数据安全工程技术人员国家职业标准（征求意见稿）.docx

数据安全工程技术人员国家职业标准（征求意见稿）I职业概况1.1 职业名称数据安全工程技术人员1.2 职业编码2-02-38-121.3 职业定义从事数据安全需求分析挖掘、技术方案设计、项目实施、运营管理等工作的工程技术人员。1.4 专业技术等级本职业数据安全工程技术人员共设三个等级，分别为：初级、中级、高级。1.5 职业环境条件室内，常温。1.6 职业能力特征具有较强的学习能力、计算能力、表达能力及分析、推理和判断能力。1.7 普通受教育程度大学专科毕业（或高等职业学校毕业）。1.8 职业培训要求1.8.1 培训时间数据安全工程技术人员需要按照本£标准的职业要求参加有关课程培训，完成规定学时,取得学时证明。初级128标准学时，中级148标准学时，高级168标准学时。1.8.2 培训教师承担初级、中级理论知识或专业能力培训任务的人员，应具有相关职业中级及以上专业技术等级或相关专业中级及以上职称。承担高级理论知识或专业能力培训任务的人员，应具有相关职业高级专业技术等级或相关专业商级职称。1.8.3 培训场所设备理论知识培训在标准教室或线上平台进行：专业能力培训在具有相应软、硬件条件（包括模拟环境）的培训场所进行。1.9 专业技术考核要求1.9.1 申报考核条件一一取得初级培训学时证明,并具备以下条件之一者，可申报初级专业技术等级：（1）取得技术员职称；（2）具备相关专业大学本科及以上学历（含在读的应届毕业生）：（3）具备相关专业大学专科学历，从事本职业技术工作满1年：（4）技工院校毕业生按国家有关规定申报。一一取得中级培训学时证明，并具备以卜.条件之一者，可申报中级专业技术等级：（1）取得助理工程师职称后，从事本职业技术工作满2年：（2）具备大学本科学历，或学士学位，或大学专科学历，取得初级专业技能等级后，从事本职业技术工作满3年：（3）具备硕士学位或第二学士学位，取得初级专业技术等级后，从事本职业技术工作满I年；（4）具备相关专业博士学位；（5）技工院校毕业生按国家有关规定申报。一一取得高级培训学时证明，并具符以下条件之者，可申报高级专业技术等级：（I）取得工程师职称后，从事本职业技术工作满3年：（2）具备硕士学位，或第二学士学位，或大学本科学历，或学士学位，取得中级专业技术等级后，从事本职业技术工作满4年：（3）具备博士学位，取得中级专业技术等级后，从事本职业技术工作满I年:（4）技工院校毕业生按国家有关规定申报。1.9.2 考核方式分为理论知识考试以及专业能力考核。理论知识考试、专业能力考核均实行百分制，成绩皆达60分（含）以上者为合格，考核合格者获得相应专业技术等级证书。理论知识考试以闭卷笔试、机考等方式为主，主要考核从业人员从事本职业应掌握的基本要求和相关知识要求：专业能力考核以开卷实操考试、上机实践、模拟环境测试（需有专业人员现场测评记录）等方式为主，主要考核从业人员从事本职业应具备的技术水平。1.9.3 监考人员'考评人员与考生配比理论知识考试中的监考人员与考生配比不低于1:15.且每个考场不少于2名监考人员；专业能力考核中的考评人员与考生配比不低于1:5,且考评人员为3人（含）以上单数。1.9.4 考核时间理论知识考试时间不少于90分钟，专业能力考核时间不少于150分钟。1.9.5 考核场所设备理论知识考试在标准教室进行；专业能力考核在具有相应软、硬件条件（包括模拟环境）的考核场所进行。2基本要求2.1 职业道德2.1.1 职业道德基本知识2.1.2 职业守则（I）遵纪守法，爱岗敬业。（2）勤奋进取，忠于职守。（3）认真负责,团结协作。（4）爱护设备,安全操作。（5）诚实守信,讲求信誉。（6）勇于创新,精益求精。