GB/T 42446-2023
基本信息
标准号: GB/T 42446-2023
中文名称:信息安全技术 网络安全从业人员能力基本要求
标准类别:国家标准(GB)
英文名称:Information security technology—Basic requirements for competence of cybersecurity workforce
标准状态:现行
发布日期:2023-03-17
实施日期:2023-10-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:10145480
标准分类号
标准ICS号:35.030
中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密
关联标准
出版信息
出版社:中国标准出版社
页数:24页
标准价格:43.0
相关单位信息
起草人:王惠莅、上官晓丽、王秉政、王新杰、张晓菲、尤其、陈世俊、王庆、何宛罄、潘文博、王星、闵京华、张彬哲、张记卫、付夏冰、刘吉强、王伟、李超、陆天波、马文平、刘建伟、伍前红、范博、张东举、石岩、孟魁、张勇、贵重、赵红、邱勤、陈雪鸿、陈亮、谢江、杜渐、邵萌等
起草单位:中国电子技术标准化研究院、中国信息安全测评中心、中国网络安全审查技术与认证中心、北京时代新威信息技术有限公司、国家计算机网络应急技术处理协调中心、三六零安全科技股份有限公司、中电长城网际系统应用有限公司、深信服科技股份有限公司、北京交通大学等
归口单位:全国信息安全标准化技术委员会(SAC/TC 260)
提出单位:全国信息安全标准化技术委员会(SAC/TC 260)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件确立了网络安全从业人员分类,规定了各类从业人员具备的知识和技能要求。本文件适用于各类组织对网络安全从业人员的使用、培养、评价、管理等。
标准图片预览
标准内容
ICS35.030
CCSL 80
中华人民共和国国家标准
GB/T42446—2023
信息安全技术
网络安全从业人员能力
基本要求
Information security technology-Basic requirements for competence ofcybersecurity workforce
2023-03-17发布
国家市场监督管理总局
国家标准化管理委员会
2023-10-01实施
GB/T42446—2023
规范性引用文件
术语和定义
组成要素及其关系
工作类别和工作角色
工作任务
通用知识和技能要求
通用知识要求
通用技能要求
专业知识和技能要求
网络安全管理类人员
网络安全建设类人员
网络安全运营类人员
网络安全审计和评估类人员
网络安全科研教育类人员
附录A(规范性)
附录B(规范性)
附录C(资料性)
附录D(资料性)
附录E(资料性)
参考文献
网络安全知识体系
网络安全技能体系
完成工作任务所需的知识和技能工作角色分类示例
工作类别、工作角色与国家职业相关映射关系前言
GB/T42446—2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:中国电子技术标准化研究院、中国信息安全测评中心、中国网络安全审查技术与认证中心、北京时代新威信息技术有限公司、国家计算机网络应急技术处理协调中心、三六零安全科技股份有限公司、中电长城网际系统应用有限公司、深信服科技股份有限公司、北京交通大学、北京邮电天学、西安电子科技大学、北京航空航天大学、上海交通大学、西安邮电大学、中国移动通信集团有限公司、国家工业信息安全发展研究中心、国家计算机网络应急技术处理协调中心北京分中心、中国交通通信信息中心、中国科学院信息工程研究所、公安部第三研究所、华为技术有限公司、蚂蚁科技集团股份有限公司、北京天融信网络安全技术有限公司、西安交大捷普网络科技有限公司、长扬科技(北京)股份有限公司、广东省信息安全测评中心、国网新疆电力有限公司电力科学研究院、上海观安信息技术股份有限公司、沈阳东软系统集成工程有限公司、北京神州绿盟科技集团股份有限公司、北京安信天行科技有限公司、粤港澳大湾区精准医学研究院、深圳开源互联网安全技术有限公司。本文件主要起草人:王惠莅、上官晓丽、王秉政、王新杰、张晓菲、尤其、陈世俊、王庆、何宛罄、潘文博、王星、闵京华、张彬哲、张记卫、付夏冰、刘吉强、王伟、李超、陆天波、马文平、刘建伟、伍前红、范博、张东举、石岩、孟魁、张勇、费重、赵红、邱勤、陈雪鸿、陈亮、谢江、社渐、部萌、白晓媛、季跃忠、杨剑、刘玉岭、马晓欢、何建峰、汪义舟、崔顺艳、李艳杰、邹振婉、路娜、梁世伟、安亚鹏、唐川、宋荆汉、何晓霞。1范围
信息安全技术
网络安全从业人员能力
基本要求
GB/T42446—2023
本文件确立了网络安全从业人员分类,规定了各类从业人员具备的知识和技能要求。本文件适用于各类组织对网络安全从业人员的使用、培养、评价、管理等2
