T-WHCSA 002-2024 T-WHCIO 1002-2024 信息安全專員能力水平評價規(guī)范

CCSL70/84武漢市網(wǎng)絡(luò)安全協(xié)會武漢市網(wǎng)絡(luò)安全協(xié)會武漢企業(yè)信息化促進會I 2規(guī)范性引用文件 3術(shù)語和定義 4信息安全專員職責和特征 4.1信息安全專員職責 4.1.1初級信息安全專員 4.1.2中級信息安全專員 4.1.3高級信息安全專員 4.2信息安全專員職業(yè)特質(zhì) 4.2.1具有良好的職業(yè)道德 4.2.2具有較強的信息安全專業(yè)素養(yǎng) 4.2.3具有一定的安全風險管理素質(zhì) 4.2.4具有一定的信息安全專業(yè)知識和技術(shù)技能 4.2.5具有一定的信息安全運營能力 4.2.6具有良好的身心素質(zhì) 4.3職業(yè)水平等級和信用等級 5能力要求 6.1申報初級信息安全專員個人應(yīng)該具備的條件 6.2申報中級信息安全專員個人應(yīng)該具備的條件 6.3申報高級信息安全專員個人應(yīng)該具備的條件 7認證要求 7.1品德要求 7.2知識要求 7.2.1通用知識要求 7.2.2各級信息安全專員網(wǎng)絡(luò)安全知識要求 各級信息安全專員應(yīng)該掌握的網(wǎng)絡(luò)安全知識參見以下表2： 7.3技能要求 7.3.1通用技能要求 7.3.2各級信息安全專員網(wǎng)絡(luò)安全技能要求 各級信息安全專員應(yīng)該掌握的網(wǎng)絡(luò)安全技能參見以下表3： 表3：各級信息安全專員應(yīng)該掌握的網(wǎng)絡(luò)安全技能 8能力框架 9評價方法 9.1評價方法概述 9.2理論知識考試 9.3專業(yè)技能考核 9.4管理能力素質(zhì)測評 11評估機構(gòu)和評定機構(gòu) 11.1評估機構(gòu) 11.1.1評估機構(gòu)職能 11.1.2評估機構(gòu)申請標準 11.2評定機構(gòu) 參考文獻 18本文件按照GB/T1.1-2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件主要參考中共中央辦公廳國務(wù)院辦公廳《關(guān)于分類推進人才評價機制改革的指導(dǎo)意見》中明確提出的健全以市場和出資人認可為重要標準的組織經(jīng)營管理人才評價體系，在國標GB/T42446-2023《信息安全技術(shù)網(wǎng)絡(luò)安全從業(yè)人員能力基本要求》基礎(chǔ)上，面對企業(yè)的信息安全及數(shù)據(jù)安全的從業(yè)人員或即將上崗的信息安全從業(yè)人員，圍繞工作者的工作學(xué)識、工作經(jīng)驗、工作技能、安全認證與評估、基礎(chǔ)知識、安全事件處置等方面展開全方位的工作評定，目標是提升人員能力、提升企業(yè)或組織經(jīng)營能力、實現(xiàn)信息安全賦能企業(yè)的戰(zhàn)略目標，制定了相關(guān)評估細則和要求，最大程度的滿足企業(yè)對數(shù)字安全需求的價值實現(xiàn)及安全的保障企業(yè)數(shù)字化系統(tǒng)持續(xù)服務(wù)目標。面向信息安全方向?qū)I(yè)專職人才的培養(yǎng)目標，建立社會化的高端網(wǎng)絡(luò)安全人才評價制度,發(fā)揮市場、社會等多元評價主體作用，突出對個人專業(yè)能力，個人管理能力，企業(yè)經(jīng)營業(yè)績和綜合素質(zhì)的評價和考核，積極培育發(fā)展各級信息安全人才評價社會組織和專業(yè)機構(gòu)，逐步有序承接政府轉(zhuǎn)移的人才評價職能，建立信息安全人才評價機構(gòu)綜合評估、動態(tài)調(diào)整機制的相關(guān)政策而制定的人才評價標準規(guī)范。本文件由武漢市工業(yè)信息化中心指導(dǎo)，由武漢乾躍信息技術(shù)有限公司牽頭起草。本文件由武漢企業(yè)信息化促進會和武漢市網(wǎng)絡(luò)安全協(xié)會提出并歸口。本文件起草單位（排名不分先后）：湖北省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗院、武漢大學(xué)國家網(wǎng)絡(luò)安全學(xué)院、武漢工程大學(xué)計算機科學(xué)與工程學(xué)院、武漢職業(yè)技術(shù)學(xué)院信創(chuàng)學(xué)院、武昌船舶重工集團有限公司、北京賽昇科技有限公司湖北分公司、長飛光纖光纜股份有限公司、武漢城市數(shù)字科技有限公司、武漢中科通達高新技術(shù)股份有限公司、湖北東貝機電集團股份有限公司、武漢烽火信息集成技術(shù)有限公司、深信服科技股份有限公司、武漢安恒信息科技有限公司、武漢觀安信息技術(shù)有限公司、武漢鴻源信息化發(fā)展有限公司、武漢青牛智能科技有限公司、武漢華工正源光子技術(shù)有限公司、武漢創(chuàng)信博達信息技術(shù)有限公司、湖北星野科技發(fā)展有限公司、北京網(wǎng)御星云信息技術(shù)有限公司、湖北數(shù)智安信科技有限公司。