国际信息安全标准系列之SOX 404 Guidance v1 1

SOX 404 Implementation Guidance October 2003

STRICTLY FOR INTERNAL CIRCULATION ONLY

Contents

Page 1Sarbanes-Oxley, 2002, Section 404 (“SOX 404”) 3 1.1Management’s attestation requirement under SOX 404 3 1.2Management’s attestation 3 2Overview of the COSO framework 4 2.1COSO Framework 4 2.2Components of COSO framework 5 3Internal control 6 3.1Who 6 3.2Objective 6 3.3Effective internal controls 6 4IINV’s SOX 404 Framework 7 4.1SOX 404 framework 7 4.2Entity Assessment Questionnaires 7 4.3Controls performed at the Corporate Office 8 4.4Controls not documented or not formalised 8 5Financial Statements and Disclosure Assertion 9 5.1The Six assertions 9 5.2Financial statement caption 10 5.3Assertion Risk 10 5.4Mitigating controls 10 5.5Examples of control techniques 11 6Documentation 12 6.1Routine transactions 12 6.2Non-routine transactions 13 6.3Estimations 13 6.4Informal controls 14 6.5Some sources of Control Documentation 14 7How to address deficiencies 15 8Roles and responsibilities 16 8.1Unit management 16 8.2Unit Internal Assurance 16 8.3External Auditors 16

SOX 404 – Implementation Guidance

October 2003

9Corporate Assistance 17 9.1Contacts 17 9.2Further guidance 17

Appendices

1 2 Management Attestation to be signed by the Unit CEO and CFO

Sample template for control documentation

SOX 404 – Implementation Guidance

October 2003

1 Sarbanes-Oxley, 2002, Section 404 (“SOX 404”)

1.1 Management’s attestation requirement under SOX 404

The SEC Rules implementing SOX 404 require that each annual report of an SEC

registrant should include an internal control report by management which contains the

following:

State responsibility of management for establishing and maintaining an adequate

internal control structure and procedures for financial reporting.

Statement identifying the framework used by management to evaluate the effectiveness

of internal control

Contain an assessment of the effectiveness of the internal control structure and

procedures for financial reporting.

External auditors are required attest management’s assertion on effectiveness of

internal controls and procedures for financial reporting.

1.2 Management’s attestation

A sample of the attestation is given in Appendix 1 of this guidance note.

SOX 404 – Implementation Guidance

October 2003

2 Overview of the COSO framework

2.1 COSO Framework

A SOX 404 assessment requires a suitable criteria for an effective internal control system.

Committee of Sponsoring Organizations of the Treadway Commission (COSO) developed

an internal control framework in 1992 (“COSO Framework”). IINV has chosen the COSO

framework due to the following reasons:

In the SEC rule to implement SOX 404, SEC has suggested COSO to be preferred

framework;

Draft AICPA guidelines for evaluation of internal control for SOX 404 recommends the

use of the COSO framework to provide the attestation.

Suitable, recognised control framework developed through due process including public

comment.

The COSO Framework is illustrated below:

SOX 404 – Implementation Guidance

October 2003

2.2 Components of COSO framework

2.2.1 Control Environment

Reflects tone set by top management

Overall attitude, awareness and actions of the board, management, owners, and others

concerning importance of internal control and the emphasis placed on control in the company’s policies, procedures, methods, and organizational structure.

Foundation for all other components of internal control, providing discipline and

structure.

2.2.2 Risk Assessment

Entity’s identification and analysis of relevant risks (both internal and external) to the

achievement of its objectives, forming a basis for determining how the risks should be managed.

Entity-level objectives, including how they are supported by strategic plans and complemented on a process/application level, have been established and communicated.

Risk assessment process, including estimating the significance of risks, assessing the

likelihood of their occurrence, and determining needed actions, has been established.

2.2.3 Control Activities Policies and procedures ensure that management’s directives are carried out and

controls called for by policy are being applied.

Mitigating and monitoring controls related to specific risks for each financial statement

caption in the balance sheet and income statement.

2.2.4 Information and Communication

Information and communication systems support identification, capture, and exchange

of information in a form and time frame that enable management and other appropriate personnel people to carry out their responsibilities.

2.2.5 Monitoring and Evaluation

Monitoring is a process that assesses the quality of internal control performance over

time.

Periodic evaluations of internal control are made and personnel, in carrying out their

regular duties, obtain evidence as to whether the system of internal control continues to function.

SOX 404 – Implementation Guidance

October 2003

3 Internal control

Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories:

Effectiveness and efficiency of operations

Reliability of financial reporting

Compliance with applicable laws and regulations

3.1 Who

Process designed by, or under the supervision of, the registrant's principal executive and principal financial officers and effected by the registrant's board of directors, management and other personnel

3.2 Objective

To provide reasonable assurance regarding reliability of financial reporting for external purposes in accordance with GAAP.

3.3 Effective internal controls

Effective internal controls include policies and procedures for:

maintenance of records that in reasonable detail accurately and fairly reflect

transactions and dispositions of assets;

providing reasonable assurance that transactions are recorded as necessary to permit

preparation of financial statements in accordance with GAAP, and receipts and expenditures of the registrant are being made only in accordance with authorizations of management and directors of the registrant; and

providing reasonable assurance regarding prevention or timely detection of

unauthorized acquisition, use or disposition of assets that could have a material effect on financial statements.

