16 信息安全管理

1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说，三分技术，七分管理，可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统，而不是人【答案】D4. 企业按照ＩＳＯ２７００１标准建立信息安全管理体系的过程中，对关键成功因素的描述不正确的是A. 不需要全体员工的参入，只要ＩＴ部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准，并遵照执行【答案】A5. 信息安全管理体系（ISMS）是一个怎样的体系，以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的，应该解决所有的信息安全问题【答案】D6. PDCA特征的描述不正确的是A. 顺序进行，周而复始，发现问题，分析问题，然后是解决问题B. 大环套小环，安全目标的达成都是分解成多个小目标，一层层地解决问题C.阶梯式上升，每次循环都要进行总结，巩固成绩，改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】D8. ISO27001认证项目一般有哪几个阶段？A. 管理评估，技术评估，操作流程评估B. 确定范围和安全方针，风险评估，风险控制（文件编写），体系运行，认证C.产品方案需求分析，解决方案提供，实施解决方案D. 基础培训，RA培训，文件编写培训，内部审核培训【答案】B9. 构成风险的关键因素有哪些？A. 人，财，物B. 技术，管理和操作C.资产，威胁和弱点D. 资产，可能性和严重性【答案】C10. 以下哪些不是应该识别的信息资产？A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】C11. 以下哪些是可能存在的威胁因素？BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】B12. 以下哪些不是可能存在的弱点问题？A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】C13. 风险评估的过程中，首先要识别信息资产，资产识别时，以下哪个不是需要遵循的原则？A. 只识别与业务及信息系统有关的信息资产，分类识别B.所有公司资产都要识别C. 可以从业务流程出发，识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】B14. 风险分析的目的是？A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡；B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡；C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡；D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡；【答案】C15. 对于信息安全风险的描述不正确的是？A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理（Risk Management）就是以可接受的代价，识别控制减少或消除可能影响信息系统的安全风险的过程。

1、信息安全三元组是什么？1.保密性2.完整性3.可用性2、数据的保密性一般通过哪些来实现？1.网络安全协议2.网络认证服务3.数据加密服务3、确保数据完整性的技术包括哪些？1.消息源的不可抵赖2.防火墙系统3.通信安全4.入侵检测系统4、确保可用性的技术包括哪些？1.磁盘和系统的容错及备份2.可接受的登录及进程性能3.可靠的功能性的安全进程和机制5、在ISO/IEC27001中，信息安全管理的内容被概括为哪11个方面？1.信息安全方针与策略2.组织信息完整3.资产管理4.人力资源安全5.物理和环境安全6.通信和操作安全7.访问控制8.信息系统的获取、开发和保持9.信息安全事件管理10.业务持续性管理11.符合性6、什么是业务持续性管理？1.防止业务活动的中断并确保它们及时恢复2.控制损失在可接受范围3.管理识别关键业务过程并整合其他持续性服务。

6、什么是符合性管理：应最大化信息系统审核的有效性，并最小化来自信息系统审核带来的干扰。

7、应用系统常用的保密技术有哪些？1.最小授权原则2.防爆露3.信息加密4.物理保密8、影响信息完整性的主要因素有哪些？1.设备故障2.误码3.认为攻击4.计算机病毒9、保障应用系统完整性的主要方法有哪些？1.协议2.纠错编码方法3.密码校验4.数字签名5.公证10、哪个性质一般用系统正常使用时间和整个工作时间之比来度量？1.可用性11、在安全管理体系中，不同安全等级的安全管理机构应按哪种顺序逐步建立自己的信息安全组织机构管理体系？1.配备安全管理人员2.建立安全职能部门3.成立安全领导小组4.主要负责人出任领导5.建立信息安全保密管理部门12、在信息系统安全管理要素一览表中，“风险管理”类，包括哪些族？“业务持续性管理”类包括哪些族？风险管理1.风险管理要求和策略2.风险分析和评估3.风险控制4.基于风险的决策5.风险评估的管理业务持续性1.备份与恢复2.安全事件处理3.应急处理13、GB/T20271-2006中，信息系统安全技术体系是如何描述的？（只答一级标题）1.物理安全2.运行安全3.数据安全14、对于电源，什么叫紧急供电？稳压供电？电源保护？不间断供电？UPS：紧急供电防止电压波动：稳压器可变电阻、二极管、气体放电管、滤波器、浪涌滤波器：电源保护不间断供电：注意不是UPS，采用不间断供电电源，防止电压波动、电器干扰和断电等对计算机系统的不良影响。

