注册信息安全专业人员认证

信息安全和审计注册信息安全专业人员认证引言1能力要求2注册人员范围3注册信息安全专业人员道德准则4认证程序5培训6考试7申请认证8经历审核9评价、认证与公布9.1评价9.2认证与公布10保持认证11专业发展12处罚13争议、投诉与申诉14注册人员档案15有关费用16相关文件及表格中国信息安全产品测评认证中心(简称CNITSEC)是经中央批准成立的、代表国家开展信息安全测评认证工作的职能机构，依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国家信息安全测评认证体系。中国信息安全产品测评认证中心的主要职能是：·对国内外信息安全产品和信息技术进行测评和认证；·对国内信息系统和工程进行安全性评估和认证；·对提供信息系统安全服务的组织和单位进行评估和认证；·对注册信息安全专业人员的资质进行评估和认证。“中华人民共和国国家信息安全认证”是国家对信息安全技术、产品、信息系统安全质量以及信息安全服务资质、人员资质的最高认可。国家信息安全测评认证活动的技术依据是由中国国家信息安全测评认证管理委员会确认的有关产品质量认证和信息安全管理的国际标准、国家标准、行业标准和其他补充技术要求与技术规范。“注册信息安全专业人员”，英文为CertifiedInformationSecurityProfessional(简称CISP)，根据实际岗位工作需要，CISP分为三类,分别是“注册信息安全工程师”,英文为CertifiedInformationSecurityEngineer（简称CISE）;“注册信息安全管理人员”，英文为CertifiedInformationSecurityOfficer(简称CISO)，“注册信息安全审核员”英文为CertifiedInformationSecurityAuditor(简称CISA)。其中CISE主要从事信息安全技术开发服务工程建设等工作，CISO从事信息安全管理等相关工作，CISA从事信息系统的安全性审核或评估等工作。这三类注册信息安全专业人员是有关信息安全企业，信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全产品测评认证中心实施国家认证。本指南适用于所有向CNITSEC提出申请“注册信息安全专业人员”认证的中华人民共和国公民。1能力要求具备一定的信息安全基础知识，了解并掌握GB/T18336、ISO15408、ISO17799等有关信息安全标准，具有进行信息安全服务的能力。其知识体系的要求详见“注册信息安全专业人员资质评估准则”。2注册人员范围包括在国家信息安全测评认证机构（包含授权测评机构）、信息安全咨询服务机构、社会各组织、团体、企事业单位从事信息安全服务或高级安全管理工作的人员。3注册信息安全专业人员道德准则注册信息安全专业人员必须严格履行其职责并遵守以下道德准则：1.所有注册信息安全专业人员（CISP）都必须付出努力才能获得和维持该项认证。为贯彻这条原则，所有的CISP都必须承诺完全遵守道德准则。2.CISP必须诚实，公正，负责，守法；3.CISP必须勤奋和胜任工作，不断提高自身专业能力和水平；4.CISP必须保护信息系统、应用程序和系统的价值5.CISP必须接受CNITSEC的监督，在任何情况下，不损坏CNITSEC或认证过程的声誉，对CNITSEC6.对CISP而进行的调查应给予充分的合作；7.CISP必须按规定向CNITSEC交纳费用。4认证程序CISP认证程序流程如下图，后续章节将对其中关键过程进行详细描述。5培训为了具备CISP基本知识水平，申请者必须参加注册信息安全专业人员培训。CNITSEC将在或相关网站和媒体上公布授权培训机构。培训费用由中国信息安全产品测评认证中心全国统一规定，为9800元/人。6考试CNITSEC在或相关网站和媒体上公布考试相关情况。