文章目录

• • 一、CISP认证到底是啥？
  • 二、CISP有哪些方向？
  • • 1 CISE注册信息安全工程师
    • 2 CISO注册信息安全管理员
    • 3 CISM注册信息安全管理员
    • 4 CISP-PTE国家注册渗透测试工程师
    • 5 CISP-PTS国家注册渗透测试专家
    • 6 CISP-IRE国家注册信息安全应急响应工程师
    • 7 CISP-IRS国家注册信息安全应急响应专家
    • 8 CISP-A注册信息系统审计师
    • 9 CISD注册信息安全开发人员
    • 10 CISP-DSG注册数据安全治理专业人员
    • 11 CISP-DPO注册数据安全官
  • 三、CISP好考吗？
  • 四、CISP都考什么？
  • 五、考CISP需要什么条件？
  • 六、考试时间与考试形式
  • 七、考CISP证书的用处
  • 八、CISP的其他作用？
  • 九、CISP考完可以做什么？

今天展开聊聊CISP，注册信息安全专业人员证。
很多人以为说CISP就是个证书，没这么简单，这里面区别可大了，内容也多了。
有人说每次看的内容很零散，有哪些方向？ 考CISP所需条件？相关考试时间、考试形式、题型等等？
这回把CISP所有你可能想到的疑问，全部梳理一遍。
想了解CISP的同学，看这篇足够了。

一、CISP认证到底是啥？

CISP认证作为信息安全领域的重要资质，在中国国内受到高度认可，国际舞台对标的是CISSP。
该认证专注于培养具备全面信息安全知识和实践技能的专业人才，以满足当前复杂多变的网络安全环境。
CISP覆盖了信息安全的多个领域，包括但不限于安全策略、风险管理、安全运营、应急响应等。

通过这一认证，专业人士能够展示自己在信息安全领域的专业水平，同时也为企业提供了一个可靠的人才选拔标准。
对于追求信息安全领域职业发展的专业人士而言，CISP认证无疑是一块宝贵的敲门砖。
它不仅能够增强个人简历的吸引力，还能为职业晋升和薪资增长提供支持。
在许多组织中，CISP认证被视为关键安全岗位的必备条件，如首席信息安全官(CISO)、安全顾问、安全分析师等。

二、CISP有哪些方向？

CISP根据工作领域和实际岗位需要，分为综合型、攻防领域、IT审计、软件开发、数据治理、电子取证和云安全领域等17项证书。

这么多个方向，侧重点自然是不同的。

总得来说，CISP是面向党政机关、重要行业、关键信息基础设施运营单位、各类企事业单位和社会组织，以及网络与信息安全企业、测评机构、咨询服务机构、大专院校中负责信息系统规划、建设、运营、管理、监督等工作的信息安全人员颁发的国家级专业资质证书。
CISE、CISO和CISM三项证书是从我国国情出发，结合我国网络基础设施和重要信息系统安全保障的实际需求，以知识体系的全面性和实用性为原则，充分涵盖了我国网络基础设施和重要信息系统的信息安全专业人员和信息化工作人员需要掌握的各类知识要点。
下面对部分方向做一个重点介绍。

1 CISE注册信息安全工程师

CISE，中文名称为注册信息安全工程师。
证书持有人员主要从事信息安全技术领域的工作，具有从事信息系统安全集成、安全技术测试、安全加固和安全运维的基本知识和能力。

2 CISO注册信息安全管理员

CISO，即注册信息安全管理员。
证书持有人员主要从事信息安全管理领域的工作，具有组织信息安全风险评估、信息安全总体规划编制、信息安全策略制度制定和监督落实的基本知识和能力。

3 CISM注册信息安全管理员

“注册信息安全员”，CISM。
CISM是对信息化工作人员信息安全基本能力的认可，属于行业入门级国家认证，证书持有人员具备信息安全员的基本资质和能力，全国超5千人持有CISM。
CISP攻防领域四大认证对学员无学历与工作经验要求，只要感兴趣的相关人员均可报考。

4 CISP-PTE国家注册渗透测试工程师

CISP-PTE，中文名为国家注册渗透测试工程师，可谓是CISP近年来最受欢迎的证书。
它是针对攻防专业领域实施的资质考试，是国内首个也是唯一的渗透测试领域的权威认证，因此受到业内的广泛认可，非常具有权威性和含金量。

5 CISP-PTS国家注册渗透测试专家

CISP-PTS，国家注册信息安全渗透测试专家认证 。
证书持有人员主要从事漏洞研究、代码分析工作，具备对多种攻击方式的技术方法较全面掌握、对最新网络安全动态跟踪研究以及策划解决方案能力。

