ICS 01.040.35 RB F 10/19 备案号：43670 中华人民共和国认证认可行业标准 RB/T 202-2013 信息安全保障人员认证准则 Certification requirements for information security assurance professional 2013-12-02发布 2014-06-15实施 中国国家认证认可监督管理委员会 发布 RB/T202—2013 前言 本标准按照GB/T1.1-2009给出的规则起草 本标准由国家认证认可监督管理委员会提出并归口。 本标准起草单位：中国信息安全认证中心、中华人民共和国国家质量监督检验检疫总局标准与技术 法规研究中心。 本标准主要起草人：张剑、段静辉、宋志刚、徐然、郑莹、毛作奎、张斌。 RB/T202—2013 信息安全保障人员认证准则 1范围 本标准规定了信息安全保障人员认证的专业方向、级别和资格要求。 本标准适用于对信息安全保障人员进行认证考试和认证。 本标准不适用于对认证审核人员进行注册。 2 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T27024合格评定人员认证机构通用要求 3术语和定义 GB/T27024界定的以及下列术语和定义适用于本文件。 3.1 信息安全保障人员informationsecurityassuranceprofessional 从事信息安全相关工作的所有人员，如组织的管理人员（包括CIO、CSO、科技管理部门和风险控制 管理部门的人员）、IT相关的技术人员（包括运维、开发和集成人员），从事信息安全服务组织的技术人 员（包括信息安全产品研发人员、信息安全咨询人员、信息安全服务实施人员和外派服务人员）。 3.2 认证专业方向 certifiedprofessionalfield 按照信息安全保障的技术方向划分的专业方向，并依据其开展人员认证。 3.3 获证人员certifiedapplicant 通过信息安全保障人员认证考试和认证评价，获得或保持信息安全保障人员认证证书的人员。 3.4 工作经历 occupationalhistory 取得相应学历后的所有工作历史，无论是有偿的还是无偿的，全职的还是兼职的，不包括实习经历。 4认证专业方向与级别 信息安全保障人员认证专业方向和级别设置如表1所示。 信息安全保障人员认证分为预备认证、资格认证（基础级）和专业认证（专业级和专业高级）。信息 其中Ⅱ级（专业级）、Ⅲ级（专业高级)设置认证专业方向，分别为：安全软件、安全集成、安全管理、安全 运维、安全咨询、风险管理、应急服务、灾备服务、业务连续性（参见附录A）。 1 RB/T202-—2013 表1认证专业方向设置表 类型 级别 专业方向 专业 Ⅲ级(专业高级 安全 安全 安全 安全 安全 风险 应急 灾备 业务 认证 软件 集成 管理 运维 Ⅱ级(专业级) 咨询 管理 服务 服务 连续性 资格认证 I级(基础级) 保障基础 预备认证 预备级 预备人员 5认证要求 5.1基本要求 获证人员应满足如下基本要求： a）具有独立的民事行为能力，具备承担法律责任的能力； b) 未受过刑事处罚； c) 不存在法律法规禁止从业的情形； d) 自愿遵守颁布的信息安全保障人员认证相关文件的有关规定，履行相关义务； e) 符合有关法律法规的规定。 5.2初次申请资格条件 5.2.1 教育及工作经历 5.2.1.1 预备人员认证资格要求 获证人员应满足下面要求： a) 教育部发布的“具有普通高等学历教育招生资格的高等学校名单”中“普通本专科院校”在校本 专科生或全国研究生招生计划中研究生招生单位在校研究生； b) 通过4门以上经认定的考试课程(参见附录B)考试。 5.2.1.2 基础级认证工作经历要求 获证人员应至少满足下面一项要求： a）本科（含)以上学历，1年以上从事信息安全有关工作经历； b）专科毕业，3年以上从事信息安全有关的工作经历； 5年以上从事信息安全有关的工作经历； c) (P 具有信息技术相关专业的初级技术职称，并且至少1年以上从事信息安全保障相关工作经历 （表1中任意一个认证专业方向的工作经历均可）。 