2.2 基础知识2.2.1 计算机与网络相关基础知识（I）计算机硬件基础知识.（2）计算机软件基础知识。（3）操作系统基础知识。（4）数据库基础知识。（5）密码学基础知识。（6）网络基础知识。（7）组网设备基班知识。2.2.2技术基础知识（1）软件应用开发知识。（2）接口开发与功能模块设计知识.（3）数据采集与数据预处理知识。（4数据计算与数据存储知识。（5）常用数据分析与挖掘知识。（6）常用数据报表与可视化技术知识。（7）数据管理知识。（8）网络协议相关知识。（9）数据运营及技术指导知识。（IO）网络配置、故障排杳常用命令和工具。2.2.3安全知识（1）数据分类分级知识。（2）数据采集安全管理知识。（3）数据痂量管理知识。（4）数据安全相关知识。（5）网络安全相关知识。2.2.4其他知识（1）环境保护知识。（2）文明生产知识。（3）劳动保护知识。（4）资料保管与保密知识。2.2.5相关法律,法规、标准知识（1）中华人民共和国劳动法3的相关知识。（2）中华人民共和国民法典3的相关知识。（3）6中华人民共和国网络安全法B的相关知识。（4）中华人民共和国数据安全法的相关知识。（5）中华人民共和国个人信息保护法的相关知识。（6）中华人民共和国密码法3的相关知识。（7）关键信息基础设施安全保护条例3的相关知识。（8）其他数据安全相关法律法规、管理规定、标准的相关知识。3工作要求本标准对初级、中级、高级的专业能力要求和相关知识要求依次递进，高级别涵盖低级别的要求.3.1初级Vuk功能工作内容专业能力要求相关知胴要求1.数据安全管理I.1数据资产识别1.1.1 能判财数据资产与业务之间的关系1.1.2 能按照数据资产笆理要求进行数泗费产识别1.1.3 能编制数据费产清单1.1.1 数抠资产和数据业务基础知识1.1.2 数据资产识别1.具与技术1.1.3 数据资产管理知识1.2数据分类分级1.2.1 能根据制度或操作规程进行数据分类1.2.2 能依据操作½程一蕊或使用工具完成数据分级任务1.2.1 数据分类分级知识1.2.2 数据分类分被相关标腐1.3数据治理基础I：作1.3.1健依法依规迸行数据采集管理13.2能依法依规进行数据传输管理133能依法依规进行数据存储管理1.3.4健依法依规进行数据使用管理1.3.5徒依法依规进行数据销毁管理1.3.1 数据处理的合法、正当、必要原则和要求1.3.2 密码技术知识3.3数据汇聚、分析的风险与管理要求1.3.4数据脱敏，匿名化知识2.数据安全工程规划设计和实循建设2.1数据安全茹础保障方案设计2.1.1能按照要求设计数挪区域边界防护解决方案2.2能基于已仃数据安全基础方案M貉输出不同业务的具体实施解决方案2.1.1 安全区域边界知识2.1.2 数IK安全行业应用知识2.2数据安全处理活动方案设计2.2.1 能根据业务场景，设计数据收集安全技术方案2.2.2 能根据访问控制策砧和用户角色权限，制定数据安全的访问控制解决方案223能根据数据存储方式制定数据我体防护策略,设计数据段体安全管理与梢毁解决方案2.2.1 访问控制知识2.2.2 数据销毁知识2.2.3 数抠我体安全管理知识2.3数据安全工程建设实施2.3.1 能鲂理解并按照数据安全基础保障、处理活动、网络通信、防护体系等方案有序开展数据安全I：程建设实脑工作2.3.2 能修熟知数据收集、存储、使Hh加工、传输'提供、公开、删除全过程中安全建设技术工具参数标准，按照国家法律法煨要求和业务场垠制度流程要求实够数据收集、存2.3.1 数据收集、存储、使用、加工、传输、提供、公开、州除全过程中安全建设技术工具知识2.3.2 数招收型.存储.