信息安全产品分级评估业务FAQ
国家信息安全测评
信息安全产品分级评估业务FAQ
版本:2.1
?版权2011—中国信息安全测评中心
二〇一一年三月
分级评估业务FAQ
一、分级评估的目的和意义
1. 对信息安全产品依据国家标准进行分级评估;
2. 判定产品是否满足标准中的安全功能和安全保证要求;
3. 有助于在涉及国家安全的信息安全领域中加强产品的安全性和可控性,维护国家和用户的安全利益;
4. 促进中国信息安全市场的优胜劣汰机制的建立和完善,规范市场。
二、分级评估业务适用范围
具有信息技术安全功能的产品,如:防火墙,IDS/IPS、智能卡、网闸、桌面控制、审计等。
三、分级评估目前可受理的级别包括哪些
目前受理的级别包括:EAL1、EAL2、EAL3、EAL4、EAL5及各级别的增强级。
四、对分级评估的申请者有什么要求
向中心提交分级评估申请的用户,须具备以下要求:
1. 政府机关、具有独立法人资格的合法经营机构或研究机构,可直接向中心提出评估申请;
2. 涉外企业须通过国内代理向中心提出评估申请,代理机构应符合第1项中的要求。
五、申请受理的程序如何
申请方应填写《信息安全产品分级评估申请书》(可以通过本中心网站https://www.wendangku.net/doc/4e14462072.html,下载),其中纸版、电子版各两份。
中心在收到申请书后的10个工作日内,通知申请方是否正式受理申请。
六、分级评估依据和参考的标准是什么
依据标准:
1. GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》。
参考标准:
1. 《通用评估方法》;
2. 产品相应保证级的安全技术要求;
3. 产品相关国家和国际标准。
七、分级评估的主要步骤
1. 评估:对申请者提交的证据进行评估;
2. 安全性测试:包括独立性测试、穿透性测试;(EAL1级不进行穿透性
测试。)
3. 现场核查:EAL3级(含)以上需要此步骤,核查配置管理、开发安全、交付运行。
八、分级评估的主要阶段有哪些
分级评估的主要阶段包括:
1)受理阶段;
2)预评估阶段;
3)评估阶段:
4)注册阶段。
九、产品送测的具体要求有哪些
用户按下列要求将送测物品送达本中心:
1. 产品提交时间最晚不得超过评估进展至50%时;
2.产品配置必须与ST中描述的完全一致;
3. 送测样品(硬、软件)至少两台套;
4. 相关的产品配件,如IC卡、磁盘、光盘等;
5. 完整的技术文档、指令手册、用户手册等;
6. 相关的计算机或通信外设;
7. 申请者在其他测试机构测试或自测的有关文档;
8. 其他需要的技术文件。
十、现场核查的时间、内容以及形式
EAL3级(含)以上分级评估包括现场核查的内容:
1. 现场核查约在评估过程进行至70%左右时进行;
2. 现场核查的内容包括配置管理、交付运行和开发安全;
3. 现场核查的形式包括文档证据审查、实际环境审查以及与有关人员交流。
十一、分级评估的周期
评估开始时间为厂家接到项目启动通知单的时间,评估结束时间为评估部门出具评估技术报告的时间。
●EAL1: 20个工作日
●EAL2: 30个工作日
●EAL3: 60个工作日
●EAL4: 90个工作日
●EAL5: 120个工作日
十二、评估后的产品,注册公告需多长时间
产品通过评估后,将进入注册公告阶段,其时间为10个工作日。
信息安全产品培训方案
[标签:标题] 信息安全产品 培训方案 *****有限公司 2016年08月05日
目录 第1章概述 (1) 1.1 前言 (1) 1.2 培训目的 (1) 1.3 培训内容 (1) 1.4 培训安排 (2) 第2章培训原则 (2) 2.1 培训范围 (2) 2.2 培训时间 (2) 2.3 培训师资 (3) 2.4 对培训人员的要求 (3) 2.5 提供中文授课及中文材料与培训教材 (3) 第3章*******原厂商培训计划细节 (3) 3.1 产品基础培训 (3) 3.2 系统运行维护培训 (3) 3.3 技术答疑 (4) 3.4 有针对性的二次培训 (4) 3.5 升级培训服务 (4) 第4章培训安排 (4) 4.1 应用交付基础培训(现场培训) (4) 4.2 应用交付系统运行维护培训(集中培训) (6) 第5章培训教材简介 (8) 5.1 配置与管理 (8) 5.2 单设备接线方式 (8) 5.3 配置界面 (9) 5.4 配置和使用 (9)
