數(shù)據(jù)安全工程技術人員國家職業(yè)標準

PAGEPAGE10PAGEPAGE1數(shù)據(jù)安全工程技術人員國家職業(yè)標準職業(yè)概況職業(yè)名稱數(shù)據(jù)安全工程技術人員職業(yè)編碼2-02-38-12職業(yè)定義從事數(shù)據(jù)安全需求分析挖掘、技術方案設計、項目實施、運營管理等工作的工程技術人員。專業(yè)技術等級本職業(yè)數(shù)據(jù)安全工程技術人員共設三個等級，分別為：初級、中級、高級。職業(yè)環(huán)境條件室內(nèi)，常溫。職業(yè)能力特征具有較強的學習能力、計算能力、表達能力及分析、推理和判斷能力。普通受教育程度大學專科畢業(yè)（或高等職業(yè)學校畢業(yè)）。職業(yè)培訓要求培訓時間數(shù)據(jù)安全工程技術人員需要按照本《標準》的職業(yè)要求參加有關課程培訓，完成規(guī)定學時，取得學時證明。初級128標準學時，中級148標準學時，高級168標準學時。職業(yè)編碼：2-02-38-12職業(yè)編碼：2-02-38-12培訓教師承擔初級、中級理論知識或?qū)I(yè)能力培訓任務的人員，應具有相關職業(yè)中級及以上專業(yè)技術等級或相關專業(yè)中級及以上職稱。承擔高級理論知識或?qū)I(yè)能力培訓任務的人員，應具有相關職業(yè)高級專業(yè)技術等級或相關專業(yè)高級職稱。培訓場所設備理論知識培訓在標準教室或線上平臺進行；專業(yè)能力培訓在具有相應軟、硬件條件（包括模擬環(huán)境）的培訓場所進行。專業(yè)技術考核要求申報考核條件——取得初級培訓學時證明，并具備以下條件之一者，可申報初級專業(yè)技術等級：取得技術員職稱；具備相關專業(yè)大學本科及以上學歷（含在讀的應屆畢業(yè)生）；1年；技工院校畢業(yè)生按國家有關規(guī)定申報。——取得中級培訓學時證明，并具備以下條件之一者，可申報中級專業(yè)技術等級：2年；3年；具備碩士學位或第二學士學位，取得初級專業(yè)技術等級后，從事本職業(yè)技術工作滿年；具備相關專業(yè)博士學位；技工院校畢業(yè)生按國家有關規(guī)定申報?！〉酶呒壟嘤枌W時證明，并具備以下條件之一者，可申報高級專業(yè)技術等級：3年；4年；1年；PAGEPAGE4PAGEPAGE11技工院校畢業(yè)生按國家有關規(guī)定申報。考核方式分為理論知識考試以及專業(yè)能力考核。理論知識考試、專業(yè)能力考核均實行百分制，成績皆達60分（含）以上者為合格，考核合格者獲得相應專業(yè)技術等級證書。理論知識考試以閉卷筆試、機考等方式為主，主要考核從業(yè)人員從事本職業(yè)應掌握的基本要求和相關知識要求；專業(yè)能力考核以開卷實操考試、上機實踐、模擬環(huán)境測試（需有專業(yè)人員現(xiàn)場測評記錄）等方式為主，主要考核從業(yè)人員從事本職業(yè)應具備的技術水平。監(jiān)考人員、考評人員與考生配比理論知識考試中的監(jiān)考人員與考生配比不低于1:15，且每個考場不少于2名監(jiān)考人員；專業(yè)能力考核中的考評人員與考生配比不低于1:5，且考評人員為3人（含）以上單數(shù)?？己藭r間理論知識考試時間不少于90分鐘，專業(yè)能力考核時間不少于150分鐘?？己藞鏊O備理論知識考試在標準教室進行；專業(yè)能力考核在具有相應軟、硬件條件（包括模擬環(huán)境）的考核場所進行?；疽舐殬I(yè)道德職業(yè)道德基本知識職業(yè)守則遵紀守法，愛崗敬業(yè)。勤奮進取，忠于職守。認真負責，團結協(xié)作。愛護設備，安全操作。誠實守信，講求信譽。勇于創(chuàng)新，精益求精?；A知識計算機與網(wǎng)絡相關基礎知識計算機硬件基礎知識。計算機軟件基礎知識。操作系統(tǒng)基礎知識。數(shù)據(jù)庫基礎知識。密碼學基礎知識。網(wǎng)絡基礎知識。組網(wǎng)設備基礎知識。技術基礎知識軟件應用開發(fā)知識。接口開發(fā)與功能模塊設計知識。數(shù)據(jù)采集與數(shù)據(jù)預處理知識。數(shù)據(jù)計算與數(shù)據(jù)存儲知識。常用數(shù)據(jù)分析與挖掘知識。常用數(shù)據(jù)報表與可視化技術知識。數(shù)據(jù)管理知識。網(wǎng)絡協(xié)議相關知識。數(shù)據(jù)運營及技術指導知識。