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069—2022
术语和定义
信息安全技术
GB/T25069一2022界定的以及下列术语和定义适用于本文件。3.1
网络安全从业人员
cybersecurityworkforce
从事网络安全工作,承担相应网络安全职责,并具有相应网络安全知识和技能的人员。3.2
知识knowledge
通过经验或教育获取的事实、信息、真理、原理或者领梧。[来源:GB/T27203—2016,2.56]3.3
技能skill
通过教育、培训、经验或其他方式完成任务的一种才能。3.4
competence
综合运用知识和技能达到预期目的的本领。[来源.ISO/IEC28000.2022.3.10]4通则
组成要素及其关系
网络安全从业人员完成工作任务需要具备相应的能力。工作任务是指为了实现组织的相关目标,需要执行的与网络安全有关的一个或一组工作活动和/或工作内容。工作类别是指将相似的一组网1
GB/T42446—2023
络安全工作任务,或某一阶段需要完成的工作任务归类在一起,得到的不同的网络安全工作种类。工作角色是指执行一项或多项网络安全工作任务的行为和责任。工作类别中的工作任务需要由承担不同工作角色的网络安全从业人员来完成,从业人员应具有完成工作任务所需要的知识和技能。知识体系应按照附录A构建,技能体系应按照附录B构建,完成工作任务所需具备的知识和技能见附录C。从业人员、工作任务、工作类别、工作角色、知识和技能之间关系如图1所示。工作任务
工作类别
工作角色
从业人员
知识和技能
从业人员、工作任务、工作类别、工作角色、知识和技能关系图图1
4.2工作类别和工作角色免费标准下载网bzxz
工作类别分为5类,包括网络安全管理、网络安全建设、网络安全运营、网络安全审计和评估以及网络安全科研教育,工作类别及工作任务见表1。表1工作类别及工作任务
工作类别
网络安全管理
网络安全建设
承担的工作任务
网络安全需求分析
网络安全规划和管理
网络数据安全保护
个人信息保护
密码技术应用
网络安全咨询
网络安全需求分析
网络安全架构设计
网络安全开发
供应链安全管理
网络安全集成实施
网络数据安全保护
个人信息保护
密码技术应用
工作类别
网络安全运营
工作类别及工作任务(续)
网络安全运维
GB/T42446—2023
承担的工作任务
网络安全监测和分析
网络安全应急管理
网络数据安全保护
个人信息保护
密码技术应用
网络安全审计
网络安全测试
网络安全审计和评估
网络安全科研教育
网络安全评估
网络安全认证
电子数据取证
网络安全研究
网络安全培训和评价
从业人员应具备完成其所承担工作角色所赋予的工作任务所需的知识和技能。当一种工作类别中的全部工作任务由一个工作角色承担时,被赋予这个工作角色的从业人员应满足完成该工作类别全部工作任务所具备的知识和技能要求。当一种工作类别的工作任务由多个工作角色承担时,根据所承担的工作任务情况,被赋予工作角色的从业人员应具备完成相应工作任务所需的知识和技能注1:工作岗位是组织根据自身实际情况对工作角色的落实,一个工作岗位可落实一个或多个工作角色,一个工作角色可被一个或多个岗位落实,落实相同工作角色的工作岗位在不同组织中的岗位名称可能不同,组织按其设置的工作岗位分配从业人员的工作。注2:本文件不对掌握知识和技能的程度提出要求,组织可根据实际业务情况规定。第5章给出了网络安全从业人员完成工作任务应具备的通用知识和通用技能要求,所有类别的从业人员都应具备。第6章给出了承担相应工作类别的从业人员应具备的基本专业知识和技能要求,当从业人员只承担工作类别中的部分工作任务时,从业人员应具备该工作类别中相对应的知识和技能,不必具备所有的知识和技能。因不同组织对工作角色的划分存在不同,附录D给出了一种典型工作角色分类示例。附录E给出了工作类别、工作角色与国家网络安全职业设置的映射关系。4.3
工作任务
网络安全主要工作任务及任务描述见表2。表2
网络安全主要工作任务及任务描述序号
工作任务
网络安全规划和管理
网络数据安全保护
个人信息保护
工作任务描述
指导、制定、监督和执行网络安全战略规划、策略制度和体制机制。综合协调相关人员,采取各类网络安全控制措施,降低并缓解系统安全风险针对网络数据收集、存储、使用、加工、传输、提供、公开等环节,采取措施保障网络数据安全
针对个人信息收集、存储、使用、加工、传输、提供、公开、删除等环节,采取措施保障个人信息安全
GB/T42446—2023
工作任务
密码技术应用
网络安全需求分析
网络安全架构设计
网络安全开发
供应链安全管理
网络安全集成实施
网络安全运维
网络安全监测和分析
网络安全应急管理
网络安全审计
网络安全测试
网络安全评估
网络安全认证
电子数据取证
网络安全咨询
网络安全研究
网络安全培训和评价
网络安全主要工作任务及任务描述(续)工作任务描述
