信息安全管理练习题

信息安全管理练习题-2014

判断题：

1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×）

注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。

2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×）

注释：应在24小时内报案

3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×）

注释：共3种计算机犯罪，但只有2种新的犯罪类型。

单选题：

1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。

A. 通信保密阶段

B. 加密机阶段

C. 信息安全阶段

D. 安全保障阶段

2. 信息安全阶段将研究领域扩展到三个基本属性，下列（C）不属于这三个基本属性。

A. 保密性

B. 完整性

C. 不可否认性

D. 可用性

3. 下面所列的（A）安全机制不属于信息安全保障体系中的事先保护环节。

A. 杀毒软件

B. 数字证书认证

C. 防火墙

D. 数据库加密

4. 《信息安全国家学说》是（C）的信息安全基本纲领性文件。

A. 法国

B. 美国

C. 俄罗斯

D. 英国

注：美国在2003年公布了《确保网络空间安全的国家战略》。

5. 信息安全领域内最关键和最薄弱的环节是（D）。

A. 技术

B. 策略

C. 管理制度

D. 人

6. 信息安全管理领域权威的标准是（B）。

A. ISO 15408

B. ISO 17799/ISO 27001(英）

C. ISO 9001

D. ISO 14001

7. 《计算机信息系统安全保护条例》是由中华人民共和国（A )第147号发布的。

A. 国务院令

B. 全国人民代表大会令

C. 公安部令

D. 国家安全部令

8. 在PDR安全模型中最核心的组件是（A）。

A. 策略

B. 保护措施

C. 检测措施

D. 响应措施

9. 在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的结果文档被称为（A)。

A. 可接受使用策略AUP

B. 安全方针

C. 适用性声明

D. 操作规范

10. 互联网服务提供者和联网使用单位落实的记录留存技术措施，应当具有至少保存（C）天记录备份的功能。

A. 10

B. 30

C. 60

D.90

11. 下列不属于防火墙核心技术的是（D）

A. （静态/动态)包过滤技术

B. NAT技术

C. 应用代理技术

D. 日志审计

12. 应用代理防火墙的主要优点是（ B )

A. 加密强度更高

B. 安全控制更细化、更灵活

C. 安全服务的透明性更好

D. 服务对象更广泛

13. 对于远程访问型VPN来说，（A）产品经常与防火墙及NAT机制存在兼容性问题，导致安全隧道建立失败。

A. IPSec VPN

B. SSL VPN

C. MPLS VPN

D. L2TP VPN

注：IPSec协议是一个应用广泛，开放的VPN安全协议，目前已经成为最流行的VPN解决方案。在IPSec框架当中还有一个必不可少的要素: Internet安全关联和密钥管理协议——IKE(或者叫ISAKMP/Oakley)，它提供自动建立安全关联和管理密钥的功能。

14. 1999年，我国发布的第一个信息安全等级保护的国家标准GB 17859-1999，提出将信息系统的安全等级划分为（D）个等级，并提出每个级别的安全功能要求。

A. 7

B. 8

C. 6

D. 5

注：该标准参考了美国的TCSEC标准，分自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。

15. 公钥密码基础设施PKI解决了信息系统中的（A）问题。

A. 身份信任

B. 权限管理

C. 安全审计

D. 加密

注：PKI（Public Key Infrastructure,公钥密码基础设施)，所管理的基本元素是数字证书。

16. 最终提交给普通终端用户，并且要求其签署和遵守的安全策略是（C）。

A. 口令策略

B. 保密协议

C. 可接受使用策略AUP

D. 责任追究制度

知识点：

1. 《信息系统安全等级保护测评准则》将测评分为安全控制测试和系统整体测试两个方面。

2. 安全扫描可以弥补防火墙对内网安全威胁检测不足的问题。

3. 1994年2月18日国务院发布《计算机信息系统安全保护条例》。

4. 安全审计跟踪是安全审计系统检测并追踪安全事件的过程。

5. 环境安全策略应当是简单而全面。

6. 安全管理是企业信息安全的核心。

7. 信息安全策略和制定和维护中，最重要是要保证其明确性和相对稳定性。

8. 许多与PKI相关的协议标准等都是在X.509基础上发展起来的。

9. 避免对系统非法访问的主要方法是访问控制。

10. 灾难恢复计划或者业务连续性计划关注的是信息资产的可用性属性。

11. RSA是最常用的公钥密码算法。

12. 在信息安全管理进行安全教育和培训，可以有效解决人员安全意识薄弱。

13. 我国正式公布电子签名法，数字签名机制用于实现抗否认。

14. 在安全评估过程中，采取渗透性测试手段，可以模拟黑客入侵过程，检测系统安全脆弱性。

15. 病毒网关在内外网络边界处提供更加主动和积极的病毒保护。

16. 信息安全评测系统CC是国际标准。

17. 安全保护能力有4级：1级－能够对抗个人、一般的自然灾难等；2级－对抗小型组织；3级－对抗大型的、有组织的团体，较为严重的自然灾害，能够恢复大部分功能；4级－能够对抗敌对组织、严重的自然灾害，能够迅速恢复所有功能。

18. 信息系统安全等级分5级：1－自主保护级；2－指导保护级；3－监督保护级；4－强制保护级；5－专控保护级。

19. 信息系统安全等级保护措施：自主保护、同步建设、重点保护、适当调整。

20. 对信息系统实施等级保护的过程有5步：系统定级、安全规则、安全实施、安全运行和系统终止。

21. 定量评估常用公式：SLE（单次资产损失的总值）＝AV（信息资产的估价）×EF（造成资产损失的程序）。

22. SSL主要提供三方面的服务，即认证用户和服务器、加密数据以隐藏被传送的数据、维护数据的完整性。

23. 信息安全策略必须具备确定性、全面性和有效性。

24. 网络入侵检测系统，既可以对外部黑客的攻击行为进行检测，也可以发现内部攻击者的操作行为，通常部署在网络交换机的监听端口、内网和外网的边界。

25. 技术类安全分3类：业务信息安全类（S类）、业务服务保证类（A类）、通用安全保护类（G 类）。其中S类关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改；A类关注的是保护系统连续正常的运行等；G类两者都有所关注。

26. 如果信息系统只承载一项业务，可以直接为该信息系统确定安全等级，不必划分业务子系统。

27. 信息系统生命周期包括5个阶段：启动准备、设计/开发、实施/实现、运行维护和系统终止阶段。而安全等级保护实施的过程与之相对应，分别是系统定级、安全规划设计、安全实施、安全运行维护和系统终止。

信息安全管理体系国家注册审核员培训班考试试题-2015

一、选择题(每题1分，共lO分)

( )1．信息安全中的可用性是指_______

a)信息不能被未授权的个人，实体或者过程利用或知悉的特性

b)保护资产的准确和完整的特性

c)根据授权实体的要求可访问和利用的特性

d)以上都不对

( )2．审核证据是指________

a)与审核准则有关的，能够证实的记录、事实陈述或其他信息

b)在审核过程中收集到的所有记录、事实陈述或其他信息

c)一组方针、程序或要求

d)以上都不对

( )3．______ 属于系统威胁。

a)不稳定的电力供应

b)硬件维护失误

c)软件缺乏审计记录

d)口令管理机制薄弱

( )4．管理体系是指______

a)建立方针和目标并实现这些目标的体系

b)相互关联和相互作用的一组要素

c)指挥和控制组织的协调的活动

d)以上都不对

( )5．信息安全管理实用规则ISO／IECl7799属于_____标准?

a)词汇类标准

b)要求类标准

c)指南类标准

d)以上都不对

( )6．在信息安全管理体系____阶段应测量控制措施的有效性?

a)建立

b)实施和运行

c)监视和评审

d)保持和改进

( )7．风险评价是指______

a)系统地使用信息来识别风险来源和估计风险

b)将估计的风险与给定的风险准则加以比较以确定风险严重性的过程

c)指导和控制一个组织相关风险的协调活动

d)以上都不对

( )8．可使用_______来保护电子消息的保密性和完整性

a)密码技术

b)通信技术

c)控制技术

d)自动化技术

( )9．现状不符合文件是指______

a)标准要求的没有写到

b)写到的没有做到

c)做到的没有达到目标

d)以上都不对

( )10．以下属于计算机病毒感染事件的纠正措施的是_________

a)对计算机病毒事件进行响应和处理

b)将感染病毒的计算机从网络中隔离

c)对相关责任人进行处罚

d)以上都不是

二、判断题(每题1分，共10分)

你认为正确的在( )中划“√”，错误的划“x”。

( )1．客户资料不属于组织的信息资产。

( )2．组织的安全要求全部来源于风险评估。

( )3．通过使用资源和管理，将输入转化为输出的任意活动，称为过程。

( )4．组织必须首先从ISO／IEC27001附录A的控制措施列表中选取控制措施。( )5．风险分析和风险评价的整个过程称为风险评估。

( )6．控制措施可以降低安全事件发生的可能性，但不能降低安全事件的潜在影响。( )7．“资产责任人”，要求与信息处理设施有关的所有资产都应由指定人员承担责任。( )8．网站信息由于属于公共可用信息，因此无须实施安全保密措施。

( )9．审核范围必须与受审核方信息安全管理体系范围一致。

( )10．当组织信息安全管理体系的基础发生重大变化而增加的一次审核称为监督审核。

三、填空题(每题1分，共5分)

指出IS027001：2005标准中适用于下述情景的某项条款，请将条款号填在横线上。

1．“信息安全管理部的员工根据风险评估的结果，正在选择适当的控制措施。”适用于这一情况的条款是——

2．“某公司规定无论离职或调职，员工的原有系统访问权一律撤销。”适用于这一情况的条款是——

3．“某公司在其机房内贴了一张行为准则，员工在机房内工作时必须遵守。”

适用于这一情况的条款是——

4．“公司重要服务器的操作记录中没有任何管理员操作的记录。”

适用于这一情况的条款是——

5．“某公司的信息系统中使用了密码手段来保障其信息安全，但该公司的相关工作人员对我国密码方面的法律法规一无所知。”

适用于这一情况的条款是______

四、问答题(1—3题每题5分，共15分；4．5题每题15分，共30分；共45分)

1．什么是信息安全?组织的信息安全要求分为哪几类?并简要说明。

2．ISO／IEC 27001：2005附录A所列出的控制措施中，哪些条款体现了“管理者作用”，至少举出3条控制措施，并简要说明。

3．审核组进入审核现场后，通常会有哪些会议?各有什么作用?会议主持人一般由谁担任?

