第十期 《我国信息安全技术标准体系与认证认可制度介绍》

信息安全管理及相关标准简介一、社会发展对信息资源的依赖程度人类正进入信息化社会，社会发展对信息资源的依赖程度越来越大，从人们日常生活、组织运作到国家管理，信息资源都是不可或缺的重要资源，没有各种信息的支持，现代社会将不能生存和发展。

在信息社会中，一方面信息已成为人类重要资产，在政治、经济、军事、教育、科技、生活等方面发挥着重要作用，另一方面计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。

由于信息具有易传播、易扩散、易毁损的特点，信息资产的比传统的实物资产更加脆弱，更容易受到损害，使组织在业务运作过程中面临大量的风险。

其风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节，以及大量存在于组织内、外的各种威胁,因此对信息系统需要加以严格管理和妥善保护。

信息可以理解为消息、情报、数据或知识，它可以以多种形式存在，可以是组织中信息设施中存储与处理的数据、程序，可以是打印出来的或写出来的论文、电子邮件、设计图纸、业务方案，也可以显示在胶片上或表达在会话中消息。

所有的组织都有他们各自处理信息的形式，例如，银行、保险和信用卡公司都需要处理消费者信息，卫生保健部门需要管理病人信息，政府管理部门存储机密的和分类信息。

无论组织对这些信息采用什么样的共享、处理和存储方式，都需要对敏感信息加以安全、妥善的保护，不仅要保证信息处理和传输过程是可靠的、有效的，而且要求重要的敏感信息是机密的、完整的和真实的。

为达到这样的目标，组织必须采取一系列适当的信息安全控制措施才可以使信息避免一系列威胁，保障业务的连续性，最大限度地减少业务的损失，最大限度地获取投资回报。

在ISO27002中，对信息的定义更确切、具体：“信息是一种资产，像其他重要的业务资产一样，对组织具有价值，因此需要妥善保护”。

通过风险评估与控制，不但能确保企业持续营运，还能减少企业在面对类似‘911事件’之时出现的危机。

二、信息安全的内容网络技术的发展加速了信息的传输和处理,缩短了人们之间的时空距离,方便了交流；同时对信息安全提出了新的挑战。

2013年公需课《信息化建设与信息安全》的一次在线考核（93分，仅错11题）1、（）是指信息不泄露给非授权用户，即使非授权用户获得保密信息也无法知晓信息的内容。

（5分）5分∙A. 保密性∙B. 完整性∙C. 可用性∙D. 不可否认性∙E. 可控性本题解答：正确答案：A暂无解析!查看本题解析2、2011年12月30日，国务院办公厅公布的三网融合第二阶段试点城市有（）个。

（5分）5分∙A. 30∙B. 20∙C. 42∙D. 50本题解答：正确答案：C暂无解析!查看本题解析3、以下是“智慧城市”示范工程的是（）。

（5分）5分∙A. 上海世博园∙B. 无锡“感知中国”中心∙C. 杭州图书馆新馆∙D. 以上都是本题解答：正确答案：D暂无解析!查看本题解析4、二维码技术属于物联网的技术体系框架中的哪一层次：（）。

（5分）5分∙A. 感知∙B. 传输∙C. 支撑∙D. 应用本题解答：正确答案：A暂无解析!查看本题解析5、云计算的层次服务不包括以下哪一项：（）。

（5分）5分∙A. HaaS(Hardware-as-a-Service)：硬件即服务∙B. SaaS (Software-as-a-Service)：软件即服务∙C. PaaS(Platform-as-a-Service)：平台即服务∙D. IaaS(Infrastructure-as-a-Service)：基础设施即服务。

本题解答：正确答案：A暂无解析!查看本题解析6、下列关于信息安全产品的统一认证制度说法正确的是：（）。

（5分）5分∙A. 我国对于重要的安全信息产品实行强制性认证，所有产品都必须认证合格才能出厂，进口，销售和使用∙B. 根据产品的安全性和应用的领域，统一认证制度分为强制性认证和自愿性认证两种认证方式∙C. 认证机构，认可技术委员会，国家信息安全产品认证管理委员会组成了我国的信息安全产品认证认可体系∙D. 目前我国承担信息安全产品强制性认证工作的认证机构有中国信息安全认证中心等机构本题解答：正确答案：B暂无解析!查看本题解析7、信息资源集成化管理的基础是（）。

