天帷网络安全课堂 | 关于CIIPT认证,你了解多少?
更新时间:2022-07-14
浏览量:2555



你知道吗?CIIPT(国家重要信息系统保护人员培训)是在国家信息安全等级保护制度政策和标准指导下开展的信息安全等级保护体系课程培训。重要信息系统相关人员都要接受国家网络安全等级保护制度相关内容和要求的培训与考核。


今天,就带大家全面了解一下这项认证吧!


什么是CIIPT

随着我国信息化建设步伐的加快,信息系统建设已经达到了一个相当的规模,这些系统中承载着我国各行业的重要业务,正发挥越来越重要的作用,成为我国的关键信息基础设施(或称为重要信息系统)。这些关键信息基础设施的安全保护越来越成为人们关注的焦点,其安全保护水平直接关系到我国公众利益、经济秩序和国家安全。


为更好的服务于国家网络安全等级保护制度的深入开展,满足相关人员的培训需求,实施了重要信息系统安全保护人员培训计划,简称CIIPT(Critical Information Infrastructure Protection Training)


一、发证机构

 

CIIPT的发证机关是公安部信息安全等级保护评估中心。2003年,依托公安部第三研究所,由国家信息安全主管部门为建立信息安全等级保护制度,构建国家信息安全保障体系而专门批准成立的专业技术支撑机构。


二、 证书特点

 


1.对我国信息安全政策、法规、标准的权威性解读

CIIPT是在国家信息安全等级保护制度政策和标准指导下开展的培训,目前全国各行业各部门正在贯彻落实信息安全等级保护制度,迫切需要全面和准确把握我国信息安全相关政策和标准,CIIPT培训师资都是相关政策、标准的制定和参与者,对相关政策、标准的背景、编制过程和内容具有深刻理解和准确把握。


2.注重对信息安全规划设计与测评技术的培训

缺乏安全规划设计的信息系统必然会造成安全保障体系建设的先天不足,缺少定期安全测评的信息系统安全隐患就不能被及时发现,规划设计、等级测评与自查是影响我国重要信息系统安全保障工作的两个重要环节。CIIPT加强了对信息系统规划设计、等级测评与自查阶段相关技术和方法的培训。


3.注重对重要系统安全保护相关人员实际工作的指导

CIIPT根据不同培训对象进行了分类,并设计了相应的培训课程,培训目标明确,培训内容紧密结合工作实际,把国家信息安全政策、标准与实际工作有效地结合起来,有助于学员更好地参与到我国重要信息系统安全保障建设工作中来。


三、 课程分类

我国重要信息系统的规划、设计、建设、运行维护需要大量专业技术人员,根据不同人员的培训需求不同,设置不同的培训课程,目前主要分为信息安全管理员(CIIP-A)和信息安全管理师(CIIP-D)的培训两类。


1. CIIP-A(Administrator)信息安全管理员

培训对象:重要行业部门开展网络安全或信息化工作的技术骨干。

1)提高掌握等级保护相关政策的水平;

2)提高开展本单位或行业等级保护工作的思路和水平;

3)清楚如何从资源分配(人、财、物)、效益分析等方面对本单位或本行业的等级保护工作做出决策;

4)如何通过各种管理手段,制订责任制对等级保护工作的开展进行有效管控,规避风险;

5)提高信息安全意识,了解和掌握信息安全事件的形势和趋势。

 

2. CIIP-D(Director)信息安全管理师

培训对象:重要行业部门网络安全或信息化的管理干部。

1)了解国家信息安全相关政策、法规,深入理解信息安全等级保护制度,熟悉等级保护中各个环节的工作思路和方法,能够组织开展好本单位等级保护工作;

2)熟悉信息系统定级工作流程,准确把握重要信息系统等级,能够独立开展信息系统重要性调查和分析,能够完成信息系统定级报告和重要性分析报告,熟悉备案流程和方法;

3)熟悉信息安全建设整改工作流程、内容和要求,掌握安全规划设计和等级测评工作方法,熟悉等级保护相关标准、技术和产品,能够根据等级保护要求组织本单位安全规划和整改方案的设计、实施和运行维护;

4)熟悉信息系统安全运行管理、信息安全技术理论、运行监控及应急响应方面的专业知识;

5)掌握建立安全管理制度体系的方法,能够按照等级保护要求开展安全维护、运行监控和应急响应,保障信息系统安全保护能力持续有效。

 

*备注:该证书对于报考人员的学历及工作履历暂无特殊要求,若有志向从事网络安全等级保护相关工作的社会人士或学生,均可联系天帷信安培训部咨询、报名。

联系方式合肥天帷信息安全技术有限公司

地址:安徽省合肥市高新区望江西路900号中安创谷科技园一期A129

联系人

 

扫码添加

天帷黄老师

手机号 13856997104

邮     箱  yayun.huang@tanovo.com

网     址   www.tanovo.com


四、相关链接

等保2.0国家标准宣贯之法律法规摘录

一、《中华人民共和国网络安全法》

第二十一条   国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

第五十九条   网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

 

二、《信息安全等级保护管理办法》

第三条  公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第十五条  已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。第十七条  信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。

运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。

 

三、《公安机关互联网安全监督检查规定》

第十条 公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查:

(一)是否办理联网单位备案手续,并报送接入单位和用户基本信息及其变更情况;

(二)是否制定并落实网络安全管理制度和操作规程,确定网络安全负责人;

(三)是否依法采取记录并留存用户注册信息和上网日志信息的技术措施;

(四)是否采取防范计算机病毒和网络攻击、网络侵入等技术措施;

(五)是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施;

(六)是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助;

(七)是否履行法律、行政法规规定的网络安全等级保护等义务。

 



你知道吗?CIIPT(国家重要信息系统保护人员培训)是在国家信息安全等级保护制度政策和标准指导下开展的信息安全等级保护体系课程培训。重要信息系统相关人员都要接受国家网络安全等级保护制度相关内容和要求的培训与考核。


今天,就带大家全面了解一下这项认证吧!