使用、加工、传输、提供、公开、州除全过程中安全建设制度流程及实施操作知识储、使用、加工、传输、梃供、公开、制除全过程中的安全建设3.数据安全技术开发与运维3.1开发3.1.1 徒葩于数据安全架构方案完成数据处理活动各环节安全防护相关系统、模块、工具的葩础开发工作3.1.2 能根据数据安全防护技术皤求适用联调数据安全技术防护产品3.1.3 能使用开根产品或库开发实现身份认证，访问控制等基础安全防护功能3.1.1 软件系统开发体系知识3.1.2 同络安全、故据监安全、主机安全防护知识3.1.3 数据处理活动各环节安全防护知识3.2测试3.2.1 健根据测试方案进行数据处理活动各环节MI除测试3.2.2 使根据测试方案对数据安全招地的有效性进行测试3.2.3 他荔于各顼测试结果摄写数据安全系统、用件和工具测试报告3.2.1 数据安全软件测试知识3.2.2 数据安全风片测试方法应用和工具使用知识3.2.3 数据安全措施测试方法院用和工具使用知识3.3实施3.3.1 能根描数据安全技术实施方案安装井类数据安全技术防护系统、i1.1.件和工具3.3.2 能完成常用中间件的搭建及使用，编制数据安全技术防护类交付文档3.3.3 能根据数据安全技术实施方案使用数据库审计,利用脱场、数据防泄露、水印、语码学、1.¾私保护等技术工具实施数据安全掂地防护1.1.1 算机操作系统、网络、.盘管理等知识1.1.2 数据库审计、脱收技术'数据防泄露技术、水印技术、密码学技术、除私保护技术等数据安全防护技术工具使用知识1.1.3 数据安全产品姐网部署方法3.4运维3.4.1 能对服务器、网络安全设备和俾络信息系统等数楙安全基础设施进行日常安全维护、安全巡检3.4.2 能排查分析常见的数据安全产品故陵3.4.3 能按照部界手册完成系统升级3.4.1 互联网数据中心相关知识3.4.2 数期安全产丛或设备I装、旭跣知识3.4.3 数初安全产品或设台的故障分析方法3.4.4 日常数据安全运维I：作流程和方法4.数据安全监测与应急处置4.1数据安全检浏与分析4.1.1 能使用工具发现和桩测数据安全相关的漏洞4.1.2 能根据安全加囿方案对漏洞进行安全加国和修复4.1.3 能根据漏洞扫描结果形成数据安全湖洞扫描报告4.1.1漏洞管理知识4.1.2温洞扫描工具使用方法4.2数据安全异常监测4.2.1 能使用工具监测数据访问活动,发现异常数据访同行为4.2.2 能初步确定数据安全界件界常类别4.2.3 能使用工具审计数据弁行行为或状态4.2.4 能撰写数据安全异常监测H志4.2.1 常见数据安全异常行为4.2.2 网络攻击流程及治透攻击知识4.2.3 入侵检测技术朦理424数据升常行为或状态审计方法和工具4.2.5 数据安全异常监测日志编写方法4.3数据安全应急我应与处H4.3.1 能使用1：具发现安全事件4.3.2 能根据数幅安全应急响应预案,按照流程开取数据安全应急演练4.3.3 能根据容灾计划,定期备份和迂移关犍数据4.3.4 能使用工具进行数据备份4.3.1 数据安全事件检测工具使用方法4.3.2 数据安全本件应急演缄知识4.3.3 数据容灾备份知识4.3.4 数据备份、迂移。恢复知识5.数据安全评估5.1数据安全合规性评估5.1.1 能依据数据安全台规评估规范确定评估范围5.1.2 .能采用问卷调查、访谈、资料查阅等方式,对受评估方的人员情况、业务系统等基本信息进行四研5.1.3 能识别、分析各业务系统的主要数据处理行为5.1.41 识别、分析第三方应用接口的个人信息和重要数据采集行为5.1.42 使用工具评估检测数据处理行为是否合规5.1.1 问卷设计和信息检索知识5.1.2 业务系统数据处理分析方法5.1.3 接口数据聚集行为分析方法5.1.4 个人信息和血要数据特征提收与识别方法5.1.5 数据安全合熄评估相关技术工具使用方法5.2数据安全风哙评估5.2.1 能识别并梳理数据贵产.