信息安全测试和评估是确保信息系统和网络安全的重要手段。然而，信息安全测试和评估的质量和效果取决于测试和评估人员的能力和经验。为了确保测试和评估人员具备必要的能力和知识，国际标准化组织（ISO）和国际电工委员会（IEC）联合制定了ISO/IEC 19896-1:2018标准，为信息安全测试和评估人员提供了一套能力要求。

该标准的目的是为信息安全测试和评估人员提供一套能力要求，以确保他们能够有效地执行信息安全测试和评估任务。该标准适用于所有类型的信息系统和网络，包括软件、硬件和云计算环境。

该标准包括两个主要部分：介绍和概念，以及一般要求。

1. 介绍和概念

该部分介绍了该标准的目的、范围和定义，以及信息安全测试和评估的基本概念。其中，定义了以下术语：

- 信息安全测试：指对信息系统和网络进行测试，以评估其安全性和漏洞。
- 信息安全评估：指对信息系统和网络进行评估，以确定其安全性和漏洞，并提出改进建议。
- 信息安全测试和评估人员：指执行信息安全测试和评估任务的人员。
- 能力要求：指信息安全测试和评估人员应具备的知识、技能和经验。

2. 一般要求

该部分包括信息安全测试和评估人员的能力要求、培训和教育要求、工作经验要求、道德和职业要求，以及测试和评估过程中的责任和义务。

具体来说，该标准要求信息安全测试和评估人员应具备以下能力：

- 理解信息安全测试和评估的基本概念和原则。
- 熟悉信息安全测试和评估的方法和技术。
- 能够识别和评估信息安全风险。
- 能够编写测试和评估报告，并提出改进建议。
- 熟悉信息安全标准和法规。

此外，该标准还要求信息安全测试和评估人员应接受相关的培训和教育，并具备一定的工作经验。同时，他们还应遵守道德和职业要求，保持客观、公正和保密，并在测试和评估过程中承担相应的责任和义务。

相关标准
- ISO/IEC 27001:2013 信息技术——安全技术——信息安全管理系统——要求
- ISO/IEC 27002:2013 信息技术——安全技术——信息安全管理实践指南
- ISO/IEC 27005:2018 信息技术——安全技术——信息安全风险管理
- ISO/IEC 15408-1:2009 信息技术——安全评估——部分1：概述和模型
- ISO/IEC 17024:2012 人员认证——通用要求