ISO／IEC-27003(CN)信息技术-安全技术 信息安全管理体系实施指南

信息技术-安全技术信息安全管理体系实施指南(Information technology — Security techniqes — Information security management system implementation guidance)（ISO/IEC CD 27003）目录1范围52引用的标准文件 (5)3术语和定义 (5)4本标准的结构 (5)4.1总则54.2图表64.2.1图形符号 (6)4.2.2部署与图表 (8)4.3ISMS 实施总图 (8)4.4总说明 (9)4.4.1实施考虑事项 (9)4.4.2中小企业(SME)的考虑事项 (10)5.3.1ISMS 范围的概要 (15)5.3.2角色和责任的定义 (15)5.5获得管理者对实施 ISMS 的正式批准和承诺 (18)6定义ISMS 范围和ISMS 方针 (21)6.1定义 ISMS 范围和ISMS 方针的概要 (21)6.2定义组织的边界 (23)6.3定义信息通信技术边界 (24)6.4定义物理边界 (24)6.5完成 ISMS 范围边界 (25)6.6开发 ISMS 方针 (26)7进行业务分析 (28)7.1业务分析概要 (28)前言ISO（国际标准化组织）和 IEC (国际电工委员会)是专业的世界性标准发布者。

ISO 或 IEC 成员的国家，通过各自组织为处理特定技术活动领域所设立的技术委员会，参与开发国际标准。

ISO 和 IEC 技术委员会协调合作领域的共同利益。

与 ISO 和IEC 保持联系的其它国际组织（官方的或非官方的）也可参加有关工作。

在信息技术领域，ISO 和IEC 已经设立了一个联合技术委员会，ISO/IEC JTC 1。

国际标准遵照 ISO/IEC 导则第 2 部分的规则起草。

ISO/IEC 27003 是由信息技术-安全技术 SC 27 小组委员会 ISO/IEC JTC 1 技术委员会制定的。

信息安全管理体系实施信息安全管理体系（Information Security Management System，简称ISMS）是一种以风险管理为基础，为组织提供持续保护信息资产机密性、完整性和可用性的体系。

本文将讨论信息安全管理体系的实施过程，包括制定策略、组织架构、风险评估、控制措施、培训教育和监测评估等方面。

一、策略制定信息安全管理体系实施的第一步是制定策略。

首先，组织需要明确信息资产的价值和重要性，以便有效确定资源投入的大小。

其次，组织需要参考相关的法规、标准和最佳实践，制定信息安全政策和目标，并确保其与组织的整体战略和目标一致。

最后，制定详细的实施计划和时间表，确保每个阶段的任务和目标都能够得到明确并有效的执行。

二、组织架构建立组织架构的建立是信息安全管理体系实施的重要一环。

首先，需要明确责任和职责，确定信息安全管理的组织结构以及各个岗位的职责要求。

其次，组织需要任命一位信息安全管理负责人，负责制定和推进信息安全管理体系的实施，并确保制度和流程的有效执行。

此外，还需要建立信息安全委员会或工作组，由相关部门和岗位代表组成，负责协调和推动信息安全相关事务的落实。

三、风险评估与控制措施风险评估是信息安全管理体系实施的核心环节之一。

组织需要识别和评估信息资产的威胁和漏洞，以确定潜在的风险。

然后，根据风险评估结果，制定相应的控制措施，包括物理控制、技术控制和组织控制等。

物理控制措施可以包括门禁系统、监控系统和访客管理等；技术控制措施可以包括防火墙、入侵检测系统和加密技术等；组织控制措施可以包括权限管理、人员背景调查和培训教育等。

同时，还需建立有效的监视和追踪机制，对控制措施的有效性进行评估和持续改进。

四、培训教育培训教育在信息安全管理体系实施中起到至关重要的作用。

组织需要定期对员工进行信息安全意识培训，提高员工对信息安全的认知和理解。

培训内容可以包括信息安全政策和规程、常见威胁和风险、安全操作规范和安全意识等。

ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)ISO 27001.2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)1.背景和目的该标准详细规定了建立、实施、操作、监控、审查、维护和持续改进信息安全管理体系（ISMS）的要求。