網(wǎng)絡配置、故障排查常用命令和工具。安全知識數(shù)據(jù)分類分級知識。數(shù)據(jù)采集安全管理知識。數(shù)據(jù)質(zhì)量管理知識。數(shù)據(jù)安全相關知識。網(wǎng)絡安全相關知識。其他知識環(huán)境保護知識。文明生產(chǎn)知識。勞動保護知識。資料保管與保密知識。相關法律、法規(guī)、標準知識《中華人民共和國勞動法》的相關知識?！吨腥A人民共和國民法典》的相關知識?！吨腥A人民共和國網(wǎng)絡安全法》的相關知識?！吨腥A人民共和國數(shù)據(jù)安全法》的相關知識?！吨腥A人民共和國個人信息保護法》的相關知識?！吨腥A人民共和國密碼法》的相關知識?！蛾P鍵信息基礎設施安全保護條例》的相關知識。其他數(shù)據(jù)安全相關法律法規(guī)、管理規(guī)定、標準的相關知識。工作要求本標準對初級、中級、高級的專業(yè)能力要求和相關知識要求依次遞進，高級別涵蓋低級別的要求。初級職業(yè)功能工作內(nèi)容專業(yè)能力要求相關知識要求1.數(shù)據(jù)安全管理1.1數(shù)據(jù)資產(chǎn)識別能判斷數(shù)據(jù)資產(chǎn)與業(yè)務之間的關系能按照數(shù)據(jù)資產(chǎn)管理要求進行數(shù)據(jù)資產(chǎn)識別能編制數(shù)據(jù)資產(chǎn)清單數(shù)據(jù)資產(chǎn)和數(shù)據(jù)業(yè)務基礎知識數(shù)據(jù)資產(chǎn)識別工具與技術數(shù)據(jù)資產(chǎn)管理知識1.2數(shù)據(jù)分類分級能根據(jù)制度或操作規(guī)程進行數(shù)據(jù)分類能依據(jù)操作流程規(guī)范或使用工具完成數(shù)據(jù)分級任務數(shù)據(jù)分類分級知識數(shù)據(jù)分類分級相關標準1.3數(shù)據(jù)工作能依法依規(guī)進行數(shù)據(jù)采集管理能依法依規(guī)進行數(shù)據(jù)傳輸管理能依法依規(guī)進行數(shù)據(jù)存儲管理能依法依規(guī)進行數(shù)據(jù)使用管理能依法依規(guī)進行數(shù)據(jù)銷毀管理數(shù)據(jù)處理的合法、正當、必要原則和要求密碼技術知識數(shù)據(jù)匯聚、分析的風險與管理要求數(shù)據(jù)脫敏與匿名化知識2.數(shù)據(jù)安全工程規(guī)劃設計和實施建設2.1數(shù)據(jù)設計能按照要求設計數(shù)據(jù)區(qū)域邊界防護解決方案能基于已有數(shù)據(jù)安全基礎方案調(diào)整輸出不同業(yè)務的具體實施解決方案安全區(qū)域邊界知識數(shù)據(jù)安全行業(yè)應用知識2.2數(shù)據(jù)設計能根據(jù)業(yè)務場景，設計數(shù)據(jù)收集安全技術方案能根據(jù)訪問控制策略和用戶角色權限，制定數(shù)據(jù)安全的訪問控制解決方案能根據(jù)數(shù)據(jù)存儲方式制定數(shù)據(jù)載體防護策略，設計數(shù)據(jù)載體安全管理與銷毀解決方案訪問控制知識數(shù)據(jù)銷毀知識數(shù)據(jù)載體安全管理知識2.3數(shù)據(jù)建設實施能夠理解并按照數(shù)據(jù)安全基礎保障、處理活動、網(wǎng)絡通信、防護體系等方案有序開展數(shù)據(jù)安全工程建設實施工作能夠熟知數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除全過程中安全建設技術工具參數(shù)標準，按照國家法律法規(guī)要求和業(yè)務場景制度流程要求實施數(shù)據(jù)收集、存數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除全過程中安全建設技術工具知識數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除全過程中安全建設制度流程及實施操作知識儲、使用、加工、傳輸、提供、公開、刪除全過程中的安全建設3.