信息安全管理体系(ISMS)认证机构名录(CNAS2020版)

我国目前ISMS的现状及面临的问题ISMS简介：信息安全管理体系（Information Securitry Management Systems，简称ISMS）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。

它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合。

我国ISMS的发展现状：相对于欧盟比较成熟的认证体系，我国的信息安全管理体系起步较晚，但发展较快，取得了很大的进步，早在2006年3月，ISMS认证的国标化工作及其试点工作就已经进入实质阶段。

而在更早的2003年，我国《关于加强信息安全保障工作的意见》（中办发[2003]27号）中第一次全面地提出了我国的信息安全方针，即“积极防御、综合防范”，提出信息安全保障工作中要坚持“管理与技术并重”的原则。

这一文件的公布，指出了信息安全管理工作的发展方向，也推动了我国ISMS试点以及有关标准的推行和认证工作的开展。

2005年到2006年，我国先后开展了信息安全等级保护的试点工作，同时开展了信息安全风险评估的试点和推广工作，这也是为什么要研究信息安全管理标准的一个非常重要的动因，因为这两项工作，实际上都是信息安全保障的重点工作，都涉及到管理和技术，在这种情况下，ISMS试点工作应运而生。

2006年3月，国信办在组织专家研究的基础上，与有关部门和地方政府进行了协商，下达了2006年24号文件，即信息安全管理标准应用试点工作方案，正式部署了“信息安全管理标准应用（ISMS）”试点工作。

在试点工作的具体实施上，全国信息安全标准化技术委员会副主任委员、WG5组组长崔书昆教授介绍说，“当时的试点单位共7家，即北京市海淀区信息办、北京市住房公积金管理中心、上海市宝山区信息委、上海市医疗保险信息中心、福建省地税局、深圳证交所及武汉钢铁集团公司。

试点工作分为3个阶段，第一阶段是准备阶段，各单位设立试点单位，进行人员培训，并于2006年6月由国信办组织了试点准备工作情况交流会；第二阶段是实施阶段，各单位于当年6月先后启动试点工作，专家组按计划于8月进行了调研与指导；最后是总结阶段，从2006年年底一直持续到2007年1月，期间专家组根据国信办的指示与有关部门的意见，多次对验收方案、标准进行了修改、完善，制定了量化打分表，进行了试行，之后和各试点单位以及有关的主管部门一起，在各试点单位自我评估的基础上，逐一进行了验收。

2020年11月ISMS信息安全管理体系审核员考试试题（网友回忆版）[单选题]1.关于GB/T22（江南博哥）080-2016/ISO/IEC27001:2013标准，下列说法错误的是()A.标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求B.标准中所表述要求的顺序反映了这些要求要实现的顺序C.信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中D.信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性参考答案：B参考解析：引言中明确表述，标准中所表述要求的顺序不反映各要求的重要性或暗示这些要求要予以实现的顺序[单选题]5.《中华人民共和国密码法》规定了国家秘密的范围和密级，国家秘密的密级分为()。

A.普密、商密两个级别B.低级和高级两个级别C.绝密、机密、秘密三个级别D.—密、二密、三密、四密四个级别参考答案：C参考解析：《中华人民共和国保守国家秘密法》第十条，国家秘密的密级分为绝密，机密，秘密三级[单选题]6.创建和更新文件化信息时，组织应确保适当的()A.对适宜性和有效性的评审和批准B.对充分性和有效性的测量和批准C.对适宜性和充分性的测量和批准D.对适宜性和充分性的评审和批准参考答案：D参考解析：27001,7,5,2创建和更新，创建和更新文件化信息时，组织应确保适当的标识和描述；格式和介质；对适宜性和充分性的评审和批准[单选题]7.根据GB/T22080-2016/ISO/IEC27001:2013标准，以下做法不正确的是()A.保留含有敏感信息的介质的处置记录B.离职人员自主删除敏感信息的即可C.必要时采用多路线路供电D.应定期检查机房空调的有效性参考答案：B[单选题]8.下面哪一种属于网络上的被动攻击()A.消息篡改B.伪装C.拒绝服务D.流量分析参考答案：D参考解析：主动攻击会导致某些数据流的篡改和虚假数据流的产生，这类攻击分篡改，伪造消息数据和终端（拒绝服务）。

信息安全管理体系ISMS2016年6月考题2016信息安全管理体系（ISMS）审核知识试卷 2016年6月1、单选题1、密码就是一种用于保护数据保密性的密码学技术、由（）方法及相应运行过程。

