信息安全保障人员认证规则
信息安全保障人员认证规则
ISCCC-COP-R01
中国信息安全认证中心
信息安全保障人员认证规则
0 前言
中国信息安全认证中心(China Information Security Certification Center,英文缩写:ISCCC)是经中央机构编制委员会批准成立,依据国家有关的法律法规,负责实施信息安全认证的专门机构。
ISCCC依据国家相关法律法规开展认证工作,遵循的原则是:客观公正、科学规范、权威信誉、廉洁高效。
信息安全保障人员认证(Certified Information Security Assurance Worker,英文缩写:CISAW)通过考试和其它评价方式证明获证人员具备了在一定的专业方向上从事信息安全保障工作的个人素质和相应的技术知识与应用能力,以供用人单位选用具备能力资格的信息安全工作人员。CISAW 所使用的认证准则是《信息安全保障人员认证准则》。
本规则规定了ISCCC的CISAW认证运作的程序、认证条件、以及认证有关各方的权利和义务。
1目的
为确保信息安全保障人员认证工作的有序开展,保证认证管理的规范性、公正性和权威性,特制定本规则。
2适用范围
本规则适用于参与信息安全保障人员认证活动的机构和个人。
3术语与定义
GB/T27024 《合格评定人员认证机构通用要求》界定的以及下列术语和定义适用于本文件。
3.1信息安全保障人员
从事信息安全相关工作的所有人员,如组织的管理人员(包括CIO、CSO、科技管理部门和风险控制管理部门的人员),IT相关的技术人员(包括运维、开发和集成人员),从事信息安全服务组织的技术人员(包括信息安全产品研发人员、信息安全咨询人员、信息安全服务实施人员和外派服务人员)。
3.2认证专业方向
按照信息安全保障的技术方向划分的专业方向,并依据其对开展人员认证。
3.3获证人员
通过信息安全保障人员认证考试和认证评价,获得或保持信息安全保障人员认证证书的人员。
3.4工作经历
取得相应学历后的所有工作历史,无论是有偿的还是无偿的,全职的还是兼职的,但不包括实习经历。
3.5转正
预备人员认证转为基础级认证。
3.6扩展认证方向
在原有专业方向认证的基础上,扩展到其他专业方向认证的过程。
3.7缩小认证范围
在原有专业方向认证的基础上,注销一个或多个专业方向认证的过程。3.8认证升级
在原有专业方向认证级别的基础上,提升某专业方向认证级别的过程,包括I级(基础级)升为II级(专业级)和II级(专业级)升为III级(专业高级),参见第5节。
3.9认证降级
在原有专业方向认证级别的基础上,降低某专业方向认证级别的过程,包括II级(专业级)降为I级(基础级)和III级(专业高级)降为II级(专业级)。
3.10认证规则、认证准则的变更
ISCCC 依据社会对从事信息安全保障工作的个人素质和相应的技术知识与应用能力要求变化,对认证规则、认证准则做出修订。
3.11认证变更
认证变更包括扩展认证方向、缩小认证范围和认证升(降)级以及因为认证规则、认证准则变更所要求的再认证。
3.12暂停认证
使部分或全部认证范围暂时无效的过程。
3.13撤销认证
取消全部认证的过程。
3.14注销认证
当获证人员自愿提出不再维持认证资格或认证有效期到期未再获认证资格时,取消认证资格的过程。
3.15恢复认证
被暂停认证的获证人员,在ISCCC规定的期限内已实施有效的纠正措施,经ISCCC确认后,恢复认证资格的活动。
4认证条件
获证人员应满足如下基本要求:
a)具有独立的民事行为能力,具备承担法律责任的能力;
b)未受过刑事处罚;
c)不存在法律法规禁止从业的情形;
d)自愿遵守颁布的信息安全保障人员认证相关文件的有关规定,履行相关
义务;
e)符合有关法律法规的规定。
5专业方向与级别
信息安全保障人员认证专业方向和级别设置详见《信息安全保障人员认证准则》。
6认证流程
6.1初次认证
6.1.1申请
6.1.1.1满足预备人员认证要求的信息安全保障人员可以申请预备人员认证,提交认证申请材料,包括《信息安全保障人员考试认证申请表》(预备人员适用)、学籍注册证明、身份证明(身份证、军官证等复印件)、认定课程考试成绩等资格证明材料。
6.1.1.2满足认证准则基础级要求的的信息安全保障人员可以申请CISAW I 级(基础级)认证,提交认证申请材料,包括《信息安全保障人员考试认证申请表》(从业人员适用)、身份证明(身份证、军官证等复印件)、学历、经历等资格证明材料。
