1.教育与工作经历

硕士研究生以上，具有1年工作经历；或本科毕业，具有2年工作经历；或大专毕业，具有4年工作经历。

2.专业工作经历

至少具备1年从事信息安全有关的工作经历。

3.培训资格

在申请注册前，成功地完成了CNITSEC或其授权培训机构组织的注册信息安全专业人员培训课程相应资质所需的分类课程，并取得培训合格证书。

4.通过由CNITSEC举行的注册信息安全专业人员考试；

具备一定的信息安全基础知识，了解并掌握GB/T 18336、ISO 15408、ISO 17799等有关信息安全标准，具有进行信息安全服务的能力。

注册信息安全专业人员必须严格履行其职责并遵守以下道德准则：

1.所有注册信息安全专业人员（CISP）都必须付出努力才能注册。为贯彻这条原则，所有的CISP都必须承诺完全遵守道德准则。

2.CISP必须诚实，公正，负责，守法；

3.CISP必须勤奋和胜任工作，不断提高自身专业能力和水平；

4.CISP必须保护信息系统、应用程序和系统的价值；

5.CISP必须接受CNITSEC的监督，在任何情况下，不损坏CNITSEC或注册过程的声誉，对CNITSEC针对CISP而进行的调查应给予充分的合作；

6.CISP必须按规定向CNITSEC交纳费用。

在整个注册信息安全专业人员（CISP）的知识体系结构中，共包括信息安全保障概述、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规这五个知识类，每个知识类根据其逻辑划分为多个知识体，每个知识体包含多个知识域，每个知识域由一个或多个知识子域组成。

CISP知识体系结构共包含五个知识类，分别为：

信息安全保障概述：介绍了信息安全保障的框架、基本原理和实践，它是注册信息安全专业人员首先需要掌握的基础知识。

信息安全技术：主要包括密码技术、访问控制、审计监控等安全技术机制，网络、操作系统、数据库和应用软件等方面的基本安全原理和实践，以及信息安全攻防和软件安全开发相关的技术知识和实践。

信息安全管理：主要包括信息安全管理体系建设、信息安全风险管理、安全管理措施等相关的管理知识和实践。

信息安全工程：主要包括信息安全相关的工程的基本理论和实践方法。

信息安全标准法规：主要包括信息安全相关的标准、法律法规、政策和道德规范，是注册信息安全专业人员需要掌握的通用基础知识。

CISP考试题型均为单项选择题，共100题，每题1分，得到70分以上（含70分）为通过。

CISP两种基础类别“注册信息安全工程师”（CISE）和“注册信息安全管理人员”（CISO）的注册人员都需要学习和掌握CISP知识体系结构框架中的所有内容。由于两种注册证书持有人的工作岗位和工作领域的不同，考试的侧重点有所区别，因此，所对应的试题比例不同。

下表描述了CISE/CISO考试的各知识类的大致比例。（具体详细比例以CNITSEC公布的最新资料为准）

CISP 资质认定类别：

“注册信息安全专业人员”，英文为 Certified Information Security Professional ，简称 CISP，系经中国信息安全测评中心认定的国家信息安全专业人员，具备保障信息系统安全的专业资质。根据岗位工作需要，CISP 分为四个类别：

1、“注册信息安全工程师”，英文为 Certified Information Security Engineer，简称 CISE。证书持有人员主要从事信息安全技术领域的工作，具有从事信息系统安全集成、安全技术测试、安全加固和安全运维的基本知识和能力；

2、 “注册信息安全管理员”，英文为 Certified Information Security Officer，简称 CISO。证书持有人员主要从事信息安全管理领域的工作，具有组织信息安全风险评估、信息安全总体规划编制、信息安全策略制度制定和监督落实的基本知识和能力。

3、 “注册信息安全审计师”，简称CISA，证书持有人主要从事信息安全审计工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息安全风险评估、安全检查实践能力。

4、“注册信息安全灾难恢复工程师”，简称 CISP-DRP，证书持有人主要从事信息系统灾难恢复工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息系统灾难恢复建设和管理的实践能力。  

中国信息安全测评中心  （以下简称测评中心）是我国专门从事信息技术安全测试和风险评估的权威职能机构。依据中央授权，测评中心的主要职能包括：负责信息技术产品和系统的安全漏洞分析与信息通报；负责党政机关信息网络、重要信息系统的安全风险评估；开展信息技术产品、系统和工程建设的安全性测试与评估；开展 信息安全服务和专业人员的能力评估与资质审核；从事信息安全测试评估的理论研究、技术研发、标准研制等。