它旨在确保组织合理评估信息安全风险，并采取适当的安全措施来保护机密性、完整性和可用性。

2.规范性引用文件本标准适用于以下引用文档:- ISO/IEC 27000.2018 信息技术－安全技术－信息安全管理体系－概述和词汇- ISO/IEC 27002.2013 信息技术－安全技术－信息安全管理实施指南- ISO/IEC 27003.2017 信息技术－安全技术－信息安全管理系统实施指南3.术语和定义以下术语和定义适用于本标准：- 组织：指定了ISMS的范围并对其进行实施、操作、监控、审查、维护和持续改进的实体。

- 高层管理：按照组织的要求，履行其职权和责任的最高级别管理职位。

- ISMS：信息安全管理体系。

4.理解组织和其上下文组织应确定和理解其内外部各方的需求和期望，以及相关方和利益相关者，以确保ISMS的有效性。

5.领导的承诺高层管理应明确表达对ISMS的支持和承诺，确保其适当实施和维护，并提供资源以满足ISMS的要求。

6.政策组织应制定和实施信息安全政策，为ISMS提供框架和方向，并与组织的活动和风险管理策略保持一致。

7.组织内部的风险评估组织应在ISMS实施之前进行风险评估，以确保全面了解和评估信息资产相关的威胁和风险。

8.管理资源组织应为ISMS指定适当的资源，包括人员、设备和财务资源，以确保其有效实施、操作、监控、审查和持续改进。

9.专门支持组织应为ISMS提供必要的支持，包括培训、意识和沟通，以确保员工的积极参与和遵守ISMS的要求。

10.安全风险管理组织应基于风险评估结果，采取适当的措施来管理和缓解信息安全风险，确保信息资产的安全性。

信息安全管理体系认证简介信息安全管理体系认证简介一．信息安全管理随着以计算机和网络通信为代表的信息技术（IT）的迅猛发展，政府部门、金融机构、企事业单位和商业组织对IT 系统的依赖也日益加重，信息技术几乎渗透到了世界各地和社会生活的方方面面。

如今，遍布全球的互联网使得组织机构不仅内在依赖IT 系统，还不可避免地与外部的IT 系统建立了错综复杂的联系，但系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等事情时有发生，这些给组织的经营管理、生存甚至国家安全都带来严重的影响。

所以，对信息加以保护，防范信息的损坏和泄露，已成为当前组织迫切需要解决的问题。

俗话说“三分技术七分管理”。

目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。

但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。

这些都是造成信息安全事件的重要原因。

缺乏系统的管理思想也是一个重要的问题。

所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。

二．信息安全管理体系标准发展历史及主要内容目前，在信息安全管理体系方面，ISO/IEC27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。

ISO/IEC27001是由英国标准BS7799转换而成的。

BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，适用于大、中、小组织。

1998年英国公布标准的第二部分BS 7799-2《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。

信息安全基础(习题卷66)第1部分：单项选择题，共57题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]扫描工具A)只能作为攻击工具B)只能作为防范工具C)既可作为攻击工具也可以作为防范工具答案:C解析:2.[单选题]在自主访问控制机制下，文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文件的( )。

A)读取权B)控制权C)访问权D)浏览权答案:C解析:3.[单选题]在USG系列防火墙中，可以通过以下哪个命令查询NAT转换结果？A)display nat translationB)display firewall session tableC)display current natD)display firewall nat translation答案:B解析:4.[单选题]数据恢复的第一步一般是做什么的恢复：（ ）A)分区恢复B)主引导扇区记录C)文件分配表的恢复D)数据文件的恢复答案:A解析:5.[单选题]信息的哪条属性具有这样的两面性：一方面它有利于知识的传播，另一方面也可以造成信息的贬值，不利于保密，不利于保护信息所有者的积极性（）。

A)共享性B)传输性C)可扩散性D)转换性答案:C解析:6.[单选题]“安全网关-主机防护套餐”提供的标准套餐服务中，防护主机数量是多少个？D)8个答案:C解析:7.[单选题]针对ARP欺骗攻击的描述，以下哪项是错误的A)ARP实现机制只考虑正常业务交互，对非正常业务交互或恶意行为不做任何验证B)ARP欺骗攻击只能通过ARP应答来实现，无法通过ARP请求实现C)当某主机发送正常ARP请求时，攻击者会抢先应答，导致主机建立一个错误的IP和MAC映射关系D)ARP静态绑定是解决ARP欺骗攻击的一种方案，主要应用在网络规模不大的场景答案:B解析:8.[单选题]身份认证含义是____？A)注册一个用户B)标识一个用户C)验证一个用户D)授权一个用户答案:C解析:9.[单选题]《网络安全法》规定，网络运营者应当制定（ ），及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。

信息安全 (Information security)通俗讲的安全风险入发现机制处理机制书面上讲的信息安全: 信息安全的基本目标 保密性 (Confidentiality) 完整性 (Integrity) 可用性 (Availability) 信息安全模型: 应用安全技术 数据加密技术 主机安全技术 网络安全技术 桌面安全技术 物理安全技术 认证授权技术 访问控制技术 审计跟踪技术 防病毒技术 灾难恢复和备份技术信息安全遵循的标准和模式：标准是ISO27001，模式是PDCA 目前容易看到两个的误区：一个是：罗列一堆产品和技术；另一个是：网络安全架构规划，等同于网络安全。

ISO已为信息安全管理体系标准预留了ISO/IEC27000系列编号，类似质量管理体系的ISO9000系列和环境管理体系ISO14000系 信息安全是建立各种系统的保障.风险是组成信息安全的重要组成部分.信息安全的ISO2700X系列,每一个代码的意思 ISO/IEC 27000ISO/IEC 27001ISO/IEC 27002ISO/IEC 27003ISO/IEC 27004ISO/IEC 27005 ISO/IEC 27006 ISO/IEC 27007 ISO/IEC 27008 风险管理各要素间的关系ISO27003实施指南与其它关系ISO27002 ISO27001ISO27000 获得实施 ISMS的正获得实施 ISMS的正 式批准信息安全老三样: 安全重点在数据,即信息,即信息安全,而不是网络一个单途径的安全. 以前信息安全在网络上,如漏洞,病毒,黑客等,这些得到不利益,只能是搞怪.现在重点已从网络转向应用.如挂码,木马,大马套 信息安全:由于自然或者人为的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件信息安全的现状:信息安全的原则:信息安全技术实现内部信息安全技术 (是在隔离基础之上 采取措施)内部信息安全管理手段信息安全五步原则信息领域涉及安全问 题分类根据信息安全事件发 生的原因、表现形式 等，对信息安全事件 进行七个分类.每个 基本分类分别包括若 干个第二层分类 共25个二级事件信息安全 (Information security)是设防线，做多道防线或叫安全级别，增加入侵的难度，延缓时间来做有效的处理。

要求-体系标准集信息安全管理的标准族【多选】【2016-06】信息安全管理的标准族在“信息技术-安全技术”的总标题下包括的国标标准有（）A、ISO/IEC 27000B、ISO/IEC 27001C、ISO 19011D、ISO/IEC 27005【解析】ABD『M037』【单选】在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会（A）ISO/IEC JTC SC27（B）ISO/IEC JTC SC40（C）ISO/IEC TC27（D）ISO/IEC TC40【解析】A『S621』【单选】GB/T22080-2016/ISO/IEC27001-2013《信息技术安全技术信息安全管理体系要求》是由（）提出并归口。

