注冊信息安全專業人員資質評估準則

注冊信息安全專業人員

資質評估準則發布日期：2002年8月中國信息安全產品測評認證中心目錄TOC\o"1-5"\h\z\o"CurrentDocument"一、總則0 5\o"CurrentDocument"二、 使用范圍和適用對象 5\o"CurrentDocument"三、 管理職責 53.1管理部門 53.2管理職責 5\o"CurrentDocument"四、 基本能力要求 6\o"CurrentDocument"五、 基本道德準則 6\o"CurrentDocument"六、 考核標準 66.1.1培訓基本能力要求 66.1.2安全體系與模型 76.1.2.1多級安全模型 76.1.2.2多邊安全模型 76.1.2.3安全體系結構 7Internet安全體系架構 7信息安全技術測評認證 7信息安全國內外情況 76.1.3安全技術 76.1.3.1密碼技術及其應用 76.1.3.2訪問控制 86.1.3.3標識和鑒別 86.1.3.4審計及監控 86.1.3.5網絡安全 86.1.3.6系統安全 86.1.3.7應用安全 86.1.4工程過程 86.1.4.1風險評估 86.1.4.2安全策略 86.1.4.3安全工程 96.1.5安全管理 96.1.5.1安全管理基本原則 96.1.5.2安全組織保障 96.1.5.3物理安全 96.1.5.4運行管理 96.1.5.5硬件安全管理 96.1.5.6軟件安全管理 106.1.5.7數據安全管理 106.1.5.8人員安全管理 106.1.5.9應用系統管理 116.1.5.10操作安全管理 116.1.5.11技術文檔安全管理 116.1.5.12災難恢復計劃 116.1.5.13安全應急響應 116.2注冊信息安全管理人員(CISO) 126.2.1培訓基本能力要求 126.2.1.2安全策略 126.2.1.3安全工程 126.2.2安全管理 126.2.2.1安全管理基本原則 126.2.2.3物理安全 126.2.2.4運行管理 136.2.2.5硬件安全管理 136.2.2.6軟件安全管理 136.2.2.7數據安全管理 136.2.2.8人員安全管理 146.2.2.9應用系統管理 146.2.2.10操作安全管理 146.2.2.11技術文檔安全管理 156.2.2.12災難恢復計劃 156.2.2.13安全應急響應 156.2.3信息安全標準 156.2.4法律法規 156.2.4.1國家法律 156.2.4.2行政法規 156.2.4.3各部委有關規章及規范性文件 156.3.1培訓基本能力要求 156.3.2安全體系與模型 166.3.2.1多級安全模型 166.3.2.2多邊安全模型 166.3.2.3安全體系結構 16Internet安全體系架構 16信息安全技術測評認證 166.3.2.6.3信息安全國內外情況 166.3.3安全技術 166.3.3.1密碼技術及其應用 166.3.3.2訪問控制 176.3.3.3標識和鑒別 176.3.3.4審計及監控 176.3.3.5網絡安全 176.3.3.6系統安全 176.3.3.7應用安全 176.3.4工程過程 176.3.4.1風險評估 176.3.4.2安全策略 176.3.4.3安全工程 186.3.5安全管理 186.3.5.1安全管理基本原則 186.3.5.2安全組織保障 186.3.5.3物理安全 186.3.5.4運行管理 186.3.5.5硬件安全管理 186.3.5.6軟件安全管理 196.3.5.7數據安全管理 196.3.5.8人員安全管理 196.3.5.9應用系統管理 206.3.5.10操作安全管理 206.3.5.11技術文檔安全管理 206.3.5.12災難恢復計劃 206.3.5.13安全應急響應 206.3.6信息安全標準 216.3.7法律法規 216.3.7.1國家法律 216.3.7.2行政法規 21\o"CurrentDocument"七、參考資料 217.1國外參考資料 217.2國內參考資料 21一、 總則“注冊信息安全專業人員”，英文為CertifiedInformationSecurityProfessional（簡稱CISP），根據實際崗位工作需要，CISP分為三類,分別是“注冊信息安全工程師”，英文為CertifiedInformationSecurityEngineer（簡稱CISE）;“注冊信息安全管理人員”，英文為CertifiedInformationSecurityOfficer（簡稱CISO），“注冊信息安全審核員”英文為CertifiedInformationSecurityAuditor（簡稱CISA）。