Tiếng AnhThông tư 17/2021/TT-BTTTT sửa đổi Thông tư 11/2015/TT-BTTTT Quy định Chuẩn kỹ năng nhân lực công nghệ thông tin chuyên nghiệp
Xem có chú thích thay đổi nội dung
|
BỘ THÔNG TIN VÀ TRUYỀN THÔNG __________ Số: 17/2021/TT-BTTTT |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc _______________________ Hà Nội, ngày 30 tháng 11 năm 2021 |
THÔNG TƯ
Sửa đổi, bổ sung một số điều Thông tư số 11/2015/TT-BTTTT ngày 05 tháng 5 năm 2015 của Bộ Thông tin và Truyền thông Quy định Chuẩn kỹ năng nhân lực công nghệ thông tin chuyên nghiệp
________
Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;
Căn cứ Nghị định số 71/2007/NĐ-CP ngày 03 tháng 5 năm 2007 của Chính phủ quy định chi tiết và hướng dẫn thực hiện một số điều của Luật Công nghệ thông tin về Công nghiệp công nghệ thông tin;
Theo đề nghị của Cục trưởng Cục An toàn thông tin và Vụ trưởng Vụ Công nghệ thông tin;
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư sửa đổi, bổ sung một số điều Thông tư số 11/2015/TT-BTTTT ngày 05 tháng 5 năm 2015 của Bộ Thông tin và Truyền thông Quy định Chuẩn kỹ năng nhân lực công nghệ thông tin chuyên nghiệp.
“4. Chuẩn kỹ năng An toàn thông tin (Cybersecurity Skill Standard);”
“1. Các ngành đào tạo về công nghệ thông tin bao gồm: Khoa học máy tính, Mạng máy tính và truyền thông dữ liệu, Kỹ thuật phần mềm, Hệ thống thông tin, Kỹ thuật máy tính, Công nghệ kỹ thuật máy tính, Công nghệ thông tin, An toàn thông tin, Kỹ thuật sửa chữa, lắp ráp máy tính, Thiết kế mạch điện tử trên máy tính, Truyền thông và mạng máy tính, Điện tử máy tính, Công nghệ truyền thông, Sư phạm Tin học, Tin học ứng dụng, Tin học viễn thông ứng dụng, Xử lý dữ liệu, Lập trình máy tính, Quản trị mạng máy tính, Quản trị hệ thống, Toán ứng dụng, Đảm bảo toán học cho máy tính và hệ thống tính toán, Điện tử tin học và các ngành thuộc nhóm ngành Máy tính và Công nghệ thông tin theo quy định của Bộ Giáo dục và Đào tạo tại Danh mục giáo dục đào tạo cấp IV - trình độ đại học và Danh mục ngành, nghề đào tạo cấp IV trình độ cao đẳng của Bộ Lao động - Thương binh và Xã hội;
“d) Chuẩn kỹ năng An toàn thông tin (Mã CSSS): là hệ thống các yêu cầu kiến thức và kỹ năng cần thiết để thực hiện những công việc liên quan đến an toàn thông tin.”
|
Nơi nhận: - Thủ tướng, các Phó Thủ tướng Chính phủ (để b/c); - Văn phòng Chính phủ; - Văn phòng Chủ tịch nước; - Văn phòng Quốc hội; - Văn phòng Trung ương Đảng và các Ban của Đảng; - Văn phòng Tổng Bí thư; - Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ; - Toà án nhân dân tối cao; - Viện Kiểm sát nhân dân tối cao; - Kiểm toán Nhà nước; - UBND các tỉnh, thành phố trực thuộc TW; - Đơn vị chuyên trách về CNTT của các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ; - Sở Thông tin và Truyền thông các tỉnh, thành phố trực thuộc TW; - Công báo, Cổng Thông tin điện tử Chính phủ; - Cục Kiểm tra VBQPPL (Bộ Tư pháp); - Bộ TTTT: Bộ trưởng và các Thứ trưởng, các cơ quan, đơn vị thuộc Bộ; cổng Thông tin điện tử Bộ; - Lưu: VT, CATTT. |
BỘ TRƯỞNG
Nguyễn Mạnh Hùng |
Phụ lục
YÊU CẦU VỀ KIẾN THỨC, KỸ NĂNG CHUYÊN SÂU CỦA CHUẨN KỸ NĂNG AN TOÀN THÔNG TIN
(Ban hành kèm theo thông tư số 17/2021/TT-BTTTT ngày 30/11/2021 của Bộ trưởng Bộ Thông tin và Truyền thông)
|
Mã Tham chiếu |
Mã Kiến thức |
Kiến thức |
Mã Kỹ năng |
Kỹ năng |
4 |
3 |
2 |
1 |
|||||
|
CSSS1 |
Quản lý rủi ro |
|
X |
X |
X |
||||||||
|
|
KT001 |
Kiến thức về các khái niệm và giao thức mạng máy tính và phương pháp luận về an toàn thông tin mạng. |
KN001 |
Kỹ năng tiến hành rà quét điểm yếu và nhận biết các điểm yếu để đảm bảo an toàn các hệ thống. |
|
|
|
|
|||||
|
|
KT002 |
Kiến thức về các quy trình quản lý rủi ro (ví dụ: các phương pháp đánh giá và giảm thiểu rủi ro). |
KN004 |
