ICS 35.080 CCS L 77 贵 DB52 州 省 地 方 标 准 DB52/T 1558—2021 大数据安全服务人员能力评价 Capability evaluation for big data security service personnel 2021 - 01 - 14 发布 贵州省市场监督管理局 2021 - 05 - 01 实施 发 布 DB52/T 1558—2021 目 次 前言 ................................................................................ II 引言 ............................................................................... III 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 服务岗位体系 ...................................................................... 1 5 能力 .............................................................................. 4 6 评价内容及要求 .................................................................... 6 7 评价方法 ......................................................................... 39 附录 A（规范性附录） 知识词典 ....................................................... 41 附录 B（规范性附录） 技能词典 ....................................................... 44 附录 C（规范性附录） 基础知识等级词典 ............................................... 47 附录 D（规范性附录） 专业知识等级词典 ............................................... 49 附录 E（规范性附录） 相关知识等级词典 ............................................... 54 附录 F（规范性附录） 基本技能等级词典 ............................................... 57 附录 G（规范性附录） 专业技能等级词典 ............................................... 59 附录 H（规范性附录） 软技能等级词典 ................................................. 64 参考文献 ............................................................................ 66 I DB52/T 1558—2021 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由贵州航天计量测试技术研究所提出。 本文件由贵州省大数据标准化技术委员会归口。 本文件起草单位：贵州航天计量测试技术研究所、四川国讯网络安全信息技术研究院、贵州省机械 电子产品质量监督检验院、贵州大学、贵州财经大学、贵州省保密技术检查中心、贵州航天云网科技有 限公司、贵州中软云上数据技术服务有限公司、大数据安全工程研究中心（贵州）有限公司。 本文件主要起草人：潘积文、陈永久、陈玉玲、杨义先、杨玉龙、郑少波、朱义杰、彭长根、 丁红发、胥执纯、张成、李明贵、禹忠、邓迪、姜龙、李帅、杨义、冯迪、文杰、刘荣飞、蒋合领、 李雪松。 2) II DB52/T 1558—2021 引 言 大数据安全服务产业发展存在专业人才缺乏的问题，如何在大数据安全服务产业发展过程中保障人 才的充足供应，成为制约大数据安全服务产业发展的关键问题之一。大数据安全服务人员能力评价是实 施大数据安全人才战略的关键，制定岗位等级评价标准既可以正确衡量人才的价值，也可以系统化规范 人才成长方式，规范大数据安全服务机构的安全从业人员管理，切实保障大数据安全服务行业人才能力 认定的公正性、公平性，使得人才技术能力得到充分发挥和释放，促进大数据安全服务行业的良性发展。 标准的建立可用于评估组织和监管部门对大数据安全服务提供方的服务人员能力进行评估，为大数 据安全服务提供方组织招聘、劳务派遣提供人员能力评价及对其自身从业人员的能力改善提供指导。大 数据安全服务教育培训机构、大数据安全服务需求方等相关组织可参考使用。按照建立的评价指标体系 和评价方式可对服务从业人员定级， 评价结果可作为从业人员能力培养、 职业发展活动的依据。 III DB52/T 1558—2021 大数据安全服务人员能力评价 1 范围 本文件规定了大数据安全服务人员能力评价的服务岗位体系、能力、评价内容及要求和评价方法。 本文件适用于大数据安全服务人员能力的评价。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修订单）适用于本 文件。 GB/T 25069 信息安全技术 术语 GB/T 30283 信息安全技术 信息安全服务 分类 GB/T 35295 信息技术 大数据 术语 GB/T 37973 信息安全技术 大数据安全管理指南 SJ/T 11623 信息技术服务 从业人员能力规范 3 术语和定义 GB/T 25069、GB/T 30283、GB/T 35295、GB/T 37973 界定的以及下列术语和定义适用于本文件。 3.1 大数据安全服务 big data security service 面向组织或个人的各类大数据安全保障需求，由服务提供方按照服务协议所执行的一个大数据安全 过程或任务。 3.2 人员能力评价 personnel capability evaluation 对人员的知识、经验和技能水平进行客观、公正、规范的评价活动。 4 4.1 服务岗位体系 服务岗位分类 服务岗位分类基于大数据安全服务行业的业务形态、大数据安全发展和应用规律的原则进行分类， 岗位分类划分见表 1。 1 DB52/T 1558—2021 表1 序号 岗位分类 岗位分类划分 岗位说明 面向组织的大数据安全服务，围绕组织大数据系统所支持的业务和管理，通过知识传递、 1 大数据 工作辅导和系统规划设计等形式提供大数据安全服务。通常有：大数据安全规划和设计、大 安全咨询设计 数据安全管理体系咨询、大数据安全风险评估、大数据安全分析、大数据安全应急管理咨询、 业务连续性管理咨询、大数据系统安全加固方案设计、其他大数据安全咨询服务。 针对大数据系统的安全需求，对组织的安全规划进行落实，制定总体安全策略、大数据安 全建设方案和实施方案，并按照方案的安全目标和安全功能，进行大数据安全产品开发，或 2 大数据 者是基于已有的大数据安全产品进行二次开发，包含大数据采集、大数据传输、大数据存储、 安全开发实施 大数据处理、大数据交换和销毁领域的应用开发实施过程。对已采购、租用或开发的大数据 安全产品进行安装配置、功能调试和性能测试，开展大数据安全系统集成等开发实施过程。 通过人力派遣、设施租用、流程外包等形式确保大数据安全产品有效的为顾客提供服务。 针对大数据系统及其产品的安全属性，采取动态的手段进行问题发现、符合性和有效性验 证。根据大数据系统需求方案和整体解决方案，编制系统测试计划，确定测试方法和测试流 程，完成系统分阶段测试和整体调试，跟踪、分析发现的问题，评估解决方案的合理性。一 般包括大数据系统测试和渗透性测试等。大数据系统测试是指将已经确认的大数据系统组成 3 大数据 元素结合在一起，进行各种组装测试和确认测试，发现所开发的系统与安全需求不符合或矛 安全测试 盾的地方，从而提出安全修改方案。渗透性测试是指大数据安全服务提供者的专业人员模拟 攻击行为，对目标系统实施渗透，意图找到“非法”进入目标系统并取得相关权限的途径， 从而测试分析系统安全控制措施的有效性。以及对大数据系统的各种系统运行事件、威胁事 件、安全事件等进行分析，真实展现当前系统的安全态势和运行状态，对系统威胁进行预警， 对不同级别的威胁事件制定相应级别的应急及处置预案。 在大数据系统的整个生命周期中，通过对大数据系统的风险分析，制定并执行相应的安全 保障策略，开展技术设施安全加固、安全漏洞补丁通告、安全事件响应，从技术、管理、工 程和人员等方面提出安全保障要求，协助组织的大数据系统管理人员进行信息系统的安全运 4 大数据 维工作，确保系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系 安全运维 统实现组织机构的使命。通过实施运维管理，保障投入运行的大数据安全类的设备、基础设 施、系统平台和应用系统能持续地正常运行，并及时响应和处理各种突发情况，有效支撑大 数据安全体系的贯彻实施。在此过程中，还应对大数据安全系统中各运维对象的运行状态进 行分析、预测并采取措施，以优化运行的性能或容量，并减少运行风险。 主要是指大数据安全工程监理，即具有相应资质的监理单位受大数据安全工程建设单位的 5 大数据 安全监理 委托，依据国家批准的大数据工程建设文件、有关工程建设的法律法规和工程建设