信息安全工程 信息系统安全工程过程共46页

信息安全等级保护管理办法(新版)Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production.( 安全管理 )单位：______________________姓名：______________________日期：______________________编号：AQ-SN-0657信息安全等级保护管理办法(新版)第一章总则第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。

第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

SSE-CMMSSE-CMM的内涵SSE-CMM为Systems security engineering Capability maturity model的缩写。

中文名称为系统安全工程能力成熟模型。

SSE-CMM是一个过程参考模型。

SSE-CMM的目的不是规定组织使用的具体过程,更不必说具体的方法。

而是希望准备使用SSE-CMM的组织利用其现有的过程——那些以其他任何信息技术安全指导文件为基础的过程。

本标准的范围包括：涉及整个生存周期的安全产品或可信系统的系统安全工程活动：概念定义、需求分析、设计、开发、集成、安装、运行、维护以及最终退役；对产品开发商、安全系统开发和集成商,以及提供计算机安全服务和计算机安全工程组织的要求；适用于从商业界到政府部门和学术界的各种类型和规模的安全工程组织。

SSE-CMM（系统安全工程能力成熟模型）简介过去人们在开发安全系统过程中往往只重视产品或系统本身的标准化问题，但却忽视了开发过程本身的标准化问题。

如何提高开发过程的能力，如何使过程本身标准化、规范化，越来越引起人们的重视。

为了改变这种状况，一个不同于以往的概念逐渐被接受，即一个系统或产品的性能取决于其过程能力［1］。

系统安全工程能力成熟模型（SSE-CMM）的构想是在1993 年4月由美国国家安全局（NSA）提出来的。

在美国国家安全局、美国国防部、加拿大通信安全局的号召和推动下，汇聚了超过60 个厂家，集中了大量的人力、物力和财力对该构想进行了开发实施，并于1996 年10 月出版了SSE-CMM模型的第一个版本，1997 年4 月出版了评定方法SSAM 的第一个版本；1999 年4 月发布了SSECMM和SSAM 的2.0 版本［2］。

SSE-CMM模型通过“过程能力”这一指标来对工程队伍的能力进行评估。

“过程能力”是通过执行这一过程，所得到的结果之质量的变化范围。

其变化的范围越小，执行该过程的队伍越“成熟”。

注册信息安全专业人员（CISP）知识体系大纲发布日期：2009年5月1日版本：1.2中国信息安全测评中心©版权2009—中国信息安全测评中心注册信息安全专业人员（CISP）知识体系大纲咨询及索取关于中国信息安全测评中心信息安全人员培训相关的文件，请与中国信息安全测评中心信息系统测评服务部接洽。