运用密码技术,进行信息系统安全密码保障的架构设计、系统集成、检测评估、运维管理、密码咨询等
依据法律法规、政策标准及业务流程要求,开展符合性需求分析、业务所依赖的信息通信技术(ICT)持续运行需求分析、数据安全需求分析等,定期或在遇到重大网络安全事件时对组织网络安全需求进行复审依据网络安全需求分析、ICT基础设施现状、组织环境和业务特点等,从物理环境、通信网络、计算环境、区域边界等方面进行网络安全架构设计,形成网络安全架构实施方案
实现软件、硬件安全架构及功能开发,并对其进行测试、更新和维护运用供应链安全管理的方法、工具和技术,控制供应链安全风险,管理供应商及网络安全和信息化相关产品和服务的采购网络安全项目管理,信息系统安全集成过程中软硬件设备与系统的安装、调试、测试、配置、故障处理和工程实施,以及配合验收交付利用网络安全技术/工具,根据网络安全相关标准和制度流程,操作、运行、维护和管理信息系统
利用相关技术,工具和情报信息等对目标系统进行安全监测、分析和预警,并提出应对威胁的措施和改进建议组织编制网络安全事件应急预案,实施网络安全应急演练,在应对突发/重大网络安全事件时,采取必要的应急处置措施将信息系统和业务恢复到正常状态,并进行事件溯源和调查取证依据审计依据,在规定的审计范围内,监督和评价网络安全控制措施的设计有效性和执行有效性,确定被审计对象满足审计依据的程度,并提出网络安全工作改进的意见和建议
对目标系统的脆弱性和防御机制有效性进行验证,发现安全问题并提出改进建议:根据测试依据,识别并测试系统和产品的安全性评估信息系统、业务及相关网络数据等的符合性和面临的网络安全风险,对风险进行识别、分析、评价,提出改进建议对网络安全管理体系、服务、产品等开展认证与审核对电子数据进行提取、固定、恢复、分析等工作根据组织的安全目标,提供安全规划、设计、实施、运维、管理等方面的政策法规和技术咨询服务
研究网络空间安全涉及的学科理论基础和方法论,研究网络安全新兴技术及应用、产业发展趋势,以及网络安全法律法规、政策、标准等开展网络安全培训方案和相关课程的设计、开发和持续改进,实施授课等培训活动,开展评价活动,例如:理论知识考试、技能操作考核、业绩评审、竞赛选拔等
5通用知识和技能要求
通用知识要求
GB/T42446—2023
网络安全从业人员应具备网络安全基础(知识领域代码:K01)相关知识。涉及具体行业或领域的,还应具备相关的专项领域知识(知识领域代码:K10)。5.2
通用技能要求
网络安全从业人员应具备以下技能:能与组织内部和/或外部沟通与协调(技能代码:S01-001);a)
能理解组织业务,识别网络安全目标(技能代码:S01-002);能建立和/或执行网络安全相关制度、策略或机制(技能代码:S01-003);能理解和应用与组织网络安全目标相关的法律法规、政策和标准(技能代码:S01-004)。6
专业知识和技能要求
网络安全管理类人员
6.1.1知识
网络安全管理类人员应至少具备网络安全管理(知识领域代码:K02)相关知识。6.1.2技能
网络安全管理类人员应至少具备以下技能:a)
能制定和实施网络安全规划(技能代码:S02-01-001);能协调/提供网络安全保障资源(技能代码:S02-01-002);能组织执行风险管理,预判安全风险趋势(技能代码:S02-01-003);能组织建立和运行应急体系(技能代码:S02-01-004);能组织建立、运行和评估网络安全防护体系(技能代码:S02-01-005);能对网络数据安全、个人信息保护和密码管理等进行规划和管理(技能代码:S02-01-006);能帮助用户识别和确定网络安全需求(技能代码:S02-18-001);能帮助用户进行网络安全方面的规划和设计(技能代码:S02-18-002);能帮助用户建立网络安全管理体系、技术体系和应急体系(技能代码:S02-18-003)。网络安全建设类人员
6.2.1知识
网络安全建设类人员应至少具备以下知识。a)
数据安全知识(知识领域代码:K03)。网络安全建模技术知识(知识领域代码:K04)。密码技术与应用知识(知识领域代码:K09)。网络安全开发、测试及攻防技术知识(知识领域代码:K05)中的:安全开发(知识代码:K05-001);系统安全工程(知识代码:K05-002);5
GB/T42446—2023
—网络安全威胁和漏洞管理(知识代码:K05-003);安全测试、评估方法(知识代码:K05-004)。6.2.2技能
网络安全建设类人员应至少具备以下技能:a)
能识别网络安全保护对象,并分析其面临的安全风险(技能代码:S02-05-001);能理解网络安全需求(技能代码:S02-06-001);能设计网络安全架构(技能代码:S02-06-002);能完成网络安全及信息化设备选型(技能代码:S02-06-003):能用特定语言、常见安全框架与组件和软件安全开发方法进行安全编码(技能代码:S02-07-001);能管理代码安全漏洞(技能代码:S02-07-002);能设计和执行安全测试计划、方法和用例(技能代码:S02-07-003);能识别供应链安全风险(技能代码:S02-08-001);能实施供应链安全保护(技能代码:S02-08-002);能对供应链安全实施风险评估(技能代码:S02-08-003);能识别数据在不同环节、不同业务应用场景下面临的安全风险(技能代码:S02-02-001);能运用数据安全工具、方法和技术保护数据安全(技能代码:S02-02-002);能识别个人信息在不同环节面临的安全风险(技能代码:S02-03-001);m)
