某某省2018年信息安全管理与评估比赛理论试题(高职)

2018年某某省高职

信息安全管理与评估比赛理论试题

注：考生须将答案填写在答题卡上（最后一页），否则成绩按零分计算

一、单项选择（每题1分，共80分）

1. 为了保障互联网的运行安全，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任（）

A.侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统

B.故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭受损害

C.违反国家规定，擅自中断计算机网络或者通信服务，造成计算机网络或者通信系统不能正常运行

D.利用互联网组织邪教组织、联络邪教组织成员，破坏国家法律、行政法规实施。

2.在OSI参考模型中，将整个通信功能分为七个层次，以下不属于这七层的是（）

A.会话层

B.数据链路层

C.服务层

D.表示层

3. 如果某个网站允许用户能上传任意类型的文件，黑客最可能进行的攻击是（）

A. 拒绝服务攻击

B. 口令破解

C. 文件上传漏洞攻击

D. SQL注入攻击

4. 防范网络监听最有效的方法是（）

A. 进行漏洞扫描

B. 采用无线网络传输

C. 对传输的数据信息进行加密

D. 安装防火墙

5. 数字签名包括（）

A. 签署过程

B. 签署和验证两个过程

C. 验证过程

D. 以上答案都不对

6. 覆盖全省乃至全国的党政机关、商业银行的计算机网络属于（）

A. 广域网

B. 局域网

C. 区域网

D. 国际互联网

7. 布置电子信息系统信号线缆的路由走向时，以下做法错误的是（）

A 可以随意弯折

B 转弯时，弯曲半径应大于导线直径的10倍

C 尽量直线、平整D尽量减小由线缆自身形成的感应环路面积

8. TCP / IP 协议层次结构由（）

A. 网络接口层、网络层组成

B. 网络接口层、网络层、传输层组成

C .网络接口层、网络层、传输层和应用层组成

D .以上答案都不对

9.当计算机A要访问计算机B时，计算机C要成功进行ARP欺骗攻击，C操作如下（）

A. 冒充B并将B的物理地址回复给 A

B. 将C的IP和一个错误的物理地址回复给 A

C. 冒充B并将B的IP和物理地址回复给 A

D. 冒充B并将B的IP和一个错误的物理地址回复给 A

10.对网络系统进行渗透测试，通常是按什么顺序来进行的( )

A、控制阶段、侦查阶段、入侵阶段

B、入侵阶段、侦查阶段、控制阶段

C、侦查阶段、入侵阶段、控制阶段

D、侦查阶段、控制阶段、入侵阶段

11.下列关于电子邮件传输协议描述错误的是（）

A. SMTP协议负责邮件系统如何将邮件从一台计算机传送到另外一台计算机

B. IMAP4的应用比POP3更广泛

C. IMAP4协议能够使用户可以通过浏览远程服务器上的信件，决定是否要下载此邮件

D. POP3协议规定怎样将个人计算机连接到邮件服务器和如何下载电子邮件

12、下面对云计算基础设施即服务（ISSA）描述错误的是（）

A、是一种托管型硬件方式

B、用户可以根据实际存储容量来支付费用

C、把开发环境作为一种服务来提供

D、把厂商的由多台服务器组成的“云端”基础设施作为计算服务提供给客户

13. 防火墙提供的接入模式不包括（）

A. 网关模式

B.透明模式

C. 混合模式

D.旁路接入模式

14. 不能防止计算机感染病毒的措施是（）

A. 定时备份重要文件

B. 经常更新操作系统

C. 除非确切知道附件内容，否则不要打开电子邮件附件

D. 重要部门的计算机尽量专机专用与外界隔绝

15. 企业在选择防病毒产品时不应该考虑的指标为（）

A. 产品能够从一个中央位置进行远程安装、升级

B. 产品的误报、漏报率较低

C. 产品提供详细的病毒活动记录

D. 产品能够防止企业机密信息通过邮件被传出

16. 当Windows系统出现某些错误而不能正常启动或运行时，为了提高系统自身的安全性，在启动时可以进入模式。

A、异常

B、安全

C、命令提示符

D、单步启动

17. Windows系统的用户帐号有两种基本类型，分别是全局帐号和（）

A 本地帐号

B 域帐号

C 来宾帐号

D 局部帐号

18. 下面哪个不是UNIX／Linux系统中用来进行文件系统备份和恢复命令（）

A tar

B cpio

C umask

D backup

19. 下面说法正确的是（）

A. UNIX系统中有两种NFS服务器，分别是基于内核的NFS Daemon和用户空间Daemon，其中安全性能较强的是基于内核的NFS Daemon

B.UNIX系统中有两种NFS服务器，分别是基于内核的Daemon和用户空间NFS Daemon，其中安全性能较强的是用户空间NFSDaemon

B. UNIX系统中现只有一种NFS服务器，就是基于内核的NFSDaemon，原有的

用户空间Daemon已经被淘汰，因为NFSDaemon安全性能较好

C. UNIX系统中现只有一种NFS服务器，就是基于内核的Daemon，原有的用

户空间NFSDaemon已经被淘汰，因为Daemon安全性能较好

20. 容灾的目的和实质是（）

A. 数据备份

B. 心理安慰

C.保持信息系统的业务持续性

D.系统的有益补充

21. 防火墙是（）在网络环境中的应用

A.字符串匹配

B.访问控制技术

C.入侵检测技术

D.防病毒技术

22. 以下不是网络协议三要素的是。（）

A.语法

B. 语义

C. 语境

D. 时序

23.通过添加规则，允许通往192.168.0.2的SSH连接通过防火墙的iptables

指令是（）

A iptables -F INPUT -d 192.168.0.2 -p tcp--dport 22 -j ACCEPT

B iptables -A INPUT -d 192.168.0.2 -p tcp--dport 23 -j ACCEPT

C iptables -A FORWAR

D -d 192.168.0.2 -p tcp--dport22 -j ACCEPT

D iptables -A FORWARD -d 192.168.0.2 -p tcp--dport 23 -j ACCEPT

24. iptables中默认的表名是（）

A. filter

B. firewall

C. nat

D. mangle

25. 以下不属于网络病毒特点的是（）

A.寄生性

B.传染性

C.唯一性

D.潜伏性

26. 下列哪个不是无线网络相对于有线网络的优势（）

A、安全性更高

B、维护费用低

C、可扩展性更好

D、灵活度高

27. 网络安全领域，把已经被发现，但相关软件厂商还没有进行修复的漏洞叫什么

漏洞（）

A、 0day漏洞

B、 DDAY漏洞

C、无痕漏洞

D、黑客漏洞

28. 家明使用安装了Windows操作系统的电脑，同学建议他电脑中重要的资料最好不

要保存在C盘中。下列哪个观点最合理（）

A、这种说法没有根据

B、文件存储在C盘容易被系统文件覆盖

C、 C盘是默认系统盘，不能存储其他文件

D、 C盘最容易遭到木马病毒的攻击，而且重装系统时会删除C盘上的所有文件，如

果备份不及时会造成严重影响

29. 我们应当及时修复计算机操作系统和软件的漏洞，是因为( )

A、操作系漏洞补丁及时升级，软件漏洞补丁就没有必要及时修复

B、以前经常感染病毒的机器，现在就不存在什么漏洞了

C、漏洞就是计算机系统或者软件系统的缺陷，病毒和恶意软件可以通过这个缺陷趁虚而入

D、手动更新后，玩游戏时操作系统就不会自动更新，不会占用网络带宽了

30. 发现个人电脑感染病毒，断开网络的目的是（）

A、影响上网速度

B、担心数据被泄露电脑被损坏

C、控制病毒向外传播

D、防止计算机被病毒进一步感染

31. 当一个发往目的地的主机IP包经过多个路由器转发时，以下说法正确的是( )

A、当IP包在每跳段中传输时，目的地址改为下一个路由器的IP地址

B、当一个路由器将IP包分发到广域网WAN时，目的的IP地址经常发生改变。

C、目的的IP地址将永远是第一个路由器的IP地址。

D、目的的IP地址固定不变

32. 当访问web网站的某个资源时，请求无法被服务器理解将会出现的HTTP状态码是( )

A、 200

B、 401

C、 302

D、 303

33. 信息安全应急响应工作流程不包括以下哪一项（）

A. 应急结束和后期处理

B. 事件研判与先期处置

C. 应急处置

D. 预防预警

34. C类地址适用于（）

A. 小型网络

B. 大型网络

C. 中型网络

D. 以上答案都不对

35. 电子商务的交易过程中，通常采用的抗抵赖措施是( )

A、信息加密和解密

B、信息隐匿

C、数字和身份认证技术

D、数字水印

36. 常见的密码系统包含的元素是（）

A、明文空间、密文空间、信道、加密算法、解密算法

B、明文空间、摘要、信道、加密算法、解密算法

C、明文空间、密文空间、密钥空间、加密算法、解密算法

D、消息、密文空间、信道、加密算法、解密算法

37. 域名服务系统(DNS)的功能是（）

A、完成域名和IP地址之间的转换

B、完成域名和网卡地址之间的转换

C、完成主机名和IP地址之间的转换

D、完成域名和电子邮件地址之间的转换

38. 重要数据要及时进行( )，以防出现意外情况导致数据丢失。

A、杀毒

B、加密

C、备份

D、格式化

39. 主要用于通信加密机制的协议是( )

A、 HTTP

B、 FTP

C、 TELNET

D、 SSL

40. 在网络访问过程中，为了防御网络监听，最常用的方法是 ( )

A、采用物理传输(非网络)

B、对信息传输进行加密

C、进行网络伪装

D、进行网络压制

41. 使用不同的密钥进地加解密，这样的加密算法叫( )

A、对称式加密算法

B、非对称式加密算法

C、 MD5

D、 HAS H算法

42. 关于暴力破解密码，以下表述正确的是( )

A、就是使用计算机不断尝试密码的所有排列组合，直到找出正确的密码

B、指通过木马等侵入用户系统，然后盗取用户密码

C、指入侵者通过电子邮件哄骗等方法，使得被攻击者提供密码

D、通过暴力威胁，让用户主动透露密码

43. 关于黑客的主要攻击手段，以下描述不正确的是( )

A、包括社会工程学攻击

B、包括暴力破解攻击

C、直接渗透攻击

D、不盗窃系统资料

44. 假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于( )

A、对称加密技术

B、分组密码技术

C、公钥加密技术

D、单向函数密码技术

45. 操作系统中___文件系统支持加密功能( )

A、 NTFS

B、 FAT32

C、 FAT

D、 EFS

46. IPv6是由互联网工程任务组(Internet Engineering Task Force，IETF)设计的下一代IP协议，IPv6采用的地址长度是（）

A、 256位

B、 128位

C、 64位

D、 512位

47. 数据链路层传输的数据单位是（）

A.帧

B. 数据报

C. 包

D.位

48. 在对数据库的系统故障进行恢复时，需要对日志文件进行（）

A．正向扫描 B. 反向扫描C.双向扫描 D.随机扫描

49. 物联网就是物物相连的网络，物联网的核心和基础仍然是____，是在其基础上的延伸和扩展的网络。

A、城域网

B、互联网

C、局域网

D、内部办公网

50. 下列有关隐私权的表述,错误的是( )

A、网络时代,隐私权的保护受到较大冲击

B、虽然网络世界不同于世界,但也需要保护个人隐私

C、由于网络是虚拟世界,所以在网上不需要保护个人的隐私

D、可以借助法律来保护网络隐私权

51. 我们常提到的"在Windows操作系统中安装VMware，运行Linux虚拟机"属于( )。

A、存储虚拟化

B、内存虚拟化

C、系统虚拟化

D、网络虚拟化

52. ATM机是我们日常存取现金都会接触的设备，以下关于ATM机的说法正确的是（）

A、所有ATM机运行的都是专业操作系统，无法利用公开漏洞进行攻击，非常安全

B、 ATM机有可能遭遇病毒侵袭

C、 ATM机无法被黑客通过网络进行攻击

D、 ATM机只有在进行系统升级时才无法运行，其他时间不会出现蓝屏等问题。

53. 互联网世界中有一个著名的说法：“你永远不知道网络的对面是一个人还是一条狗!”，这段话表明，网络安全中（）

A、身份认证的重要性和迫切性

B、网络上所有的活动都是不可见的

C、网络应用中存在不严肃性

D、计算机网络中不存在真实信息

54. 在日常上网过程中，下列选项，存在安全风险的行为是（）

A、将电脑开机密码设置成复杂的15位强密码

B、安装盗版的操作系统

C、在QQ聊天过程中不点击任何不明链接

D、避免在不同网站使用相同的用户名和口令

55. 我们在日常生活和工作中，为什么需要定期修改电脑、邮箱、网站的各类密码( )

A、遵循国家的安全法律

B、降低电脑受损的几率

C、确保不会忘掉密码

D、确保个人数据和隐私安全

56. 信息安全的主要目的是为了保证信息的( )

A、完整性、机密性、可用性

B、安全性、可用性、机密性

C、完整性、安全性、机密性

D、可用性、传播性、整体性

57. 下列关于计算机木马的说法错误的是（）

A、 Word文档也会感染木马

B、尽量访问知名网站能减少感染木马的概率

C、杀毒软件对防止木马病毒泛滥具有重要作用

D、只要不访问互联网，就能避免受到木马侵害

58. 以下对使用云计算服务的理解哪一个是正确的（）

A、云计算是高科技，XX是大公司，所以XX云上的虚拟机肯定安全，可以放心存放用户的各种信息

B、云计算里的虚拟机不是自己的主机，可以随便折腾，安装各种恶意软件

C、云中的主机也需要考虑安全性，云服务商应该定期打补丁，安装杀毒软件

D、云计算中的数据存放在别人的电脑中，不安全，不要使用

59. 位置信息和个人隐私之间的关系，以下说法正确的是（）

A、我就是普通人，位置隐私不重要，可随意查看

B、位置隐私太危险，不使用苹果手机，以及所有有位置服务的电子产品

C、需要平衡位置服务和隐私的关系，认真学习软件的使用方法，确保位置信息不泄露

D、通过网络搜集别人的位置信息，可以研究行为规律

60. 为了确保电子邮件中邮件内容的安全，应该采用以下哪种方式比较恰当( )

A、电子邮件发送时要加密，并注意不要错发

B、电子邮件不需要加密码

C、只要向接收者正常发送就可以了

D、使用移动终端发送邮件

61. 下面关于我们使用的网络是否安全的正确表述是（）

A、安装了防火墙，网络是安全的

B、设置了复杂的密码，网络是安全的

C、安装了防火墙和杀毒软件，网络是安全的

D、没有绝对安全的网络，使用者要时刻提高警惕，谨慎操作

62. 通过电脑病毒甚至可以对核电站、水电站进行攻击导致其无法正常运转，对这一说法你认为以下哪个选项是准确的（）

A、理论上可行，但没有实际发生过

B、病毒只能对电脑攻击，无法对物理环境造成影响

C、不认为能做到，危言耸听

D、绝对可行，已有在现实中实际发生的案例

63. 我们应当及时修复计算机操作系统和软件的漏洞，是因为( )

A、操作系漏洞补丁及时升级，软件漏洞补丁就没有必要及时修复

B、以前经常感染病毒的机器，现在就不存在什么漏洞了

C、漏洞就是计算机系统或者软件系统的缺陷，病毒和恶意软件可以通过这个缺陷趁虚而入

D、手动更新后，玩游戏时操作系统就不会自动更新，不会占用网络带宽了

64. 提倡文明上网，健康生活，我们不应该有下列哪种行为（）

A、在网上对其他网友进行人身攻击

B、自觉抵制网上的虚假、低俗内容，让有害信息无处藏身

C、浏览合法网站，玩健康网络游戏，并用自己的行动影响周围的朋友

D、不信谣，不传谣，不造谣

65. 下列关于密码安全的描述，不正确的是( )

A、容易被记住的密码不一定不安全

B、超过12位的密码很安全

C、密码定期更换

D、密码中使用的字符种类越多越不易被猜中

66. 量子密码学的理论基础是（）

A、量子力学

B、数学

C、传统密码学

D、天体物理学

67. 传统密码学的理论基础是（）

A、数学

B、物理学

C、计算机学科

D、力学

68. 以下哪个选项是目前利用大数据分析技术无法进行有效支持的（）

A、新型病毒的分析判断

B、天气情况预测

C、个人消费习惯分析及预测

D、精确预测股票价格

69. 关于物联网的说法，错误的是（）

A、万物互联将为我们的生活带来极大便利，节约沟通成本，提升资源利用效率

B、物联网与互联网存在本质区别，黑客很难攻击到诸如网络摄像头之类的物理设备

C、物联网是Internet of Things的意思，意即万物互联，是互联网的一部分

D、物联网中很多设备都是使用着安卓操作系统

70. 以下哪一项不在数字证书数据的组成中 ( )

A、版本信息

B、有效使用期限

C、签名算法

D、版权信息

71. 以下对Windows 系统账号的描述，正确的是（）

A、 Windows系统默认不允许修改administrator管理员账号为其它名称

B、 Windows 系统默认生成administrator 和guest 两个账号，两个账号都不可以改名

C、 Windows 系统默认会生成administrator 和guest 两个账号，不允许修改guest账号名称

D、 Windows 系统默认生成administrator 和guest 两个账号，两个账号都可以改名

72. Windows操作系统从哪个版本开始引入安全中心的概念( )

A、 WinNT SP6

B、 Win2000 SP4

C、 WinXP SP2

D、 Win2003 SP1

73. 为了增强电子邮件的安全性，人们经常使用PGP软件，它是( )

A、一种基于RSA 的邮件加密软件

B、一种基于白名单的反垃圾邮件软件

C、基于SSL 的VPN 技术

D、安全的电子邮箱

74. 以下关于Https 协议与Http 协议相比的优势说明，哪个是正确的 ( )

A、 Https 协议对传输的数据进行了加密，可以避免嗅探等攻击行为

B、 Https 使用的端口与Http 不同，让攻击者不容易找到端口，具有较高的安全性

C、 Https 协议是Http 协议的补充，不能独立运行，因此需要更高的系统性能

D、 Https 协议使用了挑战机制，在会话过程中不传输用户名和密码，因此具有较高的安全性

75. 王女士经常通过计算机网络进行购物，从安全角度看，下面哪项是不好的操作习惯( )

A、在使用网络浏览器时，设置不在计算机中保留网络历史记录和表单数据

B、为计算机安装具有良好声誉的安全防护软件，包括病毒查杀、安全检查和安全加固方面的软件

C、在IE 的配置中，设置只能下载和安装经过签名的、安全的ActiveX 控件

D、采用专用的计算机进行网上购物，安装好软件后不对该计算机上的系统软件、应用软件进行升级

76. 管理员在审查入侵检测日志过程中，管理员注意到来自互联网的通信信息，从中显示了公司内部的薪酬服务器IP地址。下面哪个恶意的活动最可能造成这类结果( )

A、拒绝服务攻击

B、地址欺骗

C、端口扫描

D、中间人攻击

77. 防范特洛伊木马软件进入学校网络最好的选择是( )

A、部署击键监控程序

B、部署病毒扫描应用软件

C、部署状态检测防火墙

D、部署调试器应用程序

78. 文件型病毒传染的对象主要是（）

A、 .DOE和.EXE

B、 .DBF

C、 .WPS

D、 .EXE和.DOC

79. 以下哪一项是DOS攻击的一个实例（）

A、 SQL注入

B、 IP 地址欺骗

C、 Smurf攻击

D、字典破解

80. POP服务器使用的端口号是（）

A、 tcp端口25

B、 tcp端口110

C、 tcp端口143

D、 tcp端口23

二、判断题（每题1分，共20分）

1. 网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。（）

2. 对于目前的无线网络技术来说，几乎没有找到控制覆盖区域的方法和手段，这使得攻击者可以采用一些在有线网络中没有出现的攻击手段来对无线网络进行攻击。（）

3. 域名是网络系统的一个名字。（）

4. 计算机程序设计语言简单编程语言，可以分成机器语言、脚本语言、高级语言三大类。（）

5. 如果不论截取着获得了多少密文，都无法唯一的确定出对应的明文，则这一密码体制称为无条件安全的。（）

6. 网络监听是主动攻击类型。（）

7. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。（）

8. 如果系统在一段时间内没有出现问题，就可以不用再进行容灾了。（）

9. Windows 防火墙能帮助阻止计算机病毒和蠕虫进入用户的计算机，并且能检测或清除已经感染计算机的病毒和蠕虫。（）

10. 防火墙是设置在内部网络与外部网络 ( 如互联网 ) 之间，实施访问控制策略的一个或一组系统。（）

11. 实时黑名单是简单黑名单的进一步发展，可以从根本上解决垃圾邮件问题。（）

12. 我们通常使用SMTP协议用来接收邮件。（）

13. 网络协议是计算机网络中服务器、计算机、交换机、路由器、防火墙和入侵检测等所有设备之间通信规则、标准和约定的集合，它规定了通信时信息采用的格式以及如何发送和接收信息。（）

14. 半连接扫描也需要完成TCP协议的三次握手过程。（）

15. 反向查询方法可以让接收邮件的互联网服务商确认邮件发送者是否就是如其所言的真实地址。（）

16. 特征代码技术是检测已知计算机病毒的最简单、代价最小的技术。（）

17. 使用漏洞库匹配的方法进行扫描，可以发现所有的漏洞。（）

18. “安全通道隔离”是一种逻辑隔离。（）

19. 在计算机上安装防病毒软件之后，就不必担心计算机受到病毒攻击。（）

20. 采用Rootkit 技术的病毒可以运行在内核模式中。（）

信息安全风险评估管理规定

信息安全风险评估管理规 定 This manuscript was revised on November 28, 2020

信息安全风险评估管理办法 第一章总则 第一条为规范信息安全风险评估（以下简称“风险评估”）及其管理活动，保障信息系统安全，依据国家有关规定，结合本省实际，制定本办法。 第二条本省行政区域内信息系统风险评估及其管理活动，适用本办法。 第三条本办法所称信息系统，是指由计算机、信息网络及其配套的设施、设备构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。 本办法所称重要信息系统，是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。 本办法所称风险评估，是指依据有关信息安全技术与管理标准，对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。 第四条县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。 跨省或者全国统一联网运行的重要信息系统的风险评估，可以由其行业管理部门统一组织实施。 涉密信息系统的风险评估，由国家保密部门按照有关法律、法规规定实施。

第五条风险评估分为自评估和检查评估两种形式。 自评估由信息系统的建设、运营或者使用单位自主开展。检查评估由县以上信息化主管部门在本行政区域内依法开展，也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行，双方实行互备案制度。 第二章组织与实施 第六条信息化主管部门应当定期发布本行政区域内重要信息系统目录，制定检查评估年度实施计划，并对重要信息系统管理技术人员开展相关培训。 第七条江苏省信息安全测评中心为本省从事信息安全测评的专门机构，受省信息化主管部门委托，具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训，组织开展全省重要信息系统的外部安全测试。 第八条信息系统的建设、运营或者使用单位可以依托本单位技术力量，或者委托符合条件的风险评估服务机构进行自评估。 第九条重要信息系统新建、扩建或者改建的，在设计、验收、运行维护阶段，均应当进行自评估。重要信息系统废弃、发生重大变更或者安全状况发生重大变化的，应当及时进行自评估。

信息安全管理体系审核员注册准则

中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号：CCAA－141 发布日期：2012年6月19日 ?版权2012-中国认证认可协会

信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会（CCAA）人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制：CCAA日期：2012年5月10日 批准：CCAA日期：2012年6月19日 实施：CCAA 日期：2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息，请与CCAA人员注册部联系，联络地址如下： 地址：北京市朝阳区朝外大街甲10号中认大厦13层 邮编：100020 https://www.360docs.net/doc/4c8301201.html, email：pcc@https://www.360docs.net/doc/4c8301201.html, 版权 ?版权2012-中国认证认可协会

前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会（CNCA）唯一授权的依法从事认证人员认证(注册)的机构，开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员，加入了IPC-QMS/EMS审核员培训与注册国际互认协议，人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》（质检总局令第61号）、国家认监委《关于正式开展信息安全管理体系认证工作的公告》（2009年第47号公告）制定，考虑了中国的国情及认证/认可机构的要求，是建立信息安全管理体系（ISMS）审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性，但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求，CCAA对此不承担责任。

ISO27001信息安全体系培训(条款A7-资产管理)

ISO27001培训系列V1.0 ISO 27001信息安全体系培训控制目标和控制措施 （条款A7-资产管理） 2009年11月 董翼枫（dongyifeng78@https://www.360docs.net/doc/4c8301201.html, ）

条款A7 资产管理

A7.1对资产负责 ?目标： 实现和保持对组织资产的适当保护。 ?所有资产应是可核查的，并且有指定的责任人。 ?对于所有资产要指定责任人，并且要赋予保持相应控制措施的职责。特定控制措施的实施可以由责任人适当地委派别人承担，但责任人仍有对资产提供适当保护的责任。

A7.1.1资产清单 控制措施 ?应清晰的识别所有资产，编制并维护所有重要资产的清单。 实施指南 ?一个组织应识别所有资产并将资产的重要性形成文件。资产清单应包括所有为从灾难中恢复而需要的信息，包括资产类型、格式、位置、备份信息、许可证信息和业务价值。该清单不应复制其他不必要的清单，但它应确保内容是相关联的。 ?另外，应商定每一资产的责任人（见A7.1.2）和信息分类（见A7.2），并形成文件。基于资产的重要性、其业务价值和安全级别，应识别与资产重要性对应的保护级别。

A7.1.2资产责任人 控制措施 ?与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任。 实施指南 ?资产责任人应负责： a)确保与信息处理设施相关的信息和资产进行了适当的分类； b)确定并周期性评审访问限制和分类，要考虑到可应用的访问控制策略。 ?所有权可以分配给： a)业务过程； b)已定义的活动集； c)应用； d)已定义的数据集。

A7.1.3资产的合格使用 控制措施 ?与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。 实施指南 ?所有雇员、承包方人员和第三方人员应遵循信息处理设施相关信息和资产的可接受的使用规则，包括： a)电子邮件和互联网使用（见A10.8）规则； b)移动设备，尤其是在组织外部使用设备（见A11.7;1）的使用指南； ?具体规则或指南应由相关管理者提供。使用或拥有访问组织资产权的雇员、承包方人员和第三方人员应意识到他们使用信息处理设施相关的信息和资产以及资源时的限制条件。他们应对使用信息处理资源以及在他们职责下的使用负责。

XX公司信息安全管理制度

信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台（内部网络系统及ERP、CRM、WMS、网站、企业邮箱等）、电子数据等的安全、稳定、正常，旨在规范与保护信息在传输、交换和 存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理，预防信息安全事故的发生，特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备（特殊情况的，经批准许可的方能使用自已的计算机），不 得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境，禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，当计算机出现硬件故障时应及时向信息技术部报告，不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责，如暂时离开座位时须锁定系统，移动介质自行安全保管。未经许可，不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。 1.4因工作需要借用公司公共笔记本的，实行“谁借用、谁管理”的原则，切实做到为工作所用，使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘（含桌面），同时定期做好相应备份，以防丢失；不进行与工作无关的下载、游戏等行为，定期查杀病毒与清理垃圾文件；拷贝至公共计算机上使用的相关资料，使用完毕须注意删除；各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理；若因个人原因造成数据资料泄密、丢失的，将由其本人承担相关后果。 2.2文件加密

信息安全风险评估报告

1111单位:1111系统安全项目信息安全风险评估报告 我们单位名 日期

报告编写人: 日期： 批准人：日期： 版本号：第一版本日期 第二版本日期 终板

目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)

5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A：脆弱性编号规则.. (17)

信息安全管理体系认证实施规则

信息安全管理体系认证实施规则 ISCCC-ISMS-001:2016 中国信息安全认证中心

目录 1.适用范围 (2) 2.认证依据 (2) 3.术语和定义 (2) 3.1.信息收集 (2) 3.2.现场审核 (2) 4.认证类别 (2) 5.审核人员及审核组要求 (2) 6.认证信息公开 (2) 7.认证程序 (2) 7.1.初次认证 (2) 7.2.监督审核 (6) 7.3.再认证 (8) 7.4.管理体系结合审核 (8) 7.5.特殊审核 (9) 7.6.暂停、撤消认证或缩小认证范围 (9) 8.认证证书 (10) 8.1.证书内容 (10) 8.2.证书编号 (11) 8.3.对获证组织正确宣传认证结果的控制 (11) 9.对获证组织的信息通报要求及响应 (11) 10.附录A：审核时间 (11)

1.适用范围 本规则用于规范中国信息安全认证中心（简称中心）开展信息安全管理体系（ISMS）认证活动。 2.认证依据 以国家标准ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》为认证依据。 3.术语和定义 3.1.现场审核 中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。 4.认证类别 认证类型分为初次认证，监督审核和再认证。为满足认证的需要，中心可以实施特殊审核，特殊审核采取现场审核方式进行。 5.审核人员及审核组要求 认证审核人员必须取得其他管理体系认证注册资格，并得到中心的专业能力评价，以确定其能够胜任所安排的审核任务。 审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增强审核组的技术能力。 具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作，可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议，但技术专家不能作为审核员。 6.认证信息公开 中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息： 1)认证服务项目； 2)认证工作程序； 3)认证依据； 4)证书有效期； 5)认证收费标准。 7.认证程序 7.1.初次认证

信息安全风险评估方法

从最开始接触风险评估理论到现在，已经有将近5个年头了，从最开始的膜拜捧为必杀技，然后是有一阵子怀疑甚至预弃之不用，到现在重拾之，尊之为做好安全的必备法宝，这么一段起起伏伏的心理历程。对风险的方法在一步步的加深，本文从风险评估工作最突出的问题：如何得到一致的、可比较的、可重复的风险评估结果，来加以分析讨论。 1. 风险评估的现状 风险理论也逐渐被广大信息安全专业人士所熟知，以风险驱动的方法去管理信息安全已经被大部分人所共知和接受，这几年国内等级保护的如火如荼的开展，风险评估工作是水涨船高，加之国内信息安全咨询和服务厂商和机构不遗余力的推动，风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准，一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T 20984-2007信息安全风险评估规范》，其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象，在参照当前流行的国际国内标准如ISO2700 2,COBIT，信息系统等级保护，识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点，最后从可能性和影响程度这两个方面来评价信息资产的风险，综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上，在实践中摸索和开发出类似与流程风险评估等方法，补充完善了资产风险评估。 2. 风险评估的突出问题 信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法，银行业业务风险管理的方法已经发展到相当成熟的地步，并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是，风险评估作为信息安全领域的新生事物，或者说舶来之物，尽管信息安全本身在国内开展也不过是10来年，风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤，没有基础的、统计数据做支撑，定量风险评估寸步难移;而定性的风险评估其方法的本质是定性，所谓定性，则意味着估计、大概，不准确，其本质的缺陷给实践带来无穷的问题，重要问题之一就是投资回报问题，由于不能从财务的角度去评价一个/组风险所带来的可能损失，因此，也就没有办法得到投资回报率，尽管这是个问题，但是实践当中，一般大的企业都会有个基本的年度预算，IT/安全占企业年度预算的百分之多少，然后就是反正就这么些钱，按照风险从高到低或者再结合其他比如企业现有管理和技术水平，项目实施的难易度等情况综合考虑得到风险处理优先级，从高到低依次排序，钱到哪花完，风险处理今年就处理到哪。这方法到也比较具有实际价值，操作起来也容易，预算多的企业也不怕钱花不完，预算少的企业也有其对付办法，你领导就给这么些钱，哪些不能处理的风险反正我已经告诉你啦，要是万一出了事情你也怪不得我，没有出事情，等明年有钱了再接着处理。

信息安全管理体系建设

a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间：2015年12月

信息化建设引言 随着我国中小企业信息化的普及，信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面：信息化在中小企业的发展程中，对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展，与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识，导致中小企业的信息安全面临着较大的风险，我国中企业信息化进程已经步入普及阶段，解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的，由 新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的 就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的围之内，获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域，三分技术，七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系，提出一个适合我国中小企业的信息安全管理的模型，用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行（如下

信息安全管理制度19215

信息安全管理制度 目录 1.安全管理制度要求 1.1总则：为了切实有效的保证公司信息安全，提高信息系统为公司生产经营的服务能力，特制定交互式信息安全管理制度，设定管理部门及专业管理人员对公司整体信息安全进行管理，以确保网络与信息安全。 1.1.1建立文件化的安全管理制度，安全管理制度文件应包括： a)安全岗位管理制度； b)系统操作权限管理； c)安全培训制度； d)用户管理制度； e)新服务、新功能安全评估； f)用户投诉举报处理； g)信息发布审核、合法资质查验和公共信息巡查； h)个人电子信息安全保护； i)安全事件的监测、报告和应急处置制度； j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准，并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度，明确主办人、主要负责人、安全责任人的职责：岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行，包括： 1.个人身份核查： 2.个人履历的核查： 3.学历、学位、专业资质证明： 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度，定期对所有工作人员进行信息安全培训，提高全员的信息安全意识，包括： 1.上岗前的培训； 2.安全制度及其修订后的培训； 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程： a)及时终止离岗员工的所有访问权限； b)关键岗位人员须承诺调离后的保密义务后方可离开； c)配合公安机关工作的人员变动应通报公安机关。

信息安全管理体系认证合同范本

信息安全管理体系认证合同 1 甲方： 乙方：中国电子技术标准化研究所体系认证中心 2 容和围 乙方根据甲方的申请，通过对甲方信息安全管理体系的审核，确认甲方的信息安全管理体系是否符合所选定的标准，从而决定是否批准甲方获得或保持注册资格。 2.1 认证所依据的信息安全管理体系标准：ISO/IEC27001或等同采用的标准文件 2.2.1 甲方信息安全管理体系覆盖的产品类别、过程及主要活动： 2.2.2 删减说明： 2.3 甲方信息安全管理体系所覆盖的地点(含安装、维修/服务、活动地点)： 注：如多现场可另页详细描述 2.4 审核时间安排 初访/预审时间计划于年月进行，现场审核时间计划于年月进行，最终审核时间由双方具体商定。 2.5 认证证书有效期为三年，甲方获得认证注册资格后，在有效期，乙方对初次通过认证的甲方共进行四次监督审核。前两次的监督审核在获证后每半年进行一次，以后的监督审核为每年一次。对复评后的甲方每年进行一次监督审核。如有特殊情况，将酌情增加监督审核频次。证书有效期满前三个月向乙方提出申请进行复评。

3 费用 3.1审核费用： □申请费1000元 □注册费1000元 □证书费1000元 □年金2000元 □审核费： 3.2 初访/预审费用￥元（整）。 3.3 证书副本费用：中文副本元（50元/）；英文副本，元（50元/）； 加印分、子证书套元（3000元/套）。 3.4 以上费用共计：￥（整）。 上述3.1和3.2费用自合同生效之日起10日先交纳30%，其余费用在现场审核后15日一次付清。3.5 监督审核费（在组织体系不发生重大变化的情况下）包括： □监督审核费（每次）￥元□年金（每年）2000元 监督审核费在每次审核前支付。 3.6 乙方派出审核人员的食、宿、交通等费用按实际支出由甲方负担。 3.7 因甲方自身原因（不符合标准要求，严重不符合等）而导致的不能注册时，由甲方支付乙方现场审核实际发生的费用。 4 甲方的权利和义务 4.1 甲方的权利 4.1.1 甲方对乙方的现场审核、审核结论、审核人员的行为、审核的公正性及泄露甲方、认证证书的暂停、注销和撤销等有权向乙方提出申诉/投诉，如对处理结果持有异议，可向乙方的管理委员会直至中国合格评定国家认可委员会（CNAS）提出申诉/投诉。 4.1.2 通过认证后，甲方享有按规定正确使用其管理体系认证证书和标志以及正确对外广告宣传其获得管理体系认证注册资格的权利。 4.2 甲方的义务 4.2.1 甲方在认证审核之前管理体系至少已运行三个月。

xxx信息安全管理制度

上海xxx电子商务有限公司 信息安全管理制度 目录 第一章关于信息安全的总述 (2) 第二章信息安全管理的组织架构 (3) 第三章岗位和人员管理 (3) 第四章信息分级与管理 (3) 第五章信息安全管理准则 (4) 第六章信息安全风险评估和审计 (8) 第七章培训 (9) 第八章奖惩 (9) 第九章附则 (9)

第一章关于信息安全的总述 第一条（制度的目的）为了维护公司信息的安全，确保公司不因信息安全问题遭受损失，根据公司章程及相关制度，特制定本制度。 第二条（信息安全的概念）本制度所称的信息安全是指在信息的收集、产生、处理、传递、存储等过程中，做到以下工作：1）确保信息保密，但在经过授权的人员需要得到信息时能够在可以控制的情况下获得信息；2）保证信息完整和不被灭失，但在特定的情况下应当销毁一些不应保存的信息档案；3）保证信息的可用性。 第三条（制度的任务）通过对具体工作中关于信息安全管理的规定，提高全体员工的安全意识，增强公司经营过程中信息的安全保障，最终确保公司所有信息得到有效的安全管理，维护公司利益。 第四条（制度的地位）本制度是公司各级组织制定信息安全的相关措施、标准、规范及实施细则都必须遵守的信息安全管理要求。 第五条（制度的适用范围）全体员工均必须自觉维护公司信息的安全，遵守公司信息安全管理方面的相关规定。一切违反公司信息安全管理规定的组织和员人，均予以追究。 第六条（信息的概念）本制度所称的信息是指一切与公司经营有关情况的反映（或者虽然与公司经营无关，但其产生或存储是发生在公司控制的介质中），它们所反映的情况包括公司的经营状况、财务状况、组织状况等一切内容，其存储的介质包括纸质文件、电子文件甚至是存在员工大脑中。具体来说，包括但不限于下列类型： 1、与公司业务相关的各个业务系统中的信息，如设计文档、源代码、可执行代码、配 置、接口以及相应的数据库和数据库相关备份等； 2、与公司业务相关的各种业务数据，如用户资料、经销商资料、合作伙伴信息、合同、 各业务系统运行时数据、各类统计数据和报表、收入数据等； 3、与公司内部管理相关的各类行政数据，如人事资料、人事组织结构等； 4、与公司财务管理相关的财务类数据，如采购信息、资产信息、财务信息； 5、其他如公司各分子公司和外地办事结构的数据；公司员工对内、对外进行各种书面 的、口头的信息传播行为等。 第七条（信息安全工作的重要性）信息安全管理是公司内部管理的一项重要及长期性的工作，其贯穿整个公司各项业务与各个工作岗位，各个中心和部门必须积极配合该项工作的开展。

网络及信息安全管理制度汇编

中心机房管理制度 计算机机房属机密重地。为做到严格管理，保证安全，特制订如下制度： 第一条中心机房的管理由系统管理员负责，非机房工作人员未经允许不准进入，机房门口明显位置应张贴告示：“机房重地，非请莫入”。 第二条机房内应保持整洁，严禁吸烟、吃喝、聊天、会客、休息。不准在计算机及工作台附近放置可能危及设备安全的物品。 第三条机房内严禁一切与工作无关的操作。严禁外来信息载体带入机房，未经允许不准将机器设备和数据带出机房。 第四条认真做好机房内各类记录介质的保管工作，落实专人收集、保管，信息载体必须安全存放并严密保管，防止丢失或失效。机房资料外借必须经批准并履行手续，方可借出。作废资料严禁外泄。 第五条机房工作人员要随时掌握机房运行环境和设备运行状态，保证设备随时畅通。机房设备开关必须先经检查确认正常后再按顺序依次开关机。 第六条机房工作人员对机房存在的隐患及设备故障要及时报告，并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。

第七条机房设备应由专业人员操作、使用，禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障，应及时报请维修，以免影响工作。 第八条外单位人员因工作需要进入机房时，必须报经局领导审批后方可进入，进入机房后须听从工作人员的指挥，未经许可，不得触及机房内设施。 第九条外来人员参观机房，须指定人员陪同。操作人员按陪同人员要求可以在电脑演示、咨询；对参观人员不合理要求，陪同人员应婉拒，其他人员不得擅自操作。 第十条中心机房处理秘密事务时，不得接待参观人员或靠近观看。

网络安全管理制度 第一条严格遵守法律、行政法规和国家其他有关规定，确保计算机信息系统的安全。 第二条连入局域网的用户严禁访问外部网络，若因工作需要，上网查询信息，允许访问与工作相关的网站，但须报告计算机管理部门，并在专业人员的指导下完成。非本局工作人员不允许上网查询信息。严禁访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密，侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非工作人员操纵系统，禁止不合法的登录情况出现。遇到安全问题应及时向计算机管理部门报告，并采取措施及时解决。 第五条局域网要采取安全管理措施，保障计算机网络设备和配套设施的安全，保障信息的安全，保障运行环境的安全。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论，不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络

信息安全风险评估方案学习资料

第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案，包括加密、身份认证、防病毒、防黑客等各个方面，每种解决方案都强调所论述方面面临威胁的严重性，自己在此方面的卓越性，但对于用户来说这些方面是否真正是自己的薄弱之处，会造成多大的损失，如何评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的安全问题，疲于奔命，再加上各种各样的安全产品与安全服务，使用户摸不着头脑，没有清晰的思路，其原因是由于没有一套完整的安全体系，不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象，它们过分强调了某个方面的重要性，而忽略了安全构件（产品）之间的关系。因此在客户化的、可操作的安全策略基础上，需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题，应该使之客户化、可定义、可管理。无论静态或动态（可管理）安全产品，简单的叠加并不是有效的防御措施，应该要求安全产品构件之间能够相互联动，以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点，因此即使是多层面的安全防御体系，如果是静态的，也无法抵御来自外部和内部的攻击，只有将众多的攻击手法进行搜集、归类、分析、消化、综合，将其体系化，才有可能使防御系统与之相匹配、相耦合，以自动适应攻击的变化，从而

如何建立信息安全管理体系.doc

如何建立信息安全管理体系1 如何建立信息安全管理体系 信息安全管理体系ISMS（Information Securitry Management Systems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它基于业务风险方法，用来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统，其目的是保障组织的信息安全。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、检查表等要素的集合，涉及到人、程序和技术。 建立健全信息安全管理体系对组织的安全管理工作和组织的发展意义重大。参照信息安全管理模型，按照先进的信息安全管理标准建立的全面规划、明确目的、正确部署的、组织完整的信息安全管理体系，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，实现用最低的成本，保障信息安全合理水平，从而保证业务的有效性与连续性。组织建立、实施与保持信息安全管理体系的好处主要有下几点： 1.引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。 2.可以增进组织间电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到最小，创造更大收益。 3.通过认证能保证和证明组织所有的部门对信息安全的承

诺。 4.通过认证可改善全体的业绩、消除不信任感。 5.获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。 6.建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。信息安全管理体系是一个系统化、程序化和文件化的管理体系，属于风险管理的范畴，体系的建立需要基于系统、全面和科学的风险评估。ISMS 体现预防为主的思想，强调遵守国家有关信息安全的法律法规，强调全过程和动态控制，本着控制成本与风险平衡的原则，合理选择安全控制方式保护组织所拥有的关键信息资产，确保信息的保密性、完整性和可用性，从而保持组织的竞争优势和业务运作的持续性。 构建信息安全管理体系不是一蹴而就的，欲速则不达，每家组织都是不同的，不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况，采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过以下几个主要步骤： 1、信息安全管理体系策划和准备 策划和准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研，以及相关资源的配置与管理。 2、确定信息安全管理体系适用的范围

信息安全管理制度汇编98250

内部资料 注意保存 XXXXXXXXXX 信息安全制度汇编 XXXXXXXXXX 二〇一六年一月

目录 一、总则 (6) 二、安全管理制度 (7) 第一章管理制度 (7) 1.安全组织结构 (7) 1.1信息安全领导小组职责 (7) 1.2 信息安全工作组职责 (8) 1.3信息安全岗位 (9) 2.安全管理制度 (11) 2.1安全管理制度体系 (11) 2.2安全方针和主策略 (12) 2.3安全管理制度和规范 (12) 2.4安全流程和操作规程 (14) 2.5安全记录单 (14) 第二章制定和发布 (15) 第三章评审和修订 (16) 三、安全管理机构 (17) 第一章岗位设置 (17) 1.组织机构 (17) 2.关键岗位 (19) 第二章人员配备 (21) 第三章授权和审批 (23) 第四章沟通和合作 (25) 第五章审核和检查 (27) 四、人员安全管理 (29) 第一章人员录用 (29) 1.组织编制 (29) 2.招聘原则 (29) 3.招聘时机 (29) 4.录用人员基本要求 (30) 5.招聘人员岗位要求 (30) 6.招聘种类 (30) 6.1 外招 (30) 6.2 内招 (31) 7.招聘程序 (31) 7.1 人事需求申请 (31) 7.2 甄选 (31) 7.3 录用 (33)

第二章保密协议 (34) 第三章人员离岗 (36) 第三章人员考核 (38) 1．制定安全管理目标 (38) 2.目标考核 (39) 3.奖惩措施 (39) 第四章安全意识教育和培训 (40) 1.安全教育培训制度 (40) 第一章总则 (40) 第二章安全教育的含义和方式 (40) 第三章安全教育制度实施 (40) 第四章三级安全教育及其他教育内容 (42) 第五章附则 (44) 第五章外部人员访问管理制度 (45) 1.总则 (45) 2.来访登记控制 (45) 3.进出门禁系统控制 (46) 4.携带物品控制 (47) 五、系统建设管理 (48) 第一章安全方案设计 (48) 1.概述 (48) 2．设计要求和分析 (49) 2.1安全计算环境设计 (49) 2.2安全区域边界设计 (50) 2.3安全通信网络设计 (51) 2.4安全管理中心设计 (51) 3．针对本单位的具体实践 (52) 3.1安全计算环境建设 (52) 3.2安全区域边界建设 (53) 3.3安全通信网络建设 (53) 3.4安全管理中心建设 (54) 3.5安全管理规范制定 (55) 3.6系统整体分析 (55) 第二章产品采购和使用 (56) 第三章自行软件开发 (59) 1.申报 (59) 2.安全性论证和审批 (59) 3.复议 (59)

信息安全风险评估报告

XXXXX公司 信息安全风险评估报告 历史版本编制、审核、批准、发布实施、分发信息记录表

一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况：XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持欢迎下载 2

3.ISMS方针：预防为主，共筑信息安全；完善管理，赢得顾客信赖。 4.ISMS范围：计算机应用软件开发，网络安全产品设计/开发，系统集成及服务的信息安全管理。 二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期： 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组； 2、通过咨询公司对风险评估小组进行相关培训； 3、根据我们的信息安全方针、范围制定信息安全风险管理程序，以这个程序作为我们风险评估的依据和方 法； 4、各部门识别所有的业务流程，并根据这些业务流程进行资产识别，对识别的资产进行打分形成重要资产 清单； 5、对每个重要资产进行威胁、脆弱性识别并打分，并以此得到资产的风险等级； 6、根据风险接受准则得出不可接受风险，并根据标准ISO27001:2013的附录A制定相关的风险控制措施； 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 欢迎下载 3

欢迎下载 4 如下： 1. 2017-9-10 ~ 2017-9-10，风险评估培训； 2. 2017-9-11 ~ 2017-9-11，公司评估小组制定《信息安全风险管理程序》，制定系统化的风险评估方法； 3. 2017-9-12 ~ 2017-9-12，本公司各部门识别本部门信息资产，并对信息资产进行等级评定，其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产，服务资产等共六大类； 4. 2017-9-13 ~ 2017-9-13，本公司各部门编写风险评估表，识别信息资产的脆弱性和面临的威胁，评估潜在风险，并在ISMS 工作组内审核； 5. 2017-9-14 ~ 2017-9-14，本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表； 6. 2017-9-15 ~ 2017-9-15，各部门修订风险评估表，识别重大风险，制定控制措施；ISMS 工作组组织审核，并最终汇总形成本报告。 . 七. 风险评估结果统计 本次风险评估情况详见各部门“风险评估表”，其中共识别出资产190个，重要资产115个，信息安全风 险115个，不可接受风险42个.

信息安全管理体系认证的基本知识(通用版)

信息安全管理体系认证的基本 知识(通用版) Enterprises should establish and improve various safety production rules and regulations in accordance with national safety production laws and regulations. ( 安全管理 ) 单位：______________________ 姓名：______________________ 日期：______________________ 编号：AQ-SN-0261

信息安全管理体系认证的基本知识(通用 版) 一、ISO27001认证的概况 ISO27001认证，即“信息安全管理体系”，是标准的IT类企业专项的认证。ISO27001是在世界上公认解决信息安全的有效方法之一。由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。企业通过了ISO27001认证，即表示企业的信息安全管理已建立了一套科学有效的管理体系作为保障。 信息安全管理体系的建立和健全，目的就是降低信息风险对经营带来的危害，并将其投资和商业利益最大化。 二、ISO27001认证适用范围

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。 三、ISO27001认证证书的有效期 ISO27001信息安全管理体系的认证证书有效期是三年。 期间每年要接受发证机构的监督审核（也称为：年检或年审），三年证书到期后，要接受认证机构的再认证（也称为复评或换证）。 四、信息安全管理体系认证的作用 1.符合法律法规要求 证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。 2.维护企业的声誉、品牌和客户信任 证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。

信息安全培训及教育管理办法 含安全教育和培训记录表 技能考核表

信息安全培训及教育管理办法

第一章总则 第一条为了加强公司信息安全保障能力，建立健全公司的安全管理体系，提高整体的信息安全水平，保证网络通信畅通和业务系统的正常运营，提高网络服务质量，在公司安全体系框架下，本策略主要明确公司信息安全培训及教育工作的内容及相关人员的职责。对公司人员进行有关信息安全管理的理论培训、安全管理制度教育、安全防范意识宣传和专门安全技术训练；确保公司信息安全策略、规章制度和技术规范的顺利执行，从而最大限度地降低和消除安全风险。 第二条本策略适用于公司所有部门和人员。 第二章信息安全培训的要求 第三条信息安全培训工作需要分层次、分阶段、循序渐进地进行，而且必须是能够覆盖全员的培训。 第四条分层次培训是指对不同层次的人员，如对管理层（包括决策层）、信息安全管理人员，系统管理员和公司人员开展有针对性和不同侧重点的培训。 第五条分阶段是指在信息安全管理体系的建立、实施和保持的不同阶段，培训工作要有计划地分步实施；信息安全培训要采用内部和外部结合的方式进行。 一、管理层（决策层） 第六条管理层培训目标是明确建立公司信息安全体系的迫切性和重要性，获得公司管理层（决策层）有形的支持和承诺。

第七条管理层培训方式可以采用聘请外部信息安全培训、专业公司的技术专家和咨询顾问以专题讲座、研讨会等形式。 二、信息安全管理人员 第八条信息安全管理人员培训目标是理解及掌握信息安全原理和相关技术、强化信息安全意识、支撑公司信息安全体系的建立、实施和保持。 第九条信息安全管理人员培训方式可以采用聘请外部信息安全专业资格授证培训、参加信息安全专业培训、自学信息安全管理理论及技术和公司内部学习研讨的方式。 三、公司系统管理员 第十条公司系统管理员培训目标是掌握各系统相关专业安全技术，协助公司和各部门信息安全管理人员维护和保障系统正常、安全运行。 第十一条公司系统管理员培训方式可以采用外部和内部相结合的培训以及自学的方式。 四、公司人员 第十二条公司人员培训目标是了解公司相关信息安全制度和技术规范，有安全意识，并安全、高效地使用公司信息系统。 第十三条公司人员培训方式应主要采取内部培训的方式。

信息安全管理制度汇总

信息安全管理制度 为加强公司各信息系统管理，保证信息系统安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》，及上级信息管理部门的相关规定和要求，结合公司实际，制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动： 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施，以任何理由破坏、挪用、改动。 3、未经允许，对信息网络功能进行删除、修改或增加。 4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。 6、利用公司网络，访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作，对本单位单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网，信息中心对其提供指导，必要时可以中断其与骨干网的连接，待子网恢复正常后再恢复连接。