4．如果某软件开发公司涉及软件外包业务，请列出在软件外包的过程中所涉及的风险，并

从ISO／IEC 27001：2005附录A控制措施列表中选择适当的控制措施，作简要说明。

5．如何依据ISO／IEC 27001：2005审核A．10．7，组织应防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断

五、案例分析题(每题10分，共30分)

请根据所述情况判断：如能判断有不符合项，请写出不符合ISO/2700l：2005标准的条款号、内容和严重程度，并写出不符合事实，如提供的证据不能足以判断有不符合项时，请写出进一步审核的思路。

判分标准：不符合条款2分，不符合标准的内容3分，不符合事实3分，不符合的严重程度2分。1．审核员在看到某公司的意识及技能培训计划后，询问某公司工作人员对信息安全管理体系的认识，该工作人员回答，由于前段时间一直出差在外，所以还没有时问学习相关的体系文件。

2．审核员询问公司办公系统中某机器的操作系统升级情况时，使用人员说，我们使用的所有软件都是正版的，所以我在使用时直接设置为操作系统自动更新了，而且一直也没出现过什么问题，对业务没有任何影响。

3．审核员在某公司信息安全部看到几份安全事故处理报告，原因栏写的都是感染计算机病毒，工作人员说，我们已经严格规定了防病毒软件的使用及升级周期，但还是没有效果。

信息安全管理体系审核员练习题-简单题和案例分析题-2015

一、简答

1.内审不符合项完成了30/35，审核员给开了不符合，是否正确？你怎么审核？

[参考]不正确。应作如下审核：

（1）询问相关人员或查阅相关资料（不符合项整改计划或验证记录），了解内审不符合项的纠正措施实施情况，分析对不符合的原因确定是否充分，所实施的纠正措施是否有效；

（2）所采取的纠正措施是否与相关影响相适宜，如对业务的风险影响，风险控制策略和时间点目标要求，与组织的资源能力相适应。

（3）评估所采取的纠正措施带来的风险，如果该风险可接受，则采取纠正措施，反之可采取适当的控制措施即可。

综上，如果所有纠正措施符合风险要求，与相关影响相适宜，则纠正措施适宜。

2、在人力资源部查看网管培训记录，负责人说证书在本人手里，培训是外包的，成绩从那里要，要来后一看都合格，就结束了审核，对吗？

[参考]不对。

应按照标准GB/T 22080-2008条款5.2.2 培训、意识和能力的要求进行如下审核：

（1）询问相关人员，了解是否有网管岗位说明书或相关职责、角色的文件？

（2）查阅网管职责相关文件，文件中如何规定网管的岗位要求，这些要求基于教育、培训、经验、技术和应用能力方面的评价要求，以及相关的培训规程及评价方法；

（3）查阅网管培训记录，是否符合岗位能力要求和培训规程的规定要求？

（4）了解相关部门和人员对网管培训后的工作能力确认和培训效果的评价，是否保持记录？（5）如果岗位能力经评价不能满足要求时，组织是否按规定要求采取适当的措施，以保证岗位人员的能力要求。

二、案例分析

1、查某公司设备资产，负责人说台式机放在办公室，办公室做了来自环境的威胁的预防；笔记本经常带入带出，有时在家工作，领导同意了，在家也没什么不安全的。

A 9.2.5 组织场所外的设备安全应对组织场所的设备采取安全措施，要考虑工作在组织场所以外的不同风险

2、某公司操作系统升级都直接设置为系统自动升级，没出过什么事，因为买的都是正版。

A 12.5.2 操作系统变更后应用的技术评审当操作系统发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。

3、创新公司委托专业互联网运营商提供网络运营，供应商为了提升服务级别，采用了新技术，也通知了创新公司，但创新认为新技术肯定更好，就没采取任何措施，后来因为软件不兼容造成断网了。

A 10.2.3 第三方服务的变更管理应管理服务提供的变更，包括保持和改进现有的信息安全策略、规程和控制措施，并考虑到业务系统和涉及过程的关键程度及风险的评估。

4、查某公司信息安全事件处理时，有好几份处理报告的原因都是感染计算机病毒，负责人说我们严格的杀毒软件下载应用规程，不知道为什么没有效，估计其它方法更没用了。

8.2纠正措施

5、查看web服务器日志发现，最近几次经常重启，负责人说刚买来还好用，最近总死机，都联系不上供应商负责人了。

A 10.2.1 应确保第三方实施、运行和保持包含在第三方服务交付服务交付协议中的安全控制措施、服务定义和交付水准。

信息安全管理体系审核员练习题-简述题-2015

简述题

1、审核员在某公司审核时，发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁。公司主管信息安全的负责人解释说，因保安负责公司的物理区域安全，他们夜里以及节假日要值班和巡查所有区域，所以只能给保安全权限门卡。审核员对此解释表示认同。如果你是审核员，你将如何做？

答：应根据标准GB/T 22080-2008条款审核以下内容：

（1）是否有形成文件的访问控制策略，并且包含针对公司每一部分物理区域的访问控制策略的内容？

（2）访问控制策略是否基于业务和访问的安全要素进行过评审？

（3）核实保安角色是否在访问控制策略中有明确规定？

（4）核实访问控制策略的制定是否与各物理区域风险评价的结果一致？

（5）核实发生过的信息安全事件，是否与物理区域非授权进入有关？

（6）核实如何对保安进行背景调查，是否明确了其安全角色和职责？

2、请阐述对GB/T 22080中的审核思路。

答：（1）询问相关责任人，查阅文件3-5份，了解如何规定对信息安全事件进行总结的机制？该机制中是否明确定义了信息安全事件的类型？该机制是否规定了量化和监视信息安全事件类型、数量和代价的方法和要求，并包括成功的和未遂事件？

