1、Q/LB.XXXXX-XXXXICS35.020CCS L 7021辽宁省地方标准DB21/T 1793.72023信息技术职业技能第 7 部分:信息安全Information TechnologyProfessional Skill-Part 7:information security草案版次选择2023-12-30 发布2024-01-30 实施辽宁省市场监督管理局 发 布DB21/T 1793.7-2023I目次前言.IV1 范围.12 规范性引用文件.13 术语和定义.14 缩略语.25 要求.26 职业说明.26.1 职业名称.26.2 职业描述.26.3 职业分类.27 鉴定要求
2、.37.1 适用对象.37.2 鉴定方式.38 基本知识.38.1 要求.38.2 IT 基础知识.38.3 信息安全基础知识.38.4 信息安全攻防基础知识.38.5 信息安全主流开发技术.48.6 信息安全新技术基础知识.48.7 外语基础知识.48.8 其他基础知识.49 信息安全管理.49.1 职业定义.49.2 等级.59.3 申报条件.59.4 等级要求.510 信息安全咨询.810.1 职业定义.810.2 等级.8DB21/T 1793.72023II10.3 申报条件.810.4 等级要求.811 信息安全监理.1011.1 职业定义.1011.2 等级.1011.3 申报条
3、件.1011.4 等级要求.1112 信息安全设计与开发.1212.1 职业定义.1212.2 等级.1312.3 申报条件.1312.4 等级要求.1313 信息安全测试.1813.1 职业定义.1813.2 等级.1913.3 申报条件.1913.4 等级要求.1914 信息安全集成.2414.1 职业定义.2414.2 等级.2514.3 申报条件.2514.4 等级要求.2515 信息安全运维.2915.1 职业定义.2915.2 等级.3015.3 申报条件.3015.4 等级要求.3016 信息安全审计.3416.1 职业定义.3416.2 等级.3416.3 申报条件.3416.
4、4 等级要求.3517 信息安全培训.36DB21/T 1793.7-2023III17.1 职业定义.3617.2 等级.3617.3 申报条件.3717.4 等级要求.3718 鉴定比重.3919 培训要求.39DB21/T 1793.72023IV前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件是DB21/T 1793信息技术 职业技能的第7部分。DB21/T 1793已经发布了以下部分:信息技术 职业技能第1部分:要求信息技术 职业技能第4部分:系统集成信
5、息技术 职业技能第8部分:数据管理本文件由辽宁省工业和信息化厅提出并归口。本文件起草单位:辽宁省先进装备制造业基地建设工程中心、国网辽宁省电力有限公司电力科学研究院、辽宁职业学院、国网辽宁省电力有限公司信息通信分公司、辽宁省大数据管理中心、大连软信咨询服务有限公司。本文件主要起草人:姜胜海、张雪、任帅、陈剑、李博文、滕子贻、李洪涛、尹宏、刘宏。本文件发布实施后,任何单位和个人如有问题和意见建议,均可以通过来电和来函等方式进行反馈,我们将及时答复并认真处理,根据实际情况依法进行评估及复审。本文件归口单位通讯地址:沈阳市北陵大街45-2号,联系电话:024-86913384。本文件起草单位通讯地址
6、:沈阳市和平区太原北街2号综合楼A座10层,联系电话:024-88785218。DB21/T 1793.7-20231信息技术职业技能第7部分:信息安全1范围本文件规定了信息安全职业定义、分类,职业技能鉴定要求、通用知识、各职业分类的等级、申报条件和等级要求。本文件适用于信息安全相关企业及相关组织职业技能管理、鉴定、职业培训等。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修订单)适用于本文件。GB/T 25069-2022信息安全技术术语GB/T 30283-2