6 CISP-IRE国家注册信息安全应急响应工程师

CISP-IRE，即国家注册信息安全应急响应工程师认证。
证书持有人员主要从事信息安全技术领域应急响应工作，具有了解应急响应概况、应急响应基础、应急响应事件监测、应急响应事件分析和处置的基本知识和能力。

7 CISP-IRS国家注册信息安全应急响应专家

CISP-IRS，即国家注册信息安全应急响应专家认证。
证书持有人员主要从事信息安全技术领域应急响应工作。
除了具有了解应急响应概况、应急响应基础、应急响应事件监测、应急响应事件分析和处置的基本知识和能力外，还具有各种攻击和防御技巧、较强的攻击溯源、处理复杂攻击应急响应等知识和能力。

8 CISP-A注册信息系统审计师

“注册信息系统审计师”，CISP-A。
证书持有人主要从事信息系统审计工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息安全风险评估、安全检查实践能力。

9 CISD注册信息安全开发人员

“注册信息安全开发人员”，简称CISD。
证书持有人主要从事软件开发相关工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息系统安全开发能力、熟练掌握应用安全。
（CISD报考无学历与工作经验要求）

10 CISP-DSG注册数据安全治理专业人员

“注册数据安全治理专业人员”，CISP-DSG。
证书持有人具备数据安全治理过程能力，能帮助各类组织机构解决数据安全顶层设计及管理体系建设的问题，提升国家企事业单位信息安全管理能力。
（CISP-DSG报考无学历与工作经验要求）

11 CISP-DPO注册数据安全官

“注册数据安全官”，CISP-DPO。

证书持有人具备构建数据安全体系建设思维，能够统筹企业各部门的数据安全跨部门合作能力；
具备依托企业自身业务建立贴合业务的数据安全治理框架以及以数据为中心的安全架构，且落实数据安全防护的能力；
具备快速响应数据安全事件和故障的应急处置能力；
具备开展或验证全员数据安全意识提升的能力；
具备熟悉我国数据安全监管方面的监管要求以及落实企业数据安全合规建设的能力。
CISP-DPO面向CISP-DSG持证人员。

三、CISP好考吗？

月月送小伙伴上岸的人来告诉你，学习得当，CISP几乎是稳过的。

四、CISP都考什么？

分三个层次理解掌握：
要说清都考什么，就要告诉大家CISP知识体系的框架结构是什么样的。
CISP的知识体系使用组件模块化的结构，包括知识域、知识子域、知识点三个层次。
每个知识点根据内容和深度要求，分为**“了解”、“理解”、和“掌握”**三类。

★ 了解：
是最低深度要求，需要正确认识该知识要点的基本概念和原理。

★ 理解：
是中等深度要求，需要在正确认识该知识要点的基本概念和原理的基础上，深入理解其内容，并可以进一步的判断和推理。

★ 掌握：
是最高深度要求，需要正确认识该知识要点的概念、原理，并在深入理解的基础上灵活运用。

知识体系结构包括信息安全保障、网络安全监管、信息安全管理、业务连续性、安全工程与运营、安全评估、信息安全支撑技术、物理与网络通信安全、计算环境安全、软件安全开发，共十个知识域。
每个知识域包括多个知识子域，每个知识子域包括一个或多个知识点要求。
CISP又分两个方向：“注册信息安全工程师”（ CISE）和“注册信息安全管理人员”（ CISO）。
两个方向任选其一即可，最后拿到的都是CISP认证。
两个方向都需要学习和掌握本知识体系结构框架中的所有内容。
由于两种注册证书持有人的工作岗位和工作领域的不同，考试的侧重点有所区别，因此，所对应的试题比例不同。
两个方向的知识点内容完全一样，要求掌握的程度也是完全相同，不同的是各知识点的出题比例有轻微差别。

想看下官方教材的同学，私聊我，备注下**「cisp」**哈。

五、考CISP需要什么条件？

★ 教育背景要求
CISP认证对考生的教育背景有一定的要求。
通常，考生需要具备以下条件之一：
1.持有硕士研究生及以上学历者，毕业后需累积至少1年工作经验;
2.大学本科学历者则需毕业后满2年;
3.大学专科学历的申请者，则需毕业后工作满4年。