SOX 404 – Implementation Guidance

October 2003

4 IINV’s SOX 404 Framework

4.1

SOX 404 framework

4.2 Entity Assessment Questionnaires

There are five questionnaires covering Control Environment, Risk Assessment, Control Activities, Information & Communications and Monitoring & Evaluation. The entity assessment questionnaires are essential for overall assessment of elements of COSO framework. Management will need to answer all questions and provide:

explanations for each “Yes” or “No”;

Reference to relevant processes, documentation and other supporting information; self-assessment of the relevant control;

audit trail to demonstrate effectiveness of design and effectiveness of controls

SOX 404 – Implementation Guidance

October 2003

4.3 Controls performed at the Corporate Office

Cross refer to policy and procedures followed by the Corporate Office, for example reporting and control exercised by the Audit Committee.

4.4 Controls not documented or not formalised

In certain cases, there may not be formal documentation for certain controls. For example, controls such as daily or regular routine plant/facility visits, conference calls to corporate for performance update etc. In such cases, the processes and controls should be made: transparent and verifiable in terms of regularity and observable for the purpose of

attestation.

result of the control activity should be observable and be available for objective

evaluation.

consider formalising and documenting controls.

Please refer to the section 6 for minimum “Documentation”.

SOX 404 – Implementation Guidance

October 2003

5 Financial Statements and Disclosure Assertion

5.1 The Six assertions

5.1.1 Completeness

no unrecorded assets, liabilities, transactions or events, or undisclosed items.

controls exist to ensure actual transactions are not omitted from the records,

all transactions are reflected in the proper accounting period

5.1.2 Existence

Asset or a liability exists at a point in time.

Controls exist to ensure only valid assets and liabilities are recorded, safeguarded and

periodic accountability is maintained.

Controls exist to ensure legal title to recorded assets and rights to assets are only

assigned with appropriate authorization, and

Only liabilities of the company are recorded.

5.1.3 Accuracy

Controls exist to ensure that transactions are recorded at correct monetary amounts.

5.1.4 Valuation

asset or liability is recorded at an appropriate amount using an appropriate method of

valuation in line with US GAAP

transaction or event is recorded at the proper amount and revenue or expense is

allocated to the proper period.

5.1.5 Occurrence

An assertion that a recorded transaction or event actually took place during the period. Controls exist to ensure fictitious or duplicate transactions are not included in the

records.

5.1.6 Disclosure

Item is properly classified,described, and disclosed in the financial statements.

SOX 404 – Implementation Guidance

October 2003

5.2 Financial statement caption

Financial statement line items which are included in Hyperion for financial reporting purposes.

5.3 Assertion Risk

Risk that amounts reflected in the financial statements do not reflect the assertions. See The Six Assertions

5.4 Mitigating controls Preventive controls designed to detect a fraud or prevent an error

usually applied at individual transaction level

manual or IT controls

authorization would be one of the main

preventative controls.

Transaction Processing

Controls

Controls to ensure completeness and accuracy of transactions reflected in the financial statements. Detection controls

substantiation or evaluation controls designed to

monitor an assertion risk, including identification of a fraud or errors.

usually applied to groups of transactions. Physical safeguard

controls segregation of duties,

physical observation

other techniques to limit access to assets,

records, forms and processing

SOX 404 – Implementation Guidance

October 2003

5.5 Examples of control techniques

Approvals

Matching and comparisons

Sequence checking and control logs

Recalculations

Control totals

Validation

Analytical procedures

Verification of physical existence

Verification with third parties

Reconciliation of control accounts

Periodic determination of valuation allowances

Access restrictions

SOX 404 – Implementation Guidance

October 2003

6 Documentation

The following paragraphs outline the minimum documentation required for routine, non-routine and estimations. Units may provide additional documentation for its processes and controls but he following minimum standards will need to be followed to comply with the requirements of SOX 404. Documentation requirements for each class of transactions is given below.

6.1 Routine transactions

6.1.1 Overview

Routine transactions are frequently recurring financial activities reflected in the books and records in the normal course of business (e.g., sales, purchases, cash receipts, cash disbursements, payroll).

The Units should examine or prepare copies of documentation which provides a basic understanding of the flow of transactions. This documentation should include how transactions are initiated, recorded, processed, and reported. The Unit should also consider other existing documentation (e.g., process models, flowcharts, procedural manuals, job descriptions, documents, forms).

The documentation reflects all the relevant processing procedures, whether performed manually or automated. The project team generally obtains copies of or prepares certain information technology documentation. Since the primary purpose of this documentation is to help identify where errors or fraud can occur, the Unit should concentrate on documenting:

Brief description and objective of the control and how it mitigates the assertion risk Major input sources

Describe whether the control is manual or automated

Important data files (e.g., customer and price master files), documents, and records Significant processing procedures, including on-line entry and updating processes Important output files, reports, and records

Functional segregation of duties indicating the person primarily responsible for the

control.

Physical evidence for the control to the extent possible or physical observation of the

control or result of the control activity.

How is the control activity is performed and how often is it performed?

For a control documentation template see Appendix 2 of this Guidance.

SOX 404 – Implementation Guidance

October 2003

6.1.2 Segregation of duties

A lack of segregation of duties exists if any individual performs incompatible activities or if access controls of a computer application grant users inappropriate or excessive access to functionality (e.g., if an individual is in a position to both perpetrate and conceal fraud in the normal course of performing his or her duties). Thus, the Unit should consider whether any individuals:

perform processing procedures that are incompatible with each other,

perform both processing procedures and related controls, or

have inappropriate access to the accounting records and related assets.

