最新信息安全管理考试真题
一、判断题(本题共15道题,每题1分,共15分。请认真阅读题目,然后在对的题目后面打√,在错误的题目后面打×)
1. 口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信:息,进而非法获得系统和资源访问权限。(√)
2. PKI系统所有的安全操作都是通过数字证书来实现的。(√)
3. PKI系统使用了非对称算法.对称算法和散列算法。(√)
4. 一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restoration)五个主要环节。(√)
5. 信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。(√)
6. 实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。(√)
7. 按照BS 7799标准,信息安全管理应当是一个持续改进的周期性过程。(√)
8. 虽然在安全评估过程中采取定量评估能获得准确的分析结果,但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法。(√)
9. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×)
10. 定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对。(√)
11. 网络边界保护中主要采用防火墙系统,为了保证其有效发挥作用,应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。(√)
12. 网络边界保护中主要采用防火墙系统,在内网和外网之间存在不经过防火墙控制的其他通信连接,不会影响到防火墙的有效保护作用。(×)
13. 防火墙虽然是网络层重要的安全机制,但是它对于计算机病毒缺乏保护能力。(√)
14. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型。(×)
15. 信息技术基础设施库(ITIL),是由英国发布的关于IT服务管理最佳实践的建议和指导方针,旨在解决IT服务质量不佳的情况。(√)
二、选择题(本题共25道题,每题1分,共25分。请认真阅读题目,且每个题目只有一个正确答案,并将答案填写在题目相应位置。)
1. 防止静态信息被非授权访问和防止动态信息被截取解密是__D____。
A.数据完整性
B.数据可用性
C.数据可靠性
D.数据保密性
2. 用户身份鉴别是通过___A___完成的。
A.口令验证
B.审计策略
C.存取控制
D.查询功能
3. 故意输入计算机病毒以及其他有害数据,危害计算机信息系统安全的个人,由公安机关处以___B___。
A. 3年以下有期徒刑或拘役
B. 警告或者处以5000元以下的罚款
C. 5年以上7年以下有期徒刑
D. 警告或者15000元以下的罚款
4. 网络数据备份的实现主要需要考虑的问题不包括__A____。
A.架设高速局域网
B.分析应用环境
C.选择备份硬件设备
D.选择
备份管理软件
5. 《计算机信息系统安全保护条例》规定,对计算机信息系统中发生的案件,有关使用单位应当在___C___向当地县级以上人民政府公安机关报告。
A.8小时内
B.12小时内
C.24小时内
D.48小时内
6. 公安部网络违法案件举报网站的网址是__C____。
A. https://www.360docs.net/doc/241529007.html,
B. https://www.360docs.net/doc/241529007.html,
C. https://www.360docs.net/doc/241529007.html,
D. https://www.360docs.net/doc/241529007.html,
7. 对于违反信息安全法律、法规行为的行政处罚中,__A____是较轻的处罚方式。
A.警告
B.罚款
C.没收违法所得
D.吊销许可证
8. 对于违法行为的罚款处罚,属于行政处罚中的___C___。
A.人身自由罚
B.声誉罚
C.财产罚
D.资格罚
9. 对于违法行为的通报批评处罚,属于行政处罚中的___B___。
A.人身自由罚
B.声誉罚
C.财产罚
D.资格罚
10 1994年2月国务院发布的《计算机信息系统安全保护条例》赋予__C____对计算机信息系统的安全保护工作行使监督管理职权。
A.信息产业部
B.全国人大
C.公安机关
D.国家工商总局
11. 《计算机信息网络国际联网安全保护管理办法》规定,互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起__D____日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。
A.7
B.10
C.15
D.30
12. 互联网服务提供者和联网使用单位落实的记录留存技术措施,应当具有至少保存__C__天记录备份的功能。
A.10
B.30
C.60
D.90
13. 对网络层数据包进行过滤和控制的信息安全技术机制是_A_____。
A.防火墙
B.IDS
C.Sniffer
D.IPSec
14. 针对操作系统安全漏洞的蠕虫病毒根治的技术措施是____B__。
A. 防火墙隔离
B. 安装安全补丁程序
C. 专用病毒查杀工具
D. 部署网络入侵检测系统
15. 下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是__A____。
A. 防火墙隔离
B. 安装安全补丁程序
C. 专用病毒查杀工具
D. 部署网络入侵检测系统
16. 下列不属于网络蠕虫病毒的是__C____。
A. 冲击波
B. SQL SLAMMER
C. CIH
D. 振荡波
17. 传统的文件型病毒以计算机操作系统作为攻击对象,而现在越来越多的网络蠕虫病毒将攻击范围扩大到了__A____等重要网络资源。
A.网络带宽
B.数据包
C.防火墙
D.LINUX
18. 对于远程访问型VPN来说,__A____产品经常与防火墙及NAT机制存在兼容性问题,导致安全隧道建立失败。
A. IPSee VPN
B. SSL VPN
C. MPLS VPN
D. L2TP VPN
19. 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859—1999,提出将信息系统的安全等级划分为___D___个等级,并提出每个级别的安全功能要求。
A.7
B.8
C.6
D.5
20. 等级保护标准GB l7859主要是参考了__B____而提出。
A.欧洲ITSEC
B.美国TCSEC
https://www.360docs.net/doc/241529007.html,
D.BS 7799
21. 我国在1999年发布的国家标准___C___为信息安全等级保护奠定了基础。
