注册信息安全专业人员资质评估准则

注册信息安全专业人员

资质评估准则发布日期：2002年8月中国信息安全产品测评认证中心目录TOC\o"1-5"\h\z\o"CurrentDocument"一、总则0 5\o"CurrentDocument"二、 使用范围和适用对象 5\o"CurrentDocument"三、 管理职责 53.1管理部门 53.2管理职责 5\o"CurrentDocument"四、 基本能力要求 6\o"CurrentDocument"五、 基本道德准则 6\o"CurrentDocument"六、 考核标准 66.1.1培训基本能力要求 66.1.2安全体系与模型 76.1.2.1多级安全模型 76.1.2.2多边安全模型 76.1.2.3安全体系结构 7Internet安全体系架构 7信息安全技术测评认证 7信息安全国内外情况 76.1.3安全技术 76.1.3.1密码技术及其应用 76.1.3.2访问控制 86.1.3.3标识和鉴别 86.1.3.4审计及监控 86.1.3.5网络安全 86.1.3.6系统安全 86.1.3.7应用安全 86.1.4工程过程 86.1.4.1风险评估 86.1.4.2安全策略 86.1.4.3安全工程 96.1.5安全管理 96.1.5.1安全管理基本原则 96.1.5.2安全组织保障 96.1.5.3物理安全 96.1.5.4运行管理 96.1.5.5硬件安全管理 96.1.5.6软件安全管理 106.1.5.7数据安全管理 106.1.5.8人员安全管理 106.1.5.9应用系统管理 116.1.5.10操作安全管理 116.1.5.11技术文档安全管理 116.1.5.12灾难恢复计划 116.1.5.13安全应急响应 116.2注册信息安全管理人员(CISO) 126.2.1培训基本能力要求 126.2.1.2安全策略 126.2.1.3安全工程 126.2.2安全管理 126.2.2.1安全管理基本原则 126.2.2.3物理安全 126.2.2.4运行管理 136.2.2.5硬件安全管理 136.2.2.6软件安全管理 136.2.2.7数据安全管理 136.2.2.8人员安全管理 146.2.2.9应用系统管理 146.2.2.10操作安全管理 146.2.2.11技术文档安全管理 156.2.2.12灾难恢复计划 156.2.2.13安全应急响应 156.2.3信息安全标准 156.2.4法律法规 156.2.4.1国家法律 156.2.4.2行政法规 156.2.4.3各部委有关规章及规范性文件 156.3.1培训基本能力要求 156.3.2安全体系与模型 166.3.2.1多级安全模型 166.3.2.2多边安全模型 166.3.2.3安全体系结构 16Internet安全体系架构 16信息安全技术测评认证 166.3.2.6.3信息安全国内外情况 166.3.3安全技术 166.3.3.1密码技术及其应用 166.3.3.2访问控制 176.3.3.3标识和鉴别 176.3.3.4审计及监控 176.3.3.5网络安全 176.3.3.6系统安全 176.3.3.7应用安全 176.3.4工程过程 176.3.4.1风险评估 176.3.4.2安全策略 176.3.4.3安全工程 186.3.5安全管理 186.3.5.1安全管理基本原则 186.3.5.2安全组织保障 186.3.5.3物理安全 186.3.5.4运行管理 186.3.5.5硬件安全管理 186.3.5.6软件安全管理 196.3.5.7数据安全管理 196.3.5.8人员安全管理 196.3.5.9应用系统管理 206.3.5.10操作安全管理 206.3.5.11技术文档安全管理 206.3.5.12灾难恢复计划 206.3.5.13安全应急响应 206.3.6信息安全标准 216.3.7法律法规 216.3.7.1国家法律 216.3.7.2行政法规 21\o"CurrentDocument"七、参考资料 217.1国外参考资料 217.2国内参考资料 21一、 总则“注册信息安全专业人员”，英文为CertifiedInformationSecurityProfessional（简称CISP），根据实际岗位工作需要，CISP分为三类,分别是“注册信息安全工程师”，英文为CertifiedInformationSecurityEngineer（简称CISE）;“注册信息安全管理人员”，英文为CertifiedInformationSecurityOfficer（简称CISO），“注册信息安全审核员”英文为CertifiedInformationSecurityAuditor（简称CISA）。