应用程序安全专家；软件采购分析员；

渗透测试人员；质量保证测试员；

其他从事信息安全开发工作的有关人员。

认证要求

1、 通过中国信息安全测评中心组织的注册信息安全专业人员 （CISD） 考试；

2、 同意并遵守注册信息安全专业人员（CISD）职业准则；

3、 满足CISD的注册要求并成功通过CISD的注册审核；

4、 不满足CISD工作经验要求的人员，也可以先进行CISD培训和考试，在完成培训并通过考试后，获得CISD培训结业证书；在获得培训结业证书后的3年内累积并满足CISD的教育和工作经验要求，经过注册审核后获得CISD资质；

5、 CISD资质证书后，遵守和满足CISD注册维持要求，并缴付年费。

具备一定的信息安全开发基础知识，熟悉软件安全开发的背景和过程，掌握软件安全开发各阶段的目的、主要任务和技术手段，具有进行信息安全开发的能力。

注册信息安全开发人员必须严格履行其职责并遵守以下道德准则:

1.所有注册信息安全开发人员(CISD)都必须付出努力才能注册。为贯彻这条原则，所有的CISD都必须承诺完全遵守道德准则。

2.CISD必须诚实，公正，负责，守法;

3.CISD必须勤奋和胜任工作，不断提高自身专业能力和水平;

4.CISD必须保护信息系统、应用程序和系统的价值;

5.CISD必须接受CNITSEC的监督，在任何情况下，不损坏CNITSEC或注册过程的声誉，对CNITSEC针对CISD而进行的调查应给予充分的合作;

在整个注册信息安全开发人员（CISD）的知识体系结构中，共包括信息安全保障和软件安全开发两大知识类，其中软件安全开发知识类具体包括软件安全开发概述、软件安全需求分析、软件安全设计、软件安全编码、软件安全测试、软件安全部署与安全开发项目管理六个知识体，每个知识体包含多个知识域，每个知识域由一个或多个知识子域组成。

CISD知识体系结构包含两个知识类，分别为:信息安全保障和软件安全开发：

信息安全保障基本知识 信息安全保障背景与原理典型、信息系统安全模型与框架、信息安全保障工作概况、信息安全保障工作基本内容

信息安全风险管理 信息安全管理工作内容、信息安全风险评估实践

信息安全法规、政策、标准 信息安全相关法律、信息安全相关政策、信息安全标准化概述、信息安全相关标准、信息安全评估标准

访问控制 访问控制模型、访问控制技术

密码学基础 密码学概述、密码学算法简介

网络安全 网络协议安全、网络安全设备

系统安全 操作系统安全、数据库安全

信息安全工程原理 安全工程理论背景、安全工程能力成熟度模型

软件开发安全基础 软件安全开发基本概念、软件安全开发生命周期

安全需求分析 需求和安全需求、安全需求分析方法、威胁建模

软件安全设计 软件设计及安全设计的基本原则、软件安全设计方法、软件架构安全性分析

软件安全编码 软件安全编码基础、典型安全缺陷及防御措施

软件安全测试 软件安全测试简介、软件安全测试的关键工作

软件安全部署与安全开发项目管理 软件安全部署、软件安全开发项目管理

CISD考试题型均为单项选择题，共100题，每题1分，得到70分以上(含70分)为通过。

认证单位

中国信息安全测评中心(以下简称测评中心)是我国专门从事信息技术安全测试和风险评估的权威职能机构。依据中央授权，测评中心的主要职能包括:负责信息技术产品和系统的安全漏洞分析与信息通报;负责党政机关信息网络、重要信息系统的安全风险评估;开展信息技术产品、系统和工程建设的安全性测试与评估;开展 信息安全服务和专业人员的能力评估与资质审核;从事信息安全测试评估的理论研究、技术研发、标准研制等。