數(shù)據(jù)安全技術開發(fā)與運維3.1開發(fā)能基于數(shù)據(jù)安全架構方案完成數(shù)據(jù)處理活動各環(huán)節(jié)安全防護相關系統(tǒng)、模塊、工具的基礎開發(fā)工作能根據(jù)數(shù)據(jù)安全防護技術需求適配聯(lián)調(diào)數(shù)據(jù)安全技術防護產(chǎn)品能使用開源產(chǎn)品或庫開發(fā)實現(xiàn)身份認證、訪問控制等基礎安全防護功能軟件系統(tǒng)開發(fā)體系知識網(wǎng)絡安全、數(shù)據(jù)庫安全、主機安全防護知識數(shù)據(jù)處理活動各環(huán)節(jié)安全防護知識3.2測試能根據(jù)測試方案進行數(shù)據(jù)處理活動各環(huán)節(jié)風險測試能根據(jù)測試方案對數(shù)據(jù)安全措施的有效性進行測試能基于各項測試結果撰寫數(shù)據(jù)安全系統(tǒng)、組件和工具測試報告數(shù)據(jù)安全軟件測試知識數(shù)據(jù)安全風險測試方法應用和工具使用知識數(shù)據(jù)安全措施測試方法應用和工具使用知識3.3實施能根據(jù)數(shù)據(jù)安全技術實施方案安裝各類數(shù)據(jù)安全技術防護系統(tǒng)、組件和工具能完成常用中間件的搭建及使用，編制數(shù)據(jù)安全技術防護類交付文檔能根據(jù)數(shù)據(jù)安全技術實施方案使用數(shù)據(jù)庫審計，利用脫敏、數(shù)據(jù)防泄露、水印、密碼學、隱私保護等技術工具實施數(shù)據(jù)安全基礎防護計算機操作系統(tǒng)、網(wǎng)絡、磁盤管理等知識數(shù)據(jù)庫審計、脫敏技術、數(shù)據(jù)防泄露技術、水印技術、密碼學技術、隱私保護技術等數(shù)據(jù)安全防護技術工具使用知識數(shù)據(jù)安全產(chǎn)品組網(wǎng)部署方法3.4運維能對服務器、網(wǎng)絡安全設備和網(wǎng)絡信息系統(tǒng)等數(shù)據(jù)安全基礎設施進行日常安全維護、安全巡檢能排查分析常見的數(shù)據(jù)安全產(chǎn)品故障能按照部署手冊完成系統(tǒng)升級互聯(lián)網(wǎng)數(shù)據(jù)中心相關知識數(shù)據(jù)安全產(chǎn)品或設備的安裝、配置知識數(shù)據(jù)安全產(chǎn)品或設備的故障分析方法日常數(shù)據(jù)安全運維工作流程和方法4.數(shù)據(jù)安全監(jiān)測與應急處置4.1數(shù)據(jù)與分析能使用工具發(fā)現(xiàn)和檢測數(shù)據(jù)安全相關的漏洞能根據(jù)安全加固方案對漏洞進行安全加固和修復能根據(jù)漏洞掃描結果形成數(shù)據(jù)安全漏洞掃描報告漏洞管理知識漏洞掃描工具使用方法4.2數(shù)據(jù)監(jiān)測能使用工具監(jiān)測數(shù)據(jù)訪問活動，發(fā)現(xiàn)異常數(shù)據(jù)訪問行為能初步確定數(shù)據(jù)安全事件異常類別能使用工具審計數(shù)據(jù)異常行為或狀態(tài)能撰寫數(shù)據(jù)安全異常監(jiān)測日志常見數(shù)據(jù)安全異常行為網(wǎng)絡攻擊流程及滲透攻擊知識入侵檢測技術原理數(shù)據(jù)異常行為或狀態(tài)審計方法和工具數(shù)據(jù)安全異常監(jiān)測日志編寫方法4.3數(shù)據(jù)置能使用工具發(fā)現(xiàn)安全事件能根據(jù)數(shù)據(jù)安全應急響應預案，按照流程開展數(shù)據(jù)安全應急演練能根據(jù)容災計劃，定期備份和遷移關鍵數(shù)據(jù)能使用工具進行數(shù)據(jù)備份數(shù)據(jù)安全事件檢測工具使用方法數(shù)據(jù)安全事件應急演練知識數(shù)據(jù)容災備份知識數(shù)據(jù)備份、遷移與恢復知識5.數(shù)據(jù)安全評估5.1數(shù)據(jù)性評估5.1.1能依據(jù)數(shù)據(jù)安全合規(guī)評估規(guī)范確定評估范圍5.1.2.