注册信息安全专业人员资质评估准则.docx

1、注册信息安全专业人员资质评估准则注册信息安全专业人员资质评估准则发布日期：2002年8月 中国信息安全产品测评认证中心目 录一、总则 5二、使用范围和适用对象 5三、管理职责 53.1 管理部门 53.2 管理职责 5四、基本能力要求 6五、基本道德准则 6六、考核标准 66.1.1 培训基本能力要求 66.1.2 安全体系与模型 76.1.2.1 多级安全模型 76.1.2.2 多边安全模型 76.1.2.3 安全体系结构 76.1.2.4 Internet 安全体系架构 76.1.2.5 信息安全技术测评认证 76.1.2.6 信息安全国内外情况 76.1.3 安全技术 76.1.3.1

2、密码技术及其应用 76.1.3.2 访问控制 86.1.3.3 标识和鉴别 86.1.3.4 审计及监控 86.1.3.5 网络安全 86.1.3.6 系统安全 86.1.3.7 应用安全 86.1.4 工程过程 86.1.4.1 风险评估 86.1.4.2 安全策略 86.1.4.3 安全工程 96.1.5 安全管理 96.1.5.1 安全管理基本原则 96.1.5.2 安全组织保障 96.1.5.3 物理安全 96.1.5.4 运行管理 96.1.5.5 硬件安全管理 96.1.5.6 软件安全管理 106.1.5.7 数据安全管理 106.1.5.8 人员安全管理 106.1.5.9 应

3、用系统管理 116.1.5.10 操作安全管理 116.1.5.11 技术文档安全管理 116.1.5.12 灾难恢复计划 116.1.5.13 安全应急响应 116.2 注册信息安全管理人员（CISO） 126.2.1 培训基本能力要求 126.2.1.2 安全策略 126.2.1.3 安全工程 126.2.2 安全管理 126.2.2.1 安全管理基本原则 126.2.2.3 物理安全 126.2.2.4 运行管理 136.2.2.5 硬件安全管理 136.2.2.6 软件安全管理 136.2.2.7 数据安全管理 136.2.2.8 人员安全管理 146.2.2.9 应用系统管理 146

4、.2.2.10 操作安全管理 146.2.2.11 技术文档安全管理 156.2.2.12 灾难恢复计划 156.2.2.13 安全应急响应 156.2.3 信息安全标准 156.2.4 法律法规 156.2.4.1 国家法律 156.2.4.2 行政法规 156.2.4.3 各部委有关规章及规范性文件 156.3.1 培训基本能力要求 156.3.2 安全体系与模型 166.3.2.1 多级安全模型 166.3.2.2 多边安全模型 166.3.2.3 安全体系结构 166.3.2.4 Internet 安全体系架构 166.3.2.5 信息安全技术测评认证 166.3.2.6.3 信息安全

5、国内外情况 166.3.3 安全技术 166.3.3.1 密码技术及其应用 166.3.3.2 访问控制 176.3.3.3 标识和鉴别 176.3.3.4 审计及监控 176.3.3.5 网络安全 176.3.3.6 系统安全 176.3.3.7 应用安全 176.3.4 工程过程 176.3.4.1 风险评估 176.3.4.2 安全策略 176.3.4.3 安全工程 186.3.5 安全管理 186.3.5.1 安全管理基本原则 186.3.5.2 安全组织保障 186.3.5.3 物理安全 186.3.5.4 运行管理 186.3.5.5 硬件安全管理 186.3.5.6 软件安全管理

6、 196.3.5.7 数据安全管理 196.3.5.8 人员安全管理 196.3.5.9 应用系统管理 206.3.5.10 操作安全管理 206.3.5.11 技术文档安全管理 206.3.5.12 灾难恢复计划 206.3.5.13 安全应急响应 206.3.6 信息安全标准 216.3.7 法律法规 216.3.7.1 国家法律 216.3.7.2 行政法规 21七、参考资料 217.1 国外参考资料 217.2 国内参考资料 21一、总则1.1 “注册信息安全专业人员”，英文为Certified Information Security Professional (简称CISP)，根据

7、实际岗位工作需要，CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer（简称CISE）; “注册信息安全管理人员”， 英文为Certified Information Security Officer(简称CISO)，“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。其中CISE主要从事信息安全技术开发服务工程建设等工作，CISO从事信息安全管理等相关工作，CISA从事信息系统的安全性审核或评估等工作。这三类注册信息安全专业人员是有关信息安全

