1、等級測評師培訓及考試指南 為加強信息安全等級保護測評機構建設和管理，規范等級測評活動，保障信息安全等級保護測評工作的順利開展，公安部下發了關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知（公信安2010303號），對等級測評工作、等級測評機構建設以及等級測評人員進行了規范和要求。要求開展等級測評的人員參加專門培訓和考試，并取得信息安全等級測評師證書（等級測評師分為初級、中級和高級）。等級測評人員需持等級測評師證上崗。 公安部信息安全等級保護評估中心（以下簡稱“評估中心”）是由公安部為建立信息安全等級保護制度，構建國家信息安全保障體系而專門批準成立的專業技術支撐機構，評估中心受國家信

2、息安全等級保護工作協調小組辦公室委托，對從事等級測評的人員進行培訓和考試，對考試合格人員頒發相應的信息安全等級測評師證書。1 等級測評師的分類及能力要求信息安全等級測評師分為初級等級測評師、中級等級測評師和高級等級測評師三級。其中，初級等級測評師又分為技術和管理兩類。三級等級測評師能力要求如下： · 初級等級測評師 o 了解信息安全等級保護的相關政策、標準；o 熟悉信息安全基礎知識；o 熟悉信息安全產品分類，了解其功能、特點和操作方法；o 掌握等級測評方法，能夠根據測評指導書客觀、準確、完整地獲取各項測評證據；o 掌握測評工具的操作方法，能夠合理設計測試用例獲取所需測試數據；o 能夠

3、按照報告編制要求整理測評數據。· 中級等級測評師 o 熟悉信息安全等級保護相關政策、法規；o 正確理解信息安全等級保護標準體系和主要標準內容，能夠跟蹤國內、國際信息安全相關標準的發展；o 掌握信息安全基礎知識，熟悉信息安全測評方法，具有信息安全技術研究的基礎和實踐經驗；o 具有較豐富的項目管理經驗, 熟悉測評項目的工作流程和質量管理的方法，具有較強的組織協調和溝通能力；o 能夠獨立開發測評指導書，熟悉測評指導書的開發、版本控制和評審流程；o 能夠根據信息系統的特點，編制測評方案，確定測評對象、測評指標和測評方法；o 具有綜合分析和判斷的能力，能夠依據測評報告模板要求編制測評報告，能夠

4、整體把握測評報告結論的客觀性和準確性。具備較強的文字表達能力；o 了解等級保護各個工作環節的相關要求。能夠針對測評中發現的問題，提出合理化的整改建議。· 高級等級測評師 o 熟悉和跟蹤國內、外信息安全的相關政策、法規及標準的發展；o 對信息安全等級保護標準體系及主要標準有較為深入的理解；o 具有信息安全理論研究的基礎、實踐經驗和研究創新能力；o 具有豐富的質量體系管理和項目管理經驗，具有較強的組織協調和管理能力；o 熟悉等級保護工作的全過程，熟悉定級、等級測評、建設整改各個工作環節的要求。2 培訓及考試對象信息安全等級測評師培訓及考試對象是等級測評機構中從事等級測評工作的測評人員。要

5、求這些測評人員在具備信息安全基礎知識的前提下，參加初級、中級或高級等級測評師的專門培訓和考試，從而滿足等級測評工作崗位的需要。 · 1）初級等級測評師 初級等級測評師的培訓對象是網絡安全、主機安全、應用安全、安全管理和工具測試人員等。報考人員需要具備信息安全基礎知識和信息安全相關工作經驗,熟悉TCP/IP 網絡協議，了解標識與鑒別、訪問控制等安全技術及原理，熟悉主流服務器操作系統、路由器、交換機、防火墻等設備的操作與配置。· 2）中級等級測評師 中級等級測評師的培訓對象是項目負責人（或項目組長）。報考人員需要具備信息安全理論基礎，對系統安全、網絡安全、應用安全等有深入了解,

