国家职业技能标准 (2021年版) 4-04-04-04 信息安全测试员

国家职业技能标准职业编码：4-04-04-04信息安全测试员（2021年版）制定中华人民共和国人力资源和社会保障部中央网络安全和信息化委员会办公室中华人民共和国工业和信息化部中华人民共和国公安部说明为规范从业者的从业行为，引导职业教育培训的方向，为职业技能鉴定提供依据，依据《中华人民共和国劳动法》，适应经济社会发展和科技进步的客观需要，人力资源社会保障部会同公安部组织有关专家，开发制定了《信息安全测试员国家职业技能标准（2021年版）》（以下简称《标准》）。一、本《标准》以《中华人民共和国职业分类大典（2015年版）》（以下简称《大典》）为依据，严格按照《国家职业技能标准编制技术规程（2018年版）》有关要求，以“职业活动为导向、职业技能为核心”为指导思想，对信息安全从业人员的职业活动内容进行规范细致描述，对各等级从业者的技能水平和理论知识水平进行了明确规定。二、本《标准》依据有关规定将本职业分为四级/中级工、三级/高级工、二级/技师、一级/高级技师四个等级，包括职业概况、基本要求、工作要求和权重表四个方面的内容。三、本《标准》起草单位有：公安部第三研究所、中关村信息安全评测联盟、赛迪研究院、中国电子商会、华北电力大学、北京知道创宇信息技术股份有限公司、数字联通科技有限公司、北京永信至诚科技股份有限公司、北京远禾科技有限公司、北京国信行知信息技术有限责任公司、山东旗舰信息有限公司。主要起草人有：严明、周明、刘权、诸葛建伟、周庆根、蔡晶晶、杨冀龙、赵伟、曹建民、罗静华、鲁华伟、邓强、谢成、吴昊、刘沛航、薛明培、徐得翔、常家硕、韦峻峰、冉晋雪、王鹏彪、黄丽原。工作组成员：戴飞军、毕宁、薛晓宇、袁艺匀、蒋宁、李姗姗。四、本《标准》审定单位有：中央网络安全和信息化委员会办公室秘书局、国家互联网应急中心、公安部网络安全保卫局、公安部第一研究所测评中心、公安部信息安全测评中心、工业和信息化部网络安全产业发展中心、中国信息通信研究院、国家信息技术安全研究中心、国家网络与信息系统安全产品质量监督检验中心、南开大学网络空间安全学院、中国信息安全测评中心、大数据安全协同技术国家工程实验室、中国电信通信集团公司、中国联合网络通信集团有限公司、腾讯科技（深圳）有限公司、山石网科通信技术股份有限公司、杭州安恒信息技术股份有限公司。主要审定人员有：祝国邦、严寒冰、李秋香、冯燕春、罗峥、刘静、顾健、张健、李斌、杜跃进、刘亚天、于旸、杨庆华、刘志乐。五、本《标准》在制定过程中，得到公安部关键信息保护中心、国家计算机病毒应急处理中心、中国电子标准化研究院、中国网络空间安全协会、中国网络安全审查技术与认证中心、中国质量认证中心、中国科学院信息工程研究所、北京电子科技学院、清华大学、北京邮电大学、北京航空航天大学、武汉大学、国防科技大学、西安交通大学、上海交通大学、山东大学、新疆大学、国家能源局信息中心、中国证券监督管理委员会、交通部交通运输信息安全中心、中国移动通信集团公司、中国电子科技网络信息安全有限公司、中国融通集团公司、华为技术有限公司、阿里巴巴（中国）有限公司、北京奇虎科技有限公司、奇安信科技集团股份有限公司、深信服科技股份有限公司、启明星辰信息技术集团股份有限公司、北京天融信科技有限公司、绿盟科技集团股份有限公司、厦门市美亚柏科信息股份有限公司、亚信安全科技有限公司、任子行网络技术股份有限公司、安天科技集团股份有限公司、恒安嘉新（北京）科技股份公司、西安四叶草信息技术有限公司、南京赛宁信息技术有限公司、北京易霖博信息技术有限公司、北京未来安全信息技术有限公司、远江盛邦(北京)网络安全科技股份有限公司、上海斗象信息科技有限公司、全知科技(杭州)有限责任公司、北京数字观星科技有限公司、杭州虎符网络有限公司、国研智库有限公司的指导和支持，在此表示感谢。六、本《标准》业经人力资源社会保障部、中央网络安全和信息化委员会办公室、工业和信息化部、公安部批准，自公布之日起施行。