A. GB l77998
B. GB l5408
C. GB l7859
D. GB l4430
22. 信息安全登记保护的5个级别中,___B___是最高级别,属于关系到国计民生的最关键信息系统的保护。
A.强制保护级
B.专控保护级
C.监督保护级
D.指导保护级
E.自主保护级
23. 《信息系统安全等级保护实施指南》将___A___作为实施等级保护的第一项重要内容。
A.安全定级
B.安全评估
C.安全规划
D.安全实施
24. ___C___是进行等级确定和等级保护管理的最终对象。
A.业务系统
B.功能模块
C.信息系统
D.网络系统
25. 当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由__B____所确定。
A. 业务子系统的安全等级平均值
B. 业务子系统的最高安全等级
C. 业务子系统的最低安全等级
D. 以上说法都错误
三、多选题(本题共15道题,每题2分,共30分。请认真阅读题目,且每个题目至少有两个答案,并将答案填写在题目相应位置。)
1. 在局域网中计算机病毒的防范策略有______。(ADE)
A.仅保护工作站
B.保护通信系统
C.保护打印机
D.仅保护服务器
E.完全保护工作站和服务器
2. 在互联网上的计算机病毒呈现出的特点是______。(ABCD)
A. 与互联网更加紧密地结合,利用一切可以利用的方式进行传播
B. 具有多种特征,破坏性大大增强
C. 扩散性极强,也更注重隐蔽性和欺骗性
D. 针对系统漏洞进行传播和破坏
3. 一个安全的网络系统具有的特点是______。(ABCE)
A. 保持各种数据的机密
B. 保持所有信息、数据及系统中各种程序的完整性和准确性
C. 保证合法访问者的访问和接受正常的服务
D. 保证网络在任何时刻都有很高的传输速度
E. 保证各方面的工作符合法律、规则、许可证、合同等标准
4. 任何信息安全系统中都存在脆弱点,它可以存在于______。(ABCDE)
A.使用过程中
B.网络中
C.管理过程中
D.计算机系统中
E.计算机操作系统中
5. ______是建立有效的计算机病毒防御体系所需要的技术措施。(ABCDE)
A.杀毒软件
B.补丁管理系统
C.防火墙
D.网络入侵检测
E.漏洞扫描
6. 信息系统安全保护法律规范的作用主要有______。(ABCDE)
A.教育作用
B.指引作用
C.评价作用
D.预测作用
E.强制作用
7. 根据采用的技术,入侵检测系统有以下分类:______。(BC)
A.正常检测
B.异常检测
C.特征检测
D.固定检测
E.重点检测
8. 在安全评估过程中,安全威胁的来源包括______。(ABCDE)
A.外部黑客
B.内部人员
C.信息技术本身
D.物理环境
E.自然界
9. 安全评估过程中,经常采用的评估方法包括______。(ABCDE)
A.调查问卷
B.人员访谈
C.工具检测
D.手工审核
E.渗透性测试
10. 根据ISO定义,信息安全的保护对象是信息资产,典型的信息资产包括______。(BC)
A.硬件
B.软件
C.人员
D.数据
E.环境
11. 根据ISO定义,信息安全的目标就是保证信息资产的三个基本安全属性,包括__。(BCD)
A.不可否认性
B.保密性
C.完整性
D.可用性
E.可靠性
12. 治安管理处罚法规定,______行为,处5日以下拘留;情节较重的,处5日以上10日以下拘留。(ABCD)
A. 违反国家规定,侵入计算机信息系统,造成危害的
B. 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的
C. 违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的
D. 故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的
13. 网络蠕虫病毒越来越多地借助网络作为传播途径,包括______。(ABCDE)
A.互联网浏览
B.文件下载
C.电子邮件
D.实时聊天工具
E.局域网文件共享
14. 在信息安全管理中进行安全教育与培训,应当区分培训对象的层次和培训内容,主要包括__(ABE)
A.高级管理层
B.关键技术岗位人员
C.第三方人员
D.外部人员
E.普通计算机用户
15. 网络入侵检测系统,既可以对外部黑客的攻击行为进行检测,也可以发现内部攻击者的操作行为,通常部署在______。(BC)
A. 关键服务器主机
B. 网络交换机的监听端口
C. 内网和外网的边界
D. 桌面系统
E. 以上都正确
四、简答题(本题共5道题,1~4题,每题5分,第5小题10分,共30分。)
1. 简述安全策略体系所包含的内容。
答:一个合理的信息安全策略体系可以包括三个不同层次的策略文档:
(1)总体安全策略,阐述了指导性的战略纲领性文件,阐明了企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定以及对于信息资产的管理办法等内容;
(2)针对特定问题的具体策略,阐述了企业对于特定安全问题的声明、立场、使用办法、强制要求、角色、责任认定等内容,例如,针对Internet访问操作、计算机和网络病毒防治、口令的使用和管理等特定问题,制定有针对性的安全策略;
(3)针对特定系统的具体策略,更为具体和细化,阐明了特定系统与信息安全有关的使用和维护规则等内容,如防火墙配置策略、电子邮件安全策略等。
2. 简述我国信息安全等级保护的级别划分。
答:(1)第一级为自我保护级。其主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民、法人和其它组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。
(2)第二级为指导保护级。其主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护,必要时,信息安全监管职能部门对其进行指导。
(3)第三级为监管保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信息系统,器业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害;本机系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。
(4)第四级为强制保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。
(5)第五级为专控保护级。其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全社会秩序和公共利益造成特别严重损害;本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督、检查。
3. 简述信息安全脆弱性的分类及其内容。
