漫談CISP和CISAW

中國資訊安全認證中心

http://www.isccc.gov.cn/

中國資訊安全認證中心是經中央編制委員會批准成立，由國務院資訊化工作辦公室、國家認證認可監督管理委員會等八部委授權，依據國家有關強制性產品認證、資訊安全管理的法律法規，負責實施資訊安全認證的專門機構。中國信息安全認證中心為國家質檢總局直屬事業單位。

CISAW中文名稱為資訊安全保障人員認證，CISAW認證是中國網路安全審查技術與認證中心針對資訊安全保障領域不同專業技術方向、應用方向和保障崗位，依據國際標準ISO/IEC 17024《人員認證機構通用要求》所建立的、不同層次的資訊安全保障人員認證體系，主要針對與資訊安全工作直接密切相關的中高級管理人員、專業技術人員等從業人員推出的人員資格認證和專業水準認證。

資訊安全保障人員認證分為預備認證、資格認證(基礎級)和專業認證(專業級和專業高級)。資訊安全保障人員級別從低到高依次分為預備級、Ⅰ級（基礎級）、Ⅱ級（專業級）、Ⅲ級（專業高級）4個級別。其中Ⅱ級（專業級）、Ⅲ級（專業高級）設置認證專業方向, 分別為: 安全軟體、安全集成、安全管理、安全運維、安全諮詢、風險管理、應急服務、災備服務、業務連續性。

5.2.1.1 預備人員認證資格要求獲證人員應滿足下面要求：a) 教育部發佈的“具有普通高等學歷教育招生資格的高等學校名單”中“普通本科院校”在校本科生或全國研究生招生計畫中研究生招生單位在校研究生；b) 通過 4 門以上經認定的考試課程(參見附錄 B)考試。

5.2.1.2 基礎級認證工作經歷要求獲證人員應至少滿足下面一項要求：a) 本科（含）以上學歷， 1 年以上從事資訊安全有關工作經歷；b) 專科畢業，3 年以上從事資訊安全有關的工作經歷；c) 5 年以上從事資訊安全有關的工作經歷；d) 具有資訊技術相關專業的初級技術職稱，並且至少 1 年以上從事資訊安全保障相關工作經歷（表 1 中任意一個認證專業方向的工作經歷均可）。

5.2.1.3 專業級認證工作經歷要求獲證人員應至少滿足下面一項要求：a) 碩士研究生（含）以上學歷，2 年以上從事資訊安全有關工作經歷，並且至少 1 年從事與申請認證專業方向相關的工作經歷；b) 本科畢業，4 年以上從事資訊安全有關工作經歷，並且至少 2 年以上從事與申請認證專業方向相關的工作經歷；c) 專科畢業，6 年以上從事資訊安全有關工作經歷，並且至少 2 年以上從事與申請認證專業方向相關的工作經歷；d) 7 年以上從事資訊安全有關工作經歷，並且至少 2 年以上從事與申請認證專業方向相關的工作經歷；e) 具有資訊技術相關專業的中級技術職稱，並且從事至少 2 年以上與申請認證專業方向相關的工作經歷。

5.2.1.4 專業高級認證工作經歷要求獲證人員應至少滿足下面一項要求：a) 碩士研究生（含）以上學歷， 3 年以上從事資訊安全有關工作經歷，並且至少 2年以上從事與申請認證專業方向相關的工作經歷；b) 本科畢業，5 年以上從事資訊安全有關工作經歷，並且至少 3 年以上從事與申請認證專業方向相關的工作經歷；c) 專科畢業，7 年以上從事資訊安全有關工作經歷，並且至少 3 年以上從事與申請認證專業方向相關的工作經歷；d) 8 年以上從事資訊安全有關工作經歷，並且至少 3 年以上從事與申請認證專業方向相關的工作經歷；e) 具有資訊技術相關專業的高級技術職稱，並且至少 3 年以上從事與申請認證專業方向相關的工作經歷。

5.2.2 培訓要求

獲證人員應完成其申請的認證專業方向和相應級別認證考試要求的技術知識和應用能力培訓。

5.2.3 考試要求

獲證人員應滿足下面要求：a) 通過其申請的認證專業方向和相應級別的認證考試（要求參見附錄 C），包括筆試和實驗；b) 必要時，通過由認證機構組織的專家面試；c) 必要時，通過由認證機構組織的工作現場見證。

5.3 擴展認證專業方向資格要求

獲證人員應滿足下面要求a) 已通過資訊安全保障人員認證其中一個認證專業方向認證；b) 具有至少 1 年與所擴展認證專業方向相關的工作經歷；c) 完成其申請的認證專業方向和相應級別所要求的認證考試要求的技術知識和應用能力培訓；d) 通過相應認證專業方向和相應級別的認證考試。

5.4 再認證資格要求

獲證人員應滿足下面要求：a) 已通過資訊安全保障人員認證，且在認證有效期內；b) 獲證後 3 年內至少有 2 年的工作經歷與獲得認證的專業方向相關；c) 每年不少於 16h 的資訊安全相關專業的持續發展課程學習。