8、企业，信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全产品测评认证中心实施国家认证。为了加强对信息安全专业人员认证的管理，特制定本程序。1.2 本标准规定了信息安全领域工作的注册信息安全专业人员能力评估的国家最低标准。 二、使用范围和适用对象2.1 本准则适用于国家对“注册信息安全专业人员”培训、能力评估、认可和管理。2.2 本准则适用对象包括在信息安全测评认证机构（含授权测评机构）、信

9、息安全咨询服务机构、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）工作的信息安全专业人员。2.3 本准则可适用于所有中国政府部门机构及其人员，和负责信息安全系统的管理和检查的承包商。三、管理职责3.1 管理部门3.1.1 由中国信息安全产品测评认证中心（以下简称“中心”）依据本准则开展注册信息安全专业人员能力认证工作。3.1.2 中心应根据本准则制订相应的配套规章制度和实施细则。3.2 管理职责3.2.1为政府部门、机构和其他组织、团体及企事业单位提供和维持注册信息安全专业人员培训标准。3.2.2 保证开展恰当的注册信息安全专业人员的培训课程。3.2

10、.3 在发展或者执行注册信息安全专业人员培训活动中，给予帮助。3.2.4 要求从事重要信息安全岗位工作人员，在负责管理重要信息系统安全或者为信息系统安全提供安全服务的时候，遵守本准则的有关条款。四、基本能力要求4.1 “注册信息安全专业人员”必须具有一定的教育水准和相关工作经验。4.2 “注册信息安全专业人员”通过了本准则规定的相关培训内容，具备一定的信息安全知识。4.3 “注册信息安全专业人员”通过了CNITSEC的考试，具有进行信息安全服务的能力。五、基本道德准则5.1 所有“注册信息安全专业人员”都必须付出努力才能获得和维持该项认证。为贯彻这条原则，所有的CISP都必须承诺完全遵守道德准

11、则。5.2 CISP必须诚实，公正，负责，守法；5.3 CISP必须勤奋和胜任工作，不断提高自身专业能力和水平；5.4 CISP必须保护信息系统、应用程序和系统的价值5.5 CISP必须接受CNITSEC的监督，在任何情况下，不损坏CNITSEC或认证过程的声誉，对CNITSEC针对CISP而进行的调查应给予充分的合作；5.6 CISP必须按规定向CNITSEC交纳费用。六、考核标准 以下内容包括对注册信息安全专业人员进行考核的基本能力要求，以及其应具备的信息安全知识体系大纲要求。6.1注册信息安全工程师（CISE）6.1.1 培训基本能力要求6.1.1.1了解水平。培养对安全信息系统的威胁和

12、脆弱性的敏感性，识别需要保护的数据、信息及其相应的保护方法，学习掌握有关信息系统安全的法则和条例的知识库。6.1.1.2 应用水平。培养有能力对信息安全过程进行设计、执行或者评估的人员，以保证他们在执行任务的时候可以完整地应用安全概念。6.1.2 安全体系与模型6.1.2.1 多级安全模型6.1.2.1.1 引言6.1.2.1.2 Bell-LaPadula 模型6.1.2.1.3 Clark-Wilson 模型6.1.2.1.4 Biba 模型6.1.2.2 多边安全模型6.1.2.2.1 引言6.1.2.2.2访问控制矩阵（Compartmentation and Lattice）模型6.

13、1.2.2.4 Chinese Wall模型6.1.2.2.5 BMA模型6.1.2.3 安全体系结构6.1.2.3.1 OSI参考模型6.1.2.3.2 开放系统互连安全体系结构6.1.2.4 Internet 安全体系架构6.1.2.4.1 ISO安全体系到TCP/IP映射6.1.2.4.2 IPSec协议6.1.2.4.3 IPSec安全体系结构6.1.2.4.4 安全协议6.1.2.4.5 IKE概述及IPSec的应用6.1.2.5 信息安全技术测评认证6.1.2.5.1 IT评估通用准则6.1.2.5.2 IT评估通用方法6.1.2.6 信息安全国内外情况6.1.3 安全技术6.1.