第1章概述 1.1前言 系统基于互联网的应用系统安全评估及网络行为监控项目实施完成以后,如何才能对所有设备进行有效管理,是所有系统管理员关心的问题。为了保证整个系统稳定运行,提高其使用效率和安全性,需要对用户的系统管理人员进行相关技术培训,使他们能掌握产品的配置、故障诊断、设备管理、达到能独立进行日常管理,以保障系统的正常运行,使管理员能够更快的进入环境,真正帮助管理员对系统进行有效管理,提高管理质量。因此,为用户培训出一支有较高水平的技术队伍,来保证整个系统的有效运行,也是十分重要的。 针对系统基于互联网的应用系统安全评估及网络行为监控项目我司会对硬件设备提供现场操作使用培训,其内容涉及设备的基本原理、安装、调试、操作使用和保养维修(产品维护、故障排除、性能优化等)等,我司会在本章中提供详细的培训方案。 1.2培训目的 培训目的有两个: 强化分支机构IT人员对设备的认识程度及维护能力,让其可自主完成对应用交付运维; 强化总部IT人员,对集中管理平台使用及认知,让其可担当其省分应用交付运维工作,并分担总部在应用交付运维上的工作。 用户方的技术人员经培训后应能熟练地掌握与本产品有关的软件及硬件维护工作,并能及时排除大部分设备故障。本文件是*******科技技术支持部培训中心对采购人进行应用交付的使用维护的培训大纲。 针对培训对象按不同的级别进行了分类,共设定了两个级别的培训项目:入门级别(初级)和专家级别培训(中级、高级)。对于每个培训项目,本文件第三部分“培训项目说明”定义了该培训项目的培训对象、入学要求、培训目标、培训内容、培训方式、培训时长及培训课程等。 1.3培训内容 技术培训: 对货物生产厂家提供的软硬件设备的技术原理和操作使用方法,维护管理等进行培训。货物生产厂家负责提供培训教材。分为入门级培训和专家级培训。同时,根据本项目需要,我司培训内容分为初级、中级、高级三种内容,详细内容见第二节。 技术交流:货物生产厂家与采购人进行定期的技术交流,分享应用交付和网络安全等方面最新技术信息。技术交流时间在项目实施前举办一次,然后验收后每一年举办一
互联网新技术新业务安全系统评估规章制度
互联网新技术新业务安全评估制度文本 目录 1 围 (2) 2术语、定义和缩略语 (2) 3概述 (3) 4安全评估工作要求 (4) 5安全评估总体思路 (6) 6业务安全风险评估 (7) 7企业安全保障能力评估 (13)
1 围 本制度适用于****科技(以下简称“我司”) ************互联网新技术新业务安全评估的工作要求、组织流程、评估容和方法进行了描述和规,本制度涉及的互联网不包括专用网,仅指公众互联网(含移动互联网)。 本制度适用于在通信行业中组织开展的互联网新技术新业务安全评估工作。 2术语、定义和缩略语 2.1术语和定义 下列术语和定义适用于本文件。
2.1.1 信息安全security 信息安全是指互联网技术、业务、应用制作、复制、发布、传播的公共信息容应该满足《互联网信息服务管理办法》等相关法律法规要求。 2.1.2 信息安全事件security incident 由于互联网技术、业务、应用自身的特性和功能,或被恶意使用,导致互联网技术、业务、应用被利用制作、复制、发布、传播信息,组织非法串联等,对信息安全危害情况。 2.1.3 信息安全风险security risk 互联网技术、业务、应用被利用导致安全事件的发生及其对经济正常运行、社会稳定、国家安全造成的影响 2.2缩略语 下列缩略语适用于本文件。 IP Internel Protocol 互联网协议
3概述 我司************的互联网新技术新业务安全评估(以下简称“安全评估”)是指运用科学的方法和手段,系统地识别和分析互联网技术、业务、应用可能引发的信息安全风险。评估信息安全事件一旦发生可能造成的危害程度,评估我司配套的信息安全保障能力是否能够将风险控制在可接受的水平,提出有针对性的预防信息安全事件发生的管理对策和安全措施,为最大限度地保障互联网技术、业务、应用的信息安全提供科学依据。 互联网新技术新业务安全评估的目标是为了进一步加强对互联网技术、业务、应用的管理,帮助我司提早防潜在安全风险,提早部署安全保障措施,促进互联网创新健康发展。 4安全评估工作要求 4.1安全评估对象 安全评估的对象是基础电信企业及增值电信企业(含三网融合涉及的广电企业)运营的互联网技术、业务或应用。 4.2安全评估启动条件 互联网技术、业务或应用满足下列情形之一的,应及时
信息安全风险评估方法
从最开始接触风险评估理论到现在,已经有将近5个年头了,从最开始的膜拜捧为必杀技,然后是有一阵子怀疑甚至预弃之不用,到现在重拾之,尊之为做好安全的必备法宝,这么一段起起伏伏的心理历程。对风险的方法在一步步的加深,本文从风险评估工作最突出的问题:如何得到一致的、可比较的、可重复的风险评估结果,来加以分析讨论。 1. 