对费产价值进行定性分析5.2.2 /使用评估工具识别数据处理系统的漏洞5.2.3 能根据风险分析模型,定性地评定数据安全风险程度5.2.1 网络和数据安全常见的凤般和威胁类型5.2.2 数据安全风险评估方法5.2.3 数据系统安全评估工具使用方法5.3数据出境安全评估5.3.1 能界定数据出境的数量、公阳、种类5.3.2 能fi定数据跨境和境外接收方处理数据的目的、范困、方式5.3.1 数据传输方法及原理5.3.2 组织内部和外部数据收集流捏和力.法工具5.3.3 数据安全出境W估的茶本要求3.2中级职业功能工作内容专业能力央求相关知识襄求1.数据安全管理1.1数据资产识别1.1.1 能对数据资产使用储门、角色进行植理1.1.2 能对数据资产存储策略进行梳理1.1.3 能对数据资产使用状况、安全责任人等进行梳理1.1.4 能使用自动化工具识别数据资产属性1.1.1 数据资产存储策略1.1.2 数据属性识别自动化I：具1.2数据分类分级121能出据数擀所涉及范围设计数据分类、分娘标准1.2.2 能葩于数据资产清单进行数据分类、分级体系设计1.2.3 能制定数据分类、分被流程规小1.2.1 数据资产分类分级方法1.2.2 数据分类分级自动化软件工具1.3数据安全需求分析1.3.1 能分析明确数据处理活动各环节安全羯求1.3.2 能从数据安全械胁角度开废数据安全需求分析1.3.3 能从数据安全风险角度开履数据安全寓求分析1.3.1 数据处理活动各环节安全知识1.3.2 数据安全威胁建模知识1.3.3 数据安全框架模型知识1.4数擀治理如织工作1.4.1 能依据政宽法熄和标准要求，组织数据采集管理1.4.2 能依据政策法规和标准要求，组织数据传输管理1.4.3 能依据政策法熄和标准IS求.城织数据存储管理1.4.4 能依据政策法爆和标准整求.组织数据使用管理1.4.5 能依树戌策法双和标准要求.娟织数据销毁管理1.4.1 数据处理合法、正当、必要原则和具体要求1.4.2 数据对外提供要求1.4.3 数据安全管理知识2.数据安全1：程规划设计和建设实施2.1数据安全保障方案设计2.1.1 能针对数据源和目标平台设计数擀传怆可行身份认证方案2.1.2 使根据数据分类分汲和业务场捷进行数招加密传输方案的设计2.1.3 能根据数据源和数据特点，设计数抠完整件校验和防装改方案2.1.4 能根据安全需求设计数据通信网络安全验证方案2.5能梳理数据传输接1,设计传输接口管控与审计方案1.1.1 网拈协议知识1.1.2 数据通信安全知识1.1.3 传输通信加密知识1.1.4 网络安全验证知识1.1.5 接口调用日志知识1.1.6 监控审计知识2.2数据安全处理活动方案设计221健根据业务场景设计数据收柒安全技术方案2.2.2 俺根据业务需求设计数据提供和公开安全技术方窠2.2.3 能根据数据分类分级设计数据悄毁安全技术方窠2.2.4 使根据数据分类分级制定数据加海策略，设计数据安全存储解决方案2.2.5 能根据访问控制策略和用户角色权限,制定数据安全的访问控制解决方案2.2.6 能根据数据特点和业务需求.设计数据防泄漏方窠2.2.1 数据收集策略知识2.2.2 数据加宙技术知识2.2.3 数据给/技术知识2.2.4 水印、密钥技术知识2.2.5 数抠丢失防护技术知识226数抠内外部共享安全技术知识2.3数据安全专职人员管理方案设计2.3.1 能进行数据安全专职人员求用、离岗方案的设计2.3.2 能进行外部人员访问方案的设计233健对数稠安全专职人员的行为进行安全审计231人员审计知识2.3.2 数据安全风险管理知识2.3.3 数据安全行为状态审计知识2.4数据安全工程建设实施2.4.1 能修按照国家法律法规要求,结合业务场景制定数据收生、存储.