7、022信息安全技术信息安全服务分类与代码DB21/T 1793.1信息技术职业技能第1部分:要求3术语和定义GB/T 25069-2022和DB21/T 1793.1界定的以及下列术语和定义适用于本文件。3.1信息安全information security对信息的保密性、完整性和可用性的保持。注:另外,也可包括诸如真实性、可核查性、抗抵赖性和可靠性等其他性质。3.2信息安全服务information security service面向组织或个人的各类信息安全需求和信息安全保障需求,由服务提供方按照服务协议所执行的信息安全过程或任务。注1:信息安全服务通常是基于信息安全技术、产品或管理体系,
8、通过外包的形式,由专业信息安全人员所提供的支持和帮助。注2:信息安全服务通常以信息安全服务提供方和信息安全服务需求方之间的服务项目方式进行。3.3网络安全network security对网络环境下存储、传输和处理的信息的保密性、完整性和可用性的保持。DB21/T 1793.7-202324缩略语下列缩略语适用于本文件。IT:信息技术(Information Technology)。AI:人工智能(Artificial Intelligence)。EXP:针对漏洞编写的可执行代码(Exploit)。CIO:首席信息安全官(Chief Information Security Officer)。
9、5要求本文件遵循DB21/T 1793.1的一般原则和要求,重点描述信息安全职业技能的基本要求、业务能力、技术能力和复合能力要求等。信息安全职业技能的一般原则和要求,参照DB21/T 1793.1执行。在信息安全职业技能管理和鉴定中,应同时使用DB21/T 1793.1和本文件。6职业说明6.1职业名称信息安全。6.2职业描述信息安全职业涵盖了许多不同的领域和职责,主要应包括:a)基于信息安全法律法规和相关信息安全技术,为组织的信息系统进行全面评估,识别潜在的安全风险,并提供相应的风险管理策略和控制建议。协助组织设计和构建安全的系统和网络架构,确保信息资产得到适当的保护;b)利用信息安全技术,
10、为组织提供漏洞扫描、渗透测试、代码审查和安全运维,发现系统中的安全漏洞,并提供修复建议,保障系统或网络安全、稳定、可持续运行;c)基于信息安全法律法规,协助组织开展员工培训和教育活动,提高信息安全意识,强化防范安全威胁的能力,为组织制定适合其需求和法规要求的信息安全政策、规程和最佳实践指南。6.3职业分类信息安全职业基于信息安全技术行业的业务形态、信息安全技术发展和应用的规律进行分类,信息安全职业细分职业分类见表1。表 1信息安全相关职业分类类别序号010203040506070809职业分类信息安全管理信息安全咨询信息安全监理信息安全设计与开发信息安全测试信息安全集成信息安全运维信息安全审计
11、信息安全培训DB21/T 1793.7-202337鉴定要求7.1适用对象信息安全职业技能鉴定适用于申报本职业等级鉴定及从事或准备从事本职业的人员。7.2鉴定方式应根据DB21/T 1793.1中6.4要求的方式鉴定。鉴定采用百分制,成绩均达到60分及以上为及格。8基本知识8.1要求信息安全职业涉及应用领域宽泛,技术体系庞杂,相关知识体系要求:a)应具备和掌握数学、密码学和计算机基础知识;b)应根据不同的应用领域,熟悉掌握相应领域所需知识、技术、实践等。8.2IT 基础知识信息安全职业应具备和掌握IT基础知识,包括:a)计算机硬件、软件基础知识;b)计算机网络、操作系统基础知识;c)软件开发、
12、软件工程基础知识;d)数据库开发基础知识;e)秘钥算法、信任关系与模型;f)数据保密性、完整性、可用性和不可否认性;g)费马定理和欧拉定理;h)项目管理、质量管理基础知识等。8.3信息安全基础知识应熟悉、掌握信息安全相关基础知识,包括:a)网络安全法、个人信息保护法和信息安全等级保护管理办法;b)系统漏洞挖掘;c)信息安全设备;d)数据存储、数据加密;e)信息安全工具使用等;a)流量分析和攻击溯源;b)安全设备配置与应用;c)渗透测试方法与流程;d)操作系统和应用服务器的安全防护、安全管理等。8.4信息安全攻防基础知识应熟悉、掌握信息安全攻防相关基础知识,包括:DB21/T 1793.7-20
13、234a)应用安全配置和防护;b)网络协议安全和架构安全;c)信息收集与分析方法;d)信息安全测试与评估方法;e)恶意代码的基本概念、基本原理、主要特征,攻击模式,分析方法;f)编写EXP利用系统或应用程序中的漏洞;g)防火墙、入侵检测系统、入侵防御系统的应用和使用方法;h)操作系统安全、数据库安全和中间件安全等。8.5信息安全主流开发技术应熟悉、掌握主流开发技术相关基础知识,包括:a)主流编程语言;b)各类系统平台开发技术;c)主流数据库基础知识、设计、开发和应用;d)主流安全工具开发框架等。8.6信息安全新技术基础知识应了解信息安全新技术相关基础知识,包括:a)AI技术在信息安全中的应用;
14、b)云计算安全体系结构、技术特点和技术应用;c)大数据安全体系结构、技术特点和技术应用;d)物联网安全体系结构、技术特点和技术应用;e)工业控制系统安全体系结构、技术特点和安全技术应用;f)区块链安全体系结构、技术特点和安全技术应用;g)移动应用安全体系结构、技术特点和安全技术应用等。8.7外语基础知识与信息安全战略、规划、技术、研发、管理等相关的专业外语。8.8其他基础知识应熟悉、理解相关的基础知识,包括:a)行业、相关领域知识;b)知识产权相关知识;c)劳动法相关知识;d)国家相关法律、法规等。9信息安全管理9.1职业定义基于组织的安全发展战略,负责组织和监督一个组织的信息安全战略、政策和
15、措施,确保信息资产得到适当的保护,并协助应对与信息安全相关的风险和威胁等,它是组织中一个关键高级管理职位。DB21/T 1793.7-202359.2等级信息安全管理设2个等级,即:职业资格7级(高级信息安全管理)和职业资格6级(信息安全管理)。9.3申报条件申报信息安全管理各等级职业资格,应符合以下条件之一:a)职业资格7级:1)获得国家计算机技术与软件专业技术资格(水平)考试相关高级资格,并连续从事本职业相关工作 5 年以上;2)具有与从事本职业相关的专业领域硕士以上学历,并连续从事本职业相关工作 5 年以上,获得认可的业务能力;3)取得信息安全管理职业资格 2 年以上;4)曾主持管理区域
16、性重大项目课题,且在国内具有重大影响和知名度,并获得认可。b)职业资格6级:1)获得国家计算机技术与软件专业技术资格(水平)考试相关高级资格,并连续从事本职业工作 3 年以上;2)具有与从事本职业相关的专业领域硕士以上学历,并连续从事本职工作 3 年以上,并获得认可的业务能力;3)取得其它与本职业相关的职业资格 6 级及以上 2 年以上;4)曾参与管理区域性重大项目课题,且在省内具有重大影响和知名度,并获得认可。c)职业资格5级:1)获得国家计算机技术与软件专业技术资格(水平)考试相关中级资格,并连续从事本职业工作 3 年以上;2)具有与从事本职业相关的专业领域本科以上学历,并连续从事本职工作
17、 3 年以上,并获得认可的业务能力;3)取得其它与本职业相关的职业资格 5 级及以上 2 年以上;4)曾主持管理单位内重大项目课题,在地区内具有一定影响和知名度,并获得认可。d)职业资格4级:1)获得国家计算机技术与软件专业技术资格(水平)考试相关中级资格,并连续从事本职业工作 1 年以上;2)具有与从事本职业相关的专业领域本科以上学历,并连续从事本职工作 3 年以上,并获得认可的业务能力;3)取得其它与本职业相关的职业资格 4 级及以上 2 年以上;4)曾参与管理单位内重大项目课题,在行业内具有一定影响和知名度,并获得认可。9.4等级要求9.4.1业务能力业务能力要求参见表2。DB21/T
18、1793.7-20236表 2信息安全管理各等级职业资格-业务能力等级业务能力7级在国内具有一定的知名度和影响力,具备战略化、国际化视野,基于组织的发展战略和业务方向,制定组织的信息安全相关战略、规划,控制和管理组织的安全事件响应、风险管理与评估、策略制定与规划等。信息安全及相关领域专业造诣较深,知识领域宽泛、熟练掌握信息安全及相关专业领域和其它相关专业、领域的知识和知识运用能力,具备良好的沟通、协作和领导力,并具有丰富经验6级在地区内具有一定的知名度和影响力,基于组织的发展战略和业务方向,制定组织的信息安全相关战略、规划,控制和管理组织的安全事件响应、风险管理与评估、策略制定与规划等。信息安
19、全及相关领域专业造诣较深,知识领域宽泛、熟练掌握信息安全及相关专业领域和其它相关专业、领域的知识和知识运用能力,具备良好的沟通、协作和领导力,并具有丰富经验5级在地区内具有一定认可度,参与制定组织的信息安全相关战略、规划,控制和管理组织的安全事件响应、风险管理与评估、策略制定与规划等。对信息安全及相关领域专业有一定理解,知识领域宽泛、熟练掌握信息安全及相关专业领域和其它相关专业、领域的知识和知识运用能力,具备良好的沟通、协作和领导力,并具有丰富经验4级依据相关制度要求,组织实施本单位或本部门的安全事件响应、风险管理与评估等工作。对信息安全及相关领域专业有一定理解,知识领域宽泛、熟悉信息安全及相
