信息安全服務(wù)人員能力評(píng)估標(biāo)準(zhǔn)

1信息安全服務(wù)人員能力評(píng)估標(biāo)準(zhǔn)本標(biāo)準(zhǔn)規(guī)定了對(duì)信息安全服務(wù)提供方的從業(yè)人員服務(wù)能力通用等級(jí)要求。本標(biāo)準(zhǔn)適用于評(píng)估組織和監(jiān)管部門對(duì)信息安全服務(wù)提供方的服務(wù)人員能力進(jìn)行評(píng)估，也為信息安全服務(wù)提供方對(duì)其自身從業(yè)人員的能力的改善提供指導(dǎo)，同樣對(duì)信息安全服務(wù)需求方具有參考意義。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB_T32914-2016信息安全技術(shù)信息安全服務(wù)提供方管理要求GB_T37696-2019信息技術(shù)服務(wù)從業(yè)人員能力評(píng)價(jià)要求RB_T202-2013信息安全保障人員認(rèn)證準(zhǔn)則SJ∕T11623-2016信息技術(shù)服務(wù)從業(yè)人員能力規(guī)范YD_T1621-2007網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評(píng)估準(zhǔn)則3術(shù)語(yǔ)和定義GB/T37696-2019所界定的以及下列術(shù)語(yǔ)和定義適用于本文件。4信息安全服務(wù)人員分類及等級(jí)4.1服務(wù)人員分類信息安全服務(wù)人員基于信息安全服務(wù)行業(yè)的業(yè)務(wù)形態(tài)、發(fā)展及應(yīng)用規(guī)律，結(jié)合《信息安全服務(wù)人員能力評(píng)估標(biāo)準(zhǔn)》，分類見(jiàn)表1下：表1信息安全服務(wù)人員類別12344.2服務(wù)人員基本要求信息安全服務(wù)人員應(yīng)滿足如下基本要求：a)具有獨(dú)立的民事行為能力，具備承擔(dān)法律責(zé)任的能力；b)未受過(guò)刑事處罰；c)不存在法律法規(guī)禁止從業(yè)的情形；d)自愿遵守頒布的信息安全服務(wù)人員相關(guān)文件的有關(guān)規(guī)定，履行相關(guān)義務(wù)；e)符合有關(guān)法律法規(guī)的規(guī)定。24.3服務(wù)人員資格等級(jí)及要求在人員分類的基礎(chǔ)上，根據(jù)信息安全服務(wù)行業(yè)發(fā)展的需求以及從業(yè)人員的職業(yè)發(fā)展客觀規(guī)律，將從業(yè)人員資格分為技術(shù)及管理兩個(gè)等級(jí)標(biāo)準(zhǔn)。其中技術(shù)等級(jí)劃分為高級(jí)工程師、工程師、助理工程師、技術(shù)員四個(gè)資格級(jí)別，管理等級(jí)劃分為高級(jí)項(xiàng)目經(jīng)理及項(xiàng)目經(jīng)理兩個(gè)資格級(jí)別。具體要求見(jiàn)表2和表3：表2技術(shù)等級(jí)資格要求表3管理等級(jí)資格要求有較全面的信息安全服務(wù)所需的知識(shí)和技能，有較強(qiáng)的溝力，有豐富的項(xiàng)目管理工作經(jīng)驗(yàn)，能夠獨(dú)立承擔(dān)大5人員能力技術(shù)等級(jí)資格評(píng)估要求信息安全服務(wù)人員能力技術(shù)資格從知識(shí)、技能和經(jīng)驗(yàn)三個(gè)方面進(jìn)行評(píng)估。5.1高級(jí)工程師5.1.1知識(shí)要求a)掌握信息安全服務(wù)相關(guān)的通用知識(shí)，主要包括貫穿整個(gè)信息服務(wù)活動(dòng)的基本理論和基本知識(shí)。b)精通服務(wù)類別相應(yīng)工作所必備的知識(shí)，主要指與服務(wù)類別要求相適應(yīng)的理論知識(shí)、技術(shù)要求和操作規(guī)程等。