本文目录导读:

关于关基安全(关键信息基础设施安全)领域的CISP-SP服务行为准则,通常指的是注册信息安全专业人员-安全运营(CISP-SO)、安全开发(CISP-SD)、渗透测试(CISP-PTE)或类似专项方向(SP通常指Specialist/专项)的从业人员在提供服务时应遵守的职业规范。
需要说明的是,国家信息安全测评中心(CNITSEC)发布的最新版《CISP注册人员行为准则》是总的纲领,而针对“服务行为”的具体细则,通常包含在CISP各专项(SP)的认证培训教材及服务机构的内部规章制度中。
以下是基于关基保护要求及CISP通用准则梳理出的核心服务行为准则:
核心原则
- 合法合规:严格遵守国家《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》及行业主管部门的相关规定,未经授权不进行任何超出合同范围的服务操作。
- 最小必要:在服务过程中,仅访问、处理与任务直接相关的最少数据和系统资源,避免无关的信息接触。
- 先授权后操作:对关基系统进行任何扫描、测试、配置变更等操作前,必须获得服务对象(客户)的书面或严格流程授权,并明确操作时间窗口和回退方案。
- 保密优先:对服务过程中知悉的关基系统架构、漏洞信息、用户数据、业务逻辑等承担严格的保密义务,不得泄露给第三方或用于任何其他目的。
具体服务行为规范(针对关基重点)
渗透测试与安全评估行为准则
- 边界控制:严格界定测试范围(IP段、域名、应用),不得越界渗透。
- 风险可控:在测试前必须评估对业务连续性的潜在影响(如拒绝服务攻击风险),必要时在低峰期或克隆环境进行。
- 证据留存:所有测试操作(命令、时间戳、结果)必须有详细日志或截图存档,以备审计。
- 清理还原:测试完成后,必须彻底清除植入的测试脚本、后门、临时账户及上传的测试文件,确保系统恢复原状。
- 漏洞管理:发现高危或严重漏洞时,应立即以最安全的方式(加密、脱敏)通知客户应急联系人,不得在修复前对外扩散。
安全运营与监测服务准则
- 数据合规:对日志、告警、用户行为数据等敏感信息,严禁私自复制、外传、留存超过必要期限。
- 权限隔离:服务人员使用的账号应为临时、最小权限的专用账号,且需定期更换密码,严禁使用个人账户或共享账户操作。
- 告警处置:处置安全事件时,需遵循客户既定的“预案-研判-汇报-处置-复核”流程,不得擅自下线系统或修改核心策略。
- 溯源留痕:所有监测、阻断、处置动作必须记录在案,形成可追溯的审计链条。
安全开发与架构评估准则
- 安全缺陷:对于发现的源代码漏洞或设计缺陷,仅向客户指定的安全对接人或项目组报告,不得存入本地或个人云盘。
- 代码保密:服务期间接触的客户源代码、配置文件、算法等,必须签订严格的保密协议,服务结束后需彻底销毁或归还。
职业操守与禁止行为
- 严禁兼职与利益冲突:不得同时为有关基保护义务单位的竞争对手提供同类服务(除非得到客户书面同意),不得利用服务机会获取客户的商业机密或非法利益。
- 严禁私设后门:绝对禁止在服务过程中为自己或第三方预留后门、隐蔽通道、超级管理员账户等。
- 严禁滥用漏洞:不得利用服务期间发现的漏洞进行任何形式的网络攻击、数据窃取或非法兜售漏洞信息。
- 禁止承诺与越权:不得向客户承诺“绝对安全”或做出不切实际的保证,不得代表客户进行任何超出授权范围的对外沟通或技术决策。
违规后果
依据CISP注册人员管理办法,违反上述服务行为准则,尤其是涉及关基系统的行为,将面临:
- 取消CISP证书资格(通报所在单位)。
- 列入行业黑名单(由中国信息安全测评中心或相关协会记录)。
- 法律追责:如造成关基系统数据泄露、业务中断或重大安全事件,可能承担《刑法》(如非法获取计算机信息系统数据罪)、《数据安全法》、《关基保护条例》中的法律责任。
建议
如果您是为关基单位提供服务的CISP-SP认证人员,建议定期:
- 重温《CISP注册人员行为准则》及所在机构的安全服务SOP(标准作业程序)。
- 签署详细的项目保密协议及风险告知书。
- 建立个人操作日志(即使公司不要求),以自证清白。
如果需要查阅官方最新版文件,建议直接搜索“中国信息安全测评中心 CISP 行为准则”或访问其官网。