其中CISE主要从事信息安全技术开发服务工程建设等工作，CISO从事信息安全管理等相关工作，CISA从事信息系统的安全性审核或评估等工作。这三类注册信息安全专业人员是有关信息安全企业，信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全产品测评认证中心实施国家认证。为了加强对信息安全专业人员认证的管理，特制定本程序。1.2本标准规定了信息安全领域工作的注册信息安全专业人员能力评估的国家最低标准。二、 使用范围和适用对象2.1本准则适用于国家对“注册信息安全专业人员”培训、能力评估、认可和管理。2.2本准则适用对象包括在信息安全测评认证机构（含授权测评机构）、信息安全咨询服务机构、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）工作的信息安全专业人员。2.3本准则可适用于所有中国政府部门机构及其人员，和负责信息安全系统的管理和检查的承包商。三、 管理职责3.1管理部门3.1.1由中国信息安全产品测评认证中心（以下简称“中心”）依据本准则开展注册信息安全专业人员能力认证工作。3.1.2中心应根据本准则制订相应的配套规章制度和实施细则。管理职责3.2.1为政府部门、机构和其他组织、团体及企事业单位提供和维持注册信息安全专业人员培训标准。3.2.2保证开展恰当的注册信息安全专业人员的培训课程。3.2.3在发展或者执行注册信息安全专业人员培训活动中，给予帮助。3.2.4要求从事重要信息安全岗位工作人员，在负责管理重要信息系统安全或者为信息系统安全提供安全服务的时候，遵守本准则的有关条款。四、基本能力要求“注册信息安全专业人员”必须具有一定的教育水准和相关工作经验。“注册信息安全专业人员”通过了本准则规定的相关培训内容，具备一定的信息安全知识。“注册信息安全专业人员”通过了CNITSEC的考试，具有进行信息安全服务的能力。五、 基本道德准则5.1所有“注册信息安全专业人员”都必须付出努力才能获得和维持该项认证。为贯彻这条原则，所有的CISP都必须承诺完全遵守道德准则。CISP必须诚实，公正，负责，守法；CISP必须勤奋和胜任工作，不断提高自身专业能力和水平；CISP必须保护信息系统、应用程序和系统的价值CISP必须接受CNITSEC的监督，在任何情况下，不损坏CNITSEC或认证过程的声誉，对CNITSEC针对CISP而进行的调查应给予充分的合作；CISP必须按规定向CNITSEC交纳费用。六、 考核标准以下内容包括对注册信息安全专业人员进行考核的基本能力要求，以及其应具备的信息安全知识体系大纲要求。6.1注册信息安全工程师(CISE)6.1.1培训基本能力要求了解水平。培养对安全信息系统的威胁和脆弱性的敏感性，识别需要保护的数据、信息及其相应的保护方法，学习掌握有关信息系统安全的法则和条例的知识库。6.1.1.2应用水平。培养有能力对信息安全过程进行设计、执行或者评估的人员，以保证他们在执行任务的时候可以完整地应用安全概念。6.1.2安全体系与模型6.1.2.1多级安全模型引言Bell-LaPadula模型Clark-Wilson模型Biba模型6.1.2.2多边安全模型引言访问控制矩阵(CompartmentationandLattice)模型ChineseWall模型BMA模型6.1.2.3安全体系结构OSI参考模型6.1.2.3.2开放系统互连安全体系结构Internet安全体系架构ISO安全体系到TCP/IP映射IPSec协议IPSec安全体系结构6.1.2.4.4安全协议IKE概述及IPSec的应用6.1.2.5信息安全技术测评认证IT评估通用准则IT评估通用方法6.1.2.6信息安全国内外情况6.1.3安全技术6.1.3.1密码技术及其应用6.1.3.1.1加密基本概念6.1.3.1