精品文档注册信息安全专业人员CISP指南注册信息安全专业人员.docx
《精品文档注册信息安全专业人员CISP指南注册信息安全专业人员.docx》由会员分享,可在线阅读,更多相关《精品文档注册信息安全专业人员CISP指南注册信息安全专业人员.docx(13页珍藏版)》请在冰点文库上搜索。
精品文档注册信息安全专业人员CISP指南注册信息安全专业人员
信息安全专业人员
注册指南
中国信息安全测评中心
二00八年八月
0引言1
1能力要求1
2注册人员范围1
3注册信息安全专业人员道德准则2
4注册程序3
5培训4
6考试4
7申请注册5
8经历审核6
9评估、注册与公布6
9.1评估6
9.2注册与公布6
10注册维持7
11专业发展9
12处罚9
13争议、投诉与申诉10
14注册人员档案11
15有关费用11
0引言
中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。
对信息安全服务和人员的资质进行审核与评价。
中国信息安全测评中心的英文名称为:
,简称:
。
中国信息安全测评中心始建于1997年,1998年以“中国互联网络安全产品测评认证中心”的名称试运行。
同年经国家技术监督局授权为“中国国家信息安全测评认证中心”。
2001年,中央机构编制委员会将其正式定名为“中国信息安全产品测评认证中心”,并批准了相应的职能任务和机构编制。
2007年,经中央批准,增加漏洞分析和风险评估职能,更名为“中国信息安全测评中心”,成为国家信息安全专控队伍。
(以下简称中心)
“注册信息安全专业人员”,英文为(简称),根据实际岗位工作需要,分为三类,分别是“注册信息安全工程师”,英文为(简称);“注册信息安全管理人员”,英文为(简称),“注册信息安全审核员”英文为(简称)。
其中主要从事信息安全技术开发服务工程建设等工作,从事信息安全管理等相关工作,从事信息系统的安全性审核或评估等工作。
这三类注册信息安全专业人员是有关信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全测评中心实施注册。
本指南适用于所有向提出申请“注册信息安全专业人员”的中华人民共和国公民。
1能力要求
具备一定的信息安全基础知识,了解并掌握18336、15408、17799等有关信息安全标准,具有进行信息安全服务的能力。
其知识体系的要求详见“注册信息安全专业人员资质评估准则”。
2注册人员范围
包括在国家信息安全测评机构、信息安全咨询服务机构、社会各组织、团体、企事业单位从事信息安全服务或高级安全管理工作的人员。
3注册信息安全专业人员道德准则
注册信息安全专业人员必须严格履行其职责并遵守以下道德准则:
1)所有注册信息安全专业人员()都必须付出努力才能注册。
为贯彻这条原则,所有的都必须承诺完全遵守道德准则。
2)必须诚实,公正,负责,守法;
3)必须勤奋和胜任工作,不断提高自身专业能力和水平;
4)必须保护信息系统、应用程序和系统的价值
5)必须接受的监督,在任何情况下,不损坏或注册过程的声誉,对针对而进行的调查应给予充分的合作;
6)必须按规定向交纳费用。
4注册程序
注册程序流程如下图,后续章节将对其中关键过程进行详细描述。
5培训
为了具备基本知识水平,申请者必须参加注册信息安全专业人员培训。
将在或相关网站和媒体上公布授权培训机构。
6考试
在或相关网站和媒体上公布考试相关情况。
考试内容见“注册信息安全专业人员资质评估准则”,但考试内容不仅限于大纲要求。
考试报名表可以从上下载填写或直接到公共服务部办理,联系地址:
中国信息安全测评中心
地址:
北京市海淀区上地西路8号院一号楼
邮编:
100085
电话:
82341118/82341818
传真:
82341100
网址:
电子信箱:
7申请注册
注册受理部门是公共服务部,联系方式同上。
注册申请要求
注册
级别
注册要求与申请材料
注
册
信
息
安
全
专
业
人
员
●注册要求
1.教育与工作经历
•硕士研究生以上,具有1年工作经历;或
•本科毕业,具有2年工作经历;或
•大专毕业,具有4年工作经历。
2.专业工作经历
至少具备1年从事信息安全有关的工作经历。
