DB21-T 1793.7-2023 信息技術職業(yè)技能 第7部分：信息安全

ICS35.020CCSL7021InformationTechnology—ProfessionalSkill-Part7:informationsDB21/T1793.7-2023前言 2規(guī)范性引用文件 3術語和定義 4縮略語 5要求 6職業(yè)說明 6.1職業(yè)名稱 6.2職業(yè)描述 6.3職業(yè)分類 7鑒定要求 7.1適用對象 7.2鑒定方式 8基本知識 8.1要求 8.2IT基礎知識 38.3信息安全基礎知識 8.4信息安全攻防基礎知識 8.5信息安全主流開發(fā)技術 8.6信息安全新技術基礎知識 8.7外語基礎知識 8.8其他基礎知識 9信息安全管理 9.1職業(yè)定義 9.2等級 9.3申報條件 9.4等級要求 10信息安全咨詢 10.1職業(yè)定義 10.2等級 DB21/T1793.7—2023 10.4等級要求 11信息安全監(jiān)理 11.1職業(yè)定義 11.2等級 11.4等級要求 12信息安全設計與開發(fā) 12.1職業(yè)定義 12.2等級 12.4等級要求 13信息安全測試 13.1職業(yè)定義 13.2等級 13.4等級要求 14信息安全集成 14.1職業(yè)定義 14.2等級 14.4等級要求 15信息安全運維 15.1職業(yè)定義 15.2等級 15.4等級要求 16信息安全審計 16.1職業(yè)定義 16.2等級 16.4等級要求 17信息安全培訓 DB21/T1793.7-202317.1職業(yè)定義 17.2等級 17.4等級要求 18鑒定比重 19培訓要求 DB21/T1793.7—2023前言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件是DB21/T1793《信息技術職業(yè)技能》的第7部分。DB21/T1793已經發(fā)布了以下部分：——信息技術職業(yè)技能第1部分：要求——信息技術職業(yè)技能第4部分：系統集成——信息技術職業(yè)技能第8部分：數據管理本文件由遼寧省工業(yè)和信息化廳提出并歸口。本文件起草單位：遼寧省先進裝備制造業(yè)基地建設工程中心、國網遼寧省電力有限公司電力科學研究院、遼寧職業(yè)學院、國網遼寧省電力有限公司信息通信分公司、遼寧省大數據管理中心、大連軟信咨詢服務有限公司。本文件主要起草人：姜勝海、張雪、任帥、陳劍、李博文、滕子貽、李洪濤、尹宏、劉宏。本文件發(fā)布實施后，任何單位和個人如有問題和意見建議，均可以通過來電和來函等方式進行反饋，我們將及時答復并認真處理，根據實際情況依法進行評估及復審。本文件歸口單位通訊地址：沈陽市北陵大街45-2號，聯系電話本文件起草單位通訊地址：沈陽市和平區(qū)太原北街2號綜合樓A座10層，聯系電話1DB21/T1793.7-2023信息技術職業(yè)技能第7部分：信息安全本文件規(guī)定了信息安全職業(yè)定義、分類，職業(yè)技能鑒定要求、通用知識、各職業(yè)分類的等級、申報條件和等級要求。本文件適用于信息安全相關企業(yè)及相關組織職業(yè)技能管理、鑒定、職業(yè)培訓等。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修訂單）適用于本文件。GB/T25069-2022信息安全技術術語GB/T30283-2022信息安全技術信息安全服務分類與代碼DB21/T1793.1信息技術職業(yè)技能第1部分：要求3術語和定義GB/T25069-2022和DB21/T1793.1界定的以及下列術語和定義適用于本文件。3.1信息安全informationsecurity對信息的保密性、完整性和可用性的保持。3.2信息安全服務informationsecurityservice面向組織或個人的各類信息安全需求和信息安全保障需求，由服務提供方按照服務協議所執(zhí)行的信息安全過程或任務。注1：信息安全服務通常是基于信息安全技術、產品或管理體系，通過外包的形式，由專業(yè)信息安全人員所提供的3.3網絡安全networksecurity對網絡環(huán)境下存儲、傳輸和處理的信息的保密性、完整性和可用性的保持。2DB21/T1793.7-20234縮略語下列縮略語適用于本文件。IT：信息技術(InformationTechnology)。AI：人工智能(ArtificialIntelligence)。EXP：針對漏洞編寫的可執(zhí)行代碼（Exploit）。CIO：首席信息安全官（ChiefInformationSecurityOfficer）。5要求本文件遵循DB21/T1793.1的一般原則和要求，重點描述信息安全職業(yè)技能的基本要求、業(yè)務能力、技術能力和復合能力要求等。信息安全職業(yè)技能的一般原則和要求，參照DB21/T1793.1執(zhí)行。在信息安全職業(yè)技能管理和鑒定中，應同時使用DB21/T1793.1和本文件。6職業(yè)說明6.1職業(yè)名稱信息安全。6.2職業(yè)描述信息安全職業(yè)涵蓋了許多不同的領域和職責，主要應包括：a)基于信息安全法律法規(guī)和相關信息安全技術，為組織的信息系統進行全面評估，識別潛在的安全風險，并提供相應的風險管理策略和控制建議。協助組織設計和構建安全的系統和網絡架構，確保信息資產得到適當的保護；b)利用信息安全技術，為組織提供漏洞掃描、滲透測試、代碼審查和安全運維，發(fā)現系統中的安全漏洞，并提供修復建議，保障系統或網絡安全、穩(wěn)定、可持續(xù)運行；c)基于信息安全法律法規(guī)，協助組織開展員工培訓和教育活動，提高信息安全意識，強化防范安全威脅的能力，為組織制定適合其需求和法規(guī)要求的信息安全政策、規(guī)程和最佳實踐指南。6.3職業(yè)分類信息安全職業(yè)基于信息安全技術行業(yè)的業(yè)務形態(tài)、信息安全技術發(fā)展和應用的規(guī)律進行分類，信息安全職業(yè)細分職業(yè)分類見表1。表1信息安全相關職業(yè)分類安全設計DB21/T1793.7-20237鑒定要求7.1適用對象信息安全職業(yè)技能鑒定適用于申報本職業(yè)等級鑒定及從事或準備從事本職業(yè)的人員。7.2鑒定方式應根據DB21/T1793.1中6.4要求的方式鑒定。鑒定采用百分制，成績均達到60分及以上為及格。8基本知識8.1要求信息安全職業(yè)涉及應用領域寬泛，技術體系龐雜，相關知識體系要求：a)應具備和掌握數學、密碼學和計算機基礎知識；b)應根據不同的應用領域，熟悉掌握相應領域所需知識、技術、實踐等。8.2IT基礎知識信息安全職業(yè)應具備和掌握IT基礎知識，包括：a)計算機硬件、軟件基礎知識；b)計算機網絡、操作系統基礎知識；c)軟件開發(fā)、軟件工程基礎知識；d)數據庫開發(fā)基礎知識；e)秘鑰算法、信任關系與模型；f)數據保密性、完整性、可用性和不可否認性；g)費馬定理和歐拉定理；h)項目管理、質量管理基礎知識等。8.3信息安全基礎知識應熟悉、掌握信息安全相關基礎知識，包括：a)網絡安全法、個人信息保護法和信息安全等級保護管理辦法；b)系統漏洞挖掘；c)信息安全設備；d)數據存儲、數據加密；e)信息安全工具使用等；a)流量分析和攻擊溯源；b)安全設備配置與應用；c)滲透測試方法與流程；d)操作系統和應用服務器的安全防護、安全管理等。8.4信息安全攻防基礎知識應熟悉、掌握信息安全攻防相關基礎知識，包括：4DB21/T1793.7-2023a)應用安全配置和防護；b)網絡協議安全和架構安全；c)信息收集與分析方法；d)信息安全測試與評估方法；e)惡意代碼的基本概念、基本原理、主要特征，攻擊模式，分析方法；f)編寫EXP利用系統或應用程序中的漏洞；g)防火墻、入侵檢測系統、入侵防御系統的應用和使用方法；h)操作系統安全、數據庫安全和中間件安全等。