本文件主要起草人（排名不分先后）：劉浩、胡颲、劉悅恒、何德彪、吳靜、徐文霞、徐銀霞、鄧小飛、馮希胤、丁志鵬、胡成國、戴維嬌、徐亞軍、白玉東、梅蕊、王超、商哲旻、王開學(xué)、盛智標、朱博、羅倫文、陳燁、何雙江、邱秋鵬、彭建軍、童文茂、馮穎瓊、周利斌、上官含章、李春、施興海、楊澤淵、邵峰、劉澤洋、王冰、趙德寶、路炳華、張淑英、江玉至、龔臣、徐煦、喬奇、李媛。1信息安全專員能力水平評價規(guī)范本文件規(guī)定了信息安全專員的崗位定義、職業(yè)水平等級和信用等級、申報條件、申報流程和認定要求。本文件適用于信息安全專員類人才的職業(yè)水平等級和信用等級評價、鑒定、管理、職業(yè)培訓(xùn)等。本文件中所述信息安全包含但不限于網(wǎng)絡(luò)安全、數(shù)據(jù)安全、工業(yè)互聯(lián)網(wǎng)安全、智能網(wǎng)聯(lián)汽車安全、云安全等內(nèi)容。其中工業(yè)互聯(lián)網(wǎng)安全可以細分為設(shè)備安全、控制安全和應(yīng)用安全等專業(yè)性內(nèi)容，對應(yīng)的人員崗位為網(wǎng)絡(luò)安全官、數(shù)據(jù)安全官、應(yīng)用安全官；設(shè)備安全是指智能傳感器、工業(yè)機器人、智能儀表、智能產(chǎn)品等安全；控制安全是指SCADA（SupervisoryControlAndDataAcquisition，監(jiān)視控制與數(shù)據(jù)采集系統(tǒng)）、DCS（DistributedControlSystem，分布式控制系統(tǒng)）/FCS（FieldBusControlSystem），現(xiàn)場總線控制系統(tǒng)）、PLC（ProgrammableLogicController，可編程序邏輯控制器）、HDMI（HighDefinitionMultimediaInterface，高清多媒體接口）等安全；應(yīng)用安全是指CAx（CAD、CAM、CAE、CAPP、CIM、CIMS、CAS、CAT、CAI等各項技術(shù)之綜合叫法）、PLM（ProductLifecycleManagement，產(chǎn)品生命周期管理）、ERP（EnterpriseResourcePlanning,企業(yè)資源計劃）、MES（ManufacturingExecutionSystem，制造執(zhí)行系統(tǒng)）、CRM（CustomerRelationshipManagement，客戶關(guān)系管理系統(tǒng)）、SCM（SupplyChainManagement，供應(yīng)鏈管理系統(tǒng)）、BI（BusinessIntelligence，商業(yè)智能）等應(yīng)用系統(tǒng)安全。本文件中所述信息中包含的法律法規(guī)及相關(guān)指導(dǎo)文件主要參考以下內(nèi)容：《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《保密法》、《密碼法》、《個人信息保護法》、《網(wǎng)絡(luò)安全等級保護條例》、《國家網(wǎng)絡(luò)安全應(yīng)急預(yù)案》、《黨委（黨組）網(wǎng)絡(luò)安全工作責任制實施辦法》。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069—2022信息安全技術(shù)術(shù)語GB/T42446—2023信息安全技術(shù)網(wǎng)絡(luò)安全從業(yè)人員能力基本要求3術(shù)語和定義GB/T25069—2022界定的以及下列術(shù)語和定義適用于本文件。3.1網(wǎng)絡(luò)空間安全CyberspaceSecurity是網(wǎng)絡(luò)空間作為信息環(huán)境中一個整體域的安全性。網(wǎng)絡(luò)空間安全本質(zhì)上指在網(wǎng)絡(luò)空間框架下的信息安全，完整定義是“所有類型的計算機系統(tǒng)和計算機網(wǎng)絡(luò)環(huán)境、物理環(huán)境及相關(guān)人的安全”。23.2數(shù)據(jù)安全DataSecurity是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。3.3安全從業(yè)人員SecurityWorkforce從事安全工作，承擔相應(yīng)安全職責，并具有相應(yīng)安全知識和技能的人員。[來源：GB/T42446-2023，3.1，有修改]3.4信息安全專員InformationSecuritySpecialist在企業(yè)中負責企業(yè)的信息安全管理或信息安全防范措施的工作人員，可以是信息安全工程師、信息安全運維人員、信息安全管理者。能配合企業(yè)信息官完成相關(guān)的信息安全防護工作。本標準描述的信息安全專員，主要以技術(shù)為主，管理為輔，落實企業(yè)的信息安全防護措施。