T/WHCSA 002-2024 信息安全专员能力水平评价规范

ICS35.020

CCSL70/84

团体标准

T/WHCSA002-2024

T/WHCIO1002-2024

信息安全专员能力水平评价规范

Evaluationspecificationforthecompetencelevelofinformationsecurity

specialist

2024年3月21日发布2024年3月29日实施

武汉市网络安全协会

联合发布

武汉企业信息化促进会

目次

前言.....................................................................................................................................................................III

1范围............................................................................................................................................................................1

2规范性引用文件.......................................................................................................................................................1

3术语和定义...............................................................................................................................................................1

4信息安全专员职责和特征......................................................................................................................................3

4.1信息安全专员职责.....................................................................................................................................3

4.1.1初级信息安全专员.........................................................................................................................3

4.1.2中级信息安全专员.........................................................................................................................4

4.1.3高级信息安全专员.........................................................................................................................4

4.2信息安全专员职业特质.............................................................................................................................4

4.2.1具有良好的职业道德....................................................................................................................4

4.2.2具有较强的信息安全专业素养...................................................................................................4

4.2.3具有一定的安全风险管理素质....................................................................................................5

4.2.4具有一定的信息安全专业知识和技术技能..............................................................................5

4.2.5具有一定的信息安全运营能力...................................................................................................5

4.2.6具有良好的身心素质....................................................................................................................5

4.3职业水平等级和信用等级.........................................................................................................................5

5能力要求...................................................................................................................................................................6

6申报条件...................................................................................................................................................................7

6.1申报初级信息安全专员个人应该具备的条件.......................................................................................8

6.2申报中级信息安全专员个人应该具备的条件.......................................................................................8

6.3申报高级信息安全专员个人应该具备的条件.......................................................................................8

7认证要求...................................................................................................................................................................8

7.1品德要求......................................................................................................................................................8

7.2知识要求......................................................................................................................................................9

7.2.1通用知识要求.........................................................................................................................................9

7.2.2各级信息安全专员网络安全知识要求...............................................................................................9

各级信息安全专员应该掌握的网络安全知识参见以下表2：...................................................................9

7.3技能要求....................................................................................................................................................11

7.3.1通用技能要求...............................................................................................................................11

7.3.2各级信息安全专员网络安全技能要求.....................................................................................11

各级信息安全专员应该掌握的网络安全技能参见以下表3：........................................................11

表3：各级信息安全专员应该掌握的网络安全技能.........................................................................13

8能力框架.................................................................................................................................................................13

9评价方法.................................................................................................................................................................15

9.1评价方法概述...........................................................................................................................................15

9.2理论知识考试...........................................................................................................................................15

9.3专业技能考核...........................................................................................................................................15

9.4管理能力素质测评...................................................................................................................................15

I

10申报流程...............................................................................................................................................................15

11评估机构和评定机构..........................................................................................................................................16

11.1评估机构..................................................................................................................................................16

11.1.1评估机构职能.............................................................................................................................16

11.1.2评估机构申请标准....................................................................................................................16

11.2评定机构..................................................................................................................................................17

参考文献....................................................................................................................................................................18