在中国信息安全测评中心网址：上可获取本文件。

版权©版权2008—中国信息安全测评中心联系信息关于中国信息安全测评中心（CNITSEC）信息安全人员培训相关的更多信息，请与中国信息安全测评中心（CNITSEC）联系：联系方式：中国信息安全测评中心信息安全测评服务部【联系地址】北京市海淀区上地西路8号院1号楼【邮政编码】100085【电话】【传真】(010)【电子邮件】目录目录.................................................................................................................. I I 图表. (IV)注册信息安全专业人员（CISP）知识体系介绍 (1)第1 章注册信息安全专业人员（CISP）知识体系概述 (2)1.1 CISP资质证书介绍 (2)1.2 CISP知识体系介绍 (2)1.2.1 概述 (2)1.2.2 CISP知识体系框架结构介绍 (4)1.2.3 CISP（CISE/CISO/CISA）考试的知识体系结构介绍 (6)第2 章知识类：信息安全体系和模型 (8)2.1 概述 (8)2.2 原理说明 (9)2.2.1 概述 (9)2.2.2 知识体：安全体系 (9)2.2.3 知识体：信息安全模型 (11)2.3 知识体系大纲 (12)2.3.1 BD（知识体）：信息安全体系 (12)2.3.2 BD（知识体）：信息安全模型 (12)第3 章知识类：信息安全技术 (14)3.1 概述 (14)3.2 原理说明 (14)3.2.1 概述 (14)3.2.2 知识体：信息安全技术机制 (15)3.2.3 知识体：信息和通信技术（ICT）安全 (16)3.2.4 知识体：信息安全实践 (17)3.3 知识体系大纲 (18)3.3.1 BD（知识体）：信息安全技术机制 (18)3.3.2 BD（知识体）：信息和通信技术（ICT）安全 (19)3.3.3 BD（知识体）：信息安全实践 (21)第4 章知识类：信息安全管理 (23)4.1 概述 (23)4.2 原理说明 (23)4.2.1 概述 (23)4.2.2 知识体：安全管理体系 (24)4.2.3 知识体：关键安全管理过程 (24)4.3 知识体系大纲 (25)4.3.1 BD（知识体）：安全管理基础 (25)4.3.2 BD（知识体）：关键安全管理过程 (26)第5 章知识类：信息安全工程 (28)5.1 概述 (28)5.2 原理说明 (28)5.2.1 概述 (28)5.2.2 知识体：安全工程基础 (29)5.2.3 知识体：安全工程过程和实践 (29)5.2.4 知识体：项目管理过程和实践 (30)5.3 知识体系大纲 (30)5.3.1 BD（知识体）：安全工程基础 (30)5.3.2 BD（知识体）：安全工程过程和实践 (30)5.3.3 BD（知识体）：项目管理过程和实践 (30)第6 章知识类：信息安全标准和法律法规 (31)6.1 概述 (31)6.2 原理说明 (31)6.3 知识体系大纲 (32)6.3.1 BD（知识体）：概述 (32)6.3.2 BD（知识体）：信息系统相关标准 (32)6.3.3 BD（知识体）：道德规范 (32)6.3.4 BD（知识体）：信息安全标准 (32)6.3.5 BD（知识体）：信息安全法律法规 (33)图表图表1-1：CISP知识体系的组件模块结构 (4)图表1-2：CISP知识体系结构框架 (6)图表2-1：信息安全体系和模型知识类（PT）的知识体系结构概述 (8)图表2-2：信息安全体系和模型知识类（PT）的知识体系结构详细描述 (9)图表2-3：知识体-安全体系原理：信息安全保障模型 (10)图表2-4：知识体：安全模型原理说明 (11)图表3-1：信息安全技术知识类（PT）的知识体系结构概述 (14)图表3-2：知识体：信息安全技术机制原理说明 (16)图表3-3：知识体：信息和通信技术（ICT）安全原理说明 (17)图表3-4：知识体：信息安全实践原理说明 (18)图表4-1：信息安全管理知识类（PT）的知识体系结构概述 (23)图表4-2：知识体：安全管理体系说明 (24)图表4-3：知识体：关键安全管理过程原理说明 (25)图表5-1：信息安全工程知识类（PT）的知识体系结构概述 (28)图表5-2：信息系统安全工程标准背景 (29)图表6-1：信息安全标准和法律法规知识类（PT）的知识体系结构概述 (31)注册信息安全专业人员（CISP）知识体系介绍注册信息安全专业人员知识体系介绍中将介绍注册信息安全专业人员（CISP）考试大纲的结构和内容。

xx有限公司记录编号005创建日期2015年8月16日信息系统安全风险评估报告文档密级更改记录时间更改内容更改人项目名称：XXX风险评估报告被评估公司单位：XXX有限公司参与评估部门：XXXX委员会一、风险评估项目概述1.1工程项目概况1.1.1建设项目基本信息风险评估版本201X年8日5日更新的资产清单及评估项目完成时间201X年8月5日项目试运行时间2015年1-6月1.2风险评估实施单位基本情况评估单位名称XXX有限公司二、风险评估活动概述2.1风险评估工作组织管理描述本次风险评估工作的组织体系（含评估人员构成）、工作原则和采取的保密措施。

