗位和職業(yè)的要求突出了不同崗位人員的學習側重，以及不同崗位需要學習的專門課程。

課程編號 類別 課程 課程介紹 推薦時間

01安全保障基礎/信息系統(tǒng)安全保障框架 介紹信息安全保障框架的概念和內容 0.5周

02信息系統(tǒng)安全保障測評 介紹信息安全iso三體系認證、系統(tǒng)、人員和服務測評的概念和內容

03標準法規(guī)/信息安全標準 介紹國際/國內信息安全管理、技術、工程等領域主要標準的關系和內容 0.5周

04信息安全法規(guī) 介紹信息安全相關的國內法律法規(guī)

05安全技術/密碼技術和應用 介紹密碼技術的基本知識，以及公鑰基礎設施（PKI）和數字簽名等的應用 0.5周

06常見網絡安全技術 介紹網絡安全基本概念，并包括對防火墻、入侵檢測、VPN等常見網絡安全技術 0.5周

07惡意代碼防護技術 介紹各種惡意代碼的基本概念和防護技術

08系統(tǒng)和常見應用安全 介紹Windows操作系統(tǒng)等主流操作系統(tǒng)，以及Web、郵件、DNS等常見應用安全 0.5周

09安全管理/信息安全管理基礎 介紹信息安全管理的基礎知識 0.5周

10信息安全管理技術 介紹風險管理、災難恢復管理的基礎知識和實踐考慮 0.5周

11安全工程/安全工程過程和實踐 介紹信息安全工程過程的基礎知識和實踐考慮 0.5周

12安全工程監(jiān)理咨詢和實踐 介紹信息安全工程監(jiān)理咨詢的基礎知識和實踐考慮

- 復習 復習迎考 答疑和復習，準備考試 0.5周

- 考試 考試 正式考試 0.5周

五、CISM資質申報流程

CISM資質申報分為四個階段，即，申請階段、評估階段、申報階段和監(jiān)督階段。其中：

申請階段——申請者應了解申報流程及相關手續(xù)，確定申報目標，參加并完成CISM認證培訓。將申請所需的各類資料準備齊全，并向中國信息安全iso三體系認證測評認證咨詢中心提起申請。

評估階段——中國信息安全iso三體系認證測評認證咨詢中心將依據信息安全員資質評估準則，采用相應評估方法，通過一定的評估程序，對申請評估的人員進行測試與評估，并依據測評過程中取得的記錄和結果數據，生成該人員的測評結論。該結論將作為認證咨詢證據遞交中國信息安全iso三體系認證測評認證咨詢中心，供人員申報時使用，同時，結論也會通知申請者本人知曉。

申報階段——中國信息安全iso三體系認證測評認證咨詢中心依據信息安全員資質的相關評估標準，按照規(guī)定的程序對信息安全員的專業(yè)資質及能力進行認證咨詢，以確定其所能達到的能力水平。

維持階段——中國信息安全iso三體系認證測評認證咨詢中心為了保證通過申報的人員在認證咨詢證書有效期內，持續(xù)保持其資質與能力水平，對所有獲證人員進行認證咨詢維持監(jiān)督。

（一）它代表現代企業(yè)或單位機構思考如何真正發(fā)揮信息安全的作用和如何最優(yōu)地作出質量決策的一種觀點。

（二）它是深入細致的質信息安全管理iso三體系認證的基礎。

（三）信息安全體系是使公司內更為廣泛的信息安全活動能夠得以切實管理的基礎。

（四）信息安全體系是有計劃、有步驟地把整個公司主要信息安全活動按重要性順序進行改善的基礎。

安全管理體系的特征中驅動是?