能运用个人信息保护工具、方法和技术保护个人信息(技能代码:S02-03-002);能识别密码需求并编制密码应用方案(技能代码:S02-04-001);能运用密码保护产品、方法和技术实施密码保护(技能代码:S02-04-002);能完成网络安全及信息化产品部署、配置、调试及设置(技能代码:S02-09-001);能使用测试工具和测试方法实施安全集成测试(技能代码:S02-09-002);能诊断和解决系统集成过程中的异常问题(技能代码:S02-09-003)。网络安全运营类人员
6.3.1知识
网络安全运营类人员应至少具备以下知识:数据安全知识(知识领域代码:K03);a)
网络产品原理与应用知识(知识领域代码:K06);网络安全监测分析技术知识(知识领域代码:K07):d)
密码技术与应用知识(知识领域代码:K09)。6.3.2技能
网络安全运营类人员应至少具备以下技能:a)
能维护网络及网络设备的安全运行(技能代码:S02-10-001);能维护操作系统、服务器、存储设备及终端设备等的安全运行(技能代码:S02-10-002):能完成应用系统、中间件的管理、维护和安全防护工作(技能代码:S02-10-003);能完成数据库系统管理、维护和安全防护等(技能代码:S02-10-004);能收集、整理、管理威胁信息(技能代码:S02-11-001);能识别并评估可能危及组织和/或合作伙伴利益的网络威胁和事件(技能代码:S02-11-002);能使用各类方法和工具进行网络安全监控分析(技能代码:S02-11-003);6.4
能对网络威胁和安全事件进行跟踪响应和处置(技能代码:S02-12-001);能运用数据安全工具、方法和技术保护数据安全(技能代码:S02-02-002);GB/T42446—2023
能运用个人信息保护工具、方法和技术保护个人信息(技能代码:S02-03-002);能运用密码保护产品、方法和技术实施密码保护(技能代码:S02-04-002);能编制网络安全事件应急预案(技能代码:S02-12-002);能完成网络安全事件发现、研判和信息报送(技能代码:S02-12-003);能利用常见安全技术手段,对网络安全事件进行威胁抑制、侵排查、道踪溯源(技能代码:S02-12-004);
能依据应急预案开展应急演练(技能代码:S02-12-005)。网络安全审计和评估类人员
网络安全审计和评估类人员应至少具备以下知识。a)
数据安全知识(知识领域代码:K03)。b)
网络安全开发、测试及攻防技术知识(知识领域代码:K05)。网络产品原理与应用知识(知识领域代码:K06)。调查取证技术知识(知识领域代码:K08)。密码技术与应用知识(知识领域代码:K09)网络安全管理知识(知识领域代码:K02)中的。网络安全审计方法和技术(知识代码:K02-004);网络安全认证认可(知识代码:K02-005)。6.4.2技能
网络安全审计和评估类人员应至少具备以下技能:a)
能完成脆弱性测试和渗透性测试(技能代码:S02-13-001);能对被测系统提出修复防护建议(技能代码:S02-13-002);能识别资产、威胁、脆弱性和已有安全控制措施(技能代码:S02-14-001);能使用各类评估相关工具和方法分析并评价安全风险(技能代码:S02-14-002);能根据风险分析结果,提出风险处置建议,并编制评估报告(技能代码:S02-14-003);能对数据安全开展风险评估,并提出整改建议(技能代码:S02-02-003);能对个人信息保护工作进行符合性审查,并提出整改建议(技能代码:S02-03-003);能对信息系统密码应用安全性进行评估并提出整改建议(技能代码:S02-04-003);能评估和管理网络安全审计风险(技能代码:S02-15-001);能管理、组织和实施审计(技能代码:S02-15-002);能做出审计结论、提出审计建议、编制网络安全审计报告,并跟踪审计(技能代码:S02-15-003):能对受审核方的信息进行收集和分析(技能代码:S02-16-001);能按照审核准则编制审核计划(技能代码:S002-16-002);能依据审核计划开展审核活动,发现不符合项并编制审核报告(技能代码:S02-16-003);能使用各类取证方法和工具进行调查取证(技能代码:S02-17-001);能完成电子数据恢复(技能代码:S02-17-002);能完成电子数据证据的提取、固定和保护(技能代码:S02-17-003);能完成电子数据证据的勘验、分析和归档(技能代码:S02-17-004)。7