使用、加工、传粕,提供，公开、删除全过程中的安全建设实施:M度流程2.4.2 能纺熟缄使用数据收蛆、存储、使用、加工、传输、提供、公开、删除全过程中的安全建设技术工具，井健物根据业务场景优化技术工具参数、研发技术工具2.4.3 能够理解并按照Ik据安全圣础保障、处理活动、网络通信、防护体系等方案，有序开展数据安全工程建设实施工作，并开展相应的人员及技术管理1.1.1 据收集.存储、使用、加工、传输.提供、公开、刮除全过程中安全建设实施I1.1.关法律法规及行业特由:知识1.1.2 数据收集、存儡、使用、加工、传输、提供、公开、州除全过程中安全技术工具研发知识1.1.3 数据收集、存储、住用、加工、传输、提供、公开、刖涂全过程中安全建设技术工具知识3.数据安全技术开发一运改3开发3.1.1 能根据数据安全管理方案开发相应的也想架构体系及外部调用接口3.1.2 能根据数据安全技术防护建设方案开发相应的技术工具3.1.3 能根据开发需求和功能要求选择对应的轮码技术以及开发基础密码库的功能接U3.1.4 健调试并修理常见基础编程和网络应用开发潟泡3.1.5 便根据数据安全防护方案开发身份认证.访向控IM等功能接口3.1.1 *攵件工程体系知双3.1.2 开源数据安全产M功能接1.1.知识3.1.3 编程语言、编程馆理以及主流数据安全开发框架等知设3.1.4 编程漏涧修熨方法3.1.5 密码函数库使用方法3.1.6 自动化执行典本开发知识3.2测试3.2.1 便设计数据安全软件开发和测试工作流程,并使用测试管理工具进行管理3.2.2 能配置实施风陡规用措施321主流数据安全系统测试方法3.2.2安全防御机制绕过方法323测试数据保护描雁有效3.2.3 健进行特定业务的设猊潟洞测试3.2.4 能使用工具进行数据安全系统M洞挖K和代码it.并给出通用性安全漏洞的修复建议3.2.5 健使用工具对系统的数据安全防护措施进行白食或灰盒测试3.2.6 能编制数据安全测试报告住的策略、方法、原理33实地1.1.1 面向复杂场景嫡制实押方案和部署手册1.1.2 能制定数抠昨审计'脱敏、数据防泄.木印、阻私保护的安全策珞1.1.3 能根据数据安全技术实施方案陆署运行数州安全保护、检测、分析'溯源'评估、审计等数据安全1：只1.1.4 能都落实施数据安全管控策略3.3.1 数据库、云计尊、,也拟化、数抠安全保护I：具等知识.3.3.2 数据审计、脱敏、防泄漏、水印、隐私保护、加密1：具的I：作原理3.4运维3.4/便对数据安全系统或应用进行部署'联网配置和调试3.4.2健根据数据安全合Mi性检杳姑果进行建设整改343健针对数据安全风险、威肺开展数据安全运维匚作3.4.4能持续改进数擀安全运维流程3一41数据安全产品或设备的调试和故隐分析知识3.4.2数据访问控制、加密、脱敝、备份和防泄漏等数据安全技术方面的应用知识343数据安全产品的原理和使用方法4.数据安全监测与应急处置4.1数据安全检测与分析4.1.1 能开发澜洞检测工具4.1.2 倭根据漏洞测试结果分析数据安全潜在风险4.1.3 能对数据安全掘洞进行分析、蛤证，确定安全漏洞的类别和等领4.1.4 能使用或胁情报系统、工具,收集、发现威胁情报并进行的类分析4.1.1 安全漏洞的原理及检测方法4.1.2 漏涧检测I：具开发方法4.1.3 威胁情报收集、检测与分析方法4.2数据安全异常监测4.2.1 能审计异常数据访何活动.