认监委 发布《信息安全保障从业人员认证准则》（征求意见稿）

《信息安全保障从业人员认证准则》（征求意见稿）

前言

本标准按照GB/T 1.1-2009给出的规则起草。

本标准由国家认证认可监督管理委员会提出并归口。

本标准起草单位：中国信息安全认证中心。

本标准主要起草人：。

信息安全保障人员认证准则

1　范围

本标准规定了信息安全保障人员所需的资格要求。

本标准适用于对信息安全保障人员进行认证。

2　规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T27024-2004 合格评定 人员认证机构通用要求

3　术语和定义

GB/T27024-2004界定的以及下列术语和定义适用于本文件。

3.1

信息安全保障人员 Certified Information Security Assurance Worker（CISAW）

从事信息安全相关工作的所有人员，如组织的管理人员（包括CIO、CSO、科技管理部门和风险控制管理部门的人员）、IT 相关的技术人员（包括运维、开发和集成人员），从事信息安全服务组织的技术人员（包括信息安全产品研发人员、信息安全咨询人员、信息安全服务实施人员和外派服务人员）。

3.2

从业方向

信息安全保障人员的工作方向，一般按照信息安全保障的技术分成几个不同的类别。

3.3

申请人

正在寻求通过CISAW认证的人员。

3.4

获证人员

通过CISAW认证考试和认证评价，获得或保持CISAW认证证书的人员。

3.5

资格

个人素质、教育、培训和（或）工作经验的证明。

3.6

高等教育学历

国家教育部门、人事部门及组织部门承认的，中等教育之后的完整的教育学习经历，包括大专、本科及其以上学历或相应学位。

4　从业方向与级别

信息安全保障人员从业方向和级别设置如图1所示。信息安全保障人员级别从低到高依次分为预备级、I级（基础级）、II级（专业级）、III级（专业高级）四个级别。

图1. 从业方向设置图

图1. 从业方向设置图

5　认证要求

5.1　基本要求

获证人员应满足如下基本要求：

a) 具有独立的民事行为能力，具备承担法律责任的能力；

b) 未受过刑事处罚；

c) 不存在法律法规禁止从业的情形；

d) 符合本认证准则要求；

e) 自愿遵守ISCCC颁布的信息安全保障人员认证相关文件的有关规定，履行相关义务；

f) 已仔细阅读、认真了解并完全理解本准则全部条款内容，自愿遵守本准则；

g) 符合有关法律法规的规定。

5.2　初次申请资格条件

5.2.1　教育及工作经历

5.2.1.1　预备人员认证要求

申请人应满足下面要求：

a) 正式在校（三本以上大专院校，独立的研究生院和具有招收研究生资格的研究所）注册的本科生、研究生；

b) 通过四门以上经认定的课程考试。

5.2.1.2　基础级认证要求

申请人应至少满足下面一项要求：

a) 本科（含）以上学历， 1年以上从事信息安全有关工作经历；

b) 专科毕业，3年以上从事信息安全有关的工作经历；

c) 5年以上从事信息安全有关的工作经历；

d) 具有信息技术相关专业的初级技术职称，并且至少1年以上从事信息安全有关的工作经历。

5.2.1.3　专业级认证要求

申请人应至少满足下面一项要求：

a) 硕士研究生（含）以上学历，2年以上从事信息安全有关工作经历，并且至少1年从事与申请从业方向相关的工作经历；

b) 本科毕业，4年以上从事信息安全有关工作经历，并且至少2年以上从事与申请从业方向相关的工作经历；

c) 专科毕业，6年以上从事信息安全有关工作经历，并且至少2年以上从事与申请从业方向相关的工作经历；

d) 7年以上从事信息安全有关工作经历，并且至少2年以上从事与申请从业方向相关的工作经历；

e) 具有信息技术相关专业的中级技术职称，并且从事至少2年以上与申请从业方向相关的工作经历。

5.2.1.4　专业高级认证要求

申请人应至少满足下面一项要求：

a) 硕士研究生（含）以上学历， 3年以上从事信息安全有关工作经历，并且至少2年以上从事与申请从业方向相关的工作经历；

b) 本科毕业，5年以上从事信息安全有关工作经历，并且至少3年以上从事与申请从业方向相关的工作经历；

c) 专科毕业，7年以上从事信息安全有关工作经历，并且至少3年以上从事与申请从业方向相关的工作经历；

d) 8年以上从事信息安全有关工作经历，并且至少3年以上从事信息安全有关的工作经历；

e) 具有信息技术相关专业的高级技术职称，并且至少3年以上从事与申请从业方向相关的工作经历。

注：满足认证要求的工作经历应在取得相应学历后获得；申请人应提交工作经历的书面证明。证明中应提供申请人从事的工作职责、岗位、级别和主要工作内容；实习经历不能包括在工作经历内。

5.2.2　培训要求

申请人应完成其申请的从业方向和相应级别所要求的考试大纲要求的技术知识和应用能力培训。

5.2.3　考试要求

申请人应通过相应从业方向和级别考试大纲要求的技术知识水平和应用能力考试。

5.3　扩展认证方向资格要求

申请人应满足下面要求：

a) 已通过CISAW其中一个从业方向认证；

b) 具有至少1年与所扩展从业方向相关的工作经历；

c) 完成其申请的从业方向和相应级别所要求的考试大纲要求的技术知识和应用能力培训；

d) 通过相应从业方向和级别考试大纲要求的技术知识水平和应用能力考试。

5.4　再认证资格要求

申请人应满足下面要求：

a) 已通过CISAW认证，且在认证有效期内；

b) 保证3年工作期间至少有2年的工作经历与保持的从业方向相关；

c) 提供不少于每年16小时的与信息安全相关的专业持续发展课程学习的证明。

5.5　认证升级资格要求

申请人应满足下面要求：

a) 已通过CISAW认证，且在认证有效期内；

b) 满足CISAW高一级别认证要求，包括培训和考试要求。

5.6　预备人员转正资格要求

申请人应满足下面要求：

a) 已通过CISAW预备人员认证，且在认证有效期内；

b) 从事信息安全保障相关工作（提供工作经历证明）1年。

注：转正时申请更换的CISAW证书为基础级证书。