GB/T42446—2023
网络安全科研教育类人员
6.5.1知识
网络安全科研教育类人员应至少具备相关的专项领域知识(知识领域代码:K10)。6.5.2技能
网络安全科研教育类人员应至少具备以下技能:能掌握国内外研究领域发展现状和趋势(技能代码:S02-19-001);a)
能运用相关知识,开展网络安全研究和创新,例如研究新技术及应用、法律法规、政策文件、标准等(技能代码:S02-19-002);能开展网络安全学术交流(技能代码:S02-19-003);能识别和分析网络安全职业培训需求(技能代码:S02-20-001);能根据培训需求设计培训课程,实施网络安全培训,改进所培训的内容(技能代码:S02-20-002);能对被培训人员掌握知识和技能的程度进行评价(技能代码:S02-20-003)。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCSL 80
中华人民共和国国家标准
GB/T42446—2023
信息安全技术
网络安全从业人员能力
基本要求
Information security technology-Basic requirements for competence ofcybersecurity workforce
2023-03-17发布
国家市场监督管理总局
国家标准化管理委员会
2023-10-01实施
GB/T42446—2023
规范性引用文件
术语和定义
组成要素及其关系
工作类别和工作角色
工作任务
通用知识和技能要求
通用知识要求
通用技能要求
专业知识和技能要求
网络安全管理类人员
网络安全建设类人员
网络安全运营类人员
网络安全审计和评估类人员
网络安全科研教育类人员
附录A(规范性)
附录B(规范性)
附录C(资料性)
附录D(资料性)
附录E(资料性)
参考文献
网络安全知识体系
网络安全技能体系
完成工作任务所需的知识和技能工作角色分类示例
工作类别、工作角色与国家职业相关映射关系前言
GB/T42446—2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:中国电子技术标准化研究院、中国信息安全测评中心、中国网络安全审查技术与认证中心、北京时代新威信息技术有限公司、国家计算机网络应急技术处理协调中心、三六零安全科技股份有限公司、中电长城网际系统应用有限公司、深信服科技股份有限公司、北京交通大学、北京邮电天学、西安电子科技大学、北京航空航天大学、上海交通大学、西安邮电大学、中国移动通信集团有限公司、国家工业信息安全发展研究中心、国家计算机网络应急技术处理协调中心北京分中心、中国交通通信信息中心、中国科学院信息工程研究所、公安部第三研究所、华为技术有限公司、蚂蚁科技集团股份有限公司、北京天融信网络安全技术有限公司、西安交大捷普网络科技有限公司、长扬科技(北京)股份有限公司、广东省信息安全测评中心、国网新疆电力有限公司电力科学研究院、上海观安信息技术股份有限公司、沈阳东软系统集成工程有限公司、北京神州绿盟科技集团股份有限公司、北京安信天行科技有限公司、粤港澳大湾区精准医学研究院、深圳开源互联网安全技术有限公司。本文件主要起草人:王惠莅、上官晓丽、王秉政、王新杰、张晓菲、尤其、陈世俊、王庆、何宛罄、潘文博、王星、闵京华、张彬哲、张记卫、付夏冰、刘吉强、王伟、李超、陆天波、马文平、刘建伟、伍前红、范博、张东举、石岩、孟魁、张勇、费重、赵红、邱勤、陈雪鸿、陈亮、谢江、社渐、部萌、白晓媛、季跃忠、杨剑、刘玉岭、马晓欢、何建峰、汪义舟、崔顺艳、李艳杰、邹振婉、路娜、梁世伟、安亚鹏、唐川、宋荆汉、何晓霞。1范围
信息安全技术
网络安全从业人员能力
基本要求
GB/T42446—2023
本文件确立了网络安全从业人员分类,规定了各类从业人员具备的知识和技能要求。本文件适用于各类组织对网络安全从业人员的使用、培养、评价、管理等2
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069—2022
术语和定义
信息安全技术
GB/T25069一2022界定的以及下列术语和定义适用于本文件。3.1
网络安全从业人员
cybersecurityworkforce
从事网络安全工作,承担相应网络安全职责,并具有相应网络安全知识和技能的人员。3.2
知识knowledge
通过经验或教育获取的事实、信息、真理、原理或者领梧。[来源:GB/T27203—2016,2.56]3.3
技能skill
通过教育、培训、经验或其他方式完成任务的一种才能。3.4
competence
综合运用知识和技能达到预期目的的本领。[来源.ISO/IEC28000.2022.3.10]4通则
组成要素及其关系
网络安全从业人员完成工作任务需要具备相应的能力。工作任务是指为了实现组织的相关目标,需要执行的与网络安全有关的一个或一组工作活动和/或工作内容。工作类别是指将相似的一组网1