c)掌握服務(wù)人員應(yīng)具備的職業(yè)道德常識(shí)，相關(guān)標(biāo)準(zhǔn)與規(guī)范知識(shí)，以及有關(guān)法律法規(guī)、安全和環(huán)境保護(hù)知識(shí)等。5.1.2技能要求a)熟練應(yīng)用信息安全服務(wù)相關(guān)的通用知識(shí)及專業(yè)知識(shí)，能夠針對(duì)服務(wù)類別相應(yīng)工作給出專家級(jí)的意見(jiàn)，具備能夠獨(dú)立完成服務(wù)類別工作任務(wù)的能力，能帶領(lǐng)其他人成功地完成工作任務(wù)。b)擁有獨(dú)立完成信息安全服務(wù)所應(yīng)具備的行為特征和綜合素質(zhì)等軟技能，包括溝通、協(xié)調(diào)等，且能熟練應(yīng)用。5.1.3經(jīng)驗(yàn)要求具有與服務(wù)類別一致的領(lǐng)導(dǎo)他人成功運(yùn)作的經(jīng)驗(yàn)，有咨詢、改進(jìn)或創(chuàng)新的經(jīng)驗(yàn)，并將經(jīng)驗(yàn)系統(tǒng)化，主導(dǎo)制度和體系的制定與推廣。同時(shí)應(yīng)至少滿足下面一項(xiàng)要求：a)碩士研究生（含）以上學(xué)歷，3年以上從事信息安全有關(guān)工作經(jīng)歷，并且2年以上從事與服務(wù)類別相關(guān)的工作經(jīng)歷；3本科畢業(yè)，5年以b)上從事信息安全有關(guān)工作經(jīng)歷，并且3年以上從事與服務(wù)類別相關(guān)的工作經(jīng)歷；?？飘厴I(yè)，7年以上從事信息安全有關(guān)工作經(jīng)歷，并且3年以上從事與服務(wù)類別相關(guān)的工作經(jīng)8年以上從事信息安全有關(guān)工作經(jīng)歷，并且3年以上從事與服務(wù)類別相關(guān)的工作經(jīng)歷；d)具有信息技術(shù)相關(guān)專業(yè)的高級(jí)技術(shù)職稱，并且3年以上從事與服務(wù)類別相關(guān)的工作經(jīng)歷。5.2工程師5.2.1知識(shí)要求a)掌握信息安全服務(wù)相關(guān)的通用知識(shí)，主要包括貫穿整個(gè)信息服務(wù)活動(dòng)的基本理論和基本知識(shí)。b)掌握服務(wù)類別相應(yīng)工作所必備的知識(shí)，主要指與服務(wù)類別要求相適應(yīng)的理論知識(shí)、技術(shù)要求和操作規(guī)程等。c)理解服務(wù)人員應(yīng)具備的職業(yè)道德常識(shí)，相關(guān)標(biāo)準(zhǔn)與規(guī)范知識(shí)，以及有關(guān)法律法規(guī)、安全和環(huán)境保護(hù)知識(shí)等。5.2.2技能要求a)熟練應(yīng)用信息安全服務(wù)相關(guān)的通用知識(shí)及專業(yè)知識(shí)，具備能夠獨(dú)立完成服務(wù)類別工作任務(wù)的能力，能帶領(lǐng)其他人有效地完成工作任務(wù)。b)擁有獨(dú)立完成信息安全服務(wù)所應(yīng)具備的行為特征和綜合素質(zhì)等軟技能，包括溝通、協(xié)調(diào)等，且能較熟練應(yīng)用。5.2.3經(jīng)驗(yàn)要求具有與服務(wù)類別一致的領(lǐng)導(dǎo)他人有效運(yùn)作的經(jīng)驗(yàn)，參與制度和體系的制定與推廣。同時(shí)應(yīng)至少滿足下面一項(xiàng)要求：a)碩士研究生（含）以上學(xué)歷，2年以上從事信息安全有關(guān)工作經(jīng)歷，并且1年以上從事與服務(wù)類別相關(guān)的工作經(jīng)歷；b)本科畢業(yè)，4年以上從事信息安全有關(guān)工作經(jīng)歷，并且2年以上從事與服務(wù)類別相關(guān)的工作經(jīng)c)?？飘厴I(yè)，6年以上從事信息安全有關(guān)工作經(jīng)歷，并且2年以上從事與服務(wù)類別相關(guān)的工作經(jīng)d)7年以上從事信息安全有關(guān)工作經(jīng)歷，并且2年以上從事與服務(wù)類別相關(guān)的工作經(jīng)歷；e)具有信息技術(shù)相關(guān)專業(yè)的中級(jí)技術(shù)職稱，并且2年以上從事與服務(wù)類別相關(guān)的工作經(jīng)歷。