We recommend that Units develop methods for identifying inadequacies in the segregation of duties for each major class of transactions.

6.2 Non-routine transactions

Non-routine transactions are financial activities that occur only periodically (e.g., taking physical inventory, calculating depreciation, adjusting for foreign currencies). A distinguishing feature of non-routine transactions is that data involved generally are not part of the routine flow of transactions. The Unit should focus on documenting:

Procedures or forms the company uses (e.g., the written instructions used in a physical

inventory)

Any computer applications the company uses in the accounting activities (e.g.,

applications, purchased or internally-developed, used to calculate depreciation or to capture the physical inventory counts through barcode scanning)

Assumptions, if any, employed in the transaction (e.g., the average useful lives

employed in calculating depreciation)

frequency with which the non-routine transactionoccurs

The company personnel involved in the accounting activities

6.3 Estimations

Estimation transactions are financial activities that involve management judgments or assumptions in formulating an accounting balance in the absence of a precise means of measurement (e.g., determining the allowance for doubtful accounts, establishing warranty reserves, assessing assets for impairment). For this class of transactions, the Unit should focus on documenting the following:

Data used to make the estimate (e.g., the aged listing of accounts receivable may be

used to identify potential bad debts)

SOX 404 – Implementation Guidance

October 2003

Relevant factors and assumptions that company personnel consider in making the

estimate, including the reasons for the particular assumptions

Techniques (i.e., the models) company personnel use to apply the assumptions to the

data, including the procedures to collect, calculate, and aggregate the relevant data

Frequency with which the estimation transaction occurs

Degree of subjectivity involved

Company personnel (or third party specialists) involved in making the estimate

depreciation)

Frequency with which the non-routine transaction occurs

Company personnel involved in the accounting activities

6.4 Informal controls

It is likely that there will be a number of informal controls over processes and certain transaction. In such cases, Unit Management will have to consider documenting those controls based on the guidelines given above. It should also make such informal controls transparent and verifiable in terms of regularity and observable for independent

attestation

result of the control activity should be observable and be available for objective

evaluation.

consider formalising and documenting controls.

6.5 Some sources of Control Documentation

Systems implementation such as ERP or SAP

Policy and procedures manual

ISO certification manuals

Written procedures – manual and/or IT systems procedures

Process flow /control charts

Strategy documents Budget and/or regular performance/variance update.

SOX 404 – Implementation Guidance

October 2003

7 How to address deficiencies

All significant deficiencies and material weaknesses need to be communicated in writing. These items should be set forth by management as part of its assessment report. In addition, the existence of a material weakness in internal control precludes an unqualified opinion that internal control is effective. The broad approach to significant deficiencies is as follows:

Where there are no formal controls – management should document controls to ensure

results of the control activity are transparent and the process is observable

Where there are no controls – management should design and implement controls as a

matter of utmost urgency

Controls are not working satisfactorily – Management will need to review design of the

control and develop a remedial action plan to ensure controls are operating effectively. Please inform the Steering Committee and the SOX 404 Project Manager at the earliest

opportunity should you come across a significant deficiency or a material weakness

SOX 404 – Implementation Guidance

October 2003

8 Roles and responsibilities

8.1 Unit management

Primary responsibility of management to ensure and monitor the existence of effective

internal controls.

Appoint coordinators at each unit for SOX 404 implementation

Assess need for completion of questionnaires by management of subsidiaries

consolidated within each primary reporting unit. This may need to be done in conjunction with IINV management.

Process must be properly documented to permit attestation firstly by management and

then by internal auditors.

Complete Management Self Assessment periodically and for timely review by internal

and external auditors.

Report ALL deficiencies and material weaknesses. Significant deficiencies will be

reported to audit committee and addressed in the auditors report

Develop action plan to eliminate deficiencies and material weaknesses with detailed

time table and responsibilities.

Management attestation report from all units, signed by CEO and CFO.

Please see Appendix 2 for the Management Certification required under SOX 404.

8.2 Unit Internal Assurance

Test management self assessments at each unit

Provide assurance to unit, corporate management and audit committee of IINV

NO involvement in developing controls or preparing documentation of internal control –

Essential to maintain their independence of internal auditors.

8.3 External Auditors

Test unit’s assertions on internal control by reviewing work performed by Internal

Assurance

Perform additional testing for areas to be determined by them.

SOX 404 – Implementation Guidance

October 2003

9 Corporate Assistance

9.1 Contacts

The Toolset will contain detailed guidance for completing each questionnaire. In order to facilitate this process we have a dedicated project team based in London led by Homiyar Wykes and will be your first point of contact. He will liaise with the Steering Committee for SOX 404 and respond to your questions and concerns. Members of the Steering Committee for SOX 404:

Arvind Chopra, Director - Internal Assurance : + 44 (0)20 7543 1158

T.N. Ramaswamy, Director - Finance: + 44 (0)20 7543 1174

Simon Evans, General Counsel: + 44 (0)20 7543 1183

Homiyar Wykes - hwykes@https://www.wendangku.net/doc/0118552694.html, - +44 20 7543 1136

9.2 Further guidance

Additional guidance on implementation will be provided through separate inter office memoranda.