3.培训资格
在申请注册前,成功地完成了或其授权培训机构组织的注册信息安全专业人员培训课程相应资质所需的分类课程,并取得培训合格证书。
4.通过由举行的注册信息安全专业人员考试;
●申请材料
1.注册申请表,纸版、电子版各一份;
2.学历证书复印件;
3.注册信息安全专业人员培训合格证书;
4.举行注册信息安全专业人员的考试成绩单;
5.申请人专业工作证明文件;需单位证明;
6.交纳规定的注册申请费用;
7.近期二寸照片两张。
承诺对注册申请者的申请材料予以保密,不向第三方提供。
8经历审核
注册信息安全专业人员应提交能证明其从事信息专业经历的文件,例如:
1)雇主或所工作的组织机构提供的文件;
2)个人从事专业工作的证明文件。
9评估、注册与公布
9.1评估
9.1.1应对注册信息安全专业人员的注册及复查换证的申请进行技术评价,作出是否予以批准的决定。
9.1.2注册申请人在向递交注册申请材料前,须对照相应的“注册信息安全专业人员注册指南”逐项检查所填报材料的完整性和正确性。
每份申请到达后,初审人员首先对申请材料的完整性进行初审,如果材料不完整,将通知申请人补充材料或退回。
9.1.3当确认申请材料完整后,将由2名与申请方无利益关系的技术评估人员审查申请材料中各项内容是否符合相应的要求,并以抽样方式对其提供的材料进行验证。
如果根据申请人提供的信息不能作出是否准予注册的决定,则要求申请人澄清或增加信息,必要时安排面谈。
9.2注册与公布
对准予注册的申请人,将公布注册人员名录并向申请人发放注册证书。
证书持有人应遵守“证书及标志使用说明”中的有关规定。
9.2.1在信息安全相关专业媒体或中心网站上公布“注册信息安全专业人员”名录,包括以下内容:
1)注册人员姓名;2)注册类型;
3)注册日期;4)证书编号。
9.2.2将按期公布名单/名录,如不愿公布自己的信息,须在递交申请书时予以说明。
若工作、联系方式变动时,须及时通知,可通过电子邮件或信件联系。
10注册维持
10.1每位注册的需通过持续的信息安全专业发展来保持其能力和素质。
10.2将通过评价申请表中的信息、专业发展记录来验证每一位的工作能力,同时还通过申诉系统、现场见证、从聘用机构调阅档案以及向受服务方调查等方式来验证的工作和素质。
10.3注册证书在三年有效期内实行年度确认制度,第3年进行复查换证。
注册维持要求
注册
级别
注册维持要求,复查换证与申请材料
信
息
安
全
专
业
人
员
●复查换证要求
注册资格每三年进行一次复查换证。
在证书有效期届满前60天内,须提出复查换证申请。
年度确认
在证书有效期内,完成规定的年度确认,并且合格。
专业经历
完成至少6次完整的信息安全服务经历〖注1〗。
专业发展
三年内应至少完成60分以上的专业发展活动。
遵守注册信息安全专业人员行为准则。
●申请材料
1.注册信息安全专业人员复查换证申请表(原件);
2.提交的专业经历记录包括:
注册信息安全专业人员专业经历记录或相应的服务咨询合同(原件或复印件)。
3.本文第11条规定的注册信息安全专业人员专业发展证实材料(即3年专业发展记录);
4.交纳复查换证申请费用;
5.近期两寸照片两张。
说明:
对审定不合格的申请材料,将通知补充材料或退还。
若属重新申报,应在信封和申请表的左下角注明“重新申报”字样,附上须重新申报的证明,并交纳重新申报费用。
〖注1〗:
信息安全服务是指信息安全工程的设计、实施、测试、运行和维护,以及相关的咨询和培训活动。
具体形式包括:
包括:
1)安全工程:
为信息系统进行安全方案设计、施工、验证、运行和维护;2)安全测试和监控:
对已有信息安全系统进行安全性测试和对保护装置总体(包括硬件、软件、固件和负责执行安全策略的组合体等)进行调整、增补与删除;对信息系统进行监控和提出安全承诺;3)安全相关施工:
对信息安全系统外部设施(包括通信线路、链路、信道/隐蔽信道、保护建筑和标记等)进行调整、增补与删除;4)安全咨询和教育:
从事信息系统安全咨询、培训、宣传的业务,包括书面提出并制订信息系统安全方案或安全管理与操作规定的服务、在公开场合或媒体宣讲传播安全知识的活动;信息系统安全的专家活动和政策制订工作;从事信息系统安全教育工作;5)方案试验:
在现有信息安全系统中测试、试验某种安全产品、安全方案(如算法)的有偿或无偿活动;6)其它服务:
其它可能影响信息系统安全性能的有偿或无偿服务或技术活动。
11专业发展
“注册信息安全专业人员”在其三年证书有效期内须完成60分以上涉及信息安全的专业发展活动,此项记录作为注册资格保持的一部分文件提交。
规定的活动项目与活动计分方式如下:
序号
活动项目
应予说明的内容
计分
1
培训班或讲座
内容、名称、时间、举办者、日期地点
5-10分/8小时
2
自学
自学课程说明
5-10分/课程
3
学术会议
内容、举办者、日期、地点
5-10分/8小时
4
学术研究
从事或参与的活动内容,承担的工作
10-12分/项目
5
论文或著作
作品标题,发表方式
10-12分/篇;
10-20分/本
6
咨询或服务
项目说明,但不适用于咨询机构工作人员
1分/工作日
最高15分/项目
专业发展证实方式说明:
1)序号1、3、4、6证明方式可为由项目举办者(负责人)或申请人工作单位(聘用单位)在记录表上签名盖章予以证实,也可通过提供证书或证明予以证实。
2)序号2应提供自学课程心得报告一份。
3)序号5应提供论文首页及其发表刊物封面或著作封面复印件一份。
12处罚
对于违反注册信息安全专业人员注册准则的行为,将视注册人员违规情节轻重予以处理:
处罚方式
违反准则行为
从轻到重
警告
暂停
取消
1
未遵守行为准则
6个月
✓
2
不满足专业经历要求
✓
✓
3
误用注册证书
✓
6个月
✓
4
不符合保持注册要求
6个月
✓
5
未交纳规定的保持注册费用
6个月
✓
6
自愿放弃注册资格
✓
注:
表中“✓”表示每个项目可能受到的处罚。
12.1某些违反注册准则项目的含义
1)不满足专业经历要求是指:
受到与有关的投诉并经调查属实;
2)误用证书是指下列情况之一:
允许他人使用自己的注册证书;使用过期或失效的注册证书(包括在暂停期间继续使用注册证书);
3)不符合保持注册的要求是指不符合保持注册的经历要求和专业发展要求中任何一个方面的要求均属此列。
12.2处罚
12.2.1注册信息安全专业人员()第一次违反注册准则时,将按上表中的规定视情节严重程度,确定一种适当的处罚
12.2.2第二次重犯或在暂停期内再次发生违反注册准则或警告后仍未满足要求的,则按较重的处罚方式进行处罚。
12.2.3将对受到取消处罚的收回其注册证书。
12.3通告
将经批准的处罚决定以书面形式通知本人及其聘用机构并发布公告。
12.4恢复注册程序
1)适用范围:
仅用于受到暂停处罚并在暂停期间达到以下要求之一者,并且未再次发生任何违反道德准则的:
因未遵守行为准则或误用证书者在暂停期内已经改正;因不符合保持注册要求者在暂停期内已达到保持注册的要求;因未交纳规定的保持注册费用者在暂停期内已交纳其费用。
2)受处罚的本人向提出恢复注册申请,若经审查批准其恢复注册,则将按本文第12.3条进行通告。
13争议、投诉与申诉
13.1向提出的有关注册人员或非注册人员的争议或书面投诉,将由记录在案,并予以调查解决。
确属行为不当或违反注册信息安全专业人员行为准则的,将按本文第12条进行处罚。
13.2对所作的注册决定或考试决定有异议时,可向提出书面申诉。
申诉委员会将会责成与所申诉/投诉事项无利益相关人员进行调查。
在调查基础上由申诉委员会作出结论。
13.3每一位应妥善处理因自己行为而发生的投诉,保留记录,并采取措施防止再发生。
将在必要时调阅的申诉/投诉记录。
14注册人员档案
对每位建立专项档案,所有资历材料将保存6年以上。
申请升级、年度确认或复查换证时,只需追加或补加所要求的相应材料,实行记录累加制度。
15有关费用
“注册信息安全专业人员”考试费1000元及注册费500元。
考试费在报名时缴纳,如果无法前来参加考试,必须提前15天通过电话等方式确认,可以顺延到下一次参加考试,其他情况该费用一律不退。
“注册信息安全专业人员”注册费及三年注册管理费在申请注册时缴纳,该费用不退。
户名:
中国信息安全测评中心
开户行:
中国建设银行北京市白石桥支行
帐号:
11001028600056115955
升级会员 