5.3助理工程師5.3.1知識(shí)要求a)理解信息安全服務(wù)相關(guān)的通用知識(shí)，主要包括貫穿整個(gè)信息服務(wù)活動(dòng)的基本理論和基本知識(shí)。b)理解服務(wù)類別相應(yīng)工作所必備的知識(shí)，主要指與服務(wù)類別要求相適應(yīng)的理論知識(shí)、技術(shù)要求和操作規(guī)程等。c)理解服務(wù)人員應(yīng)具備的職業(yè)道德常識(shí)，相關(guān)標(biāo)準(zhǔn)與規(guī)范知識(shí)，以及有關(guān)法律法規(guī)、安全和環(huán)境保護(hù)知識(shí)等。5.3.2技能要求a)能較熟練應(yīng)用信息安全服務(wù)相關(guān)的通用知識(shí)及專業(yè)知識(shí)，具備能夠獨(dú)立工作的能力，且能完成成功地完成大部分工作任務(wù)。b)擁有一定的完成信息安全服務(wù)所應(yīng)具備的行為特征和綜合素質(zhì)等軟技能，包括溝通、協(xié)調(diào)等。5.3.3經(jīng)驗(yàn)要求4具有與服務(wù)類別一致的成功完成工作任務(wù)的經(jīng)歷和案例。同時(shí)應(yīng)至少滿足下面一項(xiàng)要求：a)本科（含）以上學(xué)歷，2年以上從事信息安全有關(guān)工作經(jīng)歷，并且1年以上從事與服務(wù)類別相關(guān)的工作經(jīng)歷；b)專科畢業(yè)，3年以上從事信息安全有關(guān)的工作經(jīng)歷，并且1年以上從事與服務(wù)類別相關(guān)的工作經(jīng)歷；c)5年以上從事信息安全有關(guān)的工作經(jīng)歷，并且1年以上從事與服務(wù)類別相關(guān)的工作經(jīng)歷；d)具有信息技術(shù)相關(guān)專業(yè)的初級(jí)技術(shù)職稱，并且1年以上從事與服務(wù)類別相關(guān)的工作經(jīng)歷。5.4技術(shù)員5.4.1知識(shí)要求a)理解信息安全服務(wù)相關(guān)的通用知識(shí)，主要包括貫穿整個(gè)信息服務(wù)活動(dòng)的基本理論和基本知識(shí)。b)了解服務(wù)類別相應(yīng)工作所必備的知識(shí)，主要指與服務(wù)類別要求相適應(yīng)的理論知識(shí)、技術(shù)要求和操作規(guī)程等。c)了解服務(wù)人員應(yīng)具備的職業(yè)道德常識(shí)，相關(guān)標(biāo)準(zhǔn)與規(guī)范知識(shí)，以及有關(guān)法律法規(guī)、安全和環(huán)境保護(hù)知識(shí)等。5.4.2技能要求a)能在他人指導(dǎo)下，應(yīng)用信息安全服務(wù)相關(guān)的通用知識(shí)及專業(yè)知識(shí)，有效地完成工作任務(wù)。5.4.3經(jīng)驗(yàn)要求具有參與信息安全服務(wù)工作的經(jīng)歷。同時(shí)應(yīng)至少滿足下面一項(xiàng)要求：a)?？疲ê┮陨蠈W(xué)歷，1年以上從事信息安全有關(guān)工作經(jīng)歷；b)3年以上從事信息安全有關(guān)工作經(jīng)歷，并且1年以上從事與服務(wù)類別相關(guān)的工作經(jīng)歷。6人員能力管理等級(jí)資格評(píng)估要求信息安全服務(wù)人員能力管理資格從技術(shù)資格、知識(shí)及管理要求、經(jīng)驗(yàn)等方面進(jìn)行評(píng)估。6.1高級(jí)項(xiàng)目經(jīng)理6.1.1信息安全服務(wù)高級(jí)項(xiàng)目經(jīng)理需取得工程師及以上技術(shù)等級(jí)資格。6.1.2知識(shí)及管理要求a)熟悉國(guó)家和項(xiàng)目所在地的法律、法規(guī)和標(biāo)準(zhǔn)規(guī)范。