2.2风险评估工作过程本次评估供耗时2天，采取抽样的的方式结合现场的评估，涉及了公司所有部门及所有的产品，已经包括了位于公司地址位置的相关产品。

1.3依据的技术标准及相关法规文件本次评估依据的法律法规条款有：序号法律、法规及其他要求名称颁布时间实施时间颁布部门全国人大常委会关于维护互联12000.12.282000.12.28全国人大常委会网安全的决定中华人民共和国计算机信息系21994.02.181994.02.18国务院第147号令统安全保护条例中华人民共和国计算机信息网31996.02.011996.02.01国务院第195号令络国际联网管理暂行规定中华人民共和国计算机软件保42001.12.202002.01.01国务院第339号令护条例中华人民共和国信息网络传播52006.05.102006.07.01国务院第468号令权保护条例中华人民共和国计算机信息网国务院信息化工作领导61998.03.061998.03.06络国际联网管理暂行规定实施小组办法计算机信息网络国际联网安全71997.12.161997.12.30公安部第33号令保护管理办法计算机信息系统安全专用产品81997.06.281997.12.12公安部第32号令检测和销售许可证管理办法9计算机病毒防治管理办法2000.03.302000.04.26公安部第51号令10恶意软件定义2007．06.272007．06.27中国互联网协会11抵制恶意软件自律公约2007．06.272007．06.27中国互联网协会计算机信息系统保密管理暂行121998.2.261998.02.26国家保密局规定计算机信息系统国际联网保密132000.01.012000.01.01国家保密局管理规定中华人民共和国工业和14软件产品管理办法2000.10.082000.10.08信息化部互联网等信息系统网络传播视152004.06.152004.10.11国家广播电影电视总局听节目管理办法16互联网电子公告服务管理规定2000.10.082000.10.08信息产业部信息系统工程监理工程师资格172003年颁布2003.03.26信息产业部管理办法信息系统工程监理单位资质管182003.03.262003.04.01信息产业部理办法19电子认证服务管理办法2009.02.042009.03.31信息产业部关于印发《国家电子信息产业基中华人民共和国信息产202008.03.042008.03.04地和产业园认定管理办法（试业部行）》的通知21计算机软件著作权登记收费项1992.03.161992.04.01机电部计算机软件登记办目和标准公室22中国互联网络域名管理办法2004.11.052004.12.20信息产业部全国人民代表大会常务委23中华人民共和国专利法2010.01.092010.02.01员24中华人民共和国技术合同法1987.06.231987.06.23国务院科学技术部25关于电子专利申请的规定2010.08.272010.10.01国家知识产权局26中华人民共和国著作权法2010.02.262010.02.26全国人大常委会中华人民共和国著作权法实施272002.08.022002.9.15国务院第359号令条例28科学技术保密规定1995.01.061995.01.06国家科委、国家保密局29互联网安全保护技术措施规定2005.12.132006.03.01公安部发布30中华人民共和国认证认可条例2003.09.032003.11.1国务院第390号令中华人民共和国保守国家秘密312010.04.292010.10.01全国人大常委会法32中华人民共和国国家安全法1993.02.221993.02.22全国人大常委会中华人民共和国商用密码管理331999.10.071999.10.07国务院第273号令条例34消防监督检查规定2009.4.302009.5.1公安部第107号中华人民共和国公安部35仓库防火安全管理规则1990.03.221994.04.10令第6号36地质灾害防治条例2003.11.242004.03.01国务院3９4号国家电力监管委员会第2 37《电力安全生产监管办法》2004.03.092004.03.09号华人民共和国主席令第二38中华人民共和国劳动法2007.06.292008.1.1十八号39失业保险条例1998.12.261999.01.22国务院40失业保险金申领发放2001.10.262001.01.01劳动和社会保障部中华人民共和国企业劳动争议411993.06.111993.08.01国务院处理条例1.4保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件，以及可能的限制条件。