8.5信息安全主流開發(fā)技術應熟悉、掌握主流開發(fā)技術相關基礎知識，包括：a)主流編程語言；b)各類系統平臺開發(fā)技術；c)主流數據庫基礎知識、設計、開發(fā)和應用；d)主流安全工具開發(fā)框架等。8.6信息安全新技術基礎知識應了解信息安全新技術相關基礎知識，包括：a)AI技術在信息安全中的應用；b)云計算安全體系結構、技術特點和技術應用；c)大數據安全體系結構、技術特點和技術應用；d)物聯網安全體系結構、技術特點和技術應用；e)工業(yè)控制系統安全體系結構、技術特點和安全技術應用；f)區(qū)塊鏈安全體系結構、技術特點和安全技術應用；g)移動應用安全體系結構、技術特點和安全技術應用等。8.7外語基礎知識與信息安全戰(zhàn)略、規(guī)劃、技術、研發(fā)、管理等相關的專業(yè)外語。8.8其他基礎知識應熟悉、理解相關的基礎知識，包括：a)行業(yè)、相關領域知識；b)知識產權相關知識；c)勞動法相關知識；d)國家相關法律、法規(guī)等。9信息安全管理9.1職業(yè)定義基于組織的安全發(fā)展戰(zhàn)略，負責組織和監(jiān)督一個組織的信息安全戰(zhàn)略、政策和措施，確保信息資產得到適當的保護，并協助應對與信息安全相關的風險和威脅等，它是組織中一個關鍵高級管理職位。5DB21/T1793.7-20239.2等級信息安全管理設2個等級，即：職業(yè)資格7級（高級信息安全管理）和職業(yè)資格6級（信息安全管理）。9.3申報條件申報信息安全管理各等級職業(yè)資格，應符合以下條件之一：a)職業(yè)資格7級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關高級資格，并連續(xù)從事本職業(yè)相關工作5年以上；2)具有與從事本職業(yè)相關的專業(yè)領域碩士以上學歷，并連續(xù)從事本職業(yè)相關工作5年以上，獲得認可的業(yè)務能力；3)取得信息安全管理職業(yè)資格2年以上；4)曾主持管理區(qū)域性重大項目課題，且在國內具有重大影響和知名度，并獲得認可。b)職業(yè)資格6級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關高級資格，并連續(xù)從事本職業(yè)工作3年以上；2)具有與從事本職業(yè)相關的專業(yè)領域碩士以上學歷，并連續(xù)從事本職工作3年以上，并獲得認可的業(yè)務能力；3)取得其它與本職業(yè)相關的職業(yè)資格6級及以上2年以上；4)曾參與管理區(qū)域性重大項目課題，且在省內具有重大影響和知名度，并獲得認可。c)職業(yè)資格5級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關中級資格，并連續(xù)從事本職業(yè)工作3年以上；2)具有與從事本職業(yè)相關的專業(yè)領域本科以上學歷，并連續(xù)從事本職工作3年以上，并獲得認可的業(yè)務能力；3)取得其它與本職業(yè)相關的職業(yè)資格5級及以上2年以上；4)曾主持管理單位內重大項目課題，在地區(qū)內具有一定影響和知名度，并獲得認可。d)職業(yè)資格4級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關中級資格，并連續(xù)從事本職業(yè)工作1年以上；2)具有與從事本職業(yè)相關的專業(yè)領域本科以上學歷，并連續(xù)從事本職工作3年以上，并獲得認可的業(yè)務能力；3)取得其它與本職業(yè)相關的職業(yè)資格4級及以上2年以上；4)曾參與管理單位內重大項目課題，在行業(yè)內具有一定影響和知名度，并獲得認可。9.4等級要求9.4.1業(yè)務能力業(yè)務能力要求參見表2。6DB21/T1793.7-2023表2信息安全管理各等級職業(yè)資格-業(yè)務能力的知識和知識運用能力，具備良好的溝通、協作和9.4.2技術能力技術能力要求參見表3。表3信息安全管理各等級職業(yè)資格-技術能力對專業(yè)技術、新興技術的趨勢有深入的研究，跟蹤、把握新技術、新產品的發(fā)展方向，熟練數據隱私和保護的原則和方法等，熟悉信息安全相關專業(yè)、領域和其它相關專業(yè)、領域有戰(zhàn)略性和前瞻性思維能力，深刻理解企業(yè)的愿景、戰(zhàn)略和業(yè)務方向，采取一切必要步得到適當保護，確保組織的安全態(tài)勢與業(yè)務愿景保持一致。建立一套結構化的信息安全7DB21/T1793.7-2023表3信息安全管理各等級職業(yè)資格-技術能力（續(xù)）對專業(yè)技術、新興技術的趨勢有一定的研究，跟蹤、把握新技術、新產品的發(fā)展方向，掌握、運用網絡和系統安全原理、加密算法和協議、漏洞評估和滲透測試的方法和工具、安全事件響應的流程和方法、數據隱私和保護的原則和方法等，掌握信息安全相關專業(yè)、領域和其它相關專業(yè)、領域所需各類知識，理解企業(yè)的愿景、戰(zhàn)略和業(yè)務方向，確保信息資產得到適當保護，確保組織的安全態(tài)勢與業(yè)務愿景保持一致。建立一套結構化的信息安全管理框架，提高組織對安全威脅的應對能對專業(yè)技術、新興技術的趨勢有一定的理解，能夠持續(xù)跟蹤、學習新技術、新產品的發(fā)展方向，熟練運用漏洞評估和滲透測試的方法和工具、熟悉安全事件響應的流程和方法等，熟悉信息安全相關專業(yè)、領域和其它相關專業(yè)、領域所需各類知識，具備培養(yǎng)、帶領團隊的能力，使其具備應對安全威脅和化解相關風具備學習新技術、新產品的能力，熟悉運用漏洞評估和滲透測試的方法和工具、熟悉安全事件響應的流9.4.3復合能力復合能力要求參見表4。表4信息安全管理各等級職業(yè)資格-復合能力掌握和熟練運用其它業(yè)務相關專業(yè)、領域知識，根據信息安全相關業(yè)務需要，系統性融合、重構、更新信息安全相關及其它相關專業(yè)、領域知識和知識運用能力，具備較高的信息安全專業(yè)英語水平，善于運用溝通和咨詢技巧掌握組織各部門的安全需求，能夠與各級別的管理人員和技術團隊進行有效的溝通掌握和運用其它業(yè)務相關專業(yè)、領域知識，根據信息安全相關業(yè)務需要，系統性融合、重構、更新信息安全相關及其它相關專業(yè)、領域知識和知識運用能力，具備一定的信息安全專業(yè)英語水平，善于運用溝通和咨詢技巧掌握組織各部門的安全需求，能夠與各級別的管理人員和技術團隊進行有效的溝通和合作能夠運用其它業(yè)務相關專業(yè)、領域知識，根據信息安全相關業(yè)務需要，系統性融合、重構、更新信息安全相關及其它相關專業(yè)、領域知識和知識運用能力，善于運用溝通和咨詢技巧掌握組織各部門的安全能夠運用其它業(yè)務相關專業(yè)、領域知識，根據信息安全相關業(yè)務需要，持續(xù)更新信息安全相關及其它相關專業(yè)、領域知識和知識運用能力，能夠有效運用溝通和咨詢技巧掌握組織各部門的安全需求，能夠8DB21/T1793.7-202310信息安全咨詢10.1職業(yè)定義為組織或個人,圍繞信息系統所支持業(yè)務的相關人員、技術和管理，通過知識傳遞、工作輔導和系統規(guī)劃等方法，提出解決信息安全問題的建議和方案，幫助組織建立健全的信息安全體系，提供專業(yè)的建議和指導，確保信息資產得到有效的保護，降低安全風險，滿足法規(guī)和合規(guī)性要求的信息安全服務。10.2等級信息安全咨詢設3個等級，即：職業(yè)資格6級（高級信息安全咨詢師）、職業(yè)資格5級（信息安全咨詢師）和職業(yè)資格4級（助理信息安全咨詢師）。10.3申報條件申報信息安全咨詢各等級職業(yè)資格，應符合以下條件之一：a)職業(yè)資格6級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關高級資格，并連續(xù)從事本職業(yè)相關工作5年以上；2)具有與從事本職業(yè)相關的專業(yè)領域碩士以上學歷，并連續(xù)從事本職業(yè)相關工作5年以上，獲得認可的業(yè)務能力；3)取得信息安全咨詢師職業(yè)資格2年以上；4)在國內具有重大影響和知名度，并獲得認可。