答:信息安全脆弱性的分类及其内容如下所示;
脆弱性分类:
一、技术脆弱性
1、物理安全:物理设备的访问控制、电力供应等
2、网络安全:基础网络构架、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全等
3、系统安全:应用软件安全漏洞、软件安全功能、数据防护等
4、应用安全:应用软件安全漏洞、软件安全功能、数据防护等
二、管理脆弱性
安全管理:安全策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性、符合性
4. 简述至少4种信息系统所面临的安全威胁。
答:信息系统所面临的常见安全威胁如下所示:
软硬件故障:由于设备硬件故障、通信链接中断、信息系统或软件Bug导致对业务、高效稳定运行的影响。
物理环境威胁:断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害。
无作为或操作失误:由于应该执行而没有执行相应的操作,或无意的执行了错误的操作,对系统造成影响。
管理不到位:安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏信息系统正常有序运行。
恶意代码和病毒:具有自我复制、自我传播能力,对信息系统构成破坏的程序代码。
越权或滥用:通过采用一些,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏信息系统的行为。
黑客攻击技术:利用黑客工具和技术,例如,侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵。
物理攻击:物理接触、物理破坏、盗窃。
泄密:机密信息泄露给他人。
篡改:非法修改信息,破坏信息的完整性。
抵赖:不承认收到的信息和所作的操作和交易。
5. 请谈谈参加本次培训的体会与提高。
(发挥题目,请各抒己见)
管理学原理期末考试题目和答案
. . . . 《管理学原理》总复习与综合复习 一、基本概念 1、管理 是在特定的环境下,对组织所拥有的资源进行有效的计划、组织、领导和控制,以便 达到既定的组织目标的过程。 2、决策 是管理的基本要素。计划、组织、领导和控制都是管理的职能,而每项职能都要求做 出迅速且明确的决定,这些都是决策问题。 广义定义:人们为了实现目标,根据客观条件,通过调查和研究,在掌握大 量有关信息和经验的基础上,借助一定的方法和手段,从众多方案中选择一个最满意或合 理的方案并付诸实施的过程。 狭义的决策:为达到某个目标,从众多方案中选定一个满意方案的行为,也就是通常 所说的“决定” 、“拍板”、或“决断”。 3、保健因素 是指工作环境或条件相关的因素,由于这类因素带有预防性,只起保持人的积极性、 维持工作现状的作用。 4、控制 对组织各方面的活动给以监控,使组织实际运行状况与组织计划要求保持动 态适应的工作过程。这项工作由管理人员来做,并作为一项管理职能开展,通常称之为“管理控制” 。 5、反馈控制 把组织系统运行的结果返送到组织系统的输入端,与组织预定的计划标准进行比较,然 后找出实际与计划之间的差异,并采取措施纠正这种差异的一种控制方法。 6、管理幅度 管理幅度也称为管理宽度,指一个管理者直接管理下级人员的数目。 二、基本原理 1、决策的程序 要使决策有效就要遵循科学的决策程序,一般来说,决策的程序可以分为一下几个步 骤: (1)识别机会或诊断问题:问题是决策的起点,任何管理组织的进步、发展都是从发现 问题开始,然后做出变革而实现的。这里的问题是指应有的状况和实际之间的差距。 (2)确定决策目标:决策要求有明确而具体的决策目标。 (3)拟定备选方案:决策的基本含义是抉择,这就要求至少有两个以上的可行方案。可行性方案要具备 3 个条件,能够保证决策目标的实现,组织外部环境和内部条件都有可行性,具有排他性。 (4)分析评选备选方案:鉴定所有方案执行后可能产生的后果。要明智地评价备选方案,必须设法预测该方案执行后可能产生的后果,应尽量把所有可能都估计到。 专注专业
信息安全管理体系研究
信息安全管理体系研究 摘要:随着信息技术的不断应用,信息安全管理已经逐渐成为各企业或各机构管理体系的重要组成部分。了解信息安全对企业发展的重要性,制定科学合理的方案构建完善的信息安全管理体系,是当前企业发展中需要解决的问题之一。 关键词:信息;管理体系;安全 一、概述 信息安全管理是指在信息的使用、存储、传输过程中做好安全保护工作,保持信息的保密性、完整性和可用性。其中,保密性是指保障信息仅能被具有使用权限的人获取或使用;完整性指为信息及其处理方法的准确性和完整性提供保护措施;可用性则指使用权限的人可在需要时获取和使用相关的信息资产。因此,做好信息安全管理体系的研究对于提升信息的安全性具有现实意义。 二、信息安全管理体系 2.1 信息安全管理体系介绍根据网络安全相关统计表明,网络信息安全事故中由于管理问题导致出现安全事故的高达70%以上,因此解决网络信息的安全问题,除从技术层面进行改进外,还应加强网络信息的安全管理力度。信息安全管理体系的建设是一项长期的、系统的、复杂的工程,在建设信息安全管理体系时,应对整个网络系统的各个环节进行综合考虑、规划和构架,并根据各个要素的变化情况对管理体系进行必要的调整,任何环节存在安全缺陷都可能会影响整个体系的安全。 2.2 信息安全管理体系的功能信息安全管理是指导企业对于信息安全风险相互协调的活动,这种指导性活动主要包括信息安全方针的制定、风险评估、安全保障、控制目标及方式选择等。企业要实现对信息资产进行安全、高效、动态的管理,就需要建立科学、完善、标准的信息安全管理体系。因此,一个有效的信息安全管理体系应该具备以下功能:对企业的重要信息资产进行全面的保护,维持企业的竞争优势;使企业能在预防和持续发展的观点上处理突发事件,当信息系统受到非法入侵时,能使相关的业务损失降到最低,并能维持基本的业务开展;使企业的合作伙伴和客户对企业充满信心;能使企业定期对系统进行更新和控制,以应对新的安全威胁。 三、信息安全管理体系的构建 3.1 信息安全管理框架的建立
2018最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
信息安全管理体系程序文件目录
信息安全管理体系作业文件目录
1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类: 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故: a) 企业秘密、机密及国家秘密泄露或丢失; b) 服务器停运4 小时以上; c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故: a) 企业机密及国家秘密泄露; b) 服务器停运8 小时以上; c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括: a) 未产生恶劣影响的服务、设备或者实施的遗失; b) 未产生事故的系统故障或超载; c) 未产生不良结果的人为误操作; d) 未产生恶劣影响的物理进入的违规