其中CISE主要從事信息安全技術開發服務工程建設等工作，CISO從事信息安全管理等相關工作，CISA從事信息系統的安全性審核或評估等工作。這三類注冊信息安全專業人員是有關信息安全企業，信息安全咨詢服務機構、信息安全測評認證機構（包含授權測評機構）、社會各組織、團體、企事業有關信息系統（網絡）建設、運行和應用管理的技術部門（含標準化部門）必備的專業崗位人員，其基本職能是對信息系統的安全提供技術保障，其所具備的專業資質和能力，系經中國信息安全產品測評認證中心實施國家認證。為了加強對信息安全專業人員認證的管理，特制定本程序。1.2本標準規定了信息安全領域工作的注冊信息安全專業人員能力評估的國家最低標準。二、 使用范圍和適用對象2.1本準則適用于國家對“注冊信息安全專業人員”培訓、能力評估、認可和管理。2.2本準則適用對象包括在信息安全測評認證機構（含授權測評機構）、信息安全咨詢服務機構、社會各組織、團體、企事業有關信息系統（網絡）建設、運行和應用管理的技術部門（含標準化部門）工作的信息安全專業人員。2.3本準則可適用于所有中國政府部門機構及其人員，和負責信息安全系統的管理和檢查的承包商。三、 管理職責3.1管理部門3.1.1由中國信息安全產品測評認證中心（以下簡稱“中心”）依據本準則開展注冊信息安全專業人員能力認證工作。3.1.2中心應根據本準則制訂相應的配套規章制度和實施細則。管理職責3.2.1為政府部門、機構和其他組織、團體及企事業單位提供和維持注冊信息安全專業人員培訓標準。3.2.2保證開展恰當的注冊信息安全專業人員的培訓課程。3.2.3在發展或者執行注冊信息安全專業人員培訓活動中，給予幫助。3.2.4要求從事重要信息安全崗位工作人員，在負責管理重要信息系統安全或者為信息系統安全提供安全服務的時候，遵守本準則的有關條款。四、基本能力要求“注冊信息安全專業人員”必須具有一定的教育水準和相關工作經驗。“注冊信息安全專業人員”通過了本準則規定的相關培訓內容，具備一定的信息安全知識。“注冊信息安全專業人員”通過了CNITSEC的考試，具有進行信息安全服務的能力。五、 基本道德準則5.1所有“注冊信息安全專業人員”都必須付出努力才能獲得和維持該項認證。為貫徹這條原則，所有的CISP都必須承諾完全遵守道德準則。CISP必須誠實，公正，負責，守法；CISP必須勤奮和勝任工作，不斷提高自身專業能力和水平；CISP必須保護信息系統、應用程序和系統的價值CISP必須接受CNITSEC的監督，在任何情況下，不損壞CNITSEC或認證過程的聲譽，對CNITSEC針對CISP而進行的調查應給予充分的合作；CISP必須按規定向CNITSEC交納費用。六、 考核標準以下內容包括對注冊信息安全專業人員進行考核的基本能力要求，以及其應具備的信息安全知識體系大綱要求。6.1注冊信息安全工程師(CISE)6.1.1培訓基本能力要求了解水平。培養對安全信息系統的威脅和脆弱性的敏感性，識別需要保護的數據、信息及其相應的保護方法，學習掌握有關信息系統安全的法則和條例的知識庫。6.1.1.2應用水平。培養有能力對信息安全過程進行設計、執行或者評估的人員，以保證他們在執行任務的時候可以完整地應用安全概念。6.1.2安全體系與模型6.1.2.1多級安全模型引言Bell-LaPadula模型Clark-Wilson模型Biba模型6.1.2.2多邊安全模型引言訪問控制矩陣(CompartmentationandLattice)模型ChineseWall模型BMA模型6.1.2.3安全體系結構OSI參考模型6.1.2.3.2開放系統互連安全體系結構Internet安全體系架構ISO安全體系到TCP/IP映射IPSec協議IPSec安全體系結構6.1.2.4.4安全協議IKE概述及IPSec的應用6.1.2.5信息安全技術測評認證IT評估通用準則IT評估通用方法6.1.2.6信息安全國內外情況6.1.3安全