什么是CIIPT

随着我国信息化建设步伐的加快,信息系统建设已经达到了一个相当的规模,这些系统中承载着我国各行业的重要业务,正发挥越来越重要的作用,成为我国的关键信息基础设施(或称为重要信息系统)。这些关键信息基础设施的安全保护越来越成为人们关注的焦点,其安全保护水平直接关系到我国公众利益、经济秩序和国家安全。


为更好的服务于国家网络安全等级保护制度的深入开展,满足相关人员的培训需求,实施了重要信息系统安全保护人员培训计划,简称CIIPT(Critical Information Infrastructure Protection Training)


一、发证机构

 

CIIPT的发证机关是公安部信息安全等级保护评估中心。2003年,依托公安部第三研究所,由国家信息安全主管部门为建立信息安全等级保护制度,构建国家信息安全保障体系而专门批准成立的专业技术支撑机构。


二、 证书特点

 


1.对我国信息安全政策、法规、标准的权威性解读

CIIPT是在国家信息安全等级保护制度政策和标准指导下开展的培训,目前全国各行业各部门正在贯彻落实信息安全等级保护制度,迫切需要全面和准确把握我国信息安全相关政策和标准,CIIPT培训师资都是相关政策、标准的制定和参与者,对相关政策、标准的背景、编制过程和内容具有深刻理解和准确把握。


2.注重对信息安全规划设计与测评技术的培训

缺乏安全规划设计的信息系统必然会造成安全保障体系建设的先天不足,缺少定期安全测评的信息系统安全隐患就不能被及时发现,规划设计、等级测评与自查是影响我国重要信息系统安全保障工作的两个重要环节。CIIPT加强了对信息系统规划设计、等级测评与自查阶段相关技术和方法的培训。


3.注重对重要系统安全保护相关人员实际工作的指导

CIIPT根据不同培训对象进行了分类,并设计了相应的培训课程,培训目标明确,培训内容紧密结合工作实际,把国家信息安全政策、标准与实际工作有效地结合起来,有助于学员更好地参与到我国重要信息系统安全保障建设工作中来。


三、 课程分类

我国重要信息系统的规划、设计、建设、运行维护需要大量专业技术人员,根据不同人员的培训需求不同,设置不同的培训课程,目前主要分为信息安全管理员(CIIP-A)和信息安全管理师(CIIP-D)的培训两类。


1. CIIP-A(Administrator)信息安全管理员

培训对象:重要行业部门开展网络安全或信息化工作的技术骨干。

1)提高掌握等级保护相关政策的水平;

2)提高开展本单位或行业等级保护工作的思路和水平;

3)清楚如何从资源分配(人、财、物)、效益分析等方面对本单位或本行业的等级保护工作做出决策;

4)如何通过各种管理手段,制订责任制对等级保护工作的开展进行有效管控,规避风险;

5)提高信息安全意识,了解和掌握信息安全事件的形势和趋势。

 

2. CIIP-D(Director)信息安全管理师

培训对象:重要行业部门网络安全或信息化的管理干部。

1)了解国家信息安全相关政策、法规,深入理解信息安全等级保护制度,熟悉等级保护中各个环节的工作思路和方法,能够组织开展好本单位等级保护工作;

2)熟悉信息系统定级工作流程,准确把握重要信息系统等级,能够独立开展信息系统重要性调查和分析,能够完成信息系统定级报告和重要性分析报告,熟悉备案流程和方法;

3)熟悉信息安全建设整改工作流程、内容和要求,掌握安全规划设计和等级测评工作方法,熟悉等级保护相关标准、技术和产品,能够根据等级保护要求组织本单位安全规划和整改方案的设计、实施和运行维护;

4)熟悉信息系统安全运行管理、信息安全技术理论、运行监控及应急响应方面的专业知识;

5)掌握建立安全管理制度体系的方法,能够按照等级保护要求开展安全维护、运行监控和应急响应,保障信息系统安全保护能力持续有效。

 

*备注:该证书对于报考人员的学历及工作履历暂无特殊要求,若有志向从事网络安全等级保护相关工作的社会人士或学生,均可联系天帷信安培训部咨询、报名。

联系方式合肥天帷信息安全技术有限公司

地址:安徽省合肥市高新区望江西路900号中安创谷科技园一期A129

联系人

 

扫码添加

天帷黄老师

手机号 13856997104

邮     箱  yayun.huang@tanovo.com

网     址   www.tanovo.com


四、相关链接

等保2.0国家标准宣贯之法律法规摘录

一、《中华人民共和国网络安全法》

第二十一条   国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

第五十九条   网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

 

二、《信息安全等级保护管理办法》

第三条  公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第十五条  已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。第十七条  信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。

运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。

 

三、《公安机关互联网安全监督检查规定》

第十条 公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查:

(一)是否办理联网单位备案手续,并报送接入单位和用户基本信息及其变更情况;

(二)是否制定并落实网络安全管理制度和操作规程,确定网络安全负责人;

(三)是否依法采取记录并留存用户注册信息和上网日志信息的技术措施;

(四)是否采取防范计算机病毒和网络攻击、网络侵入等技术措施;

(五)是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施;

(六)是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助;

(七)是否履行法律、行政法规规定的网络安全等级保护等义务。