SOX 404 – Implementation Guidance

October 2003

Appendix 1 Management Attestation to be signed by the Unit CEO and CFO

In addition to the existing management certification under section 302 or the Sarbanes-Oxley Act, Unit CEO and CFO will be required to attest to the following once SOX 404 has been fully implemented:

“As the certifying officers of Ispat [specify Unit Name], we are responsible for establishing and maintaining disclosure controls and procedures (as defined in Exchange Act Rules 13a-1415(e) and 15d-1415(e)) and internal control over financial reporting (as defined in Exchange Act Rules 13a-15(f) and 15d-15(f)) for Ispat [specify unit name] and have designed such internal control over financial reporting, or caused such internal control over financial reporting to be designed under our supervision, to provide reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements for external purposes in accordance with generally accepted accounting principles.

Based on our continuous review process we can certify, that adequate internal controls over financial reporting has been maintained in Ispat [specify unit name], over the period of twelve months ending December 31, 200[X].”

SOX 404 – Implementation Guidance

October 2003

Appendix 2

Sample template for control documentation

Unit Name

Financial Statement Caption

Control Objective

Description of Control Activity How is the control activity performed and how often ?

Manual / Automated / Semi automated

Control Procedures (Please describe briefly each of the applicable)

Authorisation

Completeness

Accuracy

Substantiation

Evaluation

Access to Assets

Risk mitigated by the control

Primary input sources Should include important data files (e.g., customer and price

master files), documents, and records

Processing procedures Significant processing procedures, including on-line entry and

updating processes

Primary Output

Key output files, reports, and records

Physical evidence for the control to the extent possible or physical observation of the control or result of the control activity.

Segregation of duties Functional segregation of duties indicating the person

primarily responsible for the control.

Process Recording Access Prepared by / Updated on: Name Designation Date Responsibility for control activity Name Designation Date

Date of approval and authority Name Designation Date

Last reviewed on: Name Designation Date

SOX 404 – Implementation Guidance

October 2003

现行国家信息安全技术标准

现行国家信息安全技术标准 序号 标准号 Standard No. 中文标准名称 Standard Title in Chinese 英文标准名称 Standard Title in English 备注 Remark 1GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分：算法描述Information security technology—ZUC stream cipher algorithm— Part 1: Algorithm description 2GB/T 33134-2016信息安全技术公共域名服务系统安全要求Information security technology—Security requirement of public DNS service system 3GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求Information security technology—Specification for IP storage network security based on IPSec 4GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems 5GB/T 33132-2016信息安全技术信息安全风险处理实施指南Information security technology—Guide of implementation for information security risk treatment 6GB/T 32905-2016信息安全技术 SM3密码杂凑算法Information security techniques—SM3 crytographic hash algorithm 国标委计划[2006]81号 7GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求Information security techniques—Security technical requirements for IC card chip with CPU 8GB/T 32907-2016信息安全技术 SM4分组密码算法Information security technology—SM4 block cipher algorthm 国标委计划[2006]81号 9GB/T 32918.1-2016信息安全技术 SM2椭圆曲线公钥密码算法第1部分：总则Information security technology—Public key cryptographic algorithm SM2 based on elliptic curves—Part 1: General 国标委计划 [2006]81号

国家标准信息安全管理实用规则

国家标准《信息安全技术安全漏洞分类规范》 （征求意见稿）编制说明 一、工作简况 1.1任务来源 《信息安全技术安全漏洞分类规范》是国家标准化管理委员会2010年下达的信息安全国家标准制定项目，国标计划号为：20100385-T-469。由国家信息技术安全研究中心主要负责进行规范的起草，中国信息安全测评中心、中国科学院研究生院国家计算机网络入侵防范中心、国家计算机网络应急技术处理协调中心等单位参与起草。 1.2主要工作过程 1、2010年6月，组织参与本规范编写的相关单位召开项目启动会，成立规范编制小组，确立各自分工，进行初步设计，并听取各协作单位的相关意见。 2、2010年7月，根据任务书的要求，规范编制小组开展考察调研和资料搜集工作，按照需求分析整理出安全漏洞分类规范的框架结构。 3、2011年4月，按照制定的框架结构，确定分类的原则和方法，形成《安全漏洞分类规范》草稿V1.0。 4、2011年7月，课题组在专家指导下，积极采纳国外相关漏洞分类的原则，形成《安全漏洞分类规范》草稿V1.1。 5、2011年8月26日，规范编制小组在积极采纳专家意见的基础上，对规范内容进行修改，形成《安全漏洞分类规范》草稿V1.2。 6、2013年8月28日，安标委秘书处组织了该标准的专家评审，编制小组听取了专家意见，对标准文本的内容进行修订、简化，形成《安全漏洞分类规范》草稿V1.3。 7、2014年11月，安标委WG5工作组对《安全漏洞分类规范》标准草案稿进行了投票表决，通过了本标准。投票表决中相关单位和专家提出了一些修改建议和意见，标准编制组对意见进行了逐条分析和理解，对标准文本进行了完善，形成了《安全漏洞分类规范》征求意见稿及相关文件。 二、编制原则和主要内容 2.1 编制原则