.2对称加密算法6.1.3.1.3非对称加密算法6.1.3.1.4链路层加密技术(L2TP)6.1.3.1.5网络层加密技术(IPSEC)VPN虚拟专网SSL/TLS与SSHWeb安全PKI6.1.3.2访问控制6.1.3.3标识和鉴别6.1.3.4审计及监控6.1.3.4.1安全审计6.1.3.4.2安全监控6.1.3.4.3入侵监测6.1.3.4.4实际应用6.1.3.5网络安全6.1.3.5.1网络基础(网络组建、管理与安全)6.1.3.5.2网络安全6.1.3.5.3安全边界及边界间安全策略6.1.3.5.4网络攻击与对策6.1.3.6系统安全6.1.3.6.1.1操作系统安全6.1.3.6.1.2数据库系统安全6.1.3.7应用安全6.1.3.7.1计算机病毒WEB安全6.1.3.7.3安全编程6.1.4工程过程6.1.4.1风险评估6.1.4.1.1安全威胁安全风险评估过程6.1.4.2安全策略6.1.4.2.1组织安全策略6.1.4.2.2系统安全策略6.1.4.2.3安全策略示例6.1.4.3安全工程6.1.5安全管理6.1.5.1安全管理基本原则6.1.5.2安全组织保障6.1.5.2.1政府计算机网络安全管理机构的职责6.1.5.2.2中国信息安全产品测评认证中心6.1.5.2.3国家计算机病毒应急处理中心6.1.5.2.4中国计算机网络安全应急处理协调中心6.1.5.2..5企业信息安全管理机构职责和工作制度6.1.5.3物理安全6.1.5.3.1设施安全6.1.5.3.2物理安全技术控制6.1.5.3.3环境安全6.1.5.3.4电磁泄露6.1.5.4运行管理6.1.5.4.1网络设备采购6.1.5.4.2网络管理平台选择6.1.5.4.3网络产品安全检测6.1.5.4.4网络配置管理6.1.5.4.5网络安全管理6.1.5.4.6网络故障分析管理6.1.5.4.7网络性能管理6.1.5.4.8网络计费管理6.1.5.4.9网络访问控制与路由选择6.1.5.4.10网络管理的协议6.1.5.5硬件安全管理6.1.5.5.1设备选型6.1.5.5.2安全检测6.1.5.5.3设备购置与安装6.1.5.5.4设备登记与使用6.1.5.5.5设备维护6.1.5.5.6设备保管6.1.5.5.7质量控制6.1.5.6软件安全管理概述6.1.5.6.1.2软件的选型与购置6.1.5.6.1.3软件安全检测预验收6.1.5.6.1.4软件安全跟踪与报告6.1.5.6.1.5软件版本控制6.1.5.6.1.6软件安全审查6.1.5.6.1.7软件使用与维护制度6.1.5.7数据安全管理6.1.5.7.1数据安全的基本概念6.1.5.7.2数据管理目标6.1.5.7.3数据载体安全管理6.1.5.7.4数据密级标签管理6.1.5.7.5数据存储实现管理6.1.5.7.6数据访问控制管理6.1.5.7.7数据备份管理6.1.5.7.8数据完整性管理6.1.5.7.9数据可用性管理6.1.5.7.10不良信息监控管理6.1.5.7.11可疑信息跟踪审计6.1.5.8人员安全管理6.1.5.8.1建立安全组织6.1.5.8.2安全职能独立人员安全审查6.1.5.8.4岗位安全考核6.1.5.8.5人员安全培训6.1.5.8.6安全保密契约管理6.1.5.8.7离岗人员安全管理6.1.5.9应用系统管理6.1.5.9.1系统启动安全审查管理6.1.5.9.2应用软件监控管理6.1.5.9.3应用软件版本安装管理6.1.5.9.4应用软件更改安装管理6.1.5.9.5应用软件备份管理6.1.5.9.6应用软件维护安全管理6.1.5.10操作安全管理6.1.5.10.1操作权限管理6.1.5.10.2操作规范管理6.1.5.10.3操作责任管理6.1.5.10.4操作监控管理6.1.5.10.5误操作恢复管理6.1.5.11技术文档安全管理6.1.5.11.1文档密级管理6.1.5.11.2文档借阅管理6.1.5.11.3文档登记和保管6.1.5.11.4文档销毁和监毁6.1.5.11.5电子文档安全管理6.1.5.11.6技术文档备份6.1.5.12灾难恢复计划6.1.5.12.1灾难恢复的概念6.1.5.12.2灾难恢复技术概述6.1.5.12.3灾难恢复计划6.1.5.13安