信息平安和审计注册信息平安专业人员认证引言1 能力要求2 注册人员范围3 注册信息平安专业人员 道德准那么4 认证程序5 培训6 考试7 申请认证8 经历审核9 评价、认证与公布9.1评价9.2认证与公布10 保持认证11 专业开展12 处分一三 争议、投诉与申诉14 注册人员档案一五 有关费用16 相关文件及表格 中国信息平安产品测评认证中心(简称CNITSEC)是经中央批准成立的、代表国家开展信息平安测评认证工作的职能机构,依据国家有关产品质量认证和信息平安管理的法律法规管理和运行国家信息平安测评认证体系 中国信息平安产品测评认证中心的主要职能是:对国内外信息平安产品和信息技术进行测评和认证; 对国内信息系统和工程进行平安性评估和认证; 对提供信息系统平安效劳的组织和单位进行评估和认证;对注册信息平安专业人员的资质进行评估和认证 “中华人民共和国国家信息平安认证〞是国家对信息平安技术、产品、信息系统平安质量以及信息平安效劳资质、人员资质的最高认可国家信息平安测评认证活动的技术依据是由中国国家信息平安测评认证管理委员会确认的有关产品质量认证和信息平安管理的国际标准、国家标准、行业标准和其他补充技术要求与技术标准。
注册信息平安专业人员〞,英文为Certified Information Security Professional (简称CISP),根据实际岗位工作需要,CISP分为三类,分别是“注册信息平安工程师〞,英文为Certified Information Security Engineer〔简称CISE〕; “注册信息平安管理人员〞, 英文为Certified Information Security Officer(简称CISO),“注册信息平安审核员〞 英文为Certified Information Security Auditor(简称CISA)其中CISE主要从事信息平安技术开发效劳工程建设等工作,CISO从事信息平安管理等相关工作,CISA从事信息系统的平安性审核或评估等工作这三类注册信息平安专业人员是有关信息平安企业,信息平安咨询效劳机构、信息平安测评认证机构〔包含授权测评机构〕、社会各组织、团体、企事业有关信息系统〔网络〕建设、运行和应用管理的技术部门〔含标准化部门〕必备的专业岗位人员,其根本职能是对信息系统的平安提供技术保障,其所具备的专业资质和能力,系经中国信息平安产品测评认证中心实施国家认证。
本指南适用于所有向CNITSEC提出申请“注册信息平安专业人员〞认证的中华人民共和国公民1 能力要求 具备一定的信息平安根底知识,了解并掌握GB/T 一八336、ISO 一五408、ISO 17799等有关信息平安标准,具有进行信息平安效劳的能力其知识体系的要求详见“注册信息平安专业人员资质评估准那么〞 2 注册人员范围 包括在国家信息平安测评认证机构〔包含授权测评机构〕、信息平安咨询效劳机构、社会各组织、团体、企事业单位从事信息平安效劳或高级平安管理工作的人员3 注册信息平安专业人员道德准那么注册信息平安专业人员必须严格履行其职责并遵守以下道德准那么:1. 所有注册信息平安专业人员 〔CISP〕都必须付出努力才能获得和维持该项认证为贯彻这条原那么,所有的CISP都必须承诺完全遵守道德准那么2.CISP必须老实,公正,负责,守法;3.CISP必须勤奋和胜任工作,不断提高自身专业能力和水平;4.CISP必须保护信息系统、应用程序和系统的价值5.CISP必须接受CNITSEC的监督,在任何情况下,不损坏CNITSEC或认证过程的声誉,对CNITSEC6.对CISP而进行的调查应给予充分的合作;7.CISP必须按规定向CNITSEC交纳费用。
4 认证程序CISP认证程序流程如以下图,后续章节将对其中关键过程进行详细描述5 培训 为了具备CISP根本知识水平,申请者必须参加注册信息平安专业人员培训CNITSEC将在xxitsec.govx或相关网站和媒体上公布授权培训机构培训费用由中国信息平安产品测评认证中心全国统一规定,为9800元/人6 考试 CNITSEC在 xxitsec.govx 或相关网站和媒体上公布考试相关情况考试内容见“注册信息平安专业人员资质评估准那么〞,但考试内容不仅限于大纲要求7 申请认证 认证受理部门是CNITSEC认证认可部,联系方式同上认证申请要求注册级别认证要求与申请材料注册信息平安专业人员一 、认证要求1.教育与工作经历 硕士研究生以上,具有1年工作经历;或本科毕业,具有4年工作经历;或大专毕业,具有6年工作经历2.专业工作经历至少具备1年从事信息平安有关的工作经历3.培训资格 在申请认证前的一年内,成功地完成了CNITSEC或其授权培训机构组织的注册信息平安专业人员培训课程相应资质所需的分类课程,并取得培训合格证书4.通过由CNITSEC举行的注册信息平安专业人员考试;二、 申请材料1. 认证申请表;2. 学历证书〔原件或复印件〕; 3. 注册信息平安专业人员培训合格证书;4. CNITSEC举行注册信息平安专业人员的考试成绩单;5. 申请人专业工作证明文件;需单位证明;6. 交纳规定的认证申请费用;7. 近期二寸照片两张。