能采用問卷調(diào)查、訪談、資料查閱等方式，對受評估方的人員情況、業(yè)務系統(tǒng)等基本信息進行調(diào)研能識別、分析各業(yè)務系統(tǒng)的主要數(shù)據(jù)處理行為能識別、分析第三方應用接口的個人信息和重要數(shù)據(jù)采集行為能使用工具評估檢測數(shù)據(jù)處理行為是否合規(guī)問卷設計和信息檢索知識業(yè)務系統(tǒng)數(shù)據(jù)處理分析方法接口數(shù)據(jù)采集行為分析方法個人信息和重要數(shù)據(jù)特征提取與識別方法數(shù)據(jù)安全合規(guī)評估相關技術工具使用方法5.2數(shù)據(jù)評估能識別并梳理數(shù)據(jù)資產(chǎn)，對資產(chǎn)價值進行定性分析能使用評估工具識別數(shù)據(jù)處理系統(tǒng)的漏洞能根據(jù)風險分析模型，定性地評定數(shù)據(jù)安全風險程度網(wǎng)絡和數(shù)據(jù)安全常見的風險和威脅類型數(shù)據(jù)安全風險評估方法數(shù)據(jù)系統(tǒng)安全評估工具使用方法5.3數(shù)據(jù)評估能界定數(shù)據(jù)出境的數(shù)量、范圍、種類能確定數(shù)據(jù)跨境和境外接收方處理數(shù)據(jù)的目的、范圍、方式數(shù)據(jù)傳輸方法及原理組織內(nèi)部和外部數(shù)據(jù)收集流程和方法工具數(shù)據(jù)安全出境評估的基本要求中級職業(yè)功能工作內(nèi)容專業(yè)能力要求相關知識要求1全管理1.1數(shù)據(jù)資產(chǎn)識別能對數(shù)據(jù)資產(chǎn)使用部門、角色進行梳理能對數(shù)據(jù)資產(chǎn)存儲策略進行梳理能對數(shù)據(jù)資產(chǎn)使用狀況、安全責任人等進行梳理能使用自動化工具識別數(shù)據(jù)資產(chǎn)屬性數(shù)據(jù)資產(chǎn)存儲策略數(shù)據(jù)屬性識別自動化工具1.2數(shù)據(jù)分類分級能根據(jù)數(shù)據(jù)所涉及范圍設計數(shù)據(jù)分類、分級標準能基于數(shù)據(jù)資產(chǎn)清單進行數(shù)據(jù)分類、分級體系設計能制定數(shù)據(jù)分類、分級流程規(guī)范數(shù)據(jù)資產(chǎn)分類分級方法數(shù)據(jù)分類分級自動化軟件工具1.3數(shù)據(jù)安全需求分析能分析明確數(shù)據(jù)處理活動各環(huán)節(jié)安全需求能從數(shù)據(jù)安全威脅角度開展數(shù)據(jù)安全需求分析能從數(shù)據(jù)安全風險角度開展數(shù)據(jù)安全需求分析數(shù)據(jù)處理活動各環(huán)節(jié)安全知識數(shù)據(jù)安全威脅建模知識數(shù)據(jù)安全框架模型知識1.4數(shù)據(jù)治理組織工作能依據(jù)政策法規(guī)和標準要求，組織數(shù)據(jù)采集管理能依據(jù)政策法規(guī)和標準要求，組織數(shù)據(jù)傳輸管理能依據(jù)政策法規(guī)和標準要求，組織數(shù)據(jù)存儲管理能依據(jù)政策法規(guī)和標準要求，組織數(shù)據(jù)使用管理能依據(jù)政策法規(guī)和標準要求，組織數(shù)據(jù)銷毀管理數(shù)據(jù)處理合法、正當、必要原則和具體要求數(shù)據(jù)對外提供要求數(shù)據(jù)安全管理知識2建設實施2.1數(shù)據(jù)安全保障方案設計能針對數(shù)據(jù)源和目標平臺設計數(shù)據(jù)傳輸可行身份認證方案能根據(jù)數(shù)據(jù)分類分級和業(yè)務場景進行數(shù)據(jù)加密傳輸方案的設計能根據(jù)數(shù)據(jù)源和數(shù)據(jù)特點，設計數(shù)據(jù)完整性校驗和防篡改方案能根據(jù)安全需求設計數(shù)據(jù)通信網(wǎng)絡安全驗證方案能梳理數(shù)據(jù)傳輸接口，設計傳輸接口管控與審計方案網(wǎng)絡協(xié)議知識數(shù)據(jù)通信安全知識傳輸通信加密知識網(wǎng)絡安全驗證知識接口調(diào)用日志知識監(jiān)控審計知識2.2數(shù)據(jù)安全處理活動方案設計能根據(jù)業(yè)務場景設計數(shù)據(jù)收集安全技術方案能根據(jù)業(yè)務需求設計數(shù)據(jù)提供和公開安全技術方案能根據(jù)數(shù)據(jù)分類分級設計數(shù)據(jù)銷毀安全技術方案能根據(jù)數(shù)據(jù)分類分級制定數(shù)據(jù)加密策略，設計數(shù)據(jù)安全存儲解決方案能根據(jù)訪問控制策略和用戶角色權限，制定數(shù)據(jù)安全的訪問控制解決方案能根據(jù)數(shù)據(jù)特點和業(yè)務需求，設計數(shù)據(jù)防泄漏方案數(shù)據(jù)收集策略知識數(shù)據(jù)加密技術知識數(shù)據(jù)簽名技術知識水印、密鑰技術知識數(shù)據(jù)丟失防護技術知識術知識2.3數(shù)據(jù)安全專職人員管理方案設計能進行數(shù)據(jù)安全專職人員錄用、離崗方案的設計能進行外部人員訪問方案的設計能對數(shù)據(jù)安全專職人員的行為進行安全審計人員審計知識數(shù)據(jù)安全風險管理知識知識2.4數(shù)據(jù)安全工程建設實施合業(yè)務場景制定數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除全過程中的安全建設實施制度流程使用、加工、傳輸、提供、公開、刪除全過程中的安全建設技術工具，并能夠根據(jù)業(yè)務場景優(yōu)化技術工具參數(shù)、研發(fā)技術工具能夠理解并按照數(shù)據(jù)安全基礎保障、處理活動、網(wǎng)絡通信、防護體系等方案，有序開展數(shù)據(jù)安全工程建設實施工作，并開展相應的人員及技術管理數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除全過程中安全建設實施相關法律法規(guī)及行業(yè)特點知識數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除全過程中安全技術工具研發(fā)知識數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除全過程中安全建設技術工具知識3.數(shù)據(jù)安全技術開發(fā)與運維3.1開發(fā)能根據(jù)數(shù)據(jù)安全管理方案開發(fā)相應的組織架構體系及外部調(diào)用接口能根據(jù)數(shù)據(jù)安全技術防護建設方案開發(fā)相應的技術工具能根據(jù)開發(fā)需求和功能要求選擇對應的密碼技術以及開發(fā)基礎密碼庫的功能接口能調(diào)試并修復常見基礎編程和網(wǎng)絡應用開發(fā)漏洞能根據(jù)數(shù)據(jù)安全防護方案開發(fā)身份認證、訪問控制等功能接口軟件工程體系知識接口知識及主流數(shù)據(jù)安全開發(fā)框架等知識編程漏洞修復方法密碼函數(shù)庫使用方法自動化執(zhí)行腳本開發(fā)知識3.2測試能設計數(shù)據(jù)安全軟件開發(fā)和測試工作流程，并使用測試管理工具進行管理能配置實施風險規(guī)避措施方法安全防御機制繞過方法測試數(shù)據(jù)保護措施有效能進行特定業(yè)務的邏輯漏洞測試能使用工具進行數(shù)據(jù)安全系統(tǒng)漏洞挖掘和代碼審計，并給出通用性安全漏洞的修復建議能使用工具對系統(tǒng)的數(shù)據(jù)安全防護措施進行白盒或灰盒測試能編制數(shù)據(jù)安全測試報告性的策略、方法、原理3.3實施能面向復雜場景編制實施方案和部署手冊能制定數(shù)據(jù)庫審計、脫敏、數(shù)據(jù)防泄露、水印、隱私保護的安全策略能根據(jù)數(shù)據(jù)安全技術實施方案部署運行數(shù)據(jù)安全保護、檢測、分析、溯源、評估、審計等數(shù)據(jù)安全工具能部署實施數(shù)據(jù)安全管控策略化、數(shù)據(jù)安全保護工具等知識。漏、水印、隱私保護、加密工具的工作原理3.4運維能對數(shù)據(jù)安全系統(tǒng)或應用進行部署、聯(lián)網(wǎng)配置和調(diào)試能根據(jù)數(shù)據(jù)安全合規(guī)性檢查結果進行建設整改能針對數(shù)據(jù)安全風險、威脅開展數(shù)據(jù)安全運維工作能持續(xù)改進數(shù)據(jù)安全運維流程調(diào)試和故障分析知識脫敏、備份和防泄漏等數(shù)據(jù)安全技術方面的應用知識數(shù)據(jù)安全產(chǎn)品的原理和使用方法4.