b)職業(yè)資格5級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關高級資格，并連續(xù)從事本職業(yè)工作3年以上；2)具有與從事本職業(yè)相關的專業(yè)領域碩士以上學歷，并連續(xù)從事與本職相關工作3年以上，并獲得認可的業(yè)務能力；3)取得助理信息安全咨詢師職業(yè)資格2年以上；4)在地區(qū)內具有重大影響和知名度，并獲得認可。c)職業(yè)資格4級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關中級資格，并連續(xù)從事本職業(yè)工作5年以上；2)具有與從事本職業(yè)相關的專業(yè)領域本科以上學歷，并連續(xù)從事本職業(yè)工作3年以上，并獲得認可的業(yè)務能力；3)在行業(yè)內具有重大影響和知名度，并獲得認可。10.4等級要求10.4.1業(yè)務能力業(yè)務能力要求參見表5。9DB21/T1793.7-2023表5信息安全咨詢各等級職業(yè)資格-業(yè)務能力和管理等咨詢業(yè)務。有一定專業(yè)造詣，并注重將豐富的實踐經驗和理論10.4.2技術能力技術能力要求參見表6。表6信息安全咨詢各等級職業(yè)資格-技術能力框架提出建議，理解組織的發(fā)展需求，協助組織應對安全威10.4.3復合能力DB21/T1793.7-2023復合能力要求參見表7。表7信息安全咨詢各等級職業(yè)資格-復合能力系統性融合、重構、更新信息安全相關及其它相關專業(yè)、領域知識和知識運用能力，具備較高的信息安全專業(yè)英語水平，善于運用溝通和咨詢技巧掌握組織需求，能夠與各級別的管理人員和技術團隊進行有系統性融合、更新信息安全相關及其它相關專業(yè)、領域知識和知識運用能力，具備一定的信息安全專業(yè)英語水平，運用溝通和咨詢技巧掌握組織需求，能夠與各級別的管理人員和技術團隊進行有效的溝通和持續(xù)更新信息安全相關及其它相關專業(yè)、領域知識和知識運用能力，具備良好的溝通和咨詢技巧，能夠與各級別的管理人員和技術團隊進行有效的溝通和合作11信息安全監(jiān)理11.1職業(yè)定義針對需方各類信息系統工程中涉及信息安全的工程活動，由具有相關資質的監(jiān)理單位受信息安全工程建設單位的委托，在工程建設的規(guī)劃設計、部署實施（招標、設計、實施、驗收）各階段實施控制和管理，提供相關建設和意見，確保實現各階段的監(jiān)理目標和完成監(jiān)理內容的信息安全服務。11.2等級信息安全監(jiān)理設2個等級，即：職業(yè)資格6級（高級信息安全監(jiān)理師）和職業(yè)資格5級（信息安全監(jiān)理師）。11.3申報條件申報信息安全監(jiān)理各等級職業(yè)資格，應符合以下條件之一：a)職業(yè)資格6級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關高級資格，并連續(xù)從事本職業(yè)工作5年以上；2)具有與從事本職業(yè)相關的專業(yè)領域碩士以上學歷，并連續(xù)從事與本職相關工作5年以上，并獲得認可的業(yè)務能力；3)取得信息安全監(jiān)理師職業(yè)資格2年以上；4)在地區(qū)內具有重大影響和知名度，并獲得認可。b)職業(yè)資格5級：DB21/T1793.7-20231)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關高級資格，并連續(xù)從事本職業(yè)工作3年以上；2)具有與從事本職業(yè)相關的專業(yè)領域碩士以上學歷，并連續(xù)從事本職業(yè)工作3年以上，并獲得認可的業(yè)務能力；3)取得其它與本職業(yè)相關的職業(yè)資格5級及以上2年以上；4)在行業(yè)內具有重大影響和知名度，并獲得認可。11.4等級要求11.4.1業(yè)務能力業(yè)務能力要求參見表8。表8信息安全監(jiān)理各等級職業(yè)資格-業(yè)務能力設計、實施、驗收等監(jiān)理業(yè)務，實現各階段實施控制和管理。專業(yè)造詣較深，且知識領域寬泛，適應并指導跨專業(yè)、領域的信息系統工程項目的管理與實施控制，并注重將豐富的實踐經驗和理論知識規(guī)范化設計、實施、驗收等監(jiān)理業(yè)務，實現各階段實施控制和管理。有一定的專業(yè)造詣，能指導跨專業(yè)、領域的信息系統工程項目的管理與實施控制，并注重將豐富的實踐經驗和11.4.2技術能力技術能力要求參見表9。表9信息安全監(jiān)理各等級職業(yè)資格-技術能力對專業(yè)技術、新技術的發(fā)展有深入的研究，跟蹤、把握新技術、新產品的發(fā)展方向，精通信息系統工程安全建設各環(huán)節(jié)的理論、實踐和經驗，熟練掌握、運用信息系統工程建設實施過程中所需要的專業(yè)知識以及其它相關專業(yè)、領域所需各類知識，熟悉信息安全相關各類主流技術，深刻理解工程項目建設目標、建設內容、實施策略和管理方法，確保工程各階段的監(jiān)理目標和監(jiān)理內容的完成，化解相關風險，DB21/T1793.7-2023表9信息安全監(jiān)理各等級職業(yè)資格-技術能力（續(xù)）對專業(yè)技術、新技術的發(fā)展有一定的研究，熟悉信息系統工程安全建設各環(huán)節(jié)的理論、實踐和經驗，掌握、運用信息系統工程建設實施過程中所需要的專業(yè)知識以及其它相關專業(yè)、領域所需各類知識，熟悉信息安全相關各類主流技術，能理解工程項目建設目標、建設內容、實施策略和管理方法，確保工程各階段的監(jiān)理目標和監(jiān)理內容的完成，化解相關風險，為信息系統工程的安全實施建設提供有效地監(jiān)督11.4.3復合能力復合能力要求參見表10。表10信息安全監(jiān)理各等級職業(yè)資格-復合能力掌握和熟練運用信息安全相關專業(yè)和其它業(yè)務相關專業(yè)、領域知識，根據信息系統安全建設的實施控制和管理的需要，系統性融合、重構、更新信息安全相關及其它相關專業(yè)、領域知識和知識運用能力，具備較高的信息安全專業(yè)英語水平，善于運用安全標準、管理體系和規(guī)章制度等方法，掌握工程建設實施過程，能夠與各級別的管理人員和技術團隊進行有效的溝通和合作，完成信息系統工程各階段的監(jiān)理掌握運用信息安全相關專業(yè)和其它業(yè)務相關專業(yè)、領域知識，根據信息系統安全建設的實施控制和管理的需要，具備一定的信息安全專業(yè)英語水平，能運用安全標準、管理體系和規(guī)章制度等方法，掌握工程建設實施過程，能夠與各級別的管理人員和技術團隊進行有效的溝通和合作，完成信息系統工程各階12信息安全設計與開發(fā)12.1職業(yè)定義信息安全設計與開發(fā)主要針對需方不能通過采購現有信息安全系統或產品予以滿足的安全需求，由供方通過需求分析創(chuàng)建信息安全系統設計方案，在此基礎上，按照安全要求、安全基線要求、設計要求、DB21/T1793.7-2023安全策略制定、威脅建模、安全編碼規(guī)范設計、事件響應計劃制定、安全評價等信息系統開發(fā)流程設計、開發(fā)信息安全系統或產品，并可按照GB/T38674-2020提出的應用軟件安全編程通用框架的要求，采取相應的措施保障信息安全系統或產品的安全性，以滿足需方特定的安全需求并最大程度地減少信息安全系統或產品的安全缺陷。信息安全設計與開發(fā)也可以基于已有的信息安全系統或產品進行二次開發(fā)。