关基安全CISP-PP专业行为准则

wen IT资讯 1

本文目录导读:

关基安全CISP-PP专业行为准则

  1. 核心原则
  2. 对客户与组织的责任
  3. 对行业与公众的责任
  4. 专业操守具体要求
  5. 违规后果
  6. 主要参考法规/标准

关于关基安全(关键信息基础设施安全)领域的CISP-PP(国家注册信息专业人员-安全程序设计方向) 专业行为准则,通常包含以下核心内容(基于通用行业规范及CISP体系要求,具体以官方最新版为准):

核心原则

CISP-PP持证人员应遵循以下基本原则:

  1. 合法合规:严格遵守国家《网络安全法》、《关键信息基础设施安全保护条例》、《数据安全法》等法律法规。
  2. 诚实守信:在安全程序设计、评估、咨询活动中保持客观、真实,不弄虚作假。
  3. 尽职尽责:主动识别并报告安全风险,确保软件全生命周期的安全性。
  4. 持续学习:紧跟安全技术发展,更新知识体系,适应新的威胁与防护要求。

对客户与组织的责任

  1. 忠实履职:在安全需求分析、安全架构设计、安全编码、安全测试等环节,以最高安全标准服务于客户或所属单位。
  2. 风险告知:发现可能导致关键信息基础设施(CII)失陷或数据泄露的重大漏洞时,应立即、清晰地向责任方报告并提出整改建议。
  3. 利益冲突:不得利用专业地位谋取不当利益,不参与或为任何损害客户安全利益的第三方活动。
  4. 保密义务:对在服务中获知的客户网络架构、业务数据、安全配置等敏感信息严格保密,即使离职后仍负有保密责任。

对行业与公众的责任

  1. 维护安全底线:不得设计、编写或传播恶意代码、后门或安全缺陷,在开源或合作开发中,需自觉清理已知安全隐患。
  2. 拒绝破坏性行为:禁止利用CISP-PP知识对关键信息基础设施进行未经授权的攻击、渗透或破坏性测试。
  3. 促进安全文化:积极推广安全编程最佳实践(如安全编码规范、SDL流程),提升行业整体软件安全水平。

专业操守具体要求

环节 行为准则要点
安全需求 必须主动识别并确认业务场景中的安全约束,不得因工期压力牺牲必要安全要求。
设计阶段 强制遵循最小权限、纵深防御、默认安全原则,不得采用已知不安全的设计模式。
编码阶段 必须遵循行业安全编码标准(如OASIS、国家标准),严禁使用高危函数或未修复的第三方库。
测试阶段 应执行全面的白盒/黑盒安全测试(包括但不限于SAST、DAST、渗透测试),并形成可追溯的报告。
交付与运维 确保交付物不含调试后门或管理员默认口令,应提供安全配置指南和安全应急方案。

违规后果

若CISP-PP持证人员违反上述行为准则,中国信息安全测评中心(CNITSEC)或其他授权机构可能采取以下措施:

  • 警告或暂停资格
  • 撤销注册证书
  • 在一定范围内通报批评
  • 情节严重者,将依法移交有关部门处理

主要参考法规/标准

  • 《中华人民共和国网络安全法》
  • 《关键信息基础设施安全保护条例》(国务院令第745号)
  • 《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204)
  • 《信息安全技术 软件安全开发规范》(相关GB/T系列)
  • CISP-PP考试大纲及官方教材《安全程序设计》

温馨提示:由于CISP-PP的具体准则细则(如最新版教材或2024年后更新的行业标准)可能随时间微调,建议你通过以下方式获取最准确信息:

  1. 查阅 中国信息安全测评中心 官网发布的《CISP-PP考试大纲》或《注册信息安全专业人员行为准则》。
  2. 联系你参加培训的授权机构(如各省级授权培训机构)。
  3. 关注“关基安全”领域的专项合规文件(如《网络关键设备和网络安全专用产品目录》相关要求)。

如果你需要针对特定场景(如关基软件开发中如何具体落地该准则)的详细建议,可以进一步说明,我可以为你提供更聚焦的解析。

抱歉,评论功能暂时关闭!