并研判、执行对应管控措施4.2.2 使根据系统日志等分析数据泄羽、数据理权操作等异常行为4.2.3 能判断数据安全异常事件的类别与级别4.2.1 异常数据访问活动审计与管控方法4.2.2 访问控制技术原理4.2.3 数抠安全异常事件分类分媛知见4.3数据安全应急响应与处且4.3.1 健对数幅安全事件进行应急分折4.3.2 能制定有效掖制敢拘安全事件影响扩大的拾施4.3.3 能制定消除数据安全事件影响的措施4.3.4 能根据业务需求选择数据诙复策略进行数据恢亚4.3.1 数据安全应急响应知识4.3.2 数抠安全事件分类分级知识4.3.3 数据安全事件处置流程和方法4.3.4 数据恢发泞理与策略知识5.数据安全评估5.1数据安全合熄性评估5.1.1健收集和分析数据安全合规前求，建立数据安全合规资料库和合规清5.1.1数据安全台规需求分析方法5.3.9便分析数据流通和交易过程中数据来源,评估安全保护措施的有效性S3。健粮据流通中的数据来源和数据生成特征，分析越权情况和越权风险,界定数据悚作权限职业功能工作内容专业能力央求相关知识襄求1.数据安全管理1.1数据资产管理1.1.1 健时数据资产全面盘点出成数甥资产地图并进行图形化履示1.1.2 健将数据资产进行标签化处理1.1.3 便建立一套符合数据安全职动的祖织笆理制度1.1.1 数据资产管理知识1.1.2 数据资产画图工具和技术1.1.3 数据资产标签化的工具和技术1.2数据分类分级1.2.1 使刘广行业和业务理解构建数据分类分级框架1.2.2 能对数据分类、分级结果进行评审和完善1.2.3 能对数据分类、分级熄则进行优化1.2.1 数据资产分类分级框架知识1.2.2 数据分类分级结果评价方法1.3数据安全需求分析与管理1.3.1 能建立舜织业务的数据安全需求分析体系1.3.2 能开展数据安全辗求分析的审计活动1.3.3 他将数据安全需求分析纳入数据开发的整个生命周期1.3.1 数据处理活动各环节安全知识1.3.2 数推安全风险评估方法1.3.3 数据安全需求管理知识1.4数据治理方案制定1.4.1 能按照法律和政策要求制定数据采案管理方案1.4.2 能按照法律和政策要求制定数据传输管理方案1.4.3 能按照法律和政策要求制定数据存钻管理方案1.4.4 能按照法律和政策要求制定数据使用管理方案1.4.5 能按照法律和政策要求制定数据梢毁管理方案1.4数据安全相关法修法规政策标准知识1.4.2 数据治理框架知识1.4.3 数据治理流程设计与改进知识2.数据安全工程现划设计和实施建设2.1数据安全管理框架设计2.1.1 能根据数据处理活动安全需求制定管理他安全架构解决方案2.1.2 能根据数据处理活动安全需求制定终然安全架构解决方窠2.1.3 能根据数据类型和等圾设计数据安全风险监测框架2.1.1 终端防泄漏技术知识2.1.2 数据库安全技术知识2.1.3 数据安全风险省理知识2.2数据安全防护体系设计2.2.1 能制定与优化数据处理活动各环节安全防护方案2.2.2 能构建涵范数据处理活动各环节的安全防护技术工具体系2.2.3 能根据数据应用的业务需求，构建数据安全运首体系1.1.1 据处理活动各环节知识1.1.2 数据威胁风险知识1.1.3 数据安全技术与工具S1.iH2.3数据安全技术代理方2.3.1能根据数据分类分级设计数据费产管理方案2.3.1 数据安全模型知识2.3.2 数据安全技术与工具案设计232能根据业务需求设计数据安金技术与工具代理方案2.3.3 能根据组织数据安全策略，制定数据安全管理制度2.3.4 能根据组织的安全管理策略,进行数据安全机构，人员岗位方案的设计2.3.5 能制定数据安全相关技术规他.