ICS35.030 CCS L80 GB 中华人民共和国国家标准 GB/T42446—2023 信息安全技术 网络安全从业人员能力 基本要求 Information security technology-Basic requirements for competence of cybersecurity workforce 2023-03-17发布 2023-10-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42446—2023 目 次 前言 1 范围 2 规范性引用文件 3 术语和定义 4 通则 4.1 组成要素及其关系 4.2 工作类别和工作角色 4.3 工作任务 5 通用知识和技能要求 5.1 通用知识要求 5.2 通用技能要求 6 专业知识和技能要求 6.1 网络安全管理类人员 6.2 网络安全建设类人员 6.3 网络安全运营类人员 6.4 网络安全审计和评估类人员 6.5 网络安全科研教育类人员 附录A（规范性） 网络安全知识体系 附录B（规范性） 网络安全技能体系 12 附录C（资料性） 完成工作任务所需的知识和技能 附录D（资料性） 工作角色分类示例…. 附录E（资料性） 工作类别、工作角色与国家职业相关映射关系 18 参考文献 19 GB/T42446—2023 前言 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：中国电子技术标准化研究院、中国信息安全测评中心、中国网络安全审查技术与 认证中心、北京时代新威信息技术有限公司、国家计算机网络应急技术处理协调中心、三六零安全科技 股份有限公司、中电长城网际系统应用有限公司、深信服科技股份有限公司、北京交通大学、北京邮电大 学、西安电子科技大学、北京航空航天大学、上海交通大学、西安邮电大学、中国移动通信集团有限公司、 国家工业信息安全发展研究中心、国家计算机网络应急技术处理协调中心北京分中心、中国交通通信信 息中心、中国科学院信息工程研究所、公安部第三研究所、华为技术有限公司、蚂蚁科技集团股份有限公 司、北京天融信网络安全技术有限公司、西安交大捷普网络科技有限公司、长扬科技（北京）股份有限公 同、广东省信息安全测评中心、国网新疆电力有限公司电力科学研究院、上海观安信息技术股份有限公 司、沈阳东软系统集成工程有限公司、北京神州绿盟科技集团股份有限公司、北京安信天行科技有限公 司、粤港澳大湾区精准医学研究院、深圳开源互联网安全技术有限公司。 本文件主要起草人：王惠莅、上官晓丽、王秉政、王新杰、张晓菲、尤其、陈世俊、王庆、何宛罄、 潘文博、王星、闵京华、张彬哲、张记卫、付夏冰、刘吉强、王伟、李超、陆天波、马文平、刘建伟、伍前红、 刘玉岭、马晓欢、何建峰、汪义舟、崔顺艳、李艳杰、邹振婉、路娜、梁世伟、安亚鹏、唐川、宋荆汉、何晓霞。 GB/T42446—2023 信息安全技术 网络安全从业人员能力 基本要求 1范围 本文件适用于各类组织对网络安全从业人员的使用、培养、评价、管理等。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T25069—2022 信息安全技术 术语 3 术语和定义 GB/T25069一2022界定的以及下列术语和定义适用于本文件 3.1 网络安全从业人员 cybersecurityworkforce 从事网络安全工作，承担相应网络安全职责，并具有相应网络安全知识和技能的人员。 3.2 知识 knowledge 通过经验或教育获取的事实、信息、真理、原理或者领悟。 ［来源：GB/T27203—20162.56] 3.3 技能 skill 通过教育、培训、经验或其他方式完成任务的一种才能。 3.4 能力 competence 综合运用知识和技能达到预期目的的本领。 ［来源：ISO/IEC28000：2022.3.10] 4通则 4.1 组成要素及其关系 网络安全从业人员完成工作任务需要具备相应的能力。工作任务是指为了实现组织的相关目 标，需要执行的与网络安全有关的一个或一组工作活动和/或工作内容。工作类别是指将相似的一组网 1 GB/T42446—2023 络安全工作任务，或某一阶段需要完成的工作任务归类在一起，得到的不同的网络安全工作种类。工作 角色是指执行一项或多项网络安全工作任务的行为和责任。工作类别中的工作任务需要由承担不同工 作角色的网络安全从业人员来完成，从业人员应具有完成工作任务所需要的知识和技能。知识体系应 按照附录A构建，技能体系应按照附录B构建，完成工作任务所需具备的知识和技能见附录C。