6.1.1.3满足某一专业方向II级(专业级)要求的信息安全保障人员可以直接申请CISAW II级(专业级)认证,提交认证申请材料,包括《信息安全保障人员考试认证申请表》(从业人员适用)、身份证明(身份证、军官证等复印件)、学历、经历等资格证明材料。
6.1.1.4收到申请材料后,认证事务管理人员负责审查申请人提交的申请资料,若申请人提交的资料齐全、填写清楚、正确,且资料表明符合认证准则基本要求的则予以正式受理。
6.1.1.5在资料审查过程中,CISAW 认证事务管理人员应将所发现的与认证条件不符合之处通知申请人。
6.1.2书面评价
6.1.2.1书面评价人员对申请人提交认证申请材料进行审查,并给出符合性评价结论。
6.1.2.2书面评价人员对申请人的考试成绩进行核实,并给出其在所申请的
专业方向和对应级别的知识水平和应用能力的评价结论。
6.1.2.3书面评价人员对申请人进行综合评价,以决定直接推荐认证评定或需进一步面试评价。
6.1.3面试评价(需要时)
6.1.3.1面试评价人员依据书面评价人员的建议对申请人素质、所申请的专业方向和级别要求的知识和能力通过面谈的方式进行考核或核实,并给出其在所申请的专业方向和对应级别的知识水平和应用能力的评价结论。
6.1.3.2面试评价人员对申请人进行综合评价,以决定是否推荐认证评定。
6.1.4认证评定
6.1.4.1认证评定人员对书面评价和面试评价(如果有)的程序和结果进行复核,并形成评定意见。
6.1.4.2认证评定人员不应与书面评价人员和面试评价人员相同。
6.1.5认证批准
6.1.5.1ISCCC主任或其授权人员负责审核认证评定意见,并最终决定是否批准认证。
6.1.5.2最终决定结果是以下三种类型之一:
a)通过认证;
b)不予通过认证;
c)补充证据或信息,再行认证评定。
6.1.6颁发证书与公告
6.1.6.1认证批准后,ISCCC将发布电子证书,并发布CISAW认证公告。6.1.6.2对获证人员,ISCCC还将颁发纸质证书。
6.1.6.3证书有效期为3年。
6.2认证变更
6.2.1申请变更
6.2.1.1获证人员在原有证书保持有效的情况下,可以提交认证材料申请认证变更。扩展认证方向时应提交的材料包括《信息安全保障人员考试认证申请表》(从业人员适用)和获证后的学历、经历等资格变化证明材料,同时提交不少于每年16小时的与信息安全相关的专业持续发展课程学习的证明;缩小认证
范围时应提交的材料包括《信息安全保障人员考试认证申请表》(从业人员适用),同时提交不少于每年16小时的与信息安全相关的专业持续发展课程学习的证明;认证升级时应提交的材料包括《信息安全保障人员考试认证申请表》(从业人员适用)和获证后的学历、经历等资格变化证明材料;认证降级时应提交的材料包括《信息安全保障人员考试认证申请表》(从业人员适用);如遇到认证规则和认证准则变更时,应同时提交新要求的资格证明。
6.2.1.2收到申请材料后,认证事务管理人员负责审查申请人提交的申请资料,若申请人提交的资料齐全、填写清楚、正确则予以正式受理。
6.2.1.3在资料审查过程中,CISAW 认证事务管理人员应将所发现的与变更认证条件不符合之处通知申请人。
6.2.1.4认证缩小和认证降级可直接转认证评定。
6.2.2书面评价
6.2.2.1书面评价人员对申请人提交变更认证申请材料进行审查,并给出符合性评价结论。
6.2.2.2书面评价人员对申请人的考试成绩进行核实,并给出其在所申请升级或扩展的专业方向和对应级别的知识水平和应用能力的评价结论。
6.2.2.3书面评价人员对申请人进行综合评价,以决定推荐变更评定或需进一步面试评价。
6.2.3面试评价(需要时)
6.2.3.1面试评价人员依据书面评价人员的建议对申请人素质、所申请升级或扩展的专业方向和对应级别知识和能力通过面谈的方式进行考核或核实,并给出其在所申请的专业方向和对应级别的知识水平和应用能力的评价结论。6.2.3.2面试评价人员对申请人进行综合评价,以决定是否推荐变更评定。
6.2.4变更评定
6.2.4.1对于认证扩展和认证升级的,认证评定人员根据书面评价人员和面试评价人员(如果有)的综合评价意见、推荐评定意见和申请人提交的申请材料决定是否推荐认证扩展或认证升级;对于认证缩小和认证降级的,认证评定人员根据申请人要求和其认证保持状态决定是否推荐认证缩小和认证降级,并形成评定意见。