3.5首席安全官Chiefsecurityofficer（CSO）負責企業(yè)信息安全運行狀態(tài)，保障企業(yè)的業(yè)務(wù)連續(xù)性，實施企業(yè)經(jīng)營信息安全合規(guī)性和風險管理的目標。首席安全官崗位包含但不限于高級安全管理員、信息安全管理者、高層信息安全管理執(zhí)行官。主要以管理為主，輔助技術(shù)實現(xiàn)和運營管理，施展組織及協(xié)調(diào)能力，理解企業(yè)的信息安全業(yè)務(wù)，保障企業(yè)的業(yè)務(wù)連續(xù)性。3.6智能網(wǎng)聯(lián)汽車ConnectedandAutomatedMobility(CAM)是搭載先進的車載傳感器、控制器、執(zhí)行器等裝置，并融合現(xiàn)代通信與網(wǎng)絡(luò)技術(shù)，實現(xiàn)車與車、路、人、云端等智能信息交換、共享，具備復(fù)雜環(huán)境感知、智能決策、協(xié)同控制等控制，可實現(xiàn)“安全、高效、舒適、節(jié)能”行駛的新一代汽車。[來源：工業(yè)和信息化部關(guān)于加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知（工信部網(wǎng)安{2021}134號）]3.7工業(yè)互聯(lián)網(wǎng)IndustrialInternet是新一代信息通信技術(shù)與制造業(yè)深度融合的關(guān)鍵基礎(chǔ)設(shè)施、新型應(yīng)用模式和全新產(chǎn)業(yè)生態(tài)，通過人、機、物的全面互聯(lián)，構(gòu)建起全要素、全產(chǎn)業(yè)鏈、全價值鏈的全面連接、數(shù)據(jù)驅(qū)動的工業(yè)生產(chǎn)制造和服務(wù)體系，成為第四次工業(yè)革命的重要基石。[來源：工業(yè)互聯(lián)網(wǎng)綜合標準化體系建設(shè)指南（2021版）]3.8知識Knowledge通過經(jīng)驗或教育獲取的事實、信息、真理、原理或者領(lǐng)悟。[來源：GB/T42446-2023，3.2]33.9技能Skill通過教育、培訓(xùn)、經(jīng)驗或其他方式完成任務(wù)的一種能力。[來源：GB/T42446-2023，3.3]3.10能力Competence綜合運用知識和技能達到預(yù)期目的的本領(lǐng)。[來源：GB/T42446-2023，3.1]4信息安全專員職責和特征4.1信息安全專員職責信息安全專員需要在國家規(guī)定的網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)的范圍內(nèi)對整個企業(yè)的安全運行狀態(tài)負責，既包括物理安全又包括數(shù)字安全（包含網(wǎng)絡(luò)安全、數(shù)據(jù)安全、工業(yè)控制系統(tǒng)信息網(wǎng)絡(luò)安全、工業(yè)互聯(lián)網(wǎng)安全、智能網(wǎng)聯(lián)汽車安全、云安全）。信息安全專員具體職責包含但不限于以下內(nèi)容：a）負責監(jiān)控、協(xié)調(diào)企業(yè)內(nèi)部的信息安全工作，包括信息技術(shù)、人力資源、通信、數(shù)據(jù)資產(chǎn)、設(shè)備管理、應(yīng)用安全管理、控制安全管理以及其他組織；b）確定保護目標和保護制度與企業(yè)的戰(zhàn)略計劃保持一致，制定及執(zhí)行企業(yè)的信息安全策略、信息安全標準、指導(dǎo)方針和執(zhí)行程序，以保證持續(xù)解決信息安全問題；c）需要經(jīng)常舉辦或參加相關(guān)領(lǐng)域的活動，如參與和業(yè)務(wù)連續(xù)性、損失預(yù)防、詐騙預(yù)防和保護隱私等相關(guān)議題的活動，保持對新興技術(shù)的學(xué)習(xí)和更新能力；d）負責供應(yīng)鏈安全，監(jiān)控和跟蹤供應(yīng)鏈的全過程安全，保護企業(yè)資產(chǎn)、知識產(chǎn)權(quán)和計算機系統(tǒng)安全；e）信息保護職責包括：完善網(wǎng)絡(luò)安全結(jié)構(gòu)，監(jiān)控網(wǎng)絡(luò)訪問，跟蹤政策變化，及時為企業(yè)普及更新后的政策要點，組織企業(yè)員工參加信息安全相關(guān)政策的培訓(xùn)，提升企業(yè)全員的網(wǎng)絡(luò)安全意識等；f）執(zhí)行全面監(jiān)控信息安全事件響應(yīng)計劃，及時應(yīng)急響應(yīng)并解決企業(yè)信息安全事件；g）安全審計：監(jiān)測、記錄系統(tǒng)運行狀態(tài)、日常操作、故障維護、遠程運維等，并留存相關(guān)日志；h）制定并執(zhí)行全面的風險管理策略，并確保策略的執(zhí)行，全面監(jiān)控產(chǎn)品的內(nèi)部使用，并且確保工程小組與操作小組保持溝通，以便在產(chǎn)品出現(xiàn)問題時及時發(fā)現(xiàn)并解決問題，進一步完善災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性策略，通過每一個業(yè)務(wù)單元的共同努力，確保企業(yè)擁有一個整合性良好的安全計劃和策略。針對以上信息安全專員職責范圍，根據(jù)不同的行業(yè)及企業(yè)實際情況，對初級、中級、高級信息專員職責，從工作關(guān)注點、組織機構(gòu)、匯報對象三方面進行闡述，具體工作職責包括但不限于以下描述。4.1.1初級信息安全專員承擔企業(yè)內(nèi)部主機安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、云基礎(chǔ)設(shè)施的日常安全巡檢，安全維護和日常運營，保障企業(yè)內(nèi)部的業(yè)務(wù)系統(tǒng)能連續(xù)性運行；能組織及協(xié)調(diào)供應(yīng)商的信息安全人員完成安全策略配置和安全架構(gòu)工作；能及時發(fā)現(xiàn)信息安全事件并及時上報信息化主管，對企業(yè)信息安全規(guī)劃提出合理化4建議；完成日常信息化系統(tǒng)中涉及的設(shè)備、系統(tǒng)、應(yīng)用等安全日常運維工作。無需成立專門的信息安全部門或小組，工作匯報對象為信息安全中心主管和分管領(lǐng)導(dǎo)。整體工作以執(zhí)行為主，不參與規(guī)劃、設(shè)計、監(jiān)督、檢查等工作。4.1.2中級信息安全專員承擔企業(yè)的日常信息安全運維工作，保障企業(yè)的信息化系統(tǒng)及業(yè)務(wù)系統(tǒng)持續(xù)運行；發(fā)現(xiàn)信息安全事件并能及時響應(yīng)和處置；能對企業(yè)的信息化系統(tǒng)及支撐環(huán)境做出一定的信息安全規(guī)劃（圍繞技術(shù)、管理、運營），提出滿足企業(yè)需求的信息安全管理體系和信息安全策略，構(gòu)建企業(yè)的信息安全防護體系；能組織或協(xié)調(diào)人員完成信息安全態(tài)勢監(jiān)測、漏洞管理、安全加固、安全評估、安全意識培訓(xùn)與教育、代碼審查、滲透測試、應(yīng)急攻防演練等安全活動，并能指導(dǎo)部門其他人員申請初級信息安全專員或?qū)σ呀?jīng)是信息安全專員的人員提供工作內(nèi)容和能力上的指導(dǎo)?？梢越M建信息安全小組或部門，匯報對象為信息安全中心負責人。整體工作以執(zhí)行為主，參與信息安全需求設(shè)計、信息安全實現(xiàn)、信息安全運營等工作。4.1.3高級信息安全專員配合企業(yè)的經(jīng)營戰(zhàn)略，提出信息和網(wǎng)絡(luò)安全的頂層設(shè)計，構(gòu)建企業(yè)的網(wǎng)絡(luò)和數(shù)據(jù)安全架構(gòu)，形成一套行之有效的管理體系、技術(shù)體系、運營模式，保障企業(yè)的信息化系統(tǒng)零安全事故目標；建立信息安全部門，帶領(lǐng)團隊和成員完成企業(yè)的戰(zhàn)略經(jīng)營目標，每年的信息安全設(shè)備及產(chǎn)品、軟件、服務(wù)、人員的財務(wù)支出小于信息安全創(chuàng)造的價值；完成企業(yè)的信息安全教育與培訓(xùn)，提升企業(yè)員工的信息安全技能和信息安全事件應(yīng)急能力；規(guī)劃中、建設(shè)中、已運行的系統(tǒng)需滿足國家及行業(yè)監(jiān)管部門的合規(guī)風險要求，及時制定應(yīng)對策略。組建信息安全部門設(shè)定專人專崗，與信息中心的CIO、企業(yè)的CTO等管理者并列，一起聽從企業(yè)CEO管理工作，落實企業(yè)的安全需求、安全設(shè)計與規(guī)劃、安全建設(shè)、安全運營、安全全生命周管理；從管理、技術(shù)、運營等三方面構(gòu)建企業(yè)的信息安全防護體系，制定企業(yè)的信息安全戰(zhàn)略目標，組織和協(xié)調(diào)人員保障業(yè)務(wù)連續(xù)性的目標，信息安全風險控制在最小范圍。4.2信息安全專員職業(yè)特質(zhì)從初級信息安全專員到高級信息安全專員，需滿足以下職業(yè)特質(zhì)：4.2.1具有良好的職業(yè)道德維護國家、社會和公眾的信息安全，保護基礎(chǔ)設(shè)施。行為得體、誠實、公正、負責和守法，為委托人提供盡職的、合格的服務(wù)，持續(xù)發(fā)展自身，維護榮譽。4.2.2具有較強的信息安全專業(yè)素養(yǎng)熟悉ISO27000/27001安全體系和標準，熟悉《網(wǎng)絡(luò)安全法》《密碼法》《民法典》《數(shù)據(jù)安全法》《個人信息保護法》等網(wǎng)絡(luò)安全相關(guān)的國家級法律法規(guī)。54.2.3具有一定的安全風險管理素質(zhì)熟悉《GB/T20984-2022信息安全技術(shù)信息安全風險評估方法》《GB/T20984-2007信息安全技術(shù)信息安全風險評估規(guī)范》《GB/T31509-2015信息安全技術(shù)信息安全風險評估實施指南》《GB/T36466-2018信息安全技術(shù)工業(yè)控制系統(tǒng)風險評估實施指南》等國家標準，并能靈活應(yīng)用于實踐工作。4.2.4具有一定的信息安全專業(yè)知識和技術(shù)技能理解并熟悉網(wǎng)絡(luò)安全基礎(chǔ)知識（OSI七層模型、TCP/IP協(xié)議及安全漏洞、計算機主機安全、數(shù)據(jù)庫安全、惡意程序、計算機病毒、日志審計、web安全等）、密碼學(xué)知識、安全滲透測試知識、漏洞掃描技術(shù)、防火墻技術(shù)、入侵檢測及防御技術(shù)、數(shù)據(jù)防泄漏技術(shù)、流量檢測與分析技術(shù)、安全態(tài)勢感知技術(shù)。4.2.5具有一定的信息安全運營能力結(jié)合企業(yè)業(yè)務(wù)及發(fā)展要求，應(yīng)用安全技術(shù)和管理措施，保障企業(yè)的日常信息安全運營，建立信息安全運營管理體系、技術(shù)實現(xiàn)流程及制度、運營管理制度和流程，圍繞數(shù)字安全展開日常工作，保障企業(yè)設(shè)備、系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)通信環(huán)境、業(yè)務(wù)的正常運轉(zhuǎn)，提升企業(yè)的服務(wù)能力。4.2.6具有良好的身心素質(zhì)有健康的身體和職業(yè)心態(tài)，心理承受與調(diào)適能力較強，抗壓能力強、適應(yīng)高強度工作。4.3職業(yè)水平等級和信用等級信息安全專員根據(jù)水平評價劃分等級為：初級信息安全專員、中級信息安全專員、高級信息安全專員三個等級。其中，初級信息安全專員為入門級或預(yù)備級的信息安全人員，需具備基礎(chǔ)信息安全知識和基礎(chǔ)信息安全技能，滿足企業(yè)正常運營的基本信息安全要求。職業(yè)信用等級分為：C、B、A。針對每一等級信息安全專員，均可申請C、B、A信用等級，其中：C等級為基本信用等級，但C級的信用風險較高；B級是在滿足基本信用等級基礎(chǔ)上，在職員工持有信息安全領(lǐng)域國家級證書數(shù)量不低于2份，且持有時間不低于2年，持證證書的級別、企業(yè)的信息安全能力獲得行業(yè)認可、具有行業(yè)領(lǐng)導(dǎo)力、信息安全事故年發(fā)生率低于30%、信息安全事件損失低于100萬元，B級信用風險較低；A級是滿足基本等級基礎(chǔ)上，在職員工持有信息安全領(lǐng)域國家級證書數(shù)量多于2份，且持有時間多于2年，持證證書級別均為高級、企業(yè)信息安全能力獲得區(qū)域或國家認可、具有區(qū)域、省級或國家級領(lǐng)導(dǎo)力、信息安全事故發(fā)生率低于5%、信息安全事件損失低于50萬元、A級信用等級風險最小。初次申報信息安全專員資質(zhì)認證注冊證書者無職業(yè)信用等級，獲取信息安全專員等級資質(zhì)認證證書兩年以上方可申報職業(yè)信用等級；或申請者能提供從職業(yè)開始完整履約周期忠于組織，信守合同，依法納稅，取信于客戶和員工，講求信譽，兌現(xiàn)承諾，維護組織和消費者利益，履約期間企業(yè)未出現(xiàn)重大信息安全事故的有關(guān)證據(jù)，并由任職企業(yè)出具相應(yīng)的證明材料，可以直接申請職業(yè)信用等級。對6于各個級別信息安全專員，信任等級申請從C級開始。5能力要求信息安全專員均需具備良好的職業(yè)道德和職業(yè)素養(yǎng)，其能力按照三個等級（分別為初級信息安全專員、中級信息安全專員、高級信息安全專員）有不同的要求。面對不同級別的申請人員，持有證書可證明申請人員擁有信息安全基礎(chǔ)知識，工作經(jīng)驗可證明申請人員具備一定專業(yè)技能，基礎(chǔ)知識和專業(yè)技能是評定申請者的基本考核指標。各個等級的具體能力要求描述參見以下表1：））度降低企業(yè)因為信息安全事信息安全技能要達到信息安7特別聲明：a）申報人員需是具備完全行為能力的自然人。b）申報人員須持有信息安全證書，且必須是在國家頒發(fā)許可的有效期內(nèi)；持有的證書必須是信息安全范疇或者與其相關(guān)的信息安全職業(yè)技能認證證書。c）企業(yè)是中國境內(nèi)注冊、經(jīng)營正常、無不良誠信記錄，均可以支持員工申報。d）申報者獲得評定機構(gòu)審批后由評定機構(gòu)頒發(fā)信息安全專員證書，證書有效期三年，持證期間需要到評定機構(gòu)持續(xù)學(xué)習(xí)或分享相關(guān)知識以積累學(xué)分（參加技術(shù)沙龍活動或線上培訓(xùn)學(xué)習(xí)或分享個人經(jīng)驗），總學(xué)分60分；持證期間完成學(xué)分后繳納一定的評定費用，可續(xù)證或升級證書。e）初級信息安全專員升級到中級信息安全專員和高級信息安全專員，必須參加評定機構(gòu)的培訓(xùn)認證，獲得認證后，自動升級為對應(yīng)的級別。