中国关键信息基础设施技术创新联盟标准 T/CI 001-2019 网络安全人员角色分类和能力要求框架 V1.0 Role Classification and Competency Requirements of Cyber Security Professional Framework 2019年1月18日发布 2019年1月18日实施 中国关键信息基础设施技术创新联盟发布 中国关键信息基础设施技术创新联盟标准 目次 言 1 范围. 2规范性引用文件. 3 术语与定义 3.1网络安全 3.2网络空间 3.3角色 3.4角色分类 3.5角色子类 3.6能力 3.7知识 3.8技能 3.9 素养 3.10任务 2 4缩略语. 5网络安全人员角色分类 3 5.1分类原则. .3 5.2 分类目录. 5.3 任务 5.4角色任务 5.5能力要求模型. 37 5.6知识.. 5.7技能. .48 5.8 素养 61 5.9角色能力要求， .61 中国关键信息基础设施技术创新联盟标准 前言 本标准由中国关键信息基础设施技术创新联盟组织相关成员单位起草并发布。标准的某 些内容可能涉及专利，标准发布机构不承担识别这些专利的责任。 本标准起草单位：中认信安(北京)技术服务有限公司、中国网络安全审查技术与认证中 心、国家信息中心、国家工业信息安全发展研究中心、国家能源局信息中心、中国人民银行 金融信息中心、中国交通通信信息中心、北京时代新威信息技术有限公司、上海汇哲信息科 技有限公司、网神信息技术（北京）股份有限公司、江苏君立华域信息安全技术股份有限公 司、河北大学、北京交通大学、上海交通大学、武汉大学、四川大学、北京理工大学、新疆 大学、中国船舶重工集团公司第七二二研究所、北京华热科技发展有限公司。 本标准主要起草人：张剑、程瑜琦、樊山、田霞、李勇、魏立茹、甘杰夫、白洁、田俊 峰、王新杰、余剑、刘蓓、马庆、崔凯、金建军、陈雪鸿、齐鎏岭、柳彩云、张集嘉、柳媛、 吴春花、唐彬、胡红升、李璐瑶、曹雅斌、刘迎、王保喜、殷国强、刘吉强、李建华、赵波、 陈兴蜀、祝烈煌、张琳琳等。 中国关键信息基础设施技术 》中国关键信息基础设施技术创新联盟标准 引 言 合理设置网络安全保障工作的角色分类，明确各角色的能力要求，是充分发挥网络安全 人员作用的关键。本标准提供了网络安全人员角色的分类指南和每个角色的能力要求。网络 运营机构可参照本标准合理设置工作岗位，并依此建立相关录用、考核标准，选择恰当的人 员承担相关工作，最大限度地发挥相关岗位人员的作用。网络安全从业人员可参照本标准对 角色能力的要求，结合自身的知识、技能和经历，选择合适的工作角色做好职业规划。网络 安全培训教育机构可根据本标准开发合理的课程，为接受培训的人员建立良好的工作衔接 国家认证认可机构可依据本标准对网络安全从业人员开展能力评价工作，并予以合理的能力 认定。 本标准是网络安全从业人员能力认证的基础。为规范实施网络安全人员认证，后续还将 进一步开发相关配套标准，包括：网络安全人员认证指南、网络安全人员认证考试大纲、网 络安全人员认证能力评价指南等 中国关键信息基础设施技术创新 中国关键信息基础设施技术创新联盟标准 1范围 本标准提出了组织机构实施网络安全保障时的角色分类，规定了各角色对应的任务和能 力要求。组织机构在设置工作角色时可参照本标准的分类进行分拆和组合，以适应本单位的 规模和网络安全保障要求：个人在参照本标准提升自已的能力过程中应尽量扩展自身的能力 范围，而不仅局限于标准的要求，特别是新技术的发展带来的新知识和新技能的要求。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。 GB/T29246-2017信息技术安全技术信息安全管理体系概述和词汇 ISO/IEC27032:2012信息技术安全技术网络安全指南 3术语与定义 GB/T29246-2017中界定的术语和定义，以及下列术语和定义适用于本文件。 3.1网络安全cyber security 指通过采取必要措施，防范对网络的攻击、侵人，干扰、破坏和非法使用以及意外事故， 使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。 3.2网络空间cyber space 由互联网上的人、软件和服务通过与其相连的技术设备和网络进行交互而产生的复杂环 境，其不以任何物理形式存在。 3.3角色 roles 工作的分组，包括完成该工作必须执行的一组功能或任务。 3.4角色分类roles category 通用网络安全功能的高层次分组。 3.5×角色子类 roles subclass 网络安全工作的具体领域分组。 3.6能力 ability 应用知识和技能实现预期结果的才能。 3.7知识 knowledge 人类在实践中认识客观世界（包括人类自身）的成果。 3.8技能skill 1 ，中国关键信息基础设施技术创新联盟标准 掌握并能运用专门技术的能力。 3.9 素养 accomplishment 由训练和实践而获得的一种道德修养。 3.10任务task 可以分配给某角色的专业工作的具体活动。 4缩略语 下列缩略语适用于本文件。 AC访问控制 AM资产管理 BM业务连续性管理 CR 密码 CS 通信安全 CSA网络安全技术应用 CSM网络安全管理 CSRD网络安全技术研发 DE 设计 DL 开发 DT销毁 GR 政府关系 HR人力资源安全 IP产业促进 ITA信息技术应用 息基础设施技术创新联盟 ITRD 信息技术研发 MM市场传播 MP 网络安全管理规划 MS网络安全管理支持 OM运维 OP运行安全 OS 网络安全组织 PE物理环境安全 PI绩效评价和改进 RA需求分析 RE发布/部署 RM网络安全需求管理 SD系统获取开发和维护 SI网络安全事件管理 SP网络安全策略 SR 供应商关系 TE 测试 2 、中国关键信息基础设施技术创新联盟标准 TR 技术研究 5网络安全人员角色分类 角色是网络安全相关工作的组合，通过角色分类为组织提供明确的岗位职责，通过所描 述的知识、技能和能力等形式履行角色所需的属性列表以及在该角色中执行的任务。 5.1分类原则 5.1.1专业性原则 人员角色分类应充分考虑人员分工的专业性，特别是特殊工作角色需要特定的专业知 识、技能和素养。 5.1.2普适性原则 在充分考虑专业性的同时需要考虑不同组织的需求，特别是中小规模的组织需要适度分 工，以保证人员的复用。 5.1.3实用性原则 人员角色分类应与现时网络安全保障人员的工作职责与分工兼容，以减少人员角色转换 的不适应性。 5.1.4扩展性原则 人员角色分类应适应网络安全保障需求快速变化的要求，适时可以合理调整。 5.2角色 人员角色分类共分两个大类、八个子类和四十一个角色（含一个预备人员），具体见表1。 表1网络安全人员角色分类 大类 子类 角色 网络安全研发工程师 网络安全实施工程师 网络安全技术研究工程师 安全漏洞分析工程师 安全技术 逆向分析工程师 网络安全架构分析师 业务安全分析师 网络安全角色 网络安全需求分析师 首席网络安全架构师 首席网络安全官 安全管理 首席数据安全官 网络安全主管 风险管理主管 安全服务 渗透测试工程师 3