6、作為項目負責人組織實施過信息系統安全測評項目，熟悉國內外信息安全相關產品的特性，具有較豐富的測評實踐經驗、良好的溝通協作和文字表達能力。· 3） 高級等級測評師 高級等級測評師的培訓對象是技術負責人（或技術總監）。報考人員需要具備信息安全理論基礎，具有信息安全理論、信息安全技術的研究和實踐經驗，從事過網絡信息安全方面的測評、規劃、設計、實施、運維等工作。熟悉信息安全標準和產品特性，熟悉信息安全技術發展動向。3 報名3.1 報名申請信息安全等級測評師培訓及考試報名以等級測評機構為單位統一報名。采用測評機構統一推薦的方式，依照“崗位對應，比例協調”的原則進行。初、中、高級等級測評師分別對

7、應等級測評機構的測評員、項目負責人（或項目組長）和技術負責人（或技術總監）三個工作崗位。各等級測評機構應當根據人員崗位按65%、30%和5%的比例推薦本單位測評人員報名參加初、中、高級等級測評師的考試（其中，初級等級測評師又分為技術和管理兩類）。例如，一個測評機構有測評人員15名，按照初級（技術）8名，初級（管理）2名，中級4名，高級1名的比例報名。3.2 報名確認評估中心對等級測評機構的報名比例和人員基本情況進行核對，核對通過的，通知等級測評機構的報考人員登錄培訓系統進行報考人員信息注冊（現階段培訓系統未上線前采用線下填報人員信息表）。 對于報考人員比例不符合要求的等級測評機構，評估中心將通

8、知其進行相應的調整后重新報名。對發現人員基本情況明顯不具備培訓基礎的報考人員，評估中心告知等級測評機構該報考人員可能無法通過等級測評師的考試。3.3 報名交費通過報名確認后，評估中心通知等級測評機構按照報名的情況繳納培訓和考試費用。培訓和考試費以等級測評機構為單位一次交納。收費標準依據等級測評師培訓及考試收費標準。報名交費采用匯款或支票的方式。4 培訓評估中心組織對報考初、中和高級等級測評師考試的人員進行專門的培訓，通過培訓后方可參加相應的等級測評師考試。人員培訓采用網絡培訓和集中培訓相結合的方式（現階段培訓系統未上線時采用集中培訓方式）。網絡培訓要求學員通過互聯網登錄培訓系統在線接受培訓。網

9、上培訓完成后，參加集中培訓。集中培訓以重點內容、復習、現場答疑和考前輔導為主。評估中心提前公布集中培訓計劃，集中培訓原則上根據報名情況具體安排培訓時間和地點。4.1 培訓課程安排級別 培訓課程 課程設置目的 初級信息安全等級保護政策了解信息安全等級保護的相關政策、標準。等級保護相關標準應用了解信息安全等級保護的相關政策、標準。網絡安全測評熟悉網絡測評內容、要求和方法，能夠根據測評指導書客觀、準確、完整地獲取各項測評證據； 能夠按照報告編制要求整理測評數據，開展等級測評工作。主機安全測評熟悉主機測評內容、要求和方法，能夠根據測評指導書客觀、準確、完整地獲取各項測評證據； 能夠按照報告編制要求整理

10、測評數據，開展等級測評工作。應用和數據安全測評熟悉應用和數據庫安全測評內容、要求和方法，能夠根據測評指導書客觀、準確、完整地獲取各項測評證據； 能夠按照報告編制要求整理測評數據，開展等級測評工作。安全管理和物理測評熟悉安全管理和物理測評內容、要求和方法，能夠根據測評指導書客觀、準確、完整地獲取各項測評證據； 能夠按照報告編制要求整理測評數據，開展等級測評工作。工具測試方法掌握測評工具的操作方法，能夠合理設計測試用例獲取所需測試數據。中級信息安全等級保護政策熟悉信息安全等級保護相關政策、法規。等級保護相關標準應用正確理解信息安全等級保護標準體系和主要標準內容。信息系統安全等級保護基本要求熟悉標準