（一）它代表現代企業(yè)或單位機構思考如何真正發(fā)揮信息安全的作用和如何最優(yōu)地作出質量決策的一種觀點。

（二）它是深入細致的質信息安全管理iso三體系認證的基礎。

（三）信息安全體系是使公司內更為廣泛的信息安全活動能夠得以切實管理的基礎。

（四）信息安全體系是有計劃、有步驟地把整個公司主要信息安全活動按重要性順序進行改善的基礎。

希望可以幫到你

祝您生活愉快

創(chuàng)新券適用范圍及服務機構資質

序號 服務類別 服務子類 申請單位資質 1 研究開發(fā)服務 基礎應用研究和試驗發(fā)展服務 擁有市級以上認證咨詢的重點實驗室、工程中心、公共技術平臺的機構 iso三體系認證研發(fā)iso認證服務 開放科研設施服務 在“深圳市科技創(chuàng)新資源共享平臺”備案大型儀器設備的機構 云計算服務
1.具備中國工信部頒發(fā)的增值電信業(yè)務經營許可證及IDC/ISP；
2.建立完善的信息安全保護措施及制度，獲國際云安全聯盟CSA的C-STAR安全認證咨詢、ISCCC信息安全管理體系認證咨詢或國際信息安全標準體系ISO27001認證咨詢等認證咨詢；
3.云服務收費企業(yè)租戶數超過500個以上；
4.三年以上云服務運營業(yè)務基礎；
5.具有健全的服務質量保障體系。 2 技術轉移服務 科技成果轉移轉化服務 市級以上認定的技術轉移機構（創(chuàng)新券兌現需提供在市技術轉移中心備案的技術轉移合同） 3 檢驗檢測認證咨詢服務 檢驗檢測分析服務 檢驗檢測認證咨詢機構（創(chuàng)新券兌現需提供樣品流轉單、檢驗檢測認證咨詢報告等證明材料） 檢測結果國際互認服務 資質認證咨詢服務 擁有市級以上認證咨詢或第三方認證咨詢資質的機構(創(chuàng)新券兌現需提供市級以上認證咨詢證書) 4 iso體系認證服務 iso體系認證代理服務 擁有相應iso體系認證代理資質的機構（創(chuàng)新券兌現需提供單位iso體系認證局或省市以上iso體系認證機構證明iso三體系認證） iso體系認證申報分析服務 擁有iso體系認證代理資質的機構（兌現需提供STN國際聯機申報、單位iso體系認證局ISO環(huán)境體系認證申報咨詢中心等第三方申報機構出具申報報告）

百度文庫 創(chuàng)新卷可以

創(chuàng)新卷可以用于三體系嗎

創(chuàng)新券適用范圍及服務機構資質

序號 服務類別 服務子類 申請單位資質 1 研究開發(fā)服務 基礎應用研究和試驗發(fā)展服務 擁有市級以上認證咨詢的重點實驗室、工程中心、公共技術平臺的機構 iso三體系認證研發(fā)iso認證服務 開放科研設施服務 在“深圳市科技創(chuàng)新資源共享平臺”備案大型儀器設備的機構 云計算服務
1.具備中國工信部頒發(fā)的增值電信業(yè)務經營許可證及IDC/ISP；
2.建立完善的信息安全保護措施及制度，獲國際云安全聯盟CSA的C-STAR安全認證咨詢、ISCCC信息安全管理體系認證咨詢或國際信息安全標準體系ISO27001認證咨詢等認證咨詢；
3.云服務收費企業(yè)租戶數超過500個以上；
4.三年以上云服務運營業(yè)務基礎；
5.具有健全的服務質量保障體系。 2 技術轉移服務 科技成果轉移轉化服務 市級以上認定的技術轉移機構（創(chuàng)新券兌現需提供在市技術轉移中心備案的技術轉移合同） 3 檢驗檢測認證咨詢服務 檢驗檢測分析服務 檢驗檢測認證咨詢機構（創(chuàng)新券兌現需提供樣品流轉單、檢驗檢測認證咨詢報告等證明材料） 檢測結果國際互認服務 資質認證咨詢服務 擁有市級以上認證咨詢或第三方認證咨詢資質的機構(創(chuàng)新券兌現需提供市級以上認證咨詢證書) 4 iso體系認證服務 iso體系認證代理服務 擁有相應iso體系認證代理資質的機構（創(chuàng)新券兌現需提供單位iso體系認證局或省市以上iso體系認證機構證明iso三體系認證） iso體系認證申報分析服務 擁有iso體系認證代理資質的機構（兌現需提供STN國際聯機申報、單位iso體系認證局ISO環(huán)境體系認證申報咨詢中心等第三方申報機構出具申報報告）

