注册信息安全专业人员资质评估准则.docx
《注册信息安全专业人员资质评估准则.docx》由会员分享,可在线阅读,更多相关《注册信息安全专业人员资质评估准则.docx(24页珍藏版)》请在冰豆网上搜索。
注册信息安全专业人员资质评估准则
注册信息安全专业人员
资质评估准则
发布日期:
2002年8月
中国信息安全产品测评认证中心
目录
一、总则5
二、使用范围和适用对象5
三、管理职责5
3.1管理部门5
3.2管理职责5
四、基本能力要求6
五、基本道德准则6
六、考核标准6
6.1.1培训基本能力要求6
6.1.2安全体系与模型7
6.1.2.1多级安全模型7
6.1.2.2多边安全模型7
6.1.2.3安全体系结构7
6.1.2.4Internet安全体系架构7
6.1.2.5信息安全技术测评认证7
6.1.2.6信息安全国内外情况7
6.1.3安全技术7
6.1.3.1密码技术及其应用7
6.1.3.2访问控制8
6.1.3.3标识和鉴别8
6.1.3.4审计及监控8
6.1.3.5网络安全8
6.1.3.6系统安全8
6.1.3.7应用安全8
6.1.4工程过程8
6.1.4.1风险评估8
6.1.4.2安全策略8
6.1.4.3安全工程9
6.1.5安全管理9
6.1.5.1安全管理基本原则9
6.1.5.2安全组织保障9
6.1.5.3物理安全9
6.1.5.4运行管理9
6.1.5.5硬件安全管理9
6.1.5.6软件安全管理10
6.1.5.7数据安全管理10
6.1.5.8人员安全管理10
6.1.5.9应用系统管理11
6.1.5.10操作安全管理11
6.1.5.11技术文档安全管理11
6.1.5.12灾难恢复计划11
6.1.5.13安全应急响应11
6.2注册信息安全管理人员(CISO)12
6.2.1培训基本能力要求12
6.2.1.2安全策略12
6.2.1.3安全工程12
6.2.2安全管理12
6.2.2.1安全管理基本原则12
6.2.2.3物理安全12
6.2.2.4运行管理13
6.2.2.5硬件安全管理13
6.2.2.6软件安全管理13
6.2.2.7数据安全管理13
6.2.2.8人员安全管理14
6.2.2.9应用系统管理14
6.2.2.10操作安全管理14
6.2.2.11技术文档安全管理15
6.2.2.12灾难恢复计划15
6.2.2.13安全应急响应15
6.2.3信息安全标准15
6.2.4法律法规15
6.2.4.1国家法律15
6.2.4.2行政法规15
6.2.4.3各部委有关规章及规范性文件15
6.3.1培训基本能力要求15
6.3.2安全体系与模型16
6.3.2.1多级安全模型16
6.3.2.2多边安全模型16
6.3.2.3安全体系结构16
6.3.2.4Internet安全体系架构16
6.3.2.5信息安全技术测评认证16
6.3.2.6.3信息安全国内外情况16
6.3.3安全技术16
6.3.3.1密码技术及其应用16
6.3.3.2访问控制17
6.3.3.3标识和鉴别17
6.3.3.4审计及监控17
6.3.3.5网络安全17
6.3.3.6系统安全17
6.3.3.7应用安全17
6.3.4工程过程17
6.3.4.1风险评估17
6.3.4.2安全策略17
6.3.4.3安全工程18
6.3.5安全管理18
6.3.5.1安全管理基本原则18
6.3.5.2安全组织保障18
6.3.5.3物理安全18
6.3.5.4运行管理18
6.3.5.5硬件安全管理18
6.3.5.6软件安全管理19
6.3.5.7数据安全管理19
6.3.5.8人员安全管理19
6.3.5.9应用系统管理20
6.3.5.10操作安全管理20
6.3.5.11技术文档安全管理20
6.3.5.12灾难恢复计划20
6.3.5.13安全应急响应20
6.3.6信息安全标准21
6.3.7法律法规21
6.3.7.1国家法律21
6.3.7.2行政法规21
七、参考资料21
7.1国外参考资料21
7.2国内参考资料21
一、总则
1.1“注册信息安全专业人员”,英文为CertifiedInformationSecurityProfessional(简称CISP),根据实际岗位工作需要,CISP分为三类,分别是“注册信息安全工程师”,英文为CertifiedInformationSecurityEngineer(简称CISE);“注册信息安全管理人员”,英文为CertifiedInformationSecurityOfficer(简称CISO),“注册信息安全审核员”英文为CertifiedInformationSecurityAuditor(简称CISA)。
其中CISE主要从事信息安全技术开发服务工程建设等工作,CISO从事信息安全管理等相关工作,CISA从事信息系统的安全性审核或评估等工作。
这三类注册信息安全专业人员是有关信息安全企业,信息安全咨询服务机构、信息安全测评认证机构(包含授权测评机构)、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全产品测评认证中心实施国家认证。
为了加强对信息安全专业人员认证的管理,特制定本程序。
1.2本标准规定了信息安全领域工作的注册信息安全专业人员能力评估的国家最低标准。
二、使用范围和适用对象
2.1本准则适用于国家对“注册信息安全专业人员”培训、能力评估、认可和管理。
2.2本准则适用对象包括在信息安全测评认证机构(含授权测评机构)、信息安全咨询服务机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)工作的信息安全专业人员。
2.3本准则可适用于所有中国政府部门机构及其人员,和负责信息安全系统的管理和检查的承包商。
三、管理职责
3.1管理部门
3.1.1由中国信息安全产品测评认证中心(以下简称“中心”)依据本准则开展注册信息安全专业人员能力认证工作。
3.1.2中心应根据本准则制订相应的配套规章制度和实施细则。
3.2管理职责
3.2.1为政府部门、机构和其他组织、团体及企事业单位提供和维持注册信息安全专业人员培训标准。
3.2.2保证开展恰当的注册信息安全专业人员的培训课程。
3.2.3在发展或者执行注册信息安全专业人员培训活动中,给予帮助。
3.2.4要求从事重要信息安全岗位工作人员,在负责管理重要信息系统安全或者为信息系统安全提供安全服务的时候,遵守本准则的有关条款。
四、基本能力要求
4.1“注册信息安全专业人员”必须具有一定的教育水准和相关工作经验。
4.2“注册信息安全专业人员”通过了本准则规定的相关培训内容,具备一定的信息安全知识。
4.3“注册信息安全专业人员”通过了CNITSEC的考试,具有进行信息安全服务的能力。
五、基本道德准则
5.1所有“注册信息安全专业人员”都必须付出努力才能获得和维持该项认证。
为贯彻这条原则,所有的CISP都必须承诺完全遵守道德准则。
5.2CISP必须诚实,公正,负责,守法;
5.3CISP必须勤奋和胜任工作,不断提高自身专业能力和水平;
5.4CISP必须保护信息系统、应用程序和系统的价值
5.5CISP必须接受CNITSEC的监督,在任何情况下,不损坏CNITSEC或认证过程的声誉,对CNITSEC针对CISP而进行的调查应给予充分的合作;
5.6CISP必须按规定向CNITSEC交纳费用。
六、考核标准
以下内容包括对注册信息安全专业人员进行考核的基本能力要求,以及其应具备的信息安全知识体系大纲要求。
6.1注册信息安全工程师(CISE)
6.1.1培训基本能力要求
6.1.1.1了解水平。
培养对安全信息系统的威胁和脆弱性的敏感性,识别需要保护的数据、信息及其相应的保护方法,学习掌握有关信息系统安全的法则和条例的知识库。
6.1.1.2应用水平。
培养有能力对信息安全过程进行设计、执行或者评估的人员,以保证他们在执行任务的时候可以完整地应用安全概念。
6.1.2安全体系与模型
6.1.2.1多级安全模型
6.1.2.1.1引言
6.1.2.1.2Bell-LaPadula模型
6.1.2.1.3Clark-Wilson模型
6.1.2.1.4Biba模型
6.1.2.2多边安全模型
6.1.2.2.1引言
6.1.2.2.2访问控制矩阵(CompartmentationandLattice)模型
6.1.2.2.4ChineseWall模型