20、关专业领域和其它相关专业、领域的知识和知识运用能力,具备良好的沟通、协作和执行力9.4.2技术能力技术能力要求参见表3。表 3信息安全管理各等级职业资格-技术能力等级技术能力7级对专业技术、新兴技术的趋势有深入的研究,跟踪、把握新技术、新产品的发展方向,熟练掌握、运用网络和系统安全原理、加密算法和协议、漏洞评估和渗透测试的方法和工具、安全事件响应的流程和方法、数据隐私和保护的原则和方法等,熟悉信息安全相关专业、领域和其它相关专业、领域所需各类知识,具有战略性和前瞻性思维能力,深刻理解企业的愿景、战略和业务方向,采取一切必要步骤,确保信息资产得到适当保护,确保组织的安全态势与业务愿景保持一致。建
21、立一套结构化的信息安全管理框架,提高组织对安全威胁的应对能力,化解相关风险DB21/T 1793.7-20237表 3信息安全管理各等级职业资格-技术能力(续)等级技术能力6级对专业技术、新兴技术的趋势有一定的研究,跟踪、把握新技术、新产品的发展方向,掌握、运用网络和系统安全原理、加密算法和协议、漏洞评估和渗透测试的方法和工具、安全事件响应的流程和方法、数据隐私和保护的原则和方法等,掌握信息安全相关专业、领域和其它相关专业、领域所需各类知识,理解企业的愿景、战略和业务方向,确保信息资产得到适当保护,确保组织的安全态势与业务愿景保持一致。建立一套结构化的信息安全管理框架,提高组织对安全威胁的应对
22、能力,化解相关风险5级对专业技术、新兴技术的趋势有一定的理解,能够持续跟踪、学习新技术、新产品的发展方向,熟练运用漏洞评估和渗透测试的方法和工具、熟悉安全事件响应的流程和方法等,熟悉信息安全相关专业、领域和其它相关专业、领域所需各类知识,具备培养、带领团队的能力,使其具备应对安全威胁和化解相关风险的能力4级具备学习新技术、新产品的能力,熟悉运用漏洞评估和渗透测试的方法和工具、熟悉安全事件响应的流程和方法等,熟悉信息安全相关专业、领域和其它相关专业、领域所需各类知识,具备应对安全威胁和化解相关风险的能力9.4.3复合能力复合能力要求参见表4。表 4信息安全管理各等级职业资格-复合能力等级复合能力
23、7级掌握和熟练运用其它业务相关专业、领域知识,根据信息安全相关业务需要,系统性融合、重构、更新信息安全相关及其它相关专业、领域知识和知识运用能力,具备较高的信息安全专业英语水平,善于运用沟通和咨询技巧掌握组织各部门的安全需求,能够与各级别的管理人员和技术团队进行有效的沟通和合作6级掌握和运用其它业务相关专业、领域知识,根据信息安全相关业务需要,系统性融合、重构、更新信息安全相关及其它相关专业、领域知识和知识运用能力,具备一定的信息安全专业英语水平,善于运用沟通和咨询技巧掌握组织各部门的安全需求,能够与各级别的管理人员和技术团队进行有效的沟通和合作5级能够运用其它业务相关专业、领域知识,根据信息
24、安全相关业务需要,系统性融合、重构、更新信息安全相关及其它相关专业、领域知识和知识运用能力,善于运用沟通和咨询技巧掌握组织各部门的安全需求,能够与各级别的管理人员和技术团队进行有效的沟通和合作4级能够运用其它业务相关专业、领域知识,根据信息安全相关业务需要,持续更新信息安全相关及其它相关专业、领域知识和知识运用能力,能够有效运用沟通和咨询技巧掌握组织各部门的安全需求,能够与各级别的管理人员和技术团队进行有效的沟通和合作DB21/T 1793.7-2023810信息安全咨询10.1职业定义为组织或个人,围绕信息系统所支持业务的相关人员、技术和管理,通过知识传递、工作辅导和系统规划等方法,提出解决
25、信息安全问题的建议和方案,帮助组织建立健全的信息安全体系,提供专业的建议和指导,确保信息资产得到有效的保护,降低安全风险,满足法规和合规性要求的信息安全服务。10.2等级信息安全咨询设3个等级,即:职业资格6级(高级信息安全咨询师)、职业资格5级(信息安全咨询师)和职业资格4级(助理信息安全咨询师)。10.3申报条件申报信息安全咨询各等级职业资格,应符合以下条件之一:a)职业资格6级:1)获得国家计算机技术与软件专业技术资格(水平)考试相关高级资格,并连续从事本职业相关工作 5 年以上;2)具有与从事本职业相关的专业领域硕士以上学历,并连续从事本职业相关工作 5 年以上,获得认可的业务能力;3