Kỹ năng áp dụng các nguyên tắc tính bí mật, tính toàn vẹn và tính sẵn sàng. |
|
|
|
|
|||||
|
|
KT003 |
Kiến thức về luật, quy định, chính sách và đạo đức nghề nghiệp liên quan đến an toàn thông tin mạng và quyền riêng tư. |
KN013 |
Kỹ năng xác định cách thức hoạt động của hệ thống bảo mật (bao gồm khả năng phục hồi và khả năng tin cậy) và những thay đổi về điều kiện, hoạt động hoặc môi trường sẽ ảnh hưởng như thế nào đến những kết quả này. |
|
|
|
|
|||||
|
|
KT004 |
Kiến thức về an toàn thông tin mạng và các nguyên tắc quyền riêng tư. |
KN016 |
Kỹ năng xác định nhu cầu bảo vệ (ví dụ: các kiểm soát an toàn) của hệ thống thông tin và mạng. |
|
|
|
|
|||||
|
|
KT005 |
Kiến thức về các mối đe dọa và điểm yếu an toàn thông tin mạng. |
KN018 |
Kỹ năng xác định các biện pháp hoặc chỉ số về hiệu suất của hệ thống và các hành động cần thiết để cải thiện hoặc hiệu chỉnh hiệu suất liên quan đến các mục tiêu của hệ thống. |
|
|
|
|
|||||
|
|
KT006 |
Kiến thức về các ảnh hưởng đối với hoạt động do mất an toàn thông tin mạng. |
KN038 |
Kỹ năng sử dụng máy ảo. (Ví dụ: Microsoft Hyper-V, VMWare, VirtualBox, V.V.). |
|
|
|
|
|||||
|
|
KT007 |
Kiến thức về phương pháp xác thực, ủy quyền và kiểm soát truy cập. |
KN043 |
Kỹ năng nhận biết, phân loại các loại điểm yếu và các hình thức tấn công liên quan. |
|
|
|
|
|||||
|
KT008 |
Kiến thức về áp dụng các quy trình kinh doanh và hoạt động của các tổ chức. |
KN057 |
Kỹ năng áp dụng các kiểm soát an toàn. |
|
|
|
|
||||||
|
KT009 |
Kiến thức về các điểm yếu ứng dụng. |
KN058 |
Kỹ năng sử dụng hoặc phát triển các hoạt động học tập (ví dụ: kịch bản, hướng dẫn trò chơi, bài tập tương tác). |
|
|
|
|
||||||
|
KT010 |
Kiến thức về các phương pháp kết nối, nguyên tắc và khái niệm hạ tầng mạng. |
KN059 |
Kỹ năng xác định các yêu cầu Kiểm tra & Đánh giá hạ tầng (con người, phạm vi, công cụ, thiết bị đo đạc) |
|
|
|
|
||||||
|
KT011 |
Kiến thức về khả năng và ứng dụng của thiết bị mạng bao gồm bộ định tuyến (router), thiết bị chuyển mạch (switch), cầu nối (bridge), máy chủ, phương tiện truyền dẫn và phần cứng liên quan. |
KN060 |
Kỹ năng giao tiếp với khách hàng. |
|
|
|
|
||||||
|
KT013 |
Kiến thức về các công cụ bảo vệ và đánh giá điểm yếu an toàn thông tin mạng và khả năng của các công cụ. |
KN061 |
Kỹ năng quản lý tài sản kiểm tra, tài nguyên kiểm tra và nhân sự kiểm tra để đảm bảo hoàn thành các sự kiện kiểm tra một cách hiệu quả. |
|
|
|
|
||||||
|
KT018 |
Kiến thức về mật mã và các khái niệm quản lý khóa mật mã. |
KN062 |
Kỹ năng lập báo cáo kiểm tra, đánh giá. |
|
|
|
|
||||||
|
KT017 |
Kiến thức về các thuật toán mã hóa. |
KN064 |
Kỹ năng xem lại nhật ký để xác định bằng chứng về những lần xâm nhập trong quá khứ. |
|
|
|
|
||||||
|
KT019 |
Kiến thức về sao lưu và phục hồi dữ liệu. |
KN067 |
Kỹ năng xử lý sự cố và chẩn đoán các bất thường về hạ tầng bảo vệ mạng và cách giải quyết vấn đề. |
|
|
|
|
||||||
|
KT020 |
Kiến thức về hệ thống cơ sở dữ liệu. |
KN068 |
Kỹ năng sử dụng nhân lực và nhân sự hệ thống CNTT. |
|
|
|
|
||||||
|
|
KT021 |
Kiến thức về kế hoạch duy trì hoạt động và khôi phục thảm họa. |
KN072 |
Kỹ năng rà soát lại, xem xét các hệ thống. |
|
|
|
|
|||||
|
KT022 |
Kiến thức về kiến trúc an toàn thông tin của tổ chức. |
KN073 |
Kỹ năng xây dựng kế hoạch kiểm thử an toàn thông tin (ví dụ: đơn vị, tích hợp, hệ thống, chấp nhận). |
|
|
|
|
||||||
|
KT023 |
Kiến thức về các yêu cầu đánh giá và xác nhận của tổ chức. |
KN074 |
Kỹ năng về các nguyên tắc, mô hình, phương pháp và các công cụ quản lý hệ thống mạng. |
|
|
|
|
||||||
|
KT024 |
Kiến thức về kết nối Mạng cục bộ (LAN) và mạng diện rộng (WAN) của tổ chức. |
KN075 |
Kỹ năng thực hiện đánh giá điểm yếu an toàn ứng dụng. |
|
|
|
|
||||||
|
KT031 |
