信息安全管理教程试题
二、单选题
1. 下列关于信息的说法______是错误的。
A. 信息是人类社会发展的重要支柱
B. 信息本身是无形的
C. 信息具有价值,需要保护
D. 信息可以以独立形态存在
2. 信息安全经历了三个发展阶段,以下______不属于这三个发展阶段。
A.通信保密阶段
B.加密机阶段
C.信息安全阶段
D.安全保障阶段
3. 信息安全在通信保密阶段对信息安全的关注局限在______安全属性。
A.不可否认性
B.可用性
C.保密性
D.完整性
4. 信息安全在通信保密阶段中主要应用于______领域。
A.军事
B.商业
C.科研
D.教育
5. 信息安全阶段将研究领域扩展到三个基本属性,下列______不属于这三个基本属性。
A.保密性
B.完整性
C.不可否认性
D.可用性
6. 安全保障阶段中将信息安全体系归结为四个主要环节,下列______是正确的。
A. 策略、保护、响应、恢复
B. 加密、认证、保护、检测
C. 策略、网络攻防、密码学、备份
D. 保护、检测、响应、恢复
7. 下面所列的______安全机制不属于信息安全保障体系中的事先保护环节。
A.杀毒软件
B.数字证书认证
C.防火墙
D.数据库加密
8. 根据IS0的信息安全定义,下列选项中______是信息安全三个基本属性之一。
A.真实性
B.可用性
C.可审计性
D.可靠性
9. 为了数据传输时不发生数据截获和信息泄密,采取了加密机制。这种做法体现了信息安全的______属性。
A.保密性
B.完整性
C.可靠性
D.可用性
10. 定期对系统和数据进行备份,在发生灾难时进行恢复。该机制是为了满足信息安全的______属性。
A.真实性
B.完整性
C.不可否认性
D.可用性
11. 数据在存储过程中发生了非法访问行为,这破坏了信息安全的______属性。
A.保密性
B.完整性
C.不可否认性
D.可用性
12. 网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为,这破坏了信息安全的______属性。
A.保密性
B.完整性
C.不可否认性
D.可用性
13. PDR安全模型属于______类型。
A.时间模型
B.作用模型
C.结构模型
D.关系模型
14. 《信息安全国家学说》是______的信息安全基本纲领性文件。
A.法国
B.美国
C.俄罗斯
D.英国
15. 下列的______犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。
A. 窃取国家秘密
B. 非法侵入计算机信息系统
C. 破坏计算机信息系统
D. 利用计算机实施金融诈骗
16. 我国刑法______规定了非法侵入计算机信息系统罪。
A.第284条
B.第285条
C.第286条
D.第287条
17. 信息安全领域内最关键和最薄弱的环节是______。
A.技术
B.策略
C.管理制度
D.人
18. 信息安全管理领域权威的标准是______。
A. IS015408
B. IS017799/IS027001
C. IS09001
D. IS014001
19. IS017799/IS027001最初是由______提出的国家标准。
A.美国
B.澳大利亚
C.英国
D.中国
20. IS017799的内容结构按照______进行组织。
A. 管理原则
B. 管理框架
C. 管理域-控制目标-控制措施
D. 管理制度
21. ______对于信息安全管理负有责任。
A. 高级管理层
B. 安全管理员
C. IT管理员
D. 所有与信息系统有关人员
22. 对于提高人员安全意识和安全操作技能来说,以下所列的安全管理最有效的是______。
A.安全检查
B.教育与培训
C.责任追究
D.制度约束
23. 《计算机信息系统安全保护条例》是由中华人民共和国______第l47号发布的。
A. 国务院令
B. 全国人民代表大会令
C. 公安部令
D. 国家安全部令
24. 《互联网上网服务营业场所管理条例》规定,______负责互联网上网服务营业场所安全审核和对违反网络安全管理规定行为的查处。
A.人民法院
B.公安机关
C.工商行政管理部门
D.国家安全部门
25. 计算机病毒最本质的特性是______。
A.寄生性
B.潜伏性
C.破坏性
D.攻击性
26. ______安全策略是得到大部分需求的支持并同时能够保护企业的利益。
A.有效的
B.合法的
C.实际的
D.成熟的
27. 在PDR安全模型中最核心的组件是______。
A.策略
B.保护措施
C.检测措施
D.响应措施
28. 制定灾难恢复策略,最重要的是要知道哪些是商务工作中最重要的设施,在发生灾难后,这些设施的______。
A.恢复预算是多少
B.恢复时间是多长
C.恢复人员有几个
D.恢复设备有多少
29. 在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的成果文档被称为______。
A. 可接受使用策略AUP
B. 安全方针
C. 适用性声明
D. 操作规范
30. 对保护数据来说,功能完善、使用灵活的______必不可少。
A.系统软件
B.备份软件
C.数据库软件
D.网络软件
31. 防止静态信息被非授权访问和防止动态信息被截取解密是______。
A.数据完整性
B.数据可用性
C.数据可靠性
D.数据保密性
32. 用户身份鉴别是通过______完成的。
A.口令验证
B.审计策略
C.存取控制
D.查询功能
33. 故意输入计算机病毒以及其他有害数据,危害计算机信息系统安全的个人,由公安机关处以______。
A. 3年以下有期徒刑或拘役
B. 警告或者处以5000元以下的罚款
C. 5年以上7年以下有期徒刑
D. 警告或者15000元以下的罚款
34. 网络数据备份的实现主要需要考虑的问题不包括______。
A.架设高速局域网
B.分析应用环境
C.选择备份硬件设备
D.选择备份管理软件
35. 《计算机信息系统安全保护条例》规定,对计算机信息系统中发生的案件,有关使用单位应当在______向当地县级以上人民政府公安机关报告。
A.8小时内
B.12小时内
C.24小时内
D.48小时内
36. 公安部网络违法案件举报网站的网址是______。
B. https://www.wendangku.net/doc/6c7825131.html,
D. https://www.wendangku.net/doc/6c7825131.html,
37. 对于违反信息安全法律、法规行为的行政处罚中,______是较轻的处罚方式。
A.警告
B.罚款
C.没收违法所得
D.吊销许可证
38. 对于违法行为的罚款处罚,属于行政处罚中的______。
A.人身自由罚
B.声誉罚
C.财产罚
D.资格罚
39. 对于违法行为的通报批评处罚,属于行政处罚中的______。
A.人身自由罚
B.声誉罚
C.财产罚
D.资格罚
40. 1994年2月国务院发布的《计算机信息系统安全保护条例》赋予______对计算机信息系统的安全保护工作行使监督管理职权。
A.信息产业部
B.全国人大
C.公安机关
D.国家工商总局
41. 《计算机信息网络国际联网安全保护管理办法》规定,互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起______日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。
A.7
B.10
C.15
D.30
42. 互联网服务提供者和联网使用单位落实的记录留存技术措施,应当具有至少保存天记录备份的功能。
A.10
B.30
C.60
D.90
43. 对网络层数据包进行过滤和控制的信息安全技术机制是______。
A.防火墙
B.IDS
C.Sniffer
D.IPSec
44. 下列不属于防火墙核心技术的是______。
A. (静态/动态)包过滤技术
B. NAT技术
C. 应用代理技术
D. 日志审计
45. 应用代理防火墙的主要优点是______。
A. 加密强度更高
B. 安全控制更细化、更灵活
C. 安全服务的透明性更好
D. 服务对象更广泛
46. 安全管理中经常会采用“权限分离”的办法,防止单个人员权限过高,出现内部人员的违法犯罪行为,“权限分离”属于______控制措施。
A.管理
B.检测
C.响应
D.运行
47. 安全管理中采用的“职位轮换”或者“强制休假”办法是为了发现特定的岗位人员是否存在违规操作行为,属于______控制措施。
A.管理
B.检测
C.响应
D.运行
48. 下列选项中不属于人员安全管理措施的是______。
A.行为监控
B.安全培训
C.人员离岗
D.背景/技能审查
49. 《计算机病毒防治管理办法》规定,______主管全国的计算机病毒防治管理工作。
A. 信息产业部
B. 国家病毒防范管理中心
C. 公安部公共信息网络安全监察
D. 国务院信息化建设领导小组
50. 计算机病毒的实时监控属于______类的技术措施。
A.保护
B.检测
C.响应
D.恢复
51. 针对操作系统安全漏洞的蠕虫病毒根治的技术措施是______。
A. 防火墙隔离
B. 安装安全补丁程序
C. 专用病毒查杀工具
D. 部署网络入侵检测系统
52. 下列能够有效地防御未知的新病毒对信息系统造成破坏的安全措施是______。
A. 防火墙隔离
B. 安装安全补丁程序
C. 专用病毒查杀工具
D. 部署网络入侵检测系统
53. 下列不属于网络蠕虫病毒的是______。
A. 冲击波
B. SQL SLAMMER
C. CIH
D. 振荡波
54. 传统的文件型病毒以计算机操作系统作为攻击对象,而现在越来越多的网络蠕虫病毒将攻击范围扩大到了______等重要网络资源。
A.网络带宽
B.数据包
C.防火墙
D.LINUX
55. ______不是计算机病毒所具有的特点。
A.传染性
B.破坏性
C.潜伏性
D.可预见性
56. 关于灾难恢复计划错误的说法是______。
A. 应考虑各种意外情况
B. 制定详细的应对处理办法
C. 建立框架性指导原则,不必关注于细节
D. 正式发布前,要进行讨论和评审
57. 对于远程访问型VPN来说,______产品经常与防火墙及NAT机制存在兼容性问题,导致安全隧道建立失败。
A. IPSee VPN
B. SSL VPN
C. MPLS VPN
D. L2TP VPN