（2）查阅监视或记录3-15条，查阅总结报告文件3-5份，了解是否针对信息安全事件进行测量，是否就类型、数量和代价进行了量化的总结，并包括成功的和未遂事件。

（3）查阅文件和记录以及访问相关责任人，核实根据监视和量化总结的结果采取后续措施有效防止同类事件的再发生。

ISO27001信息安全管理体系审核员培训测试-2015

一、以下对于信息安全管理体系的叙述，哪个个是不正确的？

A.只规范公司高层与信息安全人员的行为；

B.针对组织内部所使用的信息，实施全面性的管理；

C.为了妥善保护信息的机密性、完整性和可用性；

D.降低信息安全事件的冲击至可承受的范围；

E.分为PDCA（计划—执行—检查—行动）四大部份，循环执行，不断改进。

二、以下对于PDCA（计划—执行—检查—行动）的叙述，哪个是正确的？

A.其中的重点在于P（计划）；

B.依据PDCA的顺序顺利执行完一次，即可确保信息安全；

C.需依据管理层审查结果采取矫正与预防措施，以达到持续改进的目的；

D.如果整体执行过程中C（检查）的过程过于繁复，可予以略过；

E.以上皆非。

三、下列那个项目不属于ISO27001认证标准所涵盖的十一个管理要项？

A.信息安全政策；

B.组织安全；

C.人员安全；

D.复杂性；

E.访问控制。

四、下列对于风险的叙述，哪个是正确的？

A.风险分析：针对无法改善的风险进行分析；

B.风险管理：列出所有可能存在的风险清单；

C.风险评估：把所估计的风险与已知的风险标准作比较，以决定风险的重要性；

D.风险处理：为了将风险降为零风险所采取的行动；

E.可接受风险：可接受进行改善的风险。

五、以下哪项符合信息安全管理体系有关“文件记录控制”的要求？

A.文件都必须电子化；

B.信息安全管理体系所需的文件仅需保护，但无须控制；

C.所有文件应依据信息安全管理体系的政策要求在需要时即可供被授权人取用；

D.文件纪录必须全部由一人保管；

E.为提供信息安全管理体系有效运作的证据所建立之纪录不属于管制范围。

六、对于“信息安全管理体系”，下列哪些不属于管理层的责任？

A.提供信息安全管理工作的必要资源；

B.决定可接受风险的等级；

C.定期举行相关教育训练，增进员工信息安全的认知；

D.为信息安全系统购买保险；

E.建立一份信息安全政策。

七、以下针对信息安全系统审计的叙述，哪个是不正确的？

A.审计方案应予以事先规划；

B.目的在于确保信息安全管理体系的控制目标与控制措施是否有效地实施与维持；

C.基于对业务的了解，应由各部门主管审计其所负责的业务；

D.对于审计结果应有适当的跟进措施；

E.审计人员的遴选与审计的执行，应确保审计过程的客观性与公正性。

八、以下对于信息安全管理体系改进的叙述，哪个是不正确的？

A.改进的目的在于确认信息安全管理系统的有效性；

B.为了防止不符合事项再度发生，应将该事项从信息安全管理体系中移除；

C.包含矫正措施与预防措施；

D.应在信息安全管理体系中制定相应的文件化程序；

E.应决定相关措施，以消除未来不符合信息安全管理体系要求的事项。

九、以下对于“安全方针”的叙述，哪个是不正确的？

A.管理层应设定一个明确的政策方向，展现对信息安全的支持与承诺；

B.安全方针应以适当方式向所有员工公布与宣导；

C.安全方针应有专人依据规定的审核过程对其进行维护与审核；

D.安全方针一经确定即无法随意修改；

E.方针应说明组织管理信息安全的方法。

十、以下对于“信息安全组织”的叙述，哪个是不正确的？

A.其目标为在组织中管理信息安全；

B.个别资产的保护责任及执行特定安全程序的责任应明确划分；

C.应参考信息安全专家的建议；

D.应减少与其它组织间的合作；

E.需有独立的信息安全审计。

十一、针对“第三方存取”与“外包作业”的叙述，哪个是正确的？

A.为了降低风险，应减少「第三方存取」与「外包作业」；

B.第三方存取组织信息处理设施的风险应予评估，并实施适当的安全控制措施；

C.将信息处理责任外包时，信息安全的责任也随之转嫁；

D.应限制外包单位不得使用组织的任何信息设备；

E.由于已签订外包合同，对于第三方存取组织的信息处理设施无须控制。

十二、以下对于“资产分类及控制”之叙述，哪个是不正确的？

A.所有主要的信息资产应由高级管理人员负责保管；

B.应制作所有与每一信息系统相关重要资产的清册并进行维护；

C.应制订一套与组织采用的分类方式相符的信息标识和处理流程；

D.信息分类与相关保护控制措施应考虑企业共享或限制信息的需求；

E.其目标在于维护组织资产并给予适当的保护。

十三、以下对于“人力资源安全”的叙述，哪个是不正确的？

A.组织信息安全方针中规定的安全角色与职务应在工作职责中予以文件化；

B.组织内所有员工及相关第三方的用户皆应接受适当的信息安全教育训练；

C.目标在于确保员工的人身安全，避免发生意外；

D.正式员工、承包商及临时工在申请工作时即应进行背景调查；

E.员工应签署保密协议，作为任用的首要条件和限制的一部分。

十四、员工察觉“安全及失效事件”发生时，应立即采取何种行动？

A.分析事件发生的原因；

B.尽快将事件掩盖过去；

C.修正信息安全目标；

D.查阅信息安全相关文件；

E.遵循适当的管理途径尽快通报。

十五、以下对于“安全区域”的说明，哪个是不正确的？

A.其目标是避免营运场所及信息遭未经授权存取、损害与干扰；

B.划设为安全区域的场所已有适当控管，可容许任何人进出；

C.应设立安全区域，以提供特殊安全需求；

D.在安全区域内工作时应采取额外的控制措施及指引，以强化该区域的安全性；

E.装卸区应予管制，若可能，应与信息处理设施隔离，避免遭未授权进入。

十六、以下对于“设备安全”的相关行为，哪个是不适当的？

A.应保护设备降低来自环境的威胁及灾害；

B.保护设备不受电力故障及其他电力异常影响；

C.保护传送数据或支持信息服务的电源与通讯缆线，以防止窃听或破坏；

D.设备在报废或再使用前将信息清除；

E.设备一律禁止携出组织外使用。

十七、以下何种行为不符合“通信和操作安全”的要求？

A.信息处理设施与系统的变更应予控制；

B.职务与责任范围应予区分，以降低信息或服务遭未授权修改或误用的机会；

C.安全政策所规定的作业程序应制作文件纪录并进行维护；

D.开发与测试工作可在正式生产设备上进行，以降低营运成本；

E.使用外部设施管理服务前，应识别风险并制订适当的控制措施。

十八、下列对于“信息的交换”的叙述，哪个是不正确的？

A.组织间交换信息与软件的行为应有协议或合约规范；

B.应制定电子邮件使用政策，严格执行控管；

C.使用网络及时通讯软件（如MSN）进行文件传送以便于实现传送的方便性及隐密性；

D.重要信息对外公开前应有正式授权程序，且该信息的完整性应予保护；

E.运送的储存媒体应予保护，防止未经授权遭存取。

十九、下列对于“用户访问控制”的叙述，哪个是不正确的？

A.应制定正式用户注册及注销流程；

B.特殊权限的分配与使用应受限制与控管；

C.要确保信息系统的访问权限被恰当地授权、配置及维护；

D.为减少账号个数，降低日常作业成本，可采多人共享一组账号密码的方式；

E.管理层应定期执行正式程序复核用户访问权限。

二十、下列行为哪个不符合“网络访问控制”的安全需求？

A.网络应有控制措施，将信息服务、用户及信息系统群组分离；

B.用户网络联机能力应仅限于共享网络；

C.组织应对其使用的所有网络服务的安全特性提供一份清楚说明的文件；

D.远程使用者的存取应有身份鉴别；

E.为便利用户，应设置开放的网络环境，以确保用户可直接存取任何他所想使用的服务。二一、对于“监控系统”的存取与使用，下列哪个是正确的？

A.监控系统所产生的记录可由用户任意存取；

B.计算机系统时钟应予同步；

C.只有当系统发生异常事件及其他安全相关事件时才需进行监控；

D.监控系统投资额庞大，并会影响系统效能，因此可以予以暂时省略；

E.以上皆非。

二二、以下各项行为，哪个不能确保“应用系统的安全”？

A.输入、输出数据应进行确认；

B.对于有保护消息内容完整性的安全要求的应用程序，应采用消息鉴别机制；

C.要有适当的审计记录或活动日志；

D.系统内应有确认检查机制，以检测所处理数据的完整性；

E.为加快数据传输时的速度，降低系统反应时间，任何数据皆可使用明码传输。

二三、下列哪项不是维护“开发和支持过程中的安全”的方法？

A.应阻止用户修改软件包，必要的修改应严格管制；

B.应用系统若有变更，应进行适当审核与测试；

C.应采取正式变更管理程序以严格控制变更作业的实施；

D.软件应尽量采用自行开发避免外包或采购；

E.软件的采购应注意其是否内藏隐密通道及特洛依木马程序。

二四、为确保“业务连续性管理”，以下哪些行为应该加以避免？

A.应分析各种灾难、安全缺失和损失服务对业务所可能产生的后果；

B.全组织连续营运措施的制订与维护，有明确管理的过程；

C.应等待企业营运过程发生中断或失效时，再来制订相关的策略计划；

D.应维持单一营运持续计划的框架，以确保所有计划皆一致；

E.营运持续计划应定时测试，并通过定期审查加以维护。

二五、以下对于信息安全管理体系中“符合性”的叙述，哪个是不正确的？

A.清楚识别所有与信息系统有关的法规；

B.组织重要记录应予文件化后进行保护；

C.避免使用具有知识产权的专利软件产品；

D.要保护个人信息的数据与隐私；

E.信息系统的管理要依据行政命令、法律规章或合同的安全要求。

信息技术服务管理体系审核员练习-2015

一．选择题（请选出最佳答案，每题2分，共20分）

1.01 修改SLA和支持文件应属于哪个流程的一部分：

a）变更管理

b）配置管理

c）发布管理

d）业务持续性和可用性管理

e）以上都不是

1.02 服务目录不包括以下哪个信息。

服务名称

服务成本

目标，如：安装一个打印机的回应时间，恢复一个重大事故的时间等

联络点

以上都是

1.03以下哪个不是IT服务管理的工具

交互语音应答系统

安全服务

自学知识库

网络管理工具

包含配置管理项的excel表

1.04事件管理程序运行一段时间后，为反应事件升级新的途径，事件经理想对事件管理程序文件进行修改，并得到IT 服务管理委员会的同意，在这个过程中，审核员要优先考虑以下哪方面的审核：

能力、意识和培训

文件控制

事件管理流程的设计更改

事件管理流程与其他流程的接口

1.05哪些内容应包括在对员工进行的IT服务培训中

服务管理方针策略

事故处理

SLA

怎样使用服务台工具

以上都是

1.06 “在变更之前应评估控制措施变更的影响”是哪个流程中提到的。

配置管理

信息安全管理

变更管理

计划和实施新的或变更的服务

以上都不是

1.07认证一个组织的ITSMS是依据：

ISO/IEC20000-1:2011

ISO/IEC20000-2:2005

ISO 19011:2002

以上都是

以上都不是

1.08风险分析是

指导和控制一个组织的风险的联合行动

选择和实施测量机制以修改风险的处置决定。

接受风险的决定

系统化的使用信息以识别风险的来源并估计风险的大小

以上都不是

1.09 根据ISO20000-1的要求，下列那个活动需要一个文件化的程序。

管理评审

管理责任

改进IT服务管理体系

纠正措施

以上都不是

1.10落实资金、预算、角色、责任、文件化和维护方针策略、计划、程序和定义等是PDCA方法的那个阶段

策划

实施

检查

改进

以上都是

二．简答题（每个问题5分，共20分）

2.01列出至少5个实施IT服务管理体系对组织的好处（5分）

2.02 列出至少五个期望ISO20000-1审核小组所具备的能力。（5分）

2.03举出至少5个内部审核员在准备内审计划时需要获得的信息（5分）

2.04作为审核员，当你对防火墙策略变更进行审核时，应查找哪些客观证据？

三．问答题

请在空白处，写出下面两个问题的详细答案，适当时，写出ISO20000-1相关的条款。每个问题10分。

3.01 清楚解释被审核方于对内审所提出的不符合事项通常所采取的纠正措施的步骤（由开始识别到不符合事项至关闭此不符合事项）。并鉴别各阶段谁应负责（例：审核员或被审核方）