GB/T42446—2023
络安全工作任务,或某一阶段需要完成的工作任务归类在一起,得到的不同的网络安全工作种类。工作角色是指执行一项或多项网络安全工作任务的行为和责任。工作类别中的工作任务需要由承担不同工作角色的网络安全从业人员来完成,从业人员应具有完成工作任务所需要的知识和技能。知识体系应按照附录A构建,技能体系应按照附录B构建,完成工作任务所需具备的知识和技能见附录C。从业人员、工作任务、工作类别、工作角色、知识和技能之间关系如图1所示。工作任务
工作类别
工作角色
从业人员
知识和技能
从业人员、工作任务、工作类别、工作角色、知识和技能关系图图1
4.2工作类别和工作角色免费标准下载网bzxz
工作类别分为5类,包括网络安全管理、网络安全建设、网络安全运营、网络安全审计和评估以及网络安全科研教育,工作类别及工作任务见表1。表1工作类别及工作任务
工作类别
网络安全管理
网络安全建设
承担的工作任务
网络安全需求分析
网络安全规划和管理
网络数据安全保护
个人信息保护
密码技术应用
网络安全咨询
网络安全需求分析
网络安全架构设计
网络安全开发
供应链安全管理
网络安全集成实施
网络数据安全保护
个人信息保护
密码技术应用
工作类别
网络安全运营
工作类别及工作任务(续)
网络安全运维
GB/T42446—2023
承担的工作任务
网络安全监测和分析
网络安全应急管理
网络数据安全保护
个人信息保护
密码技术应用
网络安全审计
网络安全测试
网络安全审计和评估
网络安全科研教育
网络安全评估
网络安全认证
电子数据取证
网络安全研究
网络安全培训和评价
从业人员应具备完成其所承担工作角色所赋予的工作任务所需的知识和技能。当一种工作类别中的全部工作任务由一个工作角色承担时,被赋予这个工作角色的从业人员应满足完成该工作类别全部工作任务所具备的知识和技能要求。当一种工作类别的工作任务由多个工作角色承担时,根据所承担的工作任务情况,被赋予工作角色的从业人员应具备完成相应工作任务所需的知识和技能注1:工作岗位是组织根据自身实际情况对工作角色的落实,一个工作岗位可落实一个或多个工作角色,一个工作角色可被一个或多个岗位落实,落实相同工作角色的工作岗位在不同组织中的岗位名称可能不同,组织按其设置的工作岗位分配从业人员的工作。注2:本文件不对掌握知识和技能的程度提出要求,组织可根据实际业务情况规定。第5章给出了网络安全从业人员完成工作任务应具备的通用知识和通用技能要求,所有类别的从业人员都应具备。第6章给出了承担相应工作类别的从业人员应具备的基本专业知识和技能要求,当从业人员只承担工作类别中的部分工作任务时,从业人员应具备该工作类别中相对应的知识和技能,不必具备所有的知识和技能。因不同组织对工作角色的划分存在不同,附录D给出了一种典型工作角色分类示例。附录E给出了工作类别、工作角色与国家网络安全职业设置的映射关系。4.3
工作任务
网络安全主要工作任务及任务描述见表2。表2
网络安全主要工作任务及任务描述序号
工作任务
网络安全规划和管理
网络数据安全保护
个人信息保护
工作任务描述
指导、制定、监督和执行网络安全战略规划、策略制度和体制机制。综合协调相关人员,采取各类网络安全控制措施,降低并缓解系统安全风险针对网络数据收集、存储、使用、加工、传输、提供、公开等环节,采取措施保障网络数据安全
针对个人信息收集、存储、使用、加工、传输、提供、公开、删除等环节,采取措施保障个人信息安全
GB/T42446—2023
工作任务
密码技术应用
网络安全需求分析
网络安全架构设计
网络安全开发
供应链安全管理
网络安全集成实施
网络安全运维
网络安全监测和分析
网络安全应急管理
网络安全审计
网络安全测试
网络安全评估
网络安全认证
电子数据取证
网络安全咨询
网络安全研究
网络安全培训和评价
网络安全主要工作任务及任务描述(续)工作任务描述
运用密码技术,进行信息系统安全密码保障的架构设计、系统集成、检测评估、运维管理、密码咨询等
依据法律法规、政策标准及业务流程要求,开展符合性需求分析、业务所依赖的信息通信技术(ICT)持续运行需求分析、数据安全需求分析等,定期或在遇到重大网络安全事件时对组织网络安全需求进行复审依据网络安全需求分析、ICT基础设施现状、组织环境和业务特点等,从物理环境、通信网络、计算环境、区域边界等方面进行网络安全架构设计,形成网络安全架构实施方案
实现软件、硬件安全架构及功能开发,并对其进行测试、更新和维护运用供应链安全管理的方法、工具和技术,控制供应链安全风险,管理供应商及网络安全和信息化相关产品和服务的采购网络安全项目管理,信息系统安全集成过程中软硬件设备与系统的安装、调试、测试、配置、故障处理和工程实施,以及配合验收交付利用网络安全技术/工具,根据网络安全相关标准和制度流程,操作、运行、维护和管理信息系统