信息安全管理学习资料

一、信息安全管理 1、什么是信息安全管理，为什么需要信息安全管理？ 国际标准化组织对信息安全的定义是：“在技术上和管理上维数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。当今的信息系统日益复杂，其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁，信息资产就可能会遭受巨大的损失甚至威胁到国家安全。 2、系统列举常用的信息安全技术？ 密码技术、访问控制和鉴权；物理安全技术；网络安全技术；容灾与数据备份。 3、信息安全管理的主要内容有哪些？ 信息安全管理从信息系统的安全需求出发，结合组织的信息系统建设情况，引入适当的技术控制措施和管理体系，形成了综合的信息安全管理架构。 4、什么是信息安全保障体系，它包含哪些内容？ 5、信息安全法规对信息安全管理工作意义如何？ 它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面： 1.为人们从事在信息安全方面从事各种活动提供规范性指导； 2.能够预防信息安全事件的发生； 3.保障信息安全活动参与各方的合法权益，为人们追求合法权益提供了依据和手段。 二、信息安全风险评估 1、什么是信息安全风险评估？它由哪些基本步骤组成？ 信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段，第一阶段为风险评估准备；第二阶段为风险识别，第三阶段为风险评价，第四阶段为风险处理。 2、信息资产可以分为哪几类？请分别举出一两个例子说明。 可以分为数据、软件、硬件、文档、人员、服务。例如：软件有系统软件、应用软件、源程序、数据库等。服务有办公服务、网络服务、信息服务等。 3、威胁源有哪些？其常见表现形式分别是什么？

国内外信息安全产品认证标准简介

国内外信息安全产品认证标准简介信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技术依据。因此，世界各国越来越重视信息安全产品认证标准的制修订工作。 一、国外信息安全标准发展现状 l .CC标准的发展过程 CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准，用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范，包括欧洲ITSEC、美国TCSEC（桔皮书）、加拿大CTCPEC以及美国的联邦准则(Federal Criteria)等，由6个国家（美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰）共同提 出制定。CC标准的发展过程见附图。 国际上，很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年CCV2.1被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》，目前，最新版本ISO/IEC15408-2008采用了CCV3.1。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法，并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 2. CC标准内容介绍 CC标准共分为三部分,主要内容包括信息技术安全性评估的一般模型和基本框架，以及安全功能要求和安全保证要求，目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评估准则。CC标准为不同国家或实验室的评估结果提供了可比性。 CC标准的第一部分为简介和一般模型，描述了信息安全相关的基本概念和模型，以及PP和ST的要求。PP是为一类产品或系统定义信息安全技术要求，包括功要求和保证要求。ST则定义了一个既定评估对象(TOE-TarEet of aluation)的IT

征信机构信息安全规范

征信机构信息安全规范 一、总则 1.1标准适用范围 标准规定了不同安全保护等级征信系统的安全要求，包括安全管理、安全技术和业务运作三个方面。 标准适用于征信机构信息系统的建设、运行和维护，也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行，标准还可作为专业检测机构开展检测、认证的依据。 1.2相关定义 （一）征信系统：征信机构与信息提供者协议约定，或者通过互联网、政府信息公开等渠道，对分散在社会各领域的企业和个人信用信息，进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。 （二）敏感信息：影响征信系统安全的密码、密钥以及业务敏感数据等信息。 1、密码包括但不限与查询密码、登录密码、证书的PIN等。 2、密钥包括但不限与用于确保通讯安全、报告完整性的密

钥。 3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。 （三）客户端程序：征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能（如数据采集）的程序，并提供必需功能的组件，包括但不限于：可执行文件、控件、浏览器插件、静态链接库、动态链接库等（不包括IE等通用浏览器）；或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。 （四）通讯网络：通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连，征信系统安全设计应在考虑建设成本、网络便利性等因素的同时，采取必要的技术防护措施，有效应对网络通讯安全威胁。（五）服务器端：服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序，征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等，在外部威胁和受保护的资源间建立多道严密的安全防线。 1.3总体要求 本标准从安全管理、安全技术和业务运作三个方面提出征信

信息安全有关标准标准的发展一.国际标准的发展

第三章信息安全有关标准 第一节标准的发展 一．国际标准的发展 1960年代末，1970年代初，美国出现有关论文。 可信Ttusted，评测级别，DoD美国防部 1967年10月，美国防科委赞助成立特别工作组。 1970年，Tast Force等人《计算机系统的安全控制》（始于1967年）。 1970年代初，欧、日等国开始。 1970年2月，美发表计算机系统的安全控制。 1972年，美发表DoD5200.28条令。 1972年，美DoD《自动数据处理系统的安全要求》 1973年，美DoD《ADP安全手册-实施、撤消、测试和评估安全的资源共享ADP系统的技术与过程》 1973年，美发表DoD5200.28-M（.28相应的指南）。 1976年，MITRE公司的Bell、LaPadula推出经典安全模型——贝尔-拉柏丢拉模型（形式化）。 1976年，美DoD《主要防卫系统中计算机资源的管理》 1976年，美联邦信息处理标准出版署FIPS PUB制订《计算机系统安全用词》。 1977年，美国防研究与工程部赞助成立DoD（Computer Security Initiative，1981年01月成立DoD CSC）。 1977年3月，美NBS成立一个工作组，负责安全的审计。 1978年，MITRE公司发表《可信计算机系统的建设技术评估标准》。 1978年10月，美NBS成立一个工作组，负责安全的评估。 1983年，美发布“可信计算机系统评价标准TCSEC”桔皮书（1985年正式版DoD85）。 DoD85：四类七级：D、C（C1、C2）、B（B1、B2、B3）、A（后又有超A）。 1985年，美DoD向DBMS，NET环境延伸。 1991年，欧四国(英、荷兰、法等)发布“信息技术安全评价标准IT-SEC”。 1993年，加拿大发布“可信计算机系统评价标准CTCPEC”。 国际标准组织IEEE/POSIX的FIPS，X/OPEN。 1993年，美DoD在C4I(命令、控制、通信、计算机、集成系统)上提出多级安全MIS技术。 1994年4月，美国家计算机安全中心NCSC颁布TDI可信计算机系统评估标准在数据库管理系统的解释。 1994年，美、加、欧的信息技术安全评测公共标准CC V0.9，1996年为1.0版本。 与上述标准不同，目前信息安全尚无统一标准。 影响较大的： 美TCSEC 桔皮书及红皮书（桔皮书在网络环境下和解释）； 美信息系统安全协会ISSA的GSSP（一般接受的系统原则）（与C2不同，更强调个人管理而不是系统管理）； 日本《计算机系统安全规范》； 英国制订自己的安全控制和安全目标的评估标准（1989年）；