开展数据安全合规培训和宣贯知识2.3.3 数据安全技术管理知识2.3.4 数据安全法、个人信息保护法等法律法规知设2.4数据安全工程建设实施2.4.1 能结合业务场景，指杼开展数据收集、在健、使用、加工、传粕、提供、公开、刖除全过程中的安全建设实施及制度流程制定2.4.2 便指导数据收集、存铭、使用、加工、传输、提供、公开、W除全过程中安全建设技术工具参数标准制定及工具研发、使用2.4.3 能指导并管理有关人员按照数据安全基础保障.处理活动、M第通信、防护体系等方案有序开展数据安全工程建设实施工作,并统筹迸行技术管理2.4.1 数据收集、存储.使用、加工、传输、提供、公开、IpJ除全过程中安全建设标准知识2.4.2 数抠收集、存砧、使川、加工、传输、提供、公开、制除全过程中安全建设技术管理知识3.数据安全技术开发与运维3.1开发3.1.1 健完成数据安全技术防护平台、数据传输安全平台、散据共享安全平台架构设计和开发管理3.1.2 健根抠致招安全防护方案.制定详细技术开发方案，编制研发计划和路找图3.1.3 能基于基础函数库或按1.设计开发数据密码防护、权双管理等基本数据安全防护功能模块3.1.4 能针时防护方案要求.实现数字水印、密钥管理等较为亚东的专业技术功能设计与研发3.1.1 数据传输安全平台、数据扶享安全平台、除私数据保护平台的开发和管理知识3.1.2 数据安全系统技术选型知识3.1.3 发杂数据安全系统功能设计与研发3.2测试321徒制订和实现合理的自动化会证方案，并设计和实现自动化测试工具，完成数据安全防护类技术工具的测试和脸if322健自主编写测试工具,对目标工程源码进行代码分析3.2.3 他编写用于指导测试实施工作的安全测试计划和安全测试技术指南3.2.4 的砰估数力安全测试工作的安全风险、战避措施.实轴风险管控3.2.1 数据安全系统测试实施祖织方法、技术指南编写方法3.2.2 数据安全系统源代码分析方法3.2.3 数据安全测试风险评估方法3.3实施3.3.1 能构建数据安全技术实施极架.组织实施全方位数据安全保护系统、平台332能制定数据安全技术头雁的流程规池3.3.3 使构建数据安全技术系统之间的关联分析策略3.3.4 使持续改进数据安全技术并组织实族3.3.5 能区别产储开发及上税运行中处理的重要数据等，并实施安全防护和安全合规策略3.3.1 数据安全系统联动与分析知识3.3.2 数据安全技术实族的框架构建方法3.3.3 数据安全技术实Ufc的流程熄范制定方法3.3.4 数据安全技术系统之间的关联分析宽路构建方法3.3.5 里要数据界定与识别M1.iH3.4运维3.4.1 能规划建设数据安全运维体系3.4.2 能对数据安全运堆工作的有效性进行评估和验if34.3使审计数据系统运行口志、数据访问日志、操作口忐等，评估系统安全风险3.4.4 能制定数据安全系统运维方案'流程和规范编写数抠安全技术运行管理手册,以及用户.管理员使用指南3.4.1 系统口志审计等知识3.4.2 数据安全运营平台方面的原理和使用方法3.4.3 数据安全技术运行管理手册、用户手册、管理员手册编二方法4.数据安全监测与应急处置4.1数据安全检测与分析4.1.1 能分析数据安全相关潴洞IK理和利用方法4.1.2 能评估数据安全相关漏洞的M险程度，制定加固措施或开发怪WHT4.1.3 能正确归类、整合安全威胁，形成及时准丽的数据安全威胁情报4,1.1漏洞利用方法1.1.1 洞风险评估方法4.1.3 修复补丁开发方法4.1.4 主要安全事件特征归类和分析方法4.1.5 数据安全威胁情报分析方法4.2数据安全异常监测4.2.1能对数据异常行为进行定位、潮源和关联分析422能针对数据安全风险点削定异常行为监测和临时管控策珞4.2.3能对数据异常行为出现的关该环节进行加固或修复424能根描数据安全异常行为监测情况编制报告4.2.1 