b)嚴(yán)格執(zhí)行企業(yè)財(cái)務(wù)制度，加強(qiáng)項(xiàng)目財(cái)務(wù)管理，嚴(yán)格控制項(xiàng)目成本。c)有豐富的項(xiàng)目管理能力，包括項(xiàng)目進(jìn)度管理、質(zhì)量控制、需求分析、測(cè)試、客戶培訓(xùn)、問(wèn)題反饋收集整理等；d)有豐富的資源整合能力，包括人力資源整合能力、行業(yè)資源整合能力、溝通協(xié)調(diào)能力等。6.1.3近兩年作為項(xiàng)目負(fù)責(zé)人管理過(guò)的項(xiàng)目未發(fā)生較大的責(zé)任事故。6.1.4經(jīng)驗(yàn)要求近兩年作為項(xiàng)目負(fù)責(zé)人管理過(guò)并已通過(guò)驗(yàn)收的項(xiàng)目，應(yīng)滿足下列要求之一。a)信息安全服務(wù)類別對(duì)應(yīng)二級(jí)及以上項(xiàng)目不少于1個(gè)；b)信息安全服務(wù)類別對(duì)應(yīng)三級(jí)及以上項(xiàng)目不少于3個(gè)。6.2項(xiàng)目經(jīng)理6.2.1信息安全服務(wù)項(xiàng)目經(jīng)理需取得助理工程師及以上技術(shù)等級(jí)資格。6.2.2知識(shí)及管理要求5a)了解國(guó)家和項(xiàng)目所在地的法律、法規(guī)和標(biāo)準(zhǔn)規(guī)范。b)執(zhí)行企業(yè)財(cái)務(wù)制度，加強(qiáng)項(xiàng)目財(cái)務(wù)管理。c)有較強(qiáng)的項(xiàng)目管理能力，包括項(xiàng)目進(jìn)度管理、質(zhì)量控制、需求分析、測(cè)試、客戶培訓(xùn)、問(wèn)題反饋收集整理等；d)有較強(qiáng)的資源整合能力，包括人力資源整合能力、行業(yè)資源整合能力、溝通協(xié)調(diào)能力等。6.2.3近兩年作為項(xiàng)目負(fù)責(zé)人管理過(guò)的項(xiàng)目未發(fā)生較大的責(zé)任事故。6.2.4經(jīng)驗(yàn)要求近兩年協(xié)助或負(fù)責(zé)管理并已通過(guò)驗(yàn)收的項(xiàng)目，應(yīng)滿足下列要求之一。a)信息安全服務(wù)類別對(duì)應(yīng)三級(jí)及以上項(xiàng)目不少于1個(gè)；b)信息安全服務(wù)類別對(duì)應(yīng)四級(jí)及以上項(xiàng)目不少于2個(gè)。7能力評(píng)估7.1能力等級(jí)資格評(píng)估過(guò)程7.1.1能力資格評(píng)估應(yīng)按第5章、第6章要求，結(jié)合具體服務(wù)類別，建立評(píng)價(jià)指標(biāo)體系；7.1.2過(guò)程要求a)應(yīng)通過(guò)申請(qǐng)的服務(wù)類別和相應(yīng)級(jí)別的考試，考試形式包括筆試、機(jī)試等；b)應(yīng)通過(guò)職業(yè)履歷鑒定；c)必要時(shí)，通過(guò)由評(píng)估機(jī)構(gòu)組織的專家面試；d)必要時(shí)，通過(guò)由評(píng)估機(jī)構(gòu)組織的工作現(xiàn)場(chǎng)見(jiàn)證。7.2擴(kuò)展服務(wù)類別資格要求a)已通過(guò)信息安全服務(wù)人員能力其中一個(gè)資格評(píng)估；b)具有至少1年與所擴(kuò)展服務(wù)類別相關(guān)的工作經(jīng)歷；c)通過(guò)相應(yīng)服務(wù)類別和級(jí)別的考試。7.3能力等級(jí)資格再評(píng)估要求a)已通過(guò)信息安全服務(wù)人員資格評(píng)估，且在有效期內(nèi)；b)獲證后3年內(nèi)至少有2年的工作經(jīng)歷與獲得服務(wù)類別相關(guān)；c)每年不少于20h的信息安全相關(guān)專業(yè)的持續(xù)發(fā)展課程學(xué)習(xí)。7.4能力等級(jí)資格升級(jí)要求a)已通過(guò)信息安全服務(wù)人員資格評(píng)估，且在有效期內(nèi)；b