f）綜合考評，根據(jù)申報者“學(xué)歷”、“工作經(jīng)驗”、“持有證書”、“工作崗位”、“企業(yè)安全人力需求”、“時間”等方面，按照不同的比率由評定機構(gòu)進行最終評價并頒發(fā)證書，初級信息安全專員按照基礎(chǔ)知識80%、專業(yè)技能20%；中級信息安全專員按照基礎(chǔ)知識60%、專業(yè)技能40%；高級信息安全專員按照基礎(chǔ)知識30%、專業(yè)技能70%；同等條件下，每具備一項可見顯示性證書材料，加分并優(yōu)先選擇；所有條件具備則直接頒發(fā)相對應(yīng)的等級證書；其中，“時間”是特指持有證書或工作經(jīng)驗的一個顯示性證明；g）申報人員如持有國內(nèi)知名網(wǎng)絡(luò)安全廠商頒發(fā)的相關(guān)技能證書，也可直接申請相應(yīng)等級的信息安全專員，同樣，獲得信息安全專員證書的申報人員也將獲得相應(yīng)安全廠商的認可，具體符合條件的網(wǎng)絡(luò)安全廠商名單由評定機構(gòu)另行公布。h）獲得初級、高級、中級等證書的持有者，需要在持證時間完成一定的學(xué)時學(xué)分（通過在線學(xué)習(xí)、線下參加活動、技術(shù)沙龍、分享個人經(jīng)驗或知識等方式積累學(xué)分），然后在證書三年期滿前1-3個月申報換證。初級持證人員在獲得證書滿一年后，在完成了學(xué)時學(xué)分的基礎(chǔ)上，可以申請升級到中級證書；中級持證人員在獲得證書滿兩年后，在完成了學(xué)時學(xué)分的基礎(chǔ)上，可以申請升級到高級證書，在升級到高級證書時，需要滿足高級基本要求，還需做出書面的應(yīng)答考核（比如書面、論文、工作業(yè)績、重大獎項、重大信息安全事件的處理能力等等），具體細則需要遵循評定機構(gòu)的要求。86.1申報初級信息安全專員個人應(yīng)該具備的條件--具有高中學(xué)歷（在企業(yè)信息安全崗位工作5年以上）或大專以上且有意從事信息安全領(lǐng)域工作的應(yīng)屆畢業(yè)生可直接申報，并按照正常評價流程進行筆試和面試。--若申請人員為大專以上應(yīng)屆畢業(yè)生且持有CISAW預(yù)備級或NISP證書等信息安全技能型的職業(yè)認證證書（證書須在國家頒發(fā)許可的有效期內(nèi)），可免去筆試環(huán)節(jié)，通過面試即可獲得初級信息安全專員證書；--若申請人員在組織中的信息化職能部門或信息安全崗位工作經(jīng)歷滿1年，具有一定的信息安全工作經(jīng)驗，具備CISP-CISE（工程師）、CISAW（預(yù)備級或初級）、數(shù)據(jù)安全工程師（初級）、NISP等證書中的一項以上，或者在沒有獲得任何證書的情況下，所在企業(yè)愿意提供詳細的工作情況證明（包括但不限于技術(shù)能力、工作成績等），可免去筆試環(huán)節(jié)，通過面試即可獲得初級信息安全專員證書；6.2申報中級信息安全專員個人應(yīng)該具備的條件--在組織中從事信息安全工作滿3年或行業(yè)信息化職能部門工作滿2年；--持有CISP系列證書，CISP-CISO（管理方向）、CISAW（專業(yè)級）、數(shù)據(jù)安全工程師（中級）等證書中的一項；或持有國內(nèi)網(wǎng)絡(luò)安全廠商自行推出的網(wǎng)絡(luò)安全技能類的證書達到2個以上。（符合條件的網(wǎng)絡(luò)安全廠商名單將由評定機構(gòu)另行公布）--具有高職、專科及以上學(xué)歷，在組織中擔任網(wǎng)絡(luò)安全職能部門主管、副主管/經(jīng)理級管理工作者，在信息化職能部門或信息安全崗位工作相關(guān)經(jīng)歷滿2年。以上三項中具備2項或以上，就可以申報中級信息安全專員。6.3申報高級信息安全專員個人應(yīng)該具備的條件--需持有中級信息安全專員證書；--在組織中從事信息安全工作經(jīng)驗滿5年或行業(yè)信息化工作5年或以上；--持有CISP-CISO（管理方向）、CISAW（高級專業(yè)級）、數(shù)據(jù)安全工程師等證書一項或以上；或持有國內(nèi)網(wǎng)絡(luò)安全廠商自行推出的網(wǎng)絡(luò)安全技能類的證書達到3個以上。（符合條件的網(wǎng)絡(luò)安全廠商名單將由評定機構(gòu)另行公布）--獲得過國家級或省部級網(wǎng)絡(luò)安全相關(guān)的獎勵（發(fā)明專利、科研項目、發(fā)表高水平期刊、國際會議、參與組織團標或國標等）任何一項，在組織中擔任網(wǎng)絡(luò)安全職能部門主管、副主管/經(jīng)理級管理工作者，在信息化職能部門或信息安全崗位工作相關(guān)經(jīng)歷滿5年。以上四項中，具備任意三項或以上，就可以申請高級信息安全專員。7認證要求7.1品德要求a）遵紀守法，保密合規(guī)。b）廉潔自律，不謀私利。c）牢記職責，愛崗敬業(yè)。d）客觀嚴謹，公平公正。e）流程規(guī)范，操作安全。f）認真負責，團結(jié)協(xié)作。g）挑戰(zhàn)自我，勇于創(chuàng)新。