信息安全管理体系信息安全是现代社会中一个日益重要的领域，各种公司、组织和机构都需要确保其信息资产的安全性。

而信息安全管理体系则是一种用于保护和管理信息资产的方法和体系。

本文将探讨信息安全管理体系的定义、特点、实施过程以及相关标准。

一、信息安全管理体系的定义信息安全管理体系，简称ISMS（Information Security Management System），是指用于保护和管理信息资产的一套标准、政策、流程和活动的集合。

它旨在确保组织对信息安全的需求得以满足，并能够持续改进信息安全管理能力。

二、信息安全管理体系的特点1. 综合性：信息安全管理体系综合了组织内外部的资源和能力，涵盖了对信息资产进行全面管理的各个方面。

2. 系统性：信息安全管理体系是一个系统工程，它涉及到组织内部的各个层级和部门，并需要与外部的供应商、合作伙伴等进行密切合作。

3. 持续性：信息安全管理体系不是一次性的项目，而是一个持续改进的过程。

组织需要不断更新和改进信息安全策略、控制措施以及培训等方面的内容。

三、信息安全管理体系的实施过程信息安全管理体系的实施过程可以分为以下几个步骤：1. 初始阶段：组织应该明确信息安全策略，并制定相关的目标和计划。

同时评估组织内部对信息安全的现状，确定改进的重点。

2. 执行阶段：在这个阶段，组织需要确保相关的信息安全控制措施得以实施。

这包括对人员、技术和物理环境的管理和保护。

3. 持续改进：信息安全管理体系需要持续改进，组织应该定期审查和评估信息安全的有效性，并根据评估结果进行调整和改进。

四、相关标准为了确保信息安全管理体系的有效实施和互操作性，国际上制定了一些相关的标准，如ISO/IEC 27001和ISO/IEC 27002。

ISO/IEC 27001是一个信息安全管理体系的国际标准，它提供了一套通用的要求和指南，帮助组织建立、实施、运行、监控、评审和改进信息安全管理体系。

ISO/IEC 27002则是一个信息安全管理实施指南，提供了对ISO/IEC 27001标准的解释和实施指导，涉及了信息安全管理的各个方面。

信息资产分类及安全管理规定第一章.总则第一条.本规定是为加强对信息中心信息资产的管理，保障信息资产安全，防止信息资产损毁、误用和非授权访问，确保信息资产的保密性、完整性和可用性，特制订本规定。

第二条.本规定适用于信息中心针对信息资产进行分级分类保护以及相应的管理活动。

第三条.信息中心负责对IT资产的日常管理。

第二章.管理规定第一节.信息资产分类第四条.所有信息资产都应指定资产责任人，并由资产责任人负责进行相关资产的识别、统计、分类、分级和实施相应的保护措施，需从安全责任划分资产所有者（即资产责任人）、维护者以及使用者。

第五条.信息资产按形式不同可以分为五类：数据和文档资产、软件资产、实物资产、人员资产和服务资产。

其中数据和文档资产主要包括业务数据和记录、各类管理制度、管理文档、办公文档以及外来的数据文件等。

具体如下：（一）数据和文档资产：通常包括各种电子档：业务数据、客户数据、配置文件、记录数据（日志、审计记录）、管理文件（策略、流程文件、操作手册等）、商务文件（合同、协议等）以及外来数据文件等。

也包括以实物方式存在的资产：各类电子数据的归档、打印件、书面管理文件、业务报表、包含重要商业成果的文件，还有胶片等。

（二）软件资产：各种系统软件、应用软件（OA、业务软件等）和工具软件（网管软件、安全软件等），包括操作系统、数据可应用程序、网络软件、办公应用系统、业务应用系统等，这些软件资产负责处理、存储或传输各类信息。

（三）实物资产：与业务相关的 IT 物理设备，包括计算机（工作站和服务器等）和网络通信设备、磁介质（磁带和磁盘等）、装置、环境等，这些实物资产容纳着软件和数据文件。