12.2等級信息安全設計與開發(fā)設4個等級，即：職業(yè)資格6級（高級信息安全設計與開發(fā)師、正高級工程師）、職業(yè)資格5級（信息安全設計與開發(fā)師、高級工程師）、職業(yè)資格4級（助理信息安全設計與開發(fā)師、工程師）和職業(yè)資格3級（信息安全設計與開發(fā)員、程序員）。12.3申報條件申報信息安全設計與開發(fā)各等級職業(yè)資格，應符合以下條件之一：a)職業(yè)資格6級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關高級資格，并連續(xù)從事本職業(yè)工作5年以上；2)具有與從事本職業(yè)相關的專業(yè)領域碩士以上學歷，并連續(xù)從事本職相關工作5年以上，并獲得認可的業(yè)務能力；3)取得信息安全設計與開發(fā)師（高級工程師）職業(yè)資格3年以上。b)職業(yè)資格5級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關高級資格，并連續(xù)從事本職業(yè)工作3年以上；2)具有與從事本職業(yè)相關的專業(yè)領域碩士以上學歷，并連續(xù)從事本職相關工作3年以上，并獲得認可的業(yè)務能力；3)取得助理信息安全設計與開發(fā)師（工程師）職業(yè)資格3年以上。c)職業(yè)資格4級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關中級資格，并連續(xù)從事本職業(yè)工作3年以上；2)具有與從事本職業(yè)相關的專業(yè)領域本科以上學歷，并連續(xù)從事本職業(yè)工作3年以上，并獲得認可的業(yè)務能力；3)取得信息安全設計與開發(fā)員（程序員）職業(yè)資格2年以上。d)職業(yè)資格3級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關初級資格，并連續(xù)從事本職業(yè)工作2年以上；2)具有與從事本職業(yè)相關的專業(yè)領域?？埔陨蠈W歷，并連續(xù)從事本職業(yè)工作2年以上，并獲得認可的業(yè)務能力。12.4等級要求12.4.1業(yè)務能力業(yè)務能力要求參見表11。DB21/T1793.7-2023表11信息安全設計與開發(fā)各等級職業(yè)資格-業(yè)務能力a)技術相關復雜度：技術和工具各類多，存在非相關、跨領域、跨專b)系統相關復雜度：系統架構體系構建要素繁可擴展性和可維護性等c)數據相關復雜度：數據處理復雜，對數據的規(guī)模、類型、安全性要估和管理這些風險需要對系統進行全面的安全分析，并采取相應的措施來降低風險。全面考慮到各種潛在的安全威e)法律與合規(guī)相關復雜度：系統在法律和合規(guī)方面的要求高，符合相a)技術相關復雜度：技術和工具各類多，存在跨專業(yè)，相關業(yè)務流程b)系統相關復雜度：系統架構體系構建要素繁雜，需要考慮系統的穩(wěn)定性、可擴展性和可維護性等方面，構建要求c)數據相關復雜度：數據處理較復雜，對數據的規(guī)模、類型、安全性估和管理這些風險需要對系統進行全面的安全分析，并采取相應的措施來降低風險。全面考慮到各種潛在的安全威e)法律與合規(guī)相關復雜度：系統在法律和合規(guī)方面的要求高，符合相a)技術相關復雜度：技術和工具各類多，相關b)系統相關復雜度：系統架構體系構建要素繁雜，需要考慮系統的穩(wěn)定性、可擴展性和可維c)數據相關復雜度：數據處理較復雜，對數據估和管理這些風險需要對系統進行全面的安全分析，并采取相應的措施來降低風險。全面考慮到各種潛在的安全威e)法律與合規(guī)相關復雜度：系統在法律和合規(guī)方面的要求高，符合相a)技術相關復雜度：技術和工具各類多，業(yè)務b)數據相關復雜度：數據處理簡單，對數據的c)風險相關復雜度：評估和管理風險，采取措度：系統在法律和合規(guī)方面的要求較高，符合省級以上重點、重大復雜度要求，負責信息安全系統或產品的設市級以上重點、重大復雜度要求，負責信息安全系統或產品的設大、中型工程項目3項以上符合復雜度要求，負責信息安全系統中、小型工程項目2項以上符合復雜度要求，負責信息安全系統DB21/T1793.7-2023表11信息安全設計與開發(fā)各等級職業(yè)資格-業(yè)務能力（續(xù)）具有5年以上的工作經歷；創(chuàng)新性運用跨專業(yè)、跨領域相關專業(yè)知識，深刻理解相關安全需求，并與業(yè)務需求充分融合。根據安全需求更新、完善、運用相關專業(yè)技術和知識；持續(xù)提升專業(yè)水平，在國內具有一定的知名度和影具有3年以上的工作經歷；創(chuàng)新性運用跨專業(yè)、跨領域相關專業(yè)知識，深刻理解相關安全需求，并與業(yè)務需求充分融合。根據安全需求更新、完善、運用相關專業(yè)技術和知識；逐步提升專業(yè)水平，在地區(qū)內具有一定的知名度和具有3年以上的工作經歷；創(chuàng)新性運用相關專業(yè)知識，深刻理解相關安全需求，并能與業(yè)務需求融合。根據安全需求變化和技術發(fā)展，跟蹤、更新、完善、運用相關專業(yè)知識；逐步提升專業(yè)水平，在行業(yè)內具有一定的知名度和具有2年以上的工作經歷；能夠運用信息安全相關專業(yè)知識，理解相關安全需求。根據安全需求變化和技術發(fā)運用相關專業(yè)知識；逐在實踐中，注重項目管理過程的規(guī)范化、體系化；在國內、地區(qū)內以各種形式參與學術交在實踐中，注重項目管理過程的規(guī)范化、體系化；參與行業(yè)內各種形式的學術交流、發(fā)表在實踐中，注重項目管理過程的規(guī)范化、體系化；以各種形式參與在實踐中，嘗試項目管理過程的規(guī)范化、體系化；以各種形式參與注重新從業(yè)人員、已有一定實踐經驗的從業(yè)人員專業(yè)水平提升的指注重新從業(yè)人員、已有一定實踐經驗的從業(yè)人員專業(yè)水平提升的指注重新從業(yè)人員、已有一定實踐經驗的從業(yè)人員專業(yè)水平提升的指注重新從業(yè)人員專業(yè)12.4.2技術能力技術能力要求參見表12。DB21/T1793.7-2023表12信息安全設計與開發(fā)各等級職業(yè)資格-技術能力a)熟練掌握和運用基礎理論知識，融合信息安全設計與開發(fā)相關業(yè)務需求，準確、清晰、明確地表述信息安全工程相關規(guī)劃、設計、實施的知識要素，并易于項b)熟練掌握和運用基礎理論知識，及時發(fā)現、改進規(guī)劃、設計、實施計與開發(fā)相關業(yè)務需b)掌握和運用基礎理論計與開發(fā)相關業(yè)務需b)能夠運用基礎理論知識，融合信息安全設計與開發(fā)相關業(yè)務需求，準確、清晰、明確地表述信息安全工程相關實施的知識要素，并易于b)能夠運用基礎理論知識，及時發(fā)現、改進規(guī)劃、設計、實施中的錯設計和實施中與信息安全設計與開發(fā)相關技術b)理解、融合、運用相關知識，識別、分析、評估項目實施中可能存在的隱患、風險，并采在項目實施中控制可能存在的知識產權、相關信息安全法律法規(guī)、行業(yè)規(guī)范、個人信息保護注意人際交往、溝通交流、表達、應變、綜合分析等能力的運用和提高實施中可能存在的隱高實施中可能存在的隱b)能夠運用相關知識，高實施中可能存在的隱b)能夠運用相關知識，在項目實施中控制可能存在的知識產權、相關信息安全法律法規(guī)、行業(yè)規(guī)范、個人信息保護注意溝通交流、表達、應變、綜合分析等能力DB21/T1793.7-2023表12信息安全設計與開發(fā)各等級職業(yè)資格-技術能力（續(xù)）創(chuàng)新性運用信息安全設計與開發(fā)相關知識，并熟練運用各種規(guī)劃設計方法、計算機語言開發(fā)技術，在規(guī)劃設計實施中理解、運用信息安全設計與開發(fā)涉及的相領域技術和知識，深刻理解、明確信息安全系統或產品開發(fā)流程中所包含的安全要求、安全基線要求、設計要求、安全策略制定、威脅建事件響應計劃制定等要素，為實施提供可靠、技術、其它相關專業(yè)、基線要求、設計要求、素，為實施提供可靠、域技術和知識，理解、響應計劃制定等要素，計與開發(fā)相關知識，并運用各種計算機語言開運用信息安全設計與開發(fā)涉及的相關技術、領熟練掌握信息安全設計與開發(fā)和項目管理相關專業(yè)知識，理解信息安全設計與開發(fā)所涉及構建信息安全設計與開發(fā)知識體系，指導信息安全系統或產品的規(guī)開發(fā)和項目管理相關專DB21/T1793.7-202312.4.3復合能力復合能力要求參見表13。