7.2知識要求7.2.1通用知識要求信息安全專員應(yīng)該具備GB/T42446-2023的5.1規(guī)定的通用知識要求。7.2.2各級信息安全專員網(wǎng)絡(luò)安全知識要求各級信息安全專員應(yīng)該掌握的網(wǎng)絡(luò)安全知識參見以下表2：計算機基礎(chǔ)知識、網(wǎng)絡(luò)安全基礎(chǔ)知識、密碼學(xué)基礎(chǔ)知識、TCP/IP協(xié)議、數(shù)據(jù)庫基礎(chǔ)知識、OSI七層模熟悉網(wǎng)絡(luò)安全設(shè)備工作原理及操作使用，網(wǎng)絡(luò)安全設(shè)備包含但不限于防火墻、入侵檢測、上網(wǎng)行為、信息安全運維管理，對設(shè)備、系統(tǒng)、賬戶、業(yè)務(wù)等進行信息安全保障，滿足企業(yè)的信息系統(tǒng)的正實施和落實信息安全技術(shù)實現(xiàn)，應(yīng)用采購的技術(shù)、產(chǎn)品、服務(wù)等解決企業(yè)的信息安全問題和日常業(yè)務(wù)信息安全管理措施，配合企業(yè)信息安全主管，完成簡單的信息安全標準、體系、流程、制度、文應(yīng)急管理，能對企業(yè)發(fā)生的信息安全事件及時應(yīng)對漏洞管理，發(fā)現(xiàn)漏洞、識別漏洞、驗證漏洞、升級理解網(wǎng)絡(luò)產(chǎn)品及信息安全設(shè)備功能原理、認知網(wǎng)絡(luò)環(huán)境中信息安全防護對象和范圍；網(wǎng)絡(luò)安全產(chǎn)品特指交換機、路由器、光傳輸設(shè)備、負載均衡、災(zāi)備等設(shè)備；安全設(shè)備特指防火墻、入統(tǒng)、蜜罐、密碼管理平臺等網(wǎng)絡(luò)安全等級保護中提到的20余款信息安全產(chǎn)品；制定信息安全意識教育和培訓(xùn)計劃、跟蹤和落實教育培訓(xùn)管理、評估信息安全教育與培訓(xùn)、人員認證具備初級信息安全專員知識；熟悉信息安全保障框數(shù)據(jù)相關(guān)的法律法規(guī)及政策標準指南；數(shù)據(jù)安全管理和技術(shù)；數(shù)據(jù)資產(chǎn)管理；數(shù)據(jù)風險評估；個人信息保護管理和技術(shù)；企業(yè)級數(shù)據(jù)安全防護策略和運數(shù)據(jù)分級分類、數(shù)據(jù)風險評估等保障企業(yè)持續(xù)經(jīng)營信息安全事件分析；熟悉軟件開發(fā)流程、應(yīng)用DevSecOps模型監(jiān)測和檢查安全管理、安全編碼規(guī)范管理、安全過程監(jiān)測、安全發(fā)布驗證管理和技術(shù)、安全評估（滲透測試、攻防驗證、上線前評估）、網(wǎng)絡(luò)攻防技術(shù)原理和實日志管理、事件管理、流量監(jiān)測、網(wǎng)絡(luò)安全分析方國際及國產(chǎn)密碼體系、密碼算法、協(xié)議、以及密碼技術(shù)工作原理和技術(shù)手段、密碼合規(guī)管理的風險管理解無邊界的云安全管理知識和應(yīng)用場景、能實施云環(huán)境的安全防護及應(yīng)用場景保護、規(guī)避云安全合主機安全、通信協(xié)議安全、控制系統(tǒng)安全、供應(yīng)鏈安全管理、技術(shù)管理、運營管理、安全戰(zhàn)略管理、安全驅(qū)動業(yè)務(wù)、項目管理的安全運營體系和標準、信息安全業(yè)務(wù)合規(guī)、風險管理、信息安全意識教育和培訓(xùn)管理、信息安全頂層設(shè)計、信息安全建設(shè)管理、優(yōu)化和完善信息安全體系及流程、優(yōu)化信息安全作業(yè)指導(dǎo)、應(yīng)急管理、安全評估、安全業(yè)務(wù)和技日志分析、流量分析、業(yè)務(wù)異常分析、大數(shù)據(jù)關(guān)聯(lián)性和一致性分析、取證調(diào)查方法和技術(shù)手段、取證零信任安全、人工智能、區(qū)塊鏈、大數(shù)據(jù)、隱私安全和個人信息保護、云安全、數(shù)字安全、視頻安全熟悉和了解我國的硬件、軟件、數(shù)據(jù)庫、中間件、云平臺、鴻蒙等信創(chuàng)設(shè)備及應(yīng)用系統(tǒng)的安全；如何在實際應(yīng)用環(huán)境中既要保障信創(chuàng)系統(tǒng)的正常運行又7.3技能要求7.3.1通用技能要求信息安全專員應(yīng)該具備GB/T42446-2023的5.2規(guī)定的通用技能要求。