數(shù)據(jù)安全監(jiān)測與應急處置4.1數(shù)據(jù)安全檢測與分析能開發(fā)漏洞檢測工具能根據(jù)漏洞測試結果分析數(shù)據(jù)安全潛在風險能對數(shù)據(jù)安全漏洞進行分析、驗證，確定安全漏洞的類別和等級能使用威脅情報系統(tǒng)、工具，收集、發(fā)現(xiàn)威脅情報并進行歸類分析方法漏洞檢測工具開發(fā)方法分析方法4.2數(shù)據(jù)安全異常監(jiān)測能審計異常數(shù)據(jù)訪問活動,并研判、執(zhí)行對應管控措施能根據(jù)系統(tǒng)日志等分析數(shù)據(jù)泄露、數(shù)據(jù)越權操作等異常行為能判斷數(shù)據(jù)安全異常事件的類別與級別異常數(shù)據(jù)訪問活動審計與管控方法訪問控制技術原理分級知識4.3數(shù)據(jù)安全應急響應與處置能對數(shù)據(jù)安全事件進行應急分析能制定有效控制數(shù)據(jù)安全事件影響擴大的措施能制定消除數(shù)據(jù)安全事件影響的措施能根據(jù)業(yè)務需求選擇數(shù)據(jù)恢復策略進行數(shù)據(jù)恢復數(shù)據(jù)安全應急響應知識知識和方法數(shù)據(jù)恢復管理與策略知識5.數(shù)據(jù)安全評估5.1數(shù)據(jù)安全合規(guī)性評估5.1.1能收集和分析數(shù)據(jù)安全合規(guī)需求，建立數(shù)據(jù)安全合規(guī)資料庫和合規(guī)清5.1.1數(shù)據(jù)安全合規(guī)需求分析方法單能設計數(shù)據(jù)安全合規(guī)檢查的技術流程能優(yōu)化完善個人信息保護合規(guī)檢查腳本、策略，開發(fā)個人信息保護合規(guī)檢查工具能優(yōu)化完善重要數(shù)據(jù)合規(guī)檢查腳本、策略，開發(fā)重要數(shù)據(jù)合規(guī)檢查工具能分析企業(yè)數(shù)據(jù)安全管理現(xiàn)狀，識別數(shù)據(jù)安全合規(guī)問題及改進項，給出數(shù)據(jù)安全合規(guī)建議數(shù)據(jù)安全合規(guī)檢查技術流程設計方法合規(guī)檢查腳本、工具開發(fā)方法5.2數(shù)據(jù)安全風險評估能收集和分析數(shù)據(jù)安全風險評估需求，組織實施評估活動能開發(fā)數(shù)據(jù)安全風險自動化分析工具能夠識別數(shù)據(jù)在不同處理環(huán)節(jié)、不同業(yè)務場景面臨的安全風險能根據(jù)風險分析模型綜合評定數(shù)據(jù)安全風險程度能基于風險分析結果，提出數(shù)據(jù)安全風險應對措施分析方法開發(fā)方法知識分析方法數(shù)據(jù)安全風險控制方法和措施5.3數(shù)據(jù)要素流通、交易及出境安全評估能確定境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當性、必要性能識別數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風險能評估與境外接收方擬訂立的數(shù)據(jù)出境相關合同或者其他具有法律效力的文件等，是否滿足數(shù)據(jù)安全保護要求能明確數(shù)據(jù)境外存儲的起止時間及到期后的處理方式，利用技術手段對其處理方式進行驗證能評估境外接收方履行責任義務的管理和技術措施、能力能通過技術手段分析數(shù)據(jù)跨境通信鏈路涉及的國家和地區(qū)，研判是否存在由于數(shù)據(jù)緩存、內(nèi)容分發(fā)等造成的數(shù)據(jù)跨境安全風險能評估發(fā)生數(shù)據(jù)跨境安全事件時采取補救措施的有效性，及其對數(shù)據(jù)主體權益產(chǎn)生的影響能研判數(shù)據(jù)安全維護渠道是否通暢數(shù)據(jù)出境安全評估方法常見數(shù)據(jù)加密傳輸協(xié)議數(shù)據(jù)流量監(jiān)測方法方法數(shù)據(jù)跨境法律法規(guī)知識典型應用場景知識限管理和風險知識能分析數(shù)據(jù)流通和交易過程中數(shù)據(jù)來源，評估安全保護措施的有效性能根據(jù)流通中的數(shù)據(jù)來源和數(shù)據(jù)生成特征，分析越權情況和越權風險，界定數(shù)據(jù)操作權限高級職業(yè)功能工作內(nèi)容專業(yè)能力要求相關知識要求1.