14、3.1 密码技术及其应用6.1.3.1.1 加密基本概念6.1.3.1.2 对称加密算法6.1.3.1.3 非对称加密算法6.1.3.1.4 链路层加密技术(L2TP)6.1.3.1.5 网络层加密技术(IPSEC)6.1.3.1.6 VPN虚拟专网6.1.3.1.7 SSL/TLS与SSH6.1.3.1.8 Web安全6.1.3.1.9 PKI6.1.3.2 访问控制6.1.3.3 标识和鉴别6.1.3.4 审计及监控6.1.3.4.1 安全审计6.1.3.4.2安全监控6.1.3.4.3 入侵监测6.1.3.4.4 实际应用6.1.3.5 网络安全6.1.3.5.1 网络基础（网络组建、管

15、理与安全）6.1.3.5.2 网络安全 6.1.3.5.3 安全边界及边界间安全策略6.1.3.5.4 网络攻击与对策6.1.3.6 系统安全6.1.3.6.1.1 操作系统安全6.1.3.6.1.2 数据库系统安全6.1.3.7 应用安全6.1.3.7.1 计算机病毒6.1.3.7.2 WEB安全6.1.3.7.3 安全编程6.1.4 工程过程6.1.4.1 风险评估6.1.4.1.1 安全威胁6.1.4.1.2 安全风险6.1.4.1.3 评估过程6.1.4.2 安全策略6.1.4.2.1 组织安全策略6.1.4.2.2 系统安全策略6.1.4.2.3 安全策略示例6.1.4.3 安全工程

16、6.1.5 安全管理6.1.5.1 安全管理基本原则6.1.5.2 安全组织保障6.1.5.2.1 政府计算机网络安全管理机构的职责6.1.5.2.2 中国信息安全产品测评认证中心6.1.5.2.3 国家计算机病毒应急处理中心6.1.5.2.4 中国计算机网络安全应急处理协调中心6.1.5.2.5 企业信息安全管理机构职责和工作制度6.1.5.3 物理安全6.1.5.3.1 设施安全6.1.5.3.2 物理安全技术控制6.1.5.3.3 环境安全6.1.5.3.4 电磁泄露6.1.5.4 运行管理6.1.5.4.1 网络设备采购6.1.5.4.2 网络管理平台选择6.1.5.4.3 网络产品安

17、全检测 6.1.5.4.4 网络配置管理6.1.5.4.5 网络安全管理6.1.5.4.6 网络故障分析管理6.1.5.4.7 网络性能管理6.1.5.4.8 网络计费管理6.1.5.4.9 网络访问控制与路由选择6.1.5.4.10 网络管理的协议6.1.5.5 硬件安全管理6.1.5.5.1 设备选型6.1.5.5.2 安全检测6.1.5.5.3 设备购置与安装6.1.5.5.4 设备登记与使用6.1.5.5.5 设备维护6.1.5.5.6 设备保管6.1.5.5.7 质量控制6.1.5.6 软件安全管理6.1.5.6.1.1 概述6.1.5.6.1.2 软件的选型与购置6.1.5.6.1

18、.3 软件安全检测预验收6.1.5.6.1.4 软件安全跟踪与报告6.1.5.6.1.5 软件版本控制6.1.5.6.1.6 软件安全审查6.1.5.6.1.7 软件使用与维护制度6.1.5.7 数据安全管理6.1.5.7.1 数据安全的基本概念6.1.5.7.2 数据管理目标6.1.5.7.3 数据载体安全管理6.1.5.7.4 数据密级标签管理6.1.5.7.5 数据存储实现管理6.1.5.7.6 数据访问控制管理6.1.5.7.7 数据备份管理6.1.5.7.8 数据完整性管理6.1.5.7.9 数据可用性管理6.1.5.7.10 不良信息监控管理6.1.5.7.11 可疑信息跟踪审计6

19、.1.5.8 人员安全管理6.1.5.8.1 建立安全组织6.1.5.8.2 安全职能独立6.1.5.8.3 人员安全审查6.1.5.8.4 岗位安全考核6.1.5.8.5 人员安全培训6.1.5.8.6安全保密契约管理6.1.5.8.7 离岗人员安全管理6.1.5.9 应用系统管理6.1.5.9.1 系统启动安全审查管理6.1.5.9.2 应用软件监控管理6.1.5.9.3 应用软件版本安装管理6.1.5.9.4 应用软件更改安装管理6.1.5.9.5 应用软件备份管理6.1.5.9.6 应用软件维护安全管理6.1.5.10 操作安全管理6.1.5.10.1 操作权限管理6.1.5.10.2