58. 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859—1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。
A.7
B.8
C.6
D.5
59. 等级保护标准GB l7859主要是参考了______而提出。
A.欧洲ITSEC
B.美国TCSEC
https://www.wendangku.net/doc/6c7825131.html,
D.BS 7799
60. 我国在1999年发布的国家标准______为信息安全等级保护奠定了基础。
A. GB l77998
B. GB l5408
C. GB l7859
D. GB l4430
61. 信息安全登记保护的5个级别中,______是最高级别,属于关系到国计民生的最关键信息系统的保护。
A.强制保护级
B.专控保护级
C.监督保护级
D.指导保护级
E.自主保护级
62. 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。
A.安全定级
B.安全评估
C.安全规划
D.安全实施
63. ______是进行等级确定和等级保护管理的最终对象。
A.业务系统
B.功能模块
C.信息系统
D.网络系统
64. 当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由______所确定。
A. 业务子系统的安全等级平均值
B. 业务子系统的最高安全等级
C. 业务子系统的最低安全等级
D. 以上说法都错误
65. 下列关于风险的说法,______是错误的。
A. 风险是客观存在的
B. 导致风险的外因是普遍存在的安全威胁
C. 导致风险的外因是普遍存在的安全脆弱性
D. 风险是指一种可能性
66. 下列关于风险的说法,______是正确的。
A. 可以采取适当措施,完全清除风险
B. 任何措施都无法完全清除风险
C. 风险是对安全事件的确定描述
D. 风险是固有的,无法被控制
67. 风险管理的首要任务是______。
A.风险识别和评估
B.风险转嫁
C.风险控制
D.接受风险
68. 关于资产价值的评估,______说法是正确的。
A. 资产的价值指采购费用
B. 资产的价值无法估计
C. 资产价值的定量评估要比定性评估简单容易
D. 资产的价值与其重要性密切相关
69. 采取适当的安全控制措施,可以对风险起到______作用。
A.促进
B.增加
C.减缓
D.清楚
70. 当采取了安全控制措施后,剩余风险______可接受风险的时候,说明风险管理是有效的。
A.等于
B.大于
C.小于
D.不等于
71. 安全威胁是产生安全事件的______。
A.内因
B.外因
C.根本原因
D.不相关因素
72. 安全脆弱性是产生安全事件的______。
A.内因
B.外因
C.根本原因
D.不相关因素
73. 下列关于用户口令说法错误的是______。
A. 口令不能设置为空
B. 口令长度越长,安全性越高
C. 复杂口令安全性足够高,不需要定期修改
D. 口令认证是最常见的认证机制
74. 在使用复杂度不高的口令时,容易产生弱令的安全脆弱性,被攻击者利用,从而破解用户帐户,下列______具有最好的口令复杂度。
A. morrison
B. Wm.$*F2m5@
C. 27776394
D. wangjing1977
75. 按照通常的口令使用策略,口令修改操作的周期应为______天。
A.60
B.90
C.30
D.120
76. 对口令进行安全性管理和使用,最终是为了______。
A. 口令不被攻击者非法获得
B. 防止攻击者非法获得访问和操作权限
C. 保证用户帐户的安全性
D. 规范用户操作行为
77. 人们设计了______,以改善口令认证自身安全性不足的问题。
A.统一身份管理
B.指纹认证
C.数字证书认证
D.动态口令认证机制
78. PKI是______。
A. Private Key Infrastructure
B. Public Key Institute
C. Public Key Infrastructure
D. Private Key Institute
79. 公钥密码基础设施PKI解决了信息系统中的______问题。
A.身份信任
B.权限管理
C.安全审计
D.加密
80. PKI所管理的基本元素是______。
A.密钥
B.用户身份
C.数字证书
D.数字签名
81. 最终提交给普通终端用户,并且要求其签署和遵守的安全策略是______。
A.口令策略
B.保密协议
C.可接受使用策略
D.责任追究制度
82. 下列关于信息安全策略维护的说法,______是错误的。
A. 安全策略的维护应当由专门的部门完成
B. 安全策略制定完成并发布之后,不需要再对其进行修改
C. 应当定期对安全策略进行审查和修订
D. 维护工作应当周期性进行
83. 链路加密技术是在OSI协议层次的第二层,数据链路层对数据进行加密保护,其处理的对象是______。
A.比特流
B.IP数据包
C.数据帧
D.应用数据
84. 防火墙最主要被部署在______位置。
A.网络边界
B.骨干线路
C.重要服务器
D.桌面终端
85. 下列关于防火墙的错误说法是______。
A. 防火墙工作在网络层
B. 对IP数据包进行分析和过滤
C. 重要的边界保护机制
D. 部署防火墙,就解决了网络安全问题
86. IPSec协议工作在______层次。
A.数据链路层
B.网络层
C.应用层
D.传输层
87. IPSec协议中涉及到密钥管理的重要协议是______。
A.IKE
B.AH
C.ESP
D.SSL
88. 信息安全管理中,______负责保证安全管理策略与制度符合更高层法律、法规的要求,不发生矛盾和冲突。
A.组织管理
B.合规性管理
C.人员管理
D.制度管理
89. 下列______机制不属于应用层安全。
A.数字签名
B.应用代理
C.主机入侵检测
D.应用审计
90. 保证用户和进程完成自己的工作而又没有从事其他操作可能,这样能够使失误出错或蓄意袭击造成的危害降低,这通常被称为______。
A.适度安全原则
B.授权最小化原则
C.分权原则
D.木桶原则
91. 入侵检测技术可以分为误用检测和______两大类。
A.病毒检测
B.详细检测
C.异常检测
D.漏洞检测
92. 安全审计是一种很常见的安全控制措施,它在信息安全保障体系中,属于______措施。
A.保护
B.检测
C.响应
D.恢复
93. ______不属于必需的灾前预防性措施。
A. 防火设施
B. 数据备份
C. 配置冗余设备
D. 不间断电源,至少应给服务器等关键设备配备
94. 对于人员管理的描述错误的是______。
A. 人员管理是安全管理的重要环节
B. 安全授权不是人员管理的手段
C. 安全教育是人员管理的有力手段
D. 人员管理时,安全审查是必须的
95. 根据《计算机信息系统国际联网保密管理规定》,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行______。
A.逻辑隔离
B.物理隔离
C.安装防火墙
D.VLAN划分
96. 安全评估技术采用______这一工具,它是一种能够自动检测远程或本地主机和网络安全性弱点的程序。
A.安全扫描器
B.安全扫描仪
C.自动扫描器
D.自动扫描仪
97. ______最好地描述了数字证书。
A. 等同于在网络上证明个人和公司身份的身份证
B. 浏览器的一标准特性,它使得黑客不能得知用户的身份
C. 网站要求用户使用用户名和密码登陆的安全机制
D. 伴随在线交易证明购买的收据
98. 根据BS 7799的规定,建立的信息安全管理体系ISMS的最重要特征是______。
A.全面性
B.文档化
C.先进性
D.制度化
99. 根据BS 7799的规定,对信息系统的安全管理不能只局限于对其运行期间的管理维护,而要将管理措施扩展到信息系统生命周期的其他阶段,BS 7799中与此有关的一个重要方面就是______。
A. 访问控制
B. 业务连续性
C. 信息系统获取、开发与维护
D. 组织与人员
100. 如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成一定损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护,必要时,信息安全监管职能部门对其进行指导。那么该信息系统属于等级保护中的______。
A.强制保护级
B.监督保护级
C.指导保护级
D.自主保护级
101. 如果一个信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。那么其在等级保护中属于______。
A.强制保护级
B.监督保护级
C.指导保护级
D.自主保护级
102. 如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。这应当属于等级保护的______。
A.强制保护级
B.监督保护级
C.指导保护级
D.自主保护级
103. 如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。这应当属于等级保护的______。
A.强制保护级
B.监督保护级
C.指导保护级
D.自主保护级
104. 如果一个信息系统,主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子
系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害;本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督、检查。这应当属于等级保护的______。
A.专控保护级
B.监督保护级
C.指导保护级
D.自主保护级
105. GB l7859借鉴了TCSEC标准,这个TCSEC是______国家标准。
A.英国
B.意大利
C.美国
D.俄罗斯
106. 关于口令认证机制,下列说法正确的是______。
A. 实现代价最低,安全性最高
B. 实现代价最低,安全性最低
C. 实现代价最高,安全性最高
D. 实现代价最高,安全性最低
107. 根据BS 7799的规定,访问控制机制在信息安全保障体系中属于______环节。
A.保护
B.检测
C.响应
D.恢复
108. 身份认证的含义是______。