26、)取得信息安全咨询师职业资格 2 年以上;4)在国内具有重大影响和知名度,并获得认可。b)职业资格5级:1)获得国家计算机技术与软件专业技术资格(水平)考试相关高级资格,并连续从事本职业工作 3 年以上;2)具有与从事本职业相关的专业领域硕士以上学历,并连续从事与本职相关工作 3 年以上,并获得认可的业务能力;3)取得助理信息安全咨询师职业资格 2 年以上;4)在地区内具有重大影响和知名度,并获得认可。c)职业资格4级:1)获得国家计算机技术与软件专业技术资格(水平)考试相关中级资格,并连续从事本职业工作 5 年以上;2)具有与从事本职业相关的专业领域本科以上学历,并连续从事本职业工作 3 年
27、以上,并获得认可的业务能力;3)在行业内具有重大影响和知名度,并获得认可。10.4等级要求10.4.1业务能力业务能力要求参见表5。DB21/T 1793.7-20239表 5信息安全咨询各等级职业资格-业务能力等级业务能力6级在国内具有一定的知名度和影响力,成功主持国家、省级重点、重大信息安全体系建设工程项目的规划、设计、评估和管理等咨询业务,并推动业务流程创新。专业造诣较深,且知识领域宽泛,适应并指导跨专业、领域的信息安全相关项目的研发、应用,并注重将丰富的实践经验和理论知识规范化和体系化5级在地区内具有一定的知名度和影响力,成功主持市级重点、重大信息安全体系建设工程的规划、设计、评估和管
28、理等咨询业务。有一定的专业造诣,且知识领域较宽,适应跨专业、领域的信息安全相关项目的研发、应用,能够在跨专业项目中运用,并注重将丰富的实践经验和理论知识规范化和体系化4级在行业内具有一定知名度和影响力,成功参与市级重点、重大信息安全体系建设工程的规划、设计、评估和管理等咨询业务。有一定专业造诣,并注重将丰富的实践经验和理论知识规范化和体系化10.4.2技术能力技术能力要求参见表6。表 6信息安全咨询各等级职业资格-技术能力等级技术能力6级对专业技术、新技术的发展有深入的研究,跟踪、把握新技术、新产品的发展方向,精通信息安全体系建设各环节的理论、实践和经验,熟练掌握、运用信息安全相关专业、领域和
29、其它相关专业、领域所需各类知识,熟悉信息安全相关各类主流技术,具有战略性和前瞻性思维能力,深刻理解组织的战略发展和需求,为组织提供关键、适宜、合理技术,帮助组织有效的保护信息资产,建立一套结构化的信息安全管理框架,提高组织对安全威胁的应对能力,化解相关风险5级对专业技术、新技术的发展有深入的研究,跟踪、把握新技术、新产品的发展方向,熟悉信息安全体系建设各环节的理论、实践和经验,掌握、运用信息安全相关专业、领域和其它相关专业、领域所需各类知识,了解信息安全相关各类主流技术,具有前瞻性思维能力,深刻理解组织的战略发展和需求,为组织提供关键、适宜、合理技术,帮助组织保护信息资产,建立一套结构化的信息
30、安全管理框架,提高组织对安全威胁的应对能力,化解相关风险4级对专业技术、新技术的发展有一定研究,跟踪新技术、新产品的发展方向,熟悉、运用信息安全相关领域所需知识,了解数据相关各类主流技术,具有前瞻性思维能力,能够对组织建立一套结构化的信息安全管理框架提出建议,理解组织的发展需求,协助组织应对安全威胁,化解相关风险10.4.3复合能力DB21/T 1793.7-202310复合能力要求参见表7。表 7信息安全咨询各等级职业资格-复合能力等级复核能力6级掌握和熟练运用信息安全相关专业和其它业务相关专业、领域知识,根据信息安全咨询相关业务需要,系统性融合、重构、更新信息安全相关及其它相关专业、领域知
31、识和知识运用能力,具备较高的信息安全专业英语水平,善于运用沟通和咨询技巧掌握组织需求,能够与各级别的管理人员和技术团队进行有效的沟通和合作,制定优秀的信息安全管理制度5级掌握和熟练运用信息安全相关专业和其它业务相关专业、领域知识,根据信息安全咨询相关业务需要,系统性融合、更新信息安全相关及其它相关专业、领域知识和知识运用能力,具备一定的信息安全专业英语水平,运用沟通和咨询技巧掌握组织需求,能够与各级别的管理人员和技术团队进行有效的沟通和合作,制定信息安全管理制度4级掌握和熟练运用信息安全相关专业和其它业务相关专业、领域知识,根据信息安全咨询相关业务需要,持续更新信息安全相关及其它相关专业、领域