技術6.1.3.1密碼技術及其應用6.1.3.1.1加密基本概念6.1.3.1.2對稱加密算法6.1.3.1.3非對稱加密算法6.1.3.1.4鏈路層加密技術(L2TP)6.1.3.1.5網絡層加密技術(IPSEC)VPN虛擬專網SSL/TLS與SSHWeb安全PKI6.1.3.2訪問控制6.1.3.3標識和鑒別6.1.3.4審計及監控6.1.3.4.1安全審計6.1.3.4.2安全監控6.1.3.4.3入侵監測6.1.3.4.4實際應用6.1.3.5網絡安全6.1.3.5.1網絡基礎(網絡組建、管理與安全)6.1.3.5.2網絡安全6.1.3.5.3安全邊界及邊界間安全策略6.1.3.5.4網絡攻擊與對策6.1.3.6系統安全6.1.3.6.1.1操作系統安全6.1.3.6.1.2數據庫系統安全6.1.3.7應用安全6.1.3.7.1計算機病毒WEB安全6.1.3.7.3安全編程6.1.4工程過程6.1.4.1風險評估6.1.4.1.1安全威脅安全風險評估過程6.1.4.2安全策略6.1.4.2.1組織安全策略6.1.4.2.2系統安全策略6.1.4.2.3安全策略示例6.1.4.3安全工程6.1.5安全管理6.1.5.1安全管理基本原則6.1.5.2安全組織保障6.1.5.2.1政府計算機網絡安全管理機構的職責6.1.5.2.2中國信息安全產品測評認證中心6.1.5.2.3國家計算機病毒應急處理中心6.1.5.2.4中國計算機網絡安全應急處理協調中心6.1.5.2..5企業信息安全管理機構職責和工作制度6.1.5.3物理安全6.1.5.3.1設施安全6.1.5.3.2物理安全技術控制6.1.5.3.3環境安全6.1.5.3.4電磁泄露6.1.5.4運行管理6.1.5.4.1網絡設備采購6.1.5.4.2網絡管理平臺選擇6.1.5.4.3網絡產品安全檢測6.1.5.4.4網絡配置管理6.1.5.4.5網絡安全管理6.1.5.4.6網絡故障分析管理6.1.5.4.7網絡性能管理6.1.5.4.8網絡計費管理6.1.5.4.9網絡訪問控制與路由選擇6.1.5.4.10網絡管理的協議6.1.5.5硬件安全管理6.1.5.5.1設備選型6.1.5.5.2安全檢測6.1.5.5.3設備購置與安裝6.1.5.5.4設備登記與使用6.1.5.5.5設備維護6.1.5.5.6設備保管6.1.5.5.7質量控制6.1.5.6軟件安全管理概述6.1.5.6.1.2軟件的選型與購置6.1.5.6.1.3軟件安全檢測預驗收6.1.5.6.1.4軟件安全跟蹤與報告6.1.5.6.1.5軟件版本控制6.1.5.6.1.6軟件安全審查6.1.5.6.1.7軟件使用與維護制度6.1.5.7數據安全管理6.1.5.7.1數據安全的基本概念6.1.5.7.2數據管理目標6.1.5.7.3數據載體安全管理6.1.5.7.4數據密級標簽管理6.1.5.7.5數據存儲實現管理6.1.5.7.6數據訪問控制管理6.1.5.7.7數據備份管理6.1.5.7.8數據完整性管理6.1.5.7.9數據可用性管理6.1.5.7.10不良信息監控管理6.1.5.7.11可疑信息跟蹤審計6.1.5.8人員安全管理6.1.5.8.1建立安全組織6.1.5.8.2安全職能獨立人員安全審查6.1.5.8.4崗位安全考核6.1.5.8.5人員安全培訓6.1.5.8.6安全保密契約管理6.1.5.8.7離崗人員安全管理6.1.5.9應用系統管理6.1.5.9.1系統啟動安全審查管理6.1.5.9.2應用軟件監控管理6.1.5.9.3應用軟件版本安裝管理6.1.5.9.4應用軟件更改安裝管理6.1.5.9.5應用軟件備份管理6.1.5.9.6應用軟件維護安全管理6.1.5.10操作安全管理6.1.5.10.1操作權限管理6.1.5.10.2操作規范管理6.1.5.10.3操作責任管理6.1.5.10.4操作監控管理6.1.5.10.5誤操作恢復管理6.1.5.11技術文檔安全管理6.1.5.11.1文檔密級管理6.1.5.11.2文檔借閱管理6.1.5.11.3文檔登記和保管6.1.5.11.4文檔銷毀和監毀6.1.5.11.5電子文檔安全管理6.1.5.11.6技術文檔備份6.1.5.12災難恢復計劃6.1.5.12.1災難恢復的概念6.1.5.12.2災難恢復技術概