风险评估的现状 风险理论也逐渐被广大信息安全专业人士所熟知,以风险驱动的方法去管理信息安全已经被大部分人所共知和接受,这几年国内等级保护的如火如荼的开展,风险评估工作是水涨船高,加之国内信息安全咨询和服务厂商和机构不遗余力的推动,风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准,一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T 20984-2007信息安全风险评估规范》,其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象,在参照当前流行的国际国内标准如ISO2700 2,COBIT,信息系统等级保护,识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点,最后从可能性和影响程度这两个方面来评价信息资产的风险,综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上,在实践中摸索和开发出类似与流程风险评估等方法,补充完善了资产风险评估。 2. 风险评估的突出问题 信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法,银行业业务风险管理的方法已经发展到相当成熟的地步,并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是,风险评估作为信息安全领域的新生事物,或者说舶来之物,尽管信息安全本身在国内开展也不过是10来年,风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤,没有基础的、统计数据做支撑,定量风险评估寸步难移;而定性的风险评估其方法的本质是定性,所谓定性,则意味着估计、大概,不准确,其本质的缺陷给实践带来无穷的问题,重要问题之一就是投资回报问题,由于不能从财务的角度去评价一个/组风险所带来的可能损失,因此,也就没有办法得到投资回报率,尽管这是个问题,但是实践当中,一般大的企业都会有个基本的年度预算,IT/安全占企业年度预算的百分之多少,然后就是反正就这么些钱,按照风险从高到低或者再结合其他比如企业现有管理和技术水平,项目实施的难易度等情况综合考虑得到风险处理优先级,从高到低依次排序,钱到哪花完,风险处理今年就处理到哪。这方法到也比较具有实际价值,操作起来也容易,预算多的企业也不怕钱花不完,预算少的企业也有其对付办法,你领导就给这么些钱,哪些不能处理的风险反正我已经告诉你啦,要是万一出了事情你也怪不得我,没有出事情,等明年有钱了再接着处理。
银行理财产品的定义与分类
银行理财产品的分类与解析 银行理财产品,按照标准的解释,应该是商业银行在对潜在目标客户群分析研究的基础上,针对特定目标客户群开发设计并销售的资金投资和管理计划。在理财产品这种投资方式中,银行只是接受客户的授权管理资金,投资收益与风险由客户或客户与银行按照约定方式承担。本文主要介绍了现行银行理财产品的分类以及作者个人的想法和政策建议。 一、根据本金与收益是否保证 我们将银行理财产品分为保本固定收益产品、保本浮动收益产品与非保本浮动收益产品三类。在期限上也是从7天到3个月、6个月、1年期、2年期不等,从各个方面满足了客户的投资需求。 1、保证收益理财计划 保本收益理财计划是指商业银行按照约定条件向客户承诺支付固定收益,银行承担由此产生的投资风险,或银行按照约定条件向客户承诺支付最低收益并承担相关风险,其他投资收益由银行和客户按照合同约定分配,并共同承担相关投资风险的理财计划。保证收益产品包含两类产品:保本固定收益产品和保证最低收益产品。 保本固定收益产品指银行按照合同约定的事项向投资者支付全额本金和固定收益的产品。投资者买这类产品到期获得固定收益,投资风险全由银行承担。由于固定收益理财产品投资风险均由银行承担,而投资者主要关注的是产品提前终止风险,而这类风险发生的概率较低。因此,投资者在选择固定收益产品主要把握两个比较:第一,同类产品比较,同期限产品选年收益率高者,不同期限产品,在考虑流动性需要和利率政策的基础上进行选择;第二,与定期存款比较,投资者之所以选银行理财产品,特别是固定收益产品,重要因素是其收益水平高于存款利息。 保证最低收益产品指银行按照合同约定事项支付投资者全额本金、最低固定收益以及其他或有投资收益的产品。这类产品主要特点为银行承诺支付最低收益,这部分收益所产生的风险由银行承担;其他或有投资收益则按合同约定进行分配,投资者需承担这部分收益为零的风险。
信息安全风险评估报告
1111单位:1111系统安全项目信息安全风险评估报告 我们单位名 日期
报告编写人: 日期: 批准人:日期: 版本号:第一版本日期 第二版本日期 终板
目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)
5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A:脆弱性编号规则.. (17)
信息安全产品培训方案
信息安全产品培训方案 *****有限公司 2016年08月05日