32、知识和知识运用能力,具备良好的沟通和咨询技巧,能够与各级别的管理人员和技术团队进行有效的沟通和合作,制定信息安全管理制度11信息安全监理11.1职业定义针对需方各类信息系统工程中涉及信息安全的工程活动,由具有相关资质的监理单位受信息安全工程建设单位的委托,在工程建设的规划设计、部署实施(招标、设计、实施、验收)各阶段实施控制和管理,提供相关建设和意见,确保实现各阶段的监理目标和完成监理内容的信息安全服务。11.2等级信息安全监理设2个等级,即:职业资格6级(高级信息安全监理师)和职业资格5级(信息安全监理师)。11.3申报条件申报信息安全监理各等级职业资格,应符合以下条件之一:a)职业资格6级
33、:1)获得国家计算机技术与软件专业技术资格(水平)考试相关高级资格,并连续从事本职业工作 5 年以上;2)具有与从事本职业相关的专业领域硕士以上学历,并连续从事与本职相关工作 5 年以上,并获得认可的业务能力;3)取得信息安全监理师职业资格 2 年以上;4)在地区内具有重大影响和知名度,并获得认可。b)职业资格5级:DB21/T 1793.7-2023111)获得国家计算机技术与软件专业技术资格(水平)考试相关高级资格,并连续从事本职业工作 3 年以上;2)具有与从事本职业相关的专业领域硕士以上学历,并连续从事本职业工作 3 年以上,并获得认可的业务能力;3)取得其它与本职业相关的职业资格 5
34、 级及以上 2 年以上;4)在行业内具有重大影响和知名度,并获得认可。11.4等级要求11.4.1业务能力业务能力要求参见表8。表 8信息安全监理各等级职业资格-业务能力等级业务能力6级在地区内具有一定的知名度和影响力,成功主持省级以上重点、重大信息系统工程项目的规划、招标、设计、实施、验收等监理业务,实现各阶段实施控制和管理。专业造诣较深,且知识领域宽泛,适应并指导跨专业、领域的信息系统工程项目的管理与实施控制,并注重将丰富的实践经验和理论知识规范化和体系化5级在行业内具有一定的知名度和影响力,成功主持市级以上重点、重大信息系统工程项目的规划、招标、设计、实施、验收等监理业务,实现各阶段实施
35、控制和管理。有一定的专业造诣,能指导跨专业、领域的信息系统工程项目的管理与实施控制,并注重将丰富的实践经验和理论知识规范化和体系化11.4.2技术能力技术能力要求参见表9。表 9信息安全监理各等级职业资格-技术能力等级技术能力6级对专业技术、新技术的发展有深入的研究,跟踪、把握新技术、新产品的发展方向,精通信息系统工程安全建设各环节的理论、实践和经验,熟练掌握、运用信息系统工程建设实施过程中所需要的专业知识以及其它相关专业、领域所需各类知识,熟悉信息安全相关各类主流技术,深刻理解工程项目建设目标、建设内容、实施策略和管理方法,确保工程各阶段的监理目标和监理内容的完成,化解相关风险,为信息系统工
36、程的安全实施建设,提供有效地监督和指导DB21/T 1793.7-202312表 9信息安全监理各等级职业资格-技术能力(续)等级技术能力5级对专业技术、新技术的发展有一定的研究,熟悉信息系统工程安全建设各环节的理论、实践和经验,掌握、运用信息系统工程建设实施过程中所需要的专业知识以及其它相关专业、领域所需各类知识,熟悉信息安全相关各类主流技术,能理解工程项目建设目标、建设内容、实施策略和管理方法,确保工程各阶段的监理目标和监理内容的完成,化解相关风险,为信息系统工程的安全实施建设提供有效地监督和指导11.4.3复合能力复合能力要求参见表10。表 10信息安全监理各等级职业资格-复合能力等级复
37、合能力6级掌握和熟练运用信息安全相关专业和其它业务相关专业、领域知识,根据信息系统安全建设的实施控制和管理的需要,系统性融合、重构、更新信息安全相关及其它相关专业、领域知识和知识运用能力,具备较高的信息安全专业英语水平,善于运用安全标准、管理体系和规章制度等方法,掌握工程建设实施过程,能够与各级别的管理人员和技术团队进行有效的沟通和合作,完成信息系统工程各阶段的监理目标和监理内容5级掌握运用信息安全相关专业和其它业务相关专业、领域知识,根据信息系统安全建设的实施控制和管理的需要,具备一定的信息安全专业英语水平,能运用安全标准、管理体系和规章制度等方法,掌握工程建设实施过程,能够与各级别的管理人
38、员和技术团队进行有效的沟通和合作,完成信息系统工程各阶段的监理目标和监理内容12信息安全设计与开发12.1职业定义信息安全设计与开发主要针对需方不能通过采购现有信息安全系统或产品予以满足的安全需求,由供方通过需求分析创建信息安全系统设计方案,在此基础上,按照安全要求、安全基线要求、设计要求、DB21/T 1793.7-202313安全策略制定、威胁建模、安全编码规范设计、事件响应计划制定、安全评价等信息系统开发流程设计、开发信息安全系统或产品,并可按照GB/T 38674-2020提出的应用软件安全编程通用框架的要求,采取相应的措施保障信息安全系统或产品的安全性,以满足需方特定的安全需求并最大