(完整word版)管理学期末考试题库
管理学习题 一、单项选择题: 1、科学管理理论的中心问题是(D) A.作业标准化B差别计件制C职能工长制D提高劳动生产率 2、在下面的各种陈述中,哪个属于企业使命的描述(B) A、在2008年完成销售额1000万 B、成为消费者群体中最优秀的商用计算机和商用计算机服务器的供应商 C、顾客第一,服务至上 D、以上都不是 3、下列哪一项不属于计划的功能(A)。 A、为领导提供决策 B、保证决策目标的实现 C、为实施控制提供依据 D、利于各种资源的合理配置 4、根据赫茨柏格的双因素理论,(B)因素可激励员工。 A、报酬、成就、认可、责任 B、成长、成就、责任 C、成就、责任、良好的人际关系和成长 D、报酬、工作条件、良好的工作关系 5.某公司总经理安排其助手去洽谈一个重要的工程项目合同,结果由于助手工作中的考虑欠周全,致
使合同最终被另一家公司截走。由于此合同对公司经营关系重大,董事会在讨论其中失误的责任时,存在以下几种说法,你认为哪一种说法最为合理? (A) A、总经理至少应该承担领导用人不当与督促检查失职的责任 B、总经理的助手既然承接了该谈判的任务,就应对谈判承担完全的责任 C、若总经理助手又进一步将任务委托给其下属,则也可不必承担谈判失败的责任 D、公司总经理已将些事委托给助手,所以,对谈判的失败完全没有责任 6、关于正式组织与非正式组织的叙述,下列说法不正确的是(B) A、前者是经过人为筹划设计而形成的,后者是自发形成的 B、两者都有明确的组织目标 C、组织成员形成非正式组织的心理需要,正是正式组织不能满足的 D、非正式组织对于正式组织的影响具有两面性 7、根据价值链分析法,下列不属于基本活动的是(B)。 A、内部后勤 B、技术开发 C、生产作业 D、服务 8,下列关于强化理论的说法正确的是(A) 。 A、实施负强化,应以连续负强化为主。
中国科学院计算技术研究所网络与信息安全管理制度
中科院计算所网络与信息安全管理制度一.目的 目的:为保证中国科学院计算技术研究所网络与信息的安全,规范所内网络资源的使用和所内网络用户的上网行为。 二.适用范围 中国科学院计算技术研究所所有网络用户。 三.引用文件 《中华人民共和国计算机信息网络国际联网管理暂行规定》; 四.职责 一、中科院计算所网络与信息安全领导小组负责处理中科院计算所网络语信息安全重大问题,协调处理重大突发性的紧急事件。 1.处理计算所网络与信息安全事件; 2.网络安全事件的监控,发现问题及时的报科技网应急小组 3.对所用户提供网络与信息安全咨询和技术支持; 4.定期对网络进行安全漏洞扫描,并通知终端用户; 5.开展安全教育培训; 二、中科院计算所网络与信息安全办公室设在网络管理办公室, 1. 网络管理办公室负责日常联络和事务处理工作。
2. 要保证有专职人员负责计算机与网络管理和维护 3. 要对网络进行安全性能的优化,配备必要的软、硬件设施有效抵挡外来 入侵 三、各部门管理网络联系人职责 1.负责监控和分析本单位的网络与信息安全状况,及时发现、处理、 汇总安全事件信息,在规定的时间内上报; 2.明确我所应急组织体系、职责和应急处理流程; 3.加强安全防范工作,完善重要业务的数据备份机制, 4.加强信息内容安全的管理,发现有害信息及时清除并上报; 5. 要时刻谨记,对自己的网络行为负责。同时加强安全防护意识, 防止非法盗用的发生。 6.按要求对接入互联网的网站进行备案。 7.要配合并协助落实此制度的实行。 五.具体管理办法 1.所有网络用户必须遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》等国家有关法律、法规及《计算所通信、计算机信息系统及办公自动化设备管理规定》(见附件1)等所内的相关规章制度,在发生网络与信息安全突发事件时要立即启动《中科院计算所网络与信息安全应急预案》(见附件2),并努力将损失减到最小。 2.所内的计算机网络及计算机软、硬件资源仅用于与科研、教育及相关的业务,通过网络系统进行的数据传输、邮件通讯或新闻发布,其内容也必须是上述性质的范围,不得违反国家对计算机和国际互联网有关的安全条例和规定,严格执行安全保密制度,对所提供的信息负责。 3.所内计算机的帐号只授予个人使用,被授权者对自己享用(或因特殊需要由
【精品推荐】ISO27001信息安全管理体系全套文件
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
管理学期末考试题A及答案
《管理学》试卷(A 卷) 适用专业年级:级工商管理 考试形式:开()、闭(∨)卷 选择题答案请填在下面的空格内 一、单项选择题(在每小题的四个备选答案中,选出一个正确答案, 并将正确答案的序号填在上表中) 每小题1分,共30分) 1.在我国企业管理实践中,有许多企业家倾向采取较为集权的组织结构。从理论上说,你认为支持采取集权组织结构的最为合适的理由是什么? A.维护政策统一性与提高行政效率。B.最大限度地提高组织的决策水平。 C.提高整个组织的市场应急反应能力。D.激发整个组织内部员工的工作热情。
2.在具备一定规模的公司里,高层领导常常会对如何评估各部门负责人的业绩问题感到困惑。以下是几种关于依据什么衡量管理人员业绩的提法,你最赞同其中哪一提法? A.各人所辖部门对企业整体目标的贡献。B.各人自身对于企业整体目标的贡献。 C.各人对于实现部门及企业整体目标的贡献。D.个人所在部门人员的目标与企业整体目标的一致性。 3.假设你是一个大公司的中层管理人员,如果你获得提升,在以下几种选择继任者的标准中,你会优先考虑哪一条? A.是否具有较高的学历与较强的业务能力。B.能否得到部门成员及上级领导的普遍认同。C.能否保持你原先形成的管理风格。D.是否具备创新开拓能力。 4.在一个市场需求高速增长的行业中,有家企业近年的产品销售增长率连续翻番,但却仍然发现自身产品的市场占有率处于不断下降之中。以下是对于这种现象产生原因的几种猜测,你认为哪一种更为可靠? A.该企业产品销售增长率比过去有所下降。 B.该企业产品销售增长率慢于整个市场需求增长率。 C.该企业产品销售增长率慢于同行企业产品销售增长率。 D.该企业产品市场竞争对手企业数量显著增加。 5.只要注意观察,几乎在所有单位都能发现许多小团体。对于这些小团体,存在着以下几种看法,请问你最赞同哪一种? A.这些小团体通常不属于正式组织,无助于组织目标的实现。 B.在深入调查研究的基础上,找出这些小团体的产生根源,以清除其产生的土壤。 C.承认小团体客观存在的合理性,积极引导,促进组织目标实现。 D.找出小团体的领导人,要求他们不要再搞小团体,以免影响组织正常运行。 6.有些企业领导在谈经营之道时,非常强调外部机会的作用,认为只要抓住了机会,不愁企业不发展。假设这是一种可接受的说法,你认为需要具备什么前提? A.企业有没有能力是无所谓的,机会自然会锻炼出能力。 B.