3.02审核员正在计划给一个提供灾备服务的组织进行ISO20000-1 内部审核，识别至少包含5个审核要项的检查表来审核配置管理过程。

四．案例分析

以下是三个事件是在ITSMS内审审核时发现的，他们包含了可能产生不符合事项（需要书写不符合事项的报告）的情况，仔细考虑每种情况，然后采取下面的某个措施。

如果你认为有足够的不符合的客观证据，应完成一个不符合事项报告，并将不符合分类为重大（严重）不符合或轻微（一般）不符合

如果你不认为有足够的客观证据提出一个不符合报告，你需要在报告下面的空白处陈述自己的理由，你必须同时陈述审核员下一步需要做什么。

4.01事件1

在对一个内部IT服务部门进行第三方审核时，发现不存在《连续性计划》。经理对审核员解释说，连续性管理是与可用性管理的流程写在一起的，《可用性管理计划》里已经描写了在发生火灾时的应对措施，在去年9月份作了测试和演练。

4.02 事件2

在审核一个数据处理中心时，检查培训记录时发现很多的培训已完成，但是没有发现出现针对服务管理的培训课程完成的证据，处理中心的经理解释正式的培训要延期到下一年。因为培训的财务经费困难，一个系列的服务培训已经通过网络进行而且已经跟所有人讨论过了。

4.03 事件3

在对一个IT 服务机构的ISO20000-1审核时，发现有一个有关服务质量的客户投诉，该投诉已经由投诉经理处理，并作了记录。与投诉相关的一项技术问题的处理。转给了问题管理流程，还没有得到反馈；当审核员询问问题管理经理这个问题的处理状态时，问题经理回答，因为问题比较复杂，正在处理过程中，当审核员要求察看处理状态的记录时，问题经理说，不需要记录，因为处理问题的几位同事都很清楚当前的状态。

信息技术服务管理体系审核员练习模拟题

一、选择题（共30题，每题2分，总60分）

1) 下面哪句话最恰当描述了IT服务管理？

A. 经济有效地管理IT服务的质量

B. 根据ITIL最佳实践进行IT基础设施的管理工作

C. 以流程的方式管理IT基础设施。这种方式可让IT组织能够以专业的方式为客户提供IT产品和服务

D. 促进更多的人了解IT服务

2) IT服务管理是如何改善IT服务的质量的。

A. 以正式的内部、外部客户以及供应商的服务协议

B. 定义服务级别普遍适用的标准

C. 提高IT组织中所有员工的客户关注程度

D. 计划、实施、管理一系列流程以提供IT服务

3) 硬件、系统和应用软件以及数据通讯设施都是IT基础架构（IT infrastructure）的组成部分。下面哪些组件也可以被视为IT基础架构的一部分？

1 程序

2 文档

3 人员

A. 1和2

B. 1和3

C. 2和3

D. 1，2和3

4) 事件管理流程可以从哪份文档获得有关何时有必要将问题升级和将问题升级给谁等方面的信息？

A. 服务改进计划

B. 服务目录

C. 组织结构图

D. 服务级别协议

5) 考虑下列说法：

1. SLA应该定义协议双方的角色和职责

2. 对SLA的实现情况应该进行监控，定期制作服务级别报告并报送相关人员

3. 在SLA签订之前应该对支撑合同进行评审

A. 没有一个是正确的

B. 1和2是正确的

C. 2和3是正确的

D. 上述三个说法都是正确的

6) 在某个保险公司里，由于电力的中断导致局域网和所有PC都宕机了。因此，该公司的业务受理系统和理赔系统都不能正常使用。一个小时后，电力中断的故障被解决了，服务也恢复至电力中断之前的状态。该事件对服务提供造成了哪种影响？

