RB/T 202-2013 信息安全保障人员认证准则

ICS01.040.35

/

F1019

备案号:43670

中华人民共和国认证认可行业标准

/—

RBT2022013

信息安全保障人员认证准则

Certificationreuirementsforinformationsecuritassurancerofessional

qyp

ㅤㅤㅤㅤ

2013-12-02发布2014-06-15实施

中国国家认证认可监督管理委员会发布

/—

RBT2022013

信息安全保障人员认证准则

1范围

、。

本标准规定了信息安全保障人员认证的专业方向级别和资格要求

本标准适用于对信息安全保障人员进行认证考试和认证。

本标准不适用于对认证审核人员进行注册。

2规范性引用文件

。,

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,()。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

/合格评定人员认证机构通用要求

GBT27024

3术语和定义

/界定的以及下列术语和定义适用于本文件。

GBT27024

3.1

ㅤㅤㅤㅤ

信息安全保障人员informationsecuritassurancerofessional

yp

,(、、

从事信息安全相关工作的所有人员如组织的管理人员包括CIOCSO科技管理部门和风险控制

管理部门的人员)、(、),

IT相关的技术人员包括运维开发和集成人员从事信息安全服务组织的技术人

(、、)。

员包括信息安全产品研发人员信息安全咨询人员信息安全服务实施人员和外派服务人员

3.2

认证专业方向certifiedrofessionalfield

p

,。

按照信息安全保障的技术方向划分的专业方向并依据其开展人员认证

3.3

获证人员certifiedalicant

pp

,。

通过信息安全保障人员认证考试和认证评价获得或保持信息安全保障人员认证证书的人员

3.4

工作经历occuationalhistor

py

,,,。

取得相应学历后的所有工作历史无论是有偿的还是无偿的全职的还是兼职的不包括实习经历

4认证专业方向与级别

信息安全保障人员认证专业方向和级别设置如表所示。

1

、()()。

信息安全保障人员认证分为预备认证资格认证基础级和专业认证专业级和专业高级信息

、()、()、()。

安全保障人员级别从低到高依次分为预备级级基础级级专业级级专业高级个级别

ⅠⅡⅢ4

()、(),:、、、

其中级专业级级专业高级设置认证专业方向分别为安全软件安全集成安全管理安全

ⅡⅢ

、、、、、()。

运维安全咨询风险管理应急服务灾备服务业务连续性参见附录A

1

/—

RBT2022013

表1认证专业方向设置表

类型级别专业方向

()

专业Ⅲ级专业高级安全安全安全安全安全风险应急灾备业务

认证()软件集成管理运维咨询管理服务服务连续性

Ⅱ级专业级

()

资格认证Ⅰ级基础级保障基础

预备认证预备级预备人员

5认证要求

5.1基本要求

获证人员应满足如下基本要求:

),;

a具有独立的民事行为能力具备承担法律责任的能力

)未受过刑事处罚;

b

)不存在法律法规禁止从业的情形;

c

),;

d自愿遵守颁布的信息安全保障人员认证相关文件的有关规定履行相关义务

)符合有关法律法规的规定。

e

5.2初次申请资格条件

ㅤㅤㅤㅤ

5.2.1教育及工作经历

5.2.1.1预备人员认证资格要求

获证人员应满足下面要求:

)“”“”

a教育部发布的具有普通高等学历教育招生资格的高等学校名单中普通本专科院校在校本

专科生或全国研究生招生计划中研究生招生单位在校研究生;

)()。

通过门以上经认定的考试课程参见附录考试

b4B

5.2.1.2基础级认证工作经历要求

获证人员应至少满足下面一项要求:

)(),;

本科含以上学历年以上从事信息安全有关工作经历

a1

),;

专科毕业年以上从事信息安全有关的工作经历

b3

)年以上从事信息安全有关的工作经历;

c5

),

具有信息技术相关专业的初级技术职称并且至少年以上从事信息安全保障相关工作经历

d1

()。

表中任意一个认证专业方向的工作经历均可

1

5.2.1.3专业级认证工作经历要求

获证人员应至少满足下面一项要求:

)(),,

硕士研究生含以上学历年以上从事信息安全有关工作经历并且至少年从事与申请认

a21

证专业方向相关的工作经历;

),,

b本科毕业年以上从事信息安全有关工作经历并且至少年以上从事与申请认证专业方向

42

相关的工作经历;

2

/—

RBT2022013

),,

专科毕业年以上从事信息安全有关工作经历并且至少年以上从事与申请认证专业方向

c62

相关的工作经历;

),

年以上从事信息安全有关工作经历并且至少年以上从事与申请认证专业方向相关的工

d72

作经历;

),

具有信息技术相关专业的中级技术职称并且至少年以上从事与申请认证专业方向相关的

e2

工作经历。

5.2.1.4专业高级认证工作经历要求

获证人员应至少满足下面一项要求:

)(),,

硕士研究生含以上学历年以上从事信息安全有关工作经历并且至少年以上从事与申

a32

请认证专业方向相关的工作经历;

),,

本科毕业年以上从事信息安全有关工作经历并且至少年以上从事与申请认证专业方向

b53

相关的工作经历;

)专科毕业,,

c年以上从事信息安全有关工作经历并且至少年以上从事与申请认证专业方向

73

相关的工作经历;

),

年以上从事信息安全有关工作经历并且至少年以上从事与申请认证专业方向相关的工

d83

作经历;

),

具有信息技术相关专业的高级技术职称并且至少年以上从事与申请认证专业方向相关的

e3

工作经历。

5.2.2培训要求

ㅤㅤㅤㅤ

获证人员应完成其申请的认证专业方向和相应级别认证考试要求的技术知识和应用能力培训。

5.2.3考试要求

获证人员应满足下面要求:

)(),;

a通过其申请的认证专业方向和相应级别的认证考试要求参见附录C包括笔试和实验

),;

b必要时通过由认证机构组织的专家面试

),。

c必要时通过由认证机构组织的工作现场见证

5.3扩展认证专业方向资格要求

获证人员应满足下面要求:

)已通过信息安全保障人员认证其中一个认证专业方向认证;

a

)具有至少年与所扩展认证专业方向相关的工作经历;

b1

)完成其申请的认证专业方向和相应级别所要求的认证考试要求的技术知识和应用能力培训;

c

)通过相应认证专业方向和相应级别的认证考试。

d

5.4再认证资格要求

获证人员应满足下面要求:

),效期内;

a已通过信息安全保障人员认证且在认证有

)获证后年内至少有年的工作经历与获得认证的专业方向相关;

b32

)每年不少于的信息安全相关专业的持续发展课程学习。

c16h

5.5认证升级资格要求

获证人员应满足下面要求:

3

/—

RBT2022013

),;

a已通过信息安全保障人员认证且在认证有效期内

),、。

b满足信息安全保障人员认证高一级别认证要求包括工作经历培训和考试要求

5.6预备人员转正资格要求

获证人员应满足下面要求:

),;

a已通过信息安全保障人员认证预备级认证且在认证有效期内

)()。

从事信息安全保障相关工作表中任意一个认证专业方向的工作经历均可年

b11

:。

注转正时申请更换的信息安全保障人员认证证书为基础级证书

ㅤㅤㅤㅤ

4

/—

RBT2022013

附录

A

()

资料性附录

信息安全保障人员认证分类分级

A.1认证专业方向

,。

信息安全保障人员按照信息安全保障的技术方向进行分类依据能力要求进行分级信息安全保

障人员认证专业方向设置见表1。

A.2认证专业方向适合人员

认证专业方向适合人员说明见表A.1。

表A.1认证专业适用人员

序号认证专业方向适合人员

()、

0预备人员CP在校大学生研究生

1保障基础()所有信息安全保障人员

FP

2安全软件()软件开发相关管理与技术人员

SS

ㅤㅤㅤㅤ

3安全集成()系统集成相关管理与技术人员

SI

4安全管理()所有信息安全保障人员

SM

()、、

5安全运维SO网络系统桌面等安全管理与技术人员

6安全咨询()提供安全咨询服务相关的管理与技术人员

SC

()、

7风险管理RM集成咨询和运维相关管理与技术人员

()、、

8应急服务ER网络系统风险等相关管理与技术人员

()、、

9灾备服务DR网络系统风险等相关管理与技术人员

()、、

10业务连续性BC集成咨询运维和风险相关管理与技术人员

5

/—

RBT2022013

附录

B

()

资料性附录

认定的预备人员考试课程

,

参考目前大专院校信息技术和信息安全相关专业的课程设置采用表中的门课程作为认定

B.112

。,,,

的考试课程此外开展培训工作的院校可以推荐表B.1之外的相关课程如通过评审可以增补为认

定的考试课程。

表B.1认定的考试课程表

课程编号课程名称

01计算机原理

02操作系统

03计算机网络基础

04数据通信原理

05密码学

06网络安全协议与标准

07信息安全导论

08计算机病毒理论与防治技术

09防火墙技术ㅤㅤㅤㅤ

10操作系统安全分析

11数字鉴别及认证系统

12网络安全检测与防范技术

:。

注预备人员至少从号课程中选择门和号课程中选择门进行考试

01~04105~123

6

/—

RBT2022013

附录

C

()