39、程度地减少信息安全系统或产品的安全缺陷。信息安全设计与开发也可以基于已有的信息安全系统或产品进行二次开发。12.2等级信息安全设计与开发设4个等级,即:职业资格6级(高级信息安全设计与开发师、正高级工程师)、职业资格5级(信息安全设计与开发师、高级工程师)、职业资格4级(助理信息安全设计与开发师、工程师)和职业资格3级(信息安全设计与开发员、程序员)。12.3申报条件申报信息安全设计与开发各等级职业资格,应符合以下条件之一:a)职业资格6级:1)获得国家计算机技术与软件专业技术资格(水平)考试相关高级资格,并连续从事本职业工作 5 年以上;2)具有与从事本职业相关的专业领域硕士以上学历,并连续
40、从事本职相关工作 5 年以上,并获得认可的业务能力;3)取得信息安全设计与开发师(高级工程师)职业资格 3 年以上。b)职业资格5级:1)获得国家计算机技术与软件专业技术资格(水平)考试相关高级资格,并连续从事本职业工作 3 年以上;2)具有与从事本职业相关的专业领域硕士以上学历,并连续从事本职相关工作 3 年以上,并获得认可的业务能力;3)取得助理信息安全设计与开发师(工程师)职业资格 3 年以上。c)职业资格4级:1)获得国家计算机技术与软件专业技术资格(水平)考试相关中级资格,并连续从事本职业工作 3 年以上;2)具有与从事本职业相关的专业领域本科以上学历,并连续从事本职业工作 3 年以
41、上,并获得认可的业务能力;3)取得信息安全设计与开发员(程序员)职业资格 2 年以上。d)职业资格3级:1)获得国家计算机技术与软件专业技术资格(水平)考试相关初级资格,并连续从事本职业工作 2 年以上;2)具有与从事本职业相关的专业领域专科以上学历,并连续从事本职业工作 2 年以上,并获得认可的业务能力。12.4等级要求12.4.1业务能力业务能力要求参见表11。DB21/T 1793.7-202314表 11信息安全设计与开发各等级职业资格-业务能力鉴定内容职业资格等级职业资格6级职业资格5级职业资格4级职业资格3级业务能力项目复杂度a)技术相关复杂度:技术和工具各类多,存在非相关、跨领域
42、、跨专业,相关业务流程复杂;b)系统相关复杂度:系统架构体系构建要素繁杂,考虑系统的稳定性、可扩展性和可维护性等方面,构建要求高;c)数据相关复杂度:数据处理复杂,对数据的规模、类型、安全性要求高;d)风险相关复杂度:评估和管理这些风险需要对系统进行全面的安全分析,并采取相应的措施来降低风险。全面考虑到各种潜在的安全威胁和风险;e)法律与合规相关复杂度:系统在法律和合规方面的要求高,符合相关的法律法规a)技术相关复杂度:技术和工具各类多,存在跨专业,相关业务流程较复杂;b)系统相关复杂度:系统架构体系构建要素繁杂,需要考虑系统的稳定性、可扩展性和可维护性等方面,构建要求较高;c)数据相关复杂度
43、:数据处理较复杂,对数据的规模、类型、安全性要求较高;d)风险相关复杂度:评估和管理这些风险需要对系统进行全面的安全分析,并采取相应的措施来降低风险。全面考虑到各种潜在的安全威胁和风险;e)法律与合规相关复杂度:系统在法律和合规方面的要求高,符合相关的法律法规a)技术相关复杂度:技术和工具各类多,相关业务流程较复杂;b)系统相关复杂度:系统架构体系构建要素繁杂,需要考虑系统的稳定性、可扩展性和可维护性等方面;c)数据相关复杂度:数据处理较复杂,对数据的安全性高;d)风险相关复杂度:评估和管理这些风险需要对系统进行全面的安全分析,并采取相应的措施来降低风险。全面考虑到各种潜在的安全威胁和风险;e
44、)法律与合规相关复杂度:系统在法律和合规方面的要求高,符合相关的法律法规a)技术相关复杂度:技术和工具各类多,业务流程简单;b)数据相关复杂度:数据处理简单,对数据的安全性高;c)风险相关复杂度:评估和管理风险,采取措施来降低风险;d)法律与合规相关复杂度:系统在法律和合规方面的要求较高,符合相关的法律法规。规模省级以上重点、重大工程项目2项以上,符合复杂度要求,负责信息安全系统或产品的设计、开发及管理市级以上重点、重大工程项目3项以上,符合复杂度要求,负责信息安全系统或产品的设计、开发及管理大、中型工程项目3项以上符合复杂度要求,负责信息安全系统或产品的设计和开发中、小型工程项目2项以上符合
