近日,职业技能等级证书信息管理服务中心发布“参与1+X证书制度试点的第四批职业技能等级证书标准(试行版)(三)”的通知,由第四批职业教育培训评价组织——中盈创信(北京)科技有限公司申报的物联网安装调试与运维和商用密码应用与维护职业技能等级标准位列其中,并正式获批发布。
商用密码应用与维护职业技能等级标准
(2021年1.0版)
1 范围
本标准规定了商用密码应用与维护职业技能等级对应的工作领域、工作任务及职业技能要求。
本标准适用于商用密码应用与维护职业技能培训、考核与评价,相关用人单位的人员聘用、培训与考核可参照使用。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本适用于本文件。
国家、行业有关标准如下:
GM/Z 4001-2013 密码术语
GM/Z 0054-2018 信息系统密码应用基本要求
GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》GB/T 38625-2020《信息安全技术 密码模块安全检测要求》GB/T 38629-2020《信息安全技术 签名验签服务器技术规范》
GB/T 38635.1-2020《信息安全技术 SM9 标识密码算法 第 1 部分:总则》GB/T 38635.2-2020《信息安全技术 SM9 标识密码算法 第 2 部分:算法》GB/T 38636-2020《信息安全技术 传输层密码协议(TLCP)》
GB/T 38647.1-2020《信息技术 安全技术 匿名数字签名 第 1 部分:总则》
GB/T 38647.2-2020《信息技术 安全技术 匿名数字签名 第 2 部分:采用群组公钥的机制》
GM/T 0050 密码设备管理 设备管理技术规范GM/T 0051 密码设备管理 对称密钥管理规范GM/T 0052 密码设备管理 VPN 设备监察管理规范
GM/T 0053 密码设备管理 远程监控与合规性检验接口数据规范
3 术语和定义
GM/Z 4001-2013等界定的以及下列术语和定义适用于本标准。
3.1 加密 Encryption
是指采用特定变换的方法,将原来可读的信息变成不能识别的符号序列。
3.2 商用密码 Commercial Encryption
商用密码是指对不涉及国家秘密的信息与网络进行加密保护或者安全认证所使用的密码。
3.3 商用密码产品 Commercial Encryption Products
商用密码产品是指由国家密码管理机构批准许可的单位生产、销售和使用的, 用于保护信息安全,维护公民、组织和国家安全和利益的信息安全产品。
3.4 加密保护 Encryption protection
加密保护是指采用特定变换的方法,将原来可读的信息变成不能识别的符号序列。简单地说,加密保护就是将明文变成密文。
3.5 安全认证 Security Certification
安全认证是指采用特定变换的方法,确认信息是否被篡改,包括增加或删除、是否来自可靠信息源,以及确认行为是否真实。简单地说,安全认证就是确认主体和信息的真实可靠性。
3.6 数字签名 Digital Signature
数字签名是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明,是非对称密钥加密技术与数字摘要技术的应用。
4 适用院校专业
中等职业学校:计算机应用、网络信息安全、计算机网络技术、网站建设与管理、软件与信息服务、大数据技术应用、移动应用技术与服务、网络安防系统安装与维护、网站建设与管理、计算机与数码设备维修、现代通信技术应用、通信运营服务、电子商务、移动商务、跨境电子商务、网络营销、电子信息技术、物联网技术应用等相关专业。
高等职业学校:密码技术应用、信息安全技术应用、大数据技术、人工智能技术应用、虚拟现实技术应用、工业互联网技术、区块链技术应用、移动应用开发、计算机网络技术、计算机应用技术、软件技术、电子商务、跨境电子商务、移动商务、商务数据分析与应用、云计算技术应用、移动互联应用技术、现代通信技术、现代移动通信技术、通信软件技术、通信系统运行管理、智能互联网络技术等相关专业。
应用型本科学校:计算机应用工程、网络工程技术、软件工程技术、大数据技术与应用、云计算技术、信息安全与管理、人工智能工程技术、工业互联网技术、区块链技术、现代通信工程、电子信息工程技术、物联网工程技术、跨境电子商务、电子商务、机器人技术、自动化技术与应用、工业互联网工程等相关专业。
5 面向职业岗位(群)
【商用密码应用与维护】(初级):主要针对企事业单位密码应用需求,面向安全管理员、安全保密员等从事密码和密钥的维护管理工作的岗位(群),针对企业密码应用需求,保障信息系统正常运行以及业务数据安全,防止黑客攻击和用户越权访问引起的信息泄露和损失。
【商用密码应用与维护】(中级):主要针对企事业单位密码维护管理需求,面向安全管理工程师等岗位(群),能够根据企业的数据安全需求灵活配置和使用企业网络中的密码安全产品,能够对重要数据进行备份和恢复,及时发现安全保密隐患并妥善处理。
【商用密码应用与维护】(高级):主要针对企事业单位安全管理高级工程师等岗位(群),能够深入解读国家等级保护和商用密码安全的相关标准要求,熟悉各类安全产品功能和特点,能够主持完成不同类型不同规模的企业商用密码安全应用现状检测和评估,并提出有针对性的解决方案。
6 职业技能要求
6.1 职业技能等级划分
商用密码应用与维护职业技能等级分为三个等级:初级、中级、高级。三个级别依次递进,高级别涵盖低级别技能要求。
【商用密码应用与维护】(初级):根据企业密码管理相关制度的要求,为企业挑选和购买合适的密码产品,并进行基本的软硬件使用和维护,掌握本单位涉密终端和密码设备的配用情况,建立管理台账,包括数量、密级、责任人、责任处室、安放地点等。
【商用密码应用与维护】(中级):根据密码技术国家标准,指导密码管理员选择合适的密码技术和安全体系架构,灵活部署到企业生产环境中,负责安全设备的日常管理和维护,每月对重要安全产品的日志进行分析整理,向上级主管部门提出升级改造的具体需求和愿望。
【商用密码应用与维护】(高级):根据国家等级保护和商用密码安全的要求, 分析不同企业应用和数据安全需求,撰写规范的信息系统安全需求分析报告,能够设计完成满足国家标准的商用密码系统建设方案,制定完善可行的商用密码管理制度,能够主持测评不同规模和类型的企业网络商用密码系统的安全性并给出针对性的整改意见。
6.2 职业技能等级标准描述
表 1 商用密码应用与维护职业技能等级要求(初级)
表 2 商用密码应用与维护职业技能等级要求(中级)
表 3商用密码应用与维护职业技能等级要求(高级)
附件:
