您的位置:360文档中心› 注册信息安全员CISM知识体系大纲-中国信息安全测评中心

注册信息安全员CISM知识体系大纲-中国信息安全测评中心

注册信息安全员CISM知识体系大纲-中国信息安全测评中心
注册信息安全员CISM知识体系大纲-中国信息安全测评中心

注册信息安全员(CISM)知识体系大纲

版本:3.0

中国信息安全测评中心

发布日期:2015年1月30日

?版权2015—中国信息安全测评中心

目录

前言 (1)

1 注册信息安全员(CISM)知识体系概述 (2)

1.1 CISM资质介绍 (2)

1.2 CISM知识体系介绍 (2)

1.2.1 大纲范围 (2)

1.2.2 知识体系结构 (2)

1.2.3 课程时间安排 (4)

2 知识类:信息安全保障基础 (6)

2.1 知识体:信息安全保障理论及实践 (6)

2.2 知识体:信息安全法规政策标准 (6)

3 知识类:信息安全技术 (7)

3.1 知识体:密码及网络安全 (7)

3.2 知识体:终端及数据安全 (7)

3.3 知识体:信息安全攻防技术 (8)

4 知识类:信息安全管理 (8)

4.1 知识体:信息安全管理基础及应急响应 (8)

4.2 知识体:信息安全管理体系 (9)

前言

信息安全作为我国信息化建设健康发展的重要因素,关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施,是国家安全的重要组成部分。在信息系统安全保障工作中,人是最核心、最活跃的因素,人员的信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。

注册信息安全员(CISM)是由中国信息安全测评中心向政府机构、社会团体、企事业单位中的信息安全工作人员颁发的专业资质证书,是对我国信息安全人员进行资质评定的重要形式之一。持证人员掌握保障信息系统安全的基本知识和技能,具备从事信息安全相关工作的基本能力。

CISM知识体系大纲面向注册信息安全培训人员,以及信息系统维护人员的工作需求,注重基本知识和实践操作。大纲内容从我国国情出发,根据地方/行业信息安全管理的实际工作需要,以实用性和操作性为原则,明确规定了CISM 应当掌握的知识要点,是CISM教材编制、讲师授课、学员学习,以及考试命题的重要依据。

1 注册信息安全员(CISM)知识体系概述

1.1 CISM资质介绍

“注册信息安全员”,英文为Certified Information Security Member,简称CISM。CISM面向政府机构、社会团体、企事业单位中从事信息安全相关工作的人员。CISM证书由中国信息安全测评中心颁发,持证人员掌握保障信息系统安全的基本知识和技能,具备从事信息安全相关工作的基本能力。

1.2 CISM知识体系介绍

1.2.1 大纲范围

本大纲涵盖了CISM注册人员需要掌握的知识要点,主要包括信息安全保障概述、信息安全技术、信息安全管理、信息安全工程以及地方/行业信息安全五部分,其中信息安全工程和地方/行业信息安全保障的内容由地方或行业自行定制。

1.2.2 知识体系结构

CISM知识体系使用层次化、组件化和模块化的结构,即CISM知识体系使用知识类(缩写为PT)、知识体(缩写为BD)和知识域(缩写为KA)的结构。其中,每个知识类根据其逻辑划分为一个或多个知识体(BD),每个知识体包含一个或多个知识域(KA)。图1-1描述了CISM知识体系的层次结构:

图1-1:CISM知识体系的层次结构

在整个注册信息安全员(CISM )的知识体系结构中,共包括三个必修知识类和两个可选知识类,其中必修知识类为信息安全保障基础、信息安全技术和信息安全管理,可选知识类为信息安全工程、地方/行业信息安全,分别为:

● 信息安全保障基础:本知识类介绍信息安全有关的基本概念和模型,并

介绍了我国有关的信息安全保障实践工作和信息安全政策法规标准,该

知识类是CISM 知识体系的基础知识。

● 信息安全技术:信息安全技术主要讨论了同信息安全相关的技术知识和

实践,包括密码及网络安全、终端及数据安全、信息安全攻防技术等知

识体。

● 信息安全管理:信息安全管理主要讨论了同信息安全相关的管理知识和

实践,包括信息安全管理基础及信息安全管理体系措施两个知识体。

● 信息安全工程:信息安全工程主要讨论了同信息安全相关的工程知识和

实践,本部分为可选内容,可以按照信息安全工程基础和安全工程能力

成熟度模型两个知识体来组织具体内容。

● 地方/行业定制课程:本知识类为可选内容,各地或各行业可根据自身信

息安全管理需求定制课程内容,可以按照地方/行业信息安全保障简介、

地方/行业信息安全政策法规、地方/行业安全技术要求等知识体组织,具

体内容不在本大纲中介绍。

在图 1-2中,从整体上描述了CISM 的知识体系结构框架。 注册信息安全员(C ISM )知识体系结构信息安全保障基础

信息安全技术

信息安全管理信息安全工程(可选)信息安全管理基础信息安全工程基础安全工程能力成熟度模型信息安全保障理论及实践地方/行业信息安全(可选)地方/行业信息安全保障简介地方/行业信息安全政策法规地方/行业信息

安全技术要求

信息安全法规政策标准

终端及数据

安全

信息安全管理体系恶意代码及

网络安全攻防密码及网络

安全

图 1-2:CISM 知识体系结构

1.2.3 考试题目

CISM考试时间为2个小时,所有题型均为单项选择题,共100题,每题1分,得到70分以上(含70分)为通过。表1-1 CISM考试试题结构

中描述了CISM考试的各知识类的比例。

表1-1 CISM考试试题结构

1.2.4 课程时间安排

根据CISM知识体系大纲和教材内容,本大纲给出按三天培训时间设计的培训内容和课时安排,如表1-2所示。各地方各行业在培训时,也可以根据自己的实际情况参考执行。

表1-2 CISM课程时间安排

2 知识类:信息安全保障基础

2.1 知识体:信息安全保障理论及实践

●知识域:信息安全保障基础知识

◆理解信息安全的典型安全威胁

◆理解信息安全问题产生的根源

◆掌握信息安全三个基本要素(保密性、完整性和可用性)的概念和

含义

◆了解信息安全发展的阶段及各阶段主要特点

◆理解信息安全保障的概念和内涵

●知识域:信息安全保障模型

◆了解信息系统、风险、保障和使命之间的关系

◆掌握信息系统安全保障模型,理解其保障要素、生命周期和安全特

征的内容和含义

◆理解PDCA模型内容和特点

◆了解信息保障技术框架(IATF)的核心要素和焦点区域

●知识域:我国信息安全保障工作实践

◆理解我国信息安全工作的发展阶段划分情况

◆了解我国信息安全保障工作的目标和主要内容

◆了解我国信息安全保障工作实践成果

2.2 知识体:信息安全法规政策标准

●知识域:重点信息安全法律法规解读

◆了解我国信息安全法律体系情况

◆理解《中华人民共和国保守国家秘密法》中主要条款

◆了解《刑法》、《中华人民共和国电子签名法》关于信息安全的重

要条款

◆了解《中华人民共和国计算机信息系统安全保护条例》的有关内容

●知识域:重点信息安全政策解读

◆理解《国家信息化领导小组关于加强信息安全保障工作的意见》的

重要性和有关内容

◆了解《国务院关于大力推进信息化发展和切实保障信息安全的若干

意见》的有关内容

●知识域:信息安全标准知识

◆理解我国国家标准、行业标准、地方标准和企业标准以及强制性、

推荐性和标准化指导性技术文件等分类情况

◆了解我国信息安全标准体系

◆了解国外主要的信息安全标准化组织情况

◆了解《可信计算机系统评估准则》、《信息技术安全性评估通用准

则》等标准发展历史

3 知识类:信息安全技术

3.1 知识体:密码及网络安全

●知识域:密码学基础知识

◆了解密码学的基本概念和术语

◆理解对称算法特点

◆理解非对称算法特点

◆了解散列算法、消息鉴别码和签名算法的作用

●知识域:网络安全规划及策略

◆了解网络安全面临的威胁及网络安全基本目标

◆了解常见网络结构的安全配置

●知识域:常见网络安全设备

◆理解网络边界安全产品功能和主要产品,理解防火墙、入侵检测系

统的功能特点

◆理解网络连接安全产品功能和主要产品,了解IPSec VPN和SSL

VPN特点和区别

◆了解网络应用安全产品功能和相关产品

◆了解安全管理平台、统一威胁管理以及网络安全审计等产品功能

3.2 知识体:终端及数据安全

●知识域:操作系统安全及Windows 7安全设置

◆了解操作系统安全的重要性

◆了解Windows 7系统安全配置常见策略和措施

●知识域:终端安全防护产品

◆了解主机审计产品的主要功能

◆了解主机安全监控产品的主要功能

●知识域:终端应用安全

◆了解IE浏览器的安全配置和安全使用技巧

◆了解电子邮件、即时通讯软件的常见安全问题和安全保护手段

◆了解公钥基础设施的概念和在Web访问、网络支付中的应用安全

●知识域:数据安全

◆理解数据加密的重要性和常见手段

◆了解数据防泄漏的含义和有关产品功能

◆了解数据安全删除重要性和措施

◆了解数据备份重要性和措施

3.3 知识体:恶意代码及网络安全攻防

●知识域:恶意代码与防范

◆理解恶意代码的定义

◆了解恶意代码发展过程和趋势

◆理解典型的恶意代码的传播方式和危害

◆了解恶意代码的防御措施

●知识域:网络安全攻防技术

◆了解网络攻击的基本步骤

◆了解信息收集、目标分析实现及防御措施

◆理解攻击者利用人性弱点、协议缺陷、软件缺陷等漏洞进行攻击的

技术原理及防御措施

◆了解攻击者设置后门的实现方式及防御措施

◆了解渗透测试的特点、流程及实现工具

4 知识类:信息安全管理

4.1 知识体:信息安全管理基础

●知识域:信息安全管理概念

◆了解信息安全管理的概念和内涵

◆理解信息安全管理和信息安全技术的关系

●知识域:信息安全风险管理

◆理解信息安全风险的含义,理解威胁、脆弱性、影响和风险等要素

及相互关系

◆掌握信息安全风险管理的主要内容和流程

◆理解风险评估的作用、工作形式和评估方法

●知识域:信息安全等级保护

◆掌握等级保护的定级要素及级别划分准则

◆了解等级保护的工作流程

◆理解等级保护有关的重要国家政策和标准

◆理解等级保护的管理要求主要内容

●知识域:信息安全应急响应

◆了解应急响应的有关概念、发展过程和特点

◆了解我国应急响应有关标准

◆了解信息安全事件分类的方法

◆理解信息安全事件分级要素和各级别含义

◆了解应急响应组织工作的主要内容

●知识域:信息安全灾难恢复

◆理解灾难恢复的概念和含义

◆理解恢复时间目标(RTO)和恢复点目标(RPO)等术语含义

◆了解我国灾难恢复有关标准

◆了解灾难恢复能力等级划分情况

◆了解异地灾备、系统级灾备、完全备份等有关策略含义和特点

4.2 知识体:信息安全管理体系

●知识域:信息安全管理体系概念

◆理解信息安全管理体系(ISMS)的概念和核心过程

◆了解信息安全管理体系文档要求

◆了解ISO/IEC 27000标准族

●知识域:信息安全管理控制措施

◆了解信息安全管理控制措施的作用

◆了解安全方针、人力资源安全等管理域的控制目标和主要控制措施

2017年中国信息安全行业发展现状及未来发展趋势分析

2017年中国信息安全行业发展现状及未来发展趋势分析 (一)行业主管部门、监管体制以及主要法律法规和政策 1、行业主管部门和行业监管体制 信息安全行业主要受信息产业及安全主管部门的监管,具体如下: 数据来源:公开资料整理 2、行业主要法律法规及政策 (1)行业主要法律法规 信息安全行业,受到信息安全行业相关法律法规的管理。行业的主要法律法规如下:

数据来源:公开资料整理(2)行业主要发展政策

行业主要发展政策如下: 数据来源:公开资料整理(二)信息安全行业概况及未来发展趋势 1、信息安全的定义

信息安全是指对信息系统的硬件、软件、系统中的数据及依托其开展的业务进行保护,使得它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、修改、审阅、检查、记录或销毁,保证信息系统连续可靠地正常运行。信息安全具有真实性、机密性、完整性、不可否认性、可用性、可核查性和可控性七个主要属性: 数据来源:公开资料整理 2、信息安全行业的技术、产品和服务 (1)信息安全技术 为了实现信息安全的七个核心属性,需要从信息系统的物理安全、运行安全、数据安全、内容安全、信息内容对抗等五个方面进行安全建设与安全防范。因而,目前信息安全的主流技术包括信息系统自身的安全技术(物理安全和运行安全技术)、信息自身的安全技术(数据安全与内容安全技术)、信息利用的安全技术(信息对抗技术),具体如下:

数据来源:公开资料整理(2)信息安全产品 信息安全产品按照功能分类主要包括:防火墙产品、入侵检测与入侵防御产品、统一威胁管理产品、身份管理类产品、加密类产品、电子签名类产品、安全审计类产品以及终端安全管理产品等。主要产品的情况如下:

信息安全管理体系审核员注册准则-中国信息安全认证中心

中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号:CCAA-141 发布日期:2012年6月19日 ?版权2012-中国认证认可协会

信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会(CCAA)人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制:CCAA日期:2012年5月10日 批准:CCAA日期:2012年6月19日 实施:CCAA 日期:2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息,请与CCAA人员注册部联系,联络地址如下: 地址:北京市朝阳区朝外大街甲10号中认大厦13层 邮编:100020 https://www.360docs.net/doc/0016878693.html, email:pcc@https://www.360docs.net/doc/0016878693.html, 版权 ?版权2012-中国认证认可协会

前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会(CNCA)唯一授权的依法从事认证人员认证(注册)的机构,开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员,加入了IPC-QMS/EMS审核员培训与注册国际互认协议,人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》(质检总局令第61号)、国家认监委《关于正式开展信息安全管理体系认证工作的公告》(2009年第47号公告)制定,考虑了中国的国情及认证/认可机构的要求,是建立信息安全管理体系(ISMS)审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性,但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求,CCAA对此不承担责任。

信息安全教育培训

信息安全教育培训制度 为进一步提高网络管理人员对网络安全重大意义的认识,增强遵守规章制度和劳动纪律的自觉性,避免网络安全事故的发生,确保各项工作顺利进行,特制订本制度。 一、安全教育培训的目的 网络安全教育和培训不仅能提高员工对网络信息安全的认识,增强搞好信息安全责任感和法律意识,提高贯彻执行信息安全法律、法规及各项规章制度的自觉性,而且能使广大员工掌握网络信息安全知识,提高信息安全的事故预防、应急能力,从而有效地防止信息安全事故的发生,为确保网络安全创造条件。 二、培训制度 1、信息安全教育培训计划由信息中心根据年度工作计划作出安排。 2、成立信息安全教育学习小组,定期组织信息安全教育学习; 3、工作人员每年必须参加不少于15个课时的专业培训。 4、工作人员必须完成布置的学习计划安排,积极主动地参加信息中心组织的信息安全教育学习活动 组织本单位工作人员认真学习《网络安全制度》、《计算机信息网络安全保护》等业务知识,不断提高工作人员的理论水平。 (2)、负责对全员安全教育和培训。 (3)、定期的邀请上级有关部门和人员进行信息安全方面的培

训,提高操作员的防范能力。 2.计算机职业道德教育 (1)、工作人员要严格遵守工作规程和工作制度。 (2)、不得制造,发布虚假信息,向非业务人员提供有关数据资料。 (3)、不得利用计算机信息系统的漏洞偷窃资料,进行诈骗和转移资金。 (4)、不得制造和传播计算机病毒。 3.计算机技术教育 (1)、操作员必须在指定计算机或指定终端上进行操作。 (2)、管理员,程序维护员,操作员必须实行岗位分离,不得串岗,越岗。 (3)、不得越权运行程序,不得查阅无关参数。 (4)、发现操作异常,应立即向管理员报告。 三、培训方法: 1.结合专业实际情况,指派有关人员参加学习。 2.有计划有针对性,指派人员到外地或外单位进修学习。 3.举办专题讲座或培训班,聘请有关专家进行讲课。 4.自订学习计划,参加学习,学业优秀者给予奖励

国家信息安全测评

国家信息安全测评 信息安全服务资质申请指南(安全工程类三级) ?版权2015—中国信息安全测评中心 2016年10月1 日

一、认定依据 (4) 二、级别划分 (4) 三、三级资质要求 (4) 3.1 基本资格要求 (5) 3.2 基本能力要求 (5) 3.3 质量管理要求 (6) 3.4安全工程过程能力要求 (6) 四、资质认定 (7) 4.1认定流程图 (7) 4.2申请阶段 (8) 4.3资格审查阶段 (8) 4.4能力测评阶段 (8) 4.4.1静态评估 (8) 4.4.2现场审核 (9) 4.4.3综合评定 (9) 4.4.4资质审定 (9) 4.5证书发放阶段 (9) 五、监督、维持和升级 (10) 六、处置 (10) 七、争议、投诉与申诉 (10) 八、获证组织档案 (11) 九、费用及周期 (11)

中国信息安全测评中心(以下简称CNITSEC)是经中央批准成立、代表国家开展信息安全测评的职能机构,依据国家有关产品质量认证和信息安全管理的政策、法律、法规,管理和运行国家信息安全测评体系。 中国信息安全测评中心的主要职能是: 1.对国内外信息安全产品和信息技术进行测评; 2.对国内信息系统和工程进行安全性评估; 3.对提供信息系统安全服务的组织和单位进行评估; 4.对信息安全专业人员的资质进行评估。 “信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。 本指南适用于所有向CNITSEC提出信息安全工程服务三级资质申请的境内外组织。

中国信息安全行业发展现状及未来发展趋势分析

年中国信息安全行业发展现状及未来发展趋势分析

————————————————————————————————作者:————————————————————————————————日期:

2017年中国信息安全行业发展现状及未来发展趋势分析 (一)行业主管部门、监管体制以及主要法律法规和政策 1、行业主管部门和行业监管体制 信息安全行业主要受信息产业及安全主管部门的监管,具体如下: 数据来源:公开资料整理 2、行业主要法律法规及政策 (1)行业主要法律法规 信息安全行业,受到信息安全行业相关法律法规的管理。行业的主要法律法规如下:

数据来源:公开资料整理

(2)行业主要发展政策 行业主要发展政策如下: 数据来源:公开资料整理(二)信息安全行业概况及未来发展趋势 1、信息安全的定义

信息安全是指对信息系统的硬件、软件、系统中的数据及依托其开展的业务进行保护,使得它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、修改、审阅、检查、记录或销毁,保证信息系统连续可靠地正常运行。信息安全具有真实性、机密性、完整性、不可否认性、可用性、可核查性和可控性七个主要属性: 数据来源:公开资料整理 2、信息安全行业的技术、产品和服务 (1)信息安全技术 为了实现信息安全的七个核心属性,需要从信息系统的物理安全、运行安全、数据安全、内容安全、信息内容对抗等五个方面进行安全建设与安全防范。因而,目前信息安全的主流技术包括信息系统自身的安全技术(物理安全和运行安全技术)、信息自身的安全技术(数据安全与内容安全技术)、信息利用的安全技术(信息对抗技术),具体如下:

美国八大金刚对中国信息安全的威胁

中国在美国“八大金刚”面前几乎赤身裸体 一位在信息安全领域沉浸了20多年的专家称:“作为全球第二大经济体,中国几乎是赤身裸体地站在已经武装到牙齿的美国…八大金刚?(思科、IBM、Google、高通、英特尔、苹果、Oracle、微软)面前。” 被西方国家及媒体频频指责是安全威胁源的中国,目前正处于一个无形的网络安全阴影之 下。 中国国家互联网应急中心抽样监测显示,2011年有近5万个境外IP地址作为木马或僵尸网络控制服务器,参与控制了我国境内近890万台主机,其中有超过99.4%的被控主机,源头在美国。而仿冒我国境内银行网站站点的IP也有将近四分之三来自美国。

这组触目惊心的数据,显示出中国网络安全的脆弱现状。中国的信息安全在以思科为代表的美国“八大金刚”(思科、IBM、Google、高通、英特尔、苹果、Oracle、微软)面前形同虚设。在绝大多数核心领域,这八家企业都占据了庞大的市场份额。一位在信息安全领域沉浸了20多年的专家称:“作为全球第二大经济体,中国几乎是赤身裸体地站在已经武装到牙齿的美国…八大金刚?面前。” 多位信息安全专家向《中国经济和信息化》杂志表示,在全球范围内,除美国在信息安全方面采用进攻型策略以外,其他国家都只能防守。而如何防范可能被插进体内的獠牙,国内相关部门应当拿出更多办法。 而本刊获得的数据显示,全球有超过九成的网络战发端于美国。而网络设备正是网络战必备的武器。 在此威胁下,已有中国大型央企觉醒。思科在中国的第二大客户中国联通,正在更换已经使用的思科网络设备。中国联通及江苏联通向本刊确认称,截至10月底,中国两大骨干网之一的China169骨干网江苏无锡节点核心集群路由器已搬迁完成,而被“扫地出门”的路由器正是思科的产品。江苏联通综合部部长向记者证实,此次搬迁是来自中国联通总部的统一安排,并不是江苏联通的决定。 中国联通还称,不排除有其他省级公司继续弃用思科产品。 这或许是这艘来自美国的通信领域航空母舰在中国第一次遭受挫折。在18年前,它驶入一片荒芜的中国通信海域大展拳脚,凭借强悍的技术实力与公关能力横行无阻。 也有专家呼吁,因为承担着振兴国家经济命脉的重任,以央企为代表的大型企业,应当率先警惕使用思科等产品带来的潜在安全威胁。 技术漏洞还是另有玄机? 美国与以色列曾经借助电脑蠕虫病毒令伊朗的核设施瘫痪——之所以该病毒具备如此威力,是因为几乎伊朗每台电脑都安装了微软的Windows 系统。 在传统的四大战争空间之外,越来越多的国家将目光投向网络空间。美国总统奥巴马已经任命微软的前安全总管霍华德·施密特作为网络安全总指挥。五角大楼甚至成立了一个新的网络司令部,担任领导的是国家安全局局长基思·亚历山大将军,他的任务是保卫美国的军事网络和攻击他国的系统。

中国信息安全测评中心授权培训机构管理办法

中国信息安全测评中心授权培训机构管理办法 中国信息安全测评中心 二〇一七年一月

第一章 总 则 第一条随着国家信息化建设的高速发展,对信息安全专业人才的需求逐年增加。为贯彻中共中央办公厅、国务院办公厅中办发[2003]27号文件中关于“加快信息安全人才培养,增强全民信息安全意识”的精神,加强对授权培训机构的管理,规范授权培训机构的职能,中国信息安全测评中心(以下简称CNITSEC)根据相关管理规定制定本办法。 第二条CNITSEC为授权委托方,中国信息产业商会信息安全产业分会为授权运营管理机构(以下简称授权运营方),授权培训机构为CNITSEC授权的培训机构方。 第三条CNITSEC、授权运营方、授权培训机构关系如下: 1、CNITSEC及授权培训机构均为独立的法人单位,但两两之间不具有行政隶属及产权归属关系,各自对自己的行为承担法律责任; 2、授权运营方作为CNITSEC与授权培训机构之间的接口机构,按照授权委托方的要求对授权培训机构进行监督、指导和管理。授权运营方统一受理对授权培训机构的投诉,根据调查结果出具处理意见。 3、CNITSEC对授权运营方及授权培训机构具有监督管理的权利; 4、授权培训机构应严格遵守相关管理规定,开展双方协议规定的培训业务,按时向CNITSEC缴纳管理费。 第四条本办法由授权运营方具体执行。 第二章授权业务类型 授权培训机构应与CNITSEC及授权运营方签订授权协议书,明确

双方的责任与义务,依法开展培训业务。 第五条授权培训机构可以以“中国信息安全测评中心授权培训机构”的名义,根据授权协议中授权内容从事以下培训业务: 1、注册信息安全员(Certified Information Security Member 简称CISM)培训; 2、注册信息安全专业人员(Certified Information Security Professional,简称CISP)培训,根据工作领域和实际岗位工作的需要,CISP培训分为四类: ●注册信息安全工程师(Certified Information Security Engineer简称CISE)培训; ●注册信息安全管理员(Certified Information Security Officer简称CISO)培训; ●注册信息安全审计师(Certified Information Security Auditor简称CISP-A)培训; ●注册信息安全开发人员(Certified Information Security Developer 简称CISD)培训。 3、其他培训业务以双方协议具体规定为准。 第三章授权培训机构的管理 第六条授权培训机构必须遵守如下管理规定: 1、日常工作管理 (1)按CNITSEC统一规定的教材、教学大纲开展培训业务,并执行授权运营方制定的统一培训标准;

2020年全球及中国信息安全市场规模分析及预测

2020年全球及中国信息安全市场规模分析 及预测 网络安全相关法规、政策逐渐落地,推动整体行业的发展。1)合规性政策陆续出台提升网络安全产品服务空间。2017年,《网络安全法》出台,从顶层设计上将网络安全法制化。2019 年 5 月 13 日,《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,将于 2019 年12 月 1 日开始实施,标志着国家对信息安全技术与网络安全保护迈入 2.0时代。等保 2.0 为中国网络安全市场注入又一强力催化剂,进一步保障和提升中国在未来几年引领全球网络安全市场增速。 2)促进性法规进一步推动行业加速发展。2019 年 6 月,《国家网络安全产业发展规划》正式发布,根据规划,到2020 年,依托产业园带动北京市网络安全产业规模超过 1000 亿元,拉动 GDP 增长超过 3300 亿元,打造不少 3 家年收入超过 100 亿元的骨干企业。此外,地方政府网络安全产业规划陆续出台,为网络安全行业提供场地、资金、人才等实质性发展支持。 护网行动力度加大,凸显国家对网络安全的重视。自 2016 年以来,公安部每年开展针对关键信息基础设施的实战攻防演习,被称为“护网行动”。伴随着等保 2.0 时代的到来,同时为加强新中国成立 70 周年大庆的安全保卫,2019年“护网行动”涉及范围扩大至工信、安全、武警、交通、铁路、民航、能源、新闻广电、电信运营商等单位,充分彰显国家对网络安全的重视。护网行动力度的加大,也极大促进了政企对网络安全的投入,推动安全市场的发展。

浅谈中国国家信息安全战略

浅谈中国国家信息安全战略 关键词:信息安全国际信息安全威胁中国信息安全战略 摘要:当今世界,和平与发展是时代的主题。国家的发展需要和平稳定的建设环境,需要国家安全保障。随着现代技术的发展,信息技术已经成为隐形的国际斗争的工具,某种程度上来说,鼠标、键盘和子弹、炸弹一样危险。信息安全是国家安全的独立的基本要素,也影响着政治、军事、经济等其他要素。对于中国而言,必须广泛吸收借鉴发达国家的经验,完善信息安全战略,健全信息安全体制,保障国家信息安全。 一、信息安全简述 (一)、什么是信息安全 从一个主权国家的角度来讲,信息安全属于非传统安全范畴。非传统安全是指除军事、政治和外交冲突以外的其他对主权国家及人类整体生存和发展构成威胁的因素。1信息安全,意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。2 (二)、信息安全的重要性 随着现代科学技术的发展,尤其是互联网的诞生为信息战提供的巨大技术支持,信息技术已经成为隐形的国际斗争的工具。某种程度上来说,轻轻敲击一下键盘和发射一枚炸弹危险程度不相上下。信息安全是国家安全的基本要素,举足轻重地影响着政治、军事、经济等其他要素。 二、国际信息安全现状分析 (一)、信息安全威胁事件回顾 1.1991年的海湾战争中,美国偷偷把一套带有病毒的同类芯片换装到伊拉克从法国购买了一种用于防空系统的新型电脑打印机里。当美国领导的多国部队发动“沙漠风暴”行动,空袭伊拉克时,美军用无线遥控装置激活了隐藏的病毒,致使伊拉克的防空系统陷入了瘫痪。 1夏超然,2008年非传统安全问题的新挑战与国家安全战略的应对之策,《理论观察》2009年第1期 2资料来源:“信息安全”维基百科https://www.360docs.net/doc/0016878693.html,/wiki

网络信息安全基础知识培训

网络信息安全基础知识培训 主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识 包括哪些基本内容 (一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀 3、及时安装系统补丁 4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂

8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级 4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法 1、在解毒之前,要先备份重要的数据文件 2、启动反病毒软件,并对整个硬盘进行扫描 3、发现病毒后,我们一般应利用反病毒软件清除文件中的病毒,如果可执行文件中的病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序 4、某些病毒在Windows状态下无法完全清除,此时我们应采用事先准备的干净的系统引导盘引导系统,然后在DOS下运行相关杀毒软件进行清除 备注:可以随时随地防护任何病毒反病毒软件是不存在的、随着各种新病毒的不断出现,反病毒软件必须快速升级才能达到杀除病毒的目的、具体来说,我们在对抗病毒时需要的是一种安全策略和一个完善的反病

盘点2017年国内移动信息安全十大事件

盘点2017国内移动信息安全十大事件2017年刚刚结束,回头反思过去一年的发生的各类网络安全事件,除了WannaCry勒索病毒横扫全球、2亿选民资料泄漏的“邮件门”及新型IoT僵尸网络等轰动全球的网络安全大事件外,与我们生活密切相关的一众移动安全事件也是让人应接不暇,下面就跟我们一起来整理回顾下,2017年都发生了哪些移动安全事件吧。 1、勒索病毒瞄准“王者荣耀”袭击手机 火到一发不可收拾的《王者荣耀》不光吸粉能力、吸金能力超强,这吸引病毒的能力也非同一般。6月2日,360手机卫士发现了一款冒充时下热门手游《王者荣耀》辅助工具的手机勒索病毒,该勒索病毒被安装进手机后,会对手机中照片、下载、云盘等目录下的个人文件进行加密,并索要赎金。这种病毒一旦爆发,会威胁几乎所有安卓平台的手机,用户一旦中招,可能丢失所有个人信息。

从该病毒的形态来看,与PC端大规模肆虐的“永恒之蓝”界面极为相似,用户中招后,桌面壁纸、软件名称、图标形态都会被恶意修改,用户三天不支付,赎金便会加倍,一周不支付,文件就会被全部删除!除此之外,该勒索病毒可能使用的软件命名包括“王者荣耀辅助”或“王者荣耀前瞻版安装包”等。 2、个人隐私泄漏引发重视10款APP上安全“灰名单” 2017年7月20日,腾讯社会研究中心与DCCI互联网数据中心联合发布《网络隐私安全及网络欺诈行为研究分析报告显示,手机APP越界获取个人信息已经成为网络诈骗的主要源头之一,由此引发了社会各界对于手机应用越权获取用户隐私权限现状的声讨。 报告显示,高达96.6%的Android应用会获取用户手机隐私权,而iOS应用的这一数据也高达69.3%。用户更需警惕的是,25.3%的Android应用存在越界获取用户手机隐私权限的情况。越界获取隐私权限,是指手机应用在自身功能不必要的情况下获取用户隐私权限的行为。 手机应用越界获取用户隐私权限会带来巨大的安全风险隐患,如隐私信息被窃取、用户信息被用于网络诈骗、造成经济损失、手机卡顿现象严重等。例如,手机APP随意访问联系人、短信、记事本等应用,可以查看到用户的银行卡账号密码等信息,容易造成用户手机话费被暗扣和银行支付账号被盗。用户存在手机里的隐私资料、照片被

网络信息安全基础知识培训学习

主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识包括哪些基本内容 (一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀

3、及时安装系统补丁 4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂 8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级 4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法

中国电信信息安全责任书范文

信息安全责任书 作为中国电信用户,保证遵守以下各项规定: 第一条遵守国家有关法律、行政法规和管理规章,严格执行信息安全管理规定。 第二条建立有效的信息安全管理制度和技术保障措施,建立完善的内容管理审核制度,定期组织自查自纠,及时处理各种隐患。落实信息安全责任制,加强从事信息管理人员的教育检查工作,并接受相关业务主管部门的管理、监督和检查。 第三条不利用中国电信移动通信网、互联网或相关业务平台从事危害国家安全、泄露国家机密等违法犯罪活动,不利用中国电信移动通信网、互联网或相关业务平台制作、查阅、复制和传播违反宪法和法律、妨碍社会治安、破坏国家统一、破坏民族团结、色情、暴力等的信息,不利用中国电信移动通信网、互联网或相关业务平台发布任何含有下列内容之一的信息: (一)反对宪法所确定的基本原则的; (二)危害国家安全,泄露国家机密,颠覆国家政权,破坏国家统一的; (三)损害国家荣誉和利益的; (四)煽动民族仇恨、民族歧视,破坏民族团结的; (五)破坏国家宗教政策,宣扬邪教和封建迷信的; (六)散布谣言,扰乱社会秩序,破坏社会稳定的;

(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; (八)侮辱或者诽谤他人,侵害他人合法权益的; (九)含有法律、行政法规禁止的其他内容的。 发现上述违法活动和有害信息的,应立即采取措施制止并及时向有关主管部门报告。 第四条服务器上开设的网站,在开通联网前必须履行备案手续,先备案后接入,未履行备案手续、未获得备案号的网站必须关闭。网站开通论坛必须履行前置审批手续,若未履行前置审批、未获得备案号必须关闭论坛。 承诺声明,将严格履行相关规定,若因违反以上规定,根据相关法规承担全部责任,中国电信丽江分公司有权单方面断网。 责任单位(签章): 责任人(签字) 年月日

2020-2024年中国信息安全产业深度分析及产业投资战略研究报告

2020-2024年中国信息安全产业深度分析及产业投资战略研究报告[交付形式]: e-mali电子版或特快专递 https://www.360docs.net/doc/0016878693.html,/ 第一章信息安全相关概述及分类 1.1信息安全概述 1.1.1信息安全的定义 1.1.2信息安全发展历程 1.1.3信息安全产业链分析 1.2信息安全的分类 1.2.1客户维度 1.2.2产品维度 1.2.3价值链维度 第二章2018-2020年信息安全行业发展环境分析 2.1经济环境 2.1.1宏观经济概况 2.1.2对外经济分析 2.1.3固定资产投资 2.1.4数字化发展水平 2.1.5软件业运行情况 2.1.6转型升级态势 2.1.7宏观经济展望 2.2政策环境 2.2.1个人信息安全保护政策 2.2.2法律明确保障个人信息 2.2.3个人信息保护政策动态 2.2.4信息安全相关政策分析 2.2.5信息安全等级保护要求 2.2.6网络安全保障政策动态 2.3社会环境

2.3.1社会消费规模 2.3.2居民收入水平 2.3.3居民消费水平 2.3.4消费市场特征 2.4技术环境 2.4.1知识专利研发水平 2.4.2信息系统安全技术 2.4.3信息数据安全技术 第三章2018-2020年全球信息安全行业发展分析3.1全球信息安全行业发展态势 3.1.1信息安全事件回顾 3.1.2网络空间战略布局 3.1.3网络安全市场规模 3.1.4网络安全交易规模 3.1.5信息安全问题升级 3.1.6信息安全发展策略 3.1.7信息安全行业趋势 3.2美国 3.2.1信息安全保密法规 3.2.2信息安全投资趋势 3.2.3信息安全管理策略 3.2.4网络安全战略规划 3.3欧盟 3.3.1信息安全保密法规 3.3.2信息安全管理策略 3.3.3信息安全战略规划 3.4日本 3.4.1信息安全保密法规 3.4.2网络安全官民合作 3.4.3信息安全国际合作 3.4.4网络安全发展战略 3.5俄罗斯 3.5.1信息安全保密法规 3.5.2信息安全市场规模 3.5.3信息安全发展措施 3.5.4信息安全行业趋势 3.6其他国家 3.6.1加拿大 3.6.2新加坡 3.6.3澳大利亚 第四章2018-2020年中国信息安全行业发展分析4.1中国信息安全产业发展特点分析 4.1.1产业发展渐趋成熟 4.1.2市场发展热度上升

网络信息安全基础知识培训

网络信息安全基础知识培训主要内容 网络信息安全知识包括哪些内容 培养良好的上网习惯 如何防范电脑病毒 如何安装杀毒软件 如何防范邮件病毒 如何防止QQ密码被盗 如何清除浏览器中的不明网址 各单位二级站点的安全管理 如何提高操作系统的安全性 基本网络故障排查 网络信息安全知识包括哪些基本内容

(一)网络安全概述 (二)网络安全协议基础 (三)网络安全编程基础 (四)网络扫描与网络监听 (五)网络入侵 (六)密码学与信息加密 (七)防火墙与入侵检测 (八)网络安全方案设计 (九)安全审计与日志分析 培养良好的上网习惯 1、安装杀毒软件 2、要对安装的杀毒软件进行定期的升级和查杀3、及时安装系统补丁

4、最好下网并关机 5、尽量少使用BT下载,同时下载项目不要太多 6、不要频繁下载安装免费的新软件 7、玩游戏时,不要使用外挂 8、不要使用黑客软件 9、一旦出现了网络故障,首先从自身查起,扫描本机 如何防范电脑病毒 (一)杜绝传染渠道 病毒的传染主要的两种方式:一是网络,二是软盘与光盘 建议: 1、不使用盗版或来历不明的软件,建议不要使用盗版的杀毒软件 2、写保护所有系统盘,绝不把用户数据写到系统盘上 3、安装真正有效的防毒软件,并经常进行升级

4、对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用 5、尽量不要使用软盘启动计算机 6、一定要将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份,防患于未然 7、随时注意计算机的各种异常现象 8、对于软盘、光盘传染的病毒,预防的方法就是不要随便打开程序或安装软件、可以先复制到硬盘上,接着用杀毒软件检查一遍,再执行安装或打开命令 9、在使用聊天工具(如QQ、MSN)时,对于一些来历不明的连接不要随意点击;来历不明的文件不要轻易接收 (二)平时的积极预防,定期的查毒,杀毒 (三)发现病毒之后的解决办法 1、在解毒之前,要先备份重要的数据文件

中国信息安全测评中心授权培训机构申请书

中国信息安全测评中心 授权培训机构申请书 申请单位(公章): 填表日期: ?版权2020—中国信息安全测评中心 2020年2月

中国信息安全测评中心(CNITSEC) 授权培训机构资质申请书 目录 一、申请单位基本情况 (5) 二、申请单位概况 (6) 三、申请单位资产运营情况 (7) 四、申请单位人员情况 (9) 五、培训场所及设备设施情况 (14) 六、质量保证 (16) 七、信息安全及相关培训情况 (18) 八、信息安全培训宣传推广 (19)

填表须知 用户在正式填写本申请书前,须认真阅读并理解以下内容:授权培训机构申请单位(以下简称:申请单位)在正式填写本申请书前,须认真阅读以下内容: 1.申请单位应仔细阅读《授权培训机构申请指南》及《授权培训机构管理办法》, 并按要求认真、如实、详细地填写本申请书。 2.申请单位应按照申请书的原有格式进行填写,所有填报项目(含表格)页面不足 时,可另加附页。 3.填写本表时要求字迹清晰,请用签字笔正楷填写或计算机输入。 4.提交申请书之前,请仔细查验申请书填写是否有误,须提供的附件以及证明材 料是否完整。 5.申请单位须提交本申请书(含附件及证明材料)纸版一份,要求盖章的地方, 必须加盖公章,同时提交一份对应的电子文档(电子文档刻盘与纸板申请书一起邮寄)。 6.本申请书要求提供的附件及证明材料须单独装订成册并编目。 7.如有疑问,请与中国信息安全测评中心联系。 中国信息安全测评中心 地址:北京市海淀区上地西路8号院1号楼 邮编:100085 电话:(010)82341571或82341576 传真:82341100 网址:https://www.360docs.net/doc/0016878693.html, 电子邮箱:zhangxy@https://www.360docs.net/doc/0016878693.html,

信息网络安全知识普及教育培训教程--信息网络保密工作和典型案例

课程名称:《信息网络保密工作和典型案例》 教师简介:邱宏荣,男,福建省保密局科技处副处长。 1 引言 20世纪中叶以来,现代信息网络技术的发展,把人类带入了一个被称作“信息化”的时代,信息社会的兴起,进一步给全球带来了信息技术飞速发展的契机;信息技术的应用,引起人们生产方式、生活方式和思想观念的巨大变化,极大地推动着人类社会的发展和人类文明的进步,把人类带入了崭新的时代;信息网络系统的建立,已逐渐成为社会各个不可或缺的基础设施。信息已成为重要的战略资源,信息化的水平已成为衡量一个国家现代化和综合国力的重要标志,争夺控制信息权已成为国际竞争的重要内容。获取、传输、存储和处理信息的能力,既体现一个国家的综合国力,也体现一个国家的安全能力。一方面,我们要坚持信息技术和信息内容可以也应当让更多的人一起共享的原则,另一方面,也要看到,在当今世界的政治斗争现实里,任何国家都在尽力地维护着各自国家的安全和利益,确保军事、政治、经济和社情等信息的安全,尽力地窃取其他国家尤其是对手国家的相关信息,发达国家更是凭借自己的技术优势来谋求获取信息优势。 令人担忧的是,工业革命时代建立起来的国家能源、交通、金融、社会服务等关键性基础设施,在“信息化”之后,愈来愈严重地依赖于以计算机网络通信技术为支撑的、庞大而脆弱的信息网络系统。信息网络和信息网络系统一旦被破坏,将直接危及公民权利和国家安全,导致灾难性的后果。 美国著名未来学家曾经预言:“谁掌握了信息,控制了网络,谁就将拥有整个世界。”美国前总统把它提高到军事层面说:“今后的时代,控制世界的国家将不是靠军事,而是信息能力走在前面的国家。”美国前陆军参谋长沙利文上将又把他看成战争的新方式:“信息时代的出现,将从根本上改变战争的进行方式。”2001年,美国联邦政府发布了《保护网络空间国家计划》。在该计划的序言里,前总统克林顿提出网络时代“既充满希望,也充斥危险”。该计划把“信息战士”和“情报机构”列为国家安全的两大威胁源泉,前者界定为“缩减美国决策空间和战略优势,制造混乱,从事目标破坏”,后者主要是收集政治、军事、经济信息。这个例子表

信息安全应急处理服务资质认证申请书-中国信息安全认证中心

申请编号: 信息安全服务资质认证 申请书 申请组织(盖章): 申请日期: 中国网络安全审查技术与认证中心

填写说明 1、本申请书适用于向中国网络安全审查技术与认证中心申报信息安全服务资质认证。 2、三级申请组织需提交申请书和自评价表(自评价表应包括公共管理自评价表一份)。 3、一、二级申请组织需提交申请书和自评价表(自评价表应包括公共管理、对应服务类别的自评价表各一份)。 4、申请书应使用A4型纸打印装订,首页及申请组织声明处加盖组织公章,并使用黑色钢笔或签字笔在相应位置签名(法人)。 5、申请书中所要求提交的证明材料,自评价表及自评价证据以电子版方式提供,不接受纸版材料。

信息安全服务资质认证申请书 1.申请信息 1.1申请类型 初次认证 级别变更1.2 资本类型 A类(不具有外资背景)B类(具有外资背景) 1.2申请类别与级别 安全集成一级二级三级 应急处理一级二级三级 风险评估一级二级三级 安全运维一级二级三级 软件安全开发一级二级三级 灾难备份与恢复(资源服务类)一级二级三级 灾难备份与恢复(技术服务类)一级二级三级 网络安全审计一级二级三级 工业控制系统安全一级二级三级 (工业控制所属行业:能源交通通信水利城建其他)1.3保持的类别和级别(级别变更或增加类别时填写) 安全集成一级二级三级 应急处理一级二级三级 风险评估一级二级三级 安全运维一级二级三级 软件安全开发一级二级三级 灾难备份与恢复(资源服务类)一级二级三级 灾难备份与恢复(技术服务类)一级二级三级 网络安全审计一级二级三级 工业控制系统安全一级二级三级 (工业控制所属行业:能源交通通信水利城建其他)2.组织基本信息(所有申请类型和级别都需填写) 申请组织全称(中文):。 申请组织全称(英文):。

电信信息安全管理制度

甘孜电信信息安全管理制度 一、信息安全管理制度 (一)、州公司各部门工作界面 1、市场拓展部:负责信息类业务整体规划、审核;负责对信息业务的整体把关;负责对外协调、公关,负责统一媒体宣传口径等工作。 2、信息化应用中心:负责制订信息安全工作管理规范,负责对州县信息安全工作的检查指导;负责信息安全管理体系相关技术平台的开发建设;负责承接省公司信息安全工作要求,负责组织开展本地的信息安全管理工作;负责本地互联网接入、合作接入及信息发布平台等本地管理的业务、平台的信息安全保障工作。 二、信息业务接入审核 (一)、与甘孜电信开展增值业务合作(包括:短信、声讯、互联网),需要进行接入审核,合作SP必须具备以下基本资质: 1、基本条件 (1)拥有信息产业部或其下属管理机构颁发的《电信增值业务经营许可证》,并确保其服务覆盖范围为其合法经营范围。 (2)具备开发增值业务应用的技术实力和运营团队,完备的售前、售中、售后服务体系和合法、可靠的资讯来源。 (3)符合中华人民共和国国务院令(第292号)《互联网信息服务管理办法》等互联网信息服务行业管理规定。 (4)工商部门批准的公司机构。

2、准入条件 (1)从事本地业务SP的注册资本金不低于100万人民币。 (2)拥有独特的业务资源或具有创新性的业务。 (3)具有完善的业务策划和商业计划。 (4)主要管理人员应具有从事电信增值业务工作两年以上的管理经验,能够深入理解增值业务合作SP管理办法,熟悉各类业务流程、营销策略制定及推广、产品管理等。 (5)符合《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际互联网保密管理规定》、《信息服务九不准》等相关管理规定。 注:凡是合作中涉及视频业务,在本办法中另行说明; 3、SP应准备的申请资料 (1)企业法人营业执照 (正副本复印件) (2)企业税务登记证(国税、地税正副本复印件) (3)增值电信业务经营许可证(复印件) (4)银行开户许可证(复印件) (5)四川电信增值业务(短信、声讯、互联星空等)项目商业合作计划书(包含如下内容) a、公司简介及团队介绍。 b、业务详细介绍:包括业务内容、业务定价、信息来源、特殊信息的版权、授权及合法性等资料;相关信息资讯来源许可证书(复印件),特别对于如新闻、音乐体育版权、心理咨询信息等经营许可

国家信息安全测评

国家信息安全测评 工业控制系统产品安全测评服务 白皮书 ?版权2014—中国信息安全测评中心 二〇一四年八月

目录 1. 目的和意义 (2) 2. 业务范围 (2) 3. 业务类型 (2) 4. 业务实施 (3)

1. 目的和意义 工业控制系统产品(以下简称工控产品)安全测评的目的是促进高质量、安全和可控的工控产品的开发,具体目的和意义包括: 1)对工控产品依据相关标准规范进行测评; 2)判定工控产品是否满足安全要求; 3)有助于在涉及国家安全的工业自动化生产领域中加强工控产品的安全性和可控性,维护国家和用户的安全利益; 4)促进国内工控产品市场优胜劣汰机制的建立和完善,规范市场。 2. 业务范围 工控产品分为控制类产品(即工业控制设备)和安全类产品(工业安全设备)。 1)控制类产品包括可编程控制器(PLC)、离散控制系统(DCS)、远程终端单元(RTU)、智能电子设备(IED)、各行业控制系统等用于生产控制的产品。 2)安全类产品包括工业防火墙、工业安全网关、工业异常监测产品、工业应用软件漏洞扫描产品等用于工业环境安全防护的产品。 3. 业务类型 工控产品安全测评类型分为标准测试、选型测试和定制测试等。 1)标准测试 依据第三方标准规范(如国家标准、测评中心测试规范等),测评工控产品的功能、性能、安全等指标,通过后颁发“工业控制系统安全技术测评证书”。 2)选型测试 根据委托方提出的测评要求对工控产品进行测试,形成选型测试报告,为委托方在产品选型采购时提供技术依据。 选型测试内容包括:功能测试、性能测试、安全测试等,具体测试项目和指标由

委托方与中心共同确认。 3)定制测试 依据委托方要求对工控产品进行测试,形成定制测试报告。 4. 业务实施 4.1 测试依据 依据标准: 1)GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》; 2)《工业防火墙安全测评准则》 3)《工业安全网关安全测评准则》 4)《工业异常监测系统安全测评准则》 5)《工业漏洞扫描产品安全测评准则》 6)…… 4.2 证据需求 根据业务内容的要求,申请方需提交的证据包括: 1)测评申请书 2)测评所需文档 3)被测产品 4.3 业务流程 测评流程分为以下四个阶段:申请阶段、预测评阶段、测评阶段和报告与证书发放阶段(如下图所示)。

相关主题
相关文档
最新文档