A.注册一个用户
B.标识一个用户
C.验证一个用户
D.授权一个用户
109. 口令机制通常用于______。
A.认证
B.标识
C.注册
D.授权
110. 对日志数据进行审计检查,属于______类控制措施。
A.预防
B.检测
C.威慑
D.修正
111. 《信息系统安全等级保护测评准则》将测评分为安全控制测评和______测评两方面。
A.系统整体
B.人员
C.组织
D.网络
112. 根据风险管理的看法,资产______价值,______脆弱任,被安全威胁______,______风险。
A. 存在利用导致具有
B. 具有存在利用导致
C. 导致存在具有利用
D. 利用导致存在具有
113. 根据定量风险评估的方法,下列表达式正确的是______。
A. SLE=AV×EF
B. ALE=AV×EF
C. ALE=SLE×EF
D. ALE=SLE×AV
114. 防火墙能够______。
A. 防范恶意的知情者
B. 防范通过它的恶意连接
C. 防备新的网络安全问题
D. 完全防止传送已被病毒感染的软件和文件
115. 下列四项中不属于计算机病毒特征的是______。
A.潜伏性
B.传染性
C.免疫性
D.破坏性
116. 关于入侵检测技术,下列描述错误的是______。
A. 入侵检测系统不对系统或网络造成任何影响
B. 审计数据或系统日志信息是入侵检测系统的一项主要信息来源
C. 入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵
D. 基于网络的入侵检测系统无法检查加密的数据流
117. 安全扫描可以______。
A. 弥补由于认证机制薄弱带来的问题
B. 弥补由于协议本身而产生的问题
C. 弥补防火墙对内网安全威胁检测不足的问题
D. 扫描检测所有的数据包攻击,分析所有的数据流
118. 下述关于安全扫描和安全扫描系统的描述错误的是______。
A. 安全扫描在企业部署安全策略中处于非常重要的地位
B. 安全扫描系统可用于管理和维护信息安全设备的安全
C. 安全扫描系统对防火墙在某些安全功能上的不足不具有弥补性
D. 安全扫描系统是把双刃剑
119. 关于安全审计目的描述错误的是______。
A. 识别和分析未经授权的动作或攻击
B. 记录用户活动和系统管理
C. 将动作归结到为其负责的实体
D. 实现对安全事件的应急响应
120. 安全审计跟踪是______。
A. 安全审计系统检测并追踪安全事件的过程
B. 安全审计系统收集易于安全审计的数据
C. 人利用日志信息进行安全事件分析和追溯的过程
D. 对计算机系统中的某种行为的详尽跟踪和观察
121. 根据《计算机信息系统国际联网保密管理规定》的规定,凡向国际联网的站点提供或发布信息,必须经过______。
A.内容过滤处理
B.单位领导同意
C.备案制度
D.保密审查批准
122. 根据《计算机信息系统国际联网保密管理规定》的规定,上网信息的保密管理坚持______的原则。
A.国家公安部门负责
B.国家保密部门负责
C.“谁上网谁负责”
D.用户自觉
123. 根据《计算机信息系统国际联网保密管理规定》的规定,保密审批实行部门管理,有关单位应当根据国家保密法规,建立健全上网信息保密审批______。
A. 领导责任制
B. 专人负责制
C. 民主集中制
D. 职能部门监管责任制
124. 网络信息未经授权不能进行改变的特性是______。
A.完整性
B.可用性
C.可靠性
D.保密性
125. 确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体的特性是______。
A.完整性
B.可用性
C.可靠性
D.保密性
126. 确保授权用户或者实体对于信息及资源的正常使用不会被异常拒绝,允许其可靠而且及时地访问信息及资源的特性是______。
A.完整性
B.可用性
C.可靠性
D.保密性
127. ______国务院发布《计算机信息系统安全保护条例》。
A. 1990年2月18日
B. 1994年2月18日
C. 2000年2月18日
D. 2004年2月18日
128. 在目前的信息网络中,______病毒是最主要的病毒类型。
A.引导型
B.文件型
C.网络蠕虫
D.木马型
129. 在IS0/IEC l7799中,防止恶意软件的目的就是为了保护软件和信息的______。
A.安全性
B.完整性
C.稳定性
D.有效性
130. 在生成系统帐号时,系统管理员应该分配给合法用户一个______,用户在第一次登录时应更改口令。
A.唯一的口令
B.登录的位置
C.使用的说明
D.系统的规则
131. 关于防火墙和VPN的使用,下面说法不正确的是______。
A. 配置VPN网关防火墙的一种方法是把它们并行放置,两者独立
B. 配置VPN网关防火墙的一种方法是把它们串行放置,防火墙在广域网一侧,VPN在局域网一侧
C. 配置VPN网关防火墙的一种方法是把它们串行放置,防火墙在局域网一侧,VPN在广域网一侧
D. 配置VPN网关防火墙的一种方法是把它们并行放置,两者要互相依赖
132. 环境安全策略应该______。
A.详细而具体
B.复杂而专业
C.深入而清晰
D.简单而全面
133. 《计算机信息系统安全保护条例》规定,计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的______的安全。
A.计算机
B.计算机软件系统
C.计算机信息系统
D.计算机操作人员
134. 《计算机信息系统安全保护条例》规定,国家对计算机信息系统安全专用产品的销售实行______。
A. 许可证制度
B. 3C认证
C. IS0 9000认证
D. 专卖制度
135. 《互联网上网服务营业场所管理条例》规定,互联网上网服务营业场所经营单位______。
A. 可以接纳未成年人进入营业场所
B. 可以在成年人陪同下,接纳未成年人进入营业场所
C. 不得接纳未成年人进入营业场所
D. 可以在白天接纳未成年人进入营业场所
136. ______是一种架构在公用通信基础设施上的专用数据通信网络,利用IPSec等阿络层安全协议和建立在PKI上的加密与签名技术来获得私有性。
A.SET
B.DDN
C.VPN
D.PKIX
137. 《计算机信息系统安全保护条例》规定,运输、携带、邮寄计算机信息媒体进出境的,应当如实向______。
A. 国家安全机关申报
B. 海关申报
C. 国家质量检验监督局申报
D. 公安机关申报
138. 《计算机信息系统安全保护条例》规定,故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以______的罚款、对单位处以______的罚款。
A. 5000元以下15000元以下
B. 5000元15000元
C. 2000元以下10000元以下
D. 2000元10000元
139. 计算机犯罪,是指行为人通过______所实施的危害______安全以及其他严重危害社会的并应当处以刑罚的行为。
A. 计算机操作计算机信息系统
B. 数据库操作计算机信息系统
C. 计算机操作应用信息系统
D. 数据库操作管理信息系统
140. 策略应该清晰,无须借助过多的特殊一通用需求文档描述,并且还要有具体的______。
A.管理支持
B.技术细节
C.实施计划
D.补充内容
141. 系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速______。
A.恢复整个系统
B.恢复所有数据
C.恢复全部程序
D.恢复网络设置
142. 在一个企业网中,防火墙应该是______的一部分,构建防火墙时首先要考虑其保护的范围。
A.安全技术
B.安全设置
C.局部安全策略
D.全局安全策略
143. 信息安全策略的制定和维护中,最重要是要保证其______和相对稳定性。
A.明确性
B.细致性
C.标准性
D.开放性
144. ______是企业信息安全的核心。
A.安全教育
B.安全措施
C.安全管理
D.安全设施
145. 编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码是______。
A.计算机病毒
B.计算机系统
C.计算机游戏
D.计算机程序
146. 许多与PKI相关的协议标准(如PKIX、S/MIME、SSL、TLS、IPSec)等都是在______基础上发展起来的。
A.X.500
B.X.509
C.X.519
D.X.505
147. ______是PKI体系中最基本的元素,PKI系统所有的安全操作都是通过该机制来实现的。
A.SSL
B.IARA
C.RA
D.数字证书
148. 基于密码技术的访问控制是防止______的主要防护手段。
A.数据传输泄密
B.数据传输丢失
C.数据交换失败
D.数据备份失败
149. 避免对系统非法访问的主要方法是______。
A.加强管理
B.身份认证
C.访问控制
D.访问分配权限
150. 对保护数据来说,功能完善、使用灵活的______必不可少。
A.系统软件
B.备份软件
C.数据库软件
D.网络软件
151. 信息安全PDR模型中,如果满足______,说明系统是安全的。
A.Pt>Dt+Rt
B.Dt>Pt+Rt
C.Dt
D.Pt
152. 在一个信息安全保障体系中,最重要的核心组成部分为______。
A.技术体系
B.安全策略
C.管理体系
D.教育与培训
153. 国家信息化领导小组在《关于加强信息安全保障工作的意见》中,针对下一时期的信息安全保障工作提出了______项要求。
A.7
B.8
C.9
D.10
154. 《确保网络空间安全的国家战略》是______发布的国家战略。
A.英国
B.法国
C.德国
D.美国
155. 《计算机信息系统安全保护条例》规定,______主管全国计算机信息系统安全保护工作。
A.公安部
B.国务院信息办
C.信息产业部
D.国务院
156. 下列______不属于物理安全控制措施。
A.门锁
B.警卫
C.口令
D.围墙
157. 灾难恢复计划或者业务连续性计划关注的是信息资产的______属性。
A.可用性
B.真实性
C.完整性
D.保密性
158. VPN是______的简称。
A. Visual Private Network
B. Virtual Private Network
C. Virtual Public Network
D. Visual Public Network