利用相关技术,工具和情报信息等对目标系统进行安全监测、分析和预警,并提出应对威胁的措施和改进建议组织编制网络安全事件应急预案,实施网络安全应急演练,在应对突发/重大网络安全事件时,采取必要的应急处置措施将信息系统和业务恢复到正常状态,并进行事件溯源和调查取证依据审计依据,在规定的审计范围内,监督和评价网络安全控制措施的设计有效性和执行有效性,确定被审计对象满足审计依据的程度,并提出网络安全工作改进的意见和建议
对目标系统的脆弱性和防御机制有效性进行验证,发现安全问题并提出改进建议:根据测试依据,识别并测试系统和产品的安全性评估信息系统、业务及相关网络数据等的符合性和面临的网络安全风险,对风险进行识别、分析、评价,提出改进建议对网络安全管理体系、服务、产品等开展认证与审核对电子数据进行提取、固定、恢复、分析等工作根据组织的安全目标,提供安全规划、设计、实施、运维、管理等方面的政策法规和技术咨询服务
研究网络空间安全涉及的学科理论基础和方法论,研究网络安全新兴技术及应用、产业发展趋势,以及网络安全法律法规、政策、标准等开展网络安全培训方案和相关课程的设计、开发和持续改进,实施授课等培训活动,开展评价活动,例如:理论知识考试、技能操作考核、业绩评审、竞赛选拔等
5通用知识和技能要求
通用知识要求
GB/T42446—2023
网络安全从业人员应具备网络安全基础(知识领域代码:K01)相关知识。涉及具体行业或领域的,还应具备相关的专项领域知识(知识领域代码:K10)。5.2
通用技能要求
网络安全从业人员应具备以下技能:能与组织内部和/或外部沟通与协调(技能代码:S01-001);a)
能理解组织业务,识别网络安全目标(技能代码:S01-002);能建立和/或执行网络安全相关制度、策略或机制(技能代码:S01-003);能理解和应用与组织网络安全目标相关的法律法规、政策和标准(技能代码:S01-004)。6
专业知识和技能要求
网络安全管理类人员
6.1.1知识
网络安全管理类人员应至少具备网络安全管理(知识领域代码:K02)相关知识。6.1.2技能
网络安全管理类人员应至少具备以下技能:a)
能制定和实施网络安全规划(技能代码:S02-01-001);能协调/提供网络安全保障资源(技能代码:S02-01-002);能组织执行风险管理,预判安全风险趋势(技能代码:S02-01-003);能组织建立和运行应急体系(技能代码:S02-01-004);能组织建立、运行和评估网络安全防护体系(技能代码:S02-01-005);能对网络数据安全、个人信息保护和密码管理等进行规划和管理(技能代码:S02-01-006);能帮助用户识别和确定网络安全需求(技能代码:S02-18-001);能帮助用户进行网络安全方面的规划和设计(技能代码:S02-18-002);能帮助用户建立网络安全管理体系、技术体系和应急体系(技能代码:S02-18-003)。网络安全建设类人员
6.2.1知识
网络安全建设类人员应至少具备以下知识。a)
数据安全知识(知识领域代码:K03)。网络安全建模技术知识(知识领域代码:K04)。密码技术与应用知识(知识领域代码:K09)。网络安全开发、测试及攻防技术知识(知识领域代码:K05)中的:安全开发(知识代码:K05-001);系统安全工程(知识代码:K05-002);5
GB/T42446—2023
—网络安全威胁和漏洞管理(知识代码:K05-003);安全测试、评估方法(知识代码:K05-004)。6.2.2技能
网络安全建设类人员应至少具备以下技能:a)
能识别网络安全保护对象,并分析其面临的安全风险(技能代码:S02-05-001);能理解网络安全需求(技能代码:S02-06-001);能设计网络安全架构(技能代码:S02-06-002);能完成网络安全及信息化设备选型(技能代码:S02-06-003):能用特定语言、常见安全框架与组件和软件安全开发方法进行安全编码(技能代码:S02-07-001);能管理代码安全漏洞(技能代码:S02-07-002);能设计和执行安全测试计划、方法和用例(技能代码:S02-07-003);能识别供应链安全风险(技能代码:S02-08-001);能实施供应链安全保护(技能代码:S02-08-002);能对供应链安全实施风险评估(技能代码:S02-08-003);能识别数据在不同环节、不同业务应用场景下面临的安全风险(技能代码:S02-02-001);能运用数据安全工具、方法和技术保护数据安全(技能代码:S02-02-002);能识别个人信息在不同环节面临的安全风险(技能代码:S02-03-001);m)
能运用个人信息保护工具、方法和技术保护个人信息(技能代码:S02-03-002);能识别密码需求并编制密码应用方案(技能代码:S02-04-001);能运用密码保护产品、方法和技术实施密码保护(技能代码:S02-04-002);能完成网络安全及信息化产品部署、配置、调试及设置(技能代码:S02-09-001);能使用测试工具和测试方法实施安全集成测试(技能代码:S02-09-002);能诊断和解决系统集成过程中的异常问题(技能代码:S02-09-003)。网络安全运营类人员
