測評師培訓和考試指引

1、DJCPCSPEC-PXKS01等級測評師培訓及考試指南(V1.0)公安部信息安全等級保護評估中心二0年一月為加強信息安全等級保護測評機構建設和管理，規(guī)范等級測評活動，保障信息安全等級保護測評工作的順利開展，公安部下發(fā)了關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知（公信安2010303 號），對等級測評工作、等級測評機構建設以及等級測評人員進行了規(guī)范。要求開展等級測評的人員參加專門的培訓和考試，并取得信息安全等級測評師證書（等級測評師分為初級、中級和高級）。等級測評人員需持等級測評師證上崗。公安部信息安全等級保護評估中心（以下簡稱“評估中心”）是由公安部為建立信息安全等級保護制

2、度，構建國家信息安全保障體系而專門批準成立的專業(yè)技術支撐機構，評估中心受國家信息安全等級保護工作協(xié)調(diào)小組辦公室委托，對從事等級測評的人員進行培訓和考試，對考試合格人員頒發(fā)信息安全等級測評師證書。1 等 級測評師的分類及能力要求信息安全等級測評師分為初級等級測評師、中級等級測評師和高級等級測評師三級。其中，初級等級測評師又分為技術和管理兩類。三級等級測評師能力要求如下：1）初級等級測評師了解信息安全等級保護的相關政策、標準；熟悉信息安全基礎知識；熟悉信息安全產(chǎn)品分類，了解其功能、特點和操作方法；掌握等級測評方法，能夠根據(jù)測評指導書客觀、準確、完整地獲取各項測評證據(jù)；掌握測評工具的操作方法，能夠合

3、理設計測試用例獲取所需測試數(shù)據(jù)；能夠按照報告編制要求整理測評數(shù)據(jù)。2）中級等級測評師熟悉信息安全等級保護相關政策、法規(guī)；正確理解信息安全等級保護標準體系和主要標準內(nèi)容，能夠跟蹤國內(nèi)、國際信息安全相關標準的發(fā)展；掌握信息安全基礎知識，熟悉信息安全測評方法，具有信息安全技術研究的基礎和實踐經(jīng)驗；具有較豐富的項目管理經(jīng)驗, 熟悉測評項目的工作流程和質量管理的方法，具有較強的組織協(xié)調(diào)和溝通能力；能夠獨立開發(fā)測評指導書，熟悉測評指導書的開發(fā)、版本控制和評 審流程； 能夠根據(jù)信息系統(tǒng)的特點，編制測評方案，確定測評對象、測評指 標和測評方法； 具有綜合分析和判斷的能力，能夠依據(jù)測評報告模板要求編制測評 報告

4、，能夠整體把握測評報告結論的客觀性和準確性。具備較強的文字表達能力；了解等級保護各個工作環(huán)節(jié)的相關要求。能夠針對測評中發(fā)現(xiàn)的問題，提出合理化的整改建議。3）高級等級測評師熟悉和跟蹤國內(nèi)、外信息安全的相關政策、法規(guī)及標準的發(fā)展；對信息安全等級保護標準體系及主要標準有較為深入的理解；具有信息安全理論研究的基礎、實踐經(jīng)驗和研究創(chuàng)新能力； 具有豐富的質量體系管理和項目管理經(jīng)驗，具有較強的組織協(xié)調(diào)和 管理能力； 熟悉等級保護工作的全過程，熟悉定級、等級測評、建設整改各個 工作環(huán)節(jié)的要求。2 培 訓及考試對象信息安全等級測評師培訓及考試對象是等級測評機構中從事等級測評工作的測評人員。要求這些人員在具備信息

5、安全基礎知識及相關測評經(jīng)驗的前提下，參加初級、中級或高級等級測評師的專門培訓和考試，從而滿足等級測評工作崗位的需要。1）初級等級測評師初級等級測評師的培訓對象是網(wǎng)絡安全、主機安全、應用安全、安全管理和工具測試人員等。報考人員需要具備信息安全基礎知識和信息安全相關工作經(jīng)驗, 熟悉TCP/IP 網(wǎng)絡協(xié)議，了解標識與鑒別、訪問控制等安全技術及原理，熟悉主流服務器操作系統(tǒng)、路由器、交換機、防火墻等設備的操作與配置。2）中級等級測評師中級等級測評師的培訓對象是項目負責人（或項目組長）。報考人員需要具備信息安全理論基礎，對系統(tǒng)安全、網(wǎng)絡安全、應用安全等有深入了解, 作為項目負責人組織實施過信息系統(tǒng)安全測評