159. 部署VPN产品,不能实现对______属性的需求。
A.完整性
B.真实性
C.可用性
D.保密性
160. ______是最常用的公钥密码算法。
A.RSA
B.DSA
C.椭圆曲线
D.量子密码
161. PKI的主要理论基础是______。
A.对称密码算法
B.公钥密码算法
C.量子密码
D.摘要算法
162. PKI中进行数字证书管理的核心组成模块是______。
A.注册中心RA
B.证书中心CA
C.目录服务器
D.证书作废列表
163. 信息安全中的木桶原理,是指______。
A. 整体安全水平由安全级别最低的部分所决定
B. 整体安全水平由安全级别最高的部分所决定
C. 整体安全水平由各组成部分的安全级别平均值所决定
D. 以上都不对
164. 关于信息安全的说法错误的是______。
A. 包括技术和管理两个主要方面
B. 策略是信息安全的基础
C. 采取充分措施,可以实现绝对安全
D. 保密性、完整性和可用性是信息安全的目标
165. PDR模型是第一个从时间关系描述一个信息系统是否安全的模型,PDR模型中的P代表______、D代表______、R代表______。
A.保护检测响应
B.策略检测响应
C.策略检测恢复
D.保护检测恢复
166. 《计算机信息系统安全保护条例》规定,任何组织或者个人违反条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担______。
A.刑事责任
B.民事责任
C.违约责任
D.其他责任
167. 在信息安全管理中进行______,可以有效解决人员安全意识薄弱问题。
A.内容监控
B.责任追查和惩处
C.安全教育和培训
D.访问控制
168. 关于信息安全,下列说法中正确的是______。
A. 信息安全等同于网络安全
B. 信息安全由技术措施实现
C. 信息安全应当技术与管理并重
D. 管理措施在信息安全中不重要
169. 在PPDRR安全模型中,______是属于安全事件发生后的补救措施。
A.保护
B.恢复
C.响应
D.检测
170. 根据权限管理的原则,一个计算机操作员不应当具备访问______的权限。
A.操作指南文档
B.计算机控制台
C.应用程序源代码
D.安全指南
171. 网络蠕虫病毒以网络带宽资源为攻击对象,主要破坏网络的______。
A.可用性
B.完整性
C.保密性
D.可靠性
172. 要实现有效的计算机和网络病毒防治,______应承担责任。
A.高级管理层
B.部门经理
C.系统管理员
D.所有计算机用户
173. 统计数据表明,网络和信息系统最大的人为安全威胁来自于______。
A.恶意竞争对手
B.内部人员
C.互联网黑客
D.第三方人员
174. 双机热备是一种典型的事先预防和保护措施,用于保证关键设备和服务的______属性。
A.保密性
B.可用性
C.完整性
D.真实性
175. 在安全评估过程中,采取______手段,可以模拟黑客入侵过程,检测系统安全脆弱性。
A.问卷调查
B.人员访谈
C.渗透性测试
D.手工检查
176. 我国正式公布了电子签名法,数字签名机制用于实现______需求。
A.抗否认
B.保密性
C.完整性
D.可用性
177. 在需要保护的信息资产中,______是最重要的。
A.环境
B.硬件
C.数据
D.软件
178. ______手段,可以有效应对较大范围的安全事件的不艮影啊,保证关键服务和数据的可用性。
A.定期备份
B.异地备份
C.人工备份
D.本地备份
179. ______能够有效降低磁盘机械损坏给关键数据造成的损失。
A.热插拔
B.SCSI
C.RAID
D.FAST—ATA
180. 相对于现有杀毒软件在终端系统中提供保护不同,______在内外网络边界处提供更加主动和积极的病毒保护。
A.防火墙
B.病毒网关
C.IPS
D.IDS
181. 信息安全评测标准CC是______标准。
A.美国
B.国际
C.英国
D.澳大利亚
182. 《信息系统安全等级保护基本要求》中,对不同级别的信息系统应具备的基本安全保护能力进行了要求,共划分为______级。
A.4
B.5
C.6
D.7
四、解答题
3. 简述信息安全发展所历经的三个主要阶段以及它们各自的特点。
答:信息安全发展历经了三个主要阶段:
(1)通信保密阶段,在这个阶段中,关注的是通信内容的保密性属性,保密等同于信息安全。
(2)信息安全阶段,人们发现,在原来所关注的保密性属性之外,还有其他方面的属性也应当是信息安全所关注的,这其中最主要的是完整性和可用性属性,由此构成了支撑信息安全体系的三要素。
(3)安全保障阶段,所谓安全保障,就是在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Delection和响应Restoration)四个主要环节相互配合,构成一个完整的保障体系。
4. 简述PDR安全模型的原理。
答:PDR模型之所以著名,是因为它是第一个从时间关系描述一个信息系统是否安全的模型,PDR 模型中的P代表保护,R代表响应,该模型中使用了三个时间参数;
(1)Pt,有效保护时间,是指信息系统的安全控制措施所能发挥保护作用的时间;
(2)Dt,检测时间,是指安全检测机制能够有效发现攻击、破坏行为所需的时间;
(3)Rt,响应时间,是指安全响应机制作出反应和处理所需的时间。
PDR模型用下列时间关系表达式来说明信息系统是否安全:
(1)Pt>Dt+Rt,系统安全,即在安全机制针对攻击、破坏行为作出了成功的检测和响应时,安全控制措施依然在发挥有效的保护作用,攻击和破坏行为未给信息系统造成损失。
(2)Pt<Dt+Rt,系统部安全,即信息系统的安全控制措施的有效保护作用,在正确的检测和响应作出之前就已经失效,破坏和攻击行为已经给信息系统造成了实质性破坏和影响。
5. 简述ISO信息安全模型定义及其含义。
答:ISO信息安全定义:信息安全是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。它包括三方面含义:(1)信息安全的保护对象是信息资产,典型的信息资产包括了计算机硬件、软件和数据。
(2)信息安全的目标就是保证信息资产的三个基本安全属性,保密性、完整性和可用性三个基本属性是信息安全的最终目标。
(3)事先信息安全目标的途径要借助两方面的控制措施,即技术措施和管理措施。
6. 简述信息安全的三个基本属性。
答:信息安全包括了保密性、完整性和可用性三个基本属性:
(1)保密性——Confidentiality,确保星系在存储、使用、传输过程中不会泄露给非授权的用户或者实体。
(2)完整性——Integrity,确保信息在存储、使用、传输过程中不被非授权用户篡改;防止授权用户对信息进行不恰当的篡改;保证信息的内外一致性。
(3)可用性——Availability,确保授权用户或者实体对于信息及资源的正确使用不会被异常拒绝,允许其可能而且及时地访问信息及资源。
7. 简述我国刑法对网络犯罪的相关规定。
答:我国刑法关于网络犯罪的三个专门条款,分别规定了非法侵入计算机信息系统罪(第285条);破坏计算机信息系统罪(第286条);利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪(第287条),并将其一并归入分则第六章“妨害社会管理秩序罪”第一节“扰乱公共秩序罪”。
8. 简述BS 7799 的内容构成以及与ISO国际标准的关系。
答:BS 7799分两个部分,第一部分,被ISO国际标准化组织采纳成为ISO/IEC 17799:2005 标准的部分,是信息安全管理实施细则(Code of Practice for Information Security Management),主要供负责信息安全系统开发的人员参考使用,其主要内容分为11个方面,定义了133项安全控制措施(最佳实践)。第二部分,被ISO国际标准化组织采纳成为ISO/IEC 27001:2005,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员运用ISO/IEC 17799:2005,其最终目的在于建立适合企业需要的信息安全管理体系(ISMS)。
9. 简述ISO/IEC 17799:2005中关于控制措施的11项分类内容。
答:BS7799-1信息安全管理实施细则(ISO/IEC 17799:2005)将信息安全管理的内容划分为11个主要方面,这11个方面包括:
(1)安全策略(Security Policy);
(2)组织信息安全(Organizing Information Security);
(3)资产管理(Asset Management);
(4)人力资源安全(Human Resoruces Security);
(5)物理与环境安全(Physical and Environmental Security);
(6)通信与操作管理(Communication and Operation Management);
(7)访问控制(Access Control);
(8)信息系统获取、开发与维护(Information Systems Acquisition,Development and Maintenance);
(9)信息安全事件管理(Information Security Incident Management);
(10)业务连续性管理(Business Continuity Management);
(11)符合性(Compliance)。
10. 简述安全策划体系所包含的内容。
答:一个合理的信息安全策略体系可以包括三个不同层次的策略文档:
(1)总体安全策略,阐述了指导性的战略纲领性文件,阐明了企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定以及对于信息资产的管理办法等内容;
(2)针对特定问题的具体策略,阐述了企业对于特定安全问题的声明、立场、使用办法、强制要求、角色、责任认定等内容,例如,针对Internet访问操作、计算机和网络病毒
防治、口令的使用和管理等特定问题,制定有针对性的安全策略;
(3)针对特定系统的具体策略,更为具体和细化,阐明了特定系统与信息安全有关的使用和维护规则等内容,如防火墙配置策略、电子邮件安全策略等。
11. 简述至少六种安全问题的策略。