6.3.1知识
网络安全运营类人员应至少具备以下知识:数据安全知识(知识领域代码:K03);a)
网络产品原理与应用知识(知识领域代码:K06);网络安全监测分析技术知识(知识领域代码:K07):d)
密码技术与应用知识(知识领域代码:K09)。6.3.2技能
网络安全运营类人员应至少具备以下技能:a)
能维护网络及网络设备的安全运行(技能代码:S02-10-001);能维护操作系统、服务器、存储设备及终端设备等的安全运行(技能代码:S02-10-002):能完成应用系统、中间件的管理、维护和安全防护工作(技能代码:S02-10-003);能完成数据库系统管理、维护和安全防护等(技能代码:S02-10-004);能收集、整理、管理威胁信息(技能代码:S02-11-001);能识别并评估可能危及组织和/或合作伙伴利益的网络威胁和事件(技能代码:S02-11-002);能使用各类方法和工具进行网络安全监控分析(技能代码:S02-11-003);6.4
能对网络威胁和安全事件进行跟踪响应和处置(技能代码:S02-12-001);能运用数据安全工具、方法和技术保护数据安全(技能代码:S02-02-002);GB/T42446—2023
能运用个人信息保护工具、方法和技术保护个人信息(技能代码:S02-03-002);能运用密码保护产品、方法和技术实施密码保护(技能代码:S02-04-002);能编制网络安全事件应急预案(技能代码:S02-12-002);能完成网络安全事件发现、研判和信息报送(技能代码:S02-12-003);能利用常见安全技术手段,对网络安全事件进行威胁抑制、侵排查、道踪溯源(技能代码:S02-12-004);
能依据应急预案开展应急演练(技能代码:S02-12-005)。网络安全审计和评估类人员
网络安全审计和评估类人员应至少具备以下知识。a)
数据安全知识(知识领域代码:K03)。b)
网络安全开发、测试及攻防技术知识(知识领域代码:K05)。网络产品原理与应用知识(知识领域代码:K06)。调查取证技术知识(知识领域代码:K08)。密码技术与应用知识(知识领域代码:K09)网络安全管理知识(知识领域代码:K02)中的。网络安全审计方法和技术(知识代码:K02-004);网络安全认证认可(知识代码:K02-005)。6.4.2技能
网络安全审计和评估类人员应至少具备以下技能:a)
能完成脆弱性测试和渗透性测试(技能代码:S02-13-001);能对被测系统提出修复防护建议(技能代码:S02-13-002);能识别资产、威胁、脆弱性和已有安全控制措施(技能代码:S02-14-001);能使用各类评估相关工具和方法分析并评价安全风险(技能代码:S02-14-002);能根据风险分析结果,提出风险处置建议,并编制评估报告(技能代码:S02-14-003);能对数据安全开展风险评估,并提出整改建议(技能代码:S02-02-003);能对个人信息保护工作进行符合性审查,并提出整改建议(技能代码:S02-03-003);能对信息系统密码应用安全性进行评估并提出整改建议(技能代码:S02-04-003);能评估和管理网络安全审计风险(技能代码:S02-15-001);能管理、组织和实施审计(技能代码:S02-15-002);能做出审计结论、提出审计建议、编制网络安全审计报告,并跟踪审计(技能代码:S02-15-003):能对受审核方的信息进行收集和分析(技能代码:S02-16-001);能按照审核准则编制审核计划(技能代码:S002-16-002);能依据审核计划开展审核活动,发现不符合项并编制审核报告(技能代码:S02-16-003);能使用各类取证方法和工具进行调查取证(技能代码:S02-17-001);能完成电子数据恢复(技能代码:S02-17-002);能完成电子数据证据的提取、固定和保护(技能代码:S02-17-003);能完成电子数据证据的勘验、分析和归档(技能代码:S02-17-004)。7
GB/T42446—2023
网络安全科研教育类人员
6.5.1知识
网络安全科研教育类人员应至少具备相关的专项领域知识(知识领域代码:K10)。6.5.2技能
网络安全科研教育类人员应至少具备以下技能:能掌握国内外研究领域发展现状和趋势(技能代码:S02-19-001);a)
能运用相关知识,开展网络安全研究和创新,例如研究新技术及应用、法律法规、政策文件、标准等(技能代码:S02-19-002);能开展网络安全学术交流(技能代码:S02-19-003);能识别和分析网络安全职业培训需求(技能代码:S02-20-001);能根据培训需求设计培训课程,实施网络安全培训,改进所培训的内容(技能代码:S02-20-002);能对被培训人员掌握知识和技能的程度进行评价(技能代码:S02-20-003)。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。