有能力还需要有机会,仅有能力还不足以保证企业的发展。 C.外部环境对于企业发展的影响要远大于内部实力的作用。 D.机会是相对于能力而言的,没有能力肯定抓不住机会。 7.某民营企业为了充分调动科技人员的积极性,进一步推动企业的研究开发工作,由财务部制定量化指标,对具有中级职称以上的科技人员每月进行分等考评。考评结果在与个人报酬挂钩的基础上,还每月定期张榜向全企业公布。你认为这样做以后,最有可能产生什么现象? A.获得低分者认识到自己水平差,从而会更安心于企业的工作。 B.获得高分者发现了自身价值后会跳槽到同行企业谋取更高的报酬。 C.这种过于严格僵化的考核,会挫伤科技人员的积极性,不利于工作安排。 D.获得高分者会留下求发展,而低分者则会由于面子过不去而另谋他就。 8.某教授讲到管理控制部分时,要求学员做一项练习。教授说:"大家都受过高等教育,对大学的情况比较了解,你们是否知道目前大学管理部门都是从哪些方面控制教师的?每人只要说一个方面即可。"学员们发言踊跃,有的说要检查教师的教案更新情况,有的说要检查教师发表论文的数量和质量,有的说要检查教师所教授的学生的成绩,……学员边说,教授边记,很快黑板被写满了。面对如此多的控制标准,教授问学员:"现在,有谁愿意当老师,请举手。"大家盯着黑板,长时间没有举手。造成上述控制标准过多现象的原因是什么? A.没有明确或忽视了控制的目的。B.没有选择好关键控制点。 C.管理人员希望控制全局的欲望。D.人们看待和分析问题角度不同。 9.长期以来,企业的组织结构大体上形成垂直式和扁平式两种类型。垂直式组织管理工作分工细致、层次较多;扁平式组织层次较少。以下是关于这两种组织结构特点的比较,哪一种说法更为恰当?A.垂直式组织更加倾向于集权,管理成本更高,适应环境变化能力更差。
信息安全管理体系建设
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
最新ISO27001:2013信息安全管理体系一整套程序文件(共41个程序184页)
XXXXXXXXX有限责任公司 信息安全管理体系 程序文件 编号:XXXX-B-01~XXXX-B-41 (符合ISO/IEC 27001-2013标准) 拟编:信息安全小组日期:2015年02月01日 审核:管代日期:2015年02月01日 批准:批准人名日期:2015年02月01日 发放编号: 01 受控状态:受控 2015年2月1日发布2015年2月1日实施
[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序 [XXXX-B-03]记录控制程序 [XXXX-B-04]纠正措施控制程序 [XXXX-B-05]预防措施控制程序 [XXXX-B-06]内部审核管理程序 [XXXX-B-07]管理评审程序 [XXXX-B-08]监视和测量管理程序 A6[XXXX-B-09]远程工作管理程序 A7[XXXX-B-10]人力资源管理程序 A8[XXXX-B-11]商业秘密管理程序 A8[XXXX-B-12]信息分类管理程序 A8[XXXX-B-13]计算机管理程序 A8[XXXX-B-14]可移动介质管理程序 A9[XXXX-B-15]用户访问管理程序 A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序 A10[XXXX-B-18]账号密码控制程序 A11[XXXX-B-19]安全区域管理程序 A12.1.2[XXXX-B-20]变更管理程序 A12.1.3[XXXX-B-21]容量管理程序 A12.2.1[XXXX-B-22]恶意软件管理程序 A12.3[XXXX-B-23]重要信息备份管理程序 A12.6[XXXX-B-24]技术薄弱点管理程序 A13[XXXX-B-25]电子邮件管理程序
浙江大学管理学期末考试题
管理学院本科生《管理学》期末考试试题及参考答案 (考试时间:150分钟) 一、单选题(每题2分,共30分) 1、下列关于授权的表述正确的是(D) A授权相当于代理职务B授权是部门划分产生的 C授权是分权的延伸 D授权是上级在一定条件下委授给下属的自主权 2、控制工作的关键步骤是(B) A制定计划B拟定标准C衡量成就D纠正偏差 3、从某种意义上讲,组织就是一个信息沟通网络,处在这个信息网络中心并对网络的畅通负有责任的人是(B) A信息系统管理员B高层管理者C一线员工D主管人员 4、进行了霍桑试验并导致人际关系学说问世的管理学家是(D) A罗伯特·欧文B亨利·法约尔C泰罗D梅奥 5、战略决策的特点是(D) A非常规性、风险性、进行的难度大B非常规性C风险性、全局性、进行的难度大 D非常规性、全局性、进行的难度大 6、领导工作的领导者(A) A为实现本群体目标尔对被领导者施加影响的各种活动 B为实现其领导目标而进行的各项管理活动 C 在其权限范围内进行的有利于实现组织目标的各种活动 D对被领导者施加各种影响的所有活动 7、赫茨伯格的双因素理论认为,激励因素是(C)
A那些使人得到满足就没有不满,得不到满足则产生不满的因素 B那些使人得到满足就没有不满,得不到满足则没有满意的因素 C那些使人得到满足则感到满意,得不到满足则没有满意感觉的因素 D哪些使人得到满足则感到满意,得不到满足则产生不满的因素 8、授权的基本过程是(C) A规定职责、授予权力、进行监控、兑现奖惩 B分派任务、授予权力、规定奖惩、确立监控权 C分派任务、授予权力、明确责任、确立监控权 D规定职责、授予权力、确立监控权、兑现奖惩 9、某位管理人员把大部分时间都花在直接监督下属工作上,他一定不会是(A) A厂长 B总经理C领班D车间主任 10、控制工作中,评估和分析偏差信息时,首先要:(C) A判别偏差产生的主要原因B判别偏差产生的严重程度 C找出偏差产生的确切位置D找出偏差产生的责任人 11、非正式组织的存在及其活动,对正式组织有积极与消极两方面的影响,其中对于正式组织目标的实现所起的积极促进作用的最主要表现在:(D) A增强其成员的群体意识B加强对其成员的行为规范 C促进群体成员意见的一致D更好地满足其成员的心理需要 12、一个组织结构呈金字塔状的企业内,对于其上层管理的描述(与中层管理相比),哪? 项是恰当的:(C) A管理难度与管理幅度都较小B管理难度较小,但管理幅度较大 C管理难度较大,但管理幅度较小D管理难度与管理幅度都较大
大一管理学期末考试题[1]