Kiến thức về quy trình Đánh giá và ủy quyền bảo mật an toàn thông tin mạng. |
KN076 |
Kỹ năng sử dụng mã hóa hạ tầng khóa công khai (PKI) và chữ ký số vào các ứng dụng (ví dụ: email S/MIME, SSL). |
|
|
|
|
||||||
|
KT032 |
Kiến thức về các nguyên tắc an toàn thông tin mạng và riêng tư được sử dụng để quản lý rủi ro liên quan đến việc sử dụng, lưu trữ và truyền thông tin hoặc dữ liệu. |
KN079 |
Kỹ năng đánh giá an toàn thiết kế hệ thống. |
|
|
|
|
||||||
|
KT034 |
Kiến thức về các nguồn phổ biến thông tin về điểm yếu bảo mật (ví dụ: cảnh báo, tư vấn và bản tin,...). |
KN080 |
Kỹ năng tích hợp và áp dụng các chính sách để đáp ứng các mục tiêu an toàn hệ thống. |
|
|
|
|
||||||
|
KT038 |
Kiến thức về các nguyên tắc và yêu cầu an toàn thông tin mạng và riêng tư (liên quan đến tính bí mật, tính toàn vẹn, tính khả dụng, xác thực, chống chối bỏ). |
KN081 |
Kỹ năng đánh giá các biện pháp kiểm soát an toàn dựa trên các nguyên tắc và nguyên lý an toàn thông tin mạng. |
|
|
|
|
||||||
|
KT041 |
Kiến thức về các yêu cầu quản lý rủi ro. |
KN090 |
Kỹ năng thực hiện đánh giá tác động/rủi ro. |
|
|
|
|
||||||
|
|
KT042 |
Kiến thức về các nguyên tắc và phương pháp an toàn thông tin (ví dụ: tường lửa, DMZ, mã hóa). |
KN091 |
Kỹ năng áp dụng các kỹ thuật lập trình an toàn. |
|
|
|
|
|||||
|
|
KT046 |
Kiến thức về các phương pháp chuyên ngành về thẩm định, triển khai và áp dụng đánh giá an toàn thông tin, giám sát, phát hiện; các công cụ và quy trình khắc phục theo các tiêu chuẩn. |
KN092 |
Kỹ năng sử dụng các công cụ hiệu chỉnh tương quan sự kiện an toàn thông tin. |
|
|
|
|
|||||
|
|
KT048 |
Kiến thức về truy cập mạng, danh tính và quản lý truy cập (ví dụ: hạ tầng khóa công khai, Oauth, OpenlD, SAML, SPML). |
KN093 |
Kỹ năng sử dụng các công cụ phân tích dòng lệnh (code). |
|
|
|
|
|||||
|
|
KT051 |
Kiến thức về các công nghệ mới và mới nổi lĩnh vực công nghệ thông tin và an toàn thông tin mạng. |
KN094 |
Kỹ năng thực hiện phân tích nguyên nhân gốc. |
|
|
|
|
|||||
|
|
KT060 |
Kiến thức về các mối đe dọa và điểm yếu của hệ thống và ứng dụng (ví dụ: tràn bộ đệm (buffer overflow), mã di động (mobile code), cross-site scripting, PL/SQL injection, mã độc,...). |
KN095 |
Kỹ năng trong các hoạt động lập kế hoạch hành chính. |
|
|
|
|
|||||
|
|
KT071 |
Kiến thức về các nguyên tắc và phương pháp phân tích cấu trúc. |
KN096 |
Kỹ năng phân tích mạng liên lạc của mục tiêu. |
|
|
|
|
|||||
|
|
KT074 |
Kiến thức về các công cụ đánh giá hệ thống và kỹ thuật xác định lỗi. |
KN097 |
Kỹ năng phân tích lưu lượng để xác định các thiết bị mạng. |
|
|
|
|
|||||
|
|
KT079 |
Kiến thức về cấu trúc và quy trình báo cáo của nhà cung cấp dịch vụ an toàn thông tin mạng. |
KN106 |
Kỹ năng xác định các thiếu sót và hạn chế của hoạt động thu thập thông tin. |
|
|
|
|
|||||
|
|
KT080 |
Kiến thức về kiến trúc công nghệ thông tin, Chính phủ điện tử. |
KN107 |
Kỹ năng xác định các ngôn ngữ vấn đề có thể tác động đến các mục tiêu của tổ chức. |
|
|
|
|
|||||
|
|
KT081 |
Kiến thức về các tầm nhìn và mục tiêu công nghệ thông tin của tổ chức. |
KN108 |
Kỹ năng xác định khách hàng tiềm năng để phát triển mục tiêu. |
|
|
|
|
|||||
|
|
KT099 |
Kiến thức về thực hành Quản lý rủi ro chuỗi cung ứng. |
KN109 |
Kỹ năng xác định các ngôn ngữ và phương ngữ (thổ ngữ). |
|
|
|
|
|||||
|
|
KT110 |
Kiến thức về các quy trình kinh doanh / sứ mệnh cốt lõi của tổ chức. |
KN110 |
Kỹ năng xác định các thiết bị hoạt động ở mỗi tầng của các mô hình giao thức. |
|
|
|
|
|||||
|
|
KT118 |
Kiến thức về luật, nghị định, chỉ thị, quy định hiện hành về an toàn thông tin. |
KN111 |
Kỹ năng xác định, định vị và theo dõi mục tiêu thông qua các kỹ thuật phân tích không gian địa lý. |
|
|
|
|
|||||
|
|
KT119 |
Kiến thức về an toàn chuỗi cung ứng công nghệ thông tin và rủi ro chuỗi cung ứng, các chính sách, yêu cầu và thủ tục quản lý. |
KN112 |
Kỹ năng ưu tiên thông tin liên quan đến nghiệp vụ |
|
|
|
|
|||||
|
|
KT120 |
Kiến thức về các hệ thống hạ tầng quan trọng với công nghệ thông tin và truyền thông được thiết kế không quan tâm về bảo mật hệ thống. |
KN113 |
Kỹ năng diễn giải các ngôn ngữ lập trình biên dịch và thông dịch. |
|
|
|
|
|||||
|
|
KT127 |
Kiến thức về các khái niệm kiến trúc an toàn thông tin mạng bao gồm cấu trúc liên kết (topology), giao thức, các thành phần và nguyên tắc (ví dụ: phòng thủ chiều sâu defense-in-depth). |
KN114 |
Kỹ năng diễn giải siêu dữ liệu và nội dung được áp dụng bởi hệ thống thu thập. |
|
|
|
|
|||||
|
|
KT141 |
Kiến thức về các khái niệm kiến trúc an toàn thông tin và các kiến trúc mô hình tham chiếu (ví dụ: Khung kiến trúc Zachman, V.V.). |
KN115 |
Kỹ năng diễn giải các kết quả truy vết, cũng như áp dụng cho việc phân tích và cấu trúc lại hệ thống mạng. |
|
|
|
|
|||||
|
|
KT144 |
Kiến thức về các mô hình bảo mật (ví dụ: mô hình Bell-LaPadula, mô hình Biba, Mô hình Clark Wilson). |
KN116 |
Kỹ năng giải thích kết quả rà quét điểm yếu để xác định điểm yếu. |
|
|
|
|
|||||
|
|
KT162 |
Kiến thức về các tiêu chuẩn an toàn thông tin cá nhân, dữ liệu cá nhân. |
KN117 |
Kỹ năng quản lý kiến thức, tài liệu kỹ thuật (ví dụ: Wikipage). |
|
|
|
|
|||||
|
|
KT163 |
Kiến thức về các tiêu chuẩn an toàn dữ liệu thẻ thanh toán (PCI). |
KN118 |
Kỹ năng quản lý mối quan hệ với khách hàng, bao gồm xác định nhu cầu / yêu cầu của khách hàng, quản lý kỳ vọng của khách hàng và thể hiện cam kết cung cấp chất lượng sản phẩm. |
|
|
|
|
|||||
|
|
KT164 |
Kiến thức về các tiêu chuẩn an toàn dữ liệu thông tin y tế, sức khỏe cá nhân. |
KN119 |
Kỹ năng thực hiện phân tích hệ thống mục tiêu. |
|
|
|
|
|||||
|
|
KT169 |
Kiến thức về luật pháp, chính sách, thủ tục hoặc quản trị an toàn thông tin mạng cho các hạ tầng quan trọng. |
KN120 |
Kỹ năng chuẩn bị và trình bày các cuộc họp giao ban. |
|
|
|
|
|||||
|
|
KT182 |
Kiến thức về chương trình phân loại thông tin và các quy trình đối với xâm phạm thông tin. |
KN121 |
Kỹ năng chuẩn bị kế hoạch và các thư từ liên quan. |
|
|
|
|
|||||
|
|
KT198 |
Kiến thức về hệ thống nhúng. |
KN122 |
Kỹ năng ưu tiên ngôn ngữ mục tiêu quan trọng. |
|
|
|
|
|||||
|
|
KT208 |
Kiến thức về các nguyên tắc, công cụ và kỹ thuật kiểm thử xâm nhập. |
KN123 |
Kỹ năng xử lý dữ liệu thu thập được để phân tích tiếp. |
|
|
|
|
|||||
|
|
KT247 |
Kiến thức về các biện pháp kiểm soát liên quan đến việc sử dụng, xử lý, lưu trữ và truyền dữ liệu. |
KN124 |
Kỹ năng phân tích để hỗ trợ viết báo cáo hành động theo từng giai đoạn. |
|
|
|
|
|||||
|
|
KT248 |
Kiến thức về rủi ro bảo mật ứng dụng (ví dụ: Danh sách top 10 lỗ hổng owasp). |
KN126 |
Kỹ năng nhận xét và chỉnh sửa sản phẩm đánh giá. |
|
|
|
|
|||||
|
|
|
|
KN127 |
Kỹ năng xem xét và chỉnh sửa kế hoạch. |
|
|
|
|
|||||
|
|
|
|
KN128 |
Kỹ năng điều chỉnh phân tích theo các cấp độ cần thiết (ví dụ: phân loại và tổ chức). |
|
|
|
|
|||||
|
|
|
|
KN129 |
Kỹ năng phát triển mục tiêu hỗ trợ trực tiếp cho nghiệp vụ thu thập. |
|
|
|
|
|||||
|
|
|
|
KN130 |
Kỹ năng xác định sự bất thường của mạng mục tiêu (ví dụ: xâm nhập, luồng dữ liệu hoặc xử lý, triển khai các công nghệ mới). |
|
|
|
|
|||||
|
|
|
|
KN131 |
Kỹ năng về kỹ thuật viết báo cáo. |
|
|
|
|
|||||
|
|
|
|
KN135 |
Kỹ năng sử dụng phản hồi để cải thiện quy trình, sản phẩm và dịch vụ. |
|
|
|
|
|||||
|
|
|
|
KN138 |
Kỹ năng tiếp cận thông tin về tài sản hiện có, cách sử dụng. |
|
|
|
|
|||||
|
|
|
|
KN139 |
Kỹ năng truy cập cơ sở dữ liệu về các chương trình/kế hoạch/chỉ thị/hướng dẫn. |
|
|
|
|
|||||
|
|
|
|
KN140 |