數(shù)據(jù)安全管理1.1數(shù)據(jù)資產(chǎn)管理能對數(shù)據(jù)資產(chǎn)全面盤點形成數(shù)據(jù)資產(chǎn)地圖并進行圖形化展示能將數(shù)據(jù)資產(chǎn)進行標簽化處理能建立一套符合數(shù)據(jù)安全驅(qū)動的組織管理制度數(shù)據(jù)資產(chǎn)管理知識數(shù)據(jù)資產(chǎn)畫圖工具和技術數(shù)據(jù)資產(chǎn)標簽化的工具和技術1.2數(shù)據(jù)分類分級能基于行業(yè)和業(yè)務理解構建數(shù)據(jù)分類分級框架能對數(shù)據(jù)分類、分級結果進行評審和完善能對數(shù)據(jù)分類、分級規(guī)則進行優(yōu)化數(shù)據(jù)資產(chǎn)分類分級框架知識數(shù)據(jù)分類分級結果評價方法1.3全需求分析與管理能建立組織業(yè)務的數(shù)據(jù)安全需求分析體系能開展數(shù)據(jù)安全需求分析的審計活動能將數(shù)據(jù)安全需求分析納入數(shù)據(jù)開發(fā)的整個生命周期數(shù)據(jù)處理活動各環(huán)節(jié)安全知識數(shù)據(jù)安全風險評估方法數(shù)據(jù)安全需求管理知識1.4數(shù)據(jù)治理方案制定能按照法律和政策要求制定數(shù)據(jù)采集管理方案能按照法律和政策要求制定數(shù)據(jù)傳輸管理方案能按照法律和政策要求制定數(shù)據(jù)存儲管理方案能按照法律和政策要求制定數(shù)據(jù)使用管理方案能按照法律和政策要求制定數(shù)據(jù)銷毀管理方案數(shù)據(jù)安全相關法律法規(guī)政策標準知識數(shù)據(jù)治理框架知識數(shù)據(jù)治理流程設計與改進知識2.數(shù)據(jù)安全工程規(guī)劃設計和實施建設2.1全管理框架設計能根據(jù)數(shù)據(jù)處理活動安全需求制定管理側(cè)安全架構解決方案能根據(jù)數(shù)據(jù)處理活動安全需求制定終端安全架構解決方案能根據(jù)數(shù)據(jù)類型和等級設計數(shù)據(jù)安全風險監(jiān)測框架終端防泄漏技術知識數(shù)據(jù)庫安全技術知識數(shù)據(jù)安全風險管理知識2.2全防護體系設計能制定與優(yōu)化數(shù)據(jù)處理活動各環(huán)節(jié)安全防護方案能構建涵蓋數(shù)據(jù)處理活動各環(huán)節(jié)的安全防護技術工具體系能根據(jù)數(shù)據(jù)應用的業(yè)務需求，構建數(shù)據(jù)安全運營體系數(shù)據(jù)處理活動各環(huán)節(jié)知識數(shù)據(jù)威脅風險知識數(shù)據(jù)安全技術與工具知識2.3全技術管理方2.3.1能根據(jù)數(shù)據(jù)分類分級設計數(shù)據(jù)資產(chǎn)管理方案數(shù)據(jù)安全模型知識數(shù)據(jù)安全技術與工具案設計能根據(jù)業(yè)務需求設計數(shù)據(jù)安全技術與工具管理方案能根據(jù)組織數(shù)據(jù)安全策略，制定數(shù)據(jù)安全管理制度能根據(jù)組織的安全管理策略，進行數(shù)據(jù)安全機構、人員崗位方案的設計能制定數(shù)據(jù)安全相關技術規(guī)范，開展數(shù)據(jù)安全合規(guī)培訓和宣貫知識數(shù)據(jù)安全技術管理知識數(shù)據(jù)安全法、個人信息保護法等法律法規(guī)知識2.4全工程建設實施能結合業(yè)務場景，指導開展數(shù)據(jù)收集、存儲、使用、加工、傳安全建設實施及制度流程制定能指導數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除全過程中安全建設技術工具參數(shù)標準制定及工具研發(fā)、使用能指導并管理有關人員按照數(shù)據(jù)安全基礎保障、處理活動、網(wǎng)絡通信、防護體系等方案有序開展數(shù)據(jù)安全工程建設實施工作，并統(tǒng)籌進行技術管理數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公準知識數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公術管理知識3.