从业 人员、工作任务、工作类别、工作角色、知识和技能之间关系如图1所示。 工作任务 完成 归类 工作类别 归属 从业人员 划分 承担 工作角色 具有 需要 知识和技能 图1 从业人员、工作任务、工作类别、工作角色、知识和技能关系图 4.2 工作类别和工作角色 工作类别分为5类，包括网络安全管理、网络安全建设、网络安全运营、网络安全审计和评估以及网 络安全科研教育，工作类别及工作任务见表1。 表1 工作类别及工作任务 序号 工作类别 承担的工作任务 网络安全需求分析 网络安全规划和管理 网络数据安全保护 网络安全管理 个人信息保护 密码技术应用 网络安全咨询 网络安全需求分析 网络安全架构设计 网络安全开发 供应链安全管理 2 网络安全建设 网络安全集成实施 网络数据安全保护 个人信息保护 密码技术应用 2 GB/T42446—2023 表1 工作类别及工作任务（续） 序号 工作类别 承担的工作任务 网络安全运维 网络安全监测和分析 网络安全应急管理 网络安全运营 网络数据安全保护 个人信息保护 密码技术应用 网络安全审计 网络安全测试 网络安全审计和评估 网络安全评估 网络安全认证 电子数据取证 网络安全研究 5 网络安全科研教育 网络安全培训和评价 从业人员应具备完成其所承担工作角色所赋予的工作任务所需的知识和技能。当一种工作类别中 的全部工作任务由一个工作角色承担时，被赋予这个工作角色的从业人员应满足完成该工作类别全部 工作任务所具备的知识和技能要求。当一种工作类别的工作任务由多个工作角色承担时，根据所承担 的工作任务情况，被赋予工作角色的从业人员应具备完成相应工作任务所需的知识和技能。 注1：工作岗位是组织根据自身实际情况对工作角色的落实，一个工作岗位可落实一个或多个工作角色，一个工作 角色可被一个或多个岗位落实，落实相同工作角色的工作岗位在不同组织中的岗位名称可能不同，组织按其 设置的工作岗位分配从业人员的工作。 注2：本文件不对掌握知识和技能的程度提出要求，组织可根据实际业务情况规定。 第5章给出了网络安全从业人员完成工作任务应具备的通用知识和通用技能要求，所有类别的从 业人员都应具备。第6章给出了承担相应工作类别的从业人员应具备的基本专业知识和技能要求，当 从业人员只承担工作类别中的部分工作任务时，从业人员应具备该工作类别中相对应的知识和技能，不 必具备所有的知识和技能。因不同组织对工作角色的划分存在不同，附录D给出了一种典型工作角色 分类示例。附录E给出了工作类别、工作角色与国家网络安全职业设置的映射关系。 4.3 工作任务 网络安全主要工作任务及任务描述见表2。 表2 网络安全主要工作任务及任务描述 序号 工作任务 工作任务描述 指导、制定、监督和执行网络安全战略规划、策略制度和体制机制。综合协调 1 网络安全规划和管理 相关人员，采取各类网络安全控制措施，降低并缓解系统安全风险 针对网络数据收集、存储、使用、加工、传输、提供、公开等环节，采取措施保障 2 网络数据安全保护 网络数据安全 针对个人信息收集、存储、使用、加工、传输、提供、公开、删除等环节，采取措 3 个人信息保护 施保障个人信息安全 3 GB/T42446—2023 表 2 网络安全主要工作任务及任务描述（续） 序号 工作任务 工作任务描述 运用密码技术，进行信息系统安全密码保障的架构设计、系统集成、检测评 4 密码技术应用 估、运维管理、密码咨询等 依据法律法规、政策标准及业务流程要求，开展符合性需求分析、业务所依赖 网络安全需求分析 的信息通信技术（ICT)持续运行需求分析、数据安全需求分析等，定期或在遇 到重大网络安全事件时对组织网络安全需求进行复审 依据网络安全需求分析、ICT基础设施现状、组织环境和业务特点等，从物理 6 网络安全架构设计 环境、通信网络、计算环境、区域边界等方面进行网络安全架构设计，形成网 络安全架构实施方案 7 网络安全开发 实现软件、硬件安全架构及功能开发，并对其进行测试、更新和维护 运用供应链安全管理的方法、工具和技术，控制供应链安全风险，管理供应商 供应链安全管理 及网络安全和信息化相关产品和服务的采购 网络安全项目管理，信息系统安全集成过程中软硬件设备与系统的安装、调 9 网络安全集成实施 试、测试、配置、故障处理和工程实施，以及配合验收交付 利用网络安全技术/工具，根据网络安全相关标准和制度流程，操作、运行、维 10 网络安全运维 护和管理信息系统 利用相关技术、工具和情报信息等对目标系统进行安全监测、分析和预警，并 11 网络安全监测和分析 提出应对威胁的措施和改进建议 组织编制网络安全事件应急预案，实施网络安全应急演练，在应对突发/重大 1