20、 操作规范管理6.1.5.10.3 操作责任管理6.1.5.10.4 操作监控管理6.1.5.10.5 误操作恢复管理6.1.5.11 技术文档安全管理6.1.5.11.1 文档密级管理6.1.5.11.2 文档借阅管理6.1.5.11.3 文档登记和保管6.1.5.11.4 文档销毁和监毁6.1.5.11.5 电子文档安全管理6.1.5.11.6 技术文档备份6.1.5.12 灾难恢复计划6.1.5.12.1 灾难恢复的概念6.1.5.12.2 灾难恢复技术概述6.1.5.12.3 灾难恢复计划6.1.5.13 安全应急响应6.1.5.13.1 安全应急响应的现状6.1.5.13.2 安全应

21、急响应管理系统的建立6.1.5.13.3 安全应急响应过程6.2 注册信息安全管理人员（CISO）6.2.1 培训基本能力要求6.2.1.1 同6.1.1.16.2.1.2 同6.1.1.26.2.1 工程过程6.2.1.1 风险评估6.2.1.1.1 安全威胁6.2.1.1.2 安全风险6.2.1.1.3 评估过程6.2.1.2 安全策略6.2.1.2.1 组织安全策略6.2.1.2.2 系统安全策略6.2.1.2.3 安全策略示例6.2.1.3 安全工程6.2.2 安全管理6.2.2.1 安全管理基本原则6.2.2.2 安全组织保障6.2.2.2.1 政府计算机网络安全管理机构的职责6.2

22、.2.2.2 中国信息安全产品测评认证中心6.2.2.2.3 国家计算机病毒应急处理中心6.2.2.2.4 中国计算机网络安全应急处理协调中心6.2.2.2.5 企业信息安全管理机构职责和工作制度6.2.2.3 物理安全6.2.2.3.1 设施安全6.2.2.3.2 物理安全技术控制6.2.2.3.3 环境安全6.2.2.3.4 电磁泄露6.2.2.4 运行管理6.2.2.4.1 网络设备采购6.2.2.4.2 网络管理平台选择6.2.2.4.3 网络产品安全检测 6.2.2.4.4 网络配置管理6.2.2.4.5 网络安全管理6.2.2.4.6 网络故障分析管理6.2.2.4.7 网络性能管

23、理6.2.2.4.8 网络计费管理6.2.2.4.9 网络访问控制与路由选择6.2.2.4.10 网络管理的协议6.2.2.5 硬件安全管理6.2.2.5.1 设备选型6.2.2.5.2 安全检测6.2.2.5.3 设备购置与安装6.2.2.5.4 设备登记与使用6.2.2.5.5 设备维护6.2.2.5.6 设备保管6.2.2.5.7 质量控制6.2.2.6 软件安全管理6.2.2.6.1 概述6.2.2.6.2 软件的选型与购置6.2.2.6.3 软件安全检测预验收6.2.2.6.4 软件安全跟踪与报告6.2.2.6.5 软件版本控制6.2.2.6.6 软件安全审查6.2.2.2.6.7

24、软件使用与维护制度6.2.2.7 数据安全管理6.2.2.7.1 数据安全的基本概念6.2.2.7.2 安全管理目标6.2.2.7.3 数据载体安全管理6.2.2.7.4 数据密级标签管理6.2.2.7.5 数据存储实现管理6.2.2.7.6 数据访问控制管理6.2.2.7.7 数据备份管理6.2.2.7.8 数据完整性管理6.2.2.7.9 数据可用性管理6.2.2.7.10 不良信息监控管理6.2.2.7.11 可疑信息跟踪审计6.2.2.8 人员安全管理6.2.2.8.1 建立安全组织6.2.2.8.2 安全职能独立6.2.2.8.3 人员安全审查6.2.2.8.4 岗位安全考核6.2.