表13信息安全設計與開發(fā)各等級職業(yè)資格-復合能力具備多專業(yè)、多領域相關知識儲備，并能在信息安全設計與開發(fā)中系統融合、運用，建構并跟蹤新專業(yè)、新技術和安全新需求，持續(xù)更具備多專業(yè)、多領域相關知識儲備，并能在信息安全設計與開發(fā)中系統融合、運用，并跟蹤新專業(yè)、新技術和安全新需求，持續(xù)更新知了解多專業(yè)、多領域相關知識，并注重在信息安全設計與開發(fā)中增加知識儲備；并跟蹤新專業(yè)、新技術和安全新需求，持續(xù)更新知識體系掌握信息安全設計與深刻理解跨專業(yè)、領域的相關技術，并具備能夠理解跨專業(yè)、領域的相關技術，并具備了解跨專業(yè)、領域技掌握本專業(yè)技術和知識13信息安全測試13.1職業(yè)定義信息安全測試主要是針對信息系統、軟硬件產品等被測對象的安全屬性，由供方在特定的測試環(huán)境下，根據需方授權，按照測試準備、測試實施、測試分析、測試結果反饋等工作流程，選擇適用的方法或工具，動態(tài)分析測試數據，發(fā)現被測對象存在的安全隱患，驗證被測對象安全保障措施的符合性及有效性，提出安全整改建議。信息安全測試通常包括信息系統安全測試、APP安全測試、漏洞安全掃描、基線配置核查、滲透測試、源代碼審計等。信息安全測試工具應符合相關國家標準要求，確?？煽啃院桶踩浴B21/T1793.7-202313.2等級信息安全測試設5個等級，即：職業(yè)資格6級（高級信息安全測試師、正高級工程師）、職業(yè)資格5級（信息安全測試師、高級工程師）、職業(yè)資格4級（助理信息安全測試師、工程師）、職業(yè)資格3級（信息安全測試員、技術員）和職業(yè)資格2級（初級信息安全測試員、初級技術員）。13.3申報條件申報信息安全測試各等級職業(yè)資格，應符合以下條件之一：a)職業(yè)資格6級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關高級資格，并連續(xù)從事本職業(yè)工作5年以上；2)具有與從事本職業(yè)相關的專業(yè)領域碩士以上學歷，并連續(xù)從事與本職相關工作5年以上，并獲得認可的業(yè)務能力；3)取得信息安全測試師（高級工程師）職業(yè)資格3年以上。b)職業(yè)資格5級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關高級資格，并連續(xù)從事本職業(yè)工作3年以上；2)具有與從事本職業(yè)相關的專業(yè)領域碩士以上學歷，并連續(xù)從事與本職相關工作3年以上，并獲得認可的業(yè)務能力；3)取得助理信息安全測試師（工程師）職業(yè)資格3年以上。c)職業(yè)資格4級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關中級資格，并連續(xù)從事本職業(yè)工作3年以上；2)具有與從事本職業(yè)相關的專業(yè)領域本科以上學歷，并連續(xù)從事本職業(yè)工作3年以上，并獲得認可的業(yè)務能力；3)取得信息安全測試員（技術員）職業(yè)資格2年以上。d)職業(yè)資格3級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關中級資格，并連續(xù)從事本職業(yè)工作2年以上；2)具有與從事本職業(yè)相關的專業(yè)領域本科以上學歷，并連續(xù)從事本職業(yè)工作2年以上，并獲得認可的業(yè)務能力；3)取得初級信息安全測試員（初級技術員）職業(yè)資格1年以上。4)職業(yè)資格2級：5)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關初級資格，并連續(xù)從事本職業(yè)工作1年以上；6)具有與從事本職業(yè)相關的專業(yè)領域?？埔陨蠈W歷，并連續(xù)從事本職業(yè)工作1年以上，并獲得認可的業(yè)務能力；13.4等級要求13.4.1業(yè)務能力業(yè)務能力要求參見表14。DB21/T1793.7-2023表14信息安全測試各等級職業(yè)資格-業(yè)務能力a）測試對象相關相關測試評估業(yè)b)系統相關復雜度：風險控制能e)測試報告相關評估過程形成的a）測試對象相關關測試評估業(yè)務b)系統相關復雜度：風險控制能要多專業(yè)、多領e)測試報告相關評估過程形成的雜度：測試目標較大、范圍較廣、方法多、技術和工具種類多，存在跨系統、跨業(yè)務，相關測試評估業(yè)務流程度：系統架構要素質量控制和保證能d)技術復雜度：需多技術跨度融合，高安全等級要求；風險評估有一定難度e)測試報告相關復雜性：項目測試評估過程形成的各類文檔齊全、清晰、復雜度：測試目方法少、技術和工具種類少，存在跨系統、跨業(yè)務，相關測試評估業(yè)務流程有一b)系統相關復雜度：系統架構要c)風險相關復雜度：風險控制能力、質量控制和保證能力有一定d)測試報告相關復雜性：項目測試評估過程形成的各類文檔齊a）測試對象相關評估業(yè)務流程簡b)系統相關復雜c)測試報告相關評估過程形成的具有5年以上的深刻理解信息安根據技術和方法的發(fā)展，不斷跟運用相關專業(yè)技內具有一定的知具有3年以上的深刻理解信息安根據技術和方法的發(fā)展，不斷跟運用相關專業(yè)技區(qū)內具有一定的具有3年以上的工作經歷；能夠運用跨專業(yè)、跨領域相關專業(yè)知識，理解信息安全測試工作流程。根據技術和方法的發(fā)展，不斷跟蹤、更新、完善、運用相關專業(yè)技術和知識；持續(xù)提升專業(yè)水平，在行業(yè)內具有一定的具有2年以上的工作經歷；能夠運用信息安全相關專業(yè)知識，理解相關信息安全測試工作流程。根據技術和方法的發(fā)展，不斷跟蹤、更新、完善、運用相關專業(yè)知識；逐步具有1年以上的用信息安全相關運用相關專業(yè)知DB21/T1793.7-2023表14信息安全測試各等級職業(yè)資格-業(yè)務能力（續(xù)）項目測試評估過形式參與學術交項目測試評估過形式參與學術交在實踐中，注重項目測試評估過程在行業(yè)內以各種形式參與學術交流、在實踐中，注重項目測試評估過程的規(guī)范化、體系化；參與學術交流、發(fā)表論項目測試評估過化；參與學術交注重新從業(yè)人經驗的從業(yè)人員專業(yè)水平提升的注重新從業(yè)人經驗的從業(yè)人員專業(yè)水平提升的注重新從業(yè)人員、已有一定實踐經驗的從業(yè)人員專業(yè)水平提升的指導注重新從業(yè)人員專業(yè)水平提升-13.4.2技術能力技術能力要求參見表15。