信息系统代码安全测评与监理信息系统安全测评是保障信息系统安全工程质量的必要技术措施之一。

通过安全测评，检查系统的设计、集成、安全策略的整体规划和设计、安全管理的具体实施、安全监控的各种策略以及日常操作安全和安全应急响应等各个方面，降低系统的安全风险。

信息系统安全测评在监理中的作用对信息系统安全工程而言，由于其复杂度和专业化程度很高，对它的效果评价就显得尤为重要。

在这方面，北京市率先以政府令的形式提出了“投资200万元以上的重大信息化工程建设项目必须通过系统安全测评，否则不得投入使用”。

在工程验收阶段，信息系统安全测评的作用是为安全监理提供必要的信息系统安全性评价依据。

信息系统安全专业测评机构出具的安全测评报告有助于监理单位及时发现信息系统中存在的安全缺陷和安全隐患，以便监理单位及时和信息系统承建单位协调，按照系统安全目标提出整改意见，以期系统按照标准达到预期的、满足建设单位需求的和国家有关规范的安全指标。

信息安全测评标准近几年，随着人类对信息网络设施依赖程度的提高和信息安全形势的日益严峻，世界各国都在加紧出台信息安全评估标准。

目前，国外主要的信息安全标准包括：（1）美国TCSEC（可信计算机系统评估准则）：该标准是美国国防部于1985年制定的，为计算机安全产品的测评提供了测试和方法，指导信息安全产品的制造和应用。

它将安全分为4个方面（安全政策、可核查性、安全保证和文档）和7个安全级别（从低到高依次为D、C1、C2、B1、B2、B3和A级）。

（2）欧洲ITSEC（信息技术安全评估准则）：1991年，西欧四国（英、法、德、荷）提出了信息技术安全评价准则（ITSEC），ITSEC首次提出了信息安全的保密性、完整性、可用性概念，把可信计算机的概念提高到可信信息技术的高度上。

它定义了从E0级（不满足品质）到E6级（形式化验证）的7个安全等级和10种安全功能。

（3）美国联邦准则FC（信息技术安全性评价联邦准则）：1993年，美国发布了“信息技术安全性评价联邦准则”（FC）。

X市X税务X网络安全应知应会试题一、单项题1.《中华人民共和国网络安全法》施行时间（B）。

A.2016年11月7日B.2017年6月1日C.2016 年12 月31 日D.2017年1月1日2.所有网络产品、服务应当符合相关（A）的强制性要求。

A国家标准B行业标准C企业标准D法律3.“网络空间主权”是我国（A）首次提出的概念。

A.《国家安全法》B.《网络安全法》C.《宪法》D.《刑法》4.国家（B）负责统筹协调网络安全工作和相关监督管理工作。

A.公安部门B.网信部门C.工业和信息化部门D.通讯管理部门5.《网络安全法》规定，网络运营者应当制定(A),及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。

A.网络安全事件应急预案B.网络安全事件补救措施C.网络安全事件应急演练方案D.网站安全规章制度6.关键信息基础设施的运营者应当自行或者委托网络安全服务机构(B)对其网络的安全性和可能存在的风险检测评估。

A.至少半年一次B.至少一年一次C.至少两年一次D.至少每年两次7.计算机病毒是一种(A )，它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，随同文件一起蔓延。

A.计算机程序B.数据C.临时文件D.应用软件8.在网络安全领域中，我们常说的“钓鱼网站”是指（A ），它一般通过电子邮件、短信传播，不法分子通过它来窃取用户提交的银行账号、密码等私密信息，严重危害公众利益。

A.假冒网站B.钓鱼游戏网站C.病毒网站D.钓鱼论坛9.税务人员在使用移动存储介质前，（D）。

A.直接使用B.不得使用移动存储介质C.只能使用品牌的移动存储介质D.首先要对其进行病毒查杀，以避免病毒通过移动存储介质进行传播。

10.下列哪个措施是正确的（D）。

A.离开个人办公室时，终端计算机可以不锁定B.信息系统的账户和密码应妥善保存在桌面上C.领导带人参观机房不需要登记D.设备进出机房应建立台账11.以下哪种行为会造成违规外联（C）。

