解读 GB/T 42446 《信息安全技术 网络安全从业人员能力基本要求》
之前在公众号文章内提到过 GB/T 42446-2023 《信息安全技术 网络安全从业人员能力基本要求》这份推荐性国家标准,实施日期是2023年10月1日。
笔者:国际认证信息系统审计师、软考系统分析师
虽然是推荐性标准,但如果纳入到网络安全等级保护体系内,成为等保测评中对甲方单位的网络安全管理强制性的要求,这对于甲方来说会是比较复杂的一件事。
实际上,等保体系里面全都是推荐性标准,但这些标准随着《网络安全法》、《数据安全法》等相关法律法规的出台而成为事实上的强制性标准。
在本文发表时,GB/T 42446-2023 标准已经实施了,鉴于上面的分析结果,无论是甲方乙方,都要先做好对标准条文的阅读理解。
笔者假设本文读者都有国家标准条文的基本理解能力,也对网络安全等级保护有一定的了解。
标准全文共22页,可以通过国家标准全文在线阅读系统查看:
https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=AD7E0F02219B63653BF850759A1030C4
该在线阅读系统不提供下载且做了保护。鉴于版权原因,我这里也不放截图什么的,只做文本片段的引述。
可以跳过前面,首先关注标准的第4部分。
4.1节“组成要素及其关系”中,指出了网络安全工作中从业人员、工作任务、工作类别、工作角色、知识和技能的关系。
重点在4.2节“工作类别和工作角色”、4.3节“工作任务”中,分5大类定义了工作类别,指出了每一类别所应承担的工作任务,合共20种。
这20种工作任务,全面概括了网络安全工作的所有方面,很有参考价值。而且,每一种工作任务,都可以和网络安全行业的细分领域画等号,所以也是机构业务发展或从业人员考取个人能力认证和求职的相关指引。
标准指出,工作角色和工作岗位是区别的,具体的工作岗位可以承担1个或多个工作角色。但笔者提醒读者,不要忘记等保标准中有职责分离的明确要求。因为对于风险管理,必要的职责分离是绝对前提。
标准指出,从业人员承担了工作角色,就需要具备相应知识和技能,从而完成工作任务。但标准并未提出对人的能力的具体要求,比如必须考什么证,经过什么资格认定之类。仅指出由甲方自行确定。
理论上,如果没有外部要求,甲方可以最低限度地通过内部培训和自主考核确定从业人员具备上岗资格。但是,由于网络安全的责任性质,这种做法等于甲方把责任风险全部自己内部消化,从风险管理角度,属于没有有效缓解措施地直接接受风险。
因此,理性的甲方需要制定人员必须具备外部颁发的技能或资格认证才能上岗的要求,这样才能通过风险转移,实现风险缓解。
第5部分是“通用知识和技能要求”,主要内容在附录的表格内,对第6部分的内容形成支撑。在5.1和5.2节提出了“通用知识要求”和“通用技能要求”,值得一提的是通用技能要求中,第a项是沟通与协调能力。
作为一份面向技术人员的能力要求里面把沟通协调能力放在首位,这是在提示网络安全确实就是一个和人高度相关的领域。
确实,网络攻防本身就是人和人的对抗、网络防守也是人和人之间的协同,尤其还要和不懂网络安全专业的人员协同,缺乏沟通协调能力是不行的。
第6部分是“专业知识和技能要求”,按前述5大类工作类别,详细列出每一类别岗位人员在知识和技能方面的要求。需要注意每大类需要再按前述20种工作任务进行细分确定对应的要求,而不是只要这个人负责的岗位属于这个大类就要具备全部列出的要求。
具体内容在附录中,分别是:
附录A,网络安全知识体系,列表给出知识体系内容。
附录B,网络安全技能体系,列表给出技能体系内容。
附录C,完成工作任务所需的知识和技能,按工作任务给出任务和与知识和技能的关系。
附录D,工作角色分类示范,该表的目的是把工作类别细分为18种工作角色,然后给出工作角色和工作任务的对应关系。虽然属于示范说明,但这表同样是对如何履行职责分离安排给出了明确的参考指引。需要建立网络安全管理体系的甲方应重点参考。
