信息安全專業人員

注冊指南

中國信息安全測評中心

二00八年八月

目錄

TOC\o"1-2"\h\z

0引言

1

1能力要求

1

2注冊人員范圍

1

3注冊信息安全專業人員道德準則

2

4注冊程序

3

5培訓

4

6考試

4

7申請注冊

5

8經歷審核

6

9評估、注冊與公布

6

9.1評估

6

9.2注冊與公布

6

10注冊維持

7

11專業發展

9

12處罰

9

13爭議、投訴與申訴

10

14注冊人員檔案

11

15有關費用

11

［聯系地址］中國北京市和平里西街甲2號［電話］(8610)64238100,64238200

［郵政編碼］100013［傳真］(8610)64204178,64204179

［電子信箱］

HYPERLINKmailto:crba@

crba@

［網址］

HYPERLINK

中國注冊人員國家注冊委員會（CRBA）

中國產品質量注冊機構國家認可委員會（CNACP）

中國國家信息安全測評注冊中心（CNISTEC）

ChinaNationalRegistrationBoardforAuditors

ChinaNationalAccreditationCommitteeforProduct

ChinaNationalInformationSecurityTestingEvaluationandCertificationCenter

版號：4CRBA-NIS信息安全審核員注冊指南共17頁第

PAGE

1

頁

中國信息安全測評中心注冊信息安全專業人員注冊指南

第

PAGE

11

頁，共11頁

0引言

中國信息安全測評中心是經中央批準成立的國家信息安全權威測評機構，職能是開展信息安全漏洞分析和風險評估工作，對信息技術產品、信息系統和工程的安全性進行測試與評估。對信息安全服務和人員的資質進行審核與評價。

中國信息安全測評中心的英文名稱為：ChinaInformationTechnologySecurityEvaluationCenter，簡稱：CNITSEC。

中國信息安全測評中心始建于1997年，1998年以“中國互聯網絡安全產品測評認證中心”的名稱試運行。同年經國家技術監督局授權為“中國國家信息安全測評認證中心”。2001年，中央機構編制委員會將其正式定名為“中國信息安全產品測評認證中心”，并批準了相應的職能任務和機構編制。2007年，經中央批準，增加漏洞分析和風險評估職能，更名為“中國信息安全測評中心”，成為國家信息安全專控隊伍。(以下簡稱中心)

“注冊信息安全專業人員”，英文為CertifiedInformationSecurityProfessional(簡稱CISP)，根據實際崗位工作需要，CISP分為三類,分別是“注冊信息安全工程師”,英文為CertifiedInformationSecurityEngineer（簡稱CISE）;“注冊信息安全管理人員”，英文為CertifiedInformationSecurityOfficer(簡稱CISO)，“注冊信息安全審核員”英文為CertifiedInformationSecurityAuditor(簡稱CISA)。其中CISE主要從事信息安全技術開發服務工程建設等工作，CISO從事信息安全管理等相關工作，CISA從事信息系統的安全性審核或評估等工作。這三類注冊信息安全專業人員是有關信息安全企業，信息安全咨詢服務機構、信息安全測評機構、社會各組織、團體、企事業有關信息系統（網絡）建設、運行和應用管理的技術部門（含標準化部門）必備的專業崗位人員，其基本職能是對信息系統的安全提供技術保障，其所具備的專業資質和能力，系經中國信息安全測評中心實施注冊。

本指南適用于所有向CNITSEC提出申請“注冊信息安全專業人員”的中華人民共和國公民。

1能力要求

具備一定的信息安全基礎知識，了解并掌握GB/T18336、ISO15408、ISO17799等有關信息安全標準，具有進行信息安全服務的能力。其知識體系的要求詳見“注冊信息安全專業人員資質評估準則”。