7.3.2各級信息安全專員網(wǎng)絡(luò)安全技能要求各級信息安全專員應(yīng)該掌握的網(wǎng)絡(luò)安全技能參見以下表3：完成企業(yè)內(nèi)的網(wǎng)絡(luò)安全設(shè)備及系統(tǒng)的安全維護、安全支撐、能對網(wǎng)絡(luò)安全設(shè)備進行操作并設(shè)定信息安全策略；信息安全使用；賬戶安全管理、漏洞管理、應(yīng)急管理、信息安全事件管理、安全專員的技能）能識別網(wǎng)絡(luò)威脅和信息安全事件進行跟蹤響應(yīng)和處置；能編能完成網(wǎng)絡(luò)安全事件發(fā)現(xiàn)、研判和信息報送；能利用常見信信息安全運營能實施企業(yè)業(yè)務(wù)運營保障的考核指標，構(gòu)建完KPI考量值，能定期進行信息安全運行評估；能組織人員或第三方人員對網(wǎng)絡(luò)及數(shù)據(jù)系統(tǒng)進行滲透性測信息安全建設(shè)能識別企業(yè)中信息安全保護對象并分析其面臨的安全風險能能帶領(lǐng)團隊完成組織級數(shù)據(jù)的全生命周期管理，構(gòu)建企業(yè)級的數(shù)據(jù)安全成熟度模型，基于模型完善和優(yōu)化安全能力、能能識別并評估可能危及組織和/或合作伙伴利益的網(wǎng)絡(luò)威脅和信息安全事件；能制定安全開發(fā)管理規(guī)范、軟件開發(fā)安全編碼制度、能管理信息安全評估能建立一套信息安全風險評估系統(tǒng)、量化指標、風險值、風控制系統(tǒng)的安全漏洞及缺陷，能提出安全防護措施（技術(shù)、），信息安全風險評估能對組織內(nèi)、組織外的系統(tǒng)進行安全風險評估，提升信息安能識別資產(chǎn)、威脅、脆弱性和已有的信息安全控制措施；能使用或指導(dǎo)同事使用各類評估相關(guān)工具和方法，分析并評價信息安全風險；信息安全審計能結(jié)合標準及規(guī)范構(gòu)建企業(yè)級的集中審計平臺，匯聚數(shù)據(jù)進信息安全認證能配合第三方機構(gòu)完成企業(yè)的安全認證和評估，而不導(dǎo)致企能組織專家及服務(wù)廠商進行自我安全評估，為第三方機構(gòu)認信息安全創(chuàng)新能結(jié)合組織實際情況開展信息安全技術(shù)、管理措施、運營機信息安全教育與培訓(xùn)信息安全咨詢能對企業(yè)戰(zhàn)略發(fā)展，從信息安全角度提出合規(guī)、風險、業(yè)務(wù)能結(jié)合政策和技術(shù)趨勢，為組織構(gòu)建動態(tài)的信息安全防護體能對業(yè)務(wù)部門的信息安全需求提供合理的應(yīng)對措施和防護解能在管理會議上，提出網(wǎng)絡(luò)通訊、數(shù)據(jù)全生命周期、終端設(shè)備、云設(shè)施、人員、制度、流程上的信息安全策略優(yōu)化和完標準、流程、制度、作業(yè)指導(dǎo)，能輔助企業(yè)在戰(zhàn)略發(fā)展層面有新突破，實施信息安全保障能力提升企業(yè)的競爭力；能通過信息安全創(chuàng)造價值，保障企業(yè)信息安全的同時讓企業(yè)具備戰(zhàn)略眼光，能應(yīng)用新技術(shù)、新模式，為企業(yè)的信息系統(tǒng)平臺提升信息安全防護能力；能對企業(yè)的數(shù)字化平臺提供全方位的安全保障、提升全員信息安全防護意識、強化平臺的持續(xù)安全穩(wěn)定運行；能定期做風險評估、人員信息安全能力考核、信息安全素養(yǎng)檢查等工作；定期進行信息安全考核和末位淘汰管理，一直保持信息能做出詳細地考核指標、量化考核、透明實施、零事故運營能不斷地融合和跨界，把業(yè)務(wù)、數(shù)據(jù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施形成一能適應(yīng)新技術(shù)和新業(yè)務(wù)模式的變革，如新漏洞的持續(xù)產(chǎn)生，AI技術(shù)的發(fā)展帶來的新的安全隱患等，基于這些變革，應(yīng)具備快速學(xué)習(xí)和響應(yīng)能力，提供及時有效的應(yīng)對策略，通過不斷學(xué)習(xí)解決新環(huán)境下的信息安全問題和信息安全需求。8能力框架a)初級信息安全專員，重點考核技術(shù)知識和基礎(chǔ)工作執(zhí)行能力。b)中級信息安全專員，重點考核技術(shù)知識、項目管理能力、合規(guī)風險管理、應(yīng)急管理、簡單的信息安全業(yè)務(wù)（等保）。c)高級信息安全專員，重點考核管理能力，通過管理技能提升企業(yè)的信息安全價值。信息安全專員能力框架參見以下圖1：能力框架結(jié)構(gòu)圖能力考核的維度，按照信息安全知識、信息安全技能、學(xué)習(xí)能力，評定不同信息安全專員的級別。能力考核維度參見以下圖2：能力考核維度9評價方法9.1評價方法概述分為理論知識考試、專業(yè)能力考核、管理能力素質(zhì)測評。9.2理論知識考試理論綜合知識考試采用閉卷筆試方式，按百分制評分，60分以上為合格。a)初級信息安全專員:以信息安全技術(shù)為主,需掌握信息安全基本知識和基本工作技能，60分合格；b)中級信息安全專員:以信息安全技術(shù)為主，輔以部分信息安全管理和信息安全運營的知識考點，60分合格；c)高級信息安全專員：以信息安全管理為主，結(jié)合“信息安全基礎(chǔ)知識+信息安全運營+信息安全管理”為內(nèi)容進行考核，通過書面答題，70分合格。9.3專業(yè)技能考核分為業(yè)績報告評估與綜合評審兩部分。a）初級信息安