答:(1)物理安全策略;(2)网络安全策略;(3)数据加密策略;(4)数据备份策略;(5)病毒防护策略;(6)系统安全策略;(7)身份认证及授权策略;(8)灾难恢复策略;(9)事故处理、紧急响应策略;(10)安全教育策略;(11)口令安全策略;(12)补丁管理策略;(13)系统变更控制策略;(14)商业伙伴、客户关系策略;(15)复查审计策略。
12. 试编写一个简单的口令管理策略。
答:(1)所有活动账号都必须有口令保护。
(2)生成账号时,系统管理员应分配给合法用户一个唯一的口令,用户在第一次登录时应该更改口令。
(3)口令必须至少要含有8个字符。
(4)口令必须同时含有字母和非字母字符。
(5)必须定期用监控工具检查口令的强度和长度是否合格。
(6)口令不能和用户名或者登录名相同。
(7)口令必须至少60天更改一次。
(8)禁止重用口令。
(9)必须保存至少12个历史口令。
(10)口令不能通过明文电子邮件传输。
(11)所有供应商的默认口令必须更改。
(12)用户应在不同的系统中使用不同的口令。
(13)当怀疑口令泄露时必须予以更改。
(14)应该控制登录尝试的频率。
13. 简述可接受使用策略AUP的内容。
答:AUP通常包含以下主要内容:
(1)概述,描述什么是AUP,企业、组织发布AUP的目的,制定AUP的原则以及一些必要的法律声明等。
(2)安全策略说明,说明制定AUP所依据的信息安全策略,提示用户信息安全策略的更改会影响到AUP的修订,并且告诉用户从哪里可以获得详细的信息安全策略文档。
(3)术语说明,将AUP中涉及的术语名词,以及AUP签署生效的有效时间进行说明。
(4)用户责任,对信息安全策略中所涉及到用户的信息安全责任内容,应当进行总结和提炼,以简单明了的语言进行阐述,使得用户充分了解自己对于企业、组织信息安全所承担的责任和义务。
14. 简述入侵检测系统IDS所采取的两种主要方法。
答:(1)误用检测:通过对比已知攻击手段及系统漏洞的签名特征来判断系统中是否有入侵行为发生。具体地说,根据静态的、预先定好的签名集合来过滤网络中的数据流(主要是IP层),一旦发现数据包特征与某个签名相匹配,则认为是一次入侵。
(2)异常检测:指根据使用者的行为或资源使用状况来判断是否入侵,而不以来具体行为是否出想来检测,所以也被称为基于行为的检测。异常检测利用统计或特征分析的方法来检测系统的异常行为。首先定义检测假设,任何对系统的入侵和误操作都会导致系统异常,这样对入侵的检测就可以归结到对系统异常的检测。
15. 简述我们信息安全保护等级的含义。
答:信息安全等级保护是指:
(1)对国家秘密信息、法人或其它组织及公民的专有信息以及公开信息的存储、传输和处理这些信息
的信息系统分等级实行安全保护;
(2)对信息系统中使用的信息安全产品实行按等级管理;
(3)对信息系统中发生的信息安全事件按照等级进行响应和处置等。
16. 简述我国信息安全等级保护的级别划分。
答:(1)第一级为自我保护级。其主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民、法人和其它组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。
(2)第二级为指导保护级。其主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全;本级系统依照国家管理规范和技术标准进行自主保护,必要时,信息安全监管职能部门对其进行指导。
(3)第三级为监管保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信息系统,器业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成较大损害;本机系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。
(4)第四级为强制保护级。其主要对象为涉及国家安全、社会秩序和公共利益的主要信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全、社会秩序和公共利益造成严重损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。
(5)第五级为专控保护级。其主要对象为涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其业务信息安全性或业务服务保证性受到破坏后,会对国家安全社会秩序和公共利益造成特别严重损害;本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督、检查。
17. 简述信息安全等级保护的实施过程。
答:对信息系统实施安全等级保护的过程划分为五个阶段,即系统安全定级阶段、安全规划设计阶段、安全实施阶段、安全运行维护阶段和系统终止阶段。
具体如下:
安全定级→安全规划设计→安全实施→安全运行维护→系统终止
安全运行维护-局部调整-安全实施
安全运行维护-重大变化-安全定级
18. 简述信息安全风险的计算过程。
答:风险计算的过程是:
(1)对信息资产进行识别,并对资产赋值;
(2)对威胁进行分析,并对威胁发生的可能性赋值;
(3)识别信息资产的脆弱性,并对脆弱性的严重程度进行赋值;
(4)根据威胁和脆弱性计算安全事件发生的可能性;
(5)结合信息资产的重要性和该资产发生安全事件的可能性计算信息资产的风险值。
20. 简述信息安全脆弱性的分类及其内容。
答:信息安全脆弱性的分类及其内容如下所示;
脆弱性分类:
一、技术脆弱性
1、物理安全:物理设备的访问控制、电力供应等
2、网络安全:基础网络构架、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全等
3、系统安全:应用软件安全漏洞、软件安全功能、数据防护等
4、应用安全:应用软件安全漏洞、软件安全功能、数据防护等
二、管理脆弱性
安全管理:安全策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性、符合性
21. 简述单位、组织的信息安全管理工作如何与公安机关公共信息网络安全检查部门(公安网监部门)
相配合。
答:单位、组织的信息安全管理工作与公安机关公共信息网络安全监察部门之间的配合主要体现在以下方面:
(1)单位、组织的信息安全管理,必须遵循信息安全法律、法规对于安全管理职责、备案、禁止行为、安全管理制度和安全技术机制要求等方面的内容规定。
(2)法律、法规赋予公安机关公共信息网络安全监察部门对信息安全的监管职责,各单位、组织必须接受和配合公安机关公共信息网络安全监察部门的监督和检查。
(3)在发生信息安全案件后,单位、组织应当及时向公安机关公共信息网络安全监察部门报案,并在取证和调查等环节给予密切配合。
22. 简述计算机病毒的分类方法。
答:对于计算机病毒的分类,目前常见的分类方式有以下几种:
(1)根据破坏程度进行分类,可以分为良性计算机病毒和恶性计算机病毒两类。
(2)根据系统软件环境的类型进行分类,可以分为DOS病毒、Windows病毒、UNIX病毒以及其他操作系统病毒。
(3)根据宿主类型进行分类,可以分为有宿主的计算机病毒和无宿主的计算机病毒两类。其中,有宿主的计算机病毒又包括了引导性病毒、文件型病毒、宏病毒等,而无宿主的计算机病毒则以网络蠕虫类病毒为典型代表。
23. 建立一个有效的计算机病毒防治体系应当包括哪些主要内容。
答:建立一个有效的计算机病毒防治体系,应当包含以下主要方面:
(1)编写明确的计算机病毒防治策略。
(2)建立计算机病毒防治核心技术机制,包括网络版杀毒系统和安全补丁管理平台。
(3)建立计算机病毒防治辅助技术机制,包括防火墙、网络入侵检测、系统和数据备份。
(4)建立计算机病毒防治配套管理规范,包括日常维护规范和应急响应计划。
(5)対所有计算机信息系统用户提供教育和培训。
24. 简述至少5种与信息安全违法行为有关的处罚方式。
答:(1)警告;(2)通报批评;(3)罚款;(4)拘留;(5)没收违法所得;(6)吊销许可证;(7)责令停机整顿;(8)责令停止联网。
25. 简述3种向公安机关报告网络犯罪案件的途径。
答:公安机关作为管辖部门,为了保证计算机案件的及时受理,建立了畅通的报警渠道。发现案件的使用单位和个人,可以通过以下渠道报案,公安机关应在24小时之内迅速完成案件的受理。
(1)直接向所辖地区的派出所报案,由派出所予以受理。
(2)通过统一报警电话110,向公安机关报案。
(3)通过所在地公安机关在互联网上设立的报警网站报案。公安部互联网违法案件举报网站为hppt://https://www.wendangku.net/doc/6c7825131.html,。
26. 简述除杀毒软件之外的至少3种安全技术机制,能够辅助有效地计算机病毒防治。
答:(1)安全补丁管理平台。安装安全补丁之后的系统软件,将弥补原来所存在的安全漏洞,达到安全加固的效果。加固后的系统,对于跟该安全漏洞有关的蠕虫病毒攻击都具备彻底的免疫能力。因此,安全补丁的管理可以从根本上减低计算机病毒所造成的安全风险。
(2)防火墙。防火墙可以实现理想的屏蔽和隔离保护,即便系统内部有安全漏洞,外部网络环境中有计算机病毒,由于防火墙的保护,禁止了两个因素相结合的途径,系统也不会被计算机病毒感染和破坏。
(3)网络入侵检测。当网络中爆发蠕虫病毒事件之后,整个网络的通信性能都会受到非常显著的影响。网络入侵检测系统除了对典型的网络攻击和入侵行为进行检测之外,还包含了対蠕虫病毒流量的分析和检测能力,它所提供的事件报警和分析日志,能够为快速定位事件原因和排除故障提供重要的支持能力。
(4)系统和数据备份。对于重要系统软件和业务数据的备份处理,不仅是重要的,而且是必须的,只有持防患于未然的态度,才能真正实现未雨绸缪。
27. 简述计算机病毒定义及其含义。
答:《计算机信息系统安全保护条例》第28条第1款明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”由此可以看出,计算机病毒具有以下几个基本要素:
(1)计算机病毒是人为故意编制的程序代码或计算机指令。
(2)计算机病毒的破坏是针对计算机功能、数据,它对计算机的正常使用具有影响性。
(3)计算机病毒具有自我复制能力,这种自我复制能力具有传播性。
28. 简述至少4种信息系统所面临的安全威胁。
答:信息系统所面临的常见安全威胁如下所示:
软硬件故障:由于设备硬件故障、通信链接中断、信息系统或软件Bug导致对业务、高效稳定运行的影响。
物理环境威胁:断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害。
无作为或操作失误:由于应该执行而没有执行相应的操作,或无意的执行了错误的操作,对系统造成影响。
管理不到位:安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏信息系统正常有序运行。
恶意代码和病毒:具有自我复制、自我传播能力,对信息系统构成破坏的程序代码。
越权或滥用:通过采用一些,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏信息系统的行为。
黑客攻击技术:利用黑客工具和技术,例如,侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵。
物理攻击:物理接触、物理破坏、盗窃。
泄密:机密信息泄露给他人。
篡改:非法修改信息,破坏信息的完整性。
抵赖:不承认收到的信息和所作的操作和交易。
29. 简述防火墙所具有的局限性。
答:防火墙产品虽然是网络安全的主要机制,但是也存在一定的局限性;例如无法阻止内部主机之间的攻击行为;无法防止“旁路”通道的出现及其引起的安全隐患;无法阻止病毒侵袭;可能构成内、外网之间潜在的信息处理瓶颈。
30. 简述物理安全的技术层面的主要内容。
答:物理安全的技术层面主要包括三个方面:环境安全、设备安全和媒体安全。
(1)环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;
(2)设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
(3)媒体安全:包括媒体数据的安全及媒体本身的安全。
航空公司安全工作总结
航空公司安全工作总结集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-
航空公司安全工作总结航空公司安全部年度工作小结 航空公司安全部年度工作小结范文 对于国家来说是命运多舛的一年,对公司来说是扎实推进、稳步提高的一年,对于我而言,也是接受考验、人生转折的一年。时光飞逝,转眼间已到了年底,到公司工作近五个月了,感受颇多,收获颇多。一个刚出校门的学生,从几乎没有工作经验的新手,到现在基本能独立地完成一项工作。新环境、新领导、新同事、新岗位,对我来说是一个良好的发展机遇,也是一个很好的锻炼和提升自己各方面能力的机会。“管理规范、运作有序、各司其职、兢兢业业、工作愉快、亲如一家”是我这近半年来切身的感受。在此,首先特别感谢公司领导和同事们给予我的大力支持、关心和帮助,使我能够很快地适应了公司的管理制度与运作程序,努力做好本职工作。进入公司工作以来,我认真了解了公司的发展概况,学习了公司的规章制度,熟悉了业务流程以及一些专业基础知识,在日常工作上与专业工作上,取得了较大的进步。在这几个月里,我工作认真负责,勤勤恳恳,按时并较好的完成领导安排的任务。回顾一年来的工作,总结如下:
(一)严于律已是准则,作风建设是重点。近一年来我对自身严格要求,始终把耐得住平淡、舍得付出、默默无闻作为自己的准则,始终把作风建设的重点放在严谨、细致、扎实、求实脚踏实地埋头苦干上。在工作中,以制度、纪律规范自己的一切言行,严格遵守公司各项规章制度,尊重领导,团结同志,谦虚谨慎,不断改进工作质量;坚持做到不利于公司形象的事不做,不利于公司形象的话不说,积极维护公司的良好形象。 (二)内务方面事情小,点点滴滴从头做。对航安部多年来的文件材料进行了整理、分类和归类做到了整齐、有序,能方便、迅速地找到所需的文件资料;对电脑与投影仪的日常维护,做好了会议前所需设备的准备工作。 (三)形象气质要加强,自身素质要提高。为做好本职工作,我坚持严格要求自己,以诚待人。一是爱岗敬业讲奉献。我正确认识自身的工作和价值,正确处理苦与乐、得与失、个人利益和公司利益的关系,坚持甘于奉献、诚实敬业。二是锤炼业务讲提高。经过半年的学习和锻炼,自己在文字功夫上取得一定的进步,完成部门新闻稿3篇(《sms是提高公司安全管理水平的指导性标准》,《航空安全部顺利完成林芝机场航空保安第三方审计工作》,《关注机场安防工程运筹帷幄合作意向》,及时有效的发布部门最新信息,最新动态,为公司新闻网页添加亮点,起到了宣传的作用。三是讲团结,讲协作。参与了对部门制度建设的修
信息安全管理体系审核员注册准则
中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号:CCAA-141 发布日期:2012年6月19日 ?版权2012-中国认证认可协会
信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会(CCAA)人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制:CCAA日期:2012年5月10日 批准:CCAA日期:2012年6月19日 实施:CCAA 日期:2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息,请与CCAA人员注册部联系,联络地址如下: 地址:北京市朝阳区朝外大街甲10号中认大厦13层 邮编:100020 https://www.wendangku.net/doc/6c7825131.html, email:pcc@https://www.wendangku.net/doc/6c7825131.html, 版权 ?版权2012-中国认证认可协会
前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会(CNCA)唯一授权的依法从事认证人员认证(注册)的机构,开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员,加入了IPC-QMS/EMS审核员培训与注册国际互认协议,人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》(质检总局令第61号)、国家认监委《关于正式开展信息安全管理体系认证工作的公告》(2009年第47号公告)制定,考虑了中国的国情及认证/认可机构的要求,是建立信息安全管理体系(ISMS)审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性,但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求,CCAA对此不承担责任。
ISO27001信息安全体系培训(条款A7-资产管理)
ISO27001培训系列V1.0 ISO 27001信息安全体系培训控制目标和控制措施 (条款A7-资产管理) 2009年11月 董翼枫(dongyifeng78@https://www.wendangku.net/doc/6c7825131.html, )
条款A7 资产管理
A7.1对资产负责 ?目标: 实现和保持对组织资产的适当保护。 ?所有资产应是可核查的,并且有指定的责任人。 ?对于所有资产要指定责任人,并且要赋予保持相应控制措施的职责。特定控制措施的实施可以由责任人适当地委派别人承担,但责任人仍有对资产提供适当保护的责任。
A7.1.1资产清单 控制措施 ?应清晰的识别所有资产,编制并维护所有重要资产的清单。 实施指南 ?一个组织应识别所有资产并将资产的重要性形成文件。资产清单应包括所有为从灾难中恢复而需要的信息,包括资产类型、格式、位置、备份信息、许可证信息和业务价值。该清单不应复制其他不必要的清单,但它应确保内容是相关联的。 ?另外,应商定每一资产的责任人(见A7.1.2)和信息分类(见A7.2),并形成文件。基于资产的重要性、其业务价值和安全级别,应识别与资产重要性对应的保护级别。
A7.1.2资产责任人 控制措施 ?与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任。 实施指南 ?资产责任人应负责: a)确保与信息处理设施相关的信息和资产进行了适当的分类; b)确定并周期性评审访问限制和分类,要考虑到可应用的访问控制策略。 ?所有权可以分配给: a)业务过程; b)已定义的活动集; c)应用; d)已定义的数据集。
A7.1.3资产的合格使用 控制措施 ?与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。 实施指南 ?所有雇员、承包方人员和第三方人员应遵循信息处理设施相关信息和资产的可接受的使用规则,包括: a)电子邮件和互联网使用(见A10.8)规则; b)移动设备,尤其是在组织外部使用设备(见A11.7;1)的使用指南; ?具体规则或指南应由相关管理者提供。使用或拥有访问组织资产权的雇员、承包方人员和第三方人员应意识到他们使用信息处理设施相关的信息和资产以及资源时的限制条件。他们应对使用信息处理资源以及在他们职责下的使用负责。
项目管理教程课后案例分析
