為加強信息安全等級保護測評機構建設和管理,規範等級測評活動,保障信息安全等級保護測評工作的順利開展,公安部下發了《關於推動信息安全等級保護測評體系建設和開展等級測評工作的通知》(公信安[2010]303號),對等級測評工作、等級測評機構建設以及等級測評人員進行了規範和要求。要求開展等級測評的人員參加專門培訓和考試,並取得《信息安全等級測評師證書》(等級測評師分為初級、中級和高級)。
基本介紹
- 中文名:等級測評師
- 單位下發:公安部
- 要求:需持等級測評師證上崗
- 級別劃分:初級等級測評師、中級等級測評師
證書頒發,能力要求,考試對象,報名,培訓,考試,證書,
證書頒發
等級測評人員需持等級測評師證上崗。 公安部信息安全等級保護評估中心(以下簡稱“評估中心”)是由公安部為建立信息安全等級保護制度,構建國家信息安全保障體系而專門批准成立的專業技術支撐機構,評估中心受國家信息安全等級保護工作協調小組辦公室委託,對從事等級測評的人員進行培訓和考試,對考試合格人員頒發相應的《信息安全等級測評師》證書。
能力要求
信息安全等級測評師分為初級等級測評師、中級等級測評師和高級等級測評師三級。
初級等級測評師: 初級等級測評師又分為技術和管理兩類。了解信息安全等級保護的相關政策、標準;熟悉信息安全基礎知識;熟悉信息安全產品分類,了解其功能、特點和操作方法;掌握等級測評方法,能夠根據測評指導書客觀、準確、完整地獲取各項測評證據;掌握測評工具的操作方法,能夠合理設計測試用例獲取所需測試數據;能夠按照報告編制要求整理測評數據。
中級等級測評師: 熟悉信息安全等級保護相關政策、法規;正確理解信息安全等級保護標準體系和主要標準內容,能夠跟蹤國內、國際信息安全相關標準的發展;掌握信息安全基礎知識,熟悉信息安全測評方法,具有信息安全技術研究的基礎和實踐經驗;具有較豐富的項目管理經驗, 熟悉測評項目的工作流程和質量管理的方法,具有較強的組織協調和溝通能力;能夠獨立開發測評指導書,熟悉測評指導書的開發、版本控制和評審流程;能夠根據信息系統的特點,編制測評方案,確定測評對象、測評指標和測評方法;具有綜合分析和判斷的能力,能夠依據測評報告模板要求編制測評報告,能夠整體把握測評報告結論的客觀性和準確性。具備較強的文字表達能力;了解等級保護各個工作環節的相關要求。能夠針對測評中發現的問題,提出合理化的整改建議。
高級等級測評師: 熟悉和跟蹤國內、外信息安全的相關政策、法規及標準的發展;對信息安全等級保護標準體系及主要標準有較為深入的理解;具有信息安全理論研究的基礎、實踐經驗和研究創新能力;具有豐富的質量體系管理和項目管理經驗,具有較強的組織協調和管理能力;熟悉等級保護工作的全過程,熟悉定級、等級測評、建設整改各個工作環節的要求。
考試對象
信息安全等級測評師培訓及考試對象是等級測評機構中從事等級測評工作的測評人員。要求這些測評人員在具備信息安全基礎知識的前提下,參加初級、中級或高級等級測評師的專門培訓和考試,從而滿足等級測評工作崗位的需要。 1)初級等級測評師 初級等級測評師的培訓對象是網路安全、主機安全、套用安全、安全管理和工具測試人員等。報考人員需要具備信息安全基礎知識和信息安全相關工作經驗,熟悉TCP/IP 網路協定,了解標識與鑑別、訪問控制等安全技術及原理,熟悉主流伺服器作業系統、路由器、交換機、防火牆等設備的操作與配置。 2)中級等級測評師 中級等級測評師的培訓對象是項目負責人(或項目組長)。報考人員需要具備信息安全理論基礎,對系統安全、網路安全、套用安全等有深入了解,作為項目負責人組織實施過信息系統安全測評項目,熟悉國內外信息安全相關產品的特性,具有較豐富的測評實踐經驗、良好的溝通協作和文字表達能力。 3) 高級等級測評師 高級等級測評師的培訓對象是技術負責人(或技術總監)。報考人員需要具備信息安全理論基礎,具有信息安全理論、信息安全技術的研究和實踐經驗,從事過網路信息安全方面的測評、規劃、設計、實施、運維等工作。熟悉信息安全標準和產品特性,熟悉信息安全技術發展動向。