计算机信息⽹络安全员培训试题8计算机信息⽹络安全员培训试题8在实现信息安全的⽬标中，信息安全技术和管理之间的关系以下哪种说法不正确？1>产品和技术，要通过管理的组织职能才能发挥最好的作⽤2>技术不⾼但管理良好的系统远⽐技术⾼但管理混乱的系统安全3>信息安全技术可以解决所有信息安全问题，管理⽆关紧要4>实现信息安全是⼀个管理的过程，⽽并⾮仅仅是⼀个技术的过程Cid=19 gid=69在实现信息安全的⽬标中，以下哪⼀项措施值得我们推⼴1>管理层明显的⽀持和承诺2>有效地向所有管理⼈员和员⼯推⾏安全措施3>为全体员⼯提供适当的信息安全培训和教育4>⼀整套⽤于评估信息安全管理能⼒和反馈建议的测量系统5>以上答案都是Eid=20 gid=70以下哪个标准是信息安全管理国际标准？1>ISO9000-20002>SSE-CMM3>ISO177994>ISO15408Cid=21 gid=71ISO17799是由以下哪个标准转化⽽来的？1>BS7799-12>BS7799-23>SSE-CMM4>橘⽪书Aid=22 gid=72我们经常说的CC指的是以下哪⼀个标准1>TCSEC2>SSE-CMM3>ISO177994>ISO15408Did=23 gid=73信息安全管理体系中的“管理”是指1>⾏政管理2>对信息、⽹络、软硬件等物的管理3>管辖4>通过计划、组织、领导、控制等环节来协调⼈⼒、物⼒、财⼒等资源，以期有效达到组织信息安全⽬标的活动Did=24 gid=74信息安全管理体系是指1>实现信息安全管理的⼀套计算机软件2>实现信息安全管理的⼀套组织结构3>建⽴信息安全⽅针和⽬标并实现这些⽬标的⼀组相互关联相互作⽤的要素4>实现信息安全管理的⾏政体系Cid=25 gid=75信息安全管理体系中要素通常包括1>信息安全的组织机构2>信息安全⽅针和策略3>⼈⼒、物⼒、财⼒等相应资源4>各种活动和过程5>以上都是Eid=26 gid=76信息安全⽅针是⼀个组织实现信息安全的⽬标和⽅向，它应该1>由组织的最⾼领导层制定并发布2>定期进⾏评审和修订3>贯彻到组织的每⼀个员⼯4>以上各项都是Did=27 gid=77确定信息安全管理体系的范围是建设ISMS的⼀个重要环节，它可以根据什么1>组织结构如部门2>所在地域3>信息资产的特点4>以上各项都是Did=28 gid=78信息安全风险评估应该1>只需要实施⼀次就可以2>根据变化了的情况定期或不定期的适时地进⾏3>不需要形成⽂件化评估结果报告4>仅对⽹络做定期的扫描就⾏Bid=29 gid=79信息安全风险管理应该1>将所有的信息安全风险都消除2>在风险评估之前实施3>基于可接受的成本采取相应的⽅法和措施4>以上说法都不对Cid=30 gid=80选择信息安全控制措施应该1>建⽴在风险评估的结果之上2>针对每⼀种风险，控制措施并⾮唯⼀3>反映组织风险管理战略4>以上各项都对Did=31 gid=81关于PDCA循环，以下哪⼀种说法不正确1>PDCA循环是计划－实施－检查－改进的⼀次性活动2>PDCA循环是按计划－实施－检查－改进的顺序进⾏，靠组织的⼒量推动的周⽽复始、不断循环的活动3>组织中的每个部分，甚⾄个⼈，均可运⾏PDCA循环，⼤环套⼩环，⼀层⼀层地解决问题4>每进⾏⼀次PDCA 循环，都要进⾏总结，提出新⽬标，再进⾏第⼆次PDCAAid=32 gid=82过程是指1>⼀组将输⼊转化为输出的相互关联或相互作⽤的活动2>⼀个从起点到终点的时间段3>⼀组有始有终的活动4>⼀组从开始到结束的相互关联相互作⽤的活动Aid=33 gid=83如果把组织实现信息安全⽬标的活动看作是⼀个过程，那么这个过程的输⼊和输出分别是1>信息安全解决⽅案和信息安全项⽬验收2>信息安全要求和信息安全要求的实现3>信息安全产品和解决信息安全事件4>信息不安全和信息安全Bid=34 gid=84关于实现信息安全过程的描述，以下哪⼀项论述不正确1>信息安全的实现是⼀个⼤的过程，其中包含许多⼩的可细分过程2>组织应该是别信息安全实现中的每⼀个过程3>对每⼀个分解后的信息安全的过程实施监控和测量4>信息安全的实现是⼀个技术的过程Did=35 gid=85以下哪⼀项是过程⽅法中的要考虑的主要因素1>责任⼈、资源、记录、测量和改进2>时间、财务、记录、改进3>责任⼈、时间、物资、记录4>资源、⼈、时间、测量和改进Aid=36 gid=86建⽴和实施信息安全管理体系的重要原则是1>领导重视2>全员参与3>⽂档化4>持续改进5>以上各项都是Eid=37 