述6.1.5.12.3災難恢復計劃6.1.5.13安全應急響應6.1.5.13.1安全應急響應的現狀6.1.5.13.2安全應急響應管理系統的建立6.1.5.13.3安全應急響應過程6.2注冊信息安全管理人員(CISO)6.2.1培訓基本能力要求同6.1.1.1同6.1.1.26.2.1工程過程6.2.1.1風險評估6.2.1.1.1安全威脅6.2.1.1.2安全風險評估過程6.2.1.2安全策略6.2.1.2.1組織安全策略6.2.1.2.2系統安全策略6.2.1.2.3安全策略示例6.2.1.3安全工程安全管理6.2.2.1安全管理基本原則6.2.2.2安全組織保障6.2.2.2.1政府計算機網絡安全管理機構的職責6.2.2.2.2中國信息安全產品測評認證中心6.2.2.2.3國家計算機病毒應急處理中心6.2.2.2.4中國計算機網絡安全應急處理協調中心6.2.2.2.5企業信息安全管理機構職責和工作制度6.2.2.3物理安全6.2.2.3.1設施安全6.2.2.3.2物理安全技術控制6.2.2.3.3環境安全6.2.2.3.4電磁泄露6.2.2.4運行管理6.2.2.4.1網絡設備采購6.2.2.4.2網絡管理平臺選擇6.2.2.4.3網絡產品安全檢測6.2.2.4.4網絡配置管理6.2.2.4.5網絡安全管理6.2.2.4.6網絡故障分析管理6.2.2.4.7網絡性能管理6.2.2.4.8網絡計費管理6.2.2.4.9網絡訪問控制與路由選擇6.2.2.4.10網絡管理的協議6.2.2.5硬件安全管理6.2.2.5.1設備選型安全檢測6.2.2.5.3設備購置與安裝6.2.2.5.4設備登記與使用6.2.2.5.5設備維護6.2.2.5.6設備保管6.2.2.5.7質量控制6.2.2.6軟件安全管理概述軟件的選型與購置6.2.2.6.3軟件安全檢測預驗收6.2.2.6.4軟件安全跟蹤與報告6.2.2.6.5軟件版本控制6.2.2.6.6軟件安全審查6.2.2.2.6.7軟件使用與維護制度6.2.2.7數據安全管理6.2.2.7.1數據安全的基本概念6.2.2.7.2安全管理目標6.2.2.7.3數據載體安全管理6.2.2.7.4數據密級標簽管理6.2.2.7.5數據存儲實現管理6.2.2.7.6數據訪問控制管理6.2.2.7.7數據備份管理6.2.2.7.8數據完整性管理6.2.2.7.9數據可用性管理6.2.2.7.10不良信息監控管理6.2.2.7.11可疑信息跟蹤審計6.2.2.8人員安全管理6.2.2.8.1建立安全組織6.2.2.8.2安全職能獨立6.2.2.8.3人員安全審查6.2.2.8.4崗位安全考核6.2.2.8.5人員安全培訓6.2.2.8.6安全保密契約管理6.2.2.8.7離崗人員安全管理6.2.2.9應用系統管理6.2.2.9.1系統啟動安全審查管理6.2.2.9.2應用軟件監控管理6.2.2.9.3應用軟件版本安裝管理6.2.2.9.4應用軟件更改安裝管理6.2.2.9.5應用軟件備份管理6.2.2.9.6應用軟件維護安全管理6.2.2.10操作安全管理6.2.2.10.1操作權限管理6.2.2.10.2操作規范管理6.2.2.10.3操作責任管理6.2.2.10.4操作監控管理6.2.2.10.5誤操作恢復管理6.2.2.11技術文檔安全管理6.2.2.11.1文檔密級管理6.2.2.11.2文檔借閱管理6.2.2.11.3文檔登記和保管6.2.2.11.4文檔銷毀和監毀6.2.2.11.5電子文檔安全管理6.2.2.11.6技術文檔備份6.2.2.12災難恢復計劃6.2.2.12.1災難恢復的概念6.2.2.12.2災難恢復技術概述6.2.2.12.3災難恢復計劃6.2.2.13安全應急響應6.2.2.13.1安全應急響應的現狀6.2.2.13.2安全應急響應管理系統的建立6.2.2.13.3安全應急響應過程6.2.3信息安全標準6.2.4法律法規6.2.4.1國家法律6.2.4.2行政法規6.2.4.3各部委有關規章及規范性文件6.3注冊信息安全審核員(CISA)6.3.1培訓基本能力要求同6.1.1.1同6.1.1.26.3.2安全體系與模型6.3.2.1多級安全模型引言Bell-LaPadula模型Clark-Wilson模型Biba模型6.3.2.2多邊安