25、2.8.5 人员安全培训6.2.2.8.6安全保密契约管理6.2.2.8.7 离岗人员安全管理6.2.2.9 应用系统管理6.2.2.9.1 系统启动安全审查管理6.2.2.9.2 应用软件监控管理6.2.2.9.3 应用软件版本安装管理6.2.2.9.4 应用软件更改安装管理6.2.2.9.5 应用软件备份管理6.2.2.9.6 应用软件维护安全管理6.2.2.10 操作安全管理6.2.2.10.1 操作权限管理6.2.2.10.2 操作规范管理6.2.2.10.3 操作责任管理6.2.2.10.4 操作监控管理6.2.2.10.5 误操作恢复管理6.2.2.11 技术文档安全管理6.2.2

26、.11.1 文档密级管理6.2.2.11.2 文档借阅管理6.2.2.11.3 文档登记和保管6.2.2.11.4 文档销毁和监毁6.2.2.11.5 电子文档安全管理6.2.2.11.6 技术文档备份6.2.2.12 灾难恢复计划6.2.2.12.1 灾难恢复的概念6.2.2.12.2 灾难恢复技术概述6.2.2.12.3 灾难恢复计划6.2.2.13 安全应急响应6.2.2.13.1 安全应急响应的现状6.2.2.13.2 安全应急响应管理系统的建立6.2.2.13.3 安全应急响应过程6.2.3 信息安全标准6.2.4 法律法规6.2.4.1 国家法律6.2.4.2 行政法规6.2.4.

27、3 各部委有关规章及规范性文件6.3 注册信息安全审核员（CISA）6.3.1 培训基本能力要求6.3.1.1同6.1.1.16.3.1.2同6.1.1.26.3.2 安全体系与模型6.3.2.1 多级安全模型6.3.2.1.1 引言6.3.2.1.2 Bell-LaPadula 模型6.3.2.1.3 Clark-Wilson 模型6.3.2.1.4 Biba 模型6.3.2.2 多边安全模型6.3.2.2.1 引言6.3.2.2.2访问控制矩阵（Compartmentation and Lattice）模型6.3.2.2.4 Chinese Wall模型6.3.2.2.5 BMA模型6.3

28、.2.3 安全体系结构6.3.2.3.1 OSI参考模型6.3.2.3.2 开放系统互连安全体系结构6.3.2.4 Internet 安全体系架构6.3.2.4.1 ISO安全体系到TCP/IP映射6.3.2.4.2 IPSec协议6.3.2.4.3 IPSec安全体系结构6.3.2.4.4 安全协议6.3.2.4.5 IKE概述及IPSec的应用6.3.2.5 信息安全技术测评认证6.3.2.5.1 IT评估通用准则6.3.2.5.2 IT评估通用方法6.3.2.6.3 信息安全国内外情况6.3.3 安全技术6.3.3.1 密码技术及其应用6.3.3.1.1 加密基本概念6.3.3.1.2

29、对称加密算法6.3.3.1.3 非对称加密算法6.3.3.1.4 链路层加密技术(L2TP)6.3.3.1.5 网络层加密技术(IPSEC)6.3.3.1.6 VPN虚拟专网6.3.3.1.7 SSL/TLS与SSH6.3.3.1.8 Web安全6.3.3.1.9 PKI6.3.3.2 访问控制6.3.3.3 标识和鉴别6.3.3.4 审计及监控6.3.3.4.1 安全审计6.3.3.4.2安全监控6.3.3.4.3 入侵监测6.3.3.4.4 实际应用6.3.3.5 网络安全6.3.3.5.1 网络基础（网络组建、管理与安全）6.3.3.5.2 网络安全 6.3.3.5.3 安全边界及边界间

30、安全策略6.3.3.5.4 网络攻击与对策6.3.3.6 系统安全6.3.3.6.1 操作系统安全6.3.3.6.2 数据库系统安全6.3.3.7 应用安全6.3.3.7.1 计算机病毒6.3.3.7.2 WEB安全6.3.3.7.3 安全编程6.3.4 工程过程6.3.4.1 风险评估6.3.4.1.1 安全威胁6.3.4.1.2 安全风险6.3.4.1.3 评估过程6.3.4.2 安全策略6.3.4.2.1 组织安全策略6.3.4.2.2 系统安全策略6.3.4.2.3 安全策略示例6.3.4.3 安全工程6.3.5 安全管理6.3.5.1 安全管理基本原则6.3.5.2 安全组织保障6.3.5.2.1 政府计算机网络安全