gid=87组织在建⽴和实施信息安全管理体系的过程中，领导重视可以1>指明⽅向和⽬标2>提供组织保障3>提供资源保障4>为贯彻信息安全措施提供权威5>以上各项都是Eid=38 gid=88关于全员参与原则的理解，以下哪⼀项说法不确切1>信息安全并⾮仅仅是IT部门的事2>每⼀个员⼯都应该明⽩，时时处处都存在信息不安全的隐患3>每⼀个员⼯都应该参与所有的信息安全⼯作4>每⼀个员⼯都应该明确⾃⼰肩负的信息安全责任Cid=39 gid=89组织在建⽴和实施信息安全管理体系的过程中，⽂档化形成的⽂件的主要作⽤是1>有章可循，有据可查2>⽤于存档3>便于总结、汇报4>便于检查⼯作Aid=40 gid=90信息安全的持续改进应该考虑1>分析和评价现状，识别改进区域2>确定改进⽬标3>选择解决办法4>实施并测量⽬标是否实现5>以上都包括Eid=41 gid=91你认为建⽴信息安全管理体系时，⾸先因该1>风险评估2>建⽴信息安全⽅针和⽬标3>风险管理4>制定安全策略Bid=42 gid=92我国对信息安全产品实⾏销售许可证管理制度，以下哪个部门具体负责销售许可证的审批颁发⼯作1>中国信息安全产品测评认证中⼼2>公安部公共信息⽹络安全监察局3>信息安全产业商会4>互联⽹安全协会Bid=43 gid=93⽬前我国提供信息安全从业⼈员资质-CISP认证考试的组织是1>中国信息安全产品测评认证中⼼2>公安部公共信息⽹络安全监察局3>信息安全产业商会4>互联⽹安全协会Aid=44 gid=94⽬前我国提供信息安全产品检测、认证的组织包括1>中国信息安全产品测评认证中⼼2>公安部第三研究所3>解放军信息安全产品测评认证中⼼4>国家保密局5>以上都是Eid=45 gid=95⽬前我国颁布实施的信息安全相关标准中，以下哪⼀个标准属于强制执⾏的标准1>GB/T 18336-2001 信息技术安全性评估准则2>GB 17859-1999 计算机信息系统安全保护等级划分准则3>GB/T 9387.2-1995 信息处理系统开放系统互联安全体系结构4>GA/T 391-2002 计算机信息系统安全等级保护管理要求Bid=46 gid=96我国信息安全标准化组织是1>互联⽹安全协会2>计算机安全学会3>信息安全标准化委员会4>信息安全专业委员会Cid=47 gid=97CERT是计算机紧急响应⼩组的英⽂缩写，世界各国⼤都有⾃⼰CERT，我国的CERT是1>互联⽹安全协会2>国家计算机⽹络与信息安全管理中⼼3>公安部公共信息⽹络安全监察局4>中国信息安全产品测评认证中⼼Bid=48 gid=98我国规定商⽤密码产品的研发、制造、销售和使⽤采取专控管理，必须经过审批，所依据的是1>商⽤密码管理条例2>中华⼈民共和国计算机信息系统安全保护条例3>计算机信息系统国际联⽹保密管理规定4>中华⼈民共和国保密法Aid=49 gid=99“物理隔离”这⼀项控制措施依据的是以下哪⼀个法规1>商⽤密码管理条例2>中华⼈民共和国计算机信息系统安全保护条例3>计算机信息系统国际联⽹保密管理规定4>中华⼈民共和国保密法Cid=50 gid=100发⽣⿊客⾮法⼊侵和攻击事件后，应及时向哪⼀个部门报案1>公安部公共信息⽹络安全监察局及其各地相应部门2>国家计算机⽹络与信息安全管理中⼼3>互联⽹安全协会4>信息安全产业商会Aid=3 title="第三章⼩测验" qtotal=49 ask=20 pass=14 id=1 gid=101我国的信息安全⾏政法律体系有那⼏部分组成？1>法律2>⾏政法规和部门规章3>法律、⾏政法规和部门规章Cid=2 gid=102法律是由那个部门通过的？1>⼈民代表⼤会2>国务院3>政府部门Aid=3 gid=103⾏政法规(条例)是由那个部门通过的？1>⼈民代表⼤会2>国务院3>政府部门Bid=4 gid=104部门规章是由那个部门通过的？1>⼈民代表⼤会2>国务院3>政府部门Cid=5 gid=105以下那部分没有直接描述信息安全？1>法律2>⾏政法规3>部门规章Aid=6 gid=106我国《刑法》中第⼏条规定了“⾮法侵⼊计算机信息系统罪”1>第⼆百⼋⼗五条2>第⼆百⼋⼗六条3>第⼆百⼋⼗七条Aid=7 gid=107我国《刑法》中第⼏条规定了“破坏计算机信息系统罪”1>第⼆百⼋⼗五条2>第⼆百⼋⼗六条3>第⼆百⼋⼗七条Bid=8 gid=108我国《刑法》中规定的“⾮法侵⼊计算机信息系统罪”是指1>侵⼊国家事务、国防建设、尖端技术领域的计算机信息系统，没有破坏⾏为。