信息安全测试员国家职业技能标准（2021年版）1.职业概况1.1职业名称信息安全测试员①1.2职业编码4-04-04-041.3职业定义通过对评测目标的网络和系统进行渗透测试，发现安全问题并提出改进建议，使网络和系统免受恶意攻击的人员。1.4职业技能等级本职业渗透测试员工种共设四个等级，分别为：四级/中级工、三级/高级工、二级/技师、一级/高级技师。1.5职业环境条件室内，常温。1.6职业能力特征具有一定的学习、观察、推理、判断、表达、计算能力，具有分析问题、独立工作、沟通交往、协调合作能力，心理健康。1.7普通受教育程度高中毕业（或同等学力）。1.8培训参考学时①本标准仅针对渗透测试员工种。四级/中级工、三级/高级工不少于160标准学时；二级/技师不少于120标准学时；一级/高级技师不少于80标准学时。1.9职业技能鉴定要求1.9.1申报条件具备以下条件之一者，可申报四级/中级工：（1）取得相关职业②五级/初级工职业资格证书（技能等级证书）后，累计从事本职业或相关职业工作3年（含）以上。（2）累计从事本职业或相关职业工作5年（含）以上。（3）取得技工学校本专业或相关专业③毕业证书（含尚未取得毕业证书的在校应届毕业生）；或取得经评估论证、以中级技能为培养目标的中等及以上职业学校本专业或相关专业④毕业证书（含尚未取得毕业证书的在校应届毕业生）；具备以下条件之一者，可申报三级/高级工：（1）取得本职业或相关职业四级/中级工职业资格证书（技能等级证书）后，累计从事本职业或相关职业工作5年（含）以上。（2）取得本职业或相关职业四级/中级工职业资格证书（技能等级证书），并具有高级技工学校、技师学院毕业证书（含尚未取得毕业证书的在校应届毕业生）；或取得本职业或相关职业四级/中级工职业资格证书（技能等级证书），并具有经评估论证、以高级技能为培养目标的高等职业学校本专业或相关专业⑤②相关职业：网络与信息安全管理员、信息安全工程技术人员、通信工程技术人员、计算机硬件工程技术人员、计算机软件工程技术人员、计算机网络工程技术人员、信息系统分析工程技术人员、信息通信网络运行管理员、信息通信信息化系统管理员、计算机程序设计员、计算机软件测试员等。③相关专业（技工学校）：计算机网络应用、计算机程序设计、计算机应用与维修、计算机信息管理、通信网络应用、通信运营服务、网络安防系统安装与维护、物联网应用技术、网络与信息安全、云计算技术应用、工业互联网技术应用、人工智能技术应用、数字媒体技术应用等信息类专业。④相关专业（中等职业学校）：电子信息技术、物联网技术应用、电子技术应用、电子材料与元器件制造、电子电器应用与维修、服务机器人装配与维护、计算机应用、计算机网络技术、软件与信息服务、数字媒体技术应用、大数据技术应用、移动应用技术与服务、网络信息安全、网络安防系统安装与维护、网站建设与管理、计算机平面设计、计算机与数码维修、现代通信技术应用、通信系统工程安装与维护、通信运营服务等电子与信息类专业。⑤相关专业（高等职业学校）：电子信息工程技术、物联网应用技术、应用电子技术、电子产品制造技术、电子产品检测技术、移动互联应用就是、汽车智能技术、智能产品开发与应用、智能光电技术应用、光电显示技术、计算机应用技术、计算机网络技术、软件技术、数字媒体技术、大数据技术、云计算技术应用、信息安全技术应用、虚拟现实技术应用、人工智能技术应用、嵌入式技术应用、工业互联网技术、区块链技术应用、移动应用开发、工业软件开发技术、动漫制作技术、密码技术应用、现代通信技术、现代移动毕业证书（含尚未取得毕业证书的在校应届毕业生）。（3）具有大专及以上本专业或相关专业⑥毕业证书，并取得本职业或相关职业四级/中级工职业资格证书（技能等级证书）后，累计从事本职业或相关职业工作2年（含）以上。具备以下条件之一者，可申报二级/技师：（1）取得本职业或相关职业三级/高级工职业资格证书（技能等级证书）后，累计从事本职业或相关职业工作4年（含）以上。