注册信息安全专业人员认证指引-中国信息安全测评中心.DOC

注册信息安全专业人员 认证指南 发布日期：2002年8月 中国信息安全产品测评认证中心 目 录 0 引言 1 1 能力要求 2 2 注册人员范围 2 3 注册信息安全专业人员 道德准则 2 4 认证程序 3 5 培训 1 6 考试 1 7 申请认证 2 8 经历审核 3 9 评价、认证与公布 3 9.1评价 3 9.2认证与公布 3 10 保持认证 4 11 专业发展 6 12 处罚 6 13 争议、投诉与申诉 7 14 注册人员档案 7 15 有关费用 8 16 相关文件及表格 8 0 引言 中国信息安全产品测评认证中心(简称CNITSEC)是经中央批准成立的、代表国家开展信息安全测评认证工作的职能机构，依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国家信息安全测评认证体系。 中国信息安全产品测评认证中心的主要职能是： 对国内外信息安全产品和信息技术进行测评和认证； 对国内信息系统和工程进行安全性评估和认证； 对提供信息系统安全服务的组织和单位进行评估和认证； 对注册信息安全专业人员的资质进行评估和认证。 “中华人民共和国国家信息安全认证”是国家对信息安全技术、产品、信息系统安全质量以及信息安全服务资质、人员资质的最高认可。国家信息安全测评认证活动的技术依据是由中国国家信息安全测评认证管理委员会确认的有关产品质量认证和信息安全管理的国际标准、国家标准、行业标准和其他补充技术要求与技术规范。 “注册信息安全专业人员”，英文为Certified Information Security Professional (简称CISP)，根据实际岗位工作需要，CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer（简称CISE）; “注册信息安全管理人员”， 英文为Certified Information Security Officer(简称CISO)，“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。其中CISE主要从事信息安全技术开发服务工程建设等工作，CISO从事信息安全管理等相关工作，CISA从事信息系统的安全性审核或评估等工作。这三类注册信息安全专业人员是有关信息安全企业，信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全产品测评认证中心实施国家认证。 本指南适用于所有向CNITSEC提出申请“注册信息安全专业人员”认证的中华人民共和国公民。 1 能力要求 具备一定的信息安全基础知识，了解并掌握GB/T 18336、ISO 15408、ISO 17799等有关信息安全标准，具有进行信息安全服务的能力。其知识体系的要求详见“注册信息安全专业人员资质评估准则”。 2 注册人员范围 包括在国家信息安全测评认证机构（包含授权测评机构）、信息安全咨询服务机构、社会各组织、团体、企事业单位从事信息安全服务或高级安全管理工作的人员。 3 注册信息安全专业人员道德准则 注册信息安全专业人员必须严格履行其职责并遵守以下道德准则： 所有注册信息安全专业人员 （CISP）都必须付出努力才能获得和维持该项认证。为贯彻这条原则，所有的CISP都必须承诺完全遵守道德准则。 CISP必须诚实，公正，负责，守法； CISP必须勤奋和胜任工作，不断提高自身专业能力和水平； CISP必须保护信息系统、应用程序和系统的价值 CISP必须接受CNITSEC的监督，在任何情况下，不损坏CNITSEC或认证过程的声誉，对CNITSEC针对CISP而进行的调查应给予充分的合作； CISP必须按规定向CNITSEC交纳费用。 4 认证程序 CISP认证程序流程如下图，后续章节将对其中关键过程进行详细描述。 5 培训 为了具备CISP基本知识水平，申请者必须参加注册信息安全专业人员培训。CNITSEC将在或相关网站和媒体上公布授权培训机构。 6 考试 CNITSEC在 或相关网站和媒体上公布考试相关情况。考试内容见“注册信息安全专业人员资质评估准则”，但考试内容不仅限于大纲要求。 考试报名表可以从上下载填写或直接到CNITSEC认证认可部办理，联系地址： 中国信息安全产品测评认证中心 地址：北京市西三环北路27号北科大厦9层 邮编：10009