數(shù)據(jù)安全技術開發(fā)與運維3.1開發(fā)能完成數(shù)據(jù)安全技術防護平臺、數(shù)據(jù)傳輸安全平臺、數(shù)據(jù)共享安全平臺架構設計和開發(fā)管理能根據(jù)數(shù)據(jù)安全防護方案，制定詳細技術開發(fā)方案，編制研發(fā)計劃和路線圖能基于基礎函數(shù)庫或接口，設計開發(fā)數(shù)據(jù)密碼防護、權限管理等基本數(shù)據(jù)安全防護功能模塊能針對防護方案要求，實現(xiàn)數(shù)字水印、密鑰管理等較為復雜的專業(yè)技術功能設計與研發(fā)數(shù)據(jù)傳輸安全平臺、保護平臺的開發(fā)和管理知識數(shù)據(jù)安全系統(tǒng)技術選型知識復雜數(shù)據(jù)安全系統(tǒng)功能設計與研發(fā)3.2測試能制訂和實現(xiàn)合理的自動化驗證方案，并設計和實現(xiàn)自動化測試工具，完成數(shù)據(jù)安全防護類技術工具的測試和驗證能自主編寫測試工具，對目標工程源碼進行代碼分析能編寫用于指導測試實施工作的安全測試計劃和安全測試技術指南能評估數(shù)據(jù)安全測試工作的安全風險、規(guī)避措施，實施風險管控數(shù)據(jù)安全系統(tǒng)測試實法數(shù)據(jù)安全系統(tǒng)源代碼分析方法數(shù)據(jù)安全測試風險評估方法3.3實施能構建數(shù)據(jù)安全技術實施框架，組織實施全方位數(shù)據(jù)安全保護系統(tǒng)、平臺能制定數(shù)據(jù)安全技術實施的流程規(guī)范能構建數(shù)據(jù)安全技術系統(tǒng)之間的關聯(lián)分析策略能持續(xù)改進數(shù)據(jù)安全技術并組織實施能識別產(chǎn)品開發(fā)及上線運行中處理的重要數(shù)據(jù)等，并實施安全防護和安全合規(guī)策略數(shù)據(jù)安全系統(tǒng)聯(lián)動與分析知識數(shù)據(jù)安全技術實施的框架構建方法數(shù)據(jù)安全技術實施的流程規(guī)范制定方法數(shù)據(jù)安全技術系統(tǒng)之間的關聯(lián)分析策略構建方法重要數(shù)據(jù)界定與識別知識3.4運維能規(guī)劃建設數(shù)據(jù)安全運維體系能對數(shù)據(jù)安全運維工作的有效性進行評估和驗證能審計數(shù)據(jù)系統(tǒng)運行日志、數(shù)據(jù)訪問日志、操作日志等，評估系統(tǒng)安全風險能制定數(shù)據(jù)安全系統(tǒng)運維方案、流程和規(guī)范，編寫數(shù)據(jù)安全技術運行管理手冊，以及用戶、管理員使用指南系統(tǒng)日志審計等知識數(shù)據(jù)安全運營平臺方面的原理和使用方法數(shù)據(jù)安全技術運行管冊編寫方法4.數(shù)據(jù)安全監(jiān)測與應急處置4.1數(shù)據(jù)安全檢測與分析能分析數(shù)據(jù)安全相關漏洞原理和利用方法能評估數(shù)據(jù)安全相關漏洞的風險程度，制定加固措施或開發(fā)修復補丁能正確歸類、整合安全威脅，形成及時準確的數(shù)據(jù)安全威脅情報漏洞利用方法漏洞風險評估方法修復補丁開發(fā)方法主要安全事件特征歸類和分析方法數(shù)據(jù)安全威脅情報分析方法4.2數(shù)據(jù)安全異常監(jiān)測能對數(shù)據(jù)異常行為進行定位、溯源和關聯(lián)分析能針對數(shù)據(jù)安全風險點制定異常行為監(jiān)測和臨時管控策略能對數(shù)據(jù)異常行為出現(xiàn)的關鍵環(huán)節(jié)進行加固或修復能根據(jù)數(shù)據(jù)安全異常行為監(jiān)測情況編制報告數(shù)據(jù)異?；顒铀菰捶椒ó惓Ｐ袨榻?、關聯(lián)分析知識數(shù)據(jù)異常行為監(jiān)測和管控策略設計和部署方法數(shù)據(jù)安全異常行為監(jiān)測報告編寫方法4.3全應急響應與處置能制定數(shù)據(jù)安全應急預案并組織內(nèi)部演練能制定數(shù)據(jù)安全事件處置操作規(guī)程能組織安全處置與業(yè)務間的協(xié)同聯(lián)動，以保證業(yè)務連續(xù)性、數(shù)數(shù)據(jù)安全應急方案編寫規(guī)范數(shù)據(jù)安全應急響應管理知識數(shù)據(jù)安全事件應急處置實施方法據(jù)備份與恢復計劃和應急預案的實施能對數(shù)據(jù)安全事件進行復盤，編寫數(shù)據(jù)安全事件預防規(guī)范能根據(jù)業(yè)務特性，制定合適的容災計劃4.3.4容災管理知識4