A. 影响很小，因为在一个小时内客户就被告知电话通知可以继续办理业务了，并且客户对这种情况表示理解。

B. 影响重大，因为该事件使得正常的服务提供不能实现。这对公司的形象造成了损害。

C. 没有影响，因为所有的数据都可以先记录在纸质文档上并可以在电力恢复后在录入系统。

D. 影响非常小，因为该事件是由电力故障而不是硬件或软件错误引起的。

7) 以下哪一项是IT服务持续性管理流程的典型活动？

A. 通知终端用户有关系统故障方面的情况

B. 将后备方案（Fallback Arrangement）文档化

C. 提供可用性方面的报告

D. 确保配置项始终是最新的

8) 某钢铁公司被竞争对手兼并。IT部门以及两个公司的IT基础架构需要整合，IT基础架构整合后运行应用程序所需要的磁盘空间将由下列哪项流程决定。

A. 可用性管理

B. 能力管理

C. 计算机操作管理

D. 发布管理

9) 关于IT服务持续性计划，某个灾难的严重程度取决于：

A. 灾难持续的天数

B. 恢复灾难可用的人员数量

C. 灾难的类型，如洪水、火灾等

D. 对客户业务的影响

10) 因对信息系统的依赖逐渐增强，某房地产公司要求确保系统运行发生中断后仍可获得IT服务。下面哪个流程可提供这样的服务。

A. 可用性管理

B. 持续性管理

C. 服务级别管理

D. 服务管理

11) 下面哪些属于可用性管理的首要职责？

1. 计划在SLA中约定的IT服务的可用性并进行监控

2. 就SLA中的可用性级别与客户进行谈判

3. 记录不可用事件的详细情况

4. 提出变更以预防有损可用性的故障

A. 1和2

B. 3和4

C. 所有的都正确

D. 1和4

12) 可用性百分率的计算公式为：

A. （宕机时间*100）/约定服务时间

B. （约定服务时间*100）/宕机时间

C. （（约定服务时间-宕机时间）*100）/约定服务时间

D. 约定服务时间/（约定服务时间-宕机时间）

13) 某企业针对某项特定的IT服务没有任何持续性计划，下面哪个将是合适的理由？

A. IT部门不具备开发持续性计划的技巧和能力

B. IT部门业务灾难的风险是很少的

C. 业务方的相关人员没有时间参与开发持续性计划

D. 在进行业务影响评估之后所作出的管理决策

14) 概念不属于IT服务的预算及核算管理？

A. 预算编制

B. 计费

C. 采购

D. 核算

15) 网络部门与外部组织就提供内部服务方面达成协议，将在何处说明此协议？

A. 运营级别协议

B. 服务级别协议

C. 服务级别需求

D. 支持合同

16) 下面关于IT服务的预算及核算管理表述中哪一项是不正确的？

A. IT服务财务经理需要负责确认和计量IT成本并为所提供的IT服务制定价格

B. 为了能够建立IT服务预算和核算体系，应该先签订SLA和OLA

C. 只有当对客户使用的服务进行计费时才有可能提高成本意识

D. IT服务的预算及核算管理必须在建立成本核算模型之前与客户就收费问题达成协议

17) 哪个流程负责为需求中的IT服务的购买事宜制定（长期）计划？

A. 可用性管理

B. 能力管理

C. 配置管理

D. 服务级别管理

18) 保密性是安全管理流程要实现的目标之一。以下哪项正确地说明了“保密性”这个术语的含义？

A. 对数据的保护以防止未经授权的访问和使用

B. 随时访问数据的能力

C. 验证数据正确性的能力

D. 数据的正确性

19) 你是某个IT组织中的服务台人员。有一个用户呼叫电话说它的某个终端设备不能使用了。请问这是一个？

A. 事件

B. 已知错误

C. 问题

D. 变更请求

20) 一个良好的事件管理流程将可以：

A. 确保错误的修改像处理紧急变更一样进行处理

B. 快速地诊断事件发生的潜在原因

C. 在事件发生后尽快地恢复正常的服务运作

D. 以上三项都是

21) 下列哪项活动属于事件管理的职责？

A. 变更在基础架构中的应用

B. 检测事件产生的原因

C. 识别事件背后的潜在问题

D. 事件的排除

22) 由于产品本身的问题，用户现有的声卡被一块新的声卡替换。为方便以后参考，需对这块由另外一个制造厂商生产的新声卡进行登记。请问这项工作应由哪个流程负责执行？

A. 变更管理

B. 配置管理

C. 事件管理

D. 问题管理

23) “已知错误（Known Error）”与“问题”在ISO20000中的不同之处表现在哪些方面？

A. 导致已知错误的潜在原因是已知的，而导致问题的潜在原因是未知的

B. 已知错误与IT基础架构中出现的错误有关，而问题则与其无关

C. 已知错误通常某个事件，而问题则不完全是这样的

D. 对问题而言，与其有关的配置项已经发现和确认，而与已知错误有关的配置项通常仍未发现

24) 以下哪项活动属于主动问题管理？

A. 处理变更请求（RFC）

B. 进行趋势分析，发现潜在的事件的问题

C. 跟踪所有的事件和服务中断

D. 尽量减少由于IT环境的变更而造成的服务中断

25) 某公司财务管理数据只能提供给授权的用户，安全管理采取措施来确保这点。这样做可以确保数据的哪个方面的安全性得到保证？

A. 可用性

B. 完整性

C. 稳定性

D. 机密性

26) 一个用户向服务台抱怨说，当他使用某个应用系统的时候，有一个错误总是反复地出现，从而导致网络连接的中断。下面哪个流程负责检测该错误产生的原因？

A. 事件管理

B. 网络管理

C. 问题管理

D. 系统开发

27) 当某个软件包的最新版本被安装到某个台式机时，它可能会影响其它软件包。哪个流程负责检查和判断其它软件包是否有必要测试或者重新安装？

A. 变更管理

B. IT服务持续性管理

C. 问题管理

D. 发布管理

28) 以下哪项变更必须经变更管理流程批准后才能实施？

A. 用户录入数据到数据库中

B. 改变密码

C. 给系统增加一位新用户

D. 将打印机从二楼移到三楼

29) 配置管理数据库（CMDB）中的哪个属性有助于查明某个时刻的哪些配置项正在进行维护？

A. 购买日期

B. 责任人（Owner）

C. 位置

D. 状态

30) 下列哪项是配置基线？

A. 配置管理数据库中的标准配置

B. 标准配置项的描述

C. 以交付的一系列配置项

D. 有关一项产品或服务的“快照”，以作为配置审计和变更回撤的基准

二、简单题（共2题，每题5分，总10分）

1. 请说明ITSM的定义。

ITSM: 是一套面向过程、以客户为中心的规范的管理方法，它通过集成IT服务和业务，协助企业提高其IT服务提供和支持能力。

2. 请描述在贵单位实施ISO20000的意义。

实施ISO20000能提高公司整体效益

就服务质量和服务承诺与业务及供货商达成一致，建立和业务及供货商统一的沟通平台（服务台)；达到相关利益方均满意的IT服务管理目标；

进一步提高IT服务的可用性、完整性和保密性，为业务用户提供高质量的服务；

能够有持续性优化服务流程，提升服务水平，提高业务满意度；

进一步提高项目的可提供性并确保如期交付；

１．请说明ITSM的定义。

ITSM: 是一套面向过程、以客户为中心的规范的管理方法，它通过集成IT服务和业务，协助企业提高其IT服务提供和支持能力。

２．请描述在贵单位实施ISO20000的意义。

实施ISO20000能提高公司整体效益

就服务质量和服务承诺与业务及供货商达成一致，建立和业务及供货商统一的沟通平台（服务台)；达到相关利益方均满意的IT服务管理目标；

进一步提高IT服务的可用性、完整性和保密性，为业务用户提供高质量的服务；

能够有持续性优化服务流程，提升服务水平，提高业务满意度；

进一步提高项目的可提供性并确保如期交付；

从总体上提高企业IT投资的报酬率，提升企业的综合竞争力；

建立IT部门一整套行之有效的持续改善机制和内控机制；

明确IT管理成本和企业业务战略以及IT战略目标的结合点，完善现有IT服务结构和资源配置，使各项IT资源的运用符合公司业务。

实施ISO20000战略和IT战略目标；

通过建立优化、透明的管理流程和权责的定义，监控管理流程、进行绩效评价；降低IT运营的管理成本和风险；

将现有管理体系和业务流程整合，规范IT部门服务水平，规范工作流程，降低由人员变动导致的风险；

提高IT部门相关员工的专业素质，提高员工的服务能力和工作效率；

提升IT部门整体运作及各部门间沟通的能力。

三．问答题

1. ISO20000要求服务供应商编制服务报告，请问服务报告包括哪些方面的内容？

服务目标以及服务目标针对的对象

服务的内容

总结服务内容

分析服务的趋势

对以后的一个改进措施期望要求

2.ISO20000要求服务提供商需要实施事件管理、问题管理、变更管理、发布管理、配置管理，请描述这五大流程的目标及它们之间的关系？

目标：

事件管理

在最快的时间内将服务恢复到“正常状态”

问题管理

查找事件或问题产生的根本原因，并彻底解决，以防再次发生

变更管理

控制需要变更的信息并得以处理

发布管理

计划和协调软硬件组件的发布以及进行实际的运行操作

配置管理

更好的管理IT资产的配置组件并提供有效准确的信息

信息安全管理培训考核试题

一、选择题

1.以下哪个是信息安全管理标准？

A. ISO15408

B. ISO14000

C. ISO9000

D. ISO27001/ISO17799

2.以下哪个标准涉及风险评估要求？

A. ISO27001/ISO17799

B. ISO14000

C. ISO9000

D. ISO15408

3. ISO17799:2005增加了以下那部分内容？

A. 资产管理

B. 信息安全事件管理

C. 人力资源安全

D. 信息系统得获取、开发和维护

4. 以下关于信息安全资产的答案哪个是正确的？

A. 人员是资产

B. 公司形象是资产

C. 数据是资产

D. A、B、C都是

5. 残余风险是风险处理后残留的风险，我们不需要对其进行监控。这种说法是？

A. 正确的

B. 错误的

6. 为了工作方便和工作效率，在内审时内审员可以审核自己的工作，这种做法是?

A.错误的

B. 正确的

7. 在策略生命周期中，以下哪个是正确的：( )

A. 需求分析、制定、发布、推行、审核、废除

B. 制定、发布、推行、审核、修订、废除

C. 需求分析、制定、发布、推行、审核、修订

D. 需求分析、制定、发布、推行、审核、修订、废除

8. 与信息资产有关的弱点或安全隐患对资产构成威胁，这种说法是？

A.错误的

B. 正确的

9. 风险评估主要包括以下哪几个方面的评估？

A. 资产、威胁、弱点

B. 资产及价值、威胁、弱点、已有控制措施

C. 资产及价值、威胁、弱点

信息安全管理系统

信息安全管理系统 一、产品聚焦 1、随着企业信息化进程的不断推进，信息安全问题日益凸显。信息技术水平不断在提升的同时，为何信息泄露，信息安全事件仍然时有发生 2、对于信息安全事件为何我们不能更多的在“事前”及时的发现并控制，而是在“事后”进行补救 3、信息安全管理工作“三分技术、七分管理”的原因何在 4、信息安全管理工作种类繁多，安全管理人员疲于应付，是否有合适的管理手段对其归类，有的放矢，加强针对性、提升工作效率是否需要有持续提升信息安全意识和增强知识学习的管理体系 二、产品简介 该产品通过与企业信息安全管理的现状紧密结合，融合国际主流及先进的风险管理方法、工具、设计理念，有效结合国内外对信息安全管理工作提出的相关安全标准体系要求，通过建立企业信息安全风险全生命周期、全面风险来源、全目标管理的全方位风险管理模型，以监测预警防风险、风险流程查隐患、风险应对控事态、监督评价促改进、保障体系提意识，保证信息安全风险管理在企业的落地生效。 三、产品特点 1、业务的无缝集成 无缝集成企业终端防护类安全系统、边界防护类安全系统、系统防护类安全系统、数据防护类安全系统、综合监管类安全管理系统以及相关的基础认证和授权平台等，实现对信息安全事件引发因素的全面监测和智能分析，有的放矢的对信息安全工作进行管理。 2、“上医未病，自律慎独”的风险管理体系 目标鲜明、方法合理、注重实效，为企业信息化进程保驾护航。基于企业现有管理制度和安全防御体系构建，实现系统的行之有效、行之有依。 3、合理的改进咨询建议 通过系统建设对企业信息安全管理现状进行梳理和分析，提供合理有效的改进咨询建议。 4、创新实用的管理工具 蝴蝶结模型、风险矩阵、风险热图等主流风险管理模型的实用化创新应用；德尔菲打分法、层次分析法、灰色评价法等科学分析方法的灵活嵌入；正态分布、泊松分布等概率模型的预测分析，致力于提升风险管理工作的精细度和准确度。 5、预置的信息安全风险事件库 由信息安全及风险管理专家组成的专家团队结合国内外的相关信息安全管理标准梳理的风险事件库基础信息，可在系统建设初期提供有力的业务数据支持。 6、持续渐进的信息安全知识管理 信息安全风险知识管理不仅仅是信息安全相关知识的积累和技术的提升、还在于信息安全管理意识的提升，通过信息安全知识管理体系的建立，提升全员的信息安全管理意识，并提供最新的信息安全知识储备。 四、应用效果 对信息安全风险管理全过程的数据、重点关注的风险主题进行全方位的数据分析，采用科学合理的数据分析模型，以灵活多样化的图表进行展现以辅助决策。 五、产品功能 1、目标管理 维护企业信息安全战略目标、不同层级风险管理目标、目标预警指标、目标风险等。以目标为龙头开展企业信息安全风险管理工作。 2、风险识别 利用层次分析法逐层分析，识别企业信息安全工作中包含的资产、资产脆弱性和面临的威胁，全面辨识风险源并制定相应的防控措施，并针对风险事件制定缓解措施。 3、风险评估 创新利用科学合理的风险评估方法对威胁发生概率、严重程度进行评估，量化风险指数，借助评估工具得出防范风险优先级并对风险分布进行展示。 4、监测预警 依托企业现有的信息安全防范体系架构，设置风险监控点，以风险管理视角对各重要的信息安全指标进行实时的数据监控，发挥信息系统“摄像头”的职能，针对信息安全关注的重大风险进行实时预警提示，确保风险的提前警示和预先处理。