资料性附录

认证考试基本要求

C.1认证考试科目

认证考试科目如表C.1所示。

:、、。,。

考试科目分为类基础类通用类专业类和附加类其中基础类和附加类不分级别通用类分

4

:,,,,

为两个级别级和级专业类分为级和级分别代表对相关内容掌握的程度级高于级

ⅠⅡⅡⅢⅡⅠⅢ

级高于级。

Ⅱ

表C.1考试科目表

编号考试科目名称科目分类

B01信息安全保障人员基本素质教育基础类

B02信息安全意识教育基础类

B03信息安全法律法规体系基础类

B04风险管理基础基础类

G01项目管理基础通用类

ㅤㅤㅤㅤ

G02信息安全技术通用类

G03信息安全实验通用类

P01安全软件技术与测试专业类

P02信息系统安全集成专业类

P03信息安全管理专业类

P04安全运维技术与应用专业类

P05安全咨询专业类

P06风险管理专业类

P07应急服务技术与应用专业类

P08灾备服务技术与应用专业类

P09业务连续性管理专业类

A01通信技术基础附加类

A02管理体系审核附加类

A03渗透测试技术与应用附加类

C.2考试科目内容

各科目的考试内容如表C.2所示。

7

/—

RBT2022013

表C.2各考试科目内容

序号考试科目名称科目内容

1.职业素养

信息安全保障人员基本素质

B012.知识结构

教育

3.工作技能

1.信息安全保障概念

B02信息安全意识教育2.信息安全形势

3.信息安全需求识别

1.法律法规结构体系

2.国内外信息安全法律法规建设概况

B03信息安全法律法规体系3.国内外信息安全标准建设概况

4.国内信息安全管理概况

5.典型信息安全法律法规

1.基本概念

2.常见风险评估方法

B04风险管理基础3.典型的风险评估方法

4.风险处置方法

5.风险管理相关标准

ㅤㅤㅤㅤ

1.项目管理基本概念

2.项目管理的发展历史与现状

G01项目管理基础3.九大项目管理知识领域

4.开发类项目管理技巧

5.集成类项目管理技巧

1.信息安全技术发展

2.密码学及其应用

3.网络安全技术

G02信息安全技术4.平台安全技术

5.应用安全技术

6.数据安全技术

7.物理安全技术

1.实验平台构建

2.网络基础实验

3.主机安全实验

4.数据库安全实验

G03信息安全实验5.密码学与加解密实验

6.访问控制实验

7.攻击技术实验

8.主动防御技术实验

9.安全管理实验

8

/—

RBT2022013

()

表C.2续

序号考试科目名称科目内容

1.安全软件的业界标准与实践

2.安全开发生命周期

3.安全软件开发环境管理

4.安全功能架构与设计

P01安全软件技术与测试

5.安全漏洞分析

6.安全编码

7.密码安全模块

8.安全测试与实验

1.安全集成的业界标准与实践

2.安全集成过程

P02信息系统安全集成3.安全集成工具使用

4.典型安全保障手段

5.安全集成实例

1.安全管理的业界标准与实践

2.安全管理的实施过程

3.安全管理工具使用

P03信息安全管理

4.典型安全保障手段

ㅤㅤㅤㅤ

5.安全管理实例

6.风险管理

1.业界标准与实践

2.安全运维结构与思想

P04安全运维技术与应用

3.安全运维工具使用

4.安全运维实例

1.安全相关标准

2.咨询的过程管理

3.安全方案设计

P05安全咨询

4.安全咨询工具的使用

5.安全咨询知识库管理

6.典型咨询案例分析

1.风险管理的业界标准与实践

2.风险管理的实施过程

P06风险管理3.风险管理工具使用

4.典型风险处置措施

5.风险管理实例

1.应急服务的相关规范

2.应急服务过程管理

P07应急服务技术与应用

3.安全技术工具的使用

4.典型应急案例分析

9

/—

RBT2022013

()

表C.2续

序号考试科目名称科目内容

1.灾备服务的业界标准与实践

2.灾备恢复技术

P08灾备服务技术与应用3.灾备服务过程管理

4.灾备工具使用与管理

5.灾备实例分析

1.业务连续性的业界标准与实践

2.业务连续性管理结构与思想

P09业务连续性管理3.业务连续性管理环节

4.业务连续性管理程序与计划

5.业务连续性管理实例

1.通信的基本概念

A01通信技术基础2.通信协议及应用

3.安全通信协议

1.审核的基本概念

2.审核的基本流程

A02管理体系审核

3.审核的基本方法

4.审核员的管理与能力要求

1.渗透测试的基本概念

2.渗透测试法律问题

ㅤㅤㅤㅤ

3.渗透测试方法论

4.实施渗透测试与报告撰写

A03渗透测试技术与应用

5.Unix渗透测试方法与工具使用

6.Windows系统渗透测试方法与工具使用

7.Web应用系统渗透测试方法与工具使用

8.数据库渗透测试与工具使用

C.3各认证级别和专业方向的考试要求

各认证级别和专业方向的考试要求见表表。

C.3~C.21

表C.3基础级要求

考试科目名称选择范围

信息安全保障人员基本素质全部

信息安全意识教育全部

信息安全法律法规体系全部

风险管理基础