II

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的

规定起草。

本文件主要参考中共中央办公厅国务院办公厅《关于分类推进人才评价机制改革的指导意见》

中明确提出的健全以市场和出资人认可为重要标准的组织经营管理人才评价体系，在国标GB/T

42446-2023《信息安全技术网络安全从业人员能力基本要求》基础上，面对企业的信息安全及数

据安全的从业人员或即将上岗的信息安全从业人员，围绕工作者的工作学识、工作经验、工作技能、

安全认证与评估、基础知识、安全事件处置等方面展开全方位的工作评定，目标是提升人员能力、

提升企业或组织经营能力、实现信息安全赋能企业的战略目标，制定了相关评估细则和要求，最大

程度的满足企业对数字安全需求的价值实现及安全的保障企业数字化系统持续服务目标。面向信息

安全方向专业专职人才的培养目标，建立社会化的高端网络安全人才评价制度,发挥市场、社会等

多元评价主体作用，突出对个人专业能力，个人管理能力，企业经营业绩和综合素质的评价和考核，

积极培育发展各级信息安全人才评价社会组织和专业机构，逐步有序承接政府转移的人才评价职能，

建立信息安全人才评价机构综合评估、动态调整机制的相关政策而制定的人才评价标准规范。

本文件由武汉市工业信息化中心指导，由武汉乾跃信息技术有限公司牵头起草。

本文件由武汉企业信息化促进会和武汉市网络安全协会提出并归口。

本文件起草单位（排名不分先后）：湖北省电子信息产品质量监督检验院、武汉大学国家网络

安全学院、武汉工程大学计算机科学与工程学院、武汉职业技术学院信创学院、武昌船舶重工集团

有限公司、北京赛昇科技有限公司湖北分公司、长飞光纤光缆股份有限公司、武汉城市数字科技有

限公司、武汉中科通达高新技术股份有限公司、湖北东贝机电集团股份有限公司、武汉烽火信息集

成技术有限公司、深信服科技股份有限公司、武汉安恒信息科技有限公司、武汉观安信息技术有限

公司、武汉鸿源信息化发展有限公司、武汉青牛智能科技有限公司、武汉华工正源光子技术有限公

司、武汉创信博达信息技术有限公司、湖北星野科技发展有限公司、北京网御星云信息技术有限公

司、湖北数智安信科技有限公司。

本文件主要起草人（排名不分先后）：刘浩、胡颲、刘悦恒、何德彪、吴静、徐文霞、徐银霞、

邓小飞、冯希胤、丁志鹏、胡成国、戴维娇、徐亚军、白玉东、梅蕊、王超、商哲旻、王开学、盛

智标、朱博、罗伦文、陈烨、何双江、邱秋鹏、彭建军、童文茂、冯颖琼、周利斌、上官含章、李

春、施兴海、杨泽渊、邵峰、刘泽洋、王冰、赵德宝、路炳华、张淑英、江玉至、龚臣、徐煦、乔

奇、李媛。

III

信息安全专员能力水平评价规范

1范围

本文件规定了信息安全专员的岗位定义、职业水平等级和信用等级、申报条件、申报流程和认

定要求。

本文件适用于信息安全专员类人才的职业水平等级和信用等级评价、鉴定、管理、职业培训等。

本文件中所述信息安全包含但不限于网络安全、数据安全、工业互联网安全、智能网联汽车安

全、云安全等内容。其中工业互联网安全可以细分为设备安全、控制安全和应用安全等专业性内容，

对应的人员岗位为网络安全官、数据安全官、应用安全官；设备安全是指智能传感器、工业机器人、

智能仪表、智能产品等安全；控制安全是指SCADA（SupervisoryControlAndDataAcquisition，

监视控制与数据采集系统）、DCS（DistributedControlSystem，分布式控制系统）/FCS（FieldBus

ControlSystem），现场总线控制系统）、PLC（ProgrammableLogicController，可编程序逻辑

控制器）、HDMI（HighDefinitionMultimediaInterface，高清多媒体接口）等安全；应用安

全是指CAx（CAD、CAM、CAE、CAPP、CIM、CIMS、CAS、CAT、CAI等各项技术之综合叫法）、PLM

（ProductLifecycleManagement，产品生命周期管理）、ERP（EnterpriseResourcePlanning,

企业资源计划）、MES（ManufacturingExecutionSystem，制造执行系统）、CRM（Customer

RelationshipManagement，客户关系管理系统）、SCM（SupplyChainManagement，供应链管理

系统）、BI（BusinessIntelligence，商业智能）等应用系统安全。

本文件中所述信息中包含的法律法规及相关指导文件主要参考以下内容：《网络安全法》、《数

据安全法》、《保密法》、《密码法》、《个人信息保护法》、《网络安全等级保护条例》、《国

家网络安全应急预案》、《党委（党组）网络安全工作责任制实施办法》。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用

文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)

适用于本文件。

GB/T25069—2022信息安全技术术语

GB/T42446—2023信息安全技术网络安全从业人员能力基本要求

3术语和定义

GB/T25069—2022界定的以及下列术语和定义适用于本文件。

3.1网络空间安全CyberspaceSecurity

是网络空间作为信息环境中一个整体域的安全性。网络空间安全本质上指在网络空间框架下的

信息安全，完整定义是“所有类型的计算机系统和计算机网络环境、物理环境及相关人的安全”。

1

3.2数据安全DataSecurity

是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状

态的能力。

3.3安全从业人员SecurityWorkforce

从事安全工作，承担相应安全职责，并具有相应安全知识和技能的人员。

[来源：GB/T42446-2023，3.1，有修改]