最后是附录E,给出了工作类别、工作角色与国家职业相关映射关系。由于这里引用的国家职业目前只有5类,不完全覆盖实际情况,估计该表以后是要修订的,目前来说参考价值不大。
比如,对于等级保护体系所要求具备的审计管理员,如果要落实该角色在本标准中要求具备的知识和技能,我们首先会发现第6.4节“网络安全审计和评估类人员”。该节在6.4.1指定了6项知识要求,在6.4.2中指定了18项技能要求。
很显然不是6+18共24项都要掌握,真能全掌握那也是个超牛的人,因为我自己都不全。
那么我们可以对照附录C,完成工作任务所需的知识和技能。在表C.1的第13行“网络安全审计”中,列出了从事该项工作任务,所需要的相关知识为:
K01-001、K01-002、K01-003、K01-004、K01-005、K01-006、K02-004、K10-001、K10-002。
相关技能为:
S01-001、S01-002、S01-003、S01-004、S02-15-001、S02-15-002、S02-15-003。
按照这个要求,具体查阅附录A和附录B,可以知道具体的要求。
1、首先是附录A的知识要求:
1)网络安全基础 K01
K01-001 网络安全概念及发展历程
信息安全概念、信息安全属性、信息安全视角、信息安全保障框架模型;网络安全发展历程、发展现状和发展趋势等;国内外网络安全产业发展情况等
K01-002 网络安全管理基本知识
风险管理、供应链安全管理、运营管理、应急管理、业务连续性、管理体系、认证认可、漏洞管理等基本知识
K01-003 网络安全技术基本知识
网络体系、通信技术、计算机组成原理、操作系统、密码学基础、PKI/CA 体系、身份鉴别、访问控制等基本知识
K01-004 国内外网络安全法律法规和政策
国内外网络安全法律法规政策战略和监管机制等
K01-005 国内外网络安全标准
国内、国外、国际网络安全标准
K01-006 网络安全最佳实践
解决方案或者经验等
2)网络安全管理知识 K02
K02-004 网络安全审计方法和技术
通用审计准则和方法;网络安全审计准则、方法、审计技术、信息化项目管理等
3)专项领域知识 K10
K10-001 新技术新应用安全
云计算、大数据、物联网、人工智能、区块链、5G等
K10-002 特定行业网络安全知识
电信、能源、金融、交通等行业特定的网络安全知识
2、然后再对照附录B,表B.1。
1)通用技能 S01,4项通用技能要求,分别是:
S01-001 能与组织内部和/或外部沟通与协调
S01-002 能理解组织业务,识别网络安全目标
S01-003 能建立和/或执行网络安全相关制度、策略或机制
S01-004 能理解和应用与组织网络安全目标相关的法律法规、政策和标准
2)网络安全审计 S02-15,3项具体技能要求,分别是:
S02-15-001 能评估和管理网络安全审计风险
S02-15-002 能管理、组织和实施审计
S02-15-003 能做出审计结论、提出审计建议、编制网络安全审计报告,并跟踪审计。
这样基本上就清楚了作为审计管理员所应该掌握的知识和技能。
顺带一提,以上审计管理员的知识和技能要求与我在之前相关文章中指出的大体上是一致的。S02-15的三项是循序渐进的要求,从能处置审计风险,到能组织开展审计,到能执行审计,但就还未上升到信息系统内部审计的层次。
作为网络安全从业个人来说,可以参考这份标准要求,补充自己的知识和技能短板,考取相关的能力证书,确定自己的能力拓展方向。
作为甲方来说,可以参考这份标准,正确设置网络安全岗位和承担相应的角色,确定人员是否具有上岗的能力,缓解因为人员能力不足而带来的网络安全管理和执行的风险。
作为乙方来说,也可以参考这份标准对人员进行能力提升,还可以从岗位任何细分中找到业务关联性,发掘发展方向。
本页网址二维码: