通过中国信息安全测评中心信息技术产品自主原创测评的产品介绍

信息安全等级测评师测试(1)-管理初级

一、单选题（20分） 1、《基本要求》中管理要求中，下面那一个不是其中的内容？（） A、安全管理机构。 B、安全管理制度。 C、人员安全管理。 D、病毒安全管 理。 2、应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的 恶意攻击、一般的自然灾难，所造成的重要资源损害，能够发现重要的安 全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能 是几级要求？（） A、一级。 B、二级。 C、三级。 D、四级。 3、三级系统基本要求中管理要求控制类共有（）项？ A、32。 B、36。 C、37。 D、38。 4、《测评要求》和哪一个文件是对用户系统测评的依据？ A、《信息系统安全等级保护实施指南》。 B、《信息系统安全保护等级定级指 南》。C、《信息系统安全等级保护基本要求》。D、《信息系统安全等级保护 管理办法》。 5、安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状 态监控、（）、安全检查和持续改进、监督检查？ A、安全事件处置和应急预案。 B、安全服务。 C、网络评估。 D、安全加固。 6、如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重 要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家 安全、社会秩序和公共利益造成较大损害；本级系统依照国家管理规范和 技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。这

应当属于等级保护的什么级别？（） A、强制保护级。 B、监督保护级。 C、指导保护级。 D、自主保护级。 7、《信息系统安全等级保护实施指南》将（）作为实施等级保护的第一项重 要内容？ A、安全定级。 B、安全评估。 C、安全规划。 D、安全实施。 8、人员管理主要是对人员的录用、人员的离岗、（）、安全意识教育和培训、 第三方人员访问管理5各方面。 A、人员教育。 B、人员裁减。 C、人员考核。 D、人员审核。 9、根据《信息安全等级保护管理办法》，由以下哪个部门应当依照相关规范和 标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作？ A、公安机关。 B、国家保密工作部门。 C、国家密码管理部门。 D、信息系 统的主管部门。 10、计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、 社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。（） A、经济价值经济损失。 B、重要程度危害程度。 C、经济价值危害程度。 D、重要程度经济损失。 11、新建_______信息系统，应当在投入运行后_______，由其运营、使用单位 到所在地设区的市级以上公安机关办理备案手续。（） A、第一级以上30日内。 B、第二级以上60日内。 C、第一级以上60日内。 D、第二级以上30日内。

信息安全测评服务简介

信息安全测评和服务 1信息安全风险评估 对客户单位所有信息系统进行风险评估，每半年评估一次，评估后出具详细的评估报告。评估范围为所有业务系统及相关的网络安全资产，内容具体包括： (1)漏洞扫描：通过工具对网络系统内的操作系统、数据库和网站程序进行自动化扫描， 发现各种可能遭到黑客利用的各种隐患，包括：端口扫描，漏洞扫描，密码破解，攻击测试等。 (2)操作系统核查：核查操作系统补丁安装、进程、端口、服务、用户、策略、权限、审 计、内核、恶意程序等内容，对用户当前采取的风险控制措施和管理手段的效果进行评估，在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。 (3)数据库核查：主要是对数据库管理系统的权限、口令、数据备份与恢复等方面进行核 查。 (4)网络及安全设备核查：网络及安全设备核查主要是针对网络及安全设备的访问控制策 略进行检查，确定是否开放了网站服务以外的多余服务。 (5)病毒木马检查：通过多种方式对机器内异常进程、端口进行分析，判断是

否是木马或病毒，研究相关行为，并进行查杀。 (6)渗透测试：模拟黑客的各种攻击手段，对评估过程中发现的漏洞安全隐患进行攻击测 试，评估其危害程度，主要有：弱口令、本地权限提升、远程溢出、数据库查询等。 测评次数不低于两次，在有重大安全漏洞或隐患出现时，及时采取有针对性的渗透测试。 2、信息安全加固 针对评估的结果，协助客户单位对应用系统中存在的安全隐患进行安全加固。加固内容包括： 操作系统安全加固； 基本安全配置检测和优化 密码系统安全检测和增强 系统后门检测 提供访问控制策略和安全工具 增强远程维护的安全性 文件系统完整性审计 增强的系统日志分析 系统升级与补丁安装 (1)网络设备安全加固； 严格的防控控制措施 安全审计 合理的vlan划分 不必要的IOS服务或潜在的安全问题 路由安全 抵抗拒绝服务的网络攻击和流量控制 广播限制 (2)网络安全设备安全加固； 防火墙的部署位置、区域划分 IDS、漏洞扫描系统的部署、VPN网关部署 安全设备的安全防护措施配置加固

信息安全管理体系审核员注册准则-中国信息安全认证中心

中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号：CCAA－141 发布日期：2012年6月19日 ?版权2012-中国认证认可协会

信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会（CCAA）人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制：CCAA日期：2012年5月10日 批准：CCAA日期：2012年6月19日 实施：CCAA 日期：2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息，请与CCAA人员注册部联系，联络地址如下： 地址：北京市朝阳区朝外大街甲10号中认大厦13层 邮编：100020 https://www.360docs.net/doc/e82940078.html, email：pcc@https://www.360docs.net/doc/e82940078.html, 版权 ?版权2012-中国认证认可协会

前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会（CNCA）唯一授权的依法从事认证人员认证(注册)的机构，开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员，加入了IPC-QMS/EMS审核员培训与注册国际互认协议，人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》（质检总局令第61号）、国家认监委《关于正式开展信息安全管理体系认证工作的公告》（2009年第47号公告）制定，考虑了中国的国情及认证/认可机构的要求，是建立信息安全管理体系（ISMS）审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性，但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求，CCAA对此不承担责任。

信息安全技术 个人信息安全影响评估指南-编制说明

国家标准《信息安全技术个人信息安全影响评估指南》 （征求意见稿）编制说明 一、工作简况 1.1任务来源 GB/T 35273《信息安全技术个人信息安全规范》标准一经发布就得到了广泛应用，其中，《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作，旨在发现、处置和持续监控个人信息处理过程中的安全风险。2017年3月，在信安标委会议周，云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》。本标准为自主制定标准，标准任务编号为：20180840-T-469。 1.2主要起草单位和工作组成员 标准由颐信科技有限公司牵头，中国电子技术标准化研究院、四川大学、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技（杭州）有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想（北京）有限公司、清华大学、阿里巴巴（北京）软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心等参与编制，归口单位为全国信息安全标准化技术委员会（简称信息安全标委会，TC260）。 本标准主要起草人：洪延青、何延哲、胡影、高强裔、陈湉、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡等。 1.3 主要工作过程 1、2017年3月，在云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》，对个人信息安全影响评估方法、应用、政策和标准进行调研分析，确定标准化需求。 2、2017年5月初，成立正式的个人信息安全影响评估指南标准编制组，标

(安全生产)国家信息安全测评认证

编号： 国家信息安全测评认证 信息系统安全服务资质认证申请书 (一级) 申请单位（公章）： 填表日期： 中国信息安全产品测评认证中心

目录 填表须知 (3) 申请表 (4) 一，申请单位基本情况 (5) 二，企业组织结构 (6) 三，企业近三年资产运营情况 (7) 四，企业主要负责人情况 (9) 五，企业技术能力基本情况 (13) 六，企业的信息系统安全工程过程能力 (18) 七，企业的项目和组织过程能力 (41) 八，企业安全服务项目汇总 (58) 九，企业安全培训软硬件情况 (60) 十，企业获奖、资格授权情况 (62) 十一，企业在安全服务方面的发展规划 (63) 十二，企业其他说明情况 (64) 十三，其他附件 (65) 申请单位声明 (66)

填表须知 用户在正式填写本申请书前，须认真阅读并理解以下内容： 1．中国信息安全产品测评认证中心对下列对象进行测评认证： ●信息技术产品 ●信息系统 ●提供信息安全服务的组织和单位 ●信息安全专业人员 2．申请单位应仔细阅读《信息系统安全服务资质认证指南》，并按照其要求如实、详细地填写本申请书所有项目。 3．申请单位应按照申请书原有格式进行填写。如填写内容较多，可另加附页。4．申请单位须提交《信息系统安全服务资质认证申请书》（含附件及证明材料）纸板一式叁份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档。5．不申请安全工程服务类资质认证的单位无需填写《企业的信息系统安全工程过程能力》此项内容。 6．不申请安全培训服务类资质认证的单位无需填写《企业安全培训软硬件情况》此项内容。 7．如有疑问，请与中国信息安全产品测评认证中心联系。 中国信息安全产品测评认证中心 地址：北京市西三环北路27号北科大厦9层 邮编：100091 电话：86－10－68428899 传真：86－10－68462942 网址：https://www.360docs.net/doc/e82940078.html, 电子邮箱：cnitsec@https://www.360docs.net/doc/e82940078.html,

国家信息安全测评

国家信息安全测评 信息安全服务资质申请指南（安全工程类三级） ?版权2015—中国信息安全测评中心 2016年10月1 日

一、认定依据 (4) 二、级别划分 (4) 三、三级资质要求 (4) 3.1 基本资格要求 (5) 3.2 基本能力要求 (5) 3.3 质量管理要求 (6) 3.4安全工程过程能力要求 (6) 四、资质认定 (7) 4.1认定流程图 (7) 4.2申请阶段 (8) 4.3资格审查阶段 (8) 4.4能力测评阶段 (8) 4.4.1静态评估 (8) 4.4.2现场审核 (9) 4.4.3综合评定 (9) 4.4.4资质审定 (9) 4.5证书发放阶段 (9) 五、监督、维持和升级 (10) 六、处置 (10) 七、争议、投诉与申诉 (10) 八、获证组织档案 (11) 九、费用及周期 (11)

中国信息安全测评中心（以下简称CNITSEC）是经中央批准成立、代表国家开展信息安全测评的职能机构，依据国家有关产品质量认证和信息安全管理的政策、法律、法规，管理和运行国家信息安全测评体系。 中国信息安全测评中心的主要职能是： 1.对国内外信息安全产品和信息技术进行测评； 2.对国内信息系统和工程进行安全性评估； 3.对提供信息系统安全服务的组织和单位进行评估； 4.对信息安全专业人员的资质进行评估。 “信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。 本指南适用于所有向CNITSEC提出信息安全工程服务三级资质申请的境内外组织。

中国信息安全测评中心授权培训机构管理办法

中国信息安全测评中心授权培训机构管理办法 中国信息安全测评中心 二〇一七年一月

第一章 总 则 第一条随着国家信息化建设的高速发展，对信息安全专业人才的需求逐年增加。为贯彻中共中央办公厅、国务院办公厅中办发[2003]27号文件中关于“加快信息安全人才培养，增强全民信息安全意识”的精神，加强对授权培训机构的管理，规范授权培训机构的职能，中国信息安全测评中心（以下简称CNITSEC）根据相关管理规定制定本办法。 第二条CNITSEC为授权委托方，中国信息产业商会信息安全产业分会为授权运营管理机构（以下简称授权运营方），授权培训机构为CNITSEC授权的培训机构方。 第三条CNITSEC、授权运营方、授权培训机构关系如下： 1、CNITSEC及授权培训机构均为独立的法人单位，但两两之间不具有行政隶属及产权归属关系，各自对自己的行为承担法律责任； 2、授权运营方作为CNITSEC与授权培训机构之间的接口机构，按照授权委托方的要求对授权培训机构进行监督、指导和管理。授权运营方统一受理对授权培训机构的投诉，根据调查结果出具处理意见。 3、CNITSEC对授权运营方及授权培训机构具有监督管理的权利； 4、授权培训机构应严格遵守相关管理规定，开展双方协议规定的培训业务，按时向CNITSEC缴纳管理费。 第四条本办法由授权运营方具体执行。 第二章授权业务类型 授权培训机构应与CNITSEC及授权运营方签订授权协议书，明确

双方的责任与义务，依法开展培训业务。 第五条授权培训机构可以以“中国信息安全测评中心授权培训机构”的名义，根据授权协议中授权内容从事以下培训业务： 1、注册信息安全员（Certified Information Security Member 简称CISM）培训； 2、注册信息安全专业人员（Certified Information Security Professional，简称CISP）培训，根据工作领域和实际岗位工作的需要，CISP培训分为四类： ●注册信息安全工程师(Certified Information Security Engineer简称CISE)培训； ●注册信息安全管理员(Certified Information Security Officer简称CISO)培训； ●注册信息安全审计师(Certified Information Security Auditor简称CISP-A)培训； ●注册信息安全开发人员（Certified Information Security Developer 简称CISD）培训。 3、其他培训业务以双方协议具体规定为准。 第三章授权培训机构的管理 第六条授权培训机构必须遵守如下管理规定： 1、日常工作管理 （1）按CNITSEC统一规定的教材、教学大纲开展培训业务，并执行授权运营方制定的统一培训标准；

信息安全测评工具

信息安全等级保护测评工具选用指引 一、必须配置测试工具 （一）漏洞扫描探测工具。 1.网络安全漏洞扫描系统。 2.数据库安全扫描系统。 （二）木马检查工具。 1.专用木马检查工具。 2.进程查看与分析工具。 二、选用配置测试工具 （一）漏洞扫描探测工具。 应用安全漏洞扫描工具。 （二）软件代码安全分析类。 软件代码安全分析工具。 （三）安全攻击仿真工具 （四）网络协议分析工具 （五）系统性能压力测试工具 1.网络性能压力测试工具 2.应用软件性能压力测试工具 （六）网络拓扑生成工具 （七）物理安全测试工具 1.接地电阻测试仪 2.电磁屏蔽性能测试仪 （八）渗透测试工具集 （九）安全配置检查工具集 （十）等级保护测评管理工具 综合工具： 漏洞扫描器：极光、Nessus、SSS等； 安全基线检测工具（配置审计等）：能够检查信息系统中的主机操作系统、数据库、网络设备等； 渗透测试相关工具：踩点、扫描、入侵涉及到的工具等； 主机：sysinspector、Metasploit、木马查杀工具、操作系统信息采集与分析工具(Win,Unix)、日志分析工具、数据取证工具（涉密）； 网络：Nipper（网络设备配置分析）、SolarWinds、Omnipeek、laptop（无线检测工具）； 应用：AppScan、Webinspect、FotifySCA、Sql injection tools、挂马检测工具、webravor等。

信息安全测评工具 五大网络安全评估工具 1.Wireshark Wireshark（原名Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。 工作流程 （1）确定Wireshark的位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。 （2）选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。 （3）使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。 （4）使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。 （5）使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。 （6）构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。 （7）重组数据。Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。 Wireshark特性： ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 Wireshark不是入侵侦测系统（Intrusion Detection System,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark 不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 Wireshark不能提供如下功能： ?Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情，Wireshark不会警告您。但是如果发生了奇怪的事情，Wireshark可能对察看发生了什么会有所帮助。 ?Wireshark不会处理网络事务，它仅仅是“测量”(监视)网络。Wireshark

信息安全等级测评机构能力要求使用说明(试 行)

信息安全等级保护测评体系建设与测评工作规范性文件 信息安全等级测评机构 能力要求使用说明 （试行） 200×-××-××发布200×-××-××实施公安部信息安全等级保护评估中心

信息安全等级测评机构能力要求使用说明 目录 1范围 (3) 2名词解释 (3) 3基本条件 (3) 4组织管理能力 (4) 5测评实施能力 (6) 6设施和设备安全与保障能力 (10) 7质量管理能力 (12) 8规范性保证能力 (13) 9风险控制能力 (16) 10可持续性发展能力 (17) 11测评机构能力约束性要求 (18)

信息安全等级测评机构能力要求使用说明 前言 公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号），决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容，为确保有效指导测评机构的能力建设，规范其测评活动，满足信息安全等级保护工作要求，特制定本规范。 《信息安全等级测评机构能力要求》（以下简称《能力要求》）是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容，结合信息安全等级测评工作的特点，对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能力要求，为规范等级测评机构的建设和管理，及其能力评估工作的开展提供依据。

信息安全等级测评机构能力要求使用说明 信息安全等级测评机构能力要求使用说明 1范围 本规范规定了测评机构的能力要求。 本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。 2名词解释 2.1等级测评 等级测评是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 2.2等级测评机构 等级测评机构，是指具备测评机构基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室推荐，从事等级测评工作的机构。 3基本条件 依据《信息安全等级保护测评工作管理规范》（试行），信息安全等级测评机构（以下简称测评机构）应当具备以下基本条件： a)在中华人民共和国境内注册成立（港澳台地区除外）； b)由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（具 体要求参见8.2.1） c)产权关系明晰，注册资金100万元以上；（具体要求参见8.2.2） d)从事信息系统检测评估相关工作两年以上，无违法记录；（具体要求参见5.2.1） e)工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（具体要求参见 8.2.1） f)具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； g)具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等 级保护管理办法》对信息安全产品的要求；（具体要求参见6.1） h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （具体要求参见4.5） i)对国家安全、社会秩序、公共利益不构成威胁;

中国信息安全测评中心授权培训机构申请书

中国信息安全测评中心 授权培训机构申请书 申请单位（公章）： 填表日期： ?版权2020—中国信息安全测评中心 2020年2月

中国信息安全测评中心(CNITSEC) 授权培训机构资质申请书 目录 一、申请单位基本情况 (5) 二、申请单位概况 (6) 三、申请单位资产运营情况 (7) 四、申请单位人员情况 (9) 五、培训场所及设备设施情况 (14) 六、质量保证 (16) 七、信息安全及相关培训情况 (18) 八、信息安全培训宣传推广 (19)

填表须知 用户在正式填写本申请书前，须认真阅读并理解以下内容：授权培训机构申请单位（以下简称：申请单位）在正式填写本申请书前，须认真阅读以下内容： 1.申请单位应仔细阅读《授权培训机构申请指南》及《授权培训机构管理办法》， 并按要求认真、如实、详细地填写本申请书。 2.申请单位应按照申请书的原有格式进行填写，所有填报项目(含表格)页面不足 时，可另加附页。 3.填写本表时要求字迹清晰，请用签字笔正楷填写或计算机输入。 4.提交申请书之前，请仔细查验申请书填写是否有误，须提供的附件以及证明材 料是否完整。 5.申请单位须提交本申请书（含附件及证明材料）纸版一份，要求盖章的地方， 必须加盖公章，同时提交一份对应的电子文档（电子文档刻盘与纸板申请书一起邮寄）。 6.本申请书要求提供的附件及证明材料须单独装订成册并编目。 7.如有疑问，请与中国信息安全测评中心联系。 中国信息安全测评中心 地址：北京市海淀区上地西路8号院1号楼 邮编：100085 电话：（010）82341571或82341576 传真：82341100 网址：https://www.360docs.net/doc/e82940078.html, 电子邮箱：zhangxy@https://www.360docs.net/doc/e82940078.html,

信息安全应急处理服务资质认证申请书-中国信息安全认证中心

申请编号： 信息安全服务资质认证 申请书 申请组织（盖章）： 申请日期： 中国网络安全审查技术与认证中心

填写说明 1、本申请书适用于向中国网络安全审查技术与认证中心申报信息安全服务资质认证。 2、三级申请组织需提交申请书和自评价表（自评价表应包括公共管理自评价表一份）。 3、一、二级申请组织需提交申请书和自评价表（自评价表应包括公共管理、对应服务类别的自评价表各一份）。 4、申请书应使用A4型纸打印装订，首页及申请组织声明处加盖组织公章，并使用黑色钢笔或签字笔在相应位置签名（法人）。 5、申请书中所要求提交的证明材料，自评价表及自评价证据以电子版方式提供，不接受纸版材料。

信息安全服务资质认证申请书 1.申请信息 1.1申请类型 初次认证 级别变更1.2 资本类型 A类（不具有外资背景）B类（具有外资背景） 1.2申请类别与级别 安全集成一级二级三级 应急处理一级二级三级 风险评估一级二级三级 安全运维一级二级三级 软件安全开发一级二级三级 灾难备份与恢复（资源服务类）一级二级三级 灾难备份与恢复（技术服务类）一级二级三级 网络安全审计一级二级三级 工业控制系统安全一级二级三级 （工业控制所属行业：能源交通通信水利城建其他）1.3保持的类别和级别（级别变更或增加类别时填写） 安全集成一级二级三级 应急处理一级二级三级 风险评估一级二级三级 安全运维一级二级三级 软件安全开发一级二级三级 灾难备份与恢复（资源服务类）一级二级三级 灾难备份与恢复（技术服务类）一级二级三级 网络安全审计一级二级三级 工业控制系统安全一级二级三级 （工业控制所属行业：能源交通通信水利城建其他）2.组织基本信息（所有申请类型和级别都需填写） 申请组织全称（中文）：。 申请组织全称（英文）：。

信息安全等级保护测评工作管理规范(试行)完整篇.doc

信息安全等级保护测评工作管理规范(试 行)1 附件一： 信息安全等级保护测评工作管理规范 （试行） 第一条为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作（以下简称“等级测评工作”）的顺利开展，根据《信息安全等级保护管理办法》等有关规定，制订本规范。 第二条本规范适用于等级测评机构和人员及其测评活动的管理。 第三条等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。 第四条省级以上等保办负责等级测评机构的审核和推荐工作。 公安部信息安全等级保护评估中心（以下简称“评估中心”）负责测评机构的能力评估和培训工作。

第五条等级测评机构应当具备以下基本条件： （一）在中华人民共和国境内注册成立（港澳台地区除外）； （二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）； （三）产权关系明晰，注册资金100万元以上； （四）从事信息系统检测评估相关工作两年以上，无违法记录； （五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； （七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求； （八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （九）对国家安全、社会秩序、公共利益不构成威胁; （十）应当具备的其他条件。 第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。

国家信息安全测评

国家信息安全测评 工业控制系统产品安全测评服务 白皮书 ?版权2014—中国信息安全测评中心 二〇一四年八月

目录 1. 目的和意义 (2) 2. 业务范围 (2) 3. 业务类型 (2) 4. 业务实施 (3)

1. 目的和意义 工业控制系统产品（以下简称工控产品）安全测评的目的是促进高质量、安全和可控的工控产品的开发，具体目的和意义包括： 1）对工控产品依据相关标准规范进行测评； 2）判定工控产品是否满足安全要求； 3）有助于在涉及国家安全的工业自动化生产领域中加强工控产品的安全性和可控性，维护国家和用户的安全利益； 4）促进国内工控产品市场优胜劣汰机制的建立和完善，规范市场。 2. 业务范围 工控产品分为控制类产品（即工业控制设备）和安全类产品（工业安全设备）。 1）控制类产品包括可编程控制器（PLC）、离散控制系统（DCS）、远程终端单元（RTU）、智能电子设备（IED）、各行业控制系统等用于生产控制的产品。 2）安全类产品包括工业防火墙、工业安全网关、工业异常监测产品、工业应用软件漏洞扫描产品等用于工业环境安全防护的产品。 3. 业务类型 工控产品安全测评类型分为标准测试、选型测试和定制测试等。 1）标准测试 依据第三方标准规范（如国家标准、测评中心测试规范等），测评工控产品的功能、性能、安全等指标，通过后颁发“工业控制系统安全技术测评证书”。 2）选型测试 根据委托方提出的测评要求对工控产品进行测试，形成选型测试报告，为委托方在产品选型采购时提供技术依据。 选型测试内容包括：功能测试、性能测试、安全测试等，具体测试项目和指标由

委托方与中心共同确认。 3）定制测试 依据委托方要求对工控产品进行测试，形成定制测试报告。 4. 业务实施 4.1 测试依据 依据标准： 1）GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》； 2）《工业防火墙安全测评准则》 3）《工业安全网关安全测评准则》 4）《工业异常监测系统安全测评准则》 5）《工业漏洞扫描产品安全测评准则》 6）…… 4.2 证据需求 根据业务内容的要求，申请方需提交的证据包括： 1）测评申请书 2）测评所需文档 3）被测产品 4.3 业务流程 测评流程分为以下四个阶段：申请阶段、预测评阶段、测评阶段和报告与证书发放阶段（如下图所示）。

信息安全风险评估服务

1、风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、标准《信息系统安全等级评测准则》等法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等面存在的脆弱性为诱因的信息安全风险评估综合法及操作模型。 1.2风险评估相关 资产，任对组织有价值的事物。 威胁，指可能对资产或组织造成损害的事故的潜在原因。例如，组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点，是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思，使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估，对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。

风险评估也称为风险分析，就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的法，去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段（60-70年代）以计算机为对象的信息保密阶段1067年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险评估。 特点： 仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。 第二阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品，很少延拓至系统，婴儿在格意义上扔不是全面的风险评估。 第三阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段 随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个面；逐步形成了风险评估、自评估、认证认可的工作思路。

中国信息安全认证中心信息安全基准实验室

机构名称：中国信息安全认证中心信息安全基准实验室注册号：L6398 地址： A：北京市朝阳区朝外大街甲10号中认大厦 获准认可能力索引 序号地址能力范围评审类型更新时间 1 A 初评2013年09月10日 2 初评2013年09月10日 3 A 初评2013年09月10日 4 初评2013年09月10日

Name：China Information Security Certification Center Benchmark Laboratory Registration No.：L6398 ADDRESS： A: Zhongren Building, 10, Chaowai Street, Chaoyang District, Beijing, China INDEX OF ACCREDITED SIGNATORIES No. Address Range Type Update date 1 A Initial assessment 2013-09-10 2 Initial assessment 2013-09-10 3 A Initial assessment 2013-09-10 4 Initial assessment 2013-09-10

中国合格评定国家认可委员会 认可证书附件 （注册号：CNAS L6398） 名称: 中国信息安全认证中心信息安全基准实验室 地址：北京市朝阳区朝外大街甲10号中认大厦 签发日期：2013年09月10日有效期至：2016年09月09日 更新日期：2013年09月10日 序号姓名授权签字领域备注 1 魏昊全部检测项目 2 布宁全部检测项目

中国信息安全评测中心CISM认证模拟试题库-答案

中国信息安全测评中心CISM认证 模拟试题 中电运行信息安全网络技术测评中心 编辑

1．信息安全保障要素不包括以下哪一项？ A．技术 B．工程 C．组织 D．管理 2．以下对信息安全问题产生的根源描述最准确的是： A．信息安全问题是由于信息技术的不断发展造成的 B．信息安全问题是由于黑客组织和犯罪集团追求名和利造成的 C．信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的 D．信息安全问题产生的内因是信息系统的复杂性，外因是对手的威胁与破坏 3．完整性机制可以防范以下哪种攻击？ A．假冒源地址或用户的地址的欺骗攻击 B．抵赖做过信息的递交行为 C．数据传输中被窃听获取 D．数据传输中被篡改或破坏 4．PPDR模型不包括： A．策略 B．检测 C．响应 D．加密 5．关于信息安全策略的说法中，下面说法正确的是： A．信息安全策略的制定是以信息系统的规模为基础 B．信息安全策略的制定是以信息系统的网络拓扑结构为基础 C．信息安全策略是以信息系统风险管理为基础 D．在信息系统尚未建设完成之前，无法确定信息安全策略 6．“进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中，“看不懂”是指下面哪种安全服务： A．数据加密 B．身份认证 C．数据完整性 D．访问控制 7．下面对ISO27001的说法最准确的是： A．该标准的题目是信息安全管理体系实施指南 B．该标准为度量信息安全管理体系的开发和实施过程提供的一套标准 C．该标准提供了一组信息安全管理相关的控制措施和最佳实践 D．该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型

信息安全服务资质现场监督审核流程 - 中国信息安全认证中心

信息安全服务资质现场监督审核流程 流程说明： 1、准备阶段 项目管理人员在持证组织证书到期前3个月，将《监督审核通知单》发送给持证组织，通知本年度现场监督审核工作启动；

持证组织登录中国信息安全认证中心网站，下载《信息安全服务资质认证自评估表-公共管理》、对应的技术自评估表，实施自评估后（具体自评估表的填写方法可参考中心网站上的《信息安全服务资质认证自评估表填写指南》），将上述文档、自评估证明材料、《监督审核通知单》回执提交中心。 2、非现场审核及商务阶段（此阶段工作应在三周内完成，如需要持证组织补 充材料，应在五周内完成） 项目管理人员指派审查员对持证组织提交的材料进行非现场审核； 审查员依据《信息安全服务规范》及相关技术标准，对持证组织所提供的材料是否满足要求进行判定，并填写《审核记录表》。如满足要求，审查员通知项目管理人员向持证组织出具《受理通知单》（如持证组织有需求，也可签订《服务资质认证合同》），收取认证费用。如不满足要求，审查员开具《材料问题清单》，通知持证组织补充材料重新提交，并对补充材料进行审核。 3、现场审核阶段（此阶段工作应在四周内完成，如开具不符合项，应在八周 内完成） 项目管理人员指派审核组长（一般情况下指派对该组织材料进行非现场审核的审查员为组长），协调审查员组建审核组； 审核组长编制《审核计划》，准备现场审核的相关表格等材料，通过项目管理人员将《审核计划》发送给持证组织； 审核组前往对持证组织开展现场审核工作，判断该组织目前对外提供的信息安全服务管理及技术能力是否符合《信息安全服务规范》的要求，并依据现场审核中的实际情况对非现场审核时已填写的《审核记录表》进行补充、完善和验证。如满足要求，审核组长编制《审核报告》，并汇总《审核记录表》、《首末次会议记录》、《公正性、保密性承诺》等审核材料提交中心进行认证决定（如开具不符合项，审核组长则通知持证组织在一个月内提交整改材料）；如不满足要求（例如在现场审核时发现持证组织存在材料造假等严重不符合时），审核组长现场通知持证组织不推荐其继续持有证书，同时编制《审核报告》，在报告中注明不满足资质要求的具体情况，并提交中心进行认证决定。 4、认证决定阶段（此阶段工作应在两周内完成） 中心认证决定人员对审核组长提交的审核材料进行认证决定； 如认证决定通过，则通知项目管理人员进行制证；如认证决定不通过，则通知持证组织不通过的原因，撤销并寄回证书。

国家信息安全测评信息安全服务资质申请书(安全工程类一级中国信息安全测评中心【模板】

编号： 国家信息安全测评 信息安全服务资质申请书 (安全工程类一级) 申请单位（公章）： 填表日期： ?版权2011—中国信息安全测评中心 2011年1月1日

目录 填表须知 (3) 申请表 (4) 一、申请单位基本情况 (5) 二、申请单位概况 (5) 三、申请单位近三年资产运营情况 (5) 四、申请单位人员情况 (5) 五、申请单位技术能力基本情况 (5) 六、申请单位的信息系统安全工程过程能力 (5) 6.1评估系统安全威胁的能力 (5) 6.2评估系统脆弱性的能力 (5) 6.3评估安全对系统的影响的能力 (5) 6.4评估系统安全风险的能力 (5) 6.5确定系统的安全需求的能力 (5) 6.6确定系统的安全输入的能力 (5) 6.7进行管理安全控制的能力 (5) 6.8进行监测系统安全状况的能力 (5) 6.9进行安全性协调的能力 (5) 6.10进行检测和证实系统安全性的能力 (5) 6.11进行建立系统安全的保证证据的能力 (5) 七、申请单位的项目和组织过程能力 (5) 7.1实现质量保证的能力 (5) 7.2管理项目风险的能力 (5) 7.3规划项目技术活动的能力 (5) 7.4监控技术活动的能力 (5) 7.5提供不断发展的知识和技能的能力 (5) 7.6与供应商协调的能力 (5) 八、申请单位安全服务项目汇总 (5) 九、申请单位获奖、资格授权情况 (5) 十、申请单位在安全服务方面的发展规划 (5) 十一、申请单位其他说明情况 (5) 十二、申请单位附加信息 (5) 申请单位声明 (5)

填表须知 用户在正式填写本申请书前，须认真阅读并理解以下内容： 1．中国信息安全测评中心对下列对象进行测评： ●信息技术产品 ●信息系统 ●提供信息安全服务的组织和单位 ●信息安全专业人员 2．申请单位应仔细阅读《信息安全服务资质申请指南（安全工程类一级）》，并按照其要求如实、详细地填写本申请书所有项目。 3．申请单位应按照申请书原有格式进行填写。如填写内容较多，可另加附页。 4．提交申请书之前，请仔细查验申请书填写是否有误，须提供的附件以及证明材料是否完整。 5．申请单位须提交本申请书（含附件及证明材料）纸版一份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档。 6．本申请书要求提供的附件及证明材料须单独装订成册并编目。提供的资料须客观、真实和完整，不要编辑、修改和摘录，但可以进行脱密处理。 7．如有疑问，请与中国信息安全测评中心联系。 中国信息安全测评中心 地址：XX市XX区上地西路8号院1号楼

北京市信息安全等级保护工作实施细则

北京市信息安全等级保护工作实施细则 第一章 总则 第一条 信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。为加强本市信息安全等级保护工作，规范信息安全等级保护安全管理，促进各职能部门之间的分工与协调合作，提高首都信息安全保障能力和水平，根据《北京市公共服务网络与信息系统安全管理规定》（市政府第 163号令）、《市公安局、市信息办、市国家保密局、市国家密码办关于开展信息安全等级保护工作的通知》（京公网监字 [2006]208号）和相关法律法规，结合本市实际情况，制定本实施细则。 第二条 信息安全等级保护，是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 第三条 本实施细则所指的重要信息系统，是指包括本市公共服务网络与信息系统在内的财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系国计民生的信息系统；教育、国家科研等单位的信息系统；公共通信、广播电视传输等基础信

息网络中的信息系统；互联网管理中心、重要网站和网络节点的信息系统、重点工程和其他领域的信息系统。 第四条 信息系统运营、使用单位是指信息系统的所有者或信息系统所承载业务的主管单位，且对该信息系统的安全运行负主要责任的最小法人单位或组织。本实施细则适用于新建和已建的所有信息系统。 第五条 本市辖区内的信息系统运营、使用单位按照谁主管谁负责、谁运营谁负责的原则，对其信息系统分等级进行保护，履行信息安全等级保护职责。 第六条 信息系统安全保护等级分为五级： （一）第一级为自主保护级，信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。 （二）第二级为指导保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。必要时，相关职能部门可以对其信息安全等级保护工作进行指导。 （三）第三级为监督保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护，相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。 （四）第四级为强制保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护，相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。