一、 单选题(每小题3分,共18分) 1.管理的核心是( ) A.决策 B.领导 C.激励 D.处理好人际关系 2.霍桑实验的结论中对职工的定性是( ) A.经济人 B.社会人 C.自我实现人 D.复杂人 3.古典管理理论阶段的代表性理论是( ) A.科学管理理论 B 行政组织理论C.行为科学理论 D.权变理论 4.直线型组织结构一般只适用于( ) A.需要按职能专业化管理的小型组织 B.没有必要按职能实现专业化管理的小型组织 C.需要按职能专业化管理的中型组织 D.需要按职能专业化管理的大型组织 5.双因素理论中的双因素指的是( ) A.人和物的因素 B.信息与环境 C. 自然因素和社会因素 D.保健因素与激励因素 6.专业化管理程度高,但部门之间协调性比较差,并存在多头领导现象.这是哪类组织结构类型的特点?( ) A.直线制 B.职能制 C直线职能制 D.事业部制 E.矩阵制 二、判断题(每小题2分,共20分) 1.权变理论是基于自我实现人假设提出来的. ( ) 2.需求层次论是激励理论的基础理论。 ( ) 3.决策最终选择的一般只是满意方案,而不是最优方案。( ) 4.管理幅度是指一个管理者直接指挥下级的数目. 管理幅度应该适当才能进行有效的管理. ( ) 5.冲突对组织都是有害的,冲突管理就是要尽可能减少或消除冲突. ( ) 6.管理的效益原理认为:管理工作都应该力图以最小的投入和消耗,获取最大的收益. ( ) 7.最小后悔值决策方法中的后悔值就是机会损失值. ( ) 8.公平理论认为一个人的公平感觉取决于其每次的投入与报酬之间是否对等. ( ) 9.高语境文化中的人们更加倾向于坦率的和直接的交流方式 ( ) 10. “胡萝卜加大棒”是泰勒制的管理信条。 ( ) 三、多选题(每小题5分,共30分) 1.管理的二重性是指管理的( ) A.自然属性 B.艺术性 C. 科学性 D.社会属性 E.实践性 2.管理的主要职能包括 ( )
管理学原理期末考试试题及答案
一、名词解释(本大题共7小题,每小题3分,共21分) 管理 目标管理 预测 决策 人员配备 激励 控制 二、单项选择题(本大题共15小题,每小题1分,共15分)在每小题列出的四个选项中只有一个选项是符合题目要求的,请将正确选项前的字母填在题后的括号内。 1.管理的性质不包括() A.二重性 B.科学性 C.理论性 D.艺术性 2.人们常说,身体是“三分治七分养”,对于这件事() A.反馈控制比前馈控制更重要B.现场控制比反馈控制更重要 C.反馈控制比现场控制更重要D.前馈控制比反馈控制更重要 3.打电话请供应商来换一台同目前用坏的机器一样的设备,这是设备的简单替换问题,需要的管理技能主要是() A. 概念技能和技术技能 B.人际技能和技术技能 C.技术技能 D.人际技能和概念技能 4.差别计件工资制是()的内容之一。 A.泰罗的科学管理理论B.法约尔的一般管理理论 C.韦伯的行政管理理论D.现代管理理论 5.没有一个固定的信息中心,成员之间总是互相传递信息的是() A.园型沟通B.Y型沟通 C.全通道型沟通D.轮型沟通 6. 根据计划的明确性,可以将计划分为() A.长期计划、中期计划和短期计划B.战略性计划和战术性计划 C.具体性计划和指导性计划D.程序性计划和非程序性计划
7.()是指企业在计划期内反映有预计现金收支、经营成果和财务状况的预算。 A.经营预算B.投资预算 C.财务预算D.成本预算 8.目标的制定要有一定的高度和难度,这体现了目标的() A. 差异性B.层次性 C. 时间性D.先进性 9.某企业制造并销售单一成品,固定成本总额为60万元,产品售价为每件30元,单位变动成本为10元,该企业的盈亏平衡时的产量为() A. 3000 B.2000 C. 30000 D.20000 10.按照决策的主体,可以将决策分为() A. 长期决策和短期决策B.个体决策和群体决策 C. 程序化和非程序化决策D.确定型、风险型和不确定型决策 11.下列关于管理幅度与管理层次的描述正确的是() A.管理幅度与管理层次共同决定组织规模 B. 为了保证管理效果,管理幅度越大越好 C.当组织规模一定时,管理幅度与管理规模成正比关系 D.管理幅度越窄,管理层次就越多,组织结构就呈扁平型 12.如何留住人才、减少人才的流失、发挥人才优势,这体现的是领导艺术中的() A.授权艺术B.决策艺术 C.用人艺术D.创新艺术 13.对应试者进行全面的考核和考察,避免以偏概全,这是指人员招聘和选拔原则中的() A.全面考核原则B.公开招聘原则 C.择优录取原则D.公平竞争原则 14.一个企业的精神文化是指() A.厂容厂貌B.职工风貌 C.沉淀于企业职工心里的意识形态D.产品形象 15.领导生命周期理论是()的典型代表 A.领导特质理论B.领导行为理论
大学管理学期末考试考试试题完整版
大学管理学期末考试考 试试题 HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】
本科管理学出题参考答案 3、管理者和管理机构是:(第一章) (1)管理的主体√(2)管理的对象 (3)管理的目的(4)管理的手段 1、组织的各类资源(事物)是:(第一章) (1)管理的主体(2)管理的对象√ (3)管理的目的(4)管理的手段 1、管理学的科学性和艺术性表现在:( P10 2、3 ) (1)不精确(2)复杂性 (3)边缘性(4)可靠性 2、管理人员按所处的组织层次可分为:( P12 1、2、3 ) (1)高层管理者(2)中层管理者 (3)基层管理者(4)作业人员 3、管理者的角色和技能有哪些 (P15—P16) 管理者的角色包括: 人际关系方面1、名义首脑,2、领导者,3、联络者,
信息传递方面4、监听者,5、传播者,6、发言人 决策制定方面7、企业家。8、故障排除者。9资源分配者,10、谈判者。 管理者的技能包括: 技术技能,人际关系技能,概念技能。 5、管理者对复杂情况进行抽象和概念化的技能,对事物的洞察、分析、判断、抽象和概括的能力是指: P15 (第一章) (1)专业技能(2)人际技能 (3)概念技能√(4)沟通技能 6、管理者从事自己管理范围内的工作所需的技术和方法是指:(第一章) (1)专业技能√(2)人际技能 (3)概念技能(4)沟通技能 1、企业 (P18) 企业是从事生产、流通等经济活动,为满足社会需要并获取盈利,进行自主经营,实行独立核算,具有法人资格的基本单位。 4、现代管理中,最一般的和最基本的管理手段主要有:(补充 1、2、3、4 ) (1)行政方法(2)经济方法 (3)法律方法(4)技术方法和教育方法
网络信息安全管理研究之研究
网络信息安全管理研究 之研究 内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)
山东政法学院王海军《网络信息安全管理研究》,山东省社科重点项目结项成果《加强网络信息安全管理研究》、山东政法学院的学术文库大力推出的的精品之作(山东大学出版社2009年版)。 P5下半部分到p6下半部分内容比对 浅谈网络安全的实际意义 浅谈网络安全的实际意义网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快而变到越来越重要。“家门就是国门”,安全问题刻不容缓。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私,访问和破坏。从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和 人类的发展造成阻碍,必须对其进行控制。 P7整页内容比对信息安全与等级保护之间的关系: 长春市计算机网络安全协会网站 信息及其支持进程、系统和网络是机构的重要资产。信息的保密性、完整性和可用性对机构保持竞争能力、现金流、利润、守法及商业形象至关重要。 但机构及其信息系统和网络也越来越要面对来自四面八方的威胁,如计算机辅助的诈骗、间谍、破坏、火灾及水灾等。损失的来源如计算机病毒、计算机黑客及拒绝服务攻击等手段变得更普遍、大胆和复杂。