（四）人员资产：承担某项与业务活动相关责任的角色和职位。

例如普通用户、系统管理员、网络管理员、有合同约束的保安、清洁员等，这些人员与各类数据、软件和实物资产的操作直接相关。

（五）服务资产：安保（例如监控、门禁、保安等），环境服务（例如清洁），基础保障（供水、供热、供电），设备维护，通信服务（例如互联网接入）。

信息安全管理制度建议背景随着互联网技术的不断发展和普及，各种信息系统已经成为人们生活和工作中不可或缺的一部分。

然而，信息系统的发展也带来了一系列安全隐患和威胁，如黑客攻击、病毒感染、信息泄漏等问题已经严重影响到人们的信息安全。

因此，建立一套完善的信息安全管理制度对于保障企业和个人信息安全至关重要。

建议制度框架信息安全管理制度是指为保证企业和个人信息安全而制定的一系列规章制度和标准，它是保障信息安全的基础。

应建议从以下几个方面出发制定信息安全管理制度：1.领导关注：企业高层管理必须认识到信息安全的重要性并注重制度的推行；2.制度体系：建立完整的信息安全制度体系，包括组织机构、管理框架、政策和规程等方面；3.信息分类：针对不同等级和类别的信息，制定相应的保密要求和管理措施；4.安全需求：制定反恶意攻击、数据备份、安全监测、风险评估等安全需求。

制度要求1.制度制定应适应企业的特点，不要追求制度刚性，以可操作性为主；2.制度内容应易于理解，在制定时应充分考虑员工的实际工作和需要；3.制度内容应具体、明确，包括安全管理的责任和义务，技术措施和管理方法；4.制度推行应结合企业的实际情况，采取逐步推行策略。

具体措施1.建立信息安全部门或委员会，统一协调信息安全管理工作；2.制定完善的密码管理制度，包括密码强度、修改频次、保密措施等；3.建立访问控制机制，包括用户身份验证、访问权限管理等；4.加强安全防护，包括网络防火墙、入侵检测、反病毒、邮件过滤等；5.定期对外部安全风险评估，并采取相应的监测和预警措施；6.建立应急处理机制，应对各类突发事件。

培训和宣传信息安全制度的制定与推行需要员工的积极配合和支持，应建议开展以下工作：1.企业应加强员工的信息安全意识教育和培训，提高员工自我保护意识，从而减少人为因素造成的安全问题；2.定期举办安全宣传活动，普及信息安全知识，提高员工信息安全的意识和素养，增强信息安全保障能力。

信息安全管理适用性声明
1 目的与范围 (2)
2 相关文件 (2)
3 职责 (2)
4 声明 (2)
A.5安全方针 (3)
A.6安全组织 (3)
A.7人力资源安全 (6)
A.8资产管理 (7)
A.9访问控制 (9)
A.10密码学 (12)
A.11物理和环境安全 (18)
A.12操作安全 (23)
A.13通信安全 (26)
A.14信息系统获取、开发和维护 (27)
A.15供应商关系 (29)
A.16信息安全事件管理
A.17业务连续性管理的信息安全方面
A.18符合性
信息安全适用性声明
1 目的与范围
本声明描述了在ISO27001:2013附录A中，适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。

2 相关文件
《信息安全管理手册》
3 职责
《信息安全适用性声明》由XXX编制、修订，由管理者代表批准。

4 声明
本公司按GB/T 22080-2016 idt ISO/IEC27001:2013建立信息安全管理体系。

根据公司风险评估的结果和风险可接受水平，GB/T 22080-2016 idt ISO/IEC27001:2013附录A的下列条款被选择（或不选择)用于本公司信息安全管理体系，共删除X条控制措施。

公司信息安全管理制度第一章总则第一条目的与依据为了确保公司的信息系统和数据安全，保护公司的核心业务活动和商业机密，维护公司的声誉，保障客户的利益，制定本公司信息安全管理制度（以下简称“本制度”）。