百度文庫 創(chuàng)新卷可以

創(chuàng)新券支持范圍包括

（一）在科技創(chuàng)新活動中，通過省級科技資源開發(fā)共享網絡管理服務平臺等信息資源，向高等院校、科研院所及各類創(chuàng)新平臺基地辦理測試檢測、科學數據、科技查新、生物（物種）資源等創(chuàng)新服務。

（二）與省內高等院校、科研院所及創(chuàng)新平臺開展合作研發(fā)。

按照法律法規(guī)或者強制性標準要求必須開展的檢測和活動，工業(yè)iso認證類服務不納入創(chuàng)新券的支持范圍。

信息安全專業(yè)課程設置：

學生除學習理工專業(yè)公共基礎課外，學習的專業(yè)基礎和專業(yè)課主要有：高等數學、線性代數、計算方法、概率論與數理統(tǒng)計、計算機與算法初步、C++語言程序iso認證、數據結構與算法、計算機原理與匯編語言、數據庫原理、操作系統(tǒng)、大學物理、集合與圖論、代數與邏輯、密碼學原理、編碼理論、信息論基礎、信息安全體系結構、軟件工程、數字邏輯、計算機網絡等。

除上述專業(yè)課外還開設了大量專業(yè)選修課，主要有：數據通信原理、信息安全概論、計算機網絡安全管理、數字鑒別及認證咨詢系統(tǒng)、網絡安全檢測與防范技術、防火墻技術、病毒機制與防護技術、網絡安全協(xié)議與標準等。學生除要完成信息安全體系不同層次上的各種實驗和課程iso認證外，還將在畢業(yè)iso認證中接受嚴格訓練。

電子商務體系結構可以分為網絡基礎平臺、安全結構、支付體系和業(yè)務系統(tǒng)四個層次。

網絡基礎平臺

1.電子商務的網絡基礎平臺

電子商務以因特網為主要載體。網絡帶寬、網絡的可靠性、穩(wěn)定性成為影響電子商務系統(tǒng)整體性能的重要因素。

2.安全結構

電子商務活動需要一個安全的環(huán)境,以保證在線交易等數據在網絡中傳輸的安全性和完整性,實現交易雙方的身份認證,防止交易中抵賴的發(fā)生。電子安全結構建立在網絡基礎平臺之上。

3.電子商務業(yè)務系統(tǒng)和支付體系

電子商務業(yè)務系統(tǒng)分為支付型業(yè)務和非支付型業(yè)務。支付型業(yè)務需要支付體系層完成。支付體系在安全結構之上,為支付型電子商務業(yè)務提供各種支付手段;非支付型業(yè)務直接在安全結構之上,使用安全基礎層提供的各種認證手段和安全技術提供電子商務服務。

電子商務系統(tǒng)包括業(yè)務應用系統(tǒng)。例如,網上購物、證券交易、在線談判、電信交費、電子銀行等。

用戶及終端系統(tǒng)。例如,電話終端、計算機終端、智能終端。用戶使用電子支付系統(tǒng),需要在計算機終端上安裝電子支付軟件,例如,電子錢包軟件。

4、支付網關系統(tǒng)。它處于因特網與銀行網絡之間,主要完成通信、協(xié)議轉換和數據加密解密功能和保護銀行內部的網絡。支付網關系統(tǒng)的使用可以過濾因特網發(fā)過來的數據包,防止黑客的攻擊和不相關信息的流入。

CA安全認證體系,它通過發(fā)放證書,保證所有參與活動的實體表明身份。

對“國家質量技術基礎”的解釋，

第一，國家質量技術基礎是國際通行的概念。質量技術基礎就是計量、標準、認證認可、檢驗檢測，這些是國際上提出的概念。聯合國貿易發(fā)展組織、聯合國工業(yè)發(fā)展組織、世界貿易組織（WTO）和國際標準化組織（ISO）先后提出這個概念，而且不斷強化這個概念。他們認為計量、標準、認證認可、檢驗檢測是一個完整的技術鏈條，不僅給質量提供支撐，更是保障國民經濟有序運行、社會可持續(xù)發(fā)展、促進科技創(chuàng)新的基礎。世界銀行連續(xù)兩年發(fā)布報告說質量技術基礎工作。甚至國際上有的專家提出全球質量技術基礎概念，我們應該很好地研究、關注。

第二，我國國家質量技術基礎工作是一個什么狀況?？傮w上還是比較好的，因為我國重視這個建設。大家都知道，我們的政府機構歷史上有計量局、標準局。而且要再往老的說，秦始皇就是第一任計量局長，他統(tǒng)一了度量衡，老祖宗就重視計量。

首先我國現在形成了比較完備的法律法規(guī)體系，我們有《計量法》《標準化法》《認證認可條例》，和相關部門規(guī)章、地方法規(guī)、規(guī)范性文件構成了法律法規(guī)體系。

其次，我們有統(tǒng)一集中的行政管理體系。質檢總局和所屬國家認監(jiān)委、國家標準委統(tǒng)一管理全國計量、標準、認證認可和檢驗檢測工作，各行業(yè)部門和地方政府分別管理本行業(yè)、本地區(qū)的質量技術基礎工作。

三是形成了比較完備的技術體系。國家設有中國計量科學研究院、中國標準化研究院、中國檢驗檢疫科學研究院和中國特種設備檢測研究院，全國還有900多個國家級質檢中心和國家重點檢測實驗室，5000多個技術機構，形成了覆蓋全國的技術體系。

第三，和國際先進水平比，我們的差距還比較明顯。比如計量，我國被承認的校準測量能力在國際上雖然排到第四位，僅為排名第一位美國的53%。國際標準這么多，中國主導制定的國際標準才剛剛接近1%。認證認可剛實現新的突破，發(fā)光二極管（LED）認證是首個由我國引領制定的國際認證制度

2016年發(fā)布了《“國家質量基礎的共性技術研究與應用”重點專項指南》

這一專項的總體目標是，到2020年，實現我國國家質量基礎技術能力升級換代，總體水平與發(fā)達國家并跑，部分項目實現領跑。研制計量標準和精密測量裝置100-120臺/套、國家標準物質500-600項；研制國際標準200項以上，我國主導制定的國際標準比例由0.7%提升到
1.5%，推動100余項中國標準“走出去”；研制基礎通用和產業(yè)共性國家標準1000余項；填補重點領域檢驗檢測新方法和核心技術300 項、新裝置51臺/套、診斷產品70種；建立6 套國際或區(qū)域領先的認證認可技術方案；形成5 套以上“計量-標準-檢驗檢測-認證認可”全鏈條整體技術解決方案，夯實質量強國戰(zhàn)略技術基礎，引領我國經濟社會發(fā)展質量提升。

專業(yè)提供：環(huán)保ROHS檢測SGS報告/東莞環(huán)保ROHS檢測MSDS報告/深圳REACH84檢測報告/珠海環(huán)保ROHS檢測FDA報告/佛山環(huán)保ROHS檢測LFGB報告/中山環(huán)保ROHS檢測CPSIA報告/汕頭BPA檢測報告/揭陽環(huán)保ROHS檢測AZO報告/惠州AZO檢測報告/河源環(huán)保ROHS檢測APEO報告/汕尾環(huán)保ROHS檢測MSDS報告/茂名環(huán)保ROHS檢測鹵素測試報告/江門環(huán)保ROHS檢測鄰笨二甲酸鹽報告/江西環(huán)保ROHS檢測老化測試報告/南京環(huán)保ROHS檢測鹽霧測試報告/上海環(huán)保ROHS檢測高低溫測試報告/武漢環(huán)保ROHS檢測DMF報告/廣西環(huán)保SGS認證ROHS檢測辦理甲醛測試報告/山東環(huán)保ROHS檢測MSDS報告/重慶環(huán)保ROHS檢測SGS測試辦理等等。

