CISP-DSO(数据安全官)
简介
信息安全作为我国信息化建设健康发展的重要因素,关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施,是国家安全的重要组成部分。在信息系统安全保障工作中,人是最核心、也是最活跃的因素,人员的信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。注册信息安全专业人员(CISP)是对我国网络基础设施和重要信息系统的信息安全专业人员进行资质评定的重要形式。多年来为落实我国有关政策“加快信息安全人才培养,增强全民信息安全意识”的指导精神,构建信息安全人才体系发挥了巨大作用。
本大纲从我国国情出发,结合我国网络基础设施和重要信息系统安全保障的实际需求,以知识体系的全面性和实用性为原则,明确规定了注册信息安全专业人员应当掌握的知识要点,是CISP教材编制,讲师授课,学员学习,以及考试命题的重要依据。而数据安全官,英文名称为: Certi-fied Information Security Professional - Data Security Office,简称CISP-DSO;证书持有人员主要从事数据安全治理相关管理工作,充分理解数据安全合规管理规则、掌握数据安全治理管理能力、数据安全管理体系规划及数据安全技术体系设计的基本知识和能力
课程大纲
CISP-DSO知识体系使用组件模块化的结构,包括知识类、知识体、知识域、 知识子域四个层次。
知识类:是对数据安全管理知识领域的总体划分,包含数据安全治理专业人员-数据安全官需 要掌握的知识类别;
知识体:是知识类中由属于同一技术领域的知识内容构成的相对独立、 成体系的知识集合;
知识域:是对知识体进一步分解细化形成的完整的知识组件;
知识子域:是构成知识域的基本模块,由一至多个具体知识要点构成。
本大纲规定了知识子域中每一个知识要点的内容和深度要求,分为“了解”、 “理解”和“掌握”三类。
了解:是最低深度要求,学员需要正确认识该知识要点的基本概念和原理;
理解:是中等深度要求,学员需要在正确认识该知识要点的基本概念和原理的基础上,深入理解其内容,并可以进一步的判断和推理;
掌握:是最高深度要求,学员需要正确认识该知识要点的概念、原理, 并在深入理解的基础上灵活运用。
在整个注册信息安全专业人员-数据安全官(CISP-DSO)的知识体系结构中,共包括信息安全合规知识、数据安全管理体系、数据安全管理过程、数据安全治理与技术保护这四个知识类,每个知识类根据其逻辑划分为多个知识体,每个知识体包含多个知识域,每个知识域由一个或多个知识子域组成。
CISP-DSO 知识体系结构共包含四个知识类,分别为:
数据安全合规知识:主要包括我国国家安全法、网络安全法、数据安全法、个人信息保护法、密码法、关键信息基础设施保护条例、网络安全审查制度及各数据安全标准规范等法律、法规、规范中与数据安全治理、保护相关的知识。
数据安全管理体系:主要包括数据安全组织职能设计、数据安全方针策略设计、数据安全制度体系设计、数据安全标准规范设计、数据安全流程规划及管理等数据安全相关体系设计知识和实践。
数据安全管理过程:主要包括数据处理活动管理中的数据安全技术管理、数据生存周期安全管理、数据安全运营过程管理、数据安全监督审计管理及数据安全教育培训管理等相关的过程管理知识和实践。
数据安全治理与技术保护:主要包括数据分类分级管理、数据安全风险治理、数据安全技术保护(结构化、非结构化及大数据安全保护措施)、数据安全运维及数据安全审计等技术措施相关知识和实践。
课程表
数据安全官 (CISP-DSO) 课程安排 | |||
日程 | 课程名称 | 课节 | 课程内容 |
day1 | 数据安全合规知识 | 上午 | 国际数据安全合规政策情况 |
国内数据安全合规政策情况 | |||
下午 | 数据安全标准规范 | ||
数据安全监管过程 | |||
day2 | 数据安全管理体系 | 上午 | 数据安全组织职能设计 |
数据安全方针政策设计 | |||
数据安全制度体系设计 | |||
下午 | 数据安全标准规范设计 | ||
数据安全流程规划及管理 | |||
day3 | 数据安全管理过程 | 上午 | 数据安全技术管理 |
数据生存周期安全管理 | |||
数据安全运营过程管理 | |||
下午 | 数据安全监督审计管理 | ||
数据安全文化建设管理 | |||
day4 | 数据安全治理与技术保护 | 上午 | 数据分类分级管理措施 |
下午 | 数据安全风险治理措施 | ||
day5 | 数据安全治理与技术保护 | 上午 | 数据安全技术保护措施 |
下午 | 数据安全运维措施 | ||
数据安全审计措施 | |||
数据安全治理行业实践 |