第十期《我国信息安全技术标准体系与认证认可制度介绍》一. 什么是信息安全技术标准体系？为了规范信息系统建设、资源保护、管理、服务等信息安全各方面的建设,使信息安全在各个方面都有据可依，信息安全标准的制定显得十分重要，国际国内都形成了具有一定规模的信息安全标准体系.信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体，是编制信息安全标准编制、修订计划的重要依据,是促进信息安全领域内的标准组成趋向科学合理化的手段.信息安全技术领域有国际标准体系、国家标准体系、行业标准体系和地方标准体系等，而且通常高层次的标准体系对下有约束力。

事实上,在这些特定领域标准的执行还要看各个国家的管理法规和制度。

国际信息安全标准体系主要由信息系统安全的一般要求、开发安全技术和机制、开发安全指南和安全管理支撑性文件和标准等几部分组成。

二。

国内外信息安全标准化组织有哪些？国际上与信息安全标准化有关的组织主要有以下四个.1.ISO/IEC JTC1（信息技术标准化委员会）所属SC27（安全技术分委员会）的前身是SC20（数据加密技术分委员会），主要从事信息技术安全的一般方法和技术的标准化工作。

ISO/TC68负责银行业务应用范围内有关信息安全标准的制定，主要制定行业应用标准，与SC27有着密切的联系。

ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面。

2。

lEC在信息安全标准化方面除了与ISO联合成立了JTC1下的分委员会外,还在电信、信息技术和电磁兼容等方面成立了技术委员会，如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通信技术电子设备的安全等,并且制定相关国际标准。

3.ITU SG17组负责研究网络安全标准，包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务等.4。

IETF(Internet工程任务组）制定标准的具体工作由各个工作组承担。

信息安全产品实施政府采购的相关政策要求目录1. 相关政策文件及通知 (2)1.1 福建省财政厅通知： (2)1.2 （财库〔2010〕48号）主要内容： (2)1.3 《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）文件重点内容： (3)2. 信息安全等级保护法规： (3)3. 防火墙产品ISCCC认证级别与等级保护要求对比： (4)3.1 信息安全等级保护技术要求： (4)3.2 防火墙ISCCC认证技术要求： (5)3.3 技术要求对比结论 (6)4. 经常接触产品的ISCCC认证情况： (7)5. 目前获得ISCCC认证的产品名录： (14)1. 相关政策文件及通知1.1 福建省财政厅通知：省直各单位，各设区市财政局、信息产业主管部门、质监局：根据《中华人民共和国政府采购法》，为进一步贯彻落实质检总局、财政部、认监委《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）要求，规范政府采购信息安全产品行为，现将《财政部、工业和信息化部、质检总局、认监委关于信息安全产品实施政府采购的通知》（财库〔2010〕48号）转发给你们，请认真遵照执行。

二0一0年五月十九日1.2 （财库〔2010〕48号）主要内容：一、各级国家机关、事业单位和团体组织(以下统称采购人)使用财政性资金采购信息安全产品的，应当采购经国家认证的信息安全产品。

二、在政府采购活动中，采购人或其委托的采购代理机构按照政府采购法的规定一在政府采购招标文件(包括谈判文件、询价文件)中应当载明对产品获得信息安全认证的要求，并要求产品供应商提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书。

