本文目录导读:

关基安全CISP-LP本地行为准则”,我理解您是指关键信息基础设施安全领域的CISP-LP(注册关键信息基础设施安全检测与评估专业人员)所应遵守的本地化行为准则。
需要说明的是,CISP-LP是中国信息安全测评中心(CNITSEC)推出的专业资质,其官方行为准则通常以《CISP 注册人员行为准则》为纲领,并针对关键信息基础设施(关基)安全工作的特殊性,在“本地行为”层面有一些具体的职业操守与规范。
以下是根据行业惯例、CISP通用守则以及关基安全工作的特点,整理出的本地行为准则核心要点:
法律与合规性
- 严格守法:在本地开展检测、评估、运维或咨询工作时,必须严格遵守《网络安全法》、《关键信息基础设施安全保护条例》、《数据安全法》、《个人信息保护法》等国家及地方相关法律法规。
- 持证上岗:确保个人CISP-LP证书真实有效,并在国家测评中心规定的业务范围内执业,不得无证或超范围作业。
- 属地备案与审批:在涉及跨省、跨行业或敏感区域的关基系统本地化作业时,应主动配合本地网信、公安、通信管理部门的报备或审批要求。
职业道德与廉洁性
- 保守秘密:对在本地服务中接触到的关基系统架构、业务数据、安全漏洞、应急预案等敏感信息,负有终身保密义务,未经授权,不得向任何第三方(包括本单位非项目人员)泄露。
- 禁止利益冲突:在本地项目执行期间,不得接受被评估单位的馈赠、宴请、有价证券或其他利益输送;不得与被评估单位建立除合同约定外的商业或私人关联。
- 真实客观:出具的检测评估报告必须基于本地实际测试数据,严禁弄虚作假、瞒报漏报高风险漏洞或为迎合客户而降低风险评级。
- 公正中立:在本地渗透测试、风险评估中,不得受任何机构或个人干扰,应独立、客观地判断安全状态。
本地作业规范
- 环境适应与沟通:
- 作业前,充分了解本地网络拓扑、系统边界、业务峰值时段。
- 严格遵守本地机房、办公区域的安全管理规定(如门禁、监控、禁止拍照等)。
- 操作安全控制:
- 所有检测操作(如渗透、扫描、数据提取)必须在授权范围内进行。
- 实施高危操作前,必须制定并确认业务影响缓解措施和应急预案。
- 严禁在本地生产系统上进行未授权的破坏性测试或数据篡改。
- 工具与样本管理:
- 使用的检测工具、病毒样本、Exploit代码必须来源合法、无后门。
- 禁止将本地关基系统的原始数据、日志、配置导出至个人设备或非安全环境。
- 证据与痕迹保留:
- 本地作业过程中产生的所有原始记录、截图、视频、日志应完整归档,作为审计和追溯依据。
- 作业完成后,应及时清除在本地环境中遗留的临时账号、测试文件、木马或后门等。
数据与隐私保护
- 最小化操作:只获取完成本地安全评估所必需的数据,不得私自拷贝、分析、留存与关基安全无关的个人信息或业务数据。
- 数据跨境合规:涉及关基数据时,严禁将本地产生的任何评估数据、漏洞数据上传至未获批准的境外云平台或服务器。
- 销毁与脱敏:项目结束后,所有本地化的中间数据、测试数据应按照合同约定或国家规定进行彻底销毁或脱敏处理。
持续学习与应急响应
- 本地化知识更新:持续关注本地政府发布的最新关基保护通知、行业安全指引以及本地化的威胁情报。
- 应急处置:如果在本地作业过程中发现正在进行的网络攻击或重大安全事件,应立即停止操作,按照应急预案通知本地安全运维团队和监管单位,并配合取证。
违规与后果
违反上述本地行为准则,可能面临:
- 个人:CISP-LP证书被暂停或注销;列入行业黑名单;承担法律责任(行政、民事甚至刑事)。
- 单位:相关资质被撤销;承担项目违约及赔偿责任;接受监管部门的行政处罚。
补充说明: 由于具体的“CISP-LP本地行为准则”可能会因地方监管细则(如北京的“京网办”要求、上海的“数据条例”或广东的“数字政府安全规范”)有所不同,建议您在正式开展本地项目时,参考以下两个权威来源:
- 最新版《CISP注册人员行为准则》(由中国信息安全测评中心发布)。
- 本地项目所在地的《关键信息基础设施安全保护条例》实施方案(由当地网信办印发)。
如果您需要获取特定省份或行业的细化要求,建议通过官方渠道(如当地网信办官网)查询。