報名
3.1 報名申請
信息安全等級測評師培訓及考試報名以等級測評機構為單位統一報名。採用測評機構統一推薦的方式,依照“崗位對應,比例協調”的原則進行。初、中、高級等級測評師分別對應等級測評機構的測評員、項目負責人(或項目組長)和技術負責人(或技術總監)三個工作崗位。各等級測評機構應當根據人員崗位按65%、30%和5%的比例推薦本單位測評人員報名參加初、中、高級等級測評師的考試(其中,初級等級測評師又分為技術和管理兩類)。例如,一個測評機構有測評人員15名,按照初級(技術)8名,初級(管理)2名,中級4名,高級1名的比例報名。
3.2 報名確認
評估中心對等級測評機構的報名比例和人員基本情況進行核對,核對通過的,通知等級測評機構的報考人員登錄培訓系統進行報考人員信息註冊(現階段培訓系統未上線前採用線下填報人員信息表)。 對於報考人員比例不符合要求的等級測評機構,評估中心將通知其進行相應的調整後重新報名。
對發現人員基本情況明顯不具備培訓基礎的報考人員,評估中心告知等級測評機構該報考人員可能無法通過等級測評師的考試。
3.3 報名交費
通過報名確認後,評估中心通知等級測評機構按照報名的情況繳納培訓和考試費用。培訓和考試費以等級測評機構為單位一次交納。收費標準依據《等級測評師培訓及考試收費標準》。報名交費採用匯款或支票的方式。
培訓
評估中心組織對報考初、中和高級等級測評師考試的人員進行專門的培訓,通過培訓後方可參加相應的等級測評師考試。人員培訓採用網路培訓和集中培訓相結合的方式(現階段培訓系統未上線時採用集中培訓方式)。網路培訓要求學員通過網際網路登錄培訓系統線上接受培訓。網上培訓完成後,參加集中培訓。集中培訓以重點內容、複習、現場答疑和考前輔導為主。評估中心提前公布集中培訓計畫,集中培訓原則上根據報名情況具體安排培訓時間和地點。
4.1 培訓課程安排
級別 | 培訓課程 | 課程設定目的 |
初級 | 信息安全等級保護政策 | 了解信息安全等級保護的相關政策、標準。 |
等級保護相關標準套用 | 了解信息安全等級保護的相關政策、標準。 | |
網路安全測評 | 熟悉網路測評內容、要求和方法,能夠根據測評指導書客觀、準確、完整地獲取各項測評證據; 能夠按照報告編制要求整理測評數據,開展等級測評工作。 | |
主機安全測評 | 熟悉主機測評內容、要求和方法,能夠根據測評指導書客觀、準確、完整地獲取各項測評證據; 能夠按照報告編制要求整理測評數據,開展等級測評工作。 | |
套用和數據安全測評 | 熟悉套用和資料庫安全測評內容、要求和方法,能夠根據測評指導書客觀、準確、完整地獲取各項測評證據; 能夠按照報告編制要求整理測評數據,開展等級測評工作。 | |
安全管理和物理測評 | 熟悉安全管理和物理測評內容、要求和方法,能夠根據測評指導書客觀、準確、完整地獲取各項測評證據; 能夠按照報告編制要求整理測評數據,開展等級測評工作。 | |
工具測試方法 | 掌握測評工具的操作方法,能夠合理設計測試用例獲取所需測試數據。 | |
中級 | 信息安全等級保護政策 | 熟悉信息安全等級保護相關政策、法規。 |
等級保護相關標準套用 | 正確理解信息安全等級保護標準體系和主要標準內容。 | |
信息系統安全等級保護基本要求 | 熟悉標準結構,熟悉不同級別系統之間的差別、熟悉各級安全要求內容。 | |
信息系統安全等級保護測評方法 | 熟悉信息安全等級測評方法,能夠獨立開發測評指導書,並熟悉測評指導書的開發、版本控制和評審流程; 能夠根據信息系統的特點,編制測評方案,確定測評對象、測評指標和測評方法; 能夠依據測評報告模板要求編制測評報告,能夠整體把握測評報告結論的客觀性和準確性。 | |
信息系統安全等級保護測評實施 | 熟悉等級測評項目的工作流程和質量管理的方法。 | |
項目管理 | 熟悉項目管理的主要內容和關鍵環節。掌握項目質量管理、進度管理、風險管理方法。 | |
高級 | 信息安全等級保護政策 | 熟悉信息安全等級保護相關政策、法規。 |
等級保護相關標準套用 | 正確理解信息安全等級保護標準體系和主要標準內容。 | |
美國信息系統安全保護政策和標準 | 熟悉和跟蹤國外信息安全的相關政策、法規及標準的發展。 | |
我國信息安全標準體系 | 熟悉信息安全等級保護標準體系及主要標準。 | |
信息安全技術發展趨勢 | 掌握網路與信息安全的理論基礎和發展趨勢。 | |
信息系統測評原理與方法 | 掌握系統測評的原理和方法以及測評過程。 | |
測評機構的質量體系建設 | 熟悉質量體系和制度建設的主要內容。 |
4.2 參考教材
評估中心專門為信息安全等級測評師編寫了培訓教材,教材分為信息安全等級測評師培訓教材(初級)、信息安全等級測評師培訓教材(中級)和信息安全等級保護政策培訓教程。學員還可以參考其他信息安全相關培訓教材。
考試
5.1 考試方式
1)初級等級測評師
初級測評師考試採用筆試的方式,滿分100分,合格分數線為60分;筆試時間為120分鐘。
2)中級等級測評師
中級等級測評師考試採用筆試加面試的方式,滿分100分, 筆試和面試成績各占50分,合格分數線為60分;筆試時間為120分鐘,面試時間為15分鐘。 評估中心組織專家對參加中級等級測評師考試的考生進行面試。參加面試人員需要介紹本人參加過的系統測評項目的情況及承擔的主要工作(5分鐘),專家通過質詢及評審相關材料對面試人員的能力進行考評。(評審相關材料主要包括測評指導書和等級測評報告,等級測評機構派專人將面試人員負責編寫的測評指導書和測評報告送達面試現場,面試結束後收回。)
如果測評機構的現場能力評估在面試之前,面試人員的測評指導書和報告的編制情況也可在等級測評機構現場能力評估時考核。
3)高級等級測評師
高級等級測評師考試採用筆試加面試的方式,滿分100分,筆試占40分,面試占60分;筆試時間為100分鐘,面試時間為20分鐘。 評估中心組織專家對參加高級等級測評師考試的考生進行面試。參加面試人員需要提交本人工作總結,並簡要介紹主要項目經歷(5分鐘)。專家通過質詢及評審相關材料對面試人員的能力進行考評。
5.2 考試時間
等級測評師筆試時間安排在集中培訓後進行,在筆試結束後進行中、高級等級測評師的面試。 評估中心提前公布筆試及面試具體時間安排。並通知考生提前登錄培訓系統列印准考證。
5.3 成績公布
考試結束五個工作日後,評估中心公布考試通過人員名單。應考人員對考試結果有異議的,應當在考試結果公布之日起五日內向評估中心提出成績查詢申請。評估中心按照成績查詢程式受理,並在五個工作日內反饋查詢結果。 未通過考試的人員,可以免費參加一次集中培訓,但參加考試需要重新報名和交費。
5.4考試紀律
考生應當遵守《等級測評師考試考場規則》,違反考場規則的,將依據《等級測評師考試違紀作弊處理規則》對其進行處理。 報名參加考試的人員,有違反考試規定或弄虛作假的,兩年內不受理其考試報名申請;已經參加考試的,取消考試成績。
證書
6.1 證書獲取
在考試結果公布後,評估中心統一印製並頒發《信息安全等級測評師》證書。證書頒發以測評機構為單位,通過測評機構轉發給獲證人員。
6.2 證書使用
《信息安全等級測評師》證書應當妥善保管,不得塗改、出借、出租和轉讓。
6.3 證書換髮
《信息安全等級測評師》證書如有遺失,應當由所在測評機構出具證明,向評估中心提出證書補發申請。《信息安全等級測評師》證書因損毀影響使用的,可以向評估中心申請更換新證書,更換新證書的,原證書應當收回。
6.4 證書查詢
評估中心定期更新《信息安全等級測評師》證書持有人目錄,並向社會公布,可以通過網站查驗《信息安全等級測評師》證書的真實性。