全应急响应6.1.5.13.1安全应急响应的现状6.1.5.13.2安全应急响应管理系统的建立6.1.5.13.3安全应急响应过程6.2注册信息安全管理人员(CISO)6.2.1培训基本能力要求同6.1.1.1同6.1.1.26.2.1工程过程6.2.1.1风险评估6.2.1.1.1安全威胁6.2.1.1.2安全风险评估过程6.2.1.2安全策略6.2.1.2.1组织安全策略6.2.1.2.2系统安全策略6.2.1.2.3安全策略示例6.2.1.3安全工程安全管理6.2.2.1安全管理基本原则6.2.2.2安全组织保障6.2.2.2.1政府计算机网络安全管理机构的职责6.2.2.2.2中国信息安全产品测评认证中心6.2.2.2.3国家计算机病毒应急处理中心6.2.2.2.4中国计算机网络安全应急处理协调中心6.2.2.2.5企业信息安全管理机构职责和工作制度6.2.2.3物理安全6.2.2.3.1设施安全6.2.2.3.2物理安全技术控制6.2.2.3.3环境安全6.2.2.3.4电磁泄露6.2.2.4运行管理6.2.2.4.1网络设备采购6.2.2.4.2网络管理平台选择6.2.2.4.3网络产品安全检测6.2.2.4.4网络配置管理6.2.2.4.5网络安全管理6.2.2.4.6网络故障分析管理6.2.2.4.7网络性能管理6.2.2.4.8网络计费管理6.2.2.4.9网络访问控制与路由选择6.2.2.4.10网络管理的协议6.2.2.5硬件安全管理6.2.2.5.1设备选型安全检测6.2.2.5.3设备购置与安装6.2.2.5.4设备登记与使用6.2.2.5.5设备维护6.2.2.5.6设备保管6.2.2.5.7质量控制6.2.2.6软件安全管理概述软件的选型与购置6.2.2.6.3软件安全检测预验收6.2.2.6.4软件安全跟踪与报告6.2.2.6.5软件版本控制6.2.2.6.6软件安全审查6.2.2.2.6.7软件使用与维护制度6.2.2.7数据安全管理6.2.2.7.1数据安全的基本概念6.2.2.7.2安全管理目标6.2.2.7.3数据载体安全管理6.2.2.7.4数据密级标签管理6.2.2.7.5数据存储实现管理6.2.2.7.6数据访问控制管理6.2.2.7.7数据备份管理6.2.2.7.8数据完整性管理6.2.2.7.9数据可用性管理6.2.2.7.10不良信息监控管理6.2.2.7.11可疑信息跟踪审计6.2.2.8人员安全管理6.2.2.8.1建立安全组织6.2.2.8.2安全职能独立6.2.2.8.3人员安全审查6.2.2.8.4岗位安全考核6.2.2.8.5人员安全培训6.2.2.8.6安全保密契约管理6.2.2.8.7离岗人员安全管理6.2.2.9应用系统管理6.2.2.9.1系统启动安全审查管理6.2.2.9.2应用软件监控管理6.2.2.9.3应用软件版本安装管理6.2.2.9.4应用软件更改安装管理6.2.2.9.5应用软件备份管理6.2.2.9.6应用软件维护安全管理6.2.2.10操作安全管理6.2.2.10.1操作权限管理6.2.2.10.2操作规范管理6.2.2.10.3操作责任管理6.2.2.10.4操作监控管理6.2.2.10.5误操作恢复管理6.2.2.11技术文档安全管理6.2.2.11.1文档密级管理6.2.2.11.2文档借阅管理6.2.2.11.3文档登记和保管6.2.2.11.4文档销毁和监毁6.2.2.11.5电子文档安全管理6.2.2.11.6技术文档备份6.2.2.12灾难恢复计划6.2.2.12.1灾难恢复的概念6.2.2.12.2灾难恢复技术概述6.2.2.12.3灾难恢复计划6.2.2.13安全应急响应6.2.2.13.1安全应急响应的现状6.2.2.13.2安全应急响应管理系统的建立6.2.2.13.3安全应急响应过程6.2.3信息安全标准6.2.4法律法规6.2.4.1国家法律6.2.4.2行政法规6.2.4.3各部委有关规章及规范性文件6.3注册信息安全审核员(CISA)6.3.1培训基本能力要求同6.1.1.1同6.1.1.26.3.2安全体系与模型6.3.2.1多级安全模型引言Bell-LaPadula模型Clark-Wilson模型Biba模型6.3.2.2多边安全模型引言访问控制矩阵(CompartmentationandLattice)模型ChineseWall模型BMA模型6.3.2.3安全体系结构OSI参考模型6.3.2.3.2开放系统互连安全体系结构6.3.2.4Internet安全体系架构ISO安全体系到TCP/IP映射IPSec协议IPSec安全体系结构安全协议IKE概述及IPSec的应用6.3.2.5信息安全技术测评认证IT评估通用准则IT评估通用方法6.3.2.6.3信息安全国内外情况6.3.3安全技术6.3.3.1密码技术及其应用6.3.3.1.1加密基本概念6.3.3.1.2对称加密算法6.3.3.1.3非对称加密算法6.3.3.1.4链路层加密技术(L2TP)6.3.3.1.5网络层加密技术(IPSEC)VPN虚拟专网SSL/TLS与SSHWeb安全PKI6.3.3.2访问控制6.3.3.3标识和鉴别6.3.3.4审计及监控6.3.3.4.1安全审计6.3.3.4.2安全监控6.3.3.4.3入侵监测6.3.3.4.4实际应用6.3.3.5网络安全6.3.3.5.1网络基础(网络组建、管理与安全)6.3.3.5.2网络安全6.3.3.5.3安全边界及边界间安全策略6.3.3.5.4网络攻击与对策6.3.3.6系统安全6.3.3.6.1操作系统安全6.3.3.6.2数据库系统安全6.3.3.7应用安全6.3.3.7.1计算机病毒WEB安全6.3.3.7.3安全编程6.3.4工程过程6.3.4.1风险评估6.3.4.1.1安全威胁6.3.4.1.2安全风险6.3.4.1.3评估过程安全策略6.3.4.2.1组织安全策略6.3.4.2.2系统安全策略6.3.4.2.3安全策略示例6.3.4.3安全工程6.3.5安全管理6.3.5.1安全管理基本原则6.3.5.2安全组织保障6.3.5.2.1政府计算机网络安全管理机构的职责6.3.5.2.2中国信息安全产品测评认证中心6.3.5.2.3国家计算机病毒应急处理中心6.3.5.2.4中国计算机网络安全应急处理协调中心6.3.5.2..5企业信息安全管理机构职责和工作制度6.3.5.3物理安全6.3.5.3.1设施安全6.3.5.3.2物理安全技术控制6.3.5.3.3环境安全6.3.5.3.4电磁泄露6.3.5.4运行管理6.3.5.4.1网络设备采购6.3.5.4.2网络管理平台选择6.3.5.4.3网络产品安全检测6.3.5.4.4网络配置管理网络安全管理6.3.5.4.6网络故障分析管理6.3.5.4.7网络性能管理6.3.5.4.8网络计费管理6.3.5.4.9网络访问控制与路由选择6.3.5.4.10网络管理的协议6.3.5.5硬件安全管理6.3.5.5.1设备选型6.3.5.5.2安全检测6.3.5.5.3设备购置与安装6.3.5.5.4设备登记与使用6.3.5.5.5设备维护6.3.5.5.6设备保管6.3.5.5.7质量控制6.3.5.6软件安全管理概述6.3.5.6.2软件的选型与购置6.3.5.6.3软件安全检测预验收6.3.5.6.4软件安全跟踪与报告6.3.5.6.5软件版本控制6.3.5.6.6软件安全审查6.3.5.6.3.7软件使用与维护制度6.3.5.7数据安全管理6.3.5.7.1数据安全的基本概念6.3.5.7.2安全管理目标6.3.5.7.3数据载体安全管理6.3.5.7.4数据密级标签管理6.3.5.7.5数据存储实现管理6.3.5.7.6数据访问控制管理6.3.5.7.7数据备份管理6.3.5.7.8数据完整性管理6.3.5.7.9数据可用性管理6.3.5.7.10不良信息监控管理6.3.5.7.11可疑信息跟踪审计6.3.5.8人员安全管理6.3.5.8.1建立安全组织6.3.5.8.2安全职能独立6.3.5.8.3人员安全审查6.3.5.8.4岗位安全考核6.3.5.8.5人员安全培训6.3.5.8.6安全保密契约管理6.3.5.8.7离岗人员安全管理6.3.5.9应用系统管理6.3.5.9.1系统启动安全审查管理6.3.5.9.2应用软件监控管理6.3.5.9.3应用软件版本安装管理6.3.5.9.4应用软件更改安装管理6.3.5.9.5应用软件备份管理6.3.5.9.6应用软件维护安全管理6.3.5.10操作安全管理6.3.5.10.1操作权限管理