目录 第1章概述 (1) 1.1前言 (1) 1.2培训目的 (1) 1.3培训内容 (2) 1.4培训安排 (2) 第2章培训原则 (3) 2.1培训范围 (3) 2.2培训时间 (3) 2.3培训师资 (3) 2.4对培训人员的要求 (3) 2.5提供中文授课及中文材料与培训教材 (4) 第3章*******原厂商培训计划细节 (4) 3.1产品基础培训 (4) 3.2系统运行维护培训 (4) 3.3技术答疑 (5) 3.4有针对性的二次培训 (5) 3.5升级培训服务 (5) 第4章培训安排 (6) 4.1培训讲师简介 ....................................................................... 错误!未定义书签。 4.2应用交付基础培训(现场培训) (6) 4.3应用交付系统运行维护培训(集中培训) (7) 第5章培训教材简介 (9) 5.1配置与管理 (9) 5.2单设备接线方式 (9) 5.3配置界面 (10)
5.4配置和使用 (11)
第1章概述 1.1前言 系统基于互联网的应用系统安全评估及网络行为监控项目实施完成以后,如何才能对所有设备进行有效管理,是所有系统管理员关心的问题。为了保证整个系统稳定运行,提高其使用效率和安全性,需要对用户的系统管理人员进行相关技术培训,使他们能掌握产品的配置、故障诊断、设备管理、达到能独立进行日常管理,以保障系统的正常运行,使管理员能够更快的进入环境,真正帮助管理员对系统进行有效管理,提高管理质量。因此,为用户培训出一支有较高水平的技术队伍,来保证整个系统的有效运行,也是十分重要的。 针对系统基于互联网的应用系统安全评估及网络行为监控项目我司会对硬件设备提供现场操作使用培训,其内容涉及设备的基本原理、安装、调试、操作使用和保养维修(产品维护、故障排除、性能优化等)等,我司会在本章中提供详细的培训方案。 1.2培训目的 培训目的有两个: 强化分支机构IT人员对设备的认识程度及维护能力,让其可自主完成对应用交付运维; 强化总部IT人员,对集中管理平台使用及认知,让其可担当其省分应用交付运维工作,并分担总部在应用交付运维上的工作。 用户方的技术人员经培训后应能熟练地掌握与本产品有关的软件及硬件维护工作,并能及时排除大部分设备故障。本文件是*******科技技术支持部培训中心对采购人进行应用交付的使用维护的培训大纲。 针对培训对象按不同的级别进行了分类,共设定了两个级别的培训项目:入门级别(初级)和专家级别培训(中级、高级)。对于每个培训项目,本文件第
信息安全风险评估方案教程文件
信息安全风险评估方 案
第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部
银行理财产品有那几种分类方式 ()
银行理财产品有那几种分类方式根据币种分类 一般银行理财产品分为人民币理财产品外币理财产品和双币理财产品 如外币理财产品只能用美元港币等外币购买人民币理财产品只能用人民币购买而双币理财产品则同时涉及人民币和外币
根据投资期限分类 按照投资期限的长短把银行理财产品分为个月以内至个月至个月个月至年年以上几个期限 根据收益类型分类 银行理财产品还可以分为保证收益理财产品和非保证收益理财产品 保证收益理财产品的收益是固定的到期后就可以获得协
议上规定的收益反之为非保证型 非保证型又分为保本浮动收益理财产品和非保本浮动收益理财产品 保本浮动收益理财产品是指银行按照约定向客户保证本金支付本金以外的投资风险由客户承担并依据实际投资收益情况确定客户实际收益的理财产品反之就是非保本型 根据投资标的分类
按照银行理财产品的投资标的划分一般可分为固定收益类理财产品结构性理财产品信托类理财产品打新股类理财产品QDII类理财产品随着银行理财产品的创新新的投资标的会不断出现未来也会出现按投资标的划分的新理财产品类型根据币种分类 一般银行理财产品分为人民币理财产品外币理财产品和双币理财产品 如外币理财产品只能用美元港币等外币购买人民币理财
产品只能用人民币购买而双币理财产品则同时涉及人民币和外币 根据投资期限分类 按照投资期限的长短把银行理财产品分为个月以内至个月至个月个月至年年以上几个期限 根据收益类型分类 银行理财产品还可以分为保证收益理财产品和非保证收
益理财产品 保证收益理财产品的收益是固定的到期后就可以获得协议上规定的收益反之为非保证型 非保证型又分为保本浮动收益理财产品和非保本浮动收益理财产品 保本浮动收益理财产品是指银行按照约定向客户保证本金支付本金以外的投资风险由客户承担并依据实际投资收益情况确定客户实际收益的理财产品反之就是非保本
信息安全评估报告
信息安全评估报告(管理信息系统) 二零一六年一月