MSDS的作用化學品安全說明書作為傳遞產品安全信息的最基礎的技術文件，其主要作用體現在：

1. 提供有關化學品的危害信息，保護化學產品使用者

2. 確保安全操作，為制訂危險化學品安全操作規(guī)程提供技術信息

3. 提供有助于緊急救助和事故應急處理的技術信息

4. 指導化學品的安全生產、安全流通和安全使用

5. 是化學品登記管理的重要基礎和信息來源

SGS報告、MSDS認證、LFGB測試、FDA檢測、REACH84項檢測中心、鹽霧測試，老化測試，阻燃測試、在哪做ROHS測試、高低溫測試、鹵素測試、鄰笨二甲酸測試、甲醛測試等廣州捷測中心。

廣州捷測是針對中國企業(yè)提供各類產品sGS 檢測服務的專業(yè)認證咨詢服務機構。

電子商務安全要求包括四個方面：

（1）數據傳輸的安全性。對數據傳輸的安全性需求即是保證在公網上傳送的數據不被第三方竊取。對數據的安全性保護是通過采用數據加密（包括秘密密鑰加密和公開密鑰加密）來實現的，數字信封技術是結合秘密密鑰加密和公開密鑰加密技術實現的保證數據安全性的技術。

（2）數據的完整性。對數據的完整性需求是指數據在傳輸過程中不被篡改。數據的完整性是通過采用安全的散列函數和數字簽名技術來實現的。雙重數字簽名可以用于保證多方通信時數據的完整性。

（3）身份驗證。由于網上的通信雙方互不見面，必須在交易時（交換敏感信息時）確認對方等真實身份；在涉及到支付時，還需要確認對方的賬戶信息是否真實有效。身份認證是采用口令字技術、公開密鑰技術或數字簽名技術和數字證書技術來實現的。

（4）交易的不可抵賴。網上交易的各方在進行數據傳輸時，必須帶有自身特有的、無法被別人復制的信息，以保證交易發(fā)生糾紛時有所對證。這是通過數字簽名技術和數字證書技術來實現的。

電子商務系統(tǒng)安全系統(tǒng)結構包括以下部分：

（1）基本加密算法；

（2）以基本加密算法為基礎的CA體系以及數字信封、數字簽名等基本安全技術；

（3）以基本加密算法、安全技術、CA體系為基礎的各種安全應用協(xié)議。

以上部分構成了電子商務的安全體系，在此安全體系之上建立電子商務的支付體系和各種業(yè)務應用系統(tǒng)。有關基本加密算法、數字信封、數字簽名以及各種安全協(xié)議的實現應符合相關標準的規(guī)定。

CA認證體系通常以各種基本加密算法為基礎，同時采用各種基本安全技術，為上層的安全應用協(xié)議提供證書認證功能。

兩門公共課和專業(yè)課。目前的考試政策、形式為兩門公共課+專業(yè)課。考試一共要考認證通用基礎+質量體系/環(huán)境體系/職業(yè)安全體系基礎+管理體系認證基礎合計5個科目。

CB體系（電工產品合格測試與認證的IEC體系）是IECEE運作的－個國際體系，IECEE各成員國認證機構以IEC標準為基礎對電工產品安全性能進行測試，其測試結果即CB測試報告和CB測試證書在IECEE各成員國得到相互認可的體系。目的是為了減少由于必須滿足不同國家認證或批準準則而產生的國際貿易壁壘。IECEE 是國際電工委員會電工產品合格測試與認證組織的簡稱。

CCC是中國的強制認證，

CE認證歐盟的強制認證，

我們是檢測認證公司，需要這方面的咨詢或辦理可以找，資料有信息。