2注冊人員范圍

包括在國家信息安全測評機構、信息安全咨詢服務機構、社會各組織、團體、企事業單位從事信息安全服務或高級安全管理工作的人員。

3注冊信息安全專業人員道德準則

注冊信息安全專業人員必須嚴格履行其職責并遵守以下道德準則：

所有注冊信息安全專業人員（CISP）都必須付出努力才能注冊。為貫徹這條原則，所有的CISP都必須承諾完全遵守道德準則。

CISP必須誠實，公正，負責，守法；

CISP必須勤奮和勝任工作，不斷提高自身專業能力和水平；

CISP必須保護信息系統、應用程序和系統的價值

CISP必須接受CNITSEC的監督，在任何情況下，不損壞CNITSEC或注冊過程的聲譽，對CNITSEC針對CISP而進行的調查應給予充分的合作；

CISP必須按規定向CNITSEC交納費用。

4注冊程序

CISP注冊程序流程如下圖，后續章節將對其中關鍵過程進行詳細描述。

未通過

未通過

未通過

不符合要求

咨詢

注冊申請

繳納費用

證書發放

證后監督

考試資質審核

參加考試

注冊資質審核

申請者

5培訓

為了具備CISP基本知識水平，申請者必須參加注冊信息安全專業人員培訓。CNITSEC將在或相關網站和媒體上公布授權培訓機構。

6考試

CNITSEC在

或相關網站和媒體上公布考試相關情況。考試內容見“注冊信息安全專業人員資質評估準則”，但考試內容不僅限于大綱要求。

考試報名表可以從

上下載填寫或直接到CNITSEC公共服務部辦理，聯系地址：

中國信息安全測評中心

地址：北京市海淀區上地西路8號院一號樓

郵編：100085

電話：82341118/82341818

傳真：82341100

網址：

電子信箱：training@

7申請注冊

注冊受理部門是CNITSEC公共服務部，聯系方式同上。

注冊申請要求

注冊

級別

注冊要求與申請材料

注

冊

信

息

安

全

專

業

人

員

注冊要求

1.教育與工作經歷

碩士研究生以上，具有1年工作經歷；或

本科畢業，具有2年工作經歷；或

大專畢業，具有4年工作經歷。

2.專業工作經歷

至少具備1年從事信息安全有關的工作經歷。

3.培訓資格

在申請注冊前，成功地完成了CNITSEC或其授權培訓機構組織的注冊信息安全專業人員培訓課程相應資質所需的分類課程，并取得培訓合格證書。

4.通過由CNITSEC舉行的注冊信息安全專業人員考試；

申請材料

注冊申請表,紙版、電子版各一份;

學歷證書復印件；

注冊信息安全專業人員培訓合格證書；

CNITSEC舉行注冊信息安全專業人員的考試成績單；

申請人專業工作證明文件；需單位證明；

交納規定的注冊申請費用；

7．近期二寸照片兩張。

CNITSEC承諾對注冊申請者的申請材料予以保密，不向第三方提供。

8經歷審核

注冊信息安全專業人員應提交能證明其從事信息專業經歷的文件，例如：

雇主或所工作的組織機構提供的文件；

個人從事專業工作的證明文件。

9評估、注冊與公布

9.1評估

9.1.1CNITSEC應對注冊信息安全專業人員的注冊及復查換證的申請進行技術評價，作出是否予以批準的決定。

9.1.2注冊申請人在向CNITSEC遞交注冊申請材料前，須對照相應的“CNITSEC注冊信息安全專業人員注冊指南”逐項檢查所填報材料的完整性和正確性。

每份申請到達CNITSEC后，初審人員首先對申請材料的完整性進行初審，如果材料不完整，CNITSEC將通知申請人補充材料或退回。

9.1.3當確認申請材料完整后，將由2名與申請方無利益關系的技術評估人員審查申請材料中各項內容是否符合相應的要求，并以抽樣方式對其提供的材料進行驗證。

如果CNITSEC根據申請人提供的信息不能作出是否準予注冊的決定，則要求申請人澄清或增加信息，必要時安排面談。

9.2注冊與公布

對準予注冊的申請人，CNITSEC將公布注冊人員名錄并向申請人發放注冊證書。

證書持有人應遵守“證書及標志使用說明”中的有關規定。

9.2.1CNITSEC在信息安全相關專業媒體或中心網站上公布“注冊信息安全專業人員”名錄，包括以下內容：

1)注冊人員姓名；2)注冊類型；

3)注冊日期；4)證書編號。

9.2.2CNITSEC將按期公布CISP名單/名錄，CISP如不愿公布自己的信息，須在遞交申請書時予以說明。

若CISP工作、聯系方式變動時，須及時通知CNITSEC，可通過電子郵件或信件聯系。

10注冊維持

10.1每位注冊的CISP需通過持續的信息安全專業發展來保持其能力和素質。

10.2CNITSEC將通過評價申請表中的信息、專業發展記錄來驗證每一位CISP的工作能力，同時還通過申訴系統、現場見證、從聘用機構調閱檔案以及向受CISP服務方調查等方式來驗證CISP的工作和素質。

