本文目录导读:

关于关基安全(关键信息基础设施安全)领域的 CISP-GP(国家注册信息安全专业人员-治理专业人员) 认证,其所涉及的“治理行为准则”是考生和从业者必须严格遵循的核心伦理与职业规范。
虽然 CISP-GP 的理论教材和考试大纲由中国信息安全测评中心(CNITSEC)官方发布,其“行为准则”的具体条款可能会随政策更新而微调,但基本遵循《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》以及通用的信息安全治理框架(如ISO 38500、COBIT等)的精神。
以下是 CISP-GP 通常涵盖的 治理行为准则 核心内容,供你参考:
核心伦理原则
- 合法合规: 严格遵守国家关于关键信息基础设施保护、网络安全、数据安全、个人信息保护的法律法规(如《网络安全法》、《数据安全法》、《个人信息保护法》、关键信息基础设施安全保护条例等)。
- 诚实守信: 在工作中坚持客观、公正、真实的原则,不隐瞒、不虚报安全风险或事故。
- 专业胜任: 保持并提升自身在关键信息基础设施治理领域的专业知识和技能,只在自己能力范围内提供服务。
- 保护机密: 严格保护在工作中接触到的国家秘密、商业秘密、内部敏感信息以及用户隐私数据。
- 公共利益优先: 在治理决策中,优先考虑国家安全、社会公共利益和公共秩序,而非个人或局部利益。
具体行为准则(CISP-GP 方向)
针对“治理”这一高级角色,行为准则更侧重于战略决策、制度建设和监督问责:
战略对齐与决策责任
- 风险认知: 治理人员应确保关键信息基础设施的运营者能够充分认识到其所面临的国家级、行业级安全风险,并将安全纳入业务战略。
- 资源保障: 推动组织建立与风险等级相匹配的预算、人力和技术资源投入机制,确保安全治理不流于形式。
- 问责机制: 明确关键信息基础设施保护工作中各层级(决策层、管理层、执行层)的安全责任,建立清晰的问责与追责体系。
制度建设与监督
- 体系完整性: 依据国家要求,推动建立并持续优化安全管理体系、网络安全等级保护体系、数据安全管理体系等。
- 持续改进: 定期组织风险评估、应急演练和安全审计,并根据发现的问题推动治理措施的持续改进。
- 供应链安全: 在治理层面关注关键基础设施的供应链风险(如软硬件后门、供应商资质等),制定严格的供应链安全管理准则。
应急处置与报告
- 第一时间报告: 当发生或可能发生危害关键信息基础设施安全的事件时,治理人员应督促运营者按照《关键信息基础设施安全保护条例》的要求,在1小时内向保护工作部门报告。
- 不隐瞒不误导: 不得掩盖、低估或错误报告安全事件的性质和影响范围。
禁止性行为(CISP 通用准则)
- 杜绝利益冲突: 不得利用职务之便为个人或特定厂商谋取不正当利益(如强制推荐非必要的安全产品)。
- 禁止恶意行为: 不得利用专业知识破坏系统安全、窃取数据或发动网络攻击。
- 禁止虚假资质: 不得伪造、篡改或滥用CISP-GP等职业资格认证。
违反准则的后果
根据中国信息安全测评中心的规定,持有CISP-GP证书的人员若违反上述行为准则,可能面临以下处罚:
- 警告或暂停认证资格(视情节严重程度)。
- 撤销认证资格(严重违反法律法规或造成重大安全事故)。
- 列入行业黑名单并向社会公布。
- 构成违法犯罪的,移交司法机关处理。
特别提示(针对最新要求)
- 2023-2024年趋势: 随着《网络数据安全管理条例(草案)》及对AI、算法安全治理的关注加深,CISP-GP的准则越来越强调 “数据治理” 与 “供应链安全治理” 的合规性。
- 培训教材: 最准确、最详细的《CISP-GP治理行为准则》文本,请查阅你报名参加的官方授权培训机构发放的 《信息安全治理》 或 《CISP-GP考试大纲》 最新版本。
建议你在备考时,重点理解“为什么治理人员需要比技术人员承担更大的法律责任”,你的治理决策(如未通过风险评估就上线系统、未执行年度审计)直接决定了运营者的整体合规水平和安全底线。
如果需要获取2024-2025年最新版的行为准则细则文本,建议直接联系中国信息安全测评中心或其认证的培训机构(如中启航、天融信等)获取官方讲义。