★ 工作经验的要求
申请者必须拥有超过1年的信息安全领域相关工作经验。
这一规定旨在筛选出在实际工作中已积累足够信息安全知识与实践技能的候选人，确保他们能更好地融入并贡献于CISP认证体系所倡导的知识体系与实践应用中。

★ 专业培训限制
所有申请者均须完成由中国信息安全测评中心(CNITSEC)直接举办或由其官方授权的培训机构所提供的CISP专业培训课程，并成功获取培训合格证书。
此步骤旨在通过系统化、专业化的培训，确保申请者全面掌握信息安全领域的核心知识与技能，为后续的考核评估奠定坚实基础。

六、考试时间与考试形式

1、考试时间

2、考试形式
· 考试用语：本次考试采用中文作为答题语言。
· 时间安排：考试时间总计为120分钟。
· 题目构成：试卷结构包括100道精心设计的单项选择题。
· 评分标准：满分设定为100分。
· 通过门槛：若考生得分达到或超过70分，即视为通过考试，展现出了扎实的专业知识与技能。
· 成绩查询方式：
为了便捷考生，CISP公众号提供了在线查询服务。
考生只需发送具体的年份与月份(如202408)，即可快速获取该月份合格人员的名单。
· 补考政策说明：
CISP认证考试为考生提供了两次无需额外费用的补考机会。
然而若考生在两次补考后仍未能通过考试，则需在后续补考中补交500元的费用。

七、考CISP证书的用处

CISP证书可作为学识和技能证明；求职、任职、晋升、加薪的资格凭证；用人单位招聘、录用劳动者的主要依据。
同时，可作为单位申报材料、项目评审、资质升级、投标文件中专业技术技术人员实力的证明。

考试时间两个小时，全部为客观题单选，满分100分，70分及格。

一、证书背景：CISP属于国家测评中心颁发证书，目前受到企业认可，这个是实事求是的情况。
CISP知识内容或是形式很多是仿照CISSP来的，但是考试难度却小很多，但是它依然是中国信息安全行业含金量最高的认证。
但是这个认证针对乙方企业人员用处更大一些。
因为乙方企业升级信息安全服务资质或是信息安全项目招投标是强制要求持有CISP人员数量的。
所以很多乙方企业领导会花钱让员工去考。
很多人也会自费去考，这样的好处是应聘工作时有个优先考虑。
因为很多信安岗位要求会写拥有CISSP ，CISA，CISP证者优先，所以拥有一个证书足够应付不懂技术的HR了。

二、找工作必备的证书。

八、CISP的其他作用？

CISP可以在新项目应用中发挥重要作用。
在工程项目招标和资质办理中，拥有CISP资格证书的专业人员往往能够更顺利地开展工作。
这是因为CISP认证被视为衡量信息安全人员专业素质和能力的标准，拥有CISP证书的专业人员更受企业欢迎。
CISP证书是面试中的一大闪光点。
在招聘过程中，许多企业会优先选择拥有CISP证书的应聘者。

这是因为CISP证书代表着应聘者具备了较为完善的信息安全知识和技能，能够更好地适应企业信息安全工作的需求。
CISP证书的适用性强。
CISP证书适用于所有与信息安全相关的职业方向和工作。
无论是从事网络安全、应用安全、物理安全、云安全还是数据安全等工作，拥有CISP证书都能够更好地适应岗位需求，提升职业竞争力。

九、CISP考完可以做什么？

注册信息安全工程师（CISE）是CISP认证的重要职业方向之一。
通过CISP认证的考生将具备从事信息安全技术开发、服务及工程建设等相关工作的能力。
在各大安全公司中，CISE将负责制定信息安全策略、设计安全架构、防范高级威胁等关键任务。
注册信息安全管理人员（CISO）是另一个重要的职业方向。
CISO将专注于信息安全管理相关工作，包括制定信息安全政策、规范和流程，确保企业信息系统的安全性。
CISO还需要与各部门沟通协作，确保信息安全策略的实施和监控。
注册信息安全审核员（CISA）是专门从事信息系统安全性审核或评估相关工作的从业人员。
CISA需具备专业的安全知识和技能，能够对信息系统进行全面、准确的安全评估。
他们将负责制定安全审计计划、执行安全审计并报告结果，以确保信息系统的安全性。
CISP认证虽然是一个挑战，但所带来的职业发展机会和个人成长潜力是巨大的。
对于那些致力于在信息安全领域有所提升的专业人士来说，CISP认证无疑是一个很值得追求的目标。

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习； 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统； 熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

网络安全学习路线&学习资源

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：

此教程为纯技术分享！本书的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本书的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失！！！