1目标 ××单位信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1评估依据 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。 2.2评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。 2.3评估方法 采用自评估方法。
3重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。资产清单见附表1。 4安全事件 对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。安全事件列表见附表2。 5安全检查项目评估 5.1规章制度与组织管理评估 5.1.1组织机构 5.1.1.1评估标准 信息安全组织机构包括领导机构、工作机构。 5.1.1.2现状描述 本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。
什么是银行理财产品,有哪些分类
什么是银行理财产品,有哪些分类 一、什么是银行理财产品? 银行理财产品,按照标准的解释,应该是商业银行在对潜在目标客户群分析研究的基础上,针对特定目标客户群开发设计并销售的资金投资和管理计划。在理财产品这种投资方式中,银行只是接受客户的授权管理资金,投资收益与风险由客户或客户与银行按照约定方式双方承担。 二、银行理财产品分类 1、根据币种不同分类 根据币种不同分为人民币、外币、双币理财产品: 人民币理财产品,是指银行以高信用等级人民币债券(含国债、金融债、央行票据、其他债券等)为投资标的,面向个人客户发行,到期向客户支付本金和收益的低风险理财产品。 外币理财产品首先要求投资者将人民币兑换成外币,然后以外币的形式投资于国际市场上的外汇及衍生品市场。 双币理财产品是人民币和外币理财产品的简单组合,其突出的特点是在预期收益率上,划定了一个收益率的浮动空间。 2、根据投资期限分类 按照投资期限的长短,把银行理财产品分为1个月以内、1至3个月、3至6个月、6个月至1年、1年以上几个期限。 3、根据收益类型分类 银行理财产品还可以分为保证收益理财产品和非保证收益理财产品。 保证收益理财产品的收益是固定的到期后,就可以获得协议上规定的收益,反之为非保证型;非保证型又分为保本浮动收益理财产品和非保本浮动收益理财产品。 保本浮动收益理财产品,是指银行按照约定向客户保证本金,支付本金以外的投资风险由客户承担,并依据实际投资收益情况,确定客户实际收益的理财产品,反之就是非保本型。 4、根据投资领域的不同分类 根据投资领域的不同可分为债券型、信托型、挂钩型及QDⅡ型产品 债券型理财产品的资金主要投资于货币市场,从风险角度来讲债券型理财产品属于较低
互联网新业务安全评估管理办法
互联网新业务安全评估管理办法 为了规范电信业务经营者的互联网新业务安全评估活动,维护网络信息安全,促进互联网行业健康发展,工业和信息化部研究形成了《互联网新业务安全评估管理办法(征求意见稿)》,现向社会公开征求意见,请于2017年7月9日前反馈意见。下面是小编提供的互联网新业务安全评估管理办法,欢迎阅读。 互联网新业务安全评估管理办法 (征求意见稿) 第一条立法目的为了规范电信业务经营者的互联网新业务安全评估活动,维护网络信息安全,促进互联网行业健康发展,根据《全国人民代表大会常务委员会关于加强网络信息保护的决
定》《中华人民共和国电信条例》《互联网信息服务管理办法》等法律、行政法规,制定本办法。 第二条适用范围中华人民共和国境内的电信业务经营者开展互联网新业务安全评估活动,适用本办法。 第三条定义本办法所称互联网新业务,是指电信业务经营者通过互联网新开展其已取得经营许可的电信业务,或者通过互联网运用新技术试办未列入《电信业务分类目录》的新型电信业务。 本办法所称安全评估,是指电信业务经营者对其互联网新业务可能引发的网络信息安全风险进行评估并采取必要的安全措施的活动。 第四条工作原则电信业务经营者开展互联网新业务安全评估,应当遵循及时、真实、有效的原则。 第五条管理职责工业和信息化部负责对全国范围内的互联网新业务安全评估工作实施监督管理。 各省、自治区、直辖市通信管理局
负责对本行政区域内的互联网新业务安全评估工作实施监督管理。 工业和信息化部和各省、自治区、直辖市通信管理局统称电信管理机构。 第六条鼓励创新国家鼓励电信业务经营者进行互联网技术和业务创新,依法开展互联网新业务,提升互联网行业发展水平。 第七条行业自律国家鼓励互联网行业组织建立健全互联网新业务安全评估自律性管理制度,指导电信业务经营者依法开展安全评估,提高安全评估的能力和水平。 第八条评估标准工业和信息化部依法制定互联网新业务安全评估标准。 第九条评估要求电信业务经营者应当按照电信管理机构有关规定和互联网新业务安全评估标准,从用户个人信息保护、网络安全防护、网络信息安全、建立健全相关管理制度等方面,开展互联网新业务安全评估。 第十条评估启动有下列情形之一