完整版ISO27001信息安全管理手册

信息安全管理手册iso27001 信息安全管理手册V1.0 版本号：

信息安全管理手册iso27001 录目 1 ................................................................ 颁布令 01 2 ...................................................... 管理者代表授权书 02 3 ............................................................. 企业概况 03 3 .................................................. 信息安全管理方针目标 04 6 ............................................................ 手册的管理05 7 ......................................................... 信息安全管理手册7 (1) 范围 7 ............................................................. 1.1 总则7 ............................................................. 1.2 应用8 (2) 规范性引用文件 8 ........................................................... 3 术语和定义.8 ........................................................... 3.1 本公司 8 ......................................................... 3.2 信息系统 8 ....................................................... 3.3 计算机病毒 8 ..................................................... 信息安全事件3.4 8 ........................................................... 相关方3.5 9 . ..................................................... 4 信息安全管理体系9 ............................................................. 4.1 概述9 ....................................... 4.2 建立和管理信息安全管理体系 15 ........................................................ 4.3 文件要求18 ............................................................ 管理职

公司信息安全管理制度

鑫欧克公司信息安全管理制度 一、信息安全指导方针 保障信息安全，创造用户价值，切实推行安全管理，积极预防风险，完善控制措施，信息安全，人人有责，不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。计算机设备送外维修，须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑负责部门报告，不允许私自处理或找非本单位技术人员进行维修及操作。三、操作员安全管理制度 （一）操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置； （二）系统管理操作代码的设置与管理

1、系统管理操作代码必须经过经营管理者授权取得； 2、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护； 3、系统管理员对业务系统进行数据整理、故障恢复等操作，必须有其上级授权； 4、系统管理员不得使用他人操作代码进行业务操作； 5、系统管理员调离岗位，上级管理员（或相关负责人）应及时注销其代码并生成新的系统管理员代码； （三）一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成，应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性，不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日，重复、顺序、规律数字等容易猜测的数字和字符串； 2、密码应定期修改，间隔时间不得超过一个月，如发

信息安全管理试题集

信息安全管理－试题集 判断题： 1.信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×） 注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2.一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×） 注释：应在24小时内报案 3.我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×） 注释：共3种计算机犯罪，但只有2种新的犯罪类型。 单选题：

1.信息安全经历了三个发展阶段，以下(B)不属于这三个发展阶段。 A.通信保密阶段 B.加密机阶段 C.信息安全阶段 D.安全保障阶段 2.信息安全阶段将研究领域扩展到三个基本属性，下列（ C ）不属于这三个基本属性。 A.保密性 B.完整性 C.不可否认性 D.可用性 3.下面所列的（ A ）安全机制不属于信息安全保障体系中的事先保护环节。 A.杀毒软件 B.数字证书认证 C.防火墙 D.数据库加密 4.《信息安全国家学说》是（ C ）的信息安全基本纲领性文件。 A.法国 B.美国 C.俄罗斯 D.英国 注：美国在2003年公布了《确保网络空间安全的国家战略》。 5.信息安全领域内最关键和最薄弱的环节是（ D ）。 A.技术 B.策略 C.管理制度 D.人

6.信息安全管理领域权威的标准是（ B ）。 A.ISO15408 B.ISO17799/ISO27001(英） C.ISO9001 D.ISO14001 7.《计算机信息系统安全保护条例》是由中华人民共和国（A)第147号发布的。 A.国务院令 B.全国人民代表大会令 C.公安部令 D.国家安全部令 8.在PDR安全模型中最核心的组件是（ A ）。 A.策略 B.保护措施 C.检测措施 D.响应措施 9.在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的结果文档被称为（ A )。 A.可接受使用策略AUP B.安全方针 C.适用性声明 D.操作规范 10.互联网服务提供者和联网使用单位落实的记录留存技术措施，应当具有至少保存（ C ）天记录备份的功能。 A.10 B.30 C.60 D.90 11.下列不属于防火墙核心技术的是（ D ）

信息安全管理系统的规范

信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议，这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分，BS 7799-1给出的定义适用于该部分，并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统，目的是保护信息资产，订立机构的风险管理办法、安全控制目标及安全控制，以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围，定义范围可以是机构的特征、位置、资产及 技术;

c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击，从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书，说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复，确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行，实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结，其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序，这些程序应该指出有哪些责任及其有关

十八、信息安全管理制度

十八、信息安全管理制度 一、计算机安全管理 1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。 2、未经许可，不得擅自拆装计算机硬件系统，若须拆装，则通知信息科技术人员进行。 3、计算机的软件安装和卸载工作必须由信息科技术人员进行。 4、计算机的使用必须由其合法授权者使用，未经授权不得使用。 5、医院计算机仅限于医院内部工作使用，原则上不许接入互联网。因工作需要接入互联网的，需书面向医务科提出申请，经签字批准后交信息科负责接入。接入互联网的计算机必须安装正版的反病毒软件。并保证反病毒软件实时升级。 6、医院任何科室如发现或怀疑有计算机病毒侵入，应立即断开网络，同时通知信息科技术人员负责处理。信息科应采取措施清除，并向主管院领导报告备案。 7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件，尽量不在院内计算机上使用来历不明的移动存储工具。

二、网络使用人员行为规范 1、不得在医院网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。 2、不得在医院网络中进行国家相关法律法规所禁止的活动。 3、未经允许，不得擅自修改计算机中与网络有关的设置。 4、未经允许，不得私自添加、删除与医院网络有关的软件。 5、未经允许，不得进入医院网络或者使用医院网络资源。 6、未经允许，不得对医院网络功能进行删除、修改或者增加。 7、未经允许，不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。 8、不得故意制作、传播计算机病毒等破坏性程序。 9、不得进行其他危害医院网络安全及正常运行的活动。 三、网络硬件的管理 网络硬件包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。 1、各职能部门、各科室应妥善保管安置在本部门的网络设备、设施及通信。 2、不得破坏网络设备、设施及通信线路。由于事故原因造

集团it信息安全管理制度【最新】

集团it信息安全管理制度 总则 第一条、为加强公司网络管理，明确岗位职责，规范操作流程，维护网络正常运行，确保计算机信息系统的安全，现根据《中华人民共和国计算机信息系统安全保护条例》、《广东省计算机信息系统安全保护管理办法》等有关规定，结合本公司实际，特制订本制度。 第二条、IT信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 第三条、公司设立信息部，专门负责本公司范围内的IT信息系统安全管理工作。 第一章网络管理 第四条、遵守国家有关法律、法规，严格执行安全保密制度，不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、浏览、复制、传播反动及色情信息，不得在网络上发布反动、非法和虚假的消息，不得在网络上漫骂攻击他人，不得在网上泄露他

人隐私。严禁通过网络进行任何黑客活动和性质类似的破坏活动，严格控制和防范计算机病毒的侵入。 第五条、各终端计算机入网，须填写《入网申请表》，经批准后由信息部统一办理入网对接，未进行安全配置、未装防火墙或杀毒软件的计算机，不得入网。各计算机终端用户应定期对计算机系统、杀毒软件等进行升级和更新，并定期进行病毒清查，不要下载和使用未经测试和来历不明的软件、不要打开来历不明的电子邮件、以及不要随意使用带毒U盘等介质。 第六条、上班时间不得查阅娱乐性内容，不得玩网络游戏和进行网络聊天，不得观看、下载大量消耗网络带宽的影视、音乐等多媒体信息。 第七条、禁止未授权用户接入公司计算机网络及访问网络中的资源，禁止所有用户使用迅雷、BT、电驴等占用大量带宽的下载工具。 第八条、禁止所有员工私自下载、安装与工作无关的软件、程序，如因此而感染病毒造成故障者，按相关处罚条例严厉处罚。 第九条、任何员工不得制造或者故意输入、传播计算机病毒和其他有害数据，不得利用非法手段复制、截收、篡改计算机信息系统中

信息安全管理体系审核员 真题

ISMS 201409/11 一、简答 1、内审不符合项完成了30/35，审核员给开了不符合，是否正确你怎么审核 [参考]不正确。应作如下审核： （1）询问相关人员或查阅相关资料（不符合项整改计划或验证记录），了解内审不符合项的纠正措施实施情况，分析对不符合的原因确定是否充分， 所实施的纠正措施是否有效； （2）所采取的纠正措施是否与相关影响相适宜，如对业务的风险影响，风险控制策略和时间点目标要求，与组织的资源能力相适应。 （3）评估所采取的纠正措施带来的风险，如果该风险可接受，则采取纠正措施，反之可采取适当的控制措施即可。 综上，如果所有纠正措施符合风险要求，与相关影响相适宜，则纠正措 施适宜。 2、在人力资源部查看网管培训记录，负责人说证书在本人手里，培训是外包的， 成绩从那里要，要来后一看都合格，就结束了审核，对吗 [参考]不对。 应按照标准GB/T 22080-2008条款培训、意识和能力的要求进行如下审核：（1）询问相关人员，了解是否有网管岗位说明书或相关职责、角色的文件（2）查阅网管职责相关文件，文件中如何规定网管的岗位要求，这些要求基于教育、培训、经验、技术和应用能力方面的评价要求，以及相关的培 训规程及评价方法； （3）查阅网管培训记录，是否符合岗位能力要求和培训规程的规定要求

