注册信息安全专业人员能力评估准则 - 中国安全网.doc

注册信息安全专业人员 资质评估准则 发布日期：2002年8月 中国信息安全产品测评认证中心 目 录 一、总则 5 二、使用范围和适用对象 5 三、管理职责 5 3.1 管理部门 5 3.2 管理职责 5 四、基本能力要求 6 五、基本道德准则 6 六、考核标准 6 6.1.1 培训基本能力要求 6 6.1.2 安全体系与模型 7 6.1.2.1 多级安全模型 7 6.1.2.2 多边安全模型 7 6.1.2.3 安全体系结构 7 6.1.2.4 Internet 安全体系架构 7 6.1.2.5 信息安全技术测评认证 7 6.1.2.6 信息安全国内外情况 7 6.1.3 安全技术 7 6.1.3.1 密码技术及其应用 7 6.1.3.2 访问控制 8 6.1.3.3 标识和鉴别 8 6.1.3.4 审计及监控 8 6.1.3.5 网络安全 8 6.1.3.6 系统安全 8 6.1.3.7 应用安全 8 6.1.4 工程过程 8 6.1.4.1 风险评估 8 6.1.4.2 安全策略 8 6.1.4.3 安全工程 9 6.1.5 安全管理 9 6.1.5.1 安全管理基本原则 9 6.1.5.2 安全组织保障 9 6.1.5.3 物理安全 9 6.1.5.4 运行管理 9 6.1.5.5 硬件安全管理 9 6.1.5.6 软件安全管理 10 6.1.5.7 数据安全管理 10 6.1.5.8 人员安全管理 10 6.1.5.9 应用系统管理 11 6.1.5.10 操作安全管理 11 6.1.5.11 技术文档安全管理 11 6.1.5.12 灾难恢复计划 11 6.1.5.13 安全应急响应 11 6.2 注册信息安全管理人员（CISO） 12 6.2.1 培训基本能力要求 12 6.2.1.2 安全策略 12 6.2.1.3 安全工程 12 6.2.2 安全管理 12 6.2.2.1 安全管理基本原则 12 6.2.2.3 物理安全 12 6.2.2.4 运行管理 13 6.2.2.5 硬件安全管理 13 6.2.2.6 软件安全管理 13 6.2.2.7 数据安全管理 13 6.2.2.8 人员安全管理 14 6.2.2.9 应用系统管理 14 6.2.2.10 操作安全管理 14 6.2.2.11 技术文档安全管理 15 6.2.2.12 灾难恢复计划 15 6.2.2.13 安全应急响应 15 6.2.3 信息安全标准 15 6.2.4 法律法规 15 6.2.4.1 国家法律 15 6.2.4.2 行政法规 15 6.2.4.3 各部委有关规章及规范性文件 15 6.3.1 培训基本能力要求 15 6.3.2 安全体系与模型 16 6.3.2.1 多级安全模型 16 6.3.2.2 多边安全模型 16 6.3.2.3 安全体系结构 16 6.3.2.4 Internet 安全体系架构 16 6.3.2.5 信息安全技术测评认证 16 6.3.2.6.3 信息安全国内外情况 16 6.3.3 安全技术 16 6.3.3.1 密码技术及其应用 16 6.3.3.2 访问控制 17 6.3.3.3 标识和鉴别 17 6.3.3.4 审计及监控 17 6.3.3.5 网络安全 17 6.3.3.6 系统安全 17 6.3.3.7 应用安全 17 6.3.4 工程过程 17 6.3.4.1 风险评估 17 6.3.4.2 安全策略 17 6.3.4.3 安全工程 18 6.3.5 安全管理 18 6.3.5.1 安全管理基本原则 18 6.3.5.2 安全组织保障 18 6.3.5.3 物理安全 18 6.3.5.4 运行管理 18 6.3.5.5 硬件安全管理 18 6.3.5.6 软件安全管理 19 6.3.5.7 数据安全管理 19 6.3.5.8 人员安全管理 19 6.3.5.9 应用系统管理 20 6.3.5.10 操作安全管理 20 6.3.5.11 技术文档安全管理 20 6.3.5.12 灾难恢复计划 20 6.3.5.13 安全应急响应 20 6.3.6 信息安全标准 21 6.3.7 法律法规 21 6.3.7.1 国家法律 21 6.3.7.2 行政法规 21 七、参考资料 21 7.1 国外参考资料 21 7.2 国内参考资料 21 一、总则 1.1 “注册信息安全专业人员”，英文为Certified Information Security Professional (简称CISP)，根据实际岗位工作需要，CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer（简称CISE）; “注册信