6.1.2.2.5BMA模型
6.1.2.3安全体系结构
6.1.2.3.1OSI参考模型
6.1.2.3.2开放系统互连安全体系结构
6.1.2.4Internet安全体系架构
6.1.2.4.1ISO安全体系到TCP/IP映射
6.1.2.4.2IPSec协议
6.1.2.4.3IPSec安全体系结构
6.1.2.4.4安全协议
6.1.2.4.5IKE概述及IPSec的应用
6.1.2.5信息安全技术测评认证
6.1.2.5.1IT评估通用准则
6.1.2.5.2IT评估通用方法
6.1.2.6信息安全国内外情况
6.1.3安全技术
6.1.3.1密码技术及其应用
6.1.3.1.1加密基本概念
6.1.3.1.2对称加密算法
6.1.3.1.3非对称加密算法
6.1.3.1.4链路层加密技术(L2TP)
6.1.3.1.5网络层加密技术(IPSEC)
6.1.3.1.6VPN虚拟专网
6.1.3.1.7SSL/TLS与SSH
6.1.3.1.8Web安全
6.1.3.1.9PKI
6.1.3.2访问控制
6.1.3.3标识和鉴别
6.1.3.4审计及监控
6.1.3.4.1安全审计
6.1.3.4.2安全监控
6.1.3.4.3入侵监测
6.1.3.4.4实际应用
6.1.3.5网络安全
6.1.3.5.1网络基础(网络组建、管理与安全)
6.1.3.5.2网络安全
6.1.3.5.3安全边界及边界间安全策略
6.1.3.5.4网络攻击与对策
6.1.3.6系统安全
6.1.3.6.1.1操作系统安全
6.1.3.6.1.2数据库系统安全
6.1.3.7应用安全
6.1.3.7.1计算机病毒
6.1.3.7.2WEB安全
6.1.3.7.3安全编程
6.1.4工程过程
6.1.4.1风险评估
6.1.4.1.1安全威胁
6.1.4.1.2安全风险
6.1.4.1.3评估过程
6.1.4.2安全策略
6.1.4.2.1组织安全策略
6.1.4.2.2系统安全策略
6.1.4.2.3安全策略示例
6.1.4.3安全工程
6.1.5安全管理
6.1.5.1安全管理基本原则
6.1.5.2安全组织保障
6.1.5.2.1政府计算机网络安全管理机构的职责
6.1.5.2.2中国信息安全产品测评认证中心
6.1.5.2.3国家计算机病毒应急处理中心
6.1.5.2.4中国计算机网络安全应急处理协调中心
6.1.5.2..5企业信息安全管理机构职责和工作制度
6.1.5.3物理安全
6.1.5.3.1设施安全
6.1.5.3.2物理安全技术控制
6.1.5.3.3环境安全
6.1.5.3.4电磁泄露
6.1.5.4运行管理
6.1.5.4.1网络设备采购
6.1.5.4.2网络管理平台选择
6.1.5.4.3网络产品安全检测
6.1.5.4.4网络配置管理
6.1.5.4.5网络安全管理
6.1.5.4.6网络故障分析管理
6.1.5.4.7网络性能管理
6.1.5.4.8网络计费管理
6.1.5.4.9网络访问控制与路由选择
6.1.5.4.10网络管理的协议
6.1.5.5硬件安全管理
6.1.5.5.1设备选型
6.1.5.5.2安全检测
6.1.5.5.3设备购置与安装
6.1.5.5.4设备登记与使用
6.1.5.5.5设备维护
6.1.5.5.6设备保管
6.1.5.5.7质量控制
6.1.5.6软件安全管理
6.1.5.6.1.1概述
6.1.5.6.1.2软件的选型与购置
6.1.5.6.1.3软件安全检测预验收
6.1.5.6.1.4软件安全跟踪与报告
6.1.5.6.1.5软件版本控制
6.1.5.6.1.6软件安全审查
6.1.5.6.1.7软件使用与维护制度
6.1.5.7数据安全管理
6.1.5.7.1数据安全的基本概念
6.1.5.7.2数据管理目标
6.1.5.7.3数据载体安全管理
6.1.5.7.4数据密级标签管理
6.1.5.7.5数据存储实现管理
6.1.5.7.6数据访问控制管理
6.1.5.7.7数据备份管理
6.1.5.7.8数据完整性管理
6.1.5.7.9数据可用性管理
6.1.5.7.10不良信息监控管理
6.1.5.7.11可疑信息跟踪审计
6.1.5.8人员安全管理
6.1.5.8.1建立安全组织