信息安全工程师岗位要求
信息安全工程师是负责企业或组织的信息系统和数据安全的专业人员。

随着互联网的普及和信息化进程的加快，信息安全问题成为企业发展过程
中最关键和最重要的问题之一、在这样的背景下，信息安全工程师的岗位
也日益受到重视。

以下是信息安全工程师岗位的主要要求。

1.学历和专业背景要求：
2.基本技能和知识要求：
信息安全工程师需要具备扎实的计算机基础知识和编程技能，熟悉各
类操作系统、网络协议和网络安全技术。

对于信息安全常见的攻击手段和
防御策略有深入的理解和应用能力。

同时，了解数据库、网站和系统安全
策略和安全加固方法。

3.安全技术和工具的掌握：
信息安全工程师需要熟练掌握各种常用的安全技术和工具，包括但不
限于防火墙、入侵检测和防御系统、安全审计和监控系统、加密和解密技术、安全认证和访问控制技术等。

能够根据企业或组织的实际情况选择和
应用适当的安全技术和工具。

4.漏洞分析和漏洞利用的能力：
5.安全策略的制定和执行：
6.监控和应急响应能力：
7.团队合作和沟通能力：
8.持续学习和不断更新知识：
信息安全领域的技术和攻击手段在不断发展和更新，信息安全工程师需要具备持续学习的意识和能力，保持对新技术和新方法的学习和掌握，不断提升自己的技术水平和知识储备。

总之，信息安全工程师需要具备广泛的基础知识和技能，同时还需要具备较高的安全意识和责任感，能够保护企业或组织的信息系统和数据安全。

这是一个重要而挑战性的岗位，需要持续学习和不断提升自己的能力来适应和应对不断变化的安全威胁。

铁路建设项目管理信息系统V2.0 Railway Construction Project Management Information System实施指导手册之五投资管理铁道部信息技术中心2007年3月目录第一章理论概述在批准的投资限额内完成工程项目建设是工程项目管理的目标之一。

所谓投资管理，就是采用科学的方法，在与质量、进度、安全、环保目标协调的基础上，为保证工程建设顺利实施和提高投资效益、资金使用效率，确保实现投资目标而进行的一系列管理活动。

投资管理的主要内容是确定投资目标、进行项目投资的计划管理、统计管理和概算对照等。

计划管理的功能是依据上级下达的投资计划和工程的进度要求，合理安排工程进度和投资计划，综合平衡各种资源配置，以保证建设项目总体目标和阶段目标的实现。

支持建设单位进行计划的编报、下达、调整和对执行情况进行检查、监督和考核。

统计管理的功能是按照铁道部的现行规定和项目的实际情况，支持建设单位规范、及时、准确地进行项目投资方面的统计工作。

包括规范项目的统计范围、指标体系、统计口径和计算方法，及时、准确地统计、分析和反映建设规模、投资结构、工程进展、投资效果等方面的情况和问题。

充分发挥投资管理在工程项目建设中的支持和监督作用。

概算对照的功能是为建设单位提供招标概算、鉴修概算与合同进行收支分析，支持建设单位及时把握验工计价及支付情况、掌握资金流动和投资控制情况。

投资管理的依据是：（1）国家和相关部委颁布的有关建设、投资、财务、计划、统计和审计等方面的法律、法规和相关规定。

（2）建设项目的总体目标和阶段目标，上级下达的项目投资总额、年度投资计划，以及工程进度计划等。

（3）铁道部和地方政府、项目投资人和建设单位及其上级单位的报表需求。

第二章系统介绍2.1 系统设计原理（1）工程建设投资计划管理工作应遵循“统筹安排，静态控制，动态管理，各负其责”的原则，对计划的编报、下达、调整和对执行情况进行检查监督和考核。