信息安全保障人员认证准则

中 国 认 证 认 可 协 会信息安全管理体系审核员注册准则第1版文件编号：CCAA－141发布日期：2012年6月19日©版权2012-中国认证认可协会信息安全管理体系审核员注册准则类别本准则为中国认证认可协会（CCAA）人员注册规范类文件。

本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。

本准则经CCAA批准发布。

批准编制：CCAA日期：2012年5月10日批准：CCAA日期：2012年6月19日实施：CCAA 日期：2012年6月19日信息所有CCAA文件都用中文发布。

标有最新发布日期的中文版CCAA文件是有效的版本。

CCAA将在其网站上公布所有CCAA相关准则的最新版本。

关于CCAA或CCAA人员注册的更多信息，请与CCAA人员注册部联系，联络地址如下：地址：北京市朝阳区朝外大街甲10号中认大厦13层邮编：100020email：pcc@版权©版权2012-中国认证认可协会前 言中国认证认可协会(CCAA)是国家认证认可监督管理委员会（CNCA）唯一授权的依法从事认证人员认证(注册)的机构，开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。

CCAA是国际人员认证协会(IPC)的全权成员，加入了IPC-QMS/EMS审核员培训与注册国际互认协议，人员注册结果在世界范围内得到普遍承认。

本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》（质检总局令第61号）、国家认监委《关于正式开展信息安全管理体系认证工作的公告》（2009年第47号公告）制定，考虑了中国的国情及认证/认可机构的要求，是建立信息安全管理体系（ISMS）审核员国家注册制度的基础性文件。

CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。

尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性，但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求，CCAA对此不承担责任。

第十期《我国信息安全技术标准体系与认证认可制度介绍》一. 什么是信息安全技术标准体系？为了规范信息系统建设、资源保护、管理、服务等信息安全各方面的建设,使信息安全在各个方面都有据可依，信息安全标准的制定显得十分重要，国际国内都形成了具有一定规模的信息安全标准体系.信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体，是编制信息安全标准编制、修订计划的重要依据,是促进信息安全领域内的标准组成趋向科学合理化的手段.信息安全技术领域有国际标准体系、国家标准体系、行业标准体系和地方标准体系等，而且通常高层次的标准体系对下有约束力。

事实上,在这些特定领域标准的执行还要看各个国家的管理法规和制度。

国际信息安全标准体系主要由信息系统安全的一般要求、开发安全技术和机制、开发安全指南和安全管理支撑性文件和标准等几部分组成。

二。

国内外信息安全标准化组织有哪些？国际上与信息安全标准化有关的组织主要有以下四个.1.ISO/IEC JTC1（信息技术标准化委员会）所属SC27（安全技术分委员会）的前身是SC20（数据加密技术分委员会），主要从事信息技术安全的一般方法和技术的标准化工作。

ISO/TC68负责银行业务应用范围内有关信息安全标准的制定，主要制定行业应用标准，与SC27有着密切的联系。

ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面。

2。

lEC在信息安全标准化方面除了与ISO联合成立了JTC1下的分委员会外,还在电信、信息技术和电磁兼容等方面成立了技术委员会，如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通信技术电子设备的安全等,并且制定相关国际标准。

3.ITU SG17组负责研究网络安全标准，包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务等.4。

IETF(Internet工程任务组）制定标准的具体工作由各个工作组承担。

各类认证人员资格评定准则认证人员资格评定准则是指为了确保认证人员的专业素质和能力达到一定标准，从而保证认证工作的真实、公正和可靠，制定的一系列规定和要求。

不同领域的认证人员有不同的资格评定准则，下面分别介绍常见的几类认证人员的资格评定准则。

质量管理体系是一种对企业承诺质量管理的方式，为确保其有效运作，需要由具备相应知识和技能的审核员来对企业进行审核。

质量管理体系认证审核员主要有以下要求：具备良好的道德、职业操守和沟通能力；了解质量管理体系的要求和相关标准；掌握审核方法和技巧；熟悉企业质量管理实践和相关行业知识。