考试内容见“注册信息安全专业人员资质评估准则”，但考试内容不仅限于大纲要求。7申请认证认证受理部门是CNITSEC认证认可部，联系方式同上。认证申请要求注册级别认证要求与申请材料注册信息安全专业人员一、认证要求1.教育与工作经历硕士研究生以上，具有1年工作经历；或·本科毕业，具有4年工作经历；或·大专毕业，具有6年工作经历。2.专业工作经历至少具备1年从事信息安全有关的工作经历。3.培训资格在申请认证前的一年内，成功地完成了CNITSEC或其授权培训机构组织的注册信息安全专业人员培训课程相应资质所需的分类课程，并取得培训合格证书。4.通过由CNITSEC举行的注册信息安全专业人员考试；二、申请材料1.认证申请表；2.学历证书（原件或复印件）；3.注册信息安全专业人员培训合格证书；4.CNITSEC举行注册信息安全专业人员的考试成绩单；5.申请人专业工作证明文件；需单位证明；6.交纳规定的认证申请费用；7．近期二寸照片两张。CNITSEC承诺对认证申请者的申请材料予以保密，不向第三方提供。8经历审核注册信息安全专业人员应提交能证明其从事信息专业经历的文件，例如：1)雇主或所工作的组织机构提供的文件；2)个人从事专业工作的证明文件。9评估、认证与公布9.1评估9.1.1CNITSEC应对注册信息安全专业人员的认证及复查换证的申请进行技术评价，作出是否予以批准的决定。9.1.2认证申请人在向CNITSEC递交认证申请材料前，须对照相应的“CNITSEC注册信息安全专业人员认证指南”逐项检查所填报材料的完整性和正确性。每份申请到达CNITSEC后，初审人员首先对申请材料的完整性进行初审，如果材料不完整，CNITSEC将通知申请人补充材料或退回。9.1.3当确认申请材料完整后，将由2名与申请方无利益关系的技术评估人员审查申请材料中各项内容是否符合相应的要求，并以抽样方式对其提供的材料进行验证。如果CNITSEC认证决定委员会根据申请人提供的信息不能作出是否准予认证的决定，则要求申请人澄清或增加信息，必要时安排面谈。9.2认证与公布对准予认证的申请人，CNITSEC将公布注册人员名录并向申请人发放认证证书。证书持有人应遵守“证书及标志使用说明”中的有关规定。9.2.1CNITSEC在信息安全相关专业媒体或中心网站上公布“注册信息安全专业人员”名录，包括以下内容：1)注册人员姓名；2)注册级别(必要时)；3)注册专业范围(必要时)；4)注册日期(必要时)；5)证书编号(必要时)。9.2.2CNITSEC出版“注册信息安全专业人员”名录，其内容包括：1)注册人员姓名；2)注册级别(必要时)；3)证书编号；4)注册专业范围；（必要时）5)联系电话、传真(必要时)；6)联系单位、地址、邮政编码(必要时)；7)注册日期；8)受聘状态(必要时)。9.2.3CNITSEC将按期公布CISP名单/名录，CISP如不愿公布自己的信息，须在递交申请书时予以说明。若CISP工作、联系方式变动时，须及时通知CNITSEC，可通过电子邮件或信件联系。10保持认证10.1每位注册的CISP需通过持续的信息安全专业发展来保持其能力和素质。10.2CNITSEC将通过评价申请表中的信息、专业发展记录来验证每一位CISP的工作能力，同时还通过申诉系统、现场见证、从聘用机构调阅档案以及向受CISP服务方调查等方式来验证CISP的工作和素质。10.3CISP认证证书在三年有效期内实行年度确认制度，第3年进行复查换证。保持认证要求认证级别保持认证要求,复查换证与申请材料信息安全专业人员·复查换证要求认证资格每三年进行一次复查换证。在证书有效期届满前60天内，须提出复查换证申请。1.年度确认在证书有效期内，完成规定的年度确认，并且合格。2.专业经历完成至少6次完整的信息安全服务经历〖注1〗。3.专业发展三年内应至少完成60分以上的专业发展活动。4.