Kỹ năng phân tích hướng dẫn chiến lược cho các vấn đề cần làm rõ và/hoặc hướng dẫn bổ sung. |
|
|
|
|
|||||
|
|
|
|
KN141 |
Kỹ năng phân tích mục tiêu hoặc mối đe dọa. |
|
|
|
|
|||||
|
|
|
|
KN142 |
Kỹ năng xây dựng kế hoạch thu thập thông tin thế hiện rõ nguyên tắc để thu thập thông tin cần thiết. |
|
|
|
|
|||||
|
|
|
|
KN143 |
Kỹ năng đánh giá các yêu cầu cung cấp thông tin để xác định xem thông tin phản hồi có tồn tại hay không. |
|
|
|
|
|||||
|
|
|
|
KN144 |
Kỹ năng trích xuất thông tin từ các công cụ và ứng dụng có sẵn liên quan đến yêu cầu thu thập và quản lý hoạt động thu thập. |
|
|
|
|
|||||
|
|
|
|
KN147 |
Kỹ năng áp dụng các nguyên tắc an toàn thông tin mạng và quyền riêng tư đối với các yêu cầu của tổ chức (liên quan đến tính bí mật, tính toàn vẹn, tính khả dụng, xác thực, chống chối bỏ). |
|
|
|
|
|||||
|
|
|
|
KN148 |
Kỹ năng sử dụng sơ đồ và quy trình báo cáo của nhà cung cấp dịch vụ an toàn toàn thông tin mạng. |
|
|
|
|
|||||
|
|
|
|
KN149 |
Kỹ năng xác định các vấn đề về an toàn thông tin mạng và quyền riêng tư xuất phát từ các mỗi quan hệ bên trong, khách hàng bên ngoài và các tổ chức đối tác. |
|
|
|
|
|||||
|
CSSS2 |
Ứng cứu sự cố |
X |
X |
X |
X |
||||||||
|
|
KT001 |
Kiến thức về các khái niệm và giao thức mạng máy tính và phương pháp luận về an toàn thông tin mạng. |
KN002 |
Kỹ năng xác định, nắm bắt, lưu trữ và báo cáo phần mềm độc hại. |
|
|
|
|
|||||
|
|
KT002 |
Kiến thức về các quy trình quản lý rủi ro (ví dụ: các phương pháp đánh giá và giảm thiểu rủi ro). |
KN020 |
Kỹ năng bảo quản tính toàn vẹn của bằng chứng theo quy trình thao tác tiêu chuẩn hoặc tiêu chuẩn quốc gia. |
|
|
|
|
|||||
|
|
KT003 |
Kiến thức về luật, quy định, chính sách và đạo đức nghề nghiệp liên quan đến an toàn thông tin mạng và quyền riêng tư. |
KN042 |
Kỹ năng bảo đảm an toàn mạng thông tin liên lạc. |
|
|
|
|
|||||
|
|
KT004 |
Kiến thức về an toàn thông tin mạng và các nguyên tắc quyền riêng tư. |
KN043 |
Kỹ năng nhận biết, phân loại các loại điểm yếu và các hình thức tấn công liên quan. |
|
|
|
|
|||||
|
|
KT005 |
Kiến thức về các mối đe dọa và điểm yếu an toàn thông tin mạng. |
KN044 |
Kỹ năng bảo vệ mạng khỏi phần mềm độc hại. (Ví dụ: NIPS, chống phần mềm độc hại, hạn chế/ngăn chặn thiết bị bên ngoài, bộ lọc thư rác). |
|
|
|
|
|||||
|
|
KT006 |
Kiến thức về các ảnh hưởng đối với hoạt động do mất an toàn thông tin mạng. |
KN045 |
Kỹ năng thực hiện đánh giá thiệt hại. |
|
|
|
|
|||||
|
|
KT019 |
Kiến thức về sao lưu và phục hồi dữ liệu. |
KN092 |
Kỹ năng sử dụng các công cụ hiệu chỉnh tương quan sự kiện an toàn thông tin. |
|
|
|
|
|||||
|
|
KT021 |
Kiến thức về kế hoạch duy trì hoạt động và khôi phục thảm họa. |
KN146 |
Kỹ năng thiết kế ứng phó sự cố cho các mô hình dịch vụ đám mây. |
|
|
|
|
|||||
|
|
KT027 |
Kiến thức về cơ chế kiểm soát truy cập máy chủ/mạng (ví dụ: danh sách kiểm soát truy cập, danh sách khả năng). |
|
|
|
|
|
|
|||||
|
|
KT028 |
Kiến thức về các dịch vụ mạng và giao thức kết nối mạng. |
|
|
|
|
|
|
|||||
|
|
KT035 |
Kiến thức về các loại sự cố, ứng phó sự cố và tiến trình phản hồi sự cố an toàn thông tin mạng. |
|
|
|
|
|
|
|||||
|
|
KT036 |
Kiến thức về phương pháp ứng phó và xử lý sự cố an toàn thông tin mạng. |
|
|
|
|
|
|
|||||
|
|
KT040 |
Kiến thức về các phương pháp và kỹ thuật phát hiện xâm nhập để phát hiện việc xâm nhập máy chủ và mạng. |
|
|
|
|
|
|
|||||
|
|
KT050 |
Kiến thức về các phương pháp phân tích lưu lượng mạng. |
|
|
|
|
|
|
|||||
|
|
KT054 |
Kiến thức về phân tích mức gói tin (packet-level). |
|
|
|
|
|
|
|||||
|
|
KT060 |
Kiến thức về các mối đe dọa và điểm yếu của hệ thống và ứng dụng (ví dụ: tràn bộ đệm (buffer overflow), mã di động (mobile code), cross-site scripting, PL/SQL injection, mã độc,...). |