银行个人理财产品的种类有哪些
银行个人理财产品的种类有哪些 随着理财市场的发展,理财产品的种类越来越多,银行理财产品也不例外。那么银行个人理财产品的种类有哪些呢?根据币种不同,银行个人理财产品一般包括人民币理财产品和外币理财产品两大类。 根据收益方式的不同,银行个人理财产品可分为保证收益理财产品和非保证收益理财产品。其中保证收益理财产品,是指商业银行按照约定条件向客户承诺支付固定收益,投资风险由银行承担;非保证收益理财产品又可分为保本浮动收益理财产品和非保本浮动收益理财产品。保本浮动收益理财产品是指商业银行按照约定条件向客户保证本金支付,客户承担本金以外的投资风险;非保本浮动收益理财产品时指商业银行根据约定条件和实际收益情况向客户支付收益,并不能保证客户本金安全。 银行个人理财产品有不同的投资领域,则根据投资领域不同,银行个人理财产品可分为债券型、信托型、资本市场型、挂钩型和QDII型产品。其中,债券型理财产品,是指银行将募集资金投资于债权类资产,一般投资于央行票据和企业短期融资劵,这类产品收益相对较低,但是风险也相对较低;信托型理财产品主要投资于商业银行或其他等级高的金融机构担保或回购的信托产品,该产品在提供本金保障的基础上,可使投资者获得4.5%的预期年化收益率和额外浮动收益;挂钩型本币理财产品,也称为结构性产品,其本金用于传统债券投资,而产品最终收益率与相关市场或产品的表现挂钩,此产品特别适合风险承受能力强,对金融市场判断力比较强的消费者;QDII型本币理财产品,是客户将手中的人民币资金委托给被监管部门认证的商业银行,由银行将人民币资金兑换成美元,直接在境外投资,到期后将美元收益及本金结汇成人民币后分配给客户的理财产品。
信息安全技术 信息安全产品分类
信息安全技术信息安全产品分类 1 范围 本标准规定了信息安全产品分类,包括物理安全类、主机安全类、网络安全类、边界安全类、应用安全类、数据安全类、安全管理与支持类及其他类八个方面。 本标准适用于国家信息安全等级保护建设与信息安全行业产品分类管理。 本标准不适用于商用密码产品。 2 规范性引用文件 下列文件中的有关条款通过引用而成为本标准的条款。凡注日期或版次的引用文件,其后的任何修改单(不包括勘误的内容)或修订版本都不适用于本标准,但提倡使用本标准的各方探讨使用其最新版本的可能性。凡不注日期或版次的引用文件,其最新版本适用于本标准。 GB17859-1999计算机信息系统安全保护等级划分准则 3 术语和定义 GB17859-1999确立的术语和定义适用于本标准。 3.1 信息安全产品 information security products 保障信息安全的一个IT软件、固件或硬件包,它提供相关功能且可用于或组合到多种系统中。 3.2 物理安全产品 physical security products 采用一定信息技术实现的,用以保护系统、设备、设施以及介质免遭物理破坏(如地震、火灾等自然灾害以及直接窃取等人为破坏)的信息安全产品。 3.3 主机设备 host equipment 由单一操作系统平台及其上层运行的应用所组成的、独立的信息设备。包括PC机、工作站、服务器等。 3.4 主机安全产品 host security products 部署在主机设备上,用于保障主机运行和数据安全的信息安全产品。 3.5 网络安全产品 network security products 部署在网络设备或通信终端上,用于防御针对网络通讯的攻击,保障通讯的可用性、保密性、完整性的信息安全产品。 3.6 边界安全产品 boundary security products 部署在安全域的边界上,用于防御安全域外部对内部网络/主机设备进行渗透或安全域内部网络/主机设备向外部泄漏敏感信息的信息安全产品。 3.7 应用安全产品 application security products 部署在特定的应用系统中,用于保障应用安全的信息安全产品,如应用级别的身份鉴别和访问控制服务。
信息安全评估报告精编版
xxx有限公司 信息安全评估报告(管理信息系统) x年x月
1目标 xxxxxxxxx公司信息安全检查工作的主要目标是通过自评估工作,发现本公司电子设备当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据 《信息安全技术信息安全风险评估规范》(GB/T 20984-2007) 《信息技术信息技术安全管理指南》 2.2 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。 2.3 评估方法 采用自评估方法。 3重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。资产清单见附表1。 4安全事件 对公司半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记 录,形成本公司的安全事件列表。 本公司至今没有发生较大安全事故。 5安全检查项目评估 5.1 规章制度与组织管理评估 规章制度详见《计算机信息系统及设备管理办法》 5.1.1组织机构