3.4信息安全专员InformationSecuritySpecialist

在企业中负责企业的信息安全管理或信息安全防范措施的工作人员，可以是信息安全工程师、

信息安全运维人员、信息安全管理者。能配合企业信息官完成相关的信息安全防护工作。本标准描

述的信息安全专员，主要以技术为主，管理为辅，落实企业的信息安全防护措施。

3.5首席安全官Chiefsecurityofficer（CSO）

负责企业信息安全运行状态，保障企业的业务连续性，实施企业经营信息安全合规性和风险管

理的目标。首席安全官岗位包含但不限于高级安全管理员、信息安全管理者、高层信息安全管理执

行官。主要以管理为主，辅助技术实现和运营管理，施展组织及协调能力，理解企业的信息安全业

务，保障企业的业务连续性。

3.6智能网联汽车ConnectedandAutomatedMobility(CAM)

是搭载先进的车载传感器、控制器、执行器等装置，并融合现代通信与网络技术，实现车与车、

路、人、云端等智能信息交换、共享，具备复杂环境感知、智能决策、协同控制等控制，可实现“安

全、高效、舒适、节能”行驶的新一代汽车。

[来源：工业和信息化部关于加强车联网网络安全和数据安全工作的通知（工信部网安{2021}134号）]

3.7工业互联网IndustrialInternet

是新一代信息通信技术与制造业深度融合的关键基础设施、新型应用模式和全新产业生态，通

过人、机、物的全面互联，构建起全要素、全产业链、全价值链的全面连接、数据驱动的工业生产

制造和服务体系，成为第四次工业革命的重要基石。

[来源：工业互联网综合标准化体系建设指南（2021版）]

3.8知识Knowledge

通过经验或教育获取的事实、信息、真理、原理或者领悟。

[来源：GB/T42446-2023，3.2]

2

3.9技能Skill

通过教育、培训、经验或其他方式完成任务的一种能力。

[来源：GB/T42446-2023，3.3]

3.10能力Competence

综合运用知识和技能达到预期目的的本领。

[来源：GB/T42446-2023，3.1]

4信息安全专员职责和特征

4.1信息安全专员职责

信息安全专员需要在国家规定的网络安全相关的法律法规的范围内对整个企业的安全运行状态

负责，既包括物理安全又包括数字安全（包含网络安全、数据安全、工业控制系统信息网络安全、工

业互联网安全、智能网联汽车安全、云安全）。信息安全专员具体职责包含但不限于以下内容：

a）负责监控、协调企业内部的信息安全工作，包括信息技术、人力资源、通信、数据资产、设

备管理、应用安全管理、控制安全管理以及其他组织；

b）确定保护目标和保护制度与企业的战略计划保持一致，制定及执行企业的信息安全策略、信

息安全标准、指导方针和执行程序，以保证持续解决信息安全问题；

c）需要经常举办或参加相关领域的活动，如参与和业务连续性、损失预防、诈骗预防和保护隐

私等相关议题的活动，保持对新兴技术的学习和更新能力；

d）负责供应链安全，监控和跟踪供应链的全过程安全，保护企业资产、知识产权和计算机系统

安全；

e）信息保护职责包括：完善网络安全结构，监控网络访问，跟踪政策变化，及时为企业普及更

新后的政策要点，组织企业员工参加信息安全相关政策的培训，提升企业全员的网络安全意识等；

f）执行全面监控信息安全事件响应计划，及时应急响应并解决企业信息安全事件；

g）安全审计：监测、记录系统运行状态、日常操作、故障维护、远程运维等，并留存相关日志；

h）制定并执行全面的风险管理策略，并确保策略的执行，全面监控产品的内部使用，并且确保

工程小组与操作小组保持沟通，以便在产品出现问题时及时发现并解决问题，进一步完善灾难恢复

和业务连续性策略，通过每一个业务单元的共同努力，确保企业拥有一个整合性良好的安全计划和

策略。

针对以上信息安全专员职责范围，根据不同的行业及企业实际情况，对初级、中级、高级信息

专员职责，从工作关注点、组织机构、汇报对象三方面进行阐述，具体工作职责包括但不限于