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》 发布时间：2018-01-28浏览：578 按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。 本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。 一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容： 6.1 个人信息保存时间最小化 对个人信息控制者的要求包括： a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。 6.2 去标识化处理 收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储 对个人信息控制者的要求包括： a) 传输和存储个人敏感信息时，应采用加密等安全措施; b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时，应： a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容： 9.1 安全事件应急处置和报告 对个人信息控制者的要求包括： a) 应制定个人信息安全事件应急预案; b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程; c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置： 1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门; 2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患; 3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或

ISO27001信息安全管理体系标准中文版

ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)

0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系（ISMS）的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施，如，简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理，将输入转换为输出的活动，可以被认为是一个过程。通常，一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用，连同这些过程的识别和相互作用及管理，可以称之这“过程的方法”。 在本国际标准中，信息安全管理的过程方法鼓励用户强调以下方面的重要性： a)了解组织信息安全需求和建立信息安 全策略和目标的需求； b)在组织的整体业务风险框架下，通过 实施及运作控制措施管理组织的信息 安全风险； c)监控和评审ISMS的执行和有效性； d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”（PDCA）模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望，经过必要的处理，产生满足需求和期望的产品信息安全输出，图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》（2002）中陈述的原则，0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the

国内外信息安全标准

国内外信息安全标准 姓名杨直霖 信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技术依据。因此，世界各国越来越重视信息安全产品认证标准的制修订工作。 国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准，用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范，包括欧洲ITSEC、美国TCSEC（桔皮书）、加拿大CTCPEC 以及美国的联邦准则(Federal Criteria)等，由6个国家（美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰）共同提出制定。 国际上，很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》，目前，最新版本ISO/IEC15408-2008采用了。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法，并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 国内信息安全标准:为了加强信息安全标准化工作的组织协调力度，国家标准化管理委员会批准成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为TC260)。在信安标委会的协调与管理下，我国已经制修订了几十个信息安全标准，为信息安全产品检测认证提供了技术基础。 2001年，我国将ISO/IEC15408-1999转化为国家推荐性标准GB/T18336-2001 (CC 《信息技术安全技术信息技术安全性评估准则》。目前，国内最新版本GB/T18336-2008采用了 IS0/IEC15408-2005．即CC 。 我国信息安全标准借鉴了GB/T 18336结构框架和技术要求，包括安全功能要求、安全保证要求和安全保证级的定义方法，以及标准的框架结构等。例如，GB/T20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》借用了PP的结构和内容要求，包括安全环境、安全目的和安全要求（安全功能要求和安全保证要求）等内容，以及CC标准预先定义的安全保证级别(EAL4)。同时，结合国内信息安全产品产业的实际情况，我国信息安全标准还规定了产品功能要求和性能要求，以及产品的测试方法。有些标准描述产品分级要求时，还考虑了产品功能要求与性能要求方面的影响因素。 国外信息安全现状 信息化发展比较好的发达国家，特别是美国，非常重视国家信息安全的管理工作。美、俄、日等国家都已经或正在制订自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展。美国信息安全管理的最高权力机构是美国国土安全局，分担信息安全管理和执行的机构有美国国家安全局、美国联邦调查局、美国国防部等，主要是根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。2000年初，美国出台了电脑空间安全计划，旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月，日本信息技术战略本部及信息安全

信息安全系统管理系统要求规范

信息安全管理规范公司

版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要

Table of Contents（目录） 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级（保密级别）规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息？ (21) 2.2什么是信息安全？ (21)