（4）了解相关部门和人员对网管培训后的工作能力确认和培训效果的评价，是否保持记录 （5）如果岗位能力经评价不能满足要求时，组织是否按规定要求采取适当的措施，以保证岗位人员的能力要求。 二、案例分析 1、查某公司设备资产，负责人说台式机放在办公室，办公室做了来自环境的威胁的预防；笔记本经常带入带出，有时在家工作，领导同意了，在家也没什么不安全的。 A 组织场所外的设备安全应对组织场所的设备采取安全措施，要考虑工作在组织场所以外的不同风险 2、某公司操作系统升级都直接设置为系统自动升级，没出过什么事，因为买的都 是正版。 A 操作系统变更后应用的技术评审当操作系统发生变更时，应对业务的关键应用进行评审和测试，以确保对组织的运行和安全没有负面影响。 3、创新公司委托专业互联网运营商提供网络运营，供应商为了提升服务级别，采用了新技术，也通知了创新公司，但创新认为新技术肯定更好，就没采取任何措施，后来因为软件不兼容造成断网了。 A 第三方服务的变更管理应管理服务提供的变更，包括保持和改进现有的信息安全策略、规程和控制措施，并考虑到业务系统和涉及过程的关键程度及风险的评估。 4、查某公司信息安全事件处理时，有好几份处理报告的原因都是感染计算机病毒，负责人说我们严格的杀毒软件下载应用规程，不知道为什么没有效，估计其

工业控制系统信息安全管理制度(修订版)

工业控制系统信息安全管理制度 1 适用范围 为了规范公司工业控制系统的使用和操作，防止发生人为或意外损坏系统事故以及误操作引起的设备停运，保证工控系统的稳定运行，特制定本制度。 本制度适用于DCS及DEH系统以及辅控网DCS。 2 计算机使用管理 2.1 工程师站严格按照权限进行操作，无关人员不准使用。 2.2 工程师站、操作员站等人机接口系统应分级授权使用。严禁非授权人员使用工程师站的系统组态功能，工程师站用户的权限可以实施逻辑修改和系统管理工作；操作员站用户权限，查看运行状态画面，实施监控。 2.3 每三个月更改一次口令，同时检查每一级用户口令的权限设置应正确。口令字长应大于6个字符并由字母数字混合组成。修改后的口令应填写《DCS系统机器密码记录》，妥善保管。 2.4 计算机在使用过程中发生异常情况，立即停止当前操作，通知集控室负责人和相关维修人员。如服务器发生故障，按各《信息系统故障应急预案》操作，维修人员记录《软件故障处理和修改记录》。 2.5 使用工程师站计算机后，需详细填写《工程师站出入及机器使用记录》后方可离开。 3 软件保护 3.1 严禁在计算机控制系统中使用其他无关软件。除非软件升级或补丁的需要，严禁在计算机控制系统中使用U盘、光盘等。 3.2 禁止向DCS网络中连接系统外接计算机、手机。

3.3 在连接到DCS中的计算机上进行操作时，使用的可读写存储介质必须是固定的一个设备，并且在每次使用前对其进行格式化处理，然后才可以接入以上计算机。 4 软件的修改、保存及维护 4.1 更新、升级计算机系统软件、应用软件或下载数据，其存储介质须是本计算机控制系统专用存储介质，不允许与其他计算机系统交换使用。 4.2进行计算机软件、系统组态、设定值等修改工作，必须严格执行相关审批手续后方可工作，同时填写《组态及参数修改记录》，并及时做好修改后的数据备份工作。 5 软件和数据库备份 5.1 计算机控制系统的软件和数据库、历史数据应定期进行备份，完全备份间隔三个月一次，系统备份必须使用专用的U盘备份，并且由系统管理员进行相关操作。 5.2 对系统软件（包括操作系统和应用软件）的任何修改，包括版本升级和安装补丁，都应及时进行备份。 5.3备份结束后，在备份件上正确标明备份内容、对象，并做好记录，填写《DCS系统备份记录》。 5.4 DCS中各系统的备份必须由系统管理员定期手动进行，具体要求同上。 有限公司 2017年1月 1日

企业信息安全管理条例

信息安全管理条例 第一章信息安全概述 1.1、公司信息安全管理体系 信息是一个组织的血液，它的存在方式各异。可以是打印，手写，也可以是电子，演示和口述的。当今商业竞争日趋激烈，来源于不同渠道的威胁，威胁到信息的安全性。这些威胁可能来自内部，外部，意外的，还可能是恶意的。随着信息存储、发送新技术的广泛使用，信息安全面临的威胁也越来越严重了。 信息安全不是有一个终端防火墙，或者找一个24小时提供信息安全服务的公司就可以达到的，它需要全面的综合管理。信息安全管理体系的引入，可以协调各个方面的信息管理，使信息管理更为有效。信息安全管理体系是系统地对组织敏感信息进行管理，涉及到人，程序和信息科技系统。 改善信息安全水平的主要手段有： 1)安全方针：为信息安全提供管理指导和支持； 2)安全组织：在公司内管理信息安全； 3)资产分类与管理：对公司的信息资产采取适当的保护措施； 4)人员安全：减少人为错误、偷窃、欺诈或滥用信息及处理设施的 风险； 5)实体和环境安全：防止对商业场所及信息未授权的访问、损坏及

干扰； 6)通讯与运作管理：确保信息处理设施正确和安全运行； 7)访问控制：妥善管理对信息的访问权限； 8)系统的获得、开发和维护：确保将安全纳入信息系统的整个生命 周期； 9)安全事件管理：确保安全事件发生后有正确的处理流程与报告方 式； 10)商业活动连续性管理：防止商业活动的中断，并保护关键的业务 过程免受重大故障或灾害的影响； 11)符合法律：避免违反任何刑法和民法、法律法规或者合同义务以 及任何安全要求。 1.2、信息安全建设的原则 1)领导重视，全员参与； 2)信息安全不仅仅是IT部门的工作，它需要公司全体员工的共同参 与； 3)技术不是绝对的； 4)信息安全管理遵循“七分管理，三分技术”的管理原则； 5)信息安全事件符合“二、八”原则； 6)20%的安全事件来自外部网络攻击，80%的安全事件发生在公司内 部； 7)管理原则:管理为主，技术为辅，内外兼防，发现漏洞，消除隐患，

信息安全管理试题集

信息安全管理试题集

信息安全管理－试题集 判断题： 1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×） 注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×） 注释：应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×） 注释：共3种计算机犯罪，但只有2种新的犯罪类型。 单选题： 1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D.

安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性，下列（ C ）不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的（ A ）安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是（ C ）的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注：美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是（ D ）。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是（ B ）。 A. ISO 15408 B. ISO 17799/ISO 27001(英） C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国（A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是（ A ）。

信息安全系统管理系统要求规范

信息安全管理规范公司

版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要

Table of Contents（目录） 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级（保密级别）规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息？ (21) 2.2什么是信息安全？ (21)

集团信息安全管理制度

刚泰集团信息安全管理制度 品牌信息部 2015.3.5 一、总则 通过加强集团计算机系统、办公网络、服务器系统的管理。保证网络系统安全运行，保证集团机密文件的安全，保障服务器、数据库的安全运行。加强计算机办公人员的安全意识和团队合作精神，把各部门相关工作做好。 二、范围 适用于集团所有员工。 三、职责 1、品牌信息部为网络安全运行的管理部门，负责公司计算机网络系统、计算 机系统、数据库系统的日常维护和管理。 2、系统管理员执行公司保密制度，严守公司商业机密。 3、员工执行计算机信息安全管理制度，遵守公司保密制度。 四、管理办法 I、计算机使用管理制度 1、计算机由集团品牌信息部统一配置并定位，未得允许任何部门和个人不得 私自拆装、挪用、调换、外借和移动计算机。 2、计算机的开、关机应按按正常程序操作，严禁直接的人为非法关机；主机 和键盘周边不要放置水杯等盛满液体的容器，以免损毁计算机。 3、所有计算机必须设置登陆密码，一般不要使用默认的administrator作为 登陆用户名，密码必须自身保管，严禁告诉他人，密码需要定期更换以确保安全。 4、计算机软件的安装与删除应在系统管理员的许可下进行，任何部门和个人 不得安装来历不明的软件，不得擅自修改、移动或删除计算机硬盘内的数据程序、防病毒软件、计算机文件和系统设置。

5、员工应采取措施做好电脑的防尘、防盗、防潮、防触电等工作。下雨打雷 天气注意关闭电源总闸或切断电源开关。 6、员工在长时间离开计算机时，要求关闭计算机或退出Windows用户桌面。 7、为文件资料安全起见，勿将重要文件保存在系统活动分区内如：C盘、我 的文档、桌面等；请将本人的重要文件存放在硬盘其它非活动分区（如：D、 E、F）；并定期清理本人相关文件目录，及时把一些过期的、无用的文件 删除，以免占用硬盘空间。 8、计算机发生故障应尽快通知系统管理员及时解决，不允许私自打开计算机 主机箱操作，以免触电造成危险或损毁计算机硬件设备。 9、计算机出现重大故障，需要采购配件或较长时间维修时，系统管理员应准 备备用机器给员工使用，重要资料及时备份；如果硬盘未损坏，送修前应卸载硬盘妥善保管以确保数据安全。 10、禁止工作时间内在计算机上做与工作无关的事，如玩游戏、听音乐等。 11、员工不得利用公司邮件系统、微信、QQ等社交工具散播不利于公司言 论或刻意泄漏公司机密。 12、员工离职时，系统管理员应及时核对计算机硬件配置信息，并对离职人 员计算机中的公司资料信息备份刻盘。 II、计算机软件管理制度 1、办公类计算机软件由集团统一配置和采购，数量较大的软件项目采购应采 取招标或议标方式，并经集团决策层批准。 2、软件购置完毕后，品牌信息部做好验收工作后，应及时做好软件相关信息 的登记录入工作。 3、购置的软件技术资料应归档保管。 4、加强对计算机软件使用权限的管理。因业务需要开通使用权限，需经过相 关的领导批准和审核，有系统管理员设置相应权限。 5、软件一经安装使用，未经系统管理员的同意，任何人不得将其卸载或者删 除。