全模型引言訪問控制矩陣(CompartmentationandLattice)模型ChineseWall模型BMA模型6.3.2.3安全體系結構OSI參考模型6.3.2.3.2開放系統互連安全體系結構6.3.2.4Internet安全體系架構ISO安全體系到TCP/IP映射IPSec協議IPSec安全體系結構安全協議IKE概述及IPSec的應用6.3.2.5信息安全技術測評認證IT評估通用準則IT評估通用方法6.3.2.6.3信息安全國內外情況6.3.3安全技術6.3.3.1密碼技術及其應用6.3.3.1.1加密基本概念6.3.3.1.2對稱加密算法6.3.3.1.3非對稱加密算法6.3.3.1.4鏈路層加密技術(L2TP)6.3.3.1.5網絡層加密技術(IPSEC)VPN虛擬專網SSL/TLS與SSHWeb安全PKI6.3.3.2訪問控制6.3.3.3標識和鑒別6.3.3.4審計及監控6.3.3.4.1安全審計6.3.3.4.2安全監控6.3.3.4.3入侵監測6.3.3.4.4實際應用6.3.3.5網絡安全6.3.3.5.1網絡基礎(網絡組建、管理與安全)6.3.3.5.2網絡安全6.3.3.5.3安全邊界及邊界間安全策略6.3.3.5.4網絡攻擊與對策6.3.3.6系統安全6.3.3.6.1操作系統安全6.3.3.6.2數據庫系統安全6.3.3.7應用安全6.3.3.7.1計算機病毒WEB安全6.3.3.7.3安全編程6.3.4工程過程6.3.4.1風險評估6.3.4.1.1安全威脅6.3.4.1.2安全風險6.3.4.1.3評估過程安全策略6.3.4.2.1組織安全策略6.3.4.2.2系統安全策略6.3.4.2.3安全策略示例6.3.4.3安全工程6.3.5安全管理6.3.5.1安全管理基本原則6.3.5.2安全組織保障6.3.5.2.1政府計算機網絡安全管理機構的職責6.3.5.2.2中國信息安全產品測評認證中心6.3.5.2.3國家計算機病毒應急處理中心6.3.5.2.4中國計算機網絡安全應急處理協調中心6.3.5.2..5企業信息安全管理機構職責和工作制度6.3.5.3物理安全6.3.5.3.1設施安全6.3.5.3.2物理安全技術控制6.3.5.3.3環境安全6.3.5.3.4電磁泄露6.3.5.4運行管理6.3.5.4.1網絡設備采購6.3.5.4.2網絡管理平臺選擇6.3.5.4.3網絡產品安全檢測6.3.5.4.4網絡配置管理網絡安全管理6.3.5.4.6網絡故障分析管理6.3.5.4.7網絡性能管理6.3.5.4.8網絡計費管理6.3.5.4.9網絡訪問控制與路由選擇6.3.5.4.10網絡管理的協議6.3.5.5硬件安全管理6.3.5.5.1設備選型6.3.5.5.2安全檢測6.3.5.5.3設備購置與安裝6.3.5.5.4設備登記與使用6.3.5.5.5設備維護6.3.5.5.6設備保管6.3.5.5.7質量控制6.3.5.6軟件安全管理概述6.3.5.6.2軟件的選型與購置6.3.5.6.3軟件安全檢測預驗收6.3.5.6.4軟件安全跟蹤與報告6.3.5.6.5軟件版本控制6.3.5.6.6軟件安全審查6.3.5.6.3.7軟件使用與維護制度6.3.5.7數據安全管理6.3.5.7.1數據安全的基本概念6.3.5.7.2安全管理目標6.3.5.7.3數據載體安全管理6.3.5.7.4數據密級標簽管理6.3.5.7.5數據存儲實現管理6.3.5.7.6數據訪問控制管理6.3.5.7.7數據備份管理6.3.5.7.8數據完整性管理6.3.5.7.9數據可用性管理6.3.5.7.10不良信息監控管理6.3.5.7.11可疑信息跟蹤審計6.3.5.8人員安全管理6.3.5.8.1建立安全組織6.3.5.8.2安全職能獨立6.3.5.8.3人員安全審查6.3.5.8.4崗位安全考核6.3.5.8.5人員安全培訓6.3.5.8.6安全保密契約管理6.3.5.8.7離崗人員安全管理6.3.5.9應用系統管理6.3.5.9.1系統啟動安全審查管理6.3.5.9.2應用軟件監控管理6.3.5.9.3應用軟件版本安裝管理6.3.5.9.4應用軟件更改安裝管理6.3.5.9.5應用軟件備份管理6.3.5.9.6應用軟件維護安全管理6.3.5.10操作安全管理6.3.5.10.1操作權限管理