遵守注册信息安全专业人员行为准则。·申请材料1.CNITSEC注册信息安全专业人员复查换证申请表（原件）；2.提交的专业经历记录包括：注册信息安全专业人员专业经历记录或相应的服务咨询合同（原件或复印件）。3.本文第11条规定的注册信息安全专业人员专业发展证实材料（即3年专业发展记录）；4.交纳复查换证申请费用；5.近期两寸照片两张。说明：对审定不合格的申请材料，CNITSEC将通知补充材料或退还。若属重新申报，应在信封和申请表的左下角注明“重新申报”字样，附上须重新申报的证明，并交纳重新申报费用。〖注1〗：信息安全服务是指信息安全工程的设计、实施、测试、运行和维护，以及相关的咨询和培训活动。具体形式包括：包括：1)安全工程：为信息系统进行安全方案设计、施工、验证、运行和维护；2)安全测试和监控：对已有信息安全系统进行安全性测试和对保护装置总体(包括硬件、软件、固件和负责执行安全策略的组合体等)进行调整、增补与删除；对信息系统进行监控和提出安全承诺；3)安全相关施工：对信息安全系统外部设施(包括通信线路、链路、信道/隐蔽信道、保护建筑和标记等)进行调整、增补与删除；4)安全咨询和教育：从事信息系统安全咨询、培训、宣传的业务，包括书面提出并制订信息系统安全方案或安全管理与操作规定的服务、在公开场合或媒体宣讲传播安全知识的活动；信息系统安全的专家活动和政策制订工作；从事信息系统安全教育工作；5)方案试验：在现有信息安全系统中测试、试验某种安全产品、安全方案(如算法)的有偿或无偿活动；6)其它服务：其它可能影响信息系统安全性能的有偿或无偿服务或技术活动。11专业发展“注册信息安全专业人员”在其三年证书有效期内须完成60分以上涉及信息安全的专业发展活动，此项记录作为认证资格保持的一部分文件提交。CNITSEC规定的活动项目与活动计分方式如下：序号活动项目应予说明的内容计分1培训班或讲座内容、名称、时间、举办者、日期地点1－2分/8小时2自学自学课程说明1－5分/课程3学术会议内容、举办者、日期、地点1－2分/8小时4学术研究从事或参与的活动内容，承担的工作5－10分/项目5论文或著作作品标题，发表方式1－2分/篇10－20分/本6咨询或服务项目说明，但不适用于咨询机构工作人员1分/工作日最高10分/项目专业发展证实方式说明：1)序号1、3、4、6证明方式可为由项目举办者(负责人)或申请人工作单位(聘用单位)在记录表上签名盖章予以证实，也可通过提供证书或证明予以证实。2)序号2应提供自学课程心得报告一份。3)序号5应提供论文首页及其发表刊物封面或著作封面复印件一份。12处罚对于违反CNITSEC注册信息安全专业人员认证准则的行为，CNITSEC将视注册人员违规情节轻重予以处理。处罚方式违反准则行为从轻到重警告暂停降级取消1未遵守行为准则6个月ü2不满足专业经历要求üüü3误用认证证书ü6个月ü4不符合保持认证要求6个月üü5未交纳规定的保持认证费用6个月ü6CISP自愿放弃认证资格ü注：表中“ü”表示每个项目可能受到的处罚。12.1某些违反认证准则项目的含义1)不满足专业经历要求是指：受到与有关的投诉并经调查属实；2)误用证书是指下列情况之一：允许他人使用自己的认证证书；使用过期或失效的认证证书(包括在暂停期间继续使用认证证书)；3)不符合保持认证的要求是指不符合保持认证的经历要求和专业发展要求中任何一个方面的要求均属此列。12.2处罚12.2.1注册信息安全专业人员（CISP）第一次违反认证准则时，CNITSEC将按上表中的规定视情节严重程度，确定一种适当的处罚12.2.2第二次重犯或在暂停期内再次发生违反认证准则或警告后仍未满足要求的CISP，则按较重的处罚方式进行处罚。12.2.3CNITSEC将对受到取消处罚的CISP收回其认证证书。12.3通告CNITSEC将经批准的处罚决定以书面形式通知CISP本人及其聘用机构并发布公告。12