CNITSEC承诺对认证申请者的申请材料予以保密,不向第三方提供8 经历审核注册信息平安专业人员应提交能证明其从事信息专业经历的文件,例如:1) 雇主或所工作的组织机构提供的文件;2) 个人从事专业工作的证明文件9 评估、认证与公布9.1评估9.1.1 CNITSEC应对注册信息平安专业人员的认证及复查换证的申请进行技术评价,作出是否予以批准的决定9.1.2 认证申请人在向CNITSEC递交认证申请材料前,须对照相应的“CNITSEC注册信息平安专业人员 认证指南〞逐项检查所填报材料的完整性和正确性 每份申请到达CNITSEC后,初审人员首先对申请材料的完整性进行初审,如果材料不完整,CNITSEC将通知申请人补充材料或退回9.1.3当确认申请材料完整后,将由2名与申请方无利益关系的技术评估人员审查申请材料中各项内容是否符合相应的要求,并以抽样方式对其提供的材料进行验证 如果CNITSEC认证决定委员会根据申请人提供的信息不能作出是否准予认证的决定,那么要求申请人澄清或增加信息,必要时安排面谈9.2认证与公布 对准予认证的申请人,CNITSEC将公布注册人员名录并向申请人发放认证证书。
证书持有人应遵守“证书及标志使用说明〞中的有关规定9.2.1 CNITSEC在信息平安相关专业媒体或中心网站上公布“注册信息平安专业人员 〞名录,包括以下内容:1) 注册人员姓名; 2) 注册级别(必要时);3) 注册专业范围(必要时);4) 注册日期(必要时);5) 证书编号(必要时)9.2.2 CNITSEC出版“注册信息平安专业人员 〞名录,其内容包括:1) 注册人员姓名; 2) 注册级别(必要时);3) 证书编号; 4) 注册专业范围;〔必要时〕5) x、 (必要时); 6) 联系单位、地址、邮政编码(必要时);7) 注册日期; 8) 受聘状态(必要时)9.2.3 CNITSEC将按期公布CISP名单/名录,CISP如不愿公布自己的信息,须在递交申请书时予以说明假设CISP工作、联系方式变动时,须及时通知CNITSEC,可通过电子邮件或信件联系10 保持认证10.1 每位注册的CISP需通过持续的信息平安专业开展来保持其能力和素质10.2 CNITSEC将通过评价申请表中的信息、专业开展记录来验证每一位CISP的工作能力,同时还通过申诉系统、现场见证、从聘用机构调阅档案以及向受CISP效劳方调查等方式来验证CISP的工作和素质。
10.3 CISP认证证书在三年有效期内实行年度确认制度,第3年进行复查换证保持认证要求认证级别保持认证要求,复查换证与申请材料信息平安专业人员复查换证要求认证资格每三年进行一次复查换证在证书有效期届满前60天内,须提出复查换证申请1. 年度确认在证书有效期内,完成规定的年度确认,并且合格2. 专业经历完成至少6次完整的信息平安效劳经历〖注1〗3. 专业开展三年内应至少完成60分以上的专业开展活动4. 遵守注册信息平安专业人员 行为准那么 申请材料1xITSEC注册信息平安专业人员 复查换证申请表〔原件〕;2.提交的专业经历记录包括:注册信息平安专业人员 专业经历记录或相应的效劳咨询合同〔原件或复印件〕3.本文第11条规定的注册信息平安专业人员 专业开展证实材料〔即3年专业开展记录〕;4.交纳复查换证申请费用;5.近期两寸照片两张说明:对审定不合格的申请材料,CNITSEC将通知补充材料或退还假设属重新申报,应在信封和申请表的左下角注明“重新申报〞字样,附上须重新申报的证明,并交纳重新申报费用〖注1〗:信息平安效劳是指信息平安工程的设计、实施、测试、运行和维护,以及相关的咨询和培训活动。
具体形式包括:包括: 1) 平安工程:为信息系统进行平安方案设计、施工、验证、运行和维护; 2) 平安测试和监控:对已有信息平安系统进行平安性测试和对保护装置总体(包括硬件、软件、固件和负责执行平安策略的组合体等)进行调整、增补与删除;对信息系统进行监控和提出平安承诺; 3) 平安相关施工:对信息平安系统外部设施(包括通信线路、链路、信道/隐蔽信道、保护建筑和标记等)进行调整、增补与删除; 4) 平安咨询和教育:从事信息系统平安咨询、培训、宣传的业务,包括书面提出并制订信息系统平安方案或平安管理与操作规定的效劳、在公开场合或媒体宣讲传播平安知识的活动;信息系统平安的专家活动和政策制订工作;从事信息系统平安教育工作; 5) 方案试验:在现有信息平安系统中测试、试验某种平安产品、平安方案(如算法)的有偿或无偿活动;6) 其它效劳:其它可能影响信息系统平安性能的有偿或无偿效劳或技术活动11 专业开展 “注册信息平安专业人员 〞在其三年证书有效期内须完成60分以上涉及信息平安的专业开展活动,此项记录作为认证资格保持的一局部文件提交CNITSEC规定的活动工程与活动计分方式如下:序号活 动 项 目应予说明的内容计 分1培训班或讲座内容、名称、时间、举办者、日期地点1-2分/8小时2自学自学课程说明1-5分/课程3学术会议内容、举办者、日期、地点1-2分/8小时4学术研究从事或参与的活动内容,承当的工作5-10分/工程5论文或著作作品标题,发表方式 1-2分/篇10-20分/本6咨询或效劳工程说明,但不适用于咨询机构工作人员1分/工作日最高10分/工程专业开展证实方式说明:1) 序号1、3、4、6证明方式可为由工程举办者(负责人)或申请人工作单位(聘用单位)在记录表上签名盖章予以证实,也可通过提供证书或证明予以证实。
2) 序号2应提供自学课程心得报告一份3) 序号5应提供论文首页及其发表刊物封面或著作封面复印件一份12 处分 对于违反CNITSEC注册信息。