信息安全技术SM3密码杂凑算法编制说明全国信息安全标准化.doc

《信息安全技术SM3 密码杂凑算法》 （征求意见稿）编制说明 一、任务来源 根据国家标准化管理委员会XX 年下达的国家标准制修订计划，国家标准《信息安全技术SM3 密码杂凑算法》由国家商密办负责主办。标准计划号为XXXXX （全国信息安全标准化技术委员会XXXX 年信息安全专项）。 二、编制原则 1．坚持安全、实用、美观的技术标准：全面分析所制定规范的安全性，对算法的可抗攻击性进行完善分析，重点考虑实用性和其以后的推广；保证算法能够有效抵抗比特追踪法以及其他已知的分析方法。算法的设计过程中，算法的符号表述尽量标准、美观。 2．创新性：在算法标准的设计方面分别有不同的创新。 3．自主性：设计自主、符合我国需求的哈希算法。 4．高效性：设计的杂凑算法便于软、硬件平台高效的实现。在保障安全性的前提下，综合性能指标优于SHA-256。 5．合法性：符合国家有关法律法规和已经制定的标准规范的相关要求。 三、主要工作过程 （一）密码行业标准起草工作过程 1．设计评审阶段 2002年1月21日，国密办下达了“杂凑算法”研制任务的通知，算法于2002 年5月设计完成。2002年8月22日，技术处对数据所研制的SCH1杂凑算法进行了算法审查，并于8月29日至31日对其余六个分别由数据所、济南得安、中科院DCS 中心、成都卫士通、江南所和山东大学研制的SCH2-SCH7 进行了集中审查。确定并评审出SCH4 杂凑算法。 2．优化检测阶段 2003年7月，国密办向SCH4研制单位中科院数据与通信保护研究

教育中心下达了“关于对SCH4杂凑算法进行修改完善的通知”，9月26日“LSW杂凑算法课题组”完成SCH4杂凑算法修改完善工作完成并形成相关技术文档。2003年10 月27 日志12 月26 日，商用密码杂凑算法综合检测组在SSR02密码算法综合检测平台、IC卡汇编语言仿真检测平台、FPGA/ASIC 仿真检测平台上对优化后的 SCH4 杂凑算法进行了综合检测并形成综合检测记录和检测报告。 3．初稿编写及IP 核实施阶段 2004年6月国密办下达杂凑算法标准编写任务。7月～10月底，中科院数据通信与保护研究教育中心根据杂凑算法标准编写任务的要求完成商用密码杂凑算法标准，形成初稿。 同年11月，根据国密办《关于下达杂凑算法IP 核设计任务的通知》，国家密码管理委员会办公室商用密码研究中心承担了SCH4 杂凑算法0.35um、0.25um、0.18um三种工艺IP核实现的设计任务，形成SCH4算法IP核实施方案。 4．算法修改及初稿重新修订阶段 2005年3月，针对王小云教授自主研发的比特追踪法破解MD5 等算法的情况，国家密码管理局请专家组对SCH4 算法进行了针对性分析，分析结果表明该算法不能有效抵御比特追踪法分析；随后国家密码管理局紧急组织成立了SCH 杂凑算法研制攻关组，在保持SCH4 基本结构的基础上，运用最先进的杂凑算法分析和设计理论对其修改，研制了SCH 算法并对初稿进行重新修订。新算法采用了新颖的消息扩展算法、双字介入的并行压缩结构以及混合使用不同群运算，有利于消息的扩散和混乱，便于软、硬件实现。针对算法本身特点，综合运用差分抗碰撞分析、线性分析和均差分析等方法进行了深入的安全性分析，特别是针对国际上最先进的比特追踪法进行了安全设计和分析。结果表明，该算法安全强度高，灵活性好，技术先进，设计上有创新，适合软硬件实现，适合IC 卡等终端用户产品实现。 5．征求意见稿编写阶段 2005 年5 月，对初稿进行修改和补充，结合各成员单位多年技术积

网上银行系统信息安全通用规范标准

附件 网上银行系统信息安全通用规范 （试行） 中国人民银行

目录 1使用范围和要求 (4) 2规范性引用文件 (4) 3术语和定义 (5) 4符号和缩略语 (6) 5网上银行系统概述 (6) 5.1系统标识 (6) 5.2系统定义 (7) 5.3系统描述 (7) 5.4安全域 (8) 6安全规范 (9) 6.1安全技术规范 (9) 6.2安全管理规范 (22) 6.3业务运作安全规范 (26) 附1 基本的网络防护架构参考图 (30) 附2 增强的网络防护架构参考图 (31)

前言 本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、管理和业务运作三个方面。 本规范分为基本要求和增强要求两个层次。基本要求为最低安全要求，增强要求为本规范下发之日起的三年内应达到的安全要求，各单位应在遵照执行基本要求的同时，按照增强要求，积极采取改进措施，在规定期限内达标。 本规范旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级的安全性依据，也可作为各单位开展安全检查和内部审计的依据。

1使用范围和要求 本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范，适用于规范网上银行系统建设、运营及测评工作。 2规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，然而，鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本规范。 GB/T 20983-2008 信息安全技术网上银行系统信息安全保障评估准则 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 GB/T 20984-2007 信息安全技术信息系统风险评估规范 GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型 GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第2部分: 安全功能要求 GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分: 安全保证要求 GB/T 22080-2008 信息技术安全技术信息安全管理体系要求 GB/T 22081-2008 信息技术安全技术信息安全管理使用规则 GB/T 14394-2008 计算机软件可靠性和可维护性管理 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》（银发〔2006〕123号） 《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》（银发〔2009〕142号）

解读国标T信息安全技术个人信息安全规范

解读国标T信息安全技 术个人信息安全规范 Coca-cola standardization office【ZZ5AB-ZZSYT-ZZ2C-ZZ682T-ZZT18】

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》 发布时间：2018-01-28浏览：578 按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。 本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。 一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容： 个人信息保存时间最小化 对个人信息控制者的要求包括： a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。 去标识化处理