Ⅰ、小李是一个称职的项目经理吗? 1、属于矩阵式组织结构,因为从“该公司拥有很多项目经理,他们全都向总经理负责,项 目团队成员既要受职能部门经理领导,也要受项目经理领导”这句话可以看出,项目团队成员隶属于项目经理和职能经理领导,这是矩陈式组织的典型特征。 2、不合适。 3、小李是一个称职项目经理。因为一个称职的项目经理首先必须具备一定知识素质和品格 素质,其中知识素质包括专业技术知识的深度、综合知识的广度和管理知识水平等,品格素质包括性格素质、道德素质;其次一个称职的项目经理还必须具备一些能力,包括领导能力、人际交往能力、人员开发能力、处理问题能力以及建设项目团队的能力等。 案例中的情形反映了小李至少在以下四个方面存在不足:⑴小李的知识广度不够。一个称职的项目经理不仅要具备一定的专业知识,也要精通经济、法律、数学、计算机等多门学科。案例中小李虽然具有很高的专业技术水平,但在其他知识方面却很欠缺;⑵小李缺乏良好的性格品质。小李不但不考虑小王的建议,反而讥笑他,待人不真诚、不热情;⑶小李缺乏人际交往能力或沟通能力,案例中小李和小王的沟通无疑是失败的;⑷小李缺少解决问题的能力。 Ⅱ、他们应该如何启动筹集所需资金的项目? 1、不全面。一份完整的可行性研究报告包括11项具体内容:⑴总论;⑵项目背景和发展 状况;⑶市场分析和建设规模⑷建设条件和地址选择;⑸技术方案;⑹环境保护和劳动安全;⑺企业组织和劳动定员;⑻项目实施的进度安排;⑼投资估算与资金措施;⑽财务效益;⑾可行性研究结论与建议。从以上可行性研究报告的具体内容和本案例的具体情况,可以看出,小李的可行性研究报告至少需要补充以下几方面的内容:⑴项目实施的进度安排。小李应该阐述造纸厂污水净化与综合利用项目实施知个阶段、实施的进度表以及每一阶段的费用;⑵投资估算和资金筹集措施。小李虽然说明了该项目所需的资金,但未指明资金的筹集措施以及资金的使用计划。⑶财务效益。小李应该做该项目的财务评价和国民经济评价以及该项目的实施能给社会带来何经济效益和社会效益的评价。另外,任何项目的实施都具有一定的风险性,小李还应该对该项目的实施进行风险分析以便采取应对措施;⑷可行性研究结论与建议。该项目到底是可行还是不可行,小李应该有一个交代。 2、项目究竟可行与否,还需要进一步的调查。 Ⅲ、造纸厂污水净化与综合利用的可行性报告完整吗? 答:应该按照如下步骤启动:⑴任命项目经理,组建项目团队。主要是为筹集所需资金项目选拔合适的项目经理,并招募成员、组织项目团队;⑵颁布项目章程。就是正式明确筹集所需资金项目的存在并向项目经理提供在项目活动中使用资源的权力。在该部分应该包括该项目的概况、目标、可交付成果、需求、资源、成本估算以及可行性研究等方面的内容。Ⅳ、游泳池建造项目能获利吗? 1、不合理,因为小王只从成本角度考虑了项目的可行性,没有系统、全面地考虑其他方面。 2、老王将会考虑如下几方面:㈠游泳池建造项目在技术上是否可行;㈡游泳池建造项目实 施的风险问题;㈢游泳池建造项目所需要的资源(人力、物力、财力)如何获取;㈣游泳池建造项目能按照预定的工期完成吗? Ⅴ、怎样进行生产线扩建项目计划的编制? 1、项目管理一般分为五个阶段:启动、计划、执行、控制和收尾。从案例中情形看,该项 目已经决定开始,正进入项目的计划阶段。 2、我准备按以下程序编制这个扩建项目的计划:⑴定义项目的目标并进行目标分解;⑵进 行任务分解和排序;⑶对各项任务所需时间进行估算;⑷描绘活动之间的次序和相互依
XX公司信息安全管理制度
信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和 存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不 得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。 1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密
民航安全法规体系
《民航安全法规体系》 A、民航的组织的体系 一、发展历程 ***中国民航飞机的发展历程 1、空中客车工业公司于1970年12月18日在法国成立; 2、波音公司于1916年7月1日成立。 3、1970年7月,毛提造大飞机计划; 1970年8月,提出《关于上海试制生产运输机的报告》——708计划,运十计划 1980年9月26日,运十首飞。 4、2008年,中国商飞(COMAC919)成立——第二次大飞机发展。 ***中国民航的发展历程 第一阶段(1949——1978)民航由空军管理,以军队领导为主的政企合一的管理体制; 第二阶段(1978——1987)民航脱离军队建设,实行政企合一的企业化管理; 第三阶段(1987——2002)第一次政企分离,航空公司与政府分离开来 组建六个骨干航空公司:国航、东航、南航、西北航、西南航、北方航空; 第四阶段(2002——2007)第二次政企分离,机场属地化管理 成立7大地区管理局和26个省级民航安监办,33个安监局 成立6大集团公司:中航、东航、南航、中航信、中航油、中航材; 民航政府:民航局——7个地区管理局——33个监管局 民航的企事业单位:三大集团(中航、东航、南航)、海航;深航、川航 山航、夏航;春秋、奥凯、东星、吉祥 民航保障单位:中航信、中航油、中航材 第五阶段(2007年至今) 空管政企分离 针对政府改革: 政府:民航局空管行业管理办公室——管制处、气象处、通信导航处、安全处、综合处地区管理局——空中交通管制处、通信导航监视处、气象处 监管局——空中交通管制处 针对事业单位的改革——“三横三纵”改革,空管一体化运行 事业单位:民航局空中交通管理局(三横) 民航地区空管局(7) 民航地区空管分局(站)(33) 业务:空中交通管制、气象、通信导航监视(三纵) 二、ICAO和IATA的联系和区别 答:1)名称 ICAO:国际民用航空组织 IATA:国际航空运输协会 2)是否官方 ICAO:官方
信息安全管理体系认证实施规则
信息安全管理体系认证实施规则 ISCCC-ISMS-001:2016 中国信息安全认证中心
目录 1.适用范围 (2) 2.认证依据 (2) 3.术语和定义 (2) 3.1.信息收集 (2) 3.2.现场审核 (2) 4.认证类别 (2) 5.审核人员及审核组要求 (2) 6.认证信息公开 (2) 7.认证程序 (2) 7.1.初次认证 (2) 7.2.监督审核 (6) 7.3.再认证 (8) 7.4.管理体系结合审核 (8) 7.5.特殊审核 (9) 7.6.暂停、撤消认证或缩小认证范围 (9) 8.认证证书 (10) 8.1.证书内容 (10) 8.2.证书编号 (11) 8.3.对获证组织正确宣传认证结果的控制 (11) 9.对获证组织的信息通报要求及响应 (11) 10.附录A:审核时间 (11)
1.适用范围 本规则用于规范中国信息安全认证中心(简称中心)开展信息安全管理体系(ISMS)认证活动。 2.认证依据 以国家标准ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》为认证依据。 3.术语和定义 3.1.现场审核 中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。 4.认证类别 认证类型分为初次认证,监督审核和再认证。为满足认证的需要,中心可以实施特殊审核,特殊审核采取现场审核方式进行。 5.审核人员及审核组要求 认证审核人员必须取得其他管理体系认证注册资格,并得到中心的专业能力评价,以确定其能够胜任所安排的审核任务。 审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增强审核组的技术能力。 具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作,可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。 6.认证信息公开 中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息: 1)认证服务项目; 2)认证工作程序; 3)认证依据; 4)证书有效期; 5)认证收费标准。 7.认证程序 7.1.初次认证
民用航空安全管理体系
第一章 民用航空安全管理体系 本章提示:安全是民航工作永恒的主题。敬爱的周恩来总理早在1957年10月5日就对民航工作作了重要批示,“保证安全第一,改善服务工作,争取飞行正常”。这一指示高度科学地概括了民航工作的特点,深刻地阐明了民航工作的基本内容,精辟地确定了航空运输质量的综合指标,成为民航工作的长期指导方针,对民航事业的发展起到了极为重要的指导作用。 学习本章课程目的是掌握民用航空安全管理体系(SMS)的内容,了解民用航空安全管理体系的发展和组成及国际相关民航组织对于安全管理的职权和职能。 ·
2 第一节 中国民用航空安全管理体系 安全管理体系(Safety Management System,SMS)是国际民航组织倡导的管理安全的系 统化方法,它要求组织建立安全政策和安全目标。通过对组织内部的组织结构、责任制度、程序等一系列要素进行系统管理,形成以风险管理为核心的体系,并实现既定的安全政策和安全目标。 一、中国民航推行安全管理体系的背景 2005年3月,加拿大民航局局长到中国民航总局访问,期间介绍了加拿大开展SMS的情况和SMS的理念,帮助中国民航建立SMS,由此正式拉开了中国民航开展SMS研究的序幕。 2006年3月,国际民航组织理事会通过了对《国际民用航空公约》附件6《航空器运行》的第30次修订。该次修订增加了国家要求航空运营人实施安全管理体系的要求,并规定从2009年1月1日起,各缔约国应要求其航空运营人实施被局方接受的安全管理体系。 2006年,民航总局将SMS建设确立为民航安全“十一五”规划的工作重点之一,设立6个专业组,其中航空公司组由民航总局飞行标准司负责,总局航空安全办公室负责总体协调。局方整合各方力量,深入研究国际民航组织有关SMS的内涵和要求,向全民航宣传SMS的理念。编写SMS差异指南材料和指导手册,开展相关培训。选择海航、深航作为SMS试点单位。 2007年3月,总局颁发了《关于中国民航实施安全管理体系建设的通知》,在全行业进行SMS总体框架、系统要素和实施指南等相关知识的培训。同时,于10月份正式印发了《中国民航安全管理体系建设总体实施方案》。 2007年11月,总局飞行标准司根据SMS的要求提出对《大型飞机公共航空运输承运人运行合格审定规则》(CCAR121部)做相应修订,增加要求航空运营人建立安全管理体系、设立安全总监等条款;同时,下发了相应的咨询通告《关于航空运营人安全管理体系的要求》,并就CCAR121修订内容和咨询通告征求各航空公司的意见。 2008年,民航工作会上进一步明确:2008年是SMS“全面实施年”,要求航空公司要重点抓好安全质量管理系统、主动报告机制、飞行数据译码分析系统和风险评估系统的建设。
信息安全管理体系建设
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
信息安全管理制度19215
信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。
信息安全管理体系认证合同范本
信息安全管理体系认证合同 1 甲方: 乙方:中国电子技术标准化研究所体系认证中心 2 容和围 乙方根据甲方的申请,通过对甲方信息安全管理体系的审核,确认甲方的信息安全管理体系是否符合所选定的标准,从而决定是否批准甲方获得或保持注册资格。 2.1 认证所依据的信息安全管理体系标准:ISO/IEC27001或等同采用的标准文件 2.2.1 甲方信息安全管理体系覆盖的产品类别、过程及主要活动: 2.2.2 删减说明: 2.3 甲方信息安全管理体系所覆盖的地点(含安装、维修/服务、活动地点): 注:如多现场可另页详细描述 2.4 审核时间安排 初访/预审时间计划于年月进行,现场审核时间计划于年月进行,最终审核时间由双方具体商定。 2.5 认证证书有效期为三年,甲方获得认证注册资格后,在有效期,乙方对初次通过认证的甲方共进行四次监督审核。前两次的监督审核在获证后每半年进行一次,以后的监督审核为每年一次。对复评后的甲方每年进行一次监督审核。如有特殊情况,将酌情增加监督审核频次。证书有效期满前三个月向乙方提出申请进行复评。
