CISD
註冊信息安全開發人員的簡稱
註冊信息安全開發人員(Certified Information Security Developer,簡稱 CISD)認證,由中國信息安全測評中心實施,面向信息系統研發領域的工作人員,通過該培訓將使相關人員熟悉軟體安全開發的背景和過程,掌握軟體安全開發各階段的目的、主要任務和技術手段。CISD 證書持有人主要從事信息系統軟體編碼、軟體測試、軟體集成、軟體架構設計等軟體開發相關工作,在全面掌握信息安全基本知識技能的基礎上,具有較強的信息系統安全開發能力、熟練掌握應用安全。
CISD系經中國信息安全測評中心認定的信息安全開發人員,具備一定的軟體安全開發知識和技術,能為軟體全生命周期中提供安全保障。在整個註冊信息安全開發人員(CISD)的知識體系結構中,共包括信息安全保障和軟體安全開發兩大知識類,其中軟體安全開發知識類具體包括軟體安全開發概述、軟體安全需求分析、軟體安全設計、軟體安全編碼、軟體安全測試、軟體安全部署與安全開發項目管理六個知識體,每個知識體包含多個知識域,每個知識域由一個或多個知識子域組成。
IT總監/經理;信息安全管理;
項目經理;軟體項目經理;
軟體架構師;軟體工程師;
應用程序安全專家;軟體採購分析員;
滲透測試人員;質量保證測試員;
其他從事信息安全開發工作的有關人員。
信息安全保障基本知識
信息安全法規與政策
CISD知識體系
網路安全
系統安全
信息安全風險管理
信息安全工程原理
軟體安全開發概述:介紹軟體安全保障的目標和基本要素,以及軟體開發生命周期安全的基本思想,它是註冊信息安全開發人員首先需要掌握的基礎知識。
軟體安全需求分析:在軟體需求分析階段融入安全分析,闡述了典型的針對需求階段的安全需求分析方法和基於生命周期的安全開發框架中的安全需求分析方法,介紹了風險分析中風險評估的目的、意義和風險分析的典型方法——威脅建模。
軟體安全設計:介紹軟體設計過程中應遵循的最小特權、職責分離、縱深防禦、默認安全、減少攻擊面、心理可接受等基本安全原則以及軟體架構安全性分析方法和基於模式的軟體安全設計方法。
軟體安全編碼:介紹通用安全編程準則,以及信息泄露、加密漏洞、溢出攻擊、代碼注入、跨站腳本等常見安全缺陷的形成原因與危害,以其防禦措施。
軟體安全測試:介紹基於風險的安全測試思想,白盒安全測試的原理、特點及常用工具,模糊測試和滲透測試等黑盒安全測試的原理及方法。
軟體安全部署與安全開發項目管理:介紹軟體安全加固、安裝和配置評估,以及軟體安全開發的組織、質量及變更管理的相關內容、項目管理活動中保證安全性的活動等。