收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。 个人敏感信息的传输和存储 对个人信息控制者的要求包括： a) 传输和存储个人敏感信息时，应采用加密等安全措施; b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时，应： a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：安全事件应急处置和报告 对个人信息控制者的要求包括：

软考-信息安全工程师(汇总1000题)

一、1单项选择题（1-605） 1、Chinese Wall 模型的设计宗旨是：（A）。 A、用户只能访问哪些与已经拥有的信息不冲突的信息 B、用户可以访问所有信息 C、用户可以访问所有已经选择的信息 D、用户不可以访问哪些没有选择的信息 2、安全责任分配的基本原则是：（C）。 A、“三分靠技术，七分靠管理” B、“七分靠技术，三分靠管理” C、“谁主管，谁负责” D、防火墙技术 3、保证计算机信息运行的安全是计算机安全领域中最重要的环节之一，以下（B）不属于 信息运行安全技术的范畴。 A、风险分析 B、审计跟踪技术 C、应急技术 D、防火墙技术 4、从风险的观点来看，一个具有任务紧急性，核心功能性的计算机应用程序系统的开发和 维护项目应该（A）。 A、内部实现 B、外部采购实现 C、合作实现 D、多来源合作实现 5、从风险分析的观点来看，计算机系统的最主要弱点是（B）。 A、内部计算机处理 B、系统输入输出 C、通讯和网络 D、外部计算机处理 6、从风险管理的角度，以下哪种方法不可取？（D） A、接受风险 B、分散风险 C、转移风险 D、拖延风险 7、当今IT的发展与安全投入，安全意识和安全手段之间形成（B）。 A、安全风险屏障 B、安全风险缺口 C、管理方式的变革 D、管理方式的缺口 8、当为计算机资产定义保险覆盖率时，下列哪一项应该特别考虑？（D）。 A、已买的软件 B、定做的软件 C、硬件 D、数据 9、当一个应用系统被攻击并受到了破坏后，系统管理员从新安装和配置了此应用系统，在 该系统重新上线前管理员不需查看：（C） A、访问控制列表 B、系统服务配置情况 C、审计记录 D、用户账户和权限的设置 10、根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行（B）。 A、逻辑隔离 B、物理隔离 C、安装防火墙 D、VLAN 划分 11、根据《信息系统安全等级保护定级指南》，信息系统的安全保护等级由哪两个定级要素

【精品】国内外主流信息安全标准体系

国内外主流信息安全标准体系 2011-03-22 网络与信息安全标准化工作是国家信息安全保障体系建设的重要组成。网络与信息安全标准研究与制定为国家主管部门管理信息安全设备提供了有效的技术依据，这对于保证安全设备的正常运行，并在此基础上保证我国国民经济和社会管理等领域中网络信息系统的运行安全和信息安全具有非常重要的意义。下面主要介绍当前网络与信息安全标准研究的现状。 网络信息安全标准组织简介 国际组织 国际上信息安全标准化工作兴起于20世纪70年代中期，80年代有了较快的发展，90年代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织制定标准或技术规则，与信息安全标准化有关的组织主要有以下4个： ISO(国际标准化组织)。ISO/IEC JTC1(信息技术标准化委员会)所属SC27(安全技术分委员会)的前身是SC20(数据加密技术分委员会)，主要从事信息技术安全的一般方法和技术的标准化工作。而ISO/TC68负责银行业务应用范围内有关信息安全标准的制定，主要制定行业应用标准，与SC27有着密切的联系。ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面的内容； IEC(国际电工委员会)。IEC在信息安全标准化方面除了与ISO联合成立了JTC1下分委员会外，还在电信、电子系统、信息技术和电磁兼容等方面成立技术委员会(如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通信技术电子设备的安全等)，并且制定相关国际标准(如信息技术设备安全 IEC60950等)；

ITU(国际电信联盟)。ITU SG17组负责研究网络安全标准，包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务。此外SG16和下一代网络核心组也在通信安全、H.323网络安全、下一代网络安全等标准方面进行研究； IETF(Internet工程任务组)等。IETF标准制定的具体工作由各个工作组承担。Internet工程任务组分成8个工作组，分别负责 Internet路由、传输、应用等8个领域，其著名的IKE和IPSec都在RFC系列之中，还有电子邮件、网络认证和密码及其他安全协议标准。 国内组织 国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)以及中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会。 CITS成立于1984年，在国家标准化管理委员会和信息产业部的共同领导下负责全国信息技术领域以及与ISO/IEC JTC1相对应的标准化工作，目前下设24个分技术委员会和特别工作组，是国内最大的标准化技术委员会，也是具有广泛代表性、权威性和军民结合的信息安全标准化组织。CITS主要负责信息安全的通用框架、方法、技术和机制的标准化及归口国内外对应的标准化工作，其中技术安全包括开放式安全体系结构、各种安全信息交换的语义规则、有关的应用程序接口和协议引用安全功能的接口等。 CCSA成立于2002年12月18日，是国内企事业单位自愿联合组织起来经业务主管部门批准的开展通信技术领域标准化活动的组织。CCSA下设了有线网络信息安全、无线网络信息安全、安全管理和安全基础设施4个工作组负责研究:有线网络中电话网、互联网、传输网、接入网等在内所有电信网络相关的安全标准;无线网络中接入、核心网、业务等相关的安全标准以及安全管理工作组;安全基础设施工作组中网管安全以及安全基础设施相关的标准。 标准研究现状