能源管理体系认证是针对企业能源使用情况进行的认证，审核员需要具备相关的能源知识和能力。

能源管理体系认证审核员主要要求：了解能源管理体系的要求和相关标准；熟悉企业能源管理实践和相关行业知识；掌握能源监测和节能技术；具备良好的沟通和组织能力。

环境管理体系认证是对企业环境管理情况进行的认证，审核员需要具备相关的环境知识和能力。

环境管理体系认证审核员主要要求：了解环境管理体系的要求和相关标准；熟悉企业环境管理实践和相关法律法规；具备环境监测和评估技术；具备良好的沟通和组织能力。

食品安全管理体系认证是对企业食品安全管理情况进行的认证，审核员需要具备相关的食品安全知识和能力。

食品安全管理体系认证审核员主要要求：了解食品安全管理体系的要求和相关标准；熟悉企业食品安全管理实践和相关法律法规；具备食品安全监测和检验技术；具备良好的沟通和组织能力。

信息安全管理体系认证是对企业信息安全管理情况进行的认证，审核员需要具备相关的信息安全知识和能力。

信息安全管理体系认证审核员主要要求：了解信息安全管理体系的要求和相关标准；熟悉企业信息安全管理实践和相关法律法规；具备信息安全风险评估和防护技术；具备良好的沟通和组织能力。

总之，各类认证人员资格评定准则都要求其具备相关领域的知识和技能，具备良好的道德和职业操守，以及良好的沟通和组织能力。

注册信息安全专业人员资质评估准则发布日期：2002年8月中国信息安全产品测评认证中心目录一、总则 (5)二、使用范围和适用对象 (5)三、管理职责 (5)3.1 管理部门 (5)3.2 管理职责 (5)四、基本能力要求 (6)五、基本道德准则 (6)六、考核标准 (6)6.1.1 培训基本能力要求 (6)6.1.2 安全体系与模型 (7)6.1.2.1 多级安全模型 (7)6.1.2.2 多边安全模型 (7)6.1.2.3 安全体系结构 (7)6.1.2.4 Internet 安全体系架构 (7)6.1.2.5 信息安全技术测评认证 (7)6.1.2.6 信息安全国内外情况 (7)6.1.3 安全技术 (7)6.1.3.1 密码技术及其应用 (7)6.1.3.2 访问控制 (8)6.1.3.3 标识和鉴别 (8)6.1.3.4 审计及监控 (8)6.1.3.5 网络安全 (8)6.1.3.6 系统安全 (8)6.1.3.7 应用安全 (8)6.1.4 工程过程 (8)6.1.4.1 风险评估 (8)6.1.4.2 安全策略 (8)6.1.4.3 安全工程 (9)6.1.5 安全管理 (9)6.1.5.1 安全管理基本原则 (9)6.1.5.2 安全组织保障 (9)6.1.5.3 物理安全 (9)6.1.5.4 运行管理 (9)6.1.5.5 硬件安全管理 (9)6.1.5.6 软件安全管理 (10)6.1.5.7 数据安全管理 (10)6.1.5.8 人员安全管理 (10)6.1.5.9 应用系统管理 (11)6.1.5.10 操作安全管理 (11)6.1.5.11 技术文档安全管理 (11)6.1.5.12 灾难恢复计划 (11)6.2 注册信息安全管理人员（CISO） (12)6.2.1 培训基本能力要求 (12)6.2.1.2 安全策略 (12)6.2.1.3 安全工程 (12)6.2.2 安全管理 (12)6.2.2.1 安全管理基本原则 (12)6.2.2.3 物理安全 (12)6.2.2.4 运行管理 (13)6.2.2.5 硬件安全管理 (13)6.2.2.6 软件安全管理 (13)6.2.2.7 数据安全管理 (13)6.2.2.8 人员安全管理 (14)6.2.2.9 应用系统管理 (14)6.2.2.10 操作安全管理 (14)6.2.2.11 技术文档安全管理 (15)6.2.2.12 灾难恢复计划 (15)6.2.2.13 安全应急响应 (15)6.2.3 信息安全标准 (15)6.2.4 法律法规 (15)6.2.4.1 国家法律 (15)6.2.4.2 行政法规 (15)6.2.4.3 各部委有关规章及规范性文件 (15)6.3.1 培训基本能力要求 (15)6.3.2 安全体系与模型 (16)6.3.2.1 多级安全模型 (16)6.3.2.2 多边安全模型 (16)6.3.2.3 安全体系结构 (16)6.3.2.4 Internet 安全体系架构 (16)6.3.2.5 信息安全技术测评认证 (16)6.3.2.6.3 信息安全国内外情况 (16)6.3.3 安全技术 (16)6.3.3.1 密码技术及其应用 (16)6.3.3.2 访问控制 (17)6.3.3.3 标识和鉴别 (17)6.3.3.4 审计及监控 (17)6.3.3.5 网络安全 (17)6.3.3.6 系统安全 (17)6.3.3.7 应用安全 (17)6.3.4 工程过程 (17)6.3.4.1 风险评估 (17)6.3.4.2 安全策略 (17)6.3.4.3 安全工程 (18)6.3.5 安全管理 (18)6.3.5.2 安全组织保障 (18)6.3.5.3 物理安全 (18)6.3.5.4 运行管理 (18)6.3.5.5 硬件安全管理 (18)6.3.5.6 软件安全管理 (19)6.3.5.7 数据安全管理 (19)6.3.5.8 人员安全管理 (19)6.3.5.9 应用系统管理 (20)6.3.5.10 操作安全管理 (20)6.3.5.11 技术文档安全管理 (20)6.3.5.12 灾难恢复计划 (20)6.3.5.13 安全应急响应 (20)6.3.6 信息安全标准 (21)6.3.7 法律法规 (21)6.3.7.1 国家法律 (21)6.3.7.2 行政法规 (21)七、参考资料 (21)7.1 国外参考资料 (21)7.2 国内参考资料 (21)一、总则1.1 “注册信息安全专业人员”，英文为Certified Information Security Professional (简称CISP)，根据实际岗位工作需要，CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer（简称CISE）; “注册信息安全管理人员”，英文为Certified Information Security Officer(简称CISO)，“注册信息安全审核员”英文为Certified Information Security Auditor(简称CISA)。