（2）取得本职业或相关职业三级/高级工职业资格证书（技能等级证书）的高级技工学校、技师学院毕业生，累计从事本职业或相关职业工作3年（含）以上；或取得本职业或相关职业预备技师证书的技师学院毕业生，累计从事本职业或相关职业工作2年（含）以上。具备以下条件者，可申报一级/高级技师：取得本职业或相关职业二级/技师职业资格证书（技能等级证书）后，累计从事本职业或相关职业工作4年（含）以上。1.9.2鉴定方式鉴定方式分为理论知识考试、技能考核以及综合评审。理论知识考试笔试、机考等方式为主，主要考核从业人员从事本职业应掌握的基本要求和相关知识要求；技能考核主要采用现场操作、模拟操作等方式进行，主要考核从业人员从事本职业应具备的技能水平；综合评审主要针对技师和高级技师，通常采取审阅申报材料、答辩等方式进行全面评议和审查。理论知识考试、技能考核和综合审定均实行百分制，成绩皆达60分（含）以上者为合格。1.9.3监考人员、考评人员与考生配比理论知识考试中的监考人员与考生配比为1︰15，且每个考场不少于2通信技术、通信软件技术、卫星通信与导航技术、通信工程设计与监理、通信系统运行原理、智能互联网络技术、网络规划与优化技术、电信服务与管理等电子与信息类专业。⑥相关专业（普通高等学校本科）：信息安全、计算机科学与技术、软件工程、网络工程、物联网工程、数字媒体技术、智能科学与技术、空间信息与数字技术、电子与计算机工程、数据科学与大数据技术、网络空间安全、新媒体技术、保密技术、服务科学与工程、虚拟现实技术、区块链工程、网络安全与执法等计算机类、电子信息类专业。名监考人员；技能考核中的考评人员与考生配比不低于1︰5，且考评人员为3名（含）以上单数；综合评审委员为3人（含）以上单数。1.9.4鉴定时间理论知识考试时间不少于90min，技能操作考核时间不少于120min，综合评审时间不少于20min。1.9.5鉴定场所设备理论知识考试在标准教室进行；技能操作考核在具有必备的网络环境、软硬件资源，安全设施完善的场所进行。2.基本要求2.1职业道德2.1.1职业道德基本知识2.1.2职业守则（1）遵纪守法，保密合规。（2）廉洁自律，不谋私利。（3）牢记职责，爱岗敬业。（4）客观严谨，公平公正。（5）流程规范，操作安全。（6）认真负责，团结协作。（7）挑战自我，勇于创新。2.2基础知识2.2.1计算机基础知识（1）操作系统知识。（2）硬件使用基本知识（3）常用软件知识。（4）数据库知识。（5）计算机网络知识。2.2.2网络安全知识（1）网络安全基本概念。（2）网络攻防基础知识。（3）密码学基础知识。（4）互联网网站应用安全知识。（5）网络协议安全知识。（6）中间件安全知识。（7）社会工程学知识。（8）安全审计技术知识。（9）反恶意软件与入侵检测技术知识。（10）备份与恢复技术知识。（11）云计算基础知识2.2.3工作常用知识（1）应用文写作的一般要求。（2）网络安全专业英语基本词汇。（3）数据统计分析基本方法。2.2.4相关法律、法规及标准知识（1）《中华人民共和国刑法》相关知识。（2）《中华人民共和国治安管理处罚法》相关知识。（3）《中华人民共和国民法典》相关知识。（4）《中华人民共和国劳动法》相关知识。（5）《中华人民共和国劳动合同法》相关知识。（6）《中华人民共和国网络安全法》相关知识。（7）《中华人民共和国密码法》相关知识。（8）《中华人民共和国数据安全法》相关知识。（9）《中华人民共和国个人信息保护法》相关知识。（10）《网络安全审查办法》相关知识。（11）《网络安全漏洞管理规定》相关知识。（12）《网络产品安全漏洞管理规定》相关知识。（13）《关键信息基础设施安全保护条例》相关知识（14）网络安全技术标准的相关知识。（15）其他网络安全相关法律法规、政策、管理规定相关知识。3.工作要求本标准对四级/中级工、三级/高级工、二级/技师、一级/高级技师的技能要求和相关知识要求依次递进，高级别涵盖低级别的要求。3.1四级/中级工职业功能工作内容技能要求