6、項目，熟悉國內(nèi)外信息安全相關產(chǎn)品的特性，具有較豐富的測評實踐經(jīng)驗、良好的溝通協(xié)作和文字表達能力。3） 高級等級測評師高級等級測評師的培訓對象是技術負責人（或技術總監(jiān)）。報考人員需要具備信息安全理論基礎，具有信息安全理論、信息安全技術的研究和實踐經(jīng)驗，從事過網(wǎng)絡信息安全方面的測評、規(guī)劃、設計、實施、運維等工作。熟悉信息安全標準和產(chǎn)品特性，熟悉信息安全技術發(fā)展動向。3 報 名3.1 報名申請各測評機構依照“崗位對應，比例協(xié)調(diào)”的原則組織本單位測評人員報名參加等級測評師培訓和考試。測評機構的一般測評人員、項目負責人（或項目組長） 和技術負責人（或技術總監(jiān)）三個工作崗位分別報考初級、中級和高級等級測評

7、師。測評機構按照65%、 30%和 5%的比例推薦本單位測評人員報名參加初、中、高級等級測評師的培訓和考試（其中，初級等級測評師又分為技術和管理兩類） 。例如，一個測評機構有測評人員15 名，按照初級（技術） 8 名，初級 （管理） 2 名，中級4名，高級1 名的比例報名。3.2 報名確認申報單位要確保報名人員信息填寫真實、完整，并提供相關證明材料。旦發(fā)現(xiàn)弄虛作假、隱瞞情況等將取消報考資格。評估中心將對測評機構的報名比例和人員信息進行核實。3.3 報名交費培訓和考試費以測評機構為單位， 依據(jù)等級測評師培訓及考試收費標準 統(tǒng)一交納。報名交費可以采用匯款或支票的方式。4 培訓評估中心組織對報考初、

8、中和高級等級測評師考試的人員進行專門的培 訓，通過培訓后方可參加相應的等級測評師考試。人員培訓采用網(wǎng)上培訓和集 中培訓相結合的方式。網(wǎng)上培訓要求學員通過互聯(lián)網(wǎng)登錄培訓系統(tǒng)在線接受培 訓I。網(wǎng)上培訓完成后，參加集中培訓。集中培訓以重點內(nèi)容、復習、現(xiàn)場答疑 和考前輔導為主。評估中心提前公布集中培訓計劃，集中培訓原則上根據(jù)報名 情況具體安排培訓時間和地點。4.1 培訓課程安排級別培訓課程課程設置目的初級信息安全等級保護政策了解信息安全等級保護的相關政策、標準。等級保護相關標準應用了解信息安全等級保護的相關標準及應用。網(wǎng)絡安全測評熟悉網(wǎng)絡測評內(nèi)容、要求和方法，能夠根據(jù) 測評指導書客觀、準確、完整地狄取

9、各項測 評證據(jù)；能夠按照報告編制要求整理測評數(shù)據(jù)， 開展 等級測評工作。主機安全測評熟悉主機測評內(nèi)容、要求和方法，能夠根據(jù) 測評指導書客觀、準確、完整地狄取各項測 評證據(jù)；能夠按照報告編制要求整理測評數(shù)據(jù)， 開展 等級測評工作。應用和數(shù)據(jù)安全測評熟悉應用和數(shù)據(jù)庫安全測評內(nèi)容、 要求和方 法，能夠根據(jù)測評指導書客觀、準確、完整 地狄取各項測評證據(jù)；能夠按照報告編制要求整理測評數(shù)據(jù)， 開展 等級測評工作。安全管理和物理測評熟悉安全管理和物理測評內(nèi)容、要求和方法，能夠根據(jù)測評指導書客觀、準確、完整 地狄取各項測評證據(jù)；能夠按照報告編制要求整理測評數(shù)據(jù)，開展等級測評工作。工具測試方法掌握測評工具的操作

10、方法，能夠合理設計測級別培訓課程課程設置目的試用例獲取所需測試數(shù)據(jù)。"中級信息安全等級保護政策熟悉信息安全等級保護相關政策、法 規(guī)。等級保護相關標準應用正確理解信息安全等級保護標準體系 和主要標準內(nèi)容。信息系統(tǒng)安全等級保護基本要求熟悉標準結構，熟悉不同級別系統(tǒng)之間的差 另1、熟悉各級安全要求內(nèi)容。信息系統(tǒng)安全等級保護測評方法熟悉信息安全等級測評方法，能夠獨立開發(fā) 測評指導書，并熟悉測評指導書的開發(fā)、版 本控制和評審流程；能夠根據(jù)信息系統(tǒng)的特點，編制測評方案， 確定測評對象、測評指標和測評方法； 能夠依據(jù)測評報告模板要求編制測評報告， 能夠整體把握測評報告結論的客觀性和準 確性。信息系