10.3CISP注冊證書在三年有效期內實行年度確認制度，第3年進行復查換證。

注冊維持要求

注冊

級別

注冊維持要求,復查換證與申請材料

信

息

安

全

專

業

人

員

復查換證要求

注冊資格每三年進行一次復查換證。

在證書有效期屆滿前60天內，須提出復查換證申請。

年度確認

在證書有效期內，完成規定的年度確認，并且合格。

專業經歷

完成至少6次完整的信息安全服務經歷〖注1〗。

專業發展

三年內應至少完成60分以上的專業發展活動。

遵守注冊信息安全專業人員行為準則。

申請材料

CNITSEC注冊信息安全專業人員復查換證申請表（原件）；

2．提交的專業經歷記錄包括：注冊信息安全專業人員專業經歷記錄或相應的服務咨詢合同（原件或復印件）。

3．本文第11條規定的注冊信息安全專業人員專業發展證實材料（即3年專業發展記錄）；

交納復查換證申請費用；

5.近期兩寸照片兩張。

說明：對審定不合格的申請材料，CNITSEC將通知補充材料或退還。若屬重新申報，應在信封和申請表的左下角注明“重新申報”字樣，附上須重新申報的證明，并交納重新申報費用。

〖注1〗：信息安全服務是指信息安全工程的設計、實施、測試、運行和維護，以及相關的咨詢和培訓活動。具體形式包括：包括： 1) 安全工程：為信息系統進行安全方案設計、施工、驗證、運行和維護； 2) 安全測試和監控：對已有信息安全系統進行安全性測試和對保護裝置總體(包括硬件、軟件、固件和負責執行安全策略的組合體等)進行調整、增補與刪除；對信息系統進行監控和提出安全承諾； 3) 安全相關施工：對信息安全系統外部設施(包括通信線路、鏈路、信道/隱蔽信道、保護建筑和標記等)進行調整、增補與刪除； 4) 安全咨詢和教育：從事信息系統安全咨詢、培訓、宣傳的業務，包括書面提出并制訂信息系統安全方案或安全管理與操作規定的服務、在公開場合或媒體宣講傳播安全知識的活動；信息系統安全的專家活動和政策制訂工作；從事信息系統安全教育工作； 5) 方案試驗：在現有信息安全系統中測試、試驗某種安全產品、安全方案(如算法)的有償或無償活動；6) 其它服務：其它可能影響信息系統安全性能的有償或無償服務或技術活動。

11專業發展

“注冊信息安全專業人員”在其三年證書有效期內須完成60分以上涉及信息安全的專業發展活動，此項記錄作為注冊資格保持的一部分文件提交。CNITSEC規定的活動項目與活動計分方式如下：

序號

活動項目

應予說明的內容

計分

1

培訓班或講座

內容、名稱、時間、舉辦者、日期地點

5－10分/8小時

2

自學

自學課程說明

5－10分/課程

3

學術會議

內容、舉辦者、日期、地點

5－10分/8小時

4

學術研究

從事或參與的活動內容，承擔的工作

10－12分/項目

5

論文或著作

作品標題，發表方式

10－12分/篇；

10－20分/本

6

咨詢或服務

項目說明，但不適用于咨詢機構工作人員

1分/工作日

最高15分/項目

專業發展證實方式說明：

序號1、3、4、6證明方式可為由項目舉辦者(負責人)或申請人工作單位(聘用單位)在記錄表上簽名蓋章予以證實，也可通過提供證書或證明予以證實。

序號2應提供自學課程心得報告一份。

序號5應提供論文首頁及其發表刊物封面或著作封面復印件一份。

12處罰

對于違反CNITSEC注冊信息安全專業人員注冊準則的行為，CNITSEC將視注冊人員違規情節輕重予以處理：

處罰方式

違反準則行為

從輕到重

警告

暫停

取消

1

未遵守行為準則

6個月

2

不滿足專業經歷要求

3

誤用注冊證書

6個月

4

不符合保持注冊要求

6個月

5

未交納規定的保持注冊費用

6個月

6

CISP自愿放棄注冊資格

注：表中“”表示每個項目可能受到的處罰。

12.1某些違反注冊準則項目的含義

不滿足專業經歷要求是指：受到與有關的投訴并經調查屬實；

誤用證書是指下列情況之一：允許他人使用自己的注冊證書；使用過期或失效的注冊證書(包括在暫停期間繼續使用注冊證書)；

不符合保持注冊的要求是指不符合保持注冊的經歷要求和專業發展要求中任何一個方面的要求均屬此列。

12.2處罰

12.2.1注冊信息安全專業人員（CISP）第一次違反注冊準則時，CNITSEC將按上表中的規定視情節嚴重程度，確定一種適當的處罰

12.2.2第二次重犯或在暫停期內再次發生違反注冊準則或警告后仍未滿足要求的CISP，則按較重的處罰方式進行處罰。

12.2.3CNITSEC將對受到取消處罰的CISP收回其注冊證書。

12.3通告

CNITSEC將經批準的處罰決定以書面形式通知CISP本人及其聘用機構并發