表15信息安全測試各等級職業(yè)資格-技術能力a)熟練掌握和運融合信息安全測地表述信息安全b)熟練掌握和運試中的錯誤和缺a)熟練掌握和運融合信息安全測地表述信息安全b)熟練掌握和運試中的錯誤和缺a)掌握和運用基信息安全測試相關業(yè)務需求，準表述信息安全測b)掌握和運用基a)能夠運用基礎息安全測試相關信息安全測試相關漏洞、測試項b)能夠運用基礎a)能夠運用基礎理b)能夠運用基礎理改進測試中的錯誤DB21/T1793.7-2023表15信息安全測試各等級職業(yè)資格-技術能力（第2頁/共3頁）信息安全測試相用相關知識，識全測試中中可能存在的隱患、風中控制可能存在信息安全法律法析等能力的運用專業(yè)、領域知識，信息安全測試相評估安全測試中可能存在的隱患、中控制可能存在信息安全法律法析等能力的運用業(yè)相關知識，識目實施中可能存并采取相應的應b)能夠運用相關中控制可能存在信息安全法律法c)能夠運用相關析等能力的運用a)能夠運用本專業(yè)相關知識，識目實施中可能存并采取相應的應b)能夠運用相關中控制可能存在信息安全法律法c)能夠運用相關綜合分析等能力a)能夠運用本專業(yè)b)能夠運用相關知制可能存在的知識法律法規(guī)、行業(yè)規(guī)DB21/T1793.7-2023表15信息安全測試各等級職業(yè)資格-技術能力（第3頁/共3頁）創(chuàng)新性運用信息安全測試相關運用各種漏洞挖運用信息安全測測試中所包含的求、安全基線要求、漏洞防護要熟練運用信息安全測試相關知用各種漏洞挖掘用信息安全測試和知識，深刻理測試中所包含的求、安全基線要求、漏洞防護要能夠運用信息安全測試相關知用各種漏洞挖掘用信息安全測試和知識，深刻理測試中所包含的求、安全基線要求、漏洞防護要能夠運用信息安全測試相關知算機語言開發(fā)技全測試中所包含求、漏洞防護要能夠運用信息安運用各種漏洞挖掘熟練掌握信息安全測試和項目管理相關專業(yè)知測試與所涉及的熟練掌握信息安全測試和項目管理相關專業(yè)知測試與所涉及的熟練掌握信息安全測試和項目管理相關專業(yè)知測試與所涉及的識掌握信息安全測試和項目管理解信息安全測試與所涉及的其它掌握信息安全測試和項目管理相關DB21/T1793.7-202313.4.3復合能力復合能力要求參見表16。表16信息安全測試各等級職業(yè)資格-復合能力具備多專業(yè)、多領域相關知識儲備，并能在信息安全測試中系統融合、運用，建構跨專業(yè)、領域知識新技術和安全新需求，持續(xù)更新知識體系具備多專業(yè)、多領域相關知識儲備，并能在信息安全測試中系統融合、運用，并跟蹤新產品、新技術和安全新需求，持續(xù)更新了解多專業(yè)、多領域相關知識，并注重在信息安全測試中增加知識儲新技術和安全新需求，持續(xù)更新知識掌握信息安全測試相關專業(yè)知識；能跟蹤新技求，更新知識體系掌握信息安全測深刻理解跨專業(yè)、領域的相關技術，并能夠理解跨專業(yè)、領域的相關技術，并具備運了解跨專業(yè)、領掌握本專業(yè)技掌握本專業(yè)技術14信息安全集成14.1職業(yè)定義DB21/T1793.7-2023信息安全集成主要是針對需方采購或租賃的信息安全硬件設備、信息安全軟件、系統（包括軟件構件）等各類信息安全設備，由供方根據已制定的系統集成方案（包含設計方案和實施方案等），明確部署方式，按照部署環(huán)境搭建、集成實施等工作流程規(guī)范開展集成部署工作，確保軟硬件安全、高效穩(wěn)定運行。14.2等級信息安全集成設4個等級，即：職業(yè)資格6級（高級信息安全集成師、正高級工程師）、職業(yè)資格5級（信息安全集成師、高級工程師）、職業(yè)資格4級（助理信息安全集成師、工程師）和職業(yè)資格3級（信息安全集成員、技術員）。14.3申報條件申報信息安全集成各等級職業(yè)資格，應符合以下條件之一：a)職業(yè)資格6級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關高級資格，并連續(xù)從事本職業(yè)工作5年以上；2)具有與從事本職業(yè)相關的專業(yè)領域碩士以上學歷，并連續(xù)從事與本職相關工作5年以上，并獲得認可的業(yè)務能力；3)取得信息安全集成師（高級工程師）職業(yè)資格3年以上。b)職業(yè)資格5級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關高級資格，并連續(xù)從事本職業(yè)工作3年以上；2)具有與從事本職業(yè)相關的專業(yè)領域碩士以上學歷，并連續(xù)從事與本職相關工作3年以上，并獲得認可的業(yè)務能力；3)取得助理信息安全集成師（工程師）職業(yè)資格3年以上。c)職業(yè)資格4級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關中級資格，并連續(xù)從事本職業(yè)工作3年以上；2)具有與從事本職業(yè)相關的專業(yè)領域本科以上學歷，并連續(xù)從事本職業(yè)工作3年以上，并獲得認可的業(yè)務能力；3)取得信息安全集成員（技術員）職業(yè)資格2年以上。d)職業(yè)資格3級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關初級資格，并連續(xù)從事本職業(yè)工作2年以上；2)具有與從事本職業(yè)相關的專業(yè)領域?？埔陨蠈W歷，并連續(xù)從事本職業(yè)工作2年以上，并獲得認可的業(yè)務能力；14.4等級要求14.4.1業(yè)務能力業(yè)務能力要求參見表17。DB21/T1793.7-2023表17信息安全集成各等級職業(yè)資格-業(yè)務能力硬件、系統、設備種類多，存在非相關、跨軟硬件、跨專業(yè)，集成業(yè)b)系統相關復雜度：系統架構、平臺和技術要素繁雜，需要考慮系統的穩(wěn)定性、兼容性、可擴展性和可維護性等方數據流處理復雜，對數據的安全傳輸和存儲要息安全集成項目需要與第三方供應商或服務提供商的集成，增加項目a)技術相關復雜度：軟硬件、系統、設備種類多，存在非相關、跨軟硬件、跨專業(yè)，集成業(yè)b)系統相關復雜度：系統架構、平臺和技術要素復雜，需要考慮系統的穩(wěn)定性、兼容性、可擴展性和可維護性等方數據流巨大、種類多，數據流處理較復雜，數據的安全傳輸和存儲要息安全集成項目需要與第三方供應商或服務提供商的集成，增加項目a)技術相關復雜度：軟硬件、系統、設備種類多，集成業(yè)務流程較復b)系統相關復雜度：系統架構、平臺和技術要素較復雜，需要考慮系統的穩(wěn)定性、兼容性、可擴展性和可維護性等c)數據流相關復雜度：數據流大、種類較多，數據流處理較復雜，數據的安全傳輸和存儲有息安全集成項目部分需要與第三方供應商或服務提供商的集成，增加a)技術相關復雜度：軟硬件、系統、設備種類較多，集成業(yè)務流程簡b)系統相關復雜度：系統架構、平臺和技術要素簡單，需要考慮系統的穩(wěn)定性、兼容性、可擴展性和可維護性等方數據流小、種類少，數據流處理簡單，數據的安全傳輸和存儲有一定息安全集成項目部分需要與第三方供應商或服務提供商的集成，增加具有5年以上的工作經歷；創(chuàng)新性運用跨專業(yè)、跨領域相關專業(yè)知識，深刻理解相關安全需求，并與業(yè)務需求充分融合。根據安全需求更新、完善、運用相關專業(yè)技術和知識；持續(xù)地區(qū)內具有一定的知名具有3年以上的工作經歷；熟悉、熟練運用跨專業(yè)、跨領域相關專業(yè)知識，深刻理解相關安全需求，并與業(yè)務需求充分融合。根據安全需求變化和技術發(fā)展，跟蹤、更新、完善、運用相關專業(yè)技術和知在行業(yè)具有一定的知名具有3年以上的工作經歷；熟練運用相關專業(yè)知識，深刻理解相關安全需求，并能與業(yè)務需求融合。根據安全需求變化和技術發(fā)展，跟蹤、更新、完善、運用相關專業(yè)知識；逐步提具有2年以上的工作經歷；能夠運用信息安全相關專業(yè)知識，理解相關安全需求。根據安全需求變化和技術發(fā)運用相關專業(yè)知識；逐DB21/T1793.7-2023表17信息安全集成各等級職業(yè)資格-業(yè)務能力（續(xù)）在實踐中，注重項目管理過程的規(guī)范化、體系化；在國內、地區(qū)內以各種形式參與學術交在實踐中，注重項目管理過程的規(guī)范化、體系化；參與行業(yè)內各種形式的學術交流、發(fā)表在實踐中，注重項目在實踐中，嘗試項目管理過程的規(guī)范化、體系化；以各種形式參與注重新從業(yè)人員、已有一定實踐經驗的從業(yè)人員專業(yè)水平提升的指注重新從業(yè)人員、已有一定實踐經驗的從業(yè)人員專業(yè)水平提升的指注重新從業(yè)人員、已有一定實踐經驗的從業(yè)人員專業(yè)水平提升的指注重新從業(yè)人員專業(yè)14.4.2技術能力技術能力要求參見表18。