信息安全管理练习题

信息安全管理练习题-2014

判断题：

1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×）

注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。

2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×）

注释：应在24小时内报案

3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×）

注释：共3种计算机犯罪，但只有2种新的犯罪类型。

单选题：

1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。

A. 通信保密阶段

B. 加密机阶段

C. 信息安全阶段

D. 安全保障阶段

2. 信息安全阶段将研究领域扩展到三个基本属性，下列（C）不属于这三个基本属性。

A. 保密性

B. 完整性

C. 不可否认性

D. 可用性

3. 下面所列的（A）安全机制不属于信息安全保障体系中的事先保护环节。

A. 杀毒软件

B. 数字证书认证

C. 防火墙

D. 数据库加密

4. 《信息安全国家学说》是（C）的信息安全基本纲领性文件。

A. 法国

B. 美国

C. 俄罗斯

D. 英国

注：美国在2003年公布了《确保网络空间安全的国家战略》。

5. 信息安全领域内最关键和最薄弱的环节是（D）。

A. 技术

B. 策略

C. 管理制度

D. 人

6. 信息安全管理领域权威的标准是（B）。

A. ISO 15408

B. ISO 17799/ISO 27001(英）

C. ISO 9001

D. ISO 14001

7. 《计算机信息系统安全保护条例》是由中华人民共和国（A )第147号发布的。

A. 国务院令

B. 全国人民代表大会令

C. 公安部令

D. 国家安全部令

8. 在PDR安全模型中最核心的组件是（A）。

A. 策略

B. 保护措施

C. 检测措施

D. 响应措施

9. 在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的结果文档被称为（A)。

A. 可接受使用策略AUP

B. 安全方针

C. 适用性声明

D. 操作规范

10. 互联网服务提供者和联网使用单位落实的记录留存技术措施，应当具有至少保存（C）天记录备份的功能。

A. 10

B. 30

C. 60

D.90

11. 下列不属于防火墙核心技术的是（D）

A. （静态/动态)包过滤技术

B. NAT技术

C. 应用代理技术

D. 日志审计

12. 应用代理防火墙的主要优点是（ B )

A. 加密强度更高

B. 安全控制更细化、更灵活

C. 安全服务的透明性更好

D. 服务对象更广泛

13. 对于远程访问型VPN来说，（A）产品经常与防火墙及NAT机制存在兼容性问题，导致安全隧道建立失败。

A. IPSec VPN

B. SSL VPN

C. MPLS VPN

D. L2TP VPN

注：IPSec协议是一个应用广泛，开放的VPN安全协议，目前已经成为最流行的VPN解决方案。在IPSec框架当中还有一个必不可少的要素: Internet安全关联和密钥管理协议——IKE(或者叫ISAKMP/Oakley)，它提供自动建立安全关联和管理密钥的功能。

14. 1999年，我国发布的第一个信息安全等级保护的国家标准GB 17859-1999，提出将信息系统的安全等级划分为（D）个等级，并提出每个级别的安全功能要求。

A. 7

B. 8

C. 6

D. 5

注：该标准参考了美国的TCSEC标准，分自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。

15. 公钥密码基础设施PKI解决了信息系统中的（A）问题。

A. 身份信任

B. 权限管理

C. 安全审计

D. 加密

注：PKI（Public Key Infrastructure,公钥密码基础设施)，所管理的基本元素是数字证书。

16. 最终提交给普通终端用户，并且要求其签署和遵守的安全策略是（C）。

A. 口令策略

B. 保密协议

C. 可接受使用策略AUP

D. 责任追究制度

知识点：

1. 《信息系统安全等级保护测评准则》将测评分为安全控制测试和系统整体测试两个方面。

2. 安全扫描可以弥补防火墙对内网安全威胁检测不足的问题。

3. 1994年2月18日国务院发布《计算机信息系统安全保护条例》。

4. 安全审计跟踪是安全审计系统检测并追踪安全事件的过程。

5. 环境安全策略应当是简单而全面。

6. 安全管理是企业信息安全的核心。

7. 信息安全策略和制定和维护中，最重要是要保证其明确性和相对稳定性。

8. 许多与PKI相关的协议标准等都是在X.509基础上发展起来的。

9. 避免对系统非法访问的主要方法是访问控制。

10. 灾难恢复计划或者业务连续性计划关注的是信息资产的可用性属性。

11. RSA是最常用的公钥密码算法。

12. 在信息安全管理进行安全教育和培训，可以有效解决人员安全意识薄弱。

13. 我国正式公布电子签名法，数字签名机制用于实现抗否认。

14. 在安全评估过程中，采取渗透性测试手段，可以模拟黑客入侵过程，检测系统安全脆弱性。

15. 病毒网关在内外网络边界处提供更加主动和积极的病毒保护。

16. 信息安全评测系统CC是国际标准。

17. 安全保护能力有4级：1级－能够对抗个人、一般的自然灾难等；2级－对抗小型组织；3级－对抗大型的、有组织的团体，较为严重的自然灾害，能够恢复大部分功能；4级－能够对抗敌对组织、严重的自然灾害，能够迅速恢复所有功能。

18. 信息系统安全等级分5级：1－自主保护级；2－指导保护级；3－监督保护级；4－强制保护级；5－专控保护级。

19. 信息系统安全等级保护措施：自主保护、同步建设、重点保护、适当调整。

20. 对信息系统实施等级保护的过程有5步：系统定级、安全规则、安全实施、安全运行和系统终止。

21. 定量评估常用公式：SLE（单次资产损失的总值）＝AV（信息资产的估价）×EF（造成资产损失的程序）。

22. SSL主要提供三方面的服务，即认证用户和服务器、加密数据以隐藏被传送的数据、维护数据的完整性。

23. 信息安全策略必须具备确定性、全面性和有效性。

24. 网络入侵检测系统，既可以对外部黑客的攻击行为进行检测，也可以发现内部攻击者的操作行为，通常部署在网络交换机的监听端口、内网和外网的边界。

25. 技术类安全分3类：业务信息安全类（S类）、业务服务保证类（A类）、通用安全保护类（G类）。其中S类关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改；A类关注的是保护系统连续正常的运行等；G类两者都有所关注。

26. 如果信息系统只承载一项业务，可以直接为该信息系统确定安全等级，不必划分业务子系统。

27. 信息系统生命周期包括5个阶段：启动准备、设计/开发、实施/实现、运行维护和系统终止阶段。而安全等级保护实施的过程与之相对应，分别是系统定级、安全规划设计、安全实施、安全运行维护和系统终止。

信息安全管理体系国家注册审核员培训班考试试题-2015

一、选择题(每题1分，共lO分)

( )1．信息安全中的可用性是指_______

a)信息不能被未授权的个人，实体或者过程利用或知悉的特性

b)保护资产的准确和完整的特性

c)根据授权实体的要求可访问和利用的特性

d)以上都不对

( )2．审核证据是指________

a)与审核准则有关的，能够证实的记录、事实陈述或其他信息

b)在审核过程中收集到的所有记录、事实陈述或其他信息

c)一组方针、程序或要求

d)以上都不对

( )3．______ 属于系统威胁。

a)不稳定的电力供应

b)硬件维护失误

c)软件缺乏审计记录

d)口令管理机制薄弱

( )4．管理体系是指______

a)建立方针和目标并实现这些目标的体系

b)相互关联和相互作用的一组要素

c)指挥和控制组织的协调的活动

d)以上都不对

( )5．信息安全管理实用规则ISO／IECl7799属于_____标准?

a)词汇类标准

b)要求类标准

c)指南类标准

d)以上都不对

( )6．在信息安全管理体系____阶段应测量控制措施的有效性?

a)建立

b)实施和运行

c)监视和评审

d)保持和改进

( )7．风险评价是指______

a)系统地使用信息来识别风险来源和估计风险

b)将估计的风险与给定的风险准则加以比较以确定风险严重性的过程

c)指导和控制一个组织相关风险的协调活动

d)以上都不对

( )8．可使用_______来保护电子消息的保密性和完整性

a)密码技术

b)通信技术

c)控制技术

d)自动化技术

( )9．现状不符合文件是指______

a)标准要求的没有写到

b)写到的没有做到

c)做到的没有达到目标

d)以上都不对

( )10．以下属于计算机病毒感染事件的纠正措施的是_________

a)对计算机病毒事件进行响应和处理

b)将感染病毒的计算机从网络中隔离

c)对相关责任人进行处罚

d)以上都不是

二、判断题(每题1分，共10分)

你认为正确的在( )中划“√”，错误的划“x”。

( )1．客户资料不属于组织的信息资产。

( )2．组织的安全要求全部来源于风险评估。

( )3．通过使用资源和管理，将输入转化为输出的任意活动，称为过程。

( )4．组织必须首先从ISO／IEC27001附录A的控制措施列表中选取控制措施。

( )5．风险分析和风险评价的整个过程称为风险评估。

( )6．控制措施可以降低安全事件发生的可能性，但不能降低安全事件的潜在影响。

( )7．“资产责任人”，要求与信息处理设施有关的所有资产都应由指定人员承担责任。

( )8．网站信息由于属于公共可用信息，因此无须实施安全保密措施。( )9．审核范围必须与受审核方信息安全管理体系范围一致。

( )10．当组织信息安全管理体系的基础发生重大变化而增加的一次审核称为监督审核。

三、填空题(每题1分，共5分)

指出IS027001：2005标准中适用于下述情景的某项条款，请将条款号填在横线上。

1．“信息安全管理部的员工根据风险评估的结果，正在选择适当的控制措施。”适用于这一情况的条款是——

2．“某公司规定无论离职或调职，员工的原有系统访问权一律撤销。”适用于这一情况的条款是——

3．“某公司在其机房内贴了一张行为准则，员工在机房内工作时必须遵守。”

适用于这一情况的条款是——

4．“公司重要服务器的操作记录中没有任何管理员操作的记录。”

适用于这一情况的条款是——

5．“某公司的信息系统中使用了密码手段来保障其信息安全，但该公司的相关工作人员对我国密码方面的法律法规一无所知。”

适用于这一情况的条款是______

四、问答题(1—3题每题5分，共15分；4．5题每题15分，共30分；共45分)

1．什么是信息安全?组织的信息安全要求分为哪几类?并简要说明。

2．ISO／IEC 27001：2005附录A所列出的控制措施中，哪些条款体现了“管理者作用”，至少举出3条控制措施，并简要说明。

3．审核组进入审核现场后，通常会有哪些会议?各有什么作用?会议主持人一般由谁担任?

4．如果某软件开发公司涉及软件外包业务，请列出在软件外包的过程中所涉及的风险，并

从ISO／IEC 27001：2005附录A控制措施列表中选择适当的控制措施，作简要说明。

5．如何依据ISO／IEC 27001：2005审核A．10．7，组织应防止资产遭受未

授权泄露、修改、

移动或销毁以及业务活动的中断

五、案例分析题(每题10分，共30分)

请根据所述情况判断：如能判断有不符合项，请写出不符合ISO/2700l：2005

标准的条款号、内容和严重程度，并写出不符合事实，如提供的证据不能足以判断有不符合项时，请写出进一步审核的思路。

判分标准：不符合条款2分，不符合标准的内容3分，不符合事实3分，不符

合的严重程度2分。

1．审核员在看到某公司的意识及技能培训计划后，询问某公司工作人员对信息安全管理体系的认识，该工作人员回答，由于前段时间一直出差在外，所以还没有时问学习相关的体系文件。

2．审核员询问公司办公系统中某机器的操作系统升级情况时，使用人员说，我们使用的所有软件都是正版的，所以我在使用时直接设置为操作系统自动更新了，而且一直也没出现过什么问题，对业务没有任何影响。

3．审核员在某公司信息安全部看到几份安全事故处理报告，原因栏写的都是感染计算机病毒，工作人员说，我们已经严格规定了防病毒软件的使用及升级周期，但还是没有效果。

信息安全管理体系审核员练习题-简单题和案例分析题-2015

一、简答

1.内审不符合项完成了30/35，审核员给开了不符合，是否正确？你怎么审核？

[参考]不正确。应作如下审核：

（1）询问相关人员或查阅相关资料（不符合项整改计划或验证记录），了解内审不符合项的纠正措施实施情况，分析对不符合的原因确定是否充分，所实施的纠正措施是否有效；

（2）所采取的纠正措施是否与相关影响相适宜，如对业务的风险影响，风险控制策略和时间点目标要求，与组织的资源能力相适应。

（3）评估所采取的纠正措施带来的风险，如果该风险可接受，则采取纠正措施，反之可采取适当的控制措施即可。

综上，如果所有纠正措施符合风险要求，与相关影响相适宜，则纠正措施适宜。

2、在人力资源部查看网管培训记录，负责人说证书在本人手里，培训是外包的，成绩从那里要，要来后一看都合格，就结束了审核，对吗？

[参考]不对。

应按照标准GB/T 22080-2008条款5.2.2 培训、意识和能力的要求进行如下审核：

（1）询问相关人员，了解是否有网管岗位说明书或相关职责、角色的文件？（2）查阅网管职责相关文件，文件中如何规定网管的岗位要求，这些要求基于教育、培训、经验、技术和应用能力方面的评价要求，以及相关的培训规程及评价方法；

（3）查阅网管培训记录，是否符合岗位能力要求和培训规程的规定要求？（4）了解相关部门和人员对网管培训后的工作能力确认和培训效果的评价，是否保持记录？

（5）如果岗位能力经评价不能满足要求时，组织是否按规定要求采取适当的措施，以保证岗位人员的能力要求。

二、案例分析

1、查某公司设备资产，负责人说台式机放在办公室，办公室做了来自环境的威胁的预防；笔记本经常带入带出，有时在家工作，领导同意了，在家也没什么不安全的。

A 9.2.5 组织场所外的设备安全应对组织场所的设备采取安全措施，要考虑工作在组织场所以外的不同风险

2、某公司操作系统升级都直接设置为系统自动升级，没出过什么事，因为买的都是正版。

A 12.5.2 操作系统变更后应用的技术评审当操作系统发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。

3、创新公司委托专业互联网运营商提供网络运营，供应商为了提升服务级别，采用了新技术，也通知了创新公司，但创新认为新技术肯定更好，就没采取任何措施，后来因为软件不兼容造成断网了。

A 10.2.3 第三方服务的变更管理应管理服务提供的变更，包括保持和改进现有的信息安全策略、规程和控制措施，并考虑到业务系统和涉及过程的关键程度及风险的评估。

4、查某公司信息安全事件处理时，有好几份处理报告的原因都是感染计算机病毒，负责人说我们严格的杀毒软件下载应用规程，不知道为什么没有效，估计其它方法更没用了。

8.2纠正措施

5、查看web服务器日志发现，最近几次经常重启，负责人说刚买来还好用，最近总死机，都联系不上供应商负责人了。

A 10.2.1 应确保第三方实施、运行和保持包含在第三方服务交付服务交付协议中的安全控制措施、服务定义和交付水准。

信息安全管理体系审核员练习题-简述题-2015

简述题

1、审核员在某公司审核时，发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁。公司主管信息安全的负责人解释说，因保安负责公司的物理区域安全，他们夜里以及节假日要值班和巡查所有区域，所以只能给保安全权限门卡。审核员对此解释表示认同。如果你是审核员，你将如何做？

答：应根据标准GB/T 22080-2008条款A.11.1.1审核以下内容：

（1）是否有形成文件的访问控制策略，并且包含针对公司每一部分物理区域的访问控制策略的内容？

（2）访问控制策略是否基于业务和访问的安全要素进行过评审？

（3）核实保安角色是否在访问控制策略中有明确规定？

（4）核实访问控制策略的制定是否与各物理区域风险评价的结果一致？

（5）核实发生过的信息安全事件，是否与物理区域非授权进入有关？

（6）核实如何对保安进行背景调查，是否明确了其安全角色和职责？

2、请阐述对GB/T 22080中A.13.2.2的审核思路。

答：（1）询问相关责任人，查阅文件3-5份，了解如何规定对信息安全事件进行总结的机制？该机制中是否明确定义了信息安全事件的类型？该机制是否规定了量化和监视信息安全事件类型、数量和代价的方法和要求，并包括成功的和未遂事件？

（2）查阅监视或记录3-15条，查阅总结报告文件3-5份，了解是否针对信息安全事件进行测量，是否就类型、数量和代价进行了量化的总结，并包括成功的和未遂事件。

（3）查阅文件和记录以及访问相关责任人，核实根据监视和量化总结的结果采取后续措施有效防止同类事件的再发生。

ISO27001信息安全管理体系审核员培训测试-2015

一、以下对于信息安全管理体系的叙述，哪个个是不正确的？

A.只规范公司高层与信息安全人员的行为；

B.针对组织内部所使用的信息，实施全面性的管理；

C.为了妥善保护信息的机密性、完整性和可用性；

D.降低信息安全事件的冲击至可承受的范围；

E.分为PDCA（计划—执行—检查—行动）四大部份，循环执行，不断改进。

二、以下对于PDCA（计划—执行—检查—行动）的叙述，哪个是正确的？

A.其中的重点在于P（计划）；

B.依据PDCA的顺序顺利执行完一次，即可确保信息安全；

C.需依据管理层审查结果采取矫正与预防措施，以达到持续改进的目的；

D.如果整体执行过程中C（检查）的过程过于繁复，可予以略过；

E.以上皆非。

三、下列那个项目不属于ISO27001认证标准所涵盖的十一个管理要项？

A.信息安全政策；

B.组织安全；

C.人员安全；

D.复杂性；

E.访问控制。

四、下列对于风险的叙述，哪个是正确的？

A.风险分析：针对无法改善的风险进行分析；

B.风险管理：列出所有可能存在的风险清单；

C.风险评估：把所估计的风险与已知的风险标准作比较，以决定风险的重要性；

D.风险处理：为了将风险降为零风险所采取的行动；

E.可接受风险：可接受进行改善的风险。

五、以下哪项符合信息安全管理体系有关“文件记录控制”的要求？

A.文件都必须电子化；

B.信息安全管理体系所需的文件仅需保护，但无须控制；

C.所有文件应依据信息安全管理体系的政策要求在需要时即可供被授权人取用；

D.文件纪录必须全部由一人保管；

E.为提供信息安全管理体系有效运作的证据所建立之纪录不属于管制范围。

六、对于“信息安全管理体系”，下列哪些不属于管理层的责任？

A.提供信息安全管理工作的必要资源；

B.决定可接受风险的等级；

C.定期举行相关教育训练，增进员工信息安全的认知；

D.为信息安全系统购买保险；

E.建立一份信息安全政策。

七、以下针对信息安全系统审计的叙述，哪个是不正确的？

A.审计方案应予以事先规划；

B.目的在于确保信息安全管理体系的控制目标与控制措施是否有效地实施与维持；

C.基于对业务的了解，应由各部门主管审计其所负责的业务；

D.对于审计结果应有适当的跟进措施；

E.审计人员的遴选与审计的执行，应确保审计过程的客观性与公正性。

八、以下对于信息安全管理体系改进的叙述，哪个是不正确的？

A.改进的目的在于确认信息安全管理系统的有效性；

B.为了防止不符合事项再度发生，应将该事项从信息安全管理体系中移除；

C.包含矫正措施与预防措施；

D.应在信息安全管理体系中制定相应的文件化程序；

E.应决定相关措施，以消除未来不符合信息安全管理体系要求的事项。

九、以下对于“安全方针”的叙述，哪个是不正确的？

A.管理层应设定一个明确的政策方向，展现对信息安全的支持与承诺；

B.安全方针应以适当方式向所有员工公布与宣导；

C.安全方针应有专人依据规定的审核过程对其进行维护与审核；

D.安全方针一经确定即无法随意修改；

E.方针应说明组织管理信息安全的方法。

十、以下对于“信息安全组织”的叙述，哪个是不正确的？

A.其目标为在组织中管理信息安全；

B.个别资产的保护责任及执行特定安全程序的责任应明确划分；

C.应参考信息安全专家的建议；

D.应减少与其它组织间的合作；

E.需有独立的信息安全审计。

十一、针对“第三方存取”与“外包作业”的叙述，哪个是正确的？

A.为了降低风险，应减少「第三方存取」与「外包作业」；

B.第三方存取组织信息处理设施的风险应予评估，并实施适当的安全控制措施；

C.将信息处理责任外包时，信息安全的责任也随之转嫁；

D.应限制外包单位不得使用组织的任何信息设备；

E.由于已签订外包合同，对于第三方存取组织的信息处理设施无须控制。

十二、以下对于“资产分类及控制”之叙述，哪个是不正确的？

A.所有主要的信息资产应由高级管理人员负责保管；

B.应制作所有与每一信息系统相关重要资产的清册并进行维护；

C.应制订一套与组织采用的分类方式相符的信息标识和处理流程；

D.信息分类与相关保护控制措施应考虑企业共享或限制信息的需求；

E.其目标在于维护组织资产并给予适当的保护。

十三、以下对于“人力资源安全”的叙述，哪个是不正确的？

A.组织信息安全方针中规定的安全角色与职务应在工作职责中予以文件化；

B.组织内所有员工及相关第三方的用户皆应接受适当的信息安全教育训练；

C.目标在于确保员工的人身安全，避免发生意外；

D.正式员工、承包商及临时工在申请工作时即应进行背景调查；

E.员工应签署保密协议，作为任用的首要条件和限制的一部分。

十四、员工察觉“安全及失效事件”发生时，应立即采取何种行动？

A.分析事件发生的原因；

B.尽快将事件掩盖过去；

C.修正信息安全目标；

D.查阅信息安全相关文件；

E.遵循适当的管理途径尽快通报。

十五、以下对于“安全区域”的说明，哪个是不正确的？

A.其目标是避免营运场所及信息遭未经授权存取、损害与干扰；

B.划设为安全区域的场所已有适当控管，可容许任何人进出；

C.应设立安全区域，以提供特殊安全需求；

D.在安全区域内工作时应采取额外的控制措施及指引，以强化该区域的安全性；

E.装卸区应予管制，若可能，应与信息处理设施隔离，避免遭未授权进入。

十六、以下对于“设备安全”的相关行为，哪个是不适当的？

A.应保护设备降低来自环境的威胁及灾害；

B.保护设备不受电力故障及其他电力异常影响；

C.保护传送数据或支持信息服务的电源与通讯缆线，以防止窃听或破坏；

D.设备在报废或再使用前将信息清除；

E.设备一律禁止携出组织外使用。

十七、以下何种行为不符合“通信和操作安全”的要求？

A.信息处理设施与系统的变更应予控制；

B.职务与责任范围应予区分，以降低信息或服务遭未授权修改或误用的机会；

C.安全政策所规定的作业程序应制作文件纪录并进行维护；

D.开发与测试工作可在正式生产设备上进行，以降低营运成本；

E.使用外部设施管理服务前，应识别风险并制订适当的控制措施。

十八、下列对于“信息的交换”的叙述，哪个是不正确的？

A.组织间交换信息与软件的行为应有协议或合约规范；

B.应制定电子邮件使用政策，严格执行控管；

C.使用网络及时通讯软件（如MSN）进行文件传送以便于实现传送的方便性及隐密性；

D.重要信息对外公开前应有正式授权程序，且该信息的完整性应予保护；

E.运送的储存媒体应予保护，防止未经授权遭存取。

十九、下列对于“用户访问控制”的叙述，哪个是不正确的？

A.应制定正式用户注册及注销流程；

B.特殊权限的分配与使用应受限制与控管；

C.要确保信息系统的访问权限被恰当地授权、配置及维护；

D.为减少账号个数，降低日常作业成本，可采多人共享一组账号密码的方式；

E.管理层应定期执行正式程序复核用户访问权限。

二十、下列行为哪个不符合“网络访问控制”的安全需求？

A.网络应有控制措施，将信息服务、用户及信息系统群组分离；

B.用户网络联机能力应仅限于共享网络；

C.组织应对其使用的所有网络服务的安全特性提供一份清楚说明的文件；

D.远程使用者的存取应有身份鉴别；

E.为便利用户，应设置开放的网络环境，以确保用户可直接存取任何他所想使用的服务。

二一、对于“监控系统”的存取与使用，下列哪个是正确的？

A.监控系统所产生的记录可由用户任意存取；

B.计算机系统时钟应予同步；

C.只有当系统发生异常事件及其他安全相关事件时才需进行监控；

D.监控系统投资额庞大，并会影响系统效能，因此可以予以暂时省略；

E.以上皆非。

二二、以下各项行为，哪个不能确保“应用系统的安全”？

A.输入、输出数据应进行确认；

B.对于有保护消息内容完整性的安全要求的应用程序，应采用消息鉴别机制；

C.要有适当的审计记录或活动日志；

D.系统内应有确认检查机制，以检测所处理数据的完整性；

E.为加快数据传输时的速度，降低系统反应时间，任何数据皆可使用明码传输。

二三、下列哪项不是维护“开发和支持过程中的安全”的方法？

A.应阻止用户修改软件包，必要的修改应严格管制；

B.应用系统若有变更，应进行适当审核与测试；

C.应采取正式变更管理程序以严格控制变更作业的实施；

D.软件应尽量采用自行开发避免外包或采购；

E.软件的采购应注意其是否内藏隐密通道及特洛依木马程序。

二四、为确保“业务连续性管理”，以下哪些行为应该加以避免？

A.应分析各种灾难、安全缺失和损失服务对业务所可能产生的后果；

B.全组织连续营运措施的制订与维护，有明确管理的过程；

C.应等待企业营运过程发生中断或失效时，再来制订相关的策略计划；

D.应维持单一营运持续计划的框架，以确保所有计划皆一致；

E.营运持续计划应定时测试，并通过定期审查加以维护。

二五、以下对于信息安全管理体系中“符合性”的叙述，哪个是不正确的？

A.清楚识别所有与信息系统有关的法规；

B.组织重要记录应予文件化后进行保护；

C.避免使用具有知识产权的专利软件产品；

D.要保护个人信息的数据与隐私；

E.信息系统的管理要依据行政命令、法律规章或合同的安全要求。

信息技术服务管理体系审核员练习-2015

一．选择题（请选出最佳答案，每题2分，共20分）

1.01 修改SLA和支持文件应属于哪个流程的一部分：

a）变更管理

b）配置管理

c）发布管理

d）业务持续性和可用性管理

e）以上都不是

1.02 服务目录不包括以下哪个信息。

服务名称

服务成本

目标，如：安装一个打印机的回应时间，恢复一个重大事故的时间等

联络点

以上都是

1.03以下哪个不是IT服务管理的工具

交互语音应答系统

安全服务

自学知识库

网络管理工具

包含配置管理项的excel表

1.04事件管理程序运行一段时间后，为反应事件升级新的途径，事件经理想对事件管理程序文件进行修改，并得到IT 服务管理委员会的同意，在这个过程中，审核员要优先考虑以下哪方面的审核：

能力、意识和培训

文件控制

事件管理流程的设计更改

事件管理流程与其他流程的接口

1.05哪些内容应包括在对员工进行的IT服务培训中

服务管理方针策略

事故处理

SLA

怎样使用服务台工具

以上都是

1.06 “在变更之前应评估控制措施变更的影响”是哪个流程中提到的。

配置管理

信息安全管理

变更管理

计划和实施新的或变更的服务

以上都不是

1.07认证一个组织的ITSMS是依据：

ISO/IEC20000-1:2011

ISO/IEC20000-2:2005

ISO 19011:2002

以上都是

以上都不是

1.08风险分析是

指导和控制一个组织的风险的联合行动

选择和实施测量机制以修改风险的处置决定。

接受风险的决定

系统化的使用信息以识别风险的来源并估计风险的大小

以上都不是

1.09 根据ISO20000-1的要求，下列那个活动需要一个文件化的程序。

管理评审

管理责任

改进IT服务管理体系

纠正措施

以上都不是

1.10落实资金、预算、角色、责任、文件化和维护方针策略、计划、程序和定义等是PDCA方法的那个阶段

策划

实施

检查

改进

以上都是

二．简答题（每个问题5分，共20分）

2.01列出至少5个实施IT服务管理体系对组织的好处（5分）

2.02 列出至少五个期望ISO20000-1审核小组所具备的能力。（5分）

2.03举出至少5个内部审核员在准备内审计划时需要获得的信息（5分）

2.04作为审核员，当你对防火墙策略变更进行审核时，应查找哪些客观证据？

三．问答题

请在空白处，写出下面两个问题的详细答案，适当时，写出ISO20000-1相关的条款。每个问题10分。

3.01 清楚解释被审核方于对内审所提出的不符合事项通常所采取的纠正措施的步骤（由开始识别到不符合事项至关闭此不符合事项）。并鉴别各阶段谁应负责（例：审核员或被审核方）

3.02审核员正在计划给一个提供灾备服务的组织进行ISO20000-1 内部审核，识别至少包含5个审核要项的检查表来审核配置管理过程。

四．案例分析

以下是三个事件是在ITSMS内审审核时发现的，他们包含了可能产生不符合事项（需要书写不符合事项的报告）的情况，仔细考虑每种情况，然后采取下面的某个措施。

如果你认为有足够的不符合的客观证据，应完成一个不符合事项报告，并将不符合分类为重大（严重）不符合或轻微（一般）不符合

如果你不认为有足够的客观证据提出一个不符合报告，你需要在报告下面的空白处陈述自己的理由，你必须同时陈述审核员下一步需要做什么。

4.01事件1

在对一个内部IT服务部门进行第三方审核时，发现不存在《连续性计划》。经理对审核员解释说，连续性管理是与可用性管理的流程写在一起的，《可用性管理计划》里已经描写了在发生火灾时的应对措施，在去年9月份作了测试和演练。

4.02 事件2

在审核一个数据处理中心时，检查培训记录时发现很多的培训已完成，但是没有发现出现针对服务管理的培训课程完成的证据，处理中心的经理解释正式的培训要延期到下一年。因为培训的财务经费困难，一个系列的服务培训已经通过网络进行而且已经跟所有人讨论过了。

4.03 事件3

在对一个IT 服务机构的ISO20000-1审核时，发现有一个有关服务质量的客户投诉，该投诉已经由投诉经理处理，并作了记录。与投诉相关的一项技术问题的处理。转给了问题管理流程，还没有得到反馈；当审核员询问问题管理经理这个问题的处理状态时，问题经理回答，因为问题比较复杂，正在处理过程中，当审核员要求察看处理状态的记录时，问题经理说，不需要记录，因为处理问题的几位同事都很清楚当前的状态。

信息技术服务管理体系审核员练习模拟题

一、选择题（共30题，每题2分，总60分）

1) 下面哪句话最恰当描述了IT服务管理？

A. 经济有效地管理IT服务的质量

B. 根据ITIL最佳实践进行IT基础设施的管理工作

C. 以流程的方式管理IT基础设施。这种方式可让IT组织能够以专业的方式为客户提供IT产品和服务

D. 促进更多的人了解IT服务

2) IT服务管理是如何改善IT服务的质量的。

A. 以正式的内部、外部客户以及供应商的服务协议

B. 定义服务级别普遍适用的标准

C. 提高IT组织中所有员工的客户关注程度

D. 计划、实施、管理一系列流程以提供IT服务

3) 硬件、系统和应用软件以及数据通讯设施都是IT基础架构（IT infrastructure）的组成部分。下面哪些组件也可以被视为IT基础架构的一部分？

1 程序

2 文档

3 人员

A. 1和2

B. 1和3

C. 2和3

D. 1，2和3

4) 事件管理流程可以从哪份文档获得有关何时有必要将问题升级和将问题升

级给谁等方面的信息？

A. 服务改进计划

B. 服务目录

C. 组织结构图

D. 服务级别协议

5) 考虑下列说法：

1. SLA应该定义协议双方的角色和职责

2. 对SLA的实现情况应该进行监控，定期制作服务级别报告并报送相关人员

3. 在SLA签订之前应该对支撑合同进行评审

A. 没有一个是正确的

B. 1和2是正确的

C. 2和3是正确的

D. 上述三个说法都是正确的

6) 在某个保险公司里，由于电力的中断导致局域网和所有PC都宕机了。因此，该公司的业务受理系统和理赔系统都不能正常使用。一个小时后，电力中断的故障被解决了，服务也恢复至电力中断之前的状态。该事件对服务提供造成了哪种影响？

A. 影响很小，因为在一个小时内客户就被告知电话通知可以继续办理业务了，并且客户对这种情况表示理解。

B. 影响重大，因为该事件使得正常的服务提供不能实现。这对公司的形象造成了损害。

C. 没有影响，因为所有的数据都可以先记录在纸质文档上并可以在电力恢复后在录入系统。

D. 影响非常小，因为该事件是由电力故障而不是硬件或软件错误引起的。

7) 以下哪一项是IT服务持续性管理流程的典型活动？

A. 通知终端用户有关系统故障方面的情况

B. 将后备方案（Fallback Arrangement）文档化

C. 提供可用性方面的报告

D. 确保配置项始终是最新的

8) 某钢铁公司被竞争对手兼并。IT部门以及两个公司的IT基础架构需要整合，IT基础架构整合后运行应用程序所需要的磁盘空间将由下列哪项流程决定。

A. 可用性管理

B. 能力管理

C. 计算机操作管理

D. 发布管理

9) 关于IT服务持续性计划，某个灾难的严重程度取决于：

A. 灾难持续的天数

B. 恢复灾难可用的人员数量

C. 灾难的类型，如洪水、火灾等

D. 对客户业务的影响

10) 因对信息系统的依赖逐渐增强，某房地产公司要求确保系统运行发生中断后仍可获得IT服务。下面哪个流程可提供这样的服务。

A. 可用性管理

B. 持续性管理

C. 服务级别管理

D. 服务管理

11) 下面哪些属于可用性管理的首要职责？

1. 计划在SLA中约定的IT服务的可用性并进行监控

2. 就SLA中的可用性级别与客户进行谈判

3. 记录不可用事件的详细情况

4. 提出变更以预防有损可用性的故障

A. 1和2

B. 3和4

C. 所有的都正确

D. 1和4

12) 可用性百分率的计算公式为：

A. （宕机时间*100）/约定服务时间

B. （约定服务时间*100）/宕机时间

C. （（约定服务时间-宕机时间）*100）/约定服务时间

D. 约定服务时间/（约定服务时间-宕机时间）

13) 某企业针对某项特定的IT服务没有任何持续性计划，下面哪个将是合适的理由？

A. IT部门不具备开发持续性计划的技巧和能力

B. IT部门业务灾难的风险是很少的

C. 业务方的相关人员没有时间参与开发持续性计划

D. 在进行业务影响评估之后所作出的管理决策

14) 概念不属于IT服务的预算及核算管理？

A. 预算编制

B. 计费

C. 采购

D. 核算

[技术管理,计算机网络,信息]计算机网络信息安全技术管理与应用

计算机网络信息安全技术管理与应用 摘要：在互联网高度发达的今天，网络信息安全问题成为全世界共同关注的焦点。包含计算机病毒、木马、黑客入侵等在内的计算机网络信息安全事故频繁发生，给信息时代的人们敲响了警钟。互联网技术的广泛应用，给人们的工作、学习和生活带来了极大的便利，提高了工作效率，降低了活动成本，使原本复杂、繁琐的工作变得简单易行。但互联网开放、自由的特点又使得其不得不面临许多问题。文章围绕基于网络信息安全技术管理的计算机应用进行探讨，分析了当前计算机网络信息安全发展现状及存在的主要问题，介绍了主要的网络信息安全防范技术，希望能够帮助人们更好地了解网络信息安全知识，规范使用计算机，提高网络信息安全水平。 关键词：网络；信息安全；黑客；计算机应用 引言 计算机和互联网的发明与应用是二十世纪人类最重要的两项科学成果。它们的出现，深深改变了人类社会生产、生活方式，对人们的思想和精神领域也产生了重大影响。随着互联网的出现，人类社会已经步入信息时代，网络上的海量信息极大地改善了人们工作条件，原本困难的任务变得简单，人们的生活更加丰富多彩。计算机和互联网在给人们带来巨大的便利的同时，也带来了潜在的威胁。每年因为网络信息安全事故所造成的经济损失就数以亿计。网络信息安全问题也日渐凸显，已经引起各国政府和社会各界的高度关注。加强计算机网络信息安全技术研究与应用，避免网络信息安全事故发生，保证互联网信息使用安全是当前IT 产业重点研究的课题。 1计算机网络信息安全现状及存在的主要问题 1.1互联网本身特性的原因 互联网具有着极为明显的开放性、共享性和自由性特点，正是这三种特性，赋予了互联网旺盛的生命力和发展动力。但同时，这三个特点也给互联网信息安全带来了隐患。许多不法份子利用互联网开放性的特点，大肆进行信息破坏，由于互联网安全管理体制机制尚不完善，用户的计算机使用行为还很不规范，缺乏安全防范意识等，这些都给不法份子进行违法活动创造了机会。 1.2黑客行为与计算机病毒的危害 黑客行为和计算机病毒、木马等是现阶段计算机安全最主要的两大威胁。所谓黑客，是指利用计算机知识、技术通过某种技术手段入侵目标计算机，进而进行信息窃取、破坏等违法行为的人。黑客本身就是计算机技术人员，其对计算机的内部结构、安全防护措施等都较为了解，进而能够通过针对性的措施突破计算机安全防护，在不经允许的情况下登录计算机。目前就世界范围而言，黑客数量众多，规模庞大，有个人行为，也有组织行为，通过互联网，能够对世界上各处联网计算机进行攻击和破坏。由于计算机用途广泛，黑客行为造成的破坏结果也多种多样。计算机病毒是一种特殊的计算机软件，它能够自我复制，进而将其扩散到目标计算机。计算机病毒的危害也是多种多样的，由于计算机病毒种类繁多，且具有极强的

网络与信息安全管理措施

网络与信息安全管理措施 网络与信息安全不仅关系到学校的开展，还将影响到国家的安全、社会的稳定。我校将认真的开展网络与信息安全工作，通过检查进一步明确安全责任，建立健全的管理制度，落实技术防范措施，对有毒有害的信息进行过滤、确保网络与信息安全。 一、网站安全保障措施 1、主控室设置经公安部认证的防火墙，做好安全策略，拒绝外来的恶意攻击，保障网络正常运行。 2、对计算机病毒、有害电子邮件进行有效的防范措施，防止有害信息对网络系统的干扰和破坏。 3、做好日志的记录。内容包括IP地址，对应的IP地址情况等。 4、关闭网络系统中暂不使用的服务功能，及相关端口，并及时用补丁修复系统漏洞，定期查杀病毒。 5、服务器平时处于锁定状态，并保管好登录密码;后台管理界面设置超级用户名及密码，并绑定IP，以防他人登入。 6、学校机房按照机房标准建设，内有必备的防静电地板、，定期进行电力、防火、防潮、检查。 二、信息安全保密管理制度 1、信息监控制度： （1）、网络信息必须标明来源;(即有关转载信息都必须

标明转载的地址) （2）、相关责任人定期或不定期检查网络系统安全，实施有效监控，做好安全监督工作； （3）、不得利用国际互联网制作、复制、查阅和传播一系列以下信息，如有违反规定有关部门将按规定对其进行处理； A、反对宪法所确定的基本原则的； B、危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的； C、损害国家荣誉和利益的； D、煽动民族仇恨、民族歧视、破坏民族团结的； E、破坏国家宗教政策，宣扬邪教和封建迷信的； F、散布谣言，扰乱社会秩序，破坏社会稳定的； G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的； H、侮辱或者诽谤他人，侵害他人合法权益的； 含有法律、行政法规禁止的其他内容的。 2、组织结构： 设置专门的网络安全管理员，并由其上级进行监督、对学校网络系统管理实行责任制，对网络系统的管理人员，以及领导明确各级人员的责任，管理网络系统的正常运行，严格抓管理工作，实行谁管理谁负责。

信息管理与信息安全管理程序

1 目的 明确公司信息化及信息资源管理要求，对外部信息及信息系统进行有效管理，以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化 建立先进的管理理念，应用先进的计算机网络技术，整合、提升企业现有的生产、经营、设计、制造、管理方式，及时为企业各级人员的决策提供准确而有效的数据信息，以便对需求做出迅速的反应，其本质是加强企业的“核心竞争力”。 3.3 信息披露 指公司以报告、报道、网络等形式，向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查，对重大问题进行决策，定期听取有关信息化管理的工作汇报，协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理，每月召开ERP例会，分析总结系统运行情况，协调处理有关问题，及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门，主要职责： a)负责制定并组织实施本程序及配套规章制度，对各部门(单位)信息化工作进行业务指导和督促； b)负责信息化建设管理，组织进行信息技术项目前期管理，编制信息建设专业发展规划并组织实施； c)负责统一规划、组织、整合和管理公司信息资源系统，为各部门(单位)信息采集、整理、汇总和发布等环节提供技术支持；对Internet用户、电子进行设置管理；统一管理分公司互联网出口； d)负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算

信息安全管理试题集

信息安全管理试题集

信息安全管理－试题集 判断题： 1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×） 注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×） 注释：应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×） 注释：共3种计算机犯罪，但只有2种新的犯罪类型。 单选题： 1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D.

安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性，下列（ C ）不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的（ A ）安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是（ C ）的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注：美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是（ D ）。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是（ B ）。 A. ISO 15408 B. ISO 17799/ISO 27001(英） C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国（A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是（ A ）。

《信息安全技术与应用》试题2AD-A4

考试方式：闭卷Array ××××大学信息安全技术与应用试卷(A) I. 选择题（从四个选项中选择一个正确答案，每小题2分，共40分） 1. 信息未经授权不能改变的安全特性称为。 a.保密性 b. 有效性 c. 可控性 d. 完整性 2. 网络安全涉及的保护范围比信息安全。 a. 大 b. 相同 c. 小 d. 无关 3. 软件产品通常在正式发布之前，一般都要相继发布α版本、β版本和γ版本供反复测试使用，主要目的是为了尽可能。 a. 提高软件知名度 b. 改善软件易用性 c. 完善软件功能 d. 减少软件漏洞 4. 因特网安全系统公司ISS提出的著名PPDR网络安全模型指。 a. 策略、评估、设计和履行 b. 法律、法规、管理和技术 c. 策略、保护、检测和响应 d. 法律、法规、管理和教育 5.具有原则的网络安全策略是提高安全投资回报和充分发挥网络效能的关键。 a. 最小化 b. 均衡性 c. 易用性 d. 时效性 第 1 页共6 页

6. 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统违反了。 a. 中华人民共和国治安管理处罚条理 b. 中华人民共和国刑法 c. 中华人民共和国保守国家秘密法 d. 中华人民共和国电子签名法 7. 下列那个机构专门从事安全漏洞名称标准化工作。 a. ITU b. IEEE c. CERT d. CVE 8. 《国际通用信息安全评价标准ISO/IEC 15408》在安全保证要求中定义了7个评价保证等级，其中的安全级别最低。 a. EAL7 b. EAL6 c. EAL4 d. EAL5 9.收发双方使用相同密钥的加密体制称为。 a. 公钥加密 b. 非对称式加密 c. 对称式加密 d. 数字签名 10. 从主体出发表达主体访问客体权限的访问控制方法称为。 a. 访问控制列表 b. 访问能力表 c. 自主访问控制 d. 授权关系表 11. 通过抢占目标系统资源使服务系统过载或崩溃的攻击称为。 a. 缓冲区溢出攻击 b. 拒绝服务攻击 c. 漏洞扫描攻击 d. 获取用户权限攻击 12. 当入侵检测监视的对象为主机审计数据源时，称为。 a. 网络入侵检测 b. 数据入侵检测 c. 主机入侵检测 d. 误用入侵检测 第 2 页共6 页

信息安全管理练习题

信息安全管理练习题-2014 判断题： 1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×） 注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×） 注释：应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×） 注释：共3种计算机犯罪，但只有2种新的犯罪类型。 单选题： 1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性，下列（C）不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的（A）安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是（C）的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注：美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是（D）。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是（B）。 A. ISO 15408 B. ISO 17799/ISO 27001(英） C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国（A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部 令 8. 在PDR安全模型中最核心的组件是（A）。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施

网络及信息安全管理组织机构设置及工作职责.docx

网络与信息安全管理组织机构设置及工作职责一、网络与信息安全责任人： 1. 网络与信息安全第一责任人：企业 法定代表人姓名；工作职责为：对机构内的信息安全工作负有领 导责任；联系方式：电话及邮箱。（联系电话应为本人常用、真实 有效的手机号码，可抽测。） 2.网络与信息安全责任人：分管信息安全工作的负责人姓名；工作职责为：对企业内信息安全工作负有直接领导责任。联系方式：电话及邮箱。（联系电话应为本人常用、真实有效的手机号码，可抽测。）（上述两项请全部填写）二、网络与信息安全管理组织机 构设置及工作职责 1.企业需设置或指定网络与信息安全主管部门（如信息安全领导小组、信息安全工作组、信息安全部等），负责本企业网络与信息安全 相关工作；企业网络与信息安全管理组织架构：包括主管部门、相关 配合部门； 2.网络与信息安全管理机构职责（包括但不限于下述内容，要对公 司实际制度建立和管理情况进行简述）：（ 1）建立健全网络与信息 安全规章制度，以及各项规章制度执行情况监督检查；（ 2）开展网 络与信息安全风险监测预警和评估控制、隐患排查整改工作；（ 3） 建立健全网络与信息安全事件应急处置和上报制度，以及组 织开展应急演练；（ 4）建立健全从业人员网络与信息安全教育培 训以及考核制度；（ 5）违法有害信息监测处置制度和技术手段建 设；（ 6）建立健全用户信息保护制度。 3.对于申请 IDC/ISP( 开展网站接入业务的）企业，在许可证申请 完成后，开展业务前，企业的 IDC/ISP 信息安全管理系统需与我局IDC/ISP 信息安全管理系统进行对接，并且按照《工业和信息化部办 公厅关于印发《互联网信息安全管理系统使用及运行维护管理办法 （试行）》（工信厅网安（2016）135 号）要求，制定本企业 IDC/ISP 信息安全管理系统的运行维护管理办法。 网络与信息安全一、网络与信息安全管理人员配备情况及相应资质请按照下表内容在系统管理人员配备情上填写相关文字信息： 况及相应资质网络与信息安全管理人员配备情况表 责任人 第一责任人( 公司法人 /总经理）姓名身份联系归属工作全职/资质证号方式部门内容兼职情况 （手 机）

信息安全管理学习资料

一、信息安全管理 1、什么是信息安全管理，为什么需要信息安全管理？ 国际标准化组织对信息安全的定义是：“在技术上和管理上维数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。当今的信息系统日益复杂，其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁，信息资产就可能会遭受巨大的损失甚至威胁到国家安全。 2、系统列举常用的信息安全技术？ 密码技术、访问控制和鉴权；物理安全技术；网络安全技术；容灾与数据备份。 3、信息安全管理的主要内容有哪些？ 信息安全管理从信息系统的安全需求出发，结合组织的信息系统建设情况，引入适当的技术控制措施和管理体系，形成了综合的信息安全管理架构。 4、什么是信息安全保障体系，它包含哪些内容？ 5、信息安全法规对信息安全管理工作意义如何？ 它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面： 1.为人们从事在信息安全方面从事各种活动提供规范性指导； 2.能够预防信息安全事件的发生； 3.保障信息安全活动参与各方的合法权益，为人们追求合法权益提供了依据和手段。 二、信息安全风险评估 1、什么是信息安全风险评估？它由哪些基本步骤组成？ 信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段，第一阶段为风险评估准备；第二阶段为风险识别，第三阶段为风险评价，第四阶段为风险处理。 2、信息资产可以分为哪几类？请分别举出一两个例子说明。 可以分为数据、软件、硬件、文档、人员、服务。例如：软件有系统软件、应用软件、源程序、数据库等。服务有办公服务、网络服务、信息服务等。 3、威胁源有哪些？其常见表现形式分别是什么？

网络与信息安全习题集 及答案

《网络与信息安全》综合练习题 一．选择题 1．以下对网络安全管理的描述中，正确的是（）。 A）安全管理不需要对重要网络资源的访问进行监视。 B）安全管理不需要验证用户的访问权限和优先级。 C）安全管理的操作依赖于设备的类型。 D）安全管理的目标是保证重要的信息不被未授权的用户访问。 2．以下有关网络管理功能的描述中，错误的是（）。 A）配置管理是掌握和控制网络的配置信息。 B）故障管理是对网络中的故障进行定位。 C）性能管理是监视和调整工作参数，改善网络性能。 D）安全管理是使网络性能维持在较好水平。 3．有些计算机系统的安全性不高，不对用户进行验证，这类系统的安全级别是（）。 A）D1 B）A1 C）C1 D）C2 4．Windows NT操作系统能够达到的最高安全级别是（）。 A）C1 B）C2 C）D1 D）D2 5．下面操作系统能够达到C2安全级别的是（）。 Ⅰ.Windows 3.x Ⅱ.Apple System 7.x Ⅲ.Windows NT Ⅳ.NetWare3.x A）Ⅰ和Ⅲ B）Ⅱ和Ⅲ C）Ⅱ和Ⅳ D）Ⅲ和Ⅳ 6．计算机系统处理敏感信息需要的最低安全级别是（）。 A）D1 B）C1 C）C2 D）B1 7．计算机系统具有不同的安全级别，其中Windows 98的安全等级是（）。 A）B1 B）C1 C）C2 D）D1 8.计算机系统具有不同的安全等级，其中Windows NT的安全等级是（）。 A）B1 B）C1 C）C2 D）D1 9.网络安全的基本目标是实现信息的机密性、合法性、完整性和_________。 10．网络安全的基本目标是保证信息的机密性、可用性、合法性和________________。11．某种网络安全威胁是通过非法手段取得对数据的使用权，并对数据进行恶意添加和修改。

信息安全技术与应用试题2ADA4

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持. （10）安全解决方案的经费预算。 IV. 根据表1所示的端口扫描分组信息回答下列问题（共10分）。 表1 协议分析软件捕获的部分端口扫描分组 Source Destination Protocol Info 219.226.87.79219.226.87.78TCP2921 > 233 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP233 > 2921 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 219.226.87.79219.226.87.78TCP2922 > 5405 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP5405>2922 [SYN, ACK] Seq=0 Ack=1 Win=17520 Len=0 MSS=1460 219.226.87.79219.226.87.78TCP2922 > 5405 [RST] Seq=1 Ack=1 Win=0 Len=0 219.226.87.79219.226.87.78TCP2923 > 2032 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP2032 > 2923 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 219.226.87.79219.226.87.78TCP2924 > 32786 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP32786 > 2924 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 219.226.87.79219.226.87.78TCP2925 > 35 [SYN] Seq=0 Ack=0 Win=16384 Len=0 MSS=1460 219.226.87.78219.226.87.79TCP35 > 2925 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0 1. 指出端口扫描类型（4分） TCP SYN 扫描 2. 指出开放的端口号或服务（3分） 5405 3. 指出被扫描的主机IP地址（3分）

网络及信息安全管理制度

网络与信息安全管理制度 根据《中华人民共和国计算机信息安全管理条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》和有关法律、法规的规定，为落实网络与信息安全工作，学校通过检查进一步明确安全责任，建立健全的管理制度，落实技术防范措施，坚持“安全第一，预防为主”的方针，对有毒有害的信息进行过滤、对用户信息进行保密，确保网络与信息安全，努力打造“平安校园网络”，特制定本办法。 一、学校党政领导要加强对学校网络应用的监督、检查，发现问题及时处理。 二、不得利用国际互联网制作、复制、发布和传播下列信息： 1、反对宪法所确定的基本原则的； 2、危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的； 3、损害国家荣誉和利益的； 4、煽动民族仇恨、民族歧视、破坏民族团结的； 5、破坏国家宗教政策，宣扬邪教和封建迷信的； 6、散布谣言，扰乱社会秩序，破坏社会稳定的； 7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的； 8、侮辱或者诽谤他人，侵害他人合法权益的； 9、含有法律、行政法规禁止的其他内容的。 三、学校建立了健全的信息安全保密管理制度，实现信息安全保密责任制，切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，确保使用网络和提供信息服务的安全。 四、学校建立健全学校网络安全保护管理制度，提高网络安全防范手段，网络管理员经常检查网络安全保护管理以及技术指施的落实情况。网络管理中心在组织安全检查时，对检查中发现的问题，应当提出改进意见，作出详细记录，存档备查。 五、学校网络信息发布的内容需经过学校相关部门的严格审批和登记，并建立相应的信息管理制度。 六、学校网页不得擅自连接境外的新闻网站，不得擅自登载境外新闻媒体和互联网站发布的新闻。 七、根据校园网络运行的实际情况并结合上级部门的有关规定，本办法将适时予以修订。 八、在学生中广泛开展教育活动，提倡师生文明上网，开展健康文明的网络文化活动。

信息管理与信息安全管理程序.docx

. . 1目的 明确公司信息化及信息资源管理要求，对内外部信息及信息系统进行有效管理，以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念，应用先进的计算机网络技术，整合、提升企业现有的生产、经营、设计、制 造、管理方式，及时为企业各级人员的决策提供准确而有效的数据信息，以便对需求做出迅速的反应， 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式，向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查，对重大问题进行决策， 定期听取有关信息化管理的工作汇报，协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理，每月召开ERP例会，分析总结系统运行情况， 协调处理有关问题，及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门，主要职责： a) 负责制定并组织实施本程序及配套规章制度，对各部门( 单位 ) 信息化工作进行业务指导和督促； b)负责信息化建设管理，组织进行信息技术项目前期管理，编制信息建设专业发展规划并组织实施； c) 负责统一规划、组织、整合和管理公司信息资源系统，为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持；对Internet用户、电子邮箱进行设置管理；统一管理分公司互联网出口； d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算

信息安全管理练习题

-2014 信息安全管理练习题判断题： 1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×） 注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×） 注释：应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×） 注释：共3种计算机犯罪，但只有2种新的犯罪类型。 单选题： 1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性，下列（ C ）不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的（ A ）安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是（ C ）的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注：美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是（ D ）。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是（ B ）。 A. ISO 15408 B. ISO 17799/ISO 27001(英） C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国（ A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是（ A ）。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施 9. 在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的结果文档被称为（ A )。 A. 可接受使用策略AUP B. 安全方针 C. 适用性声明 D. 操作规范 应当具有至少10. 互联网服务提供者和联网使用单位落实的记录留存技术措施，

信息安全技术及应用

信息安全技术及应用文稿归稿存档编号：[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-

信息安全技术及应用· 浅谈网络信息安全及其防范技术 刘 辉 (天津滨海职业学院信息工程系,天津300451) 摘要:介绍网络信息安全的内容及其特性,分析了影响网络安全的主要因素,针对目前常见的网络安全隐患提出了有效的防范技术. 关键词:网络信息安全;防范技术 中图分类号:TP309.2 文献标识码:A Simply Discussion of the Network Information Security and Precautionary Technology UU Hui (Department of Information E.sineering,Tianjin Coastal Polytechnic Imtitute,Tianjin Key words:Network information security;Precautionary technology 300451) 计算机网络是通过某种通信手段,把地理上分散的计算机连接起来实现资源共享的系统. 因此在计算机网络的设计过程中,人们总是过多地考虑如何能够方便地实现资源共享,但 在实际应用中,资源共享总是在一个局部或者某些特定用户之间进行的,超越了这个范围,就会造成信息泄密,信息破坏等危害网络安全的现象,这是所有设计者和使用者都不希望 出现的,因此必须通过采用各种技术和管理措施,使网络系统正常运行.从而确保网络数 据的可用性,完整性和保密性.确保经过网络传输和交换的数据不会发生增加,修改,丢失 和泄露等现象.

网络与信息安全管理组织机构设置及工作职责[001]

精心整理 精心整理 网络与信息安全管理组织机构设置及工作职责 一、网络与信息安全责任人：1.网络与信息安全第一责任人：企业法定代表人姓名；工作职责为：对机构内的信息安全工作负有领导责任；联系方式：电话及邮箱。（联系电话应为本人常用、真实有效的手机号码，可抽测。） 2.网络与信息安全责任人：分管信息安全工作的负责人姓名；工作职责为：对企业内信息安全工作负有直接领导责任。联系方式：电话及邮箱。（联系电话应为本人常用、真实有效的手机号码，可抽测。）（上述两项请全部填写）二、网络与信息安全管理组织机构设置及工作职责 1.企业需设置或指定网络与信息安全主管部门（如信息安全领导小组、信息安全工作组、信息安全部等），负责本企业网络与信息安全相关工作；企业网络与信息安全管理组织架构：包括主管部门、相关配合部门； 2.网络与信息安全管理机构职责（包括但不限于下述内容，要对公司实际制度建立和管理情况进行简述）：（1）建立健全网络与信息安全规章制度，以及各项规章制度执行情况监督检查；（2）开展网络与信息安全风险监测预警和评估控制、隐患排查整改工作；（3）建立健全网络与信息安全事件应急处置和上报制度，以及组织开展应急演练；（4）建立健全从业人员网络与信息安全教育培训以及考核制度；（5）违法有害信息监测处置制度和技术手段建设；（6）建立健全用户信息保护制度。 3.对于申请IDC/ISP(开展网站接入业务的）企业，在许可证申请完成后，开展业务前，企业的IDC/ISP 信息安全管理系统需与我局IDC/ISP 信息安全管理系统进行对接，并且按照《工业和信息化部办公厅关于印发《互联网信息安全管理系统使用及运行维护管理办法（试行）》（工信厅网安（2016）135号）要求，制定本企业IDC/ISP 信息安全管理系统的运行维护管理办法。 网络与信息安全管理人员配备情况及相应资质 一、网络与信息安全管理人员配备情况及相应资质请按 照下表内容在系统上填写相关文字信息： 网络与信息安全管理人员配备情况表 责任人 姓名 身份证号 联系方式（手机） 归属部门 工作内容 全职/兼职 资质情况 第一责任人(公司法人/

【技术】信息安全技术与应用试题2ADA4

【关键字】技术 I. 选择题（从四个选项中选择一个正确答案，每小题2分，共40分） 1. 信息未经授权不能改变的安全特性称为。 a. 保密性 b. 有效性 c. 可控性 d. 完整性 2. 网络安全涉及的保护范围比信息安全。 a. 大 b. 相同 c. 小 d. 无关 3. 软件产品通常在正式发布之前，一般都要相继发布α版本、β版本和γ版本供反复测试使用，主要目的是为了尽可能。 a. 提高软件知名度 b. 改善软件易用性 c. 完善软件功能 d. 减少软件漏洞 4. 因特网安全系统公司ISS提出的著名PPDR网络安全模型指。 a. 策略、评估、设计和履行 b. 法律、法规、管理和技术 c. 策略、保护、检测和响应 d. 法律、法规、管理和教育 5. 具有原则的网络安全策略是提高安全投资回报和充分发挥网络效能的关键。 a. 最小化 b. 均衡性 c. 易用性 d. 时效性 6. 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统违反了。 a. 中华人民共和国治安管理处罚条理 b. 中华人民共和国刑法 c. 中华人民共和国保守国家秘密法 d. 中华人民共和国电子签名法 7. 下列那个机构专门从事安全漏洞名称标准化工作。 a. ITU b. IEEE c. CERT d. CVE 8. 《国际通用信息安全评价标准ISO/IEC 15408》在安全保证要求中定义了7个评价保证等级，其中的安全级别最低。 a. EAL7 b. EAL6

c. EAL4 d. EAL5 9. 收发双方使用相同密钥的加密体制称为。 a. 公钥加密 b. 非对称式加密 c. 对称式加密 d. 数字签名 10. 从主体出发表达主体访问客体权限的访问控制方法称为。 a. 访问控制列表 b. 访问能力表 c. 自主访问控制 d. 授权关系表 11. 通过抢占目标系统资源使服务系统过载或崩溃的攻击称为。 a. 缓冲区溢出攻击 b. 拒绝服务攻击 c. 漏洞扫描攻击 d. 获取用户权限攻击 12. 当入侵检测监视的对象为主机审计数据源时，称为。 a. 网络入侵检测 b. 数据入侵检测 c. 主机入侵检测 d. 误用入侵检测 13. 误用入侵检测的主要缺点是。 a. 误报率高 b. 占用系统资源多 c. 检测率低 d. 不能检测知攻击 14. IEEE 802.11系列无线局域网采用协议解决多用户同享无线信道的冲突问题。 a. CSMA/CD b. WEP c. CSMA/CA d. WPA 15. 为了在全球范围推广IEEE 802.16标准并加快市场化进程，支持IEEE 802.16标准的生产厂商自发成立了联盟。 a. Wi-Fi b. SIG c. H2GF d. WiMAX 16. 下列那一个IEEE 标准是面向无线个人区域网的标准？ a. IEEE b. IEEE c. IEEE 802.16 d. IEEE 802.15 17. WEP加密使用了24位初始向量IV，其目地是。

网络及信息安全管理制度汇编

中心机房管理制度 计算机机房属机密重地。为做到严格管理，保证安全，特制订如下制度： 第一条中心机房的管理由系统管理员负责，非机房工作人员未经允许不准进入，机房门口明显位置应张贴告示：“机房重地，非请莫入”。 第二条机房内应保持整洁，严禁吸烟、吃喝、聊天、会客、休息。不准在计算机及工作台附近放置可能危及设备安全的物品。 第三条机房内严禁一切与工作无关的操作。严禁外来信息载体带入机房，未经允许不准将机器设备和数据带出机房。 第四条认真做好机房内各类记录介质的保管工作，落实专人收集、保管，信息载体必须安全存放并严密保管，防止丢失或失效。机房资料外借必须经批准并履行手续，方可借出。作废资料严禁外泄。 第五条机房工作人员要随时掌握机房运行环境和设备运行状态，保证设备随时畅通。机房设备开关必须先经检查确认正常后再按顺序依次开关机。 第六条机房工作人员对机房存在的隐患及设备故障要及时报告，并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。

第七条机房设备应由专业人员操作、使用，禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障，应及时报请维修，以免影响工作。 第八条外单位人员因工作需要进入机房时，必须报经局领导审批后方可进入，进入机房后须听从工作人员的指挥，未经许可，不得触及机房内设施。 第九条外来人员参观机房，须指定人员陪同。操作人员按陪同人员要求可以在电脑演示、咨询；对参观人员不合理要求，陪同人员应婉拒，其他人员不得擅自操作。 第十条中心机房处理秘密事务时，不得接待参观人员或靠近观看。

网络安全管理制度 第一条严格遵守法律、行政法规和国家其他有关规定，确保计算机信息系统的安全。 第二条连入局域网的用户严禁访问外部网络，若因工作需要，上网查询信息，允许访问与工作相关的网站，但须报告计算机管理部门，并在专业人员的指导下完成。非本局工作人员不允许上网查询信息。严禁访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密，侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非工作人员操纵系统，禁止不合法的登录情况出现。遇到安全问题应及时向计算机管理部门报告，并采取措施及时解决。 第五条局域网要采取安全管理措施，保障计算机网络设备和配套设施的安全，保障信息的安全，保障运行环境的安全。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论，不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络

信息安全管理体系ISMS真题-案例分析及参考答案

ISMS信息安全技术真题 案例分析参考答案 试题一（25分） 阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。 【说明】 某市电力公司准备在其市区及各县实施远程无线抄表系统，代替人工抄表。经过考察，电力公司指定了国外的S公司作为远程无线抄表系统的无线模块提供商，并选定本市F智能电气公司作为项目总包单位，负责购买相应的无线模块，开发与目前电力运营系统的接口，进行全面的项目管理和系统集成工作。F公司的杨经理是该项目的项目经理。 在初步了解用户的需求后，F公司立即着手系统的开发与集成工作。5个月后，整套系统安装完成，通过初步调试后就交付用户使用。但从系统运行之日起，不断有问题暴露，电力公司要求F公司负责解决。可其中很多问题，比如数据实时采集时间过长、无线传输时数据丢失，甚至有关技术指标不符合国家电表标准等等，均涉及到无线模块。于是杨经理同S公司联系并要求解决相关技术问题，而此时S公司因内部原因退出中国大陆市场。因此，系统不得不面临改造。 【问题1】（6分） 请用300字以内文字指出F公司在项目执行过程中有何不妥。 【问题2】（9分） 风险识别是风险管理的重要活动。请简要说明风险识别的主要内容并指出选用S公司无线模块产品存在哪些风险？ 【问题3】（10分） 请用400字以内文字说明项目经理应采取哪些办法解决上述案例中的问题。 参考答案： [问题一] 请用300字以内文字指出F公司项目执行过程中有何不妥。 答案： 1. 没有建立完善的项目管理体系或制定合理的项目管理计划并遵照执行。 2. 需求开发与需求管理不规范，没有严格进行需求定义与验证，也没有形成书面的《系统需求规格说明书》。 3. 缺乏全面的质量管理，缺少完整的测试计划和测试活动，没有系统的验收标准或验收流程不规范。 4. 整个开发过程缺乏用户参与，比如进行阶段式的验收，阶段性成果的签字确认。 5. 缺乏对分包商（S公司）的监督管理，尤其是对S公司无线模块产品的质量管理 6. 没有了解或咨询国家或行业的相关标准、技术规范。 7. 没有对项目进行可行性分析。 [问题二] 风险识别是风险管理的重要活动。请简要说明风险识别的主要内容并指出选用S 公司无线模块存在哪些风险？ 答案： 风险识别是确定何种风险可能会对项目产生影响，并将这些风险的特征形成文件。

信息安全技术的应用

编订：__________________ 审核：__________________ 单位：__________________ 信息安全技术的应用 Deploy The Objectives, Requirements And Methods To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-8562-79 信息安全技术的应用 使用备注：本文档可用在日常工作场景，通过对目的、要求、方式、方法、进度等进行具体的部署，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。 1. [1]数学的发展与创新思维数学是一种思维方式,表现了人类思维的本质和特征。几何学的公理化体系具有逻辑严谨性和对象抽象性从而又具有应用广泛性而素称思维的体操,这一点已得到大家的公认。 数学思维更是当前学术界的常用词,它不仅指数学中的逻辑思维,还特指与数学密切相关的思维方式。数学家将这种思维分为左脑管辖的抽象思维、形式化和公理化,右脑管辖的探索性思维、形象思维和直觉思维。目前正在研究左右脑思维的配合,以期将数学发展成为一种高效率的思维科学。[2]由此不难发现,如果数学科学家缺乏创新思维,它必阻滞数学家发明或创造新的数学方法、思想和原理,这是千百年来数学发展规律的历史经验总结。因此要回答数学被发现还是被

网络及信息安全管理意见

网络安全管理制度(意见) 第一条严格遵守法律、行政法规和国家其他有关规定，确保计算机信息系统的安全。 第二条非政府工作人员不允许在本网络内上网查询信息。严禁工作人员访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密，侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非政府工作人员操纵电脑，禁止不合法的登录情况出现。 第五条局域网内要采取安全管理措施。每台电脑需装杀毒软件，每周定时查杀病毒和木马，并自动修复系统漏洞。建议使用360杀毒软件或金山卫士(此两款软件均免费)。养成良好的操作习惯，经常备份重要资料。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论，不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络服务和破坏网络设备的活动。

第七条局域网应统一规划、建设，未经许可，不得私自将陌生的计算机接入局域网，不得将涉密电脑接入局域网。 第八条不得向其它非本部门工作人员透露内部网登录用户名和密码，做好各个应用系统的用户名和密码的保密工作。 第九条存储介质(包含：U盘、移动硬盘、光盘)在与计算机连接前，确保被计算机内安装有防木马和病毒的软件。如果杀毒软件提示有病毒存在，请做杀毒处理。不得在发现病毒的情况下强行拷贝数据。 第十条在发现某台计算机中毒后，请拔出网线，进行单机杀毒或重装系统，以免造成网络内部感染，导致网络崩溃。

数据、资料和信息的安全管理制度 第一条机房及使用计算机的单位都要设立专人负责文字及磁介质资料的安全管理工作。 第二条各单位要建立资料管理登记簿，详细记录资料的分类、名称、用途、借阅情况等，便于查找和使用。 第三条各项技术资料应集中统一保管，严格借阅制度。 第四条应用系统和操作系统需用磁带、光盘备份。对重要的动态数据应定时清理、备份，并报送有关部门存放。 第五条存放税收业务应用系统及重要信息的磁带光盘严禁外借，确因工作需要，须报请有关领导批准。 第六条对需要长期保存的数据磁带、磁盘，应在一年内进行转储，以防止数据失效造成损失。 第七条对有关电脑文件、数据进行加密处理。为保密需要，应定期或不定期地更换不同保密方法或密码口令。若须查阅保密信息，须经有关领导批准，才能查询、打印有关保密资料。对保密信息应严加看管，不得遗失、私自传播。 第八条及时关注电脑界病毒防治情况和提示，根据要求调整计算机参数或安装防毒软件，避免电脑病毒侵袭。 第九条对于联入局域网的计算机，任何人在未经批准的情况下，不得向局域网内拷入软件或文档。 第十条任何微机需安装软件时，由各单位提出申请，