5.1.1.1 评估标准 信息安全组织机构包括领导机构、工作机构。 5.1.1.2 现状描述 本公司已成立了信息安全领导机构,但尚未成立信息安全工作机构。 5.1.1.3 评估结论 完善信息安全组织机构,成立信息安全工作机构。 5.1.2岗位职责 5.1.2.1 评估标准 岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。 5.1.2.2 现状描述 我公司没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员,都是兼责;专责的工作职责与工作范围没有明确制度进行界定,岗位没有实行主、副岗备用制度。 5.1.2.3 评估结论 我公司已有兼职网络管理员、应用系统管理员和系统管理员,在条件许可下,配置专职管理人员;专责的工作职责与工作范围没有明确制度进行界定,根据实际情况制定管理制度;岗位没有实行主、副岗备用制度,在条件许可下,落实主、副岗备用制度。
信息安全风险评估方案
第一章网络安全现状与问题 目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
各银行理财产品设备对比
各银行理财产品对比 各位读友大家好,此文档由网络收集而来,欢迎您下载,谢谢银行理财产品的分类 银行理财产品的分类 近阶段证券市场止跌后有所企稳,楼市也逐渐趋于冷淡,大量避险资金涌入贵金属市场和低风险、收益稳健的银行理财产品,出现了一些理财产品刚一发行就被“秒杀”的现象。根据投资币种不同,一般银行理财产品分为人民币理财产品、外币理财产品和双币理财产品。如外币理财产品只能用美元、港币等外币购买,人民币理财产品只能用人
民币购买,而双币理财产品则同时涉及人民币和外币。 按照客户获取收益方式的不同,银行理财产品还可以分为保证收益理财产品和非保证收益理财产品。保证收益理财产品的收益是固定的,到期后就可以获得协议上规定的收益,反之为非保证型。非保证型又分为保本浮动收益理财产品和非保本浮动收益理财产品。保本浮动收益理财产品是指银行按照约定向客户保证本金支付,本金以外的投资风险由客户承担,并依据实际投资收益情况确定客户实际收益的理财产品,反之就是非保本型。一般银行的非保本浮动
收益型的风险仅次于储蓄风险,是追求稳定收益的稳健型客户的最佳选择。目前,兴业银行推出的6月第三期“天天万利宝”人民币理财产品正在发售中。 银行理财产品近些年来在我国发展势头迅猛,从xx年的132只迅速蹿升到2016年的7353只,在类型上也可以说是丰富多彩,有人民币理财、外币理财、保本保收益理财、保本浮动收益理财等,在期限上也是从7天到3个月、6个月、1年期、2年期不等,从各个方面满足了客户的投资需求。具体说来,我国的银行理财产品有两种分类方式:第一种,按标价货币分类,银行理财产品分
为外币理财、人民币理财和双币种理财三类。 所谓外币理财,就是指只能用除人民币以外的外国货币来购买的理财产品。外资银行在外币理财的发行上表现十分活跃,这主要是由于外资银行拥有得天独厚的优势,对外国市场比较了解,且产品创新能力较强。外币理财按币种的不同,又可分为美元理财产品、欧元理财产品、澳元理财产品等。其中,今年以来,受澳洲加息政策的影响,相比其他外币理财而言,澳元理财产品的收益率也表现出了明显优势。今年2月份,3个月期的澳元理财产品平均年预期收
信息安全评估报告
中国移动互联网新技术新业务信息安全评估报告 业务名称:XXXXX 中国移动通信集团XX有限公司 XXXX年X月
目录 1业务基本情况介绍 (1) 1.1业务名称 (1) 1.2业务功能介绍 (1) 1.3技术实现方式介绍 (1) 1.4(预期)用户规模 (1) 1.5市场发展情况 (2) 2安全评估情况 (2) 2.1安全评估情况概述 (2) 2.2评估人员组成 (2) 2.3评估实施流程 (3) 2.4评估结果(包括安全风险评估结果和安全保障能力评估结果) (3) 3整改落实情况 (8) 4安全管理措施 (9) 4.1日常安全管理介绍 (9) 4.2应急管理措施介绍 (9) 4.3同类业务的监管建议 (9) 5安全评估结论及签字确认表 (9)
1业务基本情况介绍 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxx。 1.1业务名称 1.2业务功能介绍 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxx。 1.3技术实现方式介绍 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxx。 1.4(预期)用户规模 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