A、加密算法和密钥生成B、加密算法、解密算法、密钥生成C、解密算法、密钥生成D、加密算法、解密算法2、计算机安全保护等级的第三级是（）保护等级A、用户自主B、安全标记C、系统审计D、结构化3、隐蔽信道是指允许进程以（）系统安全策略的方式传输信息的通信信道A、补强B、有益C、保护D、危害4、5、6、ISMS关键成功因素之一是用于评价信息安全A、测量B、报告C、传递D、评价7、防止恶语和移动代码是保护软件和信息的（）A、完整性B、保密性C、可用性D、以上全部8、以下强健口令的是（）A、a8mom9y5fub33B、1234C、CnasD、Password9、开发、测试和（）设施应分离、以减少未授权访问或改变运行系统的风险A、系统B、终端C、配置D、运行10、设备、（）或软件在授权之前不应带出组织场所A、手机B、文件C、信息D、以上全部11、包含储存介质的设备的所有项目应进行核查，以确保在处置之前，（）和注册软件已被删除或安全地写覆盖A、系统软件B、游戏软件C、杀毒软件D、任何敏感信息12、雇员、承包方人员和（）的安全角色和职责应按照组织的信息安全方针定义并形成文件A、第一方人员B、第二方人员C、第三方人员D、IT经理13、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包含在（）合同中。

A、雇员B、承包方人员C、第三方人员D、A+B+C14、ISMS文件的多少和详细程度取决于（）A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、A+B+C15、为确保信息资产的安全，设备、信息和软件在（）之前不应带出组织A、使用B、授权C、检查合格D、识别出薄弱环节16、对于所有拟定的纠正和预防措施，在实施前应先通过（）过程进行评审。

附录一
ISMS认证机构认证业务范围分类表
注1：以上分类考虑了组织的信息、信息载体及载体所处环境的特点，并结合了当前我国信息安全等级保护的重点领域，例如政府、税务、海关、广播电视网、通信网、金融银行、电力、铁路、民航、石油化工等。

不宜将认证业务范围等同于与ISMS认证相关的技术领域（见G.1.1）。

注2：以上风险分级主要考虑获证组织的信息安全遭受破坏时，对国家安全、社会秩序、公共利益或组织及其相关方的合法权宜可能造成的危害的严重程度，以及获证组织ISMS的有效性发生问题时，认证机构和CNAS可能承担的责任，主要是为了控制认可活动的风险，也可为认证机构分析和控制认证业务风险提供参考。

某些中类（例如每个大类的“其他”中类）的风险级别还需要随着ISMS认证认可活动的发展做进一步分析。

因此，中类的风险级别并不代表相关组织的信息安全风险水平，也不表示该类中所有组织的信息安全风险水平都相同。

（注：文件素材和资料部分来自网络，供参考。

请预览后才下载，期待你的好评与关注。

）。

2024年第二期CCAA国家注册审核员模拟试题—ISMS信息安全管理体系一、单项选择题1、国家秘密的保密期限应为:（）A、绝密不超过三十年，机密不超过二十年，秘密不超过十年B、绝密不低于三十年，机密不低于二十年，秘密不低于十年C、绝密不超过二十五年，机密不超过十五年，秘密不超过五年D、绝密不低于二十五年，机密不低于十五年，秘密不低于五年2、风险偏好是组织寻求或保留风险的（）A、行动B、计划C、意愿D、批复3、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程4、GB/T22080-2016中所指资产的价值取决于（）A、资产的价格B、资产对于业务的敏感程度C、资产的折损率D、以上全部5、关于信息安全产品的使用，以下说法正确的是:（）A、对于所有的信息系統，信息安全产品的核心技术、关鍵部件须具有我国自主知识产权B、对于三级以上信息系統，己列入信息安全产品认征目录的，应取得国家信息安全产品人证机构颁发的认证证书C、对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录D、对于四级以上信息系統，信息安全声品研制单位须声明没有故意留有或设置漏洞6、当获得的审核证据表明不能达到审核目的时，审核组长可以（）A、宣布停止受审核方的生产/服务活动B、向审核委托方和受审核方报告理由以确定适当的措施C、宣布取消末次会议D、以上都不可以7、根据《中华人民共和国国家秘密法》，国家秘密的最高密级为(）A、特密B、绝密C、机密D、秘密8、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子?（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏9、管理体系是实现组织目标的方针、（）、指南和相关资源的框架A、目标B、规程C、文件D、记录10、管理者应（）A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行11、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行()A、国家经营B、地方经营C、备案制度D、许可制度12、下列哪项对于审核报告的描述是错误的？（）A、主要内容应与末次会议的内容基本一致B、在对审核记录汇总整理和信息安全管理体系评价以后，由审核组长起草形成C、正式的审核报告由组长将报告交给认证/审核机构审核后，由委托方将报告的副本转给受审核方D、以上都不对13、以下描述不正确的是（）A、防范恶意和移动代码的目标是保护软件和信息的完整性B、纠正措施的目的是为了消除不符合的原因，防止不符合的再发生C、风险分析、风险评价、风险处理的整个过程称为风险管理D、控制措施可以降低安全事件发生的可能性，但不能降低安全事件的潜在影响14、下面哪个不是典型的软件开发模型？（）A、变换型B、渐增型C、瀑布型D、结构型15、拒绝服务攻击损害了信息系统哪一项性能（）A、完整性B、可用性C、保密性D、可靠性16、（）属于管理脆弱性的识别对象。