等级测评师培训和考试指南

CSPEC-PXKS01

等级测评师培训及考试指南

（V1.0）

公安部信息安全等级保护评估中心

二〇一一年一月

为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作的顺利开展，公安部下发了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号），对等级测评工作、等级测评机构建设以及等级测评人员进行了规范。要求开展等级测评的人员参加专门的培训和考试，并取得《信息安全等级测评师证书》（等级测评师分为初级、中级和高级）。等级测评人员需持等级测评师证上岗。

公安部信息安全等级保护评估中心（以下简称“评估中心”）是由公安部为建立信息安全等级保护制度，构建国家信息安全保障体系而专门批准成立的专业技术支撑机构，评估中心受国家信息安全等级保护工作协调小组办公室委托，对从事等级测评的人员进行培训和考试，对考试合格人员颁发《信息安全等级测评师》证书。

1．等级测评师的分类及能力要求

信息安全等级测评师分为初级等级测评师、中级等级测评师和高级等级测评师三级。其中，初级等级测评师又分为技术和管理两类。三级等级测评师能力要求如下：

1）初级等级测评师

●了解信息安全等级保护的相关政策、标准；

●熟悉信息安全基础知识；

●熟悉信息安全产品分类，了解其功能、特点和操作方法；

●掌握等级测评方法，能够根据测评指导书客观、准确、完整地获取

各项测评证据；

●掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数

据；

●能够按照报告编制要求整理测评数据。

2）中级等级测评师

●熟悉信息安全等级保护相关政策、法规；

●正确理解信息安全等级保护标准体系和主要标准内容，能够跟踪国

内、国际信息安全相关标准的发展；

●掌握信息安全基础知识，熟悉信息安全测评方法，具有信息安全技

术研究的基础和实践经验；

●具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理

的方法，具有较强的组织协调和沟通能力；

●能够独立开发测评指导书，熟悉测评指导书的开发、版本控制和评

审流程；

●能够根据信息系统的特点，编制测评方案，确定测评对象、测评指

标和测评方法；

●具有综合分析和判断的能力，能够依据测评报告模板要求编制测评

报告，能够整体把握测评报告结论的客观性和准确性。具备较强的

文字表达能力；

●了解等级保护各个工作环节的相关要求。能够针对测评中发现的问

题，提出合理化的整改建议。

3）高级等级测评师

●熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展；

●对信息安全等级保护标准体系及主要标准有较为深入的理解；

●具有信息安全理论研究的基础、实践经验和研究创新能力；

●具有丰富的质量体系管理和项目管理经验，具有较强的组织协调和

管理能力；

●熟悉等级保护工作的全过程，熟悉定级、等级测评、建设整改各个

工作环节的要求。

2．培训及考试对象

信息安全等级测评师培训及考试对象是等级测评机构中从事等级测评工作的测评人员。要求这些人员在具备信息安全基础知识及相关测评经验的前提下，参加初级、中级或高级等级测评师的专门培训和考试，从而满足等级测评工作岗位的需要。

1）初级等级测评师

初级等级测评师的培训对象是网络安全、主机安全、应用安全、安全管理和工具测试人员等。

报考人员需要具备信息安全基础知识和信息安全相关工作经验,熟悉

TCP/IP 网络协议，了解标识与鉴别、访问控制等安全技术及原理，熟悉主流服务器操作系统、路由器、交换机、防火墙等设备的操作与配置。

2）中级等级测评师

中级等级测评师的培训对象是项目负责人（或项目组长）。

报考人员需要具备信息安全理论基础，对系统安全、网络安全、应用安全等有深入了解,作为项目负责人组织实施过信息系统安全测评项目，熟悉国内外信息安全相关产品的特性，具有较丰富的测评实践经验、良好的沟通协作和文字表达能力。

3）高级等级测评师

高级等级测评师的培训对象是技术负责人（或技术总监）。

报考人员需要具备信息安全理论基础，具有信息安全理论、信息安全技术的研究和实践经验，从事过网络信息安全方面的测评、规划、设计、实施、运维等工作。熟悉信息安全标准和产品特性，熟悉信息安全技术发展动向。

3．报名

3.1报名申请

各测评机构依照“岗位对应，比例协调”的原则组织本单位测评人员报名参加等级测评师培训和考试。测评机构的一般测评人员、项目负责人（或项目组长）和技术负责人（或技术总监）三个工作岗位分别报考初级、中级和高级等级测评师。测评机构按照65%、30%和5%的比例推荐本单位测评人员报名参加初、中、高级等级测评师的培训和考试（其中，初级等级测评师又分为技术和管理两类）。例如，一个测评机构有测评人员15名，按照初级（技术）8名，初级（管理）2名，中级4名，高级1名的比例报名。

3.2报名确认

申报单位要确保报名人员信息填写真实、完整，并提供相关证明材料。一旦发现弄虚作假、隐瞒情况等将取消报考资格。评估中心将对测评机构的报名比例和人员信息进行核实。

3.3报名交费

培训和考试费以测评机构为单位，依据《等级测评师培训及考试收费标准》统一交纳。报名交费可以采用汇款或支票的方式。

4．培训

评估中心组织对报考初、中和高级等级测评师考试的人员进行专门的培训，通过培训后方可参加相应的等级测评师考试。人员培训采用网上培训和集中培训相结合的方式。网上培训要求学员通过互联网登录培训系统在线接受培训。网上培训完成后，参加集中培训。集中培训以重点内容、复习、现场答疑和考前辅导为主。评估中心提前公布集中培训计划，集中培训原则上根据报名情况具体安排培训时间和地点。

4.1培训课程安排