|
|
|
|
|
|
|||||
|
|
KT084 |
Kiến thức về các thành phần một cuộc tấn công mạng và mối quan hệ của một cuộc tấn công mạng đối với các mối đe dọa và điểm yếu. |
|
|
|
|
|
|
|||||
|
|
KT113 |
Kiến thức về các chính sách, thủ tục và quy định về bảo vệ mạng và an toàn thông tin. |
|
|
|
|
|
|
|||||
|
|
KT115 |
Kiến thức về các loại tấn công khác nhau (ví dụ: thụ động, chủ động, nội gián, cận cảnh, phân tán tấn công). |
|
|
|
|
|
|
|||||
|
|
KT116 |
Kiến thức về các đối tượng tấn công mạng (ví dụ: nghiệp dư (script kiddies), nội gián, tài trợ quốc gia,...). |
|
|
|
|
|
|
|||||
|
|
KT117 |
Kiến thức về kỹ thuật quản trị hệ thống, mạng và cứng hóa (hardening) hệ điều hành. |
|
|
|
|
|
|
|||||
|
|
KT126 |
Kiến thức về các giai đoạn tấn công mạng (ví dụ: trinh sát, dò quét, liệt kê, truy nhập hệ thống, leo thang đặc quyền, duy trì truy cập, khai thác mạng, xóa dấu vết). |
|
|
|
|
|
|
|||||
|
|
KT127 |
Kiến thức về các khái niệm kiến trúc an toàn thông tin mạng bao gồm cấu trúc liên kết (topology), giao thức, các thành phần và nguyên tắc (ví dụ: phòng thủ chiều sâu defense-in-depth). |
|
|
|
|
|
|
|||||
|
|
KT152 |
Kiến thức về mô hình OSI và các giao thức mạng cơ bản (ví dụ: TCP/IP). |
|
|
|
|
|
|
|||||
|
|
KT156 |
Kiến thức về các mô hình dịch vụ đám mây và cách các mô hình đó có thể hạn chế ứng cứu sự cố. |
|
|
|
|
|
|
|||||
|
|
KT161 |
Kiến thức về các khái niệm và phương pháp phân tích mã độc. |
|
|
|
|
|
|
|||||
|
|
KT182 |
Kiến thức về chương trình phân loại thông tin và các quy trình đối với xâm phạm thông tin. |
|
|
|
|
|
|
|||||
|
|
KT203 |
Kiến thức về các giao thức mạng như TCP/IP, DHCP, DNS và các dịch vụ thư mục. |
|
|
|
|
|
|
|||||
|
|
KT241 |
Kiến thức về các giao thức mạng và định tuyến phổ biến (ví dụ: TCP/IP), các dịch vụ (ví dụ: web, thư, DNS) và cách chúng tương tác để cung cấp kết nối mạng. |
|
|
|
|
|
|
|||||
|
|
KT248 |
Kiến thức về rủi ro bảo mật ứng dụng (ví dụ: Danh sách top 10 lỗ hổng owasp). |
|
|
|
|
|
|
|||||
|
CSSS3 |
Kiểm tra, đánh giá điểm yếu |
X |
X |
X |
X |
||||||||
|
|
KT001 |
Kiến thức về các khái niệm và giao thức mạng máy tính và phương pháp luận về an toàn thông tin mạng. |
KN001 |
Kỹ năng tiến hành rà quét điểm yếu và nhận biết các điểm yếu để đảm bảo an toàn các hệ thống. |
|
|
|
|
|||||
|
|
KT002 |
Kiến thức về các quy trình quản lý rủi ro (ví dụ: các phương pháp đánh giá và giảm thiểu rủi ro). |
KN006 |
Kỹ năng đánh giá mức độ an toàn thông tin của hệ thống và mô hình thiết kế. |
|
|
|
|
|||||
|
|
KT003 |
Kiến thức về luật, quy định, chính sách và đạo đức nghề nghiệp liên quan đến an toàn thông tin mạng và quyền riêng tư. |
KN012 |
Kỹ năng sử dụng các công cụ phát hiện xâm nhập trên máy chủ và mạng, (ví dụ: Snort). |
|
|
|
|
|||||
|
|
KT004 |
Kiến thức về an toàn thông tin mạng và các nguyên tắc quyền riêng tư. |
KN019 |
Kỹ năng bắt chước các hành vi đe dọa. |
|
|
|
|
|||||
|
|
KT005 |
Kiến thức về các mối đe dọa và điểm yếu an toàn thông tin mạng. |
KN022 |
Kỹ năng sử dụng các công cụ và kỹ thuật kiểm thử xâm nhập. |
|
|
|
|
|||||
|
|
KT006 |
Kiến thức về các ảnh hưởng đối với hoạt động do mất an toàn thông tin mạng. |
KN023 |
Kỹ năng sử dụng các kỹ thuật tấn công phi kỹ thuật (ví dụ: phishing, baiting, tailgating, V.V.). |
|
|
|
|
|||||
|
|
KT009 |
Kiến thức về các điểm yếu ứng dụng. |
KN046 |
Kỹ năng sử dụng các công cụ phân tích mạng để xác định các điểm yếu. (ví dụ: fuzzing, nmap, V.V.). |
|
|
|
|
|||||
|
|
KT018 |
Kiến thức về mật mã và các khái niệm quản lý khóa mật mã. |
KN064 |
Kỹ năng xem lại nhật ký để xác định bằng chứng về những lần xâm nhập trong quá khứ. |
|
|
|
|
|||||
|
|
KT019 |
Kiến thức về sao lưu và phục hồi dữ liệu. |
KN075 |
Kỹ năng thực hiện đánh giá điểm yếu an toàn ứng dụng. |