11、統(tǒng)安全等級保護測評實施熟悉等級測評項目的工作流程和質量 管理的方法。項目管理熟悉項目管理的主要內(nèi)容和關鍵環(huán)節(jié)。 掌握項目質量管理、進度管理、風險管 理方法。高級信息安全等級保護政策熟悉信息安全等級保護相關政策、法 規(guī)。等級保護相關標準應用正確理解信息安全等級保護標準體系 和主要標準內(nèi)容。美國信息系統(tǒng)安全保護政策和標 準熟悉和跟蹤國外信息安全的相關政策、法規(guī)及標準的發(fā)展。我國信息安全標準體系熟悉信息安全等級保護標準體系及主要標 準。信息安全技術發(fā)展趨勢掌握網(wǎng)絡與信息安全的理論基礎和發(fā)展趨 勢。信息系統(tǒng)測評原理與方法掌握系統(tǒng)測評的原理和方法以及測評過程。測評機構的質量體系建設熟悉質量體系和制度建設

12、的主要內(nèi)容。4.2 參考教材信息安全等級測評師培訓主要參考教材：信息安全等級保護政策培訓教程（電子工業(yè)出版社）信息安全等級測評師培訓教程（初級）（電子工業(yè)出版社）信息安全等級測評師培訓教程（中級）（電子工業(yè)出版社）5 考 試5.1 考試方式1）初級等級測評師初級測評師考試采用筆試的方式，滿分100 分 , 合格分數(shù)線為60 分；筆試時間為 120 分鐘。2）中級等級測評師中級等級測評師考試采用筆試加面試的方式，滿分100分 , 筆試和面試成績各占 50 分，合格分數(shù)線為60 分；筆試時間為120 分鐘，面試時間為15 分鐘。評估中心組織專家對參加中級等級測評師考試的考生進行面試。參加面試人員需

13、要介紹本人參加過的系統(tǒng)測評項目的情況及承擔的主要工作（5 分鐘），專家通過質詢及評審相關材料對面試人員的能力進行考評。（評審相關材料主要包括測評指導書和等級測評報告，等級測評機構派專人將面試人員負責編寫的測評指導書和測評報告送達面試現(xiàn)場，面試結束后收回，做好報告在外出攜帶期間的安全保管。）3）高級等級測評師高級等級測評師考試采用筆試加面試的方式，滿分100分，筆試占40分，面試占60 分；筆試時間為100 分鐘，面試時間為20 分鐘。評估中心組織專家對參加高級等級測評師考試的考生進行面試。參加面試人員需要提交本人工作總結，并簡要介紹主要項目經(jīng)歷（5 分鐘）。專家通過質詢及評審相關材料對面試人員

14、的能力進行考評。5.2 考試時間等級測評師筆試時間安排在集中培訓后進行，在筆試結束后進行中、高級等級測評師的面試。評估中心將提前公布筆試及面試具體時間安排。5.3 成績公布考試結束五個工作日后，評估中心公布考試通過人員名單。應考人員對考試結果有異議的，應當在考試結果公布之日起五日內(nèi)向評估中心提出成績查詢申請。評估中心按照成績查詢程序受理，并在五個工作日內(nèi)反饋查詢結果。未通過考試的人員，可以免費參加一次集中培訓，但參加考試需要重新報名和交費。5.4 考試紀律考生參加考試時憑身份證和準考證入場，否則不允許參加考試。考生應當遵守 等級測評師考試考場規(guī)則，違反考場規(guī)則的，將依據(jù)等級測評師考試違紀作弊處理規(guī)則對其進行處理。報名參加考試的人員，有違反考試規(guī)定或弄虛作假的，兩年內(nèi)不受理其考試報名申請；已經(jīng)參加考試的，取消考試成績。6 證 書6.1 證書獲取在考試結果公布后，評估中心統(tǒng)一印制并頒發(fā)信息安全等級測評師證書和 等級測評師證。證書頒發(fā)以測評機構為單位，通過測評機構轉發(fā)給獲證人員。6.2 證書使用等級測評人員工作期間需佩戴等級測評師證，接受公安部門和評