本制度依据国家相关法律法规、政策和公司的实际情况制定，适用于公司全体员工、合作伙伴以及与公司相关的外部机构。

第二条适用范围本制度适用于公司内部所有的信息系统和数据，包括但不限于公司的网络系统、计算机设备、存储设备、通讯设备、软件系统及其相关资料等。

第三条定义和缩写1.信息安全：指对信息系统和数据的保护性措施，包括机密性、完整性、可用性等方面的保障。

2.敏感信息：指公司的商业秘密、客户信息、合作伙伴的商业信息、技术信息等。

3.攻击：指针对信息系统的非法入侵、破坏、窃取等行为。

4.安全意识：指员工对信息安全的认知和意识。

5.密码：指用于保护信息系统和数据访问权限的密码字符串。

6.弱口令：指容易被猜测、破解的密码。

7.权限管理：指对信息系统和数据访问、使用权限的管理。

第二章信息安全管理第四条责任分工1. 公司高层管理人员作为公司信息安全的最高责任人，应制定公司信息安全策略和风险管理措施，并监督其执行情况。

#### 2. 法务部门负责起草和修订公司的信息安全相关制度和规范，制定信息安全培训计划，并负责信息安全事件的应对与处理。

#### 3. IT部门负责信息系统的建设、维护、运营和安全管理，包括但不限于网络安全、系统安全、数据备份与恢复等。

#### 4. 各部门负责人负责本部门的信息安全，制定和执行本部门的信息安全制度和规程，监督员工的信息安全工作。

第五条信息安全控制1. 权限管理1.员工应按照所属岗位和工作需要，被授予适当的信息系统和数据访问权限。

2.离职员工的账号和权限应及时注销或修改，以防止数据泄露或不当使用。

3.系统管理员应定期审核并维护权限管理系统，确保权限的准确性和合理性。

2. 密码管理1.员工应使用强密码，密码复杂度要求包括至少8位字符、大小写字母、数字和特殊字符的组合，且不得使用弱口令。

信息安全管理体系规范手册第一篇范文：协议书编号：_______甲方（以下简称“甲方”）：乙方（以下简称“乙方”）：鉴于甲方致力于建立和维护安全可靠的信息管理体系，乙方作为专业从事信息安全管理咨询服务的机构，双方本着平等自愿、诚实守信的原则，就甲方的信息安全管理体系建设事项达成如下协议：一、乙方向甲方提供信息安全管理体系建设的咨询服务，包括但不仅限于：1.制定信息安全管理体系规划；2.协助甲方进行内部安全风险评估；3.制定和实施信息安全管理策略和控制措施；4.培训甲方员工，提高信息安全管理意识和技能；5.定期进行信息安全管理体系审核和评估，以确保体系的持续改进和有效性。

二、甲方应提供乙方所需的工作条件和支持，包括：1.提供相关法律法规、标准、规章制度等信息；2.提供甲方信息管理体系的现状和相关资料；3.安排乙方与甲方员工进行沟通和交流；4.按照乙方的要求，参与内部审核和评估活动。

三、乙方向甲方提供的服务应符合以下要求：1.遵守国家有关信息安全管理的相关法律法规；2.遵循国际通行的信息安全管理标准；3.保证信息安全管理体系的有效性和可靠性；4.保护甲方的商业秘密和个人信息。

四、乙方向甲方提供的服务期限自协议签订之日起至____年__月__日止。

五、乙方向甲方提供的服务费用为人民币____元（大写：____________________元整），甲方应按照双方约定的付款方式和时间支付服务费用。

六、双方应共同努力，确保信息安全管理体系的建设工作顺利进行。

如在履行过程中发生争议，双方应友好协商解决；协商不成的，可以向有管辖权的人民法院提起诉讼。

七、本协议一式两份，甲乙双方各执一份。

自双方签字（或盖章）之日起生效。

甲方（盖章）：______________________乙方（盖章）：______________________签订日期：____年__月__日1.信息安全管理体系规划2.内部安全风险评估报告3.信息安全管理策略和控制措施4.员工培训计划5.信息安全管理体系审核和评估报告注：以上协议书仅供参考，具体协议内容请根据实际情况和需求进行调整。