5.2.1.3 专业级认证工作经历要求 获证人员应至少满足下面一项要求： 硕士研究生（含)以上学历，2年以上从事信息安全有关工作经历，并且至少1年从事与申请认 a) 证专业方向相关的工作经历； b) 本科毕业，4年以上从事信息安全有关工作经历，并且至少2年以上从事与中请认证专业方向 相关的工作经历； 2 RB/T202—2013 c）专科毕业，6年以上从事信息安全有关工作经历，并且至少2年以上从事与申请认证专业方向 相关的工作经历； d）7年以上从事信息安全有关工作经历，并且至少2年以上从事与申请认证专业方向相关的工 作经历； e) 具有信息技术相关专业的中级技术职称，并且至少2年以上从事与申请认证专业方向相关的 工作经历。 5.2.1.4专业高级认证工作经历要求 获证人员应至少满足下面一项要求： （B 硕士研究生（含）以上学历，3年以上从事信息安全有关工作经历，并且至少2年以上从事与申 请认证专业方向相关的工作经历； b）本科毕业，5年以上从事信息安全有关工作经历，并且至少3年以上从事与申请认证专业方向 相关的工作经历； C) 相关的工作经历； 3(P 8年以上从事信息安全有关工作经历，并且至少3年以上从事与申请认证专业方向相关的工 作经历； e) 具有信息技术相关专业的高级技术职称，并且至少3年以上从事与申请认证专业方向相关的 工作经历。 5.2.2培训要求 获证人员应完成其申请的认证专业方向和相应级别认证考试要求的技术知识和应用能力培训。 5.2.3考试要求 获证人员应满足下面要求： 通过其申请的认证专业方向和相应级别的认证考试（要求参见附录C)，包括笔试和实验； a)i b）必要时，通过由认证机构组织的专家面试； c）必要时，通过由认证机构组织的工作现场见证。 5.3扩展认证专业方向资格要求 获证人员应满足下面要求： a)t 已通过信息安全保障人员认证其中一个认证专业方向认证； b): 具有至少1年与所扩展认证专业方向相关的工作经历； 完成其申请的认证专业方向和相应级别所要求的认证考试要求的技术知识和应用能力培训； d）通过相应认证专业方向和相应级别的认证考试。 5.4再认证资格要求 获证人员应满足下面要求： a)é 已通过信息安全保障人员认证，且在认证有效期内； c）每年不少于16h的信息安全相关专业的持续发展课程学习。 5.5认证升级资格要求 获证人员应满足下面要求： 3 RB/T202—2013 a) 已通过信息安全保障人员认证，且在认证有效期内； b) 满足信息安全保障人员认证高一级别认证要求，包括工作经历、培训和考试要求。 5.6 预备人员转正资格要求 获证人员应满足下面要求： a）已通过信息安全保障人员认证预备级认证，且在认证有效期内； b）从事信息安全保障相关工作（表1中任意一个认证专业方向的工作经历均可)1年。 注：转正时申请更换的信息安全保障人员认证证书为基础级证书。 RB/T202-—2013 附录A (资料性附录 信息安全保障人员认证分类分级 认证专业方向 A,1 信息安全保障人员按照信息安全保障的技术方向进行分类，依据能力要求进行分级。信息安全保 障人员认证专业方向设置见表1。 认证专业方向适合人员 A.2 认证专业方向适合人员说明见表A.1。 表A.1 认证专业适用人员 序号 认证专业方向 适合人员 0 预备人员(CP) 在校大学生、研究生 1 保障基础(FP) 所有信息安全保障人员 2 安全软件(SS) 软件开发相关管理与技术人员 3 安全集成(SI) 系统集成相关管理与技术人员 4 安全管理(SM) 所有信息安全保障人员 5 安全运维(SO) 网络、系统、桌面等安全管理与技术人员 9 安全咨询(SC) 提供安全咨询服务相关的管理与技术人员 7 风险管理(RM) 集成、咨询和运维相关管理与技术人员 应急服务(ER) 网络、系统、风险等相关管理与技术人员 9 灾备服务(DR) 网络、系统、风险等相关管理与技术人员 10 集成、咨询、运维和风险相关管理与技术人员 业务连续性(BC) 5