|
|
|
|
|||||
|
|
KT027 |
Kiến thức về cơ chế kiểm soát truy cập máy chủ/mạng (ví dụ: danh sách kiểm soát truy cập, danh sách khả năng). |
KN090 |
Kỹ năng thực hiện đánh giá tác động/rủi ro. |
|
|
|
|
|||||
|
|
KT038 |
Kiến thức về các nguyên tắc và yêu cầu an toàn thông tin mạng và riêng tư (liên quan đến tính bí mật, tính toàn vẹn, tính khả dụng, xác thực, chống chối bỏ). |
KN145 |
Kỹ năng để phát triển những hiểu biết chuyên sâu về bối cảnh môi trường đe dọa của tổ chức |
|
|
|
|
|||||
|
|
KT048 |
Kiến thức về truy cập mạng, danh tính và quản lý truy cập (ví dụ: hạ tầng khóa công khai, Oauth, OpenlD, SAML, SPML). |
KN147 |
Kỹ năng áp dụng các nguyên tắc an toàn thông tin mạng và quyền riêng tư đối với các yêu cầu của tổ chức (liên quan đến tính bí mật, tính toàn vẹn, tính khả dụng, xác thực, chống chối bỏ). |
|
|
|
|
|||||
|
|
KT053 |
Kiến thức về cách lưu lượng truyền qua mạng (ví dụ: Giao thức TCP, IP, Mô hình OSI,...). |
|
|
|
|
|
|
|||||
|
|
KT059 |
Kiến thức về cấu trúc ngôn ngữ lập trình và logic. |
|
|
|
|
|
|
|||||
|
|
KT060 |
Kiến thức về các mối đe dọa và điểm yếu của hệ thống và ứng dụng (ví dụ: tràn bộ đệm (buffer overflow), mã di động (mobile code), cross-site scripting, PL/SQL injection, mã độc,...). |
|
|
|
|
|
|
|||||
|
|
KT074 |
Kiến thức về các công cụ đánh giá hệ thống và kỹ thuật xác định lỗi. |
|
|
|
|
|
|
|||||
|
|
KT084 |
Kiến thức về các thành phần một cuộc tấn công mạng và mối quan hệ của một cuộc tấn công mạng đối với các mối đe dọa và điểm yếu. |
|
|
|
|
|
|
|||||
|
|
KT106 |
Kiến thức về ngôn ngữ máy tính thông dịch và biên dịch. |
|
|
|
|
|
|
|||||
|
|
KT115 |
Kiến thức về các loại tấn công khác nhau (ví dụ: thụ động, chủ động, nội gián, cận cảnh, phân tán tấn công). |
|
|
|
|
|
|
|||||
|
|
KT116 |
Kiến thức về các đối tượng tấn công mạng (ví dụ: nghiệp dư (script kiddies), nội gián, tài trợ quốc gia,...). |
|
|
|
|
|
|
|||||
|
|
KT117 |
Kiến thức về kỹ thuật quản trị hệ thống, mạng và cứng hóa (hardening) hệ điều hành. |
|
|
|
|
|
|
|||||
|
|
KT126 |
Kiến thức về các giai đoạn tấn công mạng (ví dụ: trinh sát, dò quét, liệt kê, truy nhập hệ thống, leo thang đặc quyền, duy trì truy cập, khai thác mạng, xóa dấu vết). |
|
|
|
|
|
|
|||||
|
|
KT127 |
Kiến thức về các khái niệm kiến trúc an toàn thông tin mạng bao gồm cấu trúc liên kết (topology), giao thức, các thành phần và nguyên tắc (ví dụ: phòng thủ chiều sâu defense-in-depth). |
|
|
|
|
|
|
|||||
|
|
KT144 |
Kiến thức về các mô hình bảo mật (ví dụ: mô hình Bell-LaPadula, mô hình Biba, Mô hình Clark Wilson). |
|
|
|
|
|
|
|||||
|
|
KT146 |
Kiến thức về nguyên tắc đạo đức và kỹ thuật hack. |
|
|
|
|
|
|
|||||
|
|
KT148 |
Kiến thức về các khái niệm sao lưu và phục hồi dữ liệu. |
|
|
|
|
|
|
|||||
|
|
KT154 |
Kiến thức về các khái niệm quản trị hệ thống cho hệ điều hành, chẳng hạn như nhưng không giới hạn cho các hệ điều hành Unix/Linux, IOS, Android và Windows. |
|
|
|
|
|
|
|||||
|
|
KT167 |
Kiến thức về hạ tầng hỗ trợ để đảm bảo an toàn, hiệu suất và độ tin cậy. |
|
|
|
|
|
|
|||||
|
|
KT182 |
Kiến thức về chương trình phân loại thông tin và các quy trình đối với xâm phạm thông tin. |
|
|
|
|
|
|
|||||
|
|
KT189 |
Kiến thức về phân tích gói tin bằng các công cụ thích hợp (ví dụ: Wireshark, tcpdump). |
|
|
|
|
|
|
|||||
|
|
KT192 |
Kiến thức về mật mã học. |
|
|
|
|
|
|
|||||
|
|
KT203 |
Kiến thức về các giao thức mạng như TCP/IP, DHCP, DNS và các dịch vụ thư mục. |
|
|
|
|
|
|
|||||
|
|
KT208 |
Kiến thức về các nguyên tắc, công cụ và kỹ thuật kiểm thử xâm nhập. |
|
|
|
|
|
|
|||||
|
|
KT209 |
Kiến thức về các mối đe dọa trong môi trường của tổ chức. |
|
|
|
|
|
|
|||||
|
|
KT248 |
Kiến thức về rủi ro bảo mật ứng dụng (ví dụ: Danh sách top 10 lỗ hổng owasp). |