新技术新业务信息安全评估报告模板
互联网新技术新业务信息安全评估报告 产品名称:XXXXX 评估单位:XXXX XXXX年X月
目录 1.评估启动原因概述 (3) 2.产品基本情况 (3) 2.1产品简介 (3) 2.2产品功能 (3) 2.3技术原理 (3) 2.4实现方式 (4) 2.5(潜在)用户规模 (4) 2.6市场情况 (4) 3.安全评估情况 (4) 3.1评估人员组成 (4) 3.2评估实施过程概述 (5) 3.3产品信息安全风险 (5) 3.3.1不良信息传播 (5) 3.3.2用户信息安全 (6) 3.3.3网络技术风险 (6) 3.3.4第三方应用(服务)相关风险 (6) 3.3.5其他潜在信息安全风险 (7) 4.解决方案或整改情况 (7) 4.1配套安全管理措施 (7) 4.2信息控制能力 (7) 4.3信息溯源能力 (8) 4.4网络与信息安全管控建设 (8) 4.5同类产品管理建议 (8) 5.安全评估结论 (8) 6.评估人员签字表 (9)
1.评估启动原因概述 (产品预上线、用户或功能发生重大变化、日常工作或检查发现问题、电信主管机构或上级主管部门要求、其他原因等)XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXX 2.产品基本情况 2.1产品简介XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXX 2.2产品功能XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXX 2.3技术原理XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
信息安全风险评估报告
XXXXX公司 信息安全风险评估报告 历史版本编制、审核、批准、发布实施、分发信息记录表
一. 风险项目综述 1.企业名称: XXXXX公司 2.企业概况:XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持欢迎下载 2
3.ISMS方针:预防为主,共筑信息安全;完善管理,赢得顾客信赖。 4.ISMS范围:计算机应用软件开发,网络安全产品设计/开发,系统集成及服务的信息安全管理。 二. 风险评估目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。 三. 风险评估日期: 2017-9-10至2017-9-15 四. 评估小组成员 XXXXXXX。 五. 评估方法综述 1、首先由信息安全管理小组牵头组建风险评估小组; 2、通过咨询公司对风险评估小组进行相关培训; 3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方 法; 4、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产 清单; 5、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级; 6、根据风险接受准则得出不可接受风险,并根据标准ISO27001:2013的附录A制定相关的风险控制措施; 7、对于可接受的剩余风险向公司领导汇报并得到批准。 六. 风险评估概况 欢迎下载 3
欢迎下载 4 如下: 1. 2017-9-10 ~ 2017-9-10,风险评估培训; 2. 2017-9-11 ~ 2017-9-11,公司评估小组制定《信息安全风险管理程序》,制定系统化的风险评估方法; 3. 2017-9-12 ~ 2017-9-12,本公司各部门识别本部门信息资产,并对信息资产进行等级评定,其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产,服务资产等共六大类; 4. 2017-9-13 ~ 2017-9-13,本公司各部门编写风险评估表,识别信息资产的脆弱性和面临的威胁,评估潜在风险,并在ISMS 工作组内审核; 5. 2017-9-14 ~ 2017-9-14,本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表; 6. 2017-9-15 ~ 2017-9-15,各部门修订风险评估表,识别重大风险,制定控制措施;ISMS 工作组组织审核,并最终汇总形成本报告。 . 七. 风险评估结果统计 本次风险评估情况详见各部门“风险评估表”,其中共识别出资产190个,重要资产115个,信息安全风 险115个,不可接受风险42个.