信息安全保障人员认证（Certified Information Security Assurance Worker，CISAW）体系是中国信息安全认证中心（CHINA INFORMATION SECURITY CERTIFICATION CENTER，ISCCC，简称：信安中心）面向信息安全保障领域不同专业、行业、岗位、不同层次信息安全技术和管理人员的培训认证体系，特别是与信息安全工作直接密切相关的中高级管理人员、专业技术人员等推出的信息安全保障人员资格认证和专业水平认证。

CISAW认证依据RB/T202-2013《信息安全保障人员认证准则》开展认证培训。

通过CISAW认证，表明获证人员：1.通过了ISCCC-COP-R02《信息安全保障人员认证考试大纲》要求的相应从业方向、业务领域的技术知识水平与应用能力考试；（特别：预备级人员需通过信安中心认定的学历教育选修课程考试和基础课程考试）2.履行了ISCCC-COP-R01《信息安全保障人员认证规则》规定的义务；3.达到了信息安全保障人员应具有的职业素养、教育经历、从业经历的要求（预备级无从业经历要求）；4.证书可作为有关证书采信部门对上岗人员要求的资格证明和能力证明。

所有获证人员除符合本准则要求之外，还应遵守本国或地区的有关法律、法规。

CISAW通过考试和其它评价方式证明获证人员具备了在一定的专业方向上从事信息安全保障工作的个人素质和相应的技术知识与应用能力，以供用人单位采信，或选用具备能力资格的信息安全保障人员到合适的岗位。

表1CISAW体系结构技术专业认证应用领域认证专业高级安全软件、安全集成、安全管理、安全咨询、安全运维、安全审计、风险管理、应急服务、灾备服务、工控安全、电子认证、网络攻防、云安全、业务连续性、物联网安全专业高级电子政务、电子商务、交通服务、医疗服务、教育服务、能源服务、金融服务、通信服务、宾馆服务、物流服务、CA服务专业级专业级专业资格专业资格预备级CISAW体系总体分为预备人员认证和在职人员认证，在职人员认证又包括了技术专业认证和应用领域认证两个类别，如表1所示。