信息安全管理体系建设

a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间：2015年12月

信息化建设引言 随着我国中小企业信息化的普及，信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面：信息化在中小企业的发展程中，对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展，与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识，导致中小企业的信息安全面临着较大的风险，我国中企业信息化进程已经步入普及阶段，解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的，由 新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的 就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的围之内，获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域，三分技术，七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系，提出一个适合我国中小企业的信息安全管理的模型，用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行（如下

信息安全培训及教育管理办法(含安全教育和培训记录表技能考核表)

信息安全培训及教育管理办法

第一章总则 第一条为了加强公司信息安全保障能力，建立健全公司的安全管理体系，提高整体的信息安全水平，保证网络通信畅通和业务系统的正常运营，提高网络服务质量，在公司安全体系框架下，本策略主要明确公司信息安全培训及教育工作的内容及相关人员的职责。对公司人员进行有关信息安全管理的理论培训、安全管理制度教育、安全防范意识宣传和专门安全技术训练；确保公司信息安全策略、规章制度和技术规范的顺利执行，从而最大限度地降低和消除安全风险。 第二条本策略适用于公司所有部门和人员。 第二章信息安全培训的要求 第三条信息安全培训工作需要分层次、分阶段、循序渐进地进行，而且必须是能够覆盖全员的培训。 第四条分层次培训是指对不同层次的人员，如对管理层（包括决策层）、信息安全管理人员，系统管理员和公司人员开展有针对性和不同侧重点的培训。 第五条分阶段是指在信息安全管理体系的建立、实施和保持的不同阶段，培训工作要有计划地分步实施；信息安全培训要采用内部和外部结合的方式进行。 一、管理层（决策层） 第六条管理层培训目标是明确建立公司信息安全体系的迫切性和重要性，获得公司管理层（决策层）有形的支持和承诺。

第七条管理层培训方式可以采用聘请外部信息安全培训、专业公司的技术专家和咨询顾问以专题讲座、研讨会等形式。 二、信息安全管理人员 第八条信息安全管理人员培训目标是理解及掌握信息安全原理和相关技术、强化信息安全意识、支撑公司信息安全体系的建立、实施和保持。 第九条信息安全管理人员培训方式可以采用聘请外部信息安全专业资格授证培训、参加信息安全专业培训、自学信息安全管理理论及技术和公司内部学习研讨的方式。 三、公司系统管理员 第十条公司系统管理员培训目标是掌握各系统相关专业安全技术，协助公司和各部门信息安全管理人员维护和保障系统正常、安全运行。 第十一条公司系统管理员培训方式可以采用外部和内部相结合的培训以及自学的方式。 四、公司人员 第十二条公司人员培训目标是了解公司相关信息安全制度和技术规范，有安全意识，并安全、高效地使用公司信息系统。 第十三条公司人员培训方式应主要采取内部培训的方式。

企业信息安全管理制度范本

企业信息安全管理制度范本 文中蓝色字体下载后有风险提示） 一、总则 为了保护企业的信息安全，特订立本制度，望全体员工遵照执行。 二、计算机管理要求 1、IT 管理员负责公司内所有计算机的管理，各部门应将计算机负责人名单报给IT 管理员，IT 管理员（填写《计算机IP 地址分配表》）进行备案管理。如有变更，应在变更计算机负责人一周内向IT 管理员申请备案。 2、公司内所有的计算机应由各部门指定专人使用，每台计算机的使用人员均定为计算机的负责人，如果其他人要求上机（不包括IT 管理员），应取得计算机负责人的同意，严禁让外来人员使用工作计算机，出现问题所带来的一切责任应由计算机负责人承担。 3、计算机设备未经IT 管理员批准同意，任何人不得随意拆卸更换；如果计算机出现故障，计算机负责人应及时向IT 管理员报告，IT 管理员查明故障原因，提出整改措施，如属个人原因，对计算机负责人做出处罚。 4、日常保养内容 A、计算机表面保持清洁。 B、应经常对计算机硬盘进行整理，保持硬盘整洁性、完整性 C、下班不用时，应关闭主机电源。 5、计算机IP 地址和密码由IT 管理员指定发给各部门，不能擅自更换。计算机

系统专用资料（软件盘、系统盘、驱动盘）应由专人进行保管，不得随意带出公司或个人存放。 6、禁止将公司配发的计算机非工作原因私自带走或转借给他人，造成丢失或损坏的要做相应赔偿，禁止计算机使用人员对硬盘格式化操作。 7、计算机的内部调用 A、IT 管理员根据需要负责计算机在公司内的调用，并按要求组织计算机的迁移或调换。 B、计算机在公司内调用，IT管理员应做好调用记录，《调用记录单》经副总经理签字认可后交IT 管理员存档。 8、计算机报废 A、计算机报废，由使用部门提出，IT管理员根据计算机的使用、 升级情况，组织鉴定，同意报废处理的，报部门经理批准后按《固定资产管理规定》到财务部办理报废手续。 B、报废的计算机残件由IT管理员回收，组织人员一次性处理。 C、计算机报废的条件： 1）主要部件严重损坏，无升级和维修价值。 （2）修理或改装费用超过或接近同等效能价值的设备。 三、环境管理 1、计算机的使用环境应做到防尘、防潮、防干扰及安全接地。

最新信息安全管理考试真题

一、判断题（本题共15道题，每题1分，共15分。请认真阅读题目，然后在对的题目后面打√，在错误的题目后面打×） 1. 口令认证机制的安全性弱点，可以使得攻击者破解合法用户帐户信：息，进而非法获得系统和资源访问权限。(√) 2. PKI系统所有的安全操作都是通过数字证书来实现的。(√) 3. PKI系统使用了非对称算法．对称算法和散列算法。(√) 4. 一个完整的信息安全保障体系，应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复(Restoration)五个主要环节。(√) 5. 信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制，同样依赖于底层的物理、网络和系统等层面的安全状况。(√) 6. 实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施，从这里就能看出技术和管理并重的基本思想，重技术轻管理，或者重管理轻技术，都是不科学，并且有局限性的错误观点。(√) 7. 按照BS 7799标准，信息安全管理应当是一个持续改进的周期性过程。(√) 8. 虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难，往往实际评估多采取定性评估，或者定性和定量评估相结合的方法。(√) 9. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。(×) 10. 定性安全风险评估结果中，级别较高的安全风险应当优先采取控制措施予以应对。(√) 11. 网络边界保护中主要采用防火墙系统，为了保证其有效发挥作用，应当避免在内网和外网之间存在不经过防火墙控制的其他通信连接。(√) 12. 网络边界保护中主要采用防火墙系统，在内网和外网之间存在不经过防火墙控制的其他通信连接，不会影响到防火墙的有效保护作用。(×) 13. 防火墙虽然是网络层重要的安全机制，但是它对于计算机病毒缺乏保护能力。(√) 14. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型。(×) 15. 信息技术基础设施库(ITIL)，是由英国发布的关于IT服务管理最佳实践的建议和指导方针，旨在解决IT服务质量不佳的情况。(√) 二、选择题（本题共25道题，每题1分，共25分。请认真阅读题目，且每个题目只有一个正确答案，并将答案填写在题目相应位置。） 1. 防止静态信息被非授权访问和防止动态信息被截取解密是__D____。 A.数据完整性 B.数据可用性 C.数据可靠性 D.数据保密性 2. 用户身份鉴别是通过___A___完成的。 A.口令验证 B.审计策略 C.存取控制 D.查询功能 3. 故意输入计算机病毒以及其他有害数据，危害计算机信息系统安全的个人，由公安机关处以___B___。 A. 3年以下有期徒刑或拘役 B. 警告或者处以5000元以下的罚款 C. 5年以上7年以下有期徒刑 D. 警告或者15000元以下的罚款 4. 网络数据备份的实现主要需要考虑的问题不包括__A____。 A.架设高速局域网 B.分析应用环境 C.选择备份硬件设备 D.选择

公司信息安全管理制度

公司信息安全管理制度 一、信息安全指导方针 保障信息安全，创造用户价值，切实推行安全管理，积极预防风险，完善控制措施，信息安全，人人有责，不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。计算机设备送外维修，须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑负责部门报告，不允许私自处理或找非本单位技术人员进行维修及操作。 三、操作员安全管理制度 （一）操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置； （二）系统管理操作代码的设置与管理

1、系统管理操作代码必须经过经营管理者授权取得； 2、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护； 3、系统管理员对业务系统进行数据整理、故障恢复等操作，必须有其上级授权； 4、系统管理员不得使用他人操作代码进行业务操作； 5、系统管理员调离岗位，上级管理员（或相关负责人）应及时注销其代码并生成新的系统管理员代码； （三）一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成，应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性，不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日，重复、顺序、规律数字等容易猜测的数字和字符串； 2、密码应定期修改，间隔时间不得超过一个月，如发现或怀