6.1.5.8.2安全职能独立
6.1.5.8.3人员安全审查
6.1.5.8.4岗位安全考核
6.1.5.8.5人员安全培训
6.1.5.8.6安全保密契约管理
6.1.5.8.7离岗人员安全管理
6.1.5.9应用系统管理
6.1.5.9.1系统启动安全审查管理
6.1.5.9.2应用软件监控管理
6.1.5.9.3应用软件版本安装管理
6.1.5.9.4应用软件更改安装管理
6.1.5.9.5应用软件备份管理
6.1.5.9.6应用软件维护安全管理
6.1.5.10操作安全管理
6.1.5.10.1操作权限管理
6.1.5.10.2操作规范管理
6.1.5.10.3操作责任管理
6.1.5.10.4操作监控管理
6.1.5.10.5误操作恢复管理
6.1.5.11技术文档安全管理
6.1.5.11.1文档密级管理
6.1.5.11.2文档借阅管理
6.1.5.11.3文档登记和保管
6.1.5.11.4文档销毁和监毁
6.1.5.11.5电子文档安全管理
6.1.5.11.6技术文档备份
6.1.5.12灾难恢复计划
6.1.5.12.1灾难恢复的概念
6.1.5.12.2灾难恢复技术概述
6.1.5.12.3灾难恢复计划
6.1.5.13安全应急响应
6.1.5.13.1安全应急响应的现状
6.1.5.13.2安全应急响应管理系统的建立
6.1.5.13.3安全应急响应过程
6.2注册信息安全管理人员(CISO)
6.2.1培训基本能力要求
6.2.1.1同6.1.1.1
6.2.1.2同6.1.1.2
6.2.1工程过程
6.2.1.1风险评估
6.2.1.1.1安全威胁
6.2.1.1.2安全风险
6.2.1.1.3评估过程
6.2.1.2安全策略
6.2.1.2.1组织安全策略
6.2.1.2.2系统安全策略
6.2.1.2.3安全策略示例
6.2.1.3安全工程
6.2.2安全管理
6.2.2.1安全管理基本原则
6.2.2.2安全组织保障
6.2.2.2.1政府计算机网络安全管理机构的职责
6.2.2.2.2中国信息安全产品测评认证中心
6.2.2.2.3国家计算机病毒应急处理中心
6.2.2.2.4中国计算机网络安全应急处理协调中心
6.2.2.2.5企业信息安全管理机构职责和工作制度
6.2.2.3物理安全
6.2.2.3.1设施安全
6.2.2.3.2物理安全技术控制
6.2.2.3.3环境安全
6.2.2.3.4电磁泄露
6.2.2.4运行管理
6.2.2.4.1网络设备采购
6.2.2.4.2网络管理平台选择
6.2.2.4.3网络产品安全检测
6.2.2.4.4网络配置管理
6.2.2.4.5网络安全管理
6.2.2.4.6网络故障分析管理
6.2.2.4.7网络性能管理
6.2.2.4.8网络计费管理
6.2.2.4.9网络访问控制与路由选择
6.2.2.4.10网络管理的协议
6.2.2.5硬件安全管理
6.2.2.5.1设备选型
6.2.2.5.2安全检测
6.2.2.5.3设备购置与安装
6.2.2.5.4设备登记与使用
6.2.2.5.5设备维护
6.2.2.5.6设备保管
6.2.2.5.7质量控制
6.2.2.6软件安全管理
6.2.2.6.1概述
6.2.2.6.2软件的选型与购置
6.2.2.6.3软件安全检测预验收
6.2.2.6.4软件安全跟踪与报告
6.2.2.6.5软件版本控制
6.2.2.6.6软件安全审查
6.2.2.2.6.7软件使用与维护制度
6.2.2.7数据安全管理
6.2.2.7.1数据安全的基本概念
6.2.2.7.2安全管理目标
6.2.2.7.3数据载体安全管理
6.2.2.7.4数据密级标签管理
6.2.2.7.5数据存储实现管理
6.2.2.7.6数据访问控制管理
6.2.2.7.7数据备份管理
6.2.2.7.8数据完整性管理
6.2.2.7.9数据可用性管理
6.2.2.7.10不良信息监控管理
6.2.2.7.11可疑信息跟踪审计
6.2.2.8人员安全管理
6.2.2.8.1建立安全组织
6.2.2.8.2安全职能独立
6.2.2.8.3人员安全审查
6.2.2.8.4岗位安全考核
6.2.2.8.5人员安全培训
6.2.2.8.6安全保密契约管理