信息安全工程师与信息安全保障人员认证证书信息安全工程师与信息安全保障人员认证证书1. 介绍信息安全在现代社会中变得越来越重要。

随着互联网的普及和数据的快速增长，保护个人隐私和重要数据的需求也与日俱增。

为此，许多组织和企业开始聘用信息安全工程师和信息安全保障人员来保护他们的网络和系统。

在这个领域拥有合适的技能和资格是至关重要的，而获得信息安全工程师和信息安全保障人员认证证书则是衡量一个人在信息安全领域的专业能力的标准之一。

2. 信息安全工程师证书信息安全工程师（Certified Information Systems Security Professional，简称CISSP）证书是全球范围内最著名的信息安全证书之一。

它由国际信息系统安全认证联盟（International Information Systems Security Certification Consortium，简称(ISC)²）颁发。

获得CISSP证书需要通过严格的考试，考察知识和技能在信息安全的各个领域的应用情况。

该证书要求持有人具备对安全管理、安全模型、安全架构、安全评估和测试、安全操作和安全与法律合规等方面的深入理解和实践经验。

通过获得CISSP证书，一名信息安全工程师能够展示其在信息安全管理和实践中的专业能力，提高职业竞争力。

3. 信息安全保障人员认证证书信息安全保障人员认证证书（Certified Information Security Manager，简称CISM）是由全球信息系统审计和控制协会（Information Systems Audit and Control Association，简称ISACA）颁发的证书。

CISM证书旨在认证具备信息安全管理和战略规划方面知识和经验的人员。

持有CISM证书的人员需要通过考试，证明其对信息安全管理、风险管理、合规性、安全策略和制度以及安全意识的全面了解。

信息安全保障人员认证（CISAW）安全集成方向考试大纲（基础级/专业级）第一部分考核目标与要求本考试大纲依据《信息安全保障人员认证准则》，确定信息安全保障人员认证（CISAW）安全集成方向的考试目标和要求。

信息安全保障人员认证（CISAW）安全集成方向的考试着重考查考生对信息系统安全集成的知识与理论在项目建设中的综合应用；主要考查考生在信息系统安全集成方面的基础知识和基本技能掌握程度与综合运用所学知识分析、解决安全集成问题的能力。

本考试大纲适用于申请信息安全保障人员认证（CISAW）安全集成方向基础级和专业级的考生。

第二部分对知识考点内容的要求层次本考试对知识考点层次的要求依次是了解、理解、综合应用三个层次，具体内容要求如下：1.了解：要求考生对所列知识的含义有初步的、感性的认识，知道这一知识内容是什么，按照一定的程序和步骤照样模仿，并能(或会)在有关的问题中识别和认识它。

2.理解：要求考生对所列知识内容有较深刻的理性认识，知道知识间的逻辑关系，能够对所列知识做正确的描述说明并表达，能够利用所学的知识对有关问题进行比较、判别、讨论，具备利用所学知识解决简单问题的能力。

3.综合应用：要求考生能够对所列的知识内容进行推导证明，能够利用所学知识对问题进行分析、研究、讨论，并且加以解决。

第三部分能力要求考生应具备一定的信息安全及相关领域基本知识和项目实施经验，具备安全集成工程建设、项目管理及技术服务所需的沟通理解能力、数据处理能力、推理论证能力、实验操作能力、总结分析能力，具体要求如下：1.沟通理解能力：用于安全集成工程的需求调研、用户及团队协调沟通的基本能力；2.数据处理能力：用于安全集成工程的需求分析、安全测试、试运行过程的数据记录、分析处理等基本能力，以及风险识别与评估的专业能力；3.推理论证能力：用于安全集成工程的技术方案和实施方案设计、完工总结、系统安全性验证和确认的综合能力；4.实验操作能力：用于安全集成工程的工程实施、设备调试、安全测试等实验操作能力；5.总结分析能力：用于安全集成工程、项目管理等需求分析、方案设计、建设实施和安全保障四个阶段的综合分析处理能力。

单位信息安全保障制度及管理办法范本[公司/单位名称]信息安全保障制度及管理办法第一章总则第一条为有效保障公司/单位的信息安全，促进公司/单位的安全运营和发展，制定本制度及管理办法。