表18信息安全集成各等級職業(yè)資格-技術能力理論知識，融合信息安全集成相關業(yè)務需求，準確、清晰、明確地表述信息安全集成相關軟硬件設備部署、設計方案、實施方案的知識要素，并易于項目管理識b)熟練掌握和運用基礎理論知識，及時發(fā)現并改進系統軟硬件集成設計、實施、部署中的錯理論知識，融合信息安全集成相關業(yè)務需求，準確、清晰、明確地表述信息安全集成相關軟硬件設備部署、設計方案、實施方案的知識要素，并易于項目管理識b)掌握和運用基礎理論知識，及時發(fā)現系統軟硬件集成設計、實施、知識，融合信息安全集清晰、明確地表述信息安全集成相關軟硬件設備部署、設計方案、實施方案的知識要素，并b)掌握和運用基礎理論知識，及時發(fā)現系統軟硬件集成設計、實施、a)能夠運用基礎理論知識，融合信息安全集成相關業(yè)務需求，準確、清晰、明確地表述信息安全集成相關軟硬件設備部署、設計方案、實施方案的知識要素，并b)能夠運用基礎理論知識，及時發(fā)現系統軟硬件集成設計、實施、部DB21/T1793.7-2023表18信息安全集成各等級職業(yè)資格-技術能力（第2頁/共3頁）領域知識，在軟硬件設備系統部署設計和實施中與信息安全集成相關b)理解、融合、運用相關知識，識別、分析、評估集成項目部署設計和實施中可能存在的隱患、風險，并采取相應在集成項目實施中控制可能存在的知識產權、相關信息安全法律法規(guī)、行業(yè)規(guī)范、個人信注意人際交往、溝通交流、表達、應變、綜合分析等能力的運用和提高領域知識，在軟硬件設備系統部署設計和實施中與信息安全集成相關b)能夠運用相關知識，識別、分析、評估集成項目部署設計和實施中并采取相應的應對策在集成項目實施中控制可能存在的知識產權、相關信息安全法律法規(guī)、行業(yè)規(guī)范、個人信注意人際交往、溝通交流、表達、應變、綜合分析等能力的運用和提高識別、分析、評估項目部署設計和實施中可能存在的隱患、風險，并b)能夠運用相關知識，識別、分析、評估集成項目部署設計和實施中c)能夠運用相關知識，在集成項目實施中控制可能存在的知識產權、相關信息安全法律法規(guī)、行業(yè)規(guī)范、個人信注意人際交往、溝通交流、表達、應變、綜合分析等能力的運用和提高a)能夠運用相關知識，識別、分析、評估項目部署設計和實施中可能存在的隱患、風險，并b)能夠運用相關知識，在集成項目實施中控制可能存在的知識產權、相關信息安全法律法規(guī)、行業(yè)規(guī)范、個人信c)能夠運用相關知識，注意溝通交流、表達、應變、綜合分析等能力創(chuàng)新性運用信息安全集成相關知識并熟練運用各種軟硬件設備的部署方法、設計方法、實施方法，在部署實施中理解、運用信息安全集成涉及的相關技術、其它相關專業(yè)、領域技術和知識，深刻理解、明確信息安全軟件或硬件設備部署流程中所包含的安全要求、安全基線要求、設計要求、安全策略制定、部署方法制定、部署環(huán)境設計、部署實施等要素，為實施成相關知識并運用各種軟硬件設備的部署方法、設計方法、實施方運用信息安全集成涉及的相關技術、其它相關深刻理解、明確信息安全軟件或硬件設備部署流程中所包含的安全要求、安全基線要求、設部署方法制定、部署環(huán)境設計、部署實施等要素，為實施提供可靠、成相關知識并運用各種軟硬件設備的部署方法、設計方法、實施方運用信息安全集成涉及的相關技術、其它相關理解、明確信息安全軟件或硬件設備部署流程中所包含的安全要求、安全基線要求、設計要求、安全策略制定、部署方法制定、部署環(huán)境為實施提供可靠、有效成相關知識并運用各種軟硬件設備的部署方法、設計方法、實施方法，在實施中理解、運用信息安全集成涉及的相關技術、領域技術和DB21/T1793.7-2023表18信息安全集成各等級職業(yè)資格-技術能力（第3頁/共3頁）成和項目管理相關專業(yè)知識，理解信息安全集成所涉及的其它專業(yè)、領域知識，構建信息安全集成知識體系，指導信息安全系統和軟硬件成和項目管理相關專業(yè)知識，理解信息安全集成所涉及的其它專業(yè)、領域知識，構建信息安全集成知識體系，指導信息安全系統和軟硬件項目管理相關專業(yè)知識，協助部署實施信息掌握信息安全集成和14.4.3復合能力復合能力要求參見表19。表19信息安全集成各等級職業(yè)資格-復合能力具備多專業(yè)、多領域相關知識儲備，并能在信息安全集成中系統融領域知識能力，并跟蹤新專業(yè)、新技術和安全新需求，持續(xù)更新知識具備多專業(yè)、多領域相關知識儲備，并能在信息安全集成中系統融合和運用，并跟蹤新專業(yè)、新技術和安全新需了解多專業(yè)、多領域相關知識，并注重在信息安全集成中增加知識儲備；并跟蹤新專業(yè)、新技術和安全新需求，掌握信息安全集成相關專業(yè)知識；能跟蹤新技術和安全新需求，更深刻理解跨專業(yè)、領域的相關技術，并具備能夠理解跨專業(yè)、領域的相關技術，并具備了解跨專業(yè)、領域技掌握本專業(yè)技術和知識15信息安全運維15.1職業(yè)定義DB21/T1793.7-2023信息安全運維主要是針對技術設施安全監(jiān)測、技術設施安全預警、技術設施安全加固、安全漏洞補丁通告、惡意代碼防范和處理、安全事件響應與取證以及其它信息安全運維工作，協助組織信息系統管理人員進行信息系統安全運維工作，以發(fā)現并修復信息系統中所存在的安全隱患，降低安全隱患被非法利用的可能性，并在安全隱患被利用后及時加以響應。15.2等級信息安全運維設4個等級，即：職業(yè)資格6級（高級信息安全運維師、正高級工程師）、職業(yè)資格5級（信息安全運維師、高級工程師）、職業(yè)資格4級（助理信息安全運維師、工程師）和職業(yè)資格3級（信息安全運維員、技術員）。15.3申報條件申報信息安全運維各等級職業(yè)資格，應符合以下條件之一：a)職業(yè)資格6級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關高級資格，并連續(xù)從事本職業(yè)工作5年以上；2)具有與從事本職業(yè)相關的專業(yè)領域碩士以上學歷，并連續(xù)從事與本職相關工作5年以上，并獲得認可的業(yè)務能力；3)取得信息安全運維師（高級工程師）職業(yè)資格3年以上。b)職業(yè)資格5級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關高級資格，并連續(xù)從事本職業(yè)工作3年以上；2)具有與從事本職業(yè)相關的專業(yè)領域碩士以上學歷，并連續(xù)從事與本職相關工作3年以上，并獲得認可的業(yè)務能力；3)取得助理信息安全運維師（工程師）職業(yè)資格3年以上。c)職業(yè)資格4級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關中級資格，并連續(xù)從事本職業(yè)工作3年以上；2)具有與從事本職業(yè)相關的專業(yè)領域本科以上學歷，并連續(xù)從事本職業(yè)工作3年以上，并獲得認可的業(yè)務能力；3)取得信息安全運維員（技術員）職業(yè)資格2年以上。d)職業(yè)資格3級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關初級資格，并連續(xù)從事本職業(yè)工作2年以上；2)具有與從事本職業(yè)相關的專業(yè)領域本科以上學歷，并連續(xù)從事本職業(yè)工作2年以上，并獲得認可的業(yè)務能力。15.4等級要求15.4.1業(yè)務能力業(yè)務能力要求參見表20。