1.1 “注册信息安全专业人员”,英文为Certified Information Security Professional (简称CISP),根据实际岗位工作需要,CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer(简称CISE); “注册信息安全管理人员”, 英文为Certified Information Security Officer(简称CISO),“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。其中CISE主要从事信息安全技术开发服务工程建设等工作,CISO从事信息安全管理等相关工作,CISA从事信息系统的安全性审核或评估等工作。这三类注册信息安全专业人员是有关信息安全企业,信息安全咨询服务机构、信息安全测评认证机构(包含授权测评机构)、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全产品测评认证中心实施国家认证。为了加强对信息安全专业人员认证的管理,特制定本程序。
1.2 本标准规定了信息安全领域工作的注册信息安全专业人员能力评估的国家最低标准。
目 录
一、总则 5
二、使用范围和适用对象 5
三、管理职责 5
3.1 管理部门 5
3.2 管理职责 5
四、基本能力要求 6
五、基本道德准则 6
六、考核标准 6
6.1.1 培训基本能力要求 6
6.1.2 安全体系与模型 7
6.1.2.1 多级安全模型 7
6.1.2.2 多边安全模型 7
6.1.2.3 安全体系结构 7
6.1.2.4 Internet 安全体系架构 7
6.1.2.5 信息安全技术测评认证 7
6.1.2.6 信息安全国内外情况 7
6.1.3 安全技术 7
6.1.3.1 密码技术及其应用 7
6.1.3.2 访问控制 8
6.1.3.3 标识和鉴别 8
6.1.3.4 审计及监控 8
6.1.3.5 网络安全 8
6.1.3.6 系统安全 8
6.1.3.7 应用安全 8
6.1.4 工程过程 8
6.1.4.1 风险评估 8
6.1.4.2 安全策略 8
6.1.4.3 安全工程 9
6.1.5 安全管理 9
6.1.5.1 安全管理基本原则 9
6.1.5.2 安全组织保障 9
6.1.5.3 物理安全 9
6.1.5.4 运行管理 9
6.1.5.5 硬件安全管理 9
6.1.5.6 软件安全管理 10
6.1.5.7 数据安全管理 10
6.1.5.8 人员安全管理 10
6.1.5.9 应用系统管理 11
6.1.5.10 操作安全管理 11
6.1.5.11 技术文档安全管理 11
6.1.5.12 灾难恢复计划 11
6.1.5.13 安全应急响应 11
6.2 注册信息安全管理人员(CISO) 12
6.2.1 培训基本能力要求 12
6.2.1.2 安全策略 12
6.2.1.3 安全工程 12
6.2.2 安全管理 12
6.2.2.1 安全管理基本原则 12
6.2.2.3 物理安全 12
6.2.2.4 运行管理 13
6.2.2.5 硬件安全管理 13
6.2.2.6 软件安全管理 13
6.2.2.7 数据安全管理 13
6.2.2.8 人员安全管理 14
6.2.2.9 应用系统管理 14
6.2.2.10 操作安全管理 14
6.2.2.11 技术文档安全管理 15
6.2.2.12 灾难恢复计划 15
6.2.2.13 安全应急响应 15
6.2.3 信息安全标准 15
6.2.4 法律法规 15
6.2.4.1 国家法律 15
6.2.4.2 行政法规 15
6.2.4.3 各部委有关规章及规范性文件 15
6.3.1 培训基本能力要求 15
6.3.2 安全体系与模型 16
6.3.2.1 多级安全模型 16
6.3.2.2 多边安全模型 16
6.3.2.3 安全体系结构 16
6.3.2.4 Internet 安全体系架构 16
6.3.2.5 信息安全技术测评认证 16
6.3.2.6.3 信息安全国内外情况 16
6.3.3 安全技术 16
6.3.3.1 密码技术及其应用 16
6.3.3.2 访问控制 17
6.3.3.3 标识和鉴别 17
6.3.3.4 审计及监控 17
6.3.3.5 网络安全 17
6.3.3.6 系统安全 17
6.3.3.7 应用安全 17
6.3.4 工程过程 17
6.3.4.1 风险评估 17
6.3.4.2 安全策略 17
6.3.4.3 安全工程 18
6.3.5 安全管理 18
6.3.5.1 安全管理基本原则 18
6.3.5.2 安全组织保障 18
6.3.5.3 物理安全 18
6.3.5.4 运行管理 18
6.3.5.5 硬件安全管理 18
6.3.5.6 软件安全管理 19
6.3.5.7 数据安全管理 19
6.3.5.8 人员安全管理 19
6.3.5.9 应用系统管理 20
6.3.5.10 操作安全管理 20
6.3.5.11 技术文档安全管理 20
6.3.5.12 灾难恢复计划 20
6.3.5.13 安全应急响应 20
6.3.6 信息安全标准 21
6.3.7 法律法规 21
6.3.7.1 国家法律 21
6.3.7.2 行政法规 21
七、参考资料 21
7.1 国外参考资料 21
7.2 国内参考资料 21
点击下载 《注册信息安全专业人员能力评估准则》