45、复杂度要求,负责信息安全系统或产品的开发DB21/T 1793.7-202315表 11信息安全设计与开发各等级职业资格-业务能力(续)鉴定内容职业资格等级职业资格6级职业资格5级职业资格4级职业资格3级业务能力专业专业发展具有5年以上的工作经历;创新性运用跨专业、跨领域相关专业知识,深刻理解相关安全需求,并与业务需求充分融合。根据安全需求变化和技术发展,跟踪、更新、完善、运用相关专业技术和知识;持续提升专业水平,在国内具有一定的知名度和影响力具有3年以上的工作经历;创新性运用跨专业、跨领域相关专业知识,深刻理解相关安全需求,并与业务需求充分融合。根据安全需求变化和技术发展,跟踪、更新、完善、
46、运用相关专业技术和知识;逐步提升专业水平,在地区内具有一定的知名度和影响力具有3年以上的工作经历;创新性运用相关专业知识,深刻理解相关安全需求,并能与业务需求融合。根据安全需求变化和技术发展,跟踪、更新、完善、运用相关专业知识;逐步提升专业水平,在行业内具有一定的知名度和影响力具有2年以上的工作经历;能够运用信息安全相关专业知识,理解相关安全需求。根据安全需求变化和技术发展,跟踪、更新、完善、运用相关专业知识;逐步提升专业水平技术传承在实践中,注重项目管理过程的规范化、体系化;在国内、地区内以各种形式参与学术交流、发表论著等在实践中,注重项目管理过程的规范化、体系化;参与行业内各种形式的学术交
47、流、发表论著等在实践中,注重项目管理过程的规范化、体系化;以各种形式参与学术交流、发表论著等在实践中,尝试项目管理过程的规范化、体系化;以各种形式参与学术交流、发表论著等新人培养注重新从业人员、已有一定实践经验的从业人员专业水平提升的指导和培养注重新从业人员、已有一定实践经验的从业人员专业水平提升的指导和培养注重新从业人员、已有一定实践经验的从业人员专业水平提升的指导和培养注重新从业人员专业水平提升的指导12.4.2技术能力技术能力要求参见表12。DB21/T 1793.7-202316表 12信息安全设计与开发各等级职业资格-技术能力鉴定内容职业资格等级职业资格6级职业资格5级职业资格4级职
48、业资格3级技术能力基本知识基础知识a)熟练掌握和运用基础理论知识,融合信息安全设计与开发相关业务需求,准确、清晰、明确地表述信息安全工程相关规划、设计、实施的知识要素,并易于项目管理识别;b)熟练掌握和运用基础理论知识,及时发现、改进规划、设计、实施中的错误和缺陷a)掌握和运用基础理论知识,融合信息安全设计与开发相关业务需求,准确、清晰、明确地表述信息安全工程相关规划、设计、实施的知识要素,并易于项目管理识别;b)掌握和运用基础理论知识,及时发现、改进规划、设计、实施中的错误和缺陷a)掌握和运用基础理论知识,融合信息安全设计与开发相关业务需求,准确、清晰、明确地表述信息安全工程相关设计和实施的
49、知识要素,并易于项目管理识别;b)能够运用基础理论知识,及时发现、改进规划、设计、实施中的错误和缺陷a)能够运用基础理论知识,融合信息安全设计与开发相关业务需求,准确、清晰、明确地表述信息安全工程相关实施的知识要素,并易于项目管理识别;b)能够运用基础理论知识,及时发现、改进规划、设计、实施中的错误和缺陷相关知识a)理解、运用相关专业、领域知识,在项目规划、设计和实施中与信息安全设计与开发相关技术充分融合;b)理解、融合、运用相关知识,识别、分析、评估项目实施中可能存在的隐患、风险,并采取相应的应对策略;c)理解、运用相关知识,在项目实施中控制可能存在的知识产权、相关信息安全法律法规、行业规范
50、、个人信息保护等;d)理解、运用相关知识,注意人际交往、沟通交流、表达、应变、综合分析等能力的运用和提高a)理解、运用相关专业知识,在项目规划、设计和实施中与信息安全设计与开发相关技术充分融合;b)理解、运用相关知识,识别、分析、评估项目实施中可能存在的隐患、风险,并采取相应的应对策略;c)理解、运用相关知识,在项目实施中控制可能存在的知识产权、相关信息安全法律法规、行业规范、个人信息保护等;d)理解、运用相关知识,注意人际交往、沟通交流、表达、应变、综合分析等能力的运用和提高a)理解、运用相关知识,识别、分析、评估项目实施中可能存在的隐患、风险,并采取相应的应对策略;b)能够运用相关知识,在