信息安全管理体系建设
佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 编写人员:黄世荣 编写日期:2015年12月7日 项目缩写: 文档版本:V1.0 修改记录: 时间:2015年12月
一、信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面,伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中小企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经刻不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由于新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的范围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,“三分技术,七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 二、ISO27001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下图所示)。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的ISO27001信息安全管理体系框架,并在正常的业务开展过程中具体
管理学期末考试试题A参考答案
管理学模拟试题 一、单项选择题(本大题共15小题,每题1分,共15分) 1.菲德勒所确定的对领导的有效性起影响因素的三个维度是。【A】 A.职位权力、任务结构、领导与下属的关系 B.职位权力、领导者性格、领导者素质 C.职位权力、下属素质、领导者素质 D.下属素质、管理跨度、任务结构 2.美国管理大师彼得·德鲁克说过,如果你理解管理理论,但不具备管理技术 和管理工具的运用能力你还不是一个有效的管理者;反过来说,如果你具备管理技巧和能力,但是不掌握管理理论,那么充其量你只是一个技术员。这 句话说明:______。【A】 A.有效的管理者应该既掌握管理理论,又具备管理技巧与管理工具的运用能力 B.是否掌握管理理论对管理者工作的有效性来说无足轻重 C.如果理解管理理论,就能成为一名有效的管理者 D.有效的管理者应该注重管理技术与管理工具的运用能力,而不必注意管理理论 3.关于组织文化的功能,正确的是________。【A】 A.组织文化具有某种程度的强制性和改造性 B.组织文化对组织成员具有明文规定的具体硬性要求 C.组织的领导层一旦变动,组织文化一般会受到很大影响,甚至立即消失 D.组织文化无法从根本上改变组织成员旧有的价值观念 4、业务决策,如任务的日常安排、常用物资的订货与采购等诸如此类的决策属于。【 C 】A.风险型决策 B.不确定型决策 C.程序化决策 D.非程序化决策 5.下列哪类企业最适合采用矩阵式组织结构________。 【 C 】 A.纺织厂 B.医院 C.电视剧制作中心 D.学校 6.一家产品单一的跨国公司在世界许多地区拥有客户和分支机构,该公司的组织结构应考虑按什么因素来划分部门?______。【 C 】 A.职能 B.产品 C.地区 D.流程 7.某公司随着经营范围的扩大,其由总经理直辖的营销队伍人员也从3人增加 到100人,最近,公司发现营销队伍似乎有点松散,对公司的一些做法也有 异议,但又找不到确切的原因,从管理的角度看,你认为出现这种情况的最要原因最大可能在于_____。【 C 】A.营销人员太多,产生了鱼龙混杂的情况
网络与信息安全管理体系
网络与信息安全管理工作体系制度 总则 依据《网络信息机构业务活动管理暂行办法》第十八条、第二十一条、第二十二条、第二十三条的相关规定,规范公司的信息安全、网络安全的管理工作,确保公司的系统运行安全、网络运行安全以及客户信息、项目信息的保护,特制订本制度。 本管理办法适用于公司所有涉及信息、安全与重要岗位的管理。 信息安全领导小组 1,公司成立信息安全领导小组,就是信息安全的最高决策机构。 2,信息安全领导小组负责研究重大事件,落实方针政策与制定总体策略等。职责主要包括: (1)根据国家与行业有关信息安全的策略、法律与法规,批准公司信息安全总体策略规划、管理规范与技术标准; (2)监督、督导公司整体信息安全工作的落实与执行情况; (3)制订相关信息安全、网络安全、以及信息、网络的应急管理的制度; 3,信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组,作为日常工作执行机构。 4,信息安全领导小组组长由公司负责人担任,副组长由公司科技部门领导担任,各部门负责人自动成为信息安全领导小组成员。 信息安全工作组 1,信息安全工作组由信息技术部门负责人担任组长,成员由信息安全
2,信息安全工作组的主要职责包括: (一)、贯彻执行公司信息安全领导小组的决议,协调与规范公司信息安全工作; (二)、根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; (三)、组织对重大的信息安全工作制度与技术操作策略进行审查,拟定信息安全总体策略规划,并监督执行; (四)、负责协调、督促各职能部门与有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; (五)、组织信息安全工作检查,分析信息安全总体状况,提出分析报告与安全风险的防范对策; (六)、负责接收各单位的紧急信息安全事件报告,组织进行时间调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全时间防范措施; (七)、及时向信息安全工作领导小组与上级有关部门、单位报告信息安全时间。 (八)、跟踪先进的信息安全技术,组织信息安全知识的培训与宣传工作。 (九)、信息安全领导小组授权开展的其她信息安全工作。 应急处理工作组 1,应急处理工作组组长由信息技术部门负责人担任,成员由信息安全
管理学期末考试题A参考答案