第二条本制度及管理办法适用于公司/单位各部门和所有员工。

第三条信息安全是公司/单位的重要资产，是公司/单位经营和管理的基础和前提。

所有员工都有责任积极参与信息安全工作，共同维护公司/单位的信息安全。

第四条公司/单位将建立完善的信息安全管理体系，组织开展信息安全培训、安全检查和安全意识宣传，加强信息安全风险评估和防护措施，形成全员参与、共同推进的信息安全保障机制。

第二章信息安全责任第五条公司/单位设立信息安全管理职责部门，负责公司/单位的信息安全管理和保障工作，具体职责包括但不限于：1. 制定公司/单位信息安全制度、管理办法和相关规章制度；2. 组织开展信息安全培训和安全意识宣传；3. 定期开展信息系统的安全评估、漏洞扫描和安全测试；4. 负责信息安全事件的应急处理和事后调查；5. 监测和分析公司/单位的信息安全风险，制定相应的防护措施。

第六条公司/单位各部门负责自身信息安全工作，具体职责包括但不限于：1. 制定和执行本部门的信息安全制度和管理办法；2. 做好员工的信息安全培训和安全意识宣传工作；3. 监测和处理本部门的信息安全事件，及时上报并配合信息安全管理职责部门进行处理；4. 定期进行信息安全漏洞扫描和安全测试，及时修复漏洞。

第七条公司/单位所有员工有义务遵守信息安全制度和管理办法，保护公司/单位的信息安全，不得泄漏、篡改、破坏公司/单位的信息资源。

发现信息安全风险或漏洞应及时上报，积极参与信息安全培训和安全演练。

第三章信息安全管理第八条公司/单位将建立健全的信息安全管理体系，确保信息资产的机密性、完整性和可用性。

第九条公司/单位将进行信息安全风险评估，确定关键信息资产，并制定相应的防护措施。

第十条公司/单位将采取技术手段和管理措施，确保信息系统和网络的安全。

信息安全管理体系审核员注册准则信息安全管理体系（ISMS）审核员注册准则1. 引言信息安全管理体系（ISMS）是一个组织内部用于保护信息和数据的系统。

随着信息技术的快速发展和普及，信息安全管理变得尤为重要。

为了确保ISMS的有效实施和运作，需要专业的审核员来对其进行评估和审查。

本文旨在制定ISMS审核员注册准则，以确保审核员具备必要的知识和技能，能够有效地履行他们的职责。

2. 注册要求为了成为一名ISMS审核员，个人必须满足以下要求：2.1 教育背景：持有相关信息技术、信息安全或相关领域的学士学位或以上学历。

2.2 工作经验：至少有5年的信息安全管理或相关领域的工作经验。

2.3 认证培训：完成经认可的ISMS审核员培训课程，并取得相应的证书。

例如，ISO 27001审核员培训课程。

2.4 相关技能：具备良好的沟通和组织协调能力，熟悉信息安全管理标准和最佳实践。

了解信息系统和网络安全，熟悉常见的安全威胁和漏洞。

3. 注册程序3.1 申请资格评估：个人向相关注册机构提交申请，提供相关学历和工作经验证明。

注册机构对申请人的资格进行评估，确保其符合注册要求。

3.2 培训要求：注册机构指定经认可的ISMS审核员培训课程，申请人需完成培训，并通过培训考试。

3.3 注册考试：申请人需参加注册考试，测试其在信息安全管理和审核方面的知识和能力。

3.4 注册审核：通过培训和考试的申请人，将提交完整的注册申请表和相关证明材料给注册机构。

注册机构对申请资料进行审核，并进行注册决定。

3.5 注册证书：通过注册审核的个人将获得ISMS审核员注册证书，有效期为3年。

4. 注册审核员责任注册审核员在履行其职责时，应遵守以下要求：4.1 客观公正：审核员应以客观、公正的态度履行职责，不受外界压力和利益的影响，遵守职业操守。

4.2 保密性：审核员应保护组织信息的机密性，不得泄露或滥用信息。

4.3 专业素养：审核员应不断更新和提升自身的知识和技能，熟悉最新的信息安全管理标准和最佳实践。