信息安全管理制度目录信息安全管理制度为维护公司信息安全，保证公司网络环境的稳定，特制定本制度。

第一条信息安全是指通过各种计算机、网络（内部信息平台）和密码技术，保护信息在传输、交换和存储过程中的机密性、完整性和真实性。

具体包括以下几个方面。

1、信息处理和传输系统的安全。

系统管理员应对处理信息的系统进行详细的安全检查和定期维护，避免因为系统崩溃和损坏而对系统内存储、处理和传输的信息造成破坏和损失。

2、信息内容的安全。

侧重于保护信息的机密性、完整性和真实性。

系统管理员应对所负责系统的安全性进行评测，采取技术措施对所发现的漏洞进行补救，防止窃取、冒充信息等。

3、信息传播安全。

要加强对信息的审查，防止和控制非法、有害的信息通过本委的信息网络（内部信息平台）系统传播，避免对国家利益、公共利益以及个人利益造成损害。

第二条涉及国家秘密信息的安全工作实行领导负责制。

第三条信息的内部管理1、各科室（下属单位）在向网络（内部信息平台）系统提交信息前要作好查毒、杀毒工作，确保信息文件无毒上载；2、根据情况，采取网络（内部信息平台）病毒监测、查毒、杀毒等技术措施，提高网络（内部信息平台）的整体搞病毒能力；3、各信息应用科室对本单位所负责的信息必须作好备份；4、各科室应对本部门的信息进行审查，网站各栏目信息的负责科室必须对发布信息制定审查制度，对信息来源的合法性，发布范围，信息栏目维护的负责人等作出明确的规定。

信息发布后还要随时检查信息的完整性、合法性；如发现被删改，应及时向信息安全协调科报告；5、涉及国家秘密的信息的存储、传输等应指定专人负责，并严格按照国家有关保密的法律、法规执行；6、涉及国家秘密信息，未经信息安全分管领导批准不得在网络上发布和明码传输；7、涉密文件不可放置个人计算机中，非涉密电子邮件的收发也要实行病毒查杀。

第四条信息加密1、涉及国家秘密的信息，其电子文档资料应当在涉密介质中加密单独存储；2、涉及国家和部门利益的敏感信息的电子文档资料应当在涉密介质中加密单独存储；3、涉及社会安定的敏感信息的电子文档资料应当在涉密介质中加密单独存储；；4、涉及国家秘密、国家与部门利益和社会安定的秘密信息和敏感信息在传输过程中视情况及国家的有关规定采用文件加密传输或链路传输加密。

建立信息安全保障制度与管理一、前言为了保障医院的信息系统的安全性和机密性，维护医疗信息的完整性和可用性，建立健全的信息安全保障制度和管理措施是医院的紧要任务之一、本规章制度旨在规范医院信息系统的使用和管理行为，加强对信息安全的保护，确保医院信息系统的正常运转，保障医院对内外信息的传输和存储安全。

二、信息安全管理职责1.信息安全管理委员会负责订立医院的信息安全策略和制度，监督和管理信息安全工作。

2.信息技术部门负责医院信息系统的运维和安全管理工作，包含网络安全、服务器和数据库管理、防病毒和防黑客工作等。

3.各科室、医务人员和其他工作人员应遵守信息安全管理规定，确保不违反相关规定进行任何形式的信息泄露和滥用行为。

三、信息系统的安全保障1.身份认证与访问掌控–全部系统用户须经过合法身份认证后方可使用系统功能。

–对系统中的各个角色和权限进行精细化管理，确保用户只能访问其合法权限范围内的信息和功能。

–系统管理员应定期审查和更新用户账号和权限，及时屏蔽或禁止冻结有异常行为的账号。

2.数据备份与恢复–严格依照备份计划，对医院信息系统的紧要数据进行定期备份。

–备份数据需存储在安全的设备和地方，防止遭到意外破坏或访问。

–定期测试和验证备份数据的可用性和完整性，确保能够及时恢复数据。

3.网络安全保护–医院信息系统与外部网络之间应设有防火墙和入侵检测系统，且定期更新和维护系统的安全补丁。

–网络设备和服务器应采用加密传输协议和安全认证机制，阻拦未经授权访问。

–系统管理员应对网络情形和访问日志进行监控和分析，及时发现和阻拦潜在的网络攻击和非法访问行为。

4.信息安全意识培训–医院应定期开展信息安全培训，提高员工的信息安全意识和技能。

–培训内容包含但不限于：密码安全、邮件和文件传输的安全性、网络诈骗和钓鱼网站的识别等。

四、信息安全事件管理1.信息安全事件的报告与处理–任何发生的信息安全事件，相关人员应立刻向信息技术部门报告。