（A）全国信息技术标准化技术委员会（B）全国信息安全标准化技术委员会（C）全国认证认可标准化技术委员会（D）全国公共安全基础标准化技术委员会【解析】B 『S667』【单选】【2017-03】信息安全管理体系标准族中关于信息安全风险管理的标准是()(A)ISO/IEC27002(B)ISO/IEC27003(C)ISO/IEC27004(D)ISO/IEC27005【解析】D『S516』【单选】信息安全管理领域权威的标准是:(A)ISO15408(B) ISO 17799/ISO27001(英) (C) ISO9001 (D) ISO14001 【解析】B『S372』描述概述和术语的标准27000信息技术-安全技术-信息安全管理体系-概述和词汇描述要求的标准27001信息技术-安全技术-信息安全管理体系-要求27006信息技术-安全技术-提供信息安全管理体系审计和认证的机构的要求描述一般指南的标准27002信息技术-安全技术-信息安全控制实用规则27003信息技术-安全技术-信息安全管理体系实施指南27004信息技术-安全技术-信息安全管理-测量27005信息技术-安全技术-信息安全风险管理27007信息技术-安全技术-信息安全管理体系审计指南27008信息技术-安全技术-审计人员关于信息安全控制的指导原则27013信息技术-安全技术-关于综合实施ISO/IEC 27001和ISO/IEC 20000-1的指南27014信息技术-安全技术-信息安全治理TR 27016信息技术-安全技术-信息安全管理-组织经济学描述特定行业指南的标准27011 电信信息技术-安全技术-基于ISO/IEC 27002的电信组织信息安全管理指南GBT22080-2016 ISO/IEC 27001 要求【单选】【2017-03】信息安全体系的要求类标准是:A 22080-2016 B22081-2008 C ISO/IEC27003 D ISO/IEC27004【解析】A『S669』【单选】ISMS标准族中,要求类标准是()(A) ISO27002 (B)ISO27001和ISO27003 (C)ISO27002和ISO27006 ( D ) ISO27001 和ISO27006【解析】D『S670』【单选】ISO/IEC 27001 是( )A)以信息安全为主题的管理标准B)与信息安全相关的技术性标准C)编制业务连续性计划的指南D)以上都不是【解析】A『S257』【单选】【2018-03】组织应按照本标准的要求（）信息安全管理体系A 策划、实现、监视和持续改进B 建立、实施、监视和持续改进C 建立、实现、维护和持续改进D 实现、维护和持续改进【解析】C 『S543』GBT22081-2016 ISO/IEC 27002 使用规则【单选】【2016-06】信息安全管理实用规则ISO/IEC 27002 属于（）标准A、词汇类标准B、指南类标准C、要求类标准D、技术类标准【解析】B『S109』【单选】【2019-11】《信息技术安全技术信息安全控制实践指南》属于（）标准A、词汇类标准B、指南类标准C、要求类标准D、强制标准【解析】B【单选】【2017-03】以下对GBT22081-2016 ISO/IEC 27002：2013 的描述，正确的是（）A、该标准属于要求类标准B、该标准属于指南类标准C、该标准可用于一致性评估D、组织在建立ISMS 时，必须满足该标准的所有要求【解析】B『S111』【单选】【2017-09】关于GBT22081-2016 下列说法错误的是：A 该标准是指南类标准B 该标准中给出了ISO27001附录A中所有的控制措施和应用指南C 该标准给出了ISMS的实施指南D 该标准的名称是《信息技术安全技术信息安全管理实用规则》【解析】D『S588』27002信息技术-安全技术-信息安全控制实用规则【单选】【2015-12】【2016-12】【2018-09】关于ISO/IEC27002 标准，以下说法正确的是：（）A提供了选择控制措施的指南，可用作信息安全管理体系认证的依据B提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据C提供了信息安全风险评估的指南，是ISO/IEC27001 的构成部分D提供了信息安全风险评估的依据，是实施ISO/IEC27000 的支持性标准【解析】B『S078』ISO/IEC 27004 测量【单选】【2016-12】【2017-09】ISO/IEC27000标准族中关于信息安全测量的标准是（）A、27002B、27003C、27004D、27005【解析】C『S167』【单选】【2015-12】【2016-12】旨在评估信息安全管理体系有效性的标准是：A 27001 B27002 C27006 D 27004 【解析】D『S068』ISO/IEC 27014 信息安全治理【单选】【2017-09】《信息技术安全技术信息安全治理》对应的国际标准号为（）A27011 B27012 C27013 D27014【单选】【】编号:42 作为信息安全治理的成果,战略方针提供了: A 、企业所需的安全要求 B 、遵从最佳实务的安全基准 C 、日常化、制度化的解决方案 D 、风险暴露的理解 【解析】A 『S486』 词汇变化【单选】【2017-03】【2017-09】下列不属于GBT22080-2016与GBT22080-2008主要关键词变化的是（ ） A control 由 措施实施 改为 控制B implement 由 实施 改为 实现C asset owner 有资产责任人 改为 资产拥有者D context of the organization 组织背景 改为 组织环境【解析】D 『S490』ISO/IEC 17799【单选】ISO/IEC 17799源于以下哪个标准？A BS7799-1 B BS7799-2 C BS7799-3 D GB 7799【解析】A BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》。

2024年软件资格考试信息系统监理师(基础知识、应用技术)合卷(中级)复习试题(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、在软件生命周期模型中，螺旋模型是在瀑布模型的基础上增加了什么特性？A. 需求分析B. 设计与实现C. 风险分析D. 维护与支持2、下列哪个不属于信息系统项目管理中的三要素？A. 范围B. 时间C. 成本D. 质量3、在信息系统工程中，以下哪个阶段是项目整体管理的关键阶段？A. 需求分析阶段B. 设计阶段C. 开发阶段D. 验收阶段4、以下哪个选项不属于信息系统工程质量保证活动的范畴？A. 编写测试用例B. 代码审查C. 系统集成测试D. 项目进度跟踪5、关于项目管理中的风险管理，下列说法错误的是：A. 风险识别是在项目早期进行的一次性活动。