一、单项选择题(本大题共15小题,每题1分,共15分) 1.菲德勒所确定的对领导的有效性起影响因素的三个维度是。【 A 】A.职位权力、任务结构、领导与下属的关系 B.职位权力、领导者性格、领导者素质 C.职位权力、下属素质、领导者素质 D.下属素质、管理跨度、任务结构 2.美国管理大师彼得·德鲁克说过,如果你理解管理理论,但不具备管理技术和管理工具的运用能力你还不是一个有效的管理者;反过来说,如果你具备管理技巧和能力,但是不掌握管理理论,那么充其量你只是一个技术员。这句话说明:______。【 A 】A.有效的管理者应该既掌握管理理论,又具备管理技巧与管理工具的运用能力 B.是否掌握管理理论对管理者工作的有效性来说无足轻重 C.如果理解管理理论,就能成为一名有效的管理者 D.有效的管理者应该注重管理技术与管理工具的运用能力,而不必注意管理理论 3.关于组织文化的功能,正确的是________。【 A 】 A.组织文化具有某种程度的强制性和改造性 B.组织文化对组织成员具有明文规定的具体硬性要求 C.组织的领导层一旦变动,组织文化一般会受到很大影响,甚至立即消失 D.组织文化无法从根本上改变组织成员旧有的价值观念 4、业务决策,如任务的日常安排、常用物资的订货与采购等诸如此类的决策属于。【 C 】A.风险型决策 B.不确定型决策 C.程序化决策 D.非程序化决策 5.下列哪类企业最适合采用矩阵式组织结构________。 【 C 】 A.纺织厂 B.医院 C.电视剧制作中心 D.学校 6.一家产品单一的跨国公司在世界许多地区拥有客户和分支,该公司的组织结构应考虑按什么因素来划分部门?______。【 C 】 A.职能 B.产品 C.地区 D.流程 7.某公司随着经营围的扩大,其由总经理直辖的营销队伍人员也从3人增加到100人,最近,公司发现营销队伍似乎有点松散,对公司的一些做法也有异议,但又找不到确切的原因,从管理的角度看,你认为出现这种情况的最要原因最大可能在于_____。【 C 】 A.营销人员太多,产生了鱼龙混杂的情况 B.总经理投入的管理时间不够,致使营销人员产生了看法
信息安全管理现状及策略研究
信息安全管理现状及策略研究 发表时间:2018-09-07T12:04:19.833Z 来源:《河南电力》2018年5期作者:何华辉 [导读] 2013年6月,美国“监控门”事件让信息安全隐患问题一下子进入人们日常生活视野。 何华辉 (国网江西省电力有限公司宜春市袁州区供电分公司江西宜春 336000) 摘要:2013年6月,美国“监控门”事件让信息安全隐患问题一下子进入人们日常生活视野。美国不仅通过金融、军事手段控制世界,还通过互联网控制世界。包括中国在内的很多国家网络信息都存在一定的泄露。在这个信息化发展飞速的时代,小到人们日常生活大到国家高度机密都受到不同程度的威胁,安全隐患已经成为个人乃至国家需要共同面对的问题。 关键词:信息安全;管理现状;信息策略;管理策略 前言 当今社会已经进去全球化的信息时代,人们生活的方方面面已经离不开信息化的影子。但是信息发展变幻莫测。信息安全问题变得日益尖锐,计算机病毒扩散、网黑客攻击、内部入侵者、“电子邮件炸弹”、信息垃圾污染等事件频繁发生。信息安全问题已经严重影响到人们的日常生活。 信息具有易传播、易扩散、易损坏的特点,所以它的安全保护比实物包括更加艰难,容易导致信息安全事件的发生。而在这些安全事件中,人为因素占51%,自然灾害占25%、技术导向错位占10%、管理人员占10%、不法人员的攻击仅占#%。充分说明了信息安全事件大部分是由自身的各种原因引起的。特别是在信息管理层方面。拥有完整系统的信息安全保障体系可以有效避免60%的安全事件。 1我国信息安全管理现状 1.1信息法规不健全 我国近年来建立的以及《国家信息化“九五”规划和2010年远景目标(纲要)》是推进我国国民经济信息化的可靠保障。在《中华人民共和国计算机信息系统安全保护条例》、《中华人们共和国刑法》、《互联网信息服务管理办法》等法律法规中队信息安全都有相应的规定,初步形成了信息化法律体系其中在《中华人们共和国刑法》第285、286、287条中对计算机信息系统犯罪和金融犯罪都做出了相应的刑罚。 虽然这些信息安全立法能够保证基础的安全问题。但是大部分的法律法规内容单一,缺乏操作性,并且信息知识落后,给执法人员带来了一些困扰。相对于美国、以色列等信息安全强过来说,我们仅仅建立了基本的信息安全网络体系。而美国在2005年3月就明确将网络空间和陆海空及太空定义为同等主要、需要美国维持决定性优势的五大空间。 1.2管理制度不完善 安全管理体系包括安全规划、风险管理、应急计划、安全教育培训、安全系统评估、安全认证等方面。这些机构职能交叉、重叠、冲突甚至出现空白区域,大大降低了信息管理的效率。甚至出现无人可管的地步。 1.3存在严重的漏洞 中国信息产业发展的过程中大部分的核心信息产品都是进口,这在信息化建设的源头都已经存在了严重的安全漏洞。特别是有些信息工程购买一些安全性能较低、或者以次充好的信息产品。而且普遍存在重产品、轻服务,重技术、轻管理的思想。 在信息建设中很多应用系统通常处于不设防的状态,也导致了大量的漏洞存在。这些漏洞给电脑黑客都创造了有利条件。我国95%的互联网管理中心都遭到过境外黑客的攻击或入侵充分说明了我过信息安全漏洞庞大。 1.4安全意识薄弱 我国信息化发展迅速,但是人们的信息化安全意识却没有跟上发展的速度。很多网站中心只注重了网站的网络效应却从未考虑过安全防范的建设。国家对于信息安全的意识教育处于盲区阶段,民众对信息安全也未形成主动防范的意识。 通过信息安全管理的现状了解分析知道我国信息化安全存在严重的隐患。我国的信息安全管理工作基础薄弱、发展不平衡、技术水平低下、管理体系简单,缺乏国家意义上的整体策略。我们需要通过各方面加强信息化安全的管理。 2信息安全管理策略研究 2.1法律制度策略 中国是法制社会,信息安全必须上升到国家策略,建立完善并具有时代意义的国家安全法律是现在刻不容缓的事情。现今只建立了三个层面的法律、行政法规以及部门规章及规范性文件。建立了为实现信息化必须的政策、法规10余项,技术标准、规范500余项,有些法律法规显然跟不上信息化发展的步伐。法律法规应及时更新或者更改立法观念。一是在国内信息化管理法规比较薄弱的时候,借鉴或者引荐国外的信息安全的立法,取其精华,去其糟粕,再结合中国国情建立合理的信息化法律法规。二是确定立法重点,逐步完善信息化法律体系。结合中国国情从政治、军事、经济、文化、生活上制定相应的法律法规。三是出台相关法律法规,改变落后、单一的法律法规,明确权利、责任和义务、 2.2组织策略 互联网的本质是信息联系紧密,相互渗透贯通。信息安全需要把独立的信息安全管理机构相互连接,形成系统化的组织建设。在安全规划、风险管理、应急措施、教育培新、系统评估、安全认证等多方面集中统一、明确职责、各司其职。一是改变现今国家信息安全各部门职责不明、管理紊乱、协调不顺、各自为政、互不沟通等问题。按照各部门的职责范围形成多方配合、职责分明、相互接洽的组织体系。并在具体工作的分配中“责任到人”,每个职位都有一定的任务和职责,每个职位相互紧扣,才能使各个环节形成良好的链条循环。二是全民管理。政府机制通过合理规划信息安全组织体系进行管理,而民众也需要自发组织相关团体来充实信息安全保障体系。政府和民众结合起来,互相配合,最大限度利用社会信息保障的资源,统一战线,才能在信息受到威胁的时候凝聚成强大的合力。 2.3人员策略 我国的信息化建设严重缺乏自主技术的研发。CPU芯片、操作系统和数据库、网关软件大多依赖进口。说明我我国信息化管理人才的严重匮乏,在专业人才建设和人才管理方面严重不足。