三、对采购人或其委托的采购代理机构未按上述要求采购的，有关部门要按照有关法律、法规和规章予以处理，财政部门视情况可以拒付采购资金。

1.3 《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）文件重点内容：根据《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）规定，在政府采购法规定范围内实行强行认证，未获得强制性认证证书和未加施中国强制性认证标志的，不得进入政府采购领域。

中国信息安全认证中心中国信息安全认证中心（China Information Security Certification Center，简称“CISCC”）是中国专门从事信息安全认证和相关技术服务的国家级机构。

成立于1998年，是经中华人民共和国认证认可监管部门批准设立的、具有独立法人资格的非营利性社会组织，隶属于国家利益的领域。

其宗旨是保护信息安全，提高信息安全水平，促进经济社会的可持续发展。

一、机构架构CISCC主要由认证与评估部、密码与安全技术部、科学技术研究部、信息安全应急联动中心、证书管理中心等五个部门构成。

其中认证与评估部是其核心部门，承担着对各类信息系统的安全认证、安全评估等任务。

二、业务范围1. 认证服务CISCC在信息安全认证方面具有多年的经验和技术积累，拥有国际领先的信息安全认证服务。

其认证业务主要包括以下几个方面：1.1. 信息系统安全等级保护评估认证信息系统安全等级保护是国家强制性的安全保护措施之一，对于各类重要信息系统的安全防护来说至关重要。

CISCC 的信息系统安全等级保护评估认证业务主要包括：（1）信息系统安全等级评估认证；（2）信息系统安全防护产品安全等级评估认证；（3）信息安全等级保护培训和咨询。

1.2. 信息安全管理体系认证信息安全管理体系认证是指在信息系统运行过程中，采用相关管理规范和标准，建立管理制度来保护信息资产的活动。

CISCC的信息安全管理体系认证业务主要包括：（1）ISO 27001信息安全管理体系认证；（2）GB/T 22080信息安全管理体系认证；（3）CISCC信息安全管理体系认证。

1.3. 其他信息安全认证CISCC的认证业务还包括其他信息安全认证项目，如：密码技术安全认证、市场网络安全评估、云计算安全认证等。

2. 技术服务CISCC的技术服务主要包括区块链技术、密码技术、信息安全应急服务等。

其技术服务专家团队由具有多年从业经验的专业技术人员组成，服务范围包括政府部门、企业、金融机构、电子政务和社会公益组织等。

C N I T S E C 信息化社会开放、互联网的本质属性以及经济全球化的发展趋势，也不适应当前我国信息产业的输出能力和水平。

因此在关键领域实现“自主可控”既是一个长远的战略考虑，也是规避信息安全风险、确保我国信息安全现实而有效的手段。

当然，“自主制造”也不等于“自主可控”。

我们要对各类信息技术产品的风险和隐患、漏洞和问题都要做到“心中有底、手中有招、控制有效”，不论是自主研制的，还是大量使用的国外软硬件产品。

自主创新的探索与实践中国信息安全测评中心（以下简称国家测评中心）肩负着信息安全漏洞分析和风险评估的国家职责，在探索实现自主可控、维护国家信息安全方面一直进行着不懈的探索与努力。

2009年10月，中国国家漏洞库正式投入运行，信息安全产品自主原创证明工作正式启动。

国家测评中心依靠十多年工作的积累和国家专项资金的支持，通过建立漏洞收集、分析、通报和面向应用的工作机制，极大地提高了国家应对信息安全威胁的能力和管控风险的水平。

同时，依托国家漏洞库的数据资料和软件源代码等方面的独特优势，同期开展信息安全产品“自主原创证 息技术和互联网技术的飞速发展，给人们的生产生活带来了翻天覆地的变化和便利，同时也带来了一系列信息安全问题，而且这个问题目前已远远突破了计算机安全的疆域，上升和演变为国家安全的问题。

要保障国家安全就要保障信息安全，要保障信息安全就要做到自主创新，有自己的原创技术产品；对外来的产品做到自主可控。

令人欣喜的是，近年来我国已出现了这样一批信息安全企业和部门，他们以国家安全利益为己任，在信息安全自主创新的道路上积极探索，研发了一批有自主知识产权的安全技术产品，摸索了一些行之有效的方法，得到了国家有关部门的肯定。

信息安全形势严峻我国信息化建设发展速度很快，但整体水平还不高，面临的信息安全问题也比较复杂。

这里面，一方面有全球化的共性问题，诸如：系统漏洞、网络窃密、网络攻击、恶意代码、垃圾邮件、虚假有害信息和网络违法犯罪等；另一方面是由于我国在操作系统、核心芯片、大型专用软件、数据库、高端路由器等领域严重依赖国外产品。