DB21/T1793.7-2023表20信息安全運維各等級職業(yè)資格-業(yè)務能力a)技術相關復雜度：技術和工具各類多，存在非相關、跨領域、跨專b)系統相關復雜度：信息安全設備、信息系統和網絡基礎設施繁雜，要求保護系統的穩(wěn)定性、安全性和可維護性c)組織相關復雜度：多個部門和利益相關者合作，對不同部門之間可能存在不同的目標、優(yōu)先級和溝通障礙，需要很高的協調和整合各方d)外部環(huán)境相關復雜度：外部環(huán)境變化快速且復雜，要求很高的適應這些變化的能力，保持系統的安全性和合規(guī)性a)技術相關復雜度：技術和工具各類多，存在非相關、跨領域、跨專業(yè)，相關業(yè)務流程較復b)系統相關復雜度：信息安全設備、信息系統和網絡基礎設施繁雜，要求保護系統的穩(wěn)定性、安全性和可維護性c)組織相關復雜度：多個部門和利益相關者合作，對不同部門之間可能存在不同的目標、優(yōu)先級和溝通障礙，需要較高的協調和整合各方d)外部環(huán)境相關復雜度：外部環(huán)境變化快速且復雜，要求較高的適應這些變化的能力，保持系統的安全性和合規(guī)性a)技術相關復雜度：技術和工具各類多，專業(yè)b)系統相關復雜度：信息安全設備、信息系統和網絡基礎設施復雜，確保系統的穩(wěn)定性、安c)組織相關復雜度：需與相關部門和利益相關者合作，需要協調和整d)外部環(huán)境相關復雜度：外部環(huán)境變化比較穩(wěn)定且簡單，保持系統a)技術相關復雜度：技術和工具各類多，專業(yè)b)系統相關復雜度：信息安全設備、信息系統和網絡基礎設施較復c)組織相關復雜度：需與相關部門和利益相關者合作，需要協調和整d)外部環(huán)境相關復雜度：外部環(huán)境變化比較穩(wěn)定且簡單，保持系統具有5年以上的工作經歷；創(chuàng)新性運用本專業(yè)知識、跨專業(yè)、跨領域相關專業(yè)知識，深刻理解相關硬件、網絡和系統安全運維工作，有效防范和處理安全漏洞、安全事件等安全隱患。根據安全需求變化和技術發(fā)展，跟蹤、更新、完善、運用相關專業(yè)技術和知識；持續(xù)提升專業(yè)水平，在國內具有一定的知名度和影響力具有3年以上的工作經歷；創(chuàng)新性運用本專業(yè)知識、跨專業(yè)、跨領域相關專業(yè)知識，深刻理解相關硬件、網絡和系統安全運維工作，有效防范和處理安全漏洞、安全事件等安全隱患。根據安全需求變化和技術發(fā)展，跟蹤、更新、完善、運用相關專業(yè)技術和知識；逐步提升專業(yè)水平，在地區(qū)具有一定的知名度和影響力具有3年以上的工作經歷；能夠運用本專業(yè)知識、跨專業(yè)、跨領域相關專業(yè)知識，理解相關硬件、網絡和系統安全運維工作，防范和處理安全漏洞、安全事件等安全隱患。根據安全需求變化和技術發(fā)展，跟蹤、更新、完善、運用相關專業(yè)技術和知在行業(yè)內具有一定的知具有2年以上的工作經歷；能夠運用本專業(yè)知識，理解相關硬件、網絡和系統安全運維工作，防范和處理安全漏洞、安全事件等安全隱患。根據安全需求變化和技術發(fā)展，跟蹤、更新、完善、運用相關專業(yè)知識；逐步提升專業(yè)DB21/T1793.7-2023表20信息安全維各等級職業(yè)資格-業(yè)務能力（續(xù)）在實踐中，注重項目管理過程的規(guī)范化、體系化；在國內、地區(qū)內以各種形式參與學術交在實踐中，注重項目管理過程的規(guī)范化、體系化；參與行業(yè)內各種形式的學術交流、發(fā)表在實踐中，注重項目管理過程的規(guī)范化、體系化；以各種形式參與在實踐中，嘗試項目管理過程的規(guī)范化、體系化；以各種形式參與注重新從業(yè)人員、已有一定實踐經驗的從業(yè)人員專業(yè)及相關跨專業(yè)、領域知識技能水平注重新從業(yè)人員、已有一定實踐經驗的從業(yè)人員專業(yè)及相關跨專業(yè)、領域知識技能水平注重新從業(yè)人員、已有一定實踐經驗的從業(yè)人員專業(yè)水平提升的指注重新從業(yè)人員專業(yè)15.4.2技術能力技術能力要求參見表21。表21信息安全運維各等級職業(yè)資格-技術能力理論知識，及時發(fā)現、安全運維工作相關監(jiān)知識，融合信息安全運清晰、明確地表述信息安全運維工作相關監(jiān)測、加固、預警、應急DB21/T1793.7-2023表21信息安全運維各等級職業(yè)資格-技術能力（續(xù)）技術能力基本知識b)能夠運用相關知識，c)能夠運用相關知識，識別、分析、評估信息安全運維工作中可能存在的隱患、風險，并按照相關的應對策略進行b)能夠運用相關知識，在信息安全運維工作中控制可能存在的相關信息安全法律法規(guī)、行業(yè)c)能夠運用相關知識，表達、應變、綜合分析與取證等安全應急處技術、其它相關專業(yè)、能夠運用信息安全運維相關知識，能夠在他人指導中完成監(jiān)測、預警、加固等安全運維工作，能夠在他人指導中處理安全漏洞補丁通告、惡意代碼防范和處理、安全事件響應與取DB21/T1793.7-202315.4.3復合能力復合能力要求參見表22。表22信息安全運維各等級職業(yè)資格-復合能力具備多專業(yè)、多領域相關知識儲備，并能在具備多專業(yè)、多領域了解多專業(yè)、多領域信息安全運維中系統融領域知識能力，并跟蹤相關知識儲備，并能在信息安全運維中系統融合和運用，并跟蹤新專相關知識，并注重在信息安全運維中增加知識儲備；并跟蹤新專業(yè)、掌握信息安全運維相關專業(yè)知識；能跟蹤新技術和安全新需求，更復力新專業(yè)、新技術和安全業(yè)、新技術和安全新需新技術和安全新需求，合新需求，持續(xù)更新知識深刻理解跨專業(yè)、領域的相關技術，并具備能夠理解跨專業(yè)、領域的相關技術，并具備了解跨專業(yè)、領域技掌握本專業(yè)技術和知識16信息安全審計16.1職業(yè)定義信息安全審計主要是針對需方的信息安全相關活動，由供方通過文件審核、記錄檢查、技術測試、現場訪談等手段，獲得審計證據，并對其進行客觀的評價，形成審計報告，確定被審計對象滿足審計依據的程度，幫助需方全面了解和掌握其信息安全工作的有效性、充分性和適宜性。信息安全審計的范圍通常包括信息安全管理目標、方針和策略，信息安全管理組織的建立，信息安全管理制度和流程，信息安全分類和保護體系，信息安全事件管理，信息安全教育和培訓，物理安全，系統開發(fā)安全，網絡安全，設備安全，操作系統安全，應用系統安全，數據安全，業(yè)務連續(xù)性管理以及供應商管理等。16.2等級信息安全審計設2個等級，即：職業(yè)資格6級（高級信息安全審計師）、職業(yè)資格5級（信息安全審計師）。16.3申報條件申報信息安全審計各等級職業(yè)資格，應符合以下條件之一：DB21/T1793.7-2023a)職業(yè)資格6級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關高級資格，并連續(xù)從事本職業(yè)工作5年以上；2)具有與從事本職業(yè)相關的專業(yè)領域碩士以上學歷，并連續(xù)從事與本職相關工作3年以上，并獲得認可的業(yè)務能力；3)取得信息安全審計師職業(yè)資格2年以上。4)在地區(qū)內具有重大影響和知名度，并獲得認可。b)職業(yè)資格5級：1)獲得國家計算機技術與軟件專業(yè)技術資格（水平）考試相關高級資格，并連續(xù)從事本職業(yè)工作3年以上；2)具有與從事本職業(yè)相關的專業(yè)領域本科以上學歷，并連續(xù)從事本職業(yè)工作5年以上，并獲得認可的業(yè)務能力；3)取得其它與本職業(yè)相關的職業(yè)資格5級及以上2年以上；4)在行業(yè)內具有重大影響和知名度，并獲得認可。16.4等級要求16.4.1業(yè)務能力業(yè)務能力要求參見表23。表23信息安全審計各等級職業(yè)資格-業(yè)務能力在地區(qū)內具有一定的知名度和影響力，成功主持省級以上重點、重大