|
|
|
|
|
|
|||||
|
CSSS4 |
Giám sát an toàn thông tin |
X |
X |
X |
X |
||||||||
|
|
KT001 |
Kiến thức về các khái niệm và giao thức mạng máy tính và phương pháp luận về an toàn thông tin mạng. |
KN008 |
Kỹ năng phát triển và triển khai chữ ký số. |
|
|
|
|
|||||
|
|
KT002 |
Kiến thức về các quy trình quản lý rủi ro (ví dụ: các phương pháp đánh giá và giảm thiểu rủi ro). |
KN012 |
Kỹ năng sử dụng các công cụ phát hiện xâm nhập trên máy chủ và mạng, (ví dụ: Snort). |
|
|
|
|
|||||
|
|
KT003 |
Kiến thức về luật, quy định, chính sách và đạo đức nghề nghiệp liên quan đến an toàn thông tin mạng và quyền riêng tư. |
KN013 |
Kỹ năng xác định cách thức hoạt động của hệ thống bảo mật (bao gồm khả năng phục hồi và khả năng tin cậy) và những thay đổi về điều kiện, hoạt động hoặc môi trường sẽ ảnh hưởng như thế nào đến những kết quả này. |
|
|
|
|
|||||
|
|
KT004 |
Kiến thức về an toàn thông tin mạng và các nguyên tắc quyền riêng tư. |
KN017 |
Kỹ năng đánh giá tính đầy đủ của an toàn thiết kế. |
|
|
|
|
|||||
|
|
KT005 |
Kiến thức về các mối đe dọa và điểm yếu an toàn thông tin mạng. |
KN025 |
Kỹ năng sử dụng các phương pháp xử lý sự cố. |
|
|
|
|
|||||
|
|
KT006 |
Kiến thức về các ảnh hưởng đối với hoạt động do mất an toàn thông tin mạng. |
KN026 |
Kỹ năng sử dụng bộ phân tích giao thức. |
|
|
|
|
|||||
|
|
KT007 |
Kiến thức về phương pháp xác thực, ủy quyền và kiểm soát truy cập. |
KN031 |
Kỹ năng thu thập nguồn dữ liệu về phòng thủ mạng. |
|
|
|
|
|||||
|
|
KT013 |
Kiến thức về các công cụ bảo vệ và đánh giá điểm yếu an toàn thông tin mạng và khả năng của các công cụ. |
KN043 |
Kỹ năng nhận biết, phân loại các loại điểm yếu và các hình thức tấn công liên quan. |
|
|
|
|
|||||
|
|
KT015 |
Kiến thức về thuật toán máy tính. |
KN056 |
Kỹ năng đọc và phiên dịch các dấu hiệu nhận biết (signatures) (ví dụ: snort). |
|
|
|
|
|||||
|
|
KT017 |
Kiến thức về các thuật toán mã hóa |
KN081 |
Kỹ năng đánh giá các biện pháp kiểm soát an toàn dựa trên các nguyên tắc và nguyên lý an toàn thông tin mạng. |
|
|
|
|
|||||
|
|
KT018 |
Kiến thức về mật mã và các khái niệm quản lý khóa mật mã |
KN084 |
Kỹ năng thực hiện phân tích mức gói tin. |
|
|
|
|
|||||
|
|
KT020 |
Kiến thức về hệ thống cơ sở dữ liệu. |
KN086 |
Kỹ năng nhận điểm yếu về an toàn các hệ thống, (ví dụ: rà quét điểm yếu và xem xét sự tuân thủ). |
|
|
|
|
|||||
|
|
KT027 |
Kiến thức về cơ chế kiểm soát truy cập máy chủ/mạng (ví dụ: danh sách kiểm soát truy cập, danh sách khả năng). |
KN088 |
Kỹ năng thực hiện phân tích xu hướng (trend). |
|
|
|
|
|||||
|
|
KT034 |
Kiến thức về các nguồn phổ biến thông tin về điểm yếu bảo mật (ví dụ: cảnh báo, tư vấn và bản tin,...). |
KN147 |
Kỹ năng áp dụng các nguyên tắc an toàn thông tin mạng và quyền riêng tư đối với các yêu cầu của tổ chức (liên quan đến tính bí mật, tính toàn vẹn, tính khả dụng, xác thực, chống chối bỏ). |
|
|
|
|
|||||
|
|
KT036 |
Kiến thức về phương pháp ứng phó và xử lý sự cố an toàn thông tin mạng. |
KN148 |
Kỹ năng sử dụng sơ đồ và quy trình báo cáo của nhà cung cấp dịch vụ an toàn toàn thông tin mạng. |
|
|
|
|
|||||
|
|
KT038 |
Kiến thức về các nguyên tắc và yêu cầu an toàn thông tin mạng và riêng tư (liên quan đến tính bí mật, tính toàn vẹn, tính khả dụng, xác thực, chống chối bỏ). |
|
|
|
|
|
|
|||||
|
|
KT040 |
Kiến thức về các phương pháp và kỹ thuật phát hiện xâm nhập để phát hiện việc xâm nhập máy chủ và mạng. |
|
|
|
|
|
|
|||||
|
|
KT042 |
Kiến thức về các nguyên tắc và phương pháp an toàn thông tin (ví dụ: tường lửa, DMZ, mã hóa). |
|
|
|
|
|
|
|||||
|
|
KT048 |
Kiến thức về truy cập mạng, danh tính và quản lý truy cập (ví dụ: hạ tầng khóa công khai, Oauth, OpenlD, SAML, SPML). |
|||||||||||