11、結構，熟悉不同級別系統之間的差別、熟悉各級安全要求內容。信息系統安全等級保護測評方法熟悉信息安全等級測評方法，能夠獨立開發測評指導書，并熟悉測評指導書的開發、版本控制和評審流程； 能夠根據信息系統的特點，編制測評方案，確定測評對象、測評指標和測評方法； 能夠依據測評報告模板要求編制測評報告，能夠整體把握測評報告結論的客觀性和準確性。信息系統安全等級保護測評實施熟悉等級測評項目的工作流程和質量管理的方法。項目管理熟悉項目管理的主要內容和關鍵環節。掌握項目質量管理、進度管理、風險管理方法。高級信息安全等級保護政策熟悉信息安全等級保護相關政策、法規。等級保護相關標準應用正確理解信息安全等級保護標準體

12、系和主要標準內容。美國信息系統安全保護政策和標準熟悉和跟蹤國外信息安全的相關政策、法規及標準的發展。我國信息安全標準體系熟悉信息安全等級保護標準體系及主要標準。信息安全技術發展趨勢掌握網絡與信息安全的理論基礎和發展趨勢。信息系統測評原理與方法掌握系統測評的原理和方法以及測評過程。測評機構的質量體系建設熟悉質量體系和制度建設的主要內容。4.2 參考教材評估中心專門為信息安全等級測評師編寫了培訓教材，教材分為信息安全等級測評師培訓教材（初級）、信息安全等級測評師培訓教材（中級）和信息安全等級保護政策培訓教程。學員還可以參考其他信息安全相關培訓教材。5 考試5.1 考試方式1）初級等級測評師初級測評

13、師考試采用筆試的方式，滿分100分,合格分數線為60分；筆試時間為120分鐘。2）中級等級測評師中級等級測評師考試采用筆試加面試的方式，滿分100分, 筆試和面試成績各占50分，合格分數線為60分；筆試時間為120分鐘，面試時間為15分鐘。 評估中心組織專家對參加中級等級測評師考試的考生進行面試。參加面試人員需要介紹本人參加過的系統測評項目的情況及承擔的主要工作（5分鐘），專家通過質詢及評審相關材料對面試人員的能力進行考評。（評審相關材料主要包括測評指導書和等級測評報告，等級測評機構派專人將面試人員負責編寫的測評指導書和測評報告送達面試現場，面試結束后收回。）如果測評機構的現場能力評估在面試之

14、前，面試人員的測評指導書和報告的編制情況也可在等級測評機構現場能力評估時考核。3）高級等級測評師高級等級測評師考試采用筆試加面試的方式，滿分100分，筆試占40分，面試占60分；筆試時間為100分鐘，面試時間為20分鐘。 評估中心組織專家對參加高級等級測評師考試的考生進行面試。參加面試人員需要提交本人工作總結，并簡要介紹主要項目經歷（5分鐘）。專家通過質詢及評審相關材料對面試人員的能力進行考評。5.2 考試時間等級測評師筆試時間安排在集中培訓后進行，在筆試結束后進行中、高級等級測評師的面試。 評估中心提前公布筆試及面試具體時間安排。并通知考生提前登錄培訓系統打印準考證。5.3 成績公布考試結束五個工作日后，評估中心公布考試通過人員名單。應考人員對考試結果有異議的，應當在考試結果公布之日起五日內向評估中心提出成績查詢申請。評估中心按照成績查詢程序受理，并在五個工作日內反饋查詢結果。 未通過考試的人員，可以免費參加一次集中培訓，但參加考試需要重新報名和交費。5.4考試紀律考生應當遵守等級測評師考試考場規則，違反考場規則的，將依據等級測評師考試違紀作弊處理規則對其進行處理。 報名參加考試的人員，有違反考試規定或弄虛作假的，兩年內不受理其考試報名申請；已經參加考試的，取消考試成績。6 證書6.1 證書獲取在考試結果公布后，評估中心統一印制并頒發信息安全等級測評師