6.2.2.8.7离岗人员安全管理
6.2.2.9应用系统管理
6.2.2.9.1系统启动安全审查管理
6.2.2.9.2应用软件监控管理
6.2.2.9.3应用软件版本安装管理
6.2.2.9.4应用软件更改安装管理
6.2.2.9.5应用软件备份管理
6.2.2.9.6应用软件维护安全管理
6.2.2.10操作安全管理
6.2.2.10.1操作权限管理
6.2.2.10.2操作规范管理
6.2.2.10.3操作责任管理
6.2.2.10.4操作监控管理
6.2.2.10.5误操作恢复管理
6.2.2.11技术文档安全管理
6.2.2.11.1文档密级管理
6.2.2.11.2文档借阅管理
6.2.2.11.3文档登记和保管
6.2.2.11.4文档销毁和监毁
6.2.2.11.5电子文档安全管理
6.2.2.11.6技术文档备份
6.2.2.12灾难恢复计划
6.2.2.12.1灾难恢复的概念
6.2.2.12.2灾难恢复技术概述
6.2.2.12.3灾难恢复计划
6.2.2.13安全应急响应
6.2.2.13.1安全应急响应的现状
6.2.2.13.2安全应急响应管理系统的建立
6.2.2.13.3安全应急响应过程
6.2.3信息安全标准
6.2.4法律法规
6.2.4.1国家法律
6.2.4.2行政法规
6.2.4.3各部委有关规章及规范性文件
6.3注册信息安全审核员(CISA)
6.3.1培训基本能力要求
6.3.1.1同6.1.1.1
6.3.1.2同6.1.1.2
6.3.2安全体系与模型
6.3.2.1多级安全模型
6.3.2.1.1引言
6.3.2.1.2Bell-LaPadula模型
6.3.2.1.3Clark-Wilson模型
6.3.2.1.4Biba模型
6.3.2.2多边安全模型
6.3.2.2.1引言
6.3.2.2.2访问控制矩阵(CompartmentationandLattice)模型
6.3.2.2.4ChineseWall模型
6.3.2.2.5BMA模型
6.3.2.3安全体系结构
6.3.2.3.1OSI参考模型
6.3.2.3.2开放系统互连安全体系结构
6.3.2.4Internet安全体系架构
6.3.2.4.1ISO安全体系到TCP/IP映射
6.3.2.4.2IPSec协议
6.3.2.4.3IPSec安全体系结构
6.3.2.4.4安全协议
6.3.2.4.5IKE概述及IPSec的应用
6.3.2.5信息安全技术测评认证
6.3.2.5.1IT评估通用准则
6.3.2.5.2IT评估通用方法
6.3.2.6.3信息安全国内外情况
6.3.3安全技术
6.3.3.1密码技术及其应用
6.3.3.1.1加密基本概念
6.3.3.1.2对称加密算法
6.3.3.1.3非对称加密算法
6.3.3.1.4链路层加密技术(L2TP)
6.3.3.1.5网络层加密技术(IPSEC)
6.3.3.1.6VPN虚拟专网
6.3.3.1.7SSL/TLS与SSH
6.3.3.1.8Web安全
6.3.3.1.9PKI
6.3.3.2访问控制
6.3.3.3标识和鉴别
6.3.3.4审计及监控
6.3.3.4.1安全审计
6.3.3.4.2安全监控
6.3.3.4.3入侵监测
6.3.3.4.4实际应用
6.3.3.5网络安全
6.3.3.5.1网络基础(网络组建、管理与安全)
6.3.3.5.2网络安全
6.3.3.5.3安全边界及边界间安全策略
6.3.3.5.4网络攻击与对策
6.3.3.6系统安全
6.3.3.6.1操作系统安全
6.3.3.6.2数据库系统安全
6.3.3.7应用安全
6.3.3.7.1计算机病毒
6.3.3.7.2WEB安全
6.3.3.7.3安全编程
6.3.4工程过程
6.3.4.1风险评估
6.3.4.1.1安全威胁
6.3.4.1.2安全风险
6.3.4.1.3评估过程
6.3.4.2安全策略
6.3.4.2.1组织安全策略
6.3.4.2.2系统安全策略
6.3.4.2.3安全策略示例
6.3.4.3安全工程
6.3.5安全管理
6.3.5.1安全管理基本原则
6.3.5.2安全组织保障
6.3.5.2.1政府计算机网络安全
升级会员 