B. 风险评估包括定性和定量两个方面。

C. 应急计划是风险应对策略的一部分。

D. 风险监控涉及在整个项目生命周期中持续跟踪已识别的风险。

6、在信息系统开发过程中，哪一项不属于需求分析阶段的工作内容？A. 分析用户需求B. 定义系统边界C. 编写详细的设计文档D. 建立需求规格说明书7、以下关于软件工程中软件需求规格说明书（SRS）的描述，不正确的是（）A. SRS是软件项目开发过程中必须的文档之一B. SRS应描述软件的功能需求和性能需求C. SRS应避免使用非功能性需求描述D. SRS的目的是为了指导软件开发和维护8、在软件测试过程中，以下哪种测试方法主要关注系统在特定条件下的性能表现？（）A. 单元测试B. 集成测试C. 系统测试D. 性能测试9、在信息系统项目管理过程中，监理单位的主要职责是什么？A. 制定项目计划B. 执行系统开发任务C. 对项目的实施过程进行监督与控制D. 负责系统的最终验收 10、信息系统工程监理工作的“四控三管一协调”指的是什么？A. 控制质量、进度、成本和范围；管理合同、信息和安全；协调各方关系B. 控制质量、进度、成本和变更；管理合同、信息和风险；协调各方关系C. 控制质量、进度、成本和需求；管理合同、信息和人员；协调各方关系D. 控制质量、进度、成本和风险；管理合同、信息和文档；协调各方关系11、在信息系统监理过程中，以下哪项工作不属于监理工程师的职责范围？A. 审查项目合同B. 监督项目进度C. 审核项目预算D. 设计项目架构12、在信息系统监理过程中，以下哪种方法不属于风险评估的方法？A. 专家调查法B. 概率分析法C. SWOT分析法D. 故障树分析法13、在信息系统监理过程中，以下哪个阶段是监理工程师最关注的信息安全风险点？A. 系统设计阶段B. 系统开发阶段C. 系统实施阶段D. 系统运行阶段14、以下关于项目沟通管理的说法，正确的是：A. 项目沟通管理只关注内部团队成员之间的沟通B. 项目沟通管理不包括与项目干系人的沟通C. 项目沟通管理的目标是确保项目信息的准确、及时传递D. 项目沟通管理只关注沟通的形式，不考虑沟通内容15、在软件工程中，需求分析阶段的主要任务是：A. 确定软件的功能和非功能需求B. 设计软件的架构和模块C. 编写软件代码D. 测试软件的功能16、在软件工程中，UML（统一建模语言）主要用于：A. 编程语言设计B. 软件需求分析C. 软件测试用例设计D. 软件代码审查17、在信息系统监理过程中，下列哪个不属于监理工作的基本内容？A. 监理计划的制定B. 监理合同的签订C. 监理报告的编制D. 监理团队的组建18、以下关于信息系统监理师的职业道德要求，错误的是：A. 诚实守信B. 客观公正C. 隐私保护D. 损人利己19、题干：在信息系统监理工作中，以下哪项不属于监理单位的基本职责？A. 对信息系统工程项目的进度、质量、投资进行监控B. 对信息系统工程项目的变更进行管理C. 对信息系统工程项目的验收进行审核D. 对信息系统工程项目的保密性进行审计 20、题干：在信息系统监理过程中，以下哪种情况不属于监理工程师应采取的预防措施？A. 对项目团队成员进行培训，提高其项目管理的意识和能力B. 对关键设备进行备份，以防故障发生C. 对项目进度计划进行定期审查，确保其符合项目目标D. 对项目文档进行严格审查，确保其符合国家相关标准21、在软件开发过程中，以下哪项不是需求分析阶段的工作内容？A. 确定软件的功能需求B. 分析用户界面设计C. 确定软件的性能需求D. 编写测试用例22、关于软件架构设计，以下说法错误的是：A. 软件架构设计应遵循模块化原则B. 软件架构设计应关注系统的可扩展性和可维护性C. 软件架构设计只关注系统的高层设计D. 软件架构设计应考虑系统的安全性23、在信息系统工程中，以下哪项不属于信息系统监理师的基本职责？（）A. 监督信息系统工程项目的实施过程B. 协调项目各方关系C. 负责信息系统工程项目的质量、进度、投资控制D. 直接参与信息系统工程项目的开发工作24、以下关于信息系统工程监理质量控制的描述，正确的是（）。