数据异常活动溯源方法4.2.2 异金行为建模、关联分析知识4.2.3 数据异常行为监测和管控策略设计和临器方法4.2.4 数据安全界常行为监测报告编写方法43数据安全应急响应与处附4.3.1 能制定数据安全应急预案并组织内部演练4.3.2 能制定数据安全事件处置慷作规程4.3.3 能组织安全处汽与业务间的协同联动，以保证业务连族性、数4.3.1 数据安全应急方案编写规范4.3.2 数据安全应急响应管理如双4.3.3 数据安全事件应急处置实施方法据备份与恢攵计划和应急预案的实施4.3.4 使对数据安全事件进行U盘，编写数据安全小件预防现范4.3.5 能根据业务特性,制定合适的容灾计划43.4容灾管理知识4.4数据安全渊源叮取证4.4.1 能制定数拈安全事件取证溯源的策略和机制4.4.2 能梳现安全事件相关数据的流转与分布情况,合理推测还原事件的发生过程4.4.3 能使用工具杳找风冷源、固定证擀4.4.4 能处织编笃数据安全事件溯源取证报告4.4.5 能根据取证榭源结果对数据服务相关的访问控制、合规性保障等数据处理活动.安全策略及其安全技术机制提出优化建议4.4.1 数据安全事件溯源取证技术知识4.4.2 数据安全潮源和取证工具使用方法4.4.3 数据安全事件潮源取证报i级“方法5.1数据安全合规性评估5.1.1 能根据具体合规监管要求制定相应的数据安全合规评估I：作方案5.1.2 能依据工作方案，组织防调相关部门人协，开展合规评估5.1.3 .能对数据处理系统进行分析，制定数据处理活动各环节合规性评估的技术方案和实施标准5.1.4 能对评估对象的数据安全组织架构和管理IM度进行合规评侪5.1.5 能对合规评估结果进行踪合分析形成评（A报告,提供整改建议和优化方案5.1.1 数据安全合规性评估工作方案编写方法5.1.2 常见数据处理系统和应用的数据安全策略的执行逆林5.1.3 数据安全法律法规要求5.1.4 数据安全不合规项优化整改措施5.1.5 合规评估报告编写方法5.2数据安全风险评估5.2.1 能纸制评估方案，制定许估计划，建立数据安全风险评估制度规莅、流程策略,并能如织女诙评估活动5.2.2 能根据数据安全风冷分析结梁，提出风险处置建议，并编制评估报告5.2.3 能制定数据安全风冷评估管理制度.持续优化并改进风险评估管理机制5.2.1 数据安全风险评估详细需求分析方法5.2.2 数据安全风险评估计划和报告编制方法5.2.3 数据安全风险管珅方法5.3数据要索流通、交易及出境安全评估5.3.1 能制定数据出境安全评估制度'流程和I：作方案.组织开展数据出境安全评估活动5.3.2 能基干数据出境安4险分5.3.1 数掰出境安全评估方案编号方法5.3.2 数据出境安全风险分析方法5.数据安全评估析,撰写数抠出境安全评估报告5.3.3 能制定并组织落实数据出境合规整改方案5.3.4 能IM定并组织实施数据流通，交易安全评估方案5.3.3 数据出境安全评估报告编写方法5.3.4 数据流通、交易风险评估知识4权重表4.1 理论知识权重表项目技术等级初级(%)中级(%)高级(%)基本要求职业道彷555基础知识15105相:、知识要求数据安全管理3020IO数据安全工程规划设计和实施建设152015数据安全技术开发与运挑151515数据安全监测与应急处笈IO1525数据安全评估IO1525合计100114.2 专业能力要求权重表项目*初级(%)中级<%>高级(%)数据安全管理402520专业数据安全工程规划设计和实施建设152020能力要求数擀安全技术开发与运维202015数据安全监测与应急处置152020数据安全评估IO1525合计1001100