3 费用 3.1审核费用: □申请费1000元 □注册费1000元 □证书费1000元 □年金2000元 □审核费: 3.2 初访/预审费用¥元(整)。 3.3 证书副本费用:中文副本元(50元/);英文副本,元(50元/); 加印分、子证书套元(3000元/套)。 3.4 以上费用共计:¥(整)。 上述3.1和3.2费用自合同生效之日起10日先交纳30%,其余费用在现场审核后15日一次付清。3.5 监督审核费(在组织体系不发生重大变化的情况下)包括: □监督审核费(每次)¥元□年金(每年)2000元 监督审核费在每次审核前支付。 3.6 乙方派出审核人员的食、宿、交通等费用按实际支出由甲方负担。 3.7 因甲方自身原因(不符合标准要求,严重不符合等)而导致的不能注册时,由甲方支付乙方现场审核实际发生的费用。 4 甲方的权利和义务 4.1 甲方的权利 4.1.1 甲方对乙方的现场审核、审核结论、审核人员的行为、审核的公正性及泄露甲方、认证证书的暂停、注销和撤销等有权向乙方提出申诉/投诉,如对处理结果持有异议,可向乙方的管理委员会直至中国合格评定国家认可委员会(CNAS)提出申诉/投诉。 4.1.2 通过认证后,甲方享有按规定正确使用其管理体系认证证书和标志以及正确对外广告宣传其获得管理体系认证注册资格的权利。 4.2 甲方的义务 4.2.1 甲方在认证审核之前管理体系至少已运行三个月。
哈佛商学院项目管理教程
案例 在你开始进行情景模拟之前,请先熟悉一下背景及主要人物。 情景模拟是一套互动式的案例研究,有多种可能的结果。你的选择将会决定案例的展开过程和结果……有的结果相对来说更成功! 情景模拟的各种场景会在课文中出现。若条件允许,请点击“声音播放”或“情景播放”按钮观看多媒体版本。 一、背景 国际金融公司在全球金融服务业中正在变得举足轻重。 随着它的快速发展,有关信息在各细分市场及地理区域间的随时交流减少了。该公司在其最近一份分析报告中指出:国际市场信息的相互交流才是国际金融公司持续发展的关键。 因此,该公司的首要任务就是要在全球范围内改善信息交流。解决该问题的一个“双刃剑”包括对公司全球电讯网络的彻底检修和一次大规模机构重组以形成团队。以前按专业组建的各个部门要被改组,从而为全球的各个客户提供服务。目前最流行的口号是“关系管理”和“协同工作”。而非正式的说法是“信息共享”。 全球客户总监迈克·塔卡达已经把他的新部门编组成三个工作组,这三个工作组将为国际金融公司世界各地的客户提供综合性的服务。迈克打算组建一个跨部门的“系统团队”,用以检测他的部门需要做哪些改进以提高全球性的沟通能力。当核心部门——信息技术部——对改进公司电讯网络做出成本很高的重要决策时,将采纳系统团队的建议。 路易丝·莫斯是迈克·塔卡达的直接下属,负责管理固定收入产品工作组。迈克让路易丝来组建这个跨部门的系统团队并且监督其工作进展。 路易丝请自己工作组中的可靠成员奥斯陆·夏普来领导这个团队。 路易丝还请了她自己组中的另一名成员贝特西·布赖特来为这个团队效力。 你的任务就是帮助路易丝·莫斯指导系统团队(特别是贝特西·布赖特),让他们在公司企业文化的转变过程中尝试着协同工作。 二、人物
xxx信息安全管理制度
上海xxx电子商务有限公司 信息安全管理制度 目录 第一章关于信息安全的总述 (2) 第二章信息安全管理的组织架构 (3) 第三章岗位和人员管理 (3) 第四章信息分级与管理 (3) 第五章信息安全管理准则 (4) 第六章信息安全风险评估和审计 (8) 第七章培训 (9) 第八章奖惩 (9) 第九章附则 (9)
第一章关于信息安全的总述 第一条(制度的目的)为了维护公司信息的安全,确保公司不因信息安全问题遭受损失,根据公司章程及相关制度,特制定本制度。 第二条(信息安全的概念)本制度所称的信息安全是指在信息的收集、产生、处理、传递、存储等过程中,做到以下工作:1)确保信息保密,但在经过授权的人员需要得到信息时能够在可以控制的情况下获得信息;2)保证信息完整和不被灭失,但在特定的情况下应当销毁一些不应保存的信息档案;3)保证信息的可用性。 第三条(制度的任务)通过对具体工作中关于信息安全管理的规定,提高全体员工的安全意识,增强公司经营过程中信息的安全保障,最终确保公司所有信息得到有效的安全管理,维护公司利益。 第四条(制度的地位)本制度是公司各级组织制定信息安全的相关措施、标准、规范及实施细则都必须遵守的信息安全管理要求。 第五条(制度的适用范围)全体员工均必须自觉维护公司信息的安全,遵守公司信息安全管理方面的相关规定。一切违反公司信息安全管理规定的组织和员人,均予以追究。 第六条(信息的概念)本制度所称的信息是指一切与公司经营有关情况的反映(或者虽然与公司经营无关,但其产生或存储是发生在公司控制的介质中),它们所反映的情况包括公司的经营状况、财务状况、组织状况等一切内容,其存储的介质包括纸质文件、电子文件甚至是存在员工大脑中。具体来说,包括但不限于下列类型: 1、与公司业务相关的各个业务系统中的信息,如设计文档、源代码、可执行代码、配 置、接口以及相应的数据库和数据库相关备份等; 2、与公司业务相关的各种业务数据,如用户资料、经销商资料、合作伙伴信息、合同、 各业务系统运行时数据、各类统计数据和报表、收入数据等; 3、与公司内部管理相关的各类行政数据,如人事资料、人事组织结构等; 4、与公司财务管理相关的财务类数据,如采购信息、资产信息、财务信息; 5、其他如公司各分子公司和外地办事结构的数据;公司员工对内、对外进行各种书面 的、口头的信息传播行为等。 第七条(信息安全工作的重要性)信息安全管理是公司内部管理的一项重要及长期性的工作,其贯穿整个公司各项业务与各个工作岗位,各个中心和部门必须积极配合该项工作的开展。
航空公司安全风险管理文件
航空公司安全风险管理 文件 标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]
航空公司安全风险管理文件 一、目的: 在发生不安全事件并对安全绩效产生不利影响之前,就通过危险源识别和风险控制措施来实施预防,使得风险控制在可接受水平或其以下。 二、依据(相关文件): CCAR-121(《大型飞机公共航空运输运营人运行合格审定规则》) CCAR-135(《小型航空器商业运输运营人运行合格审定规则》) 《国际民用航空公约》附件6《航空器运行》 国际民用航空组织Doc9859《安全管理手册》 FAA AC 120-92 《航空运营人安全管理体系介绍》 FAA AC 120-59 A《航空器承运人内部评估方案》 三、范围: 适用于按照CCAR-121(《大型飞机公共航空运输运营人运行合格审定规则》)和CCAR-135(《小型航空器商业运输运营人运行合格审定规则》)运行的运营人。 四、定义: 危险源——有可能导致人员受到伤害,疾病或死亡,或者系统,设备或财产遭到破坏或受损,或者环境受到破坏的任何现有的或潜在的状况。
风险——某一危险源可能导致潜在后果预计的可能性和严重性的综合 衍生风险——作为风险控制结果无意中带来的新风险 风险管理——安全管理体系内的一个正式过程,由系统和工作分析,危险源识别,风险分析,风险评价和风险控制组成。风险管理过程处于提供产品或服务的过程中,不是一个独立的或特殊的过程。 安全管理体系——正式的,自上而下的,有条理的管理安全风险的做法。其包括安全管理的系统的程序,措施和政策 五、职责: -组成正式的安全风险管理队伍,负责定期召开会议处理安全系统相关的各项程序 -检查并审核风险管理政策 -开展危害确认及相关作业,开展危险源辨识工作 -检查并审核风险降低策略 -提出风险降低策略,提供安全专业意见 -发布安全信息给所有员工和利益相关方 -检查并审核内部,外部审计报告 -监督安全风险控制措施的施行 六、内容:
软件项目管理案例教程(第2版)课后习题答案(详细版)
课后练习题答案 序-- 练习题 一、回答问题: 1.项目集成管理 (Project Integration Management) 是什么? 集成项目管理是项目成功的关键 ,它贯穿了项目的全过程,包括从初始、计 划、执行、管理到结束等过程。项目集成管理在项目的整个生存期内协调项 目管理其他各管理知识域,保证项目总目标的是实现。 2.项目管理九大知识域是什么? 项目管理九大知识域是项目范围管理、项目时间管理、项目成本管理、项目 质量管理、项目人力资源管理、项目采购管理、项目沟通管理、项目风险管理、 项目集成管理。 3.项目成本管理( Project Cost management)包括哪些过程? 项目成本管理( Project Cost management )包括成本估算(Cost estimating),成本预算( Cost budgeting),成本控制( Cost control)等 过程。 4.项目管理的五个过程组是什么? 项目管理的五个过程组是启动过程组、计划过程组、执行过程组、控制过程组、 收尾过程组。 5.下面活动是项目: 野餐活动 集体婚礼 开发微软的操作系统 神州飞船计划 二、判断题: 6. 项目开发过程中可以无限制地使用资源。(×) 7.项目具有暂时的特征。(√) 8.项目管理核心的三角形是范围、进度、风险。( X ) 9. 过程管理与项目管理在软件组织中是两项最为重要的管理,项目管理用于保证 项目的成功,而过程管理用于管理最佳实践。(√) 10.运作管理 (Operation Management)是从宏观上帮助企业明确和把握企业发展 方向的管理。(×) 第一章练习题 一、名词解释 1.项目章程 项目章程( project charter )是指项目执行组织高层批准的一份以书面签 署的确认项目存在的文件,包括对项目的确认、对项目经理的授权和项目 目标的概述等。
网络及信息安全管理制度汇编
中心机房管理制度 计算机机房属机密重地。为做到严格管理,保证安全,特制订如下制度: 第一条中心机房的管理由系统管理员负责,非机房工作人员未经允许不准进入,机房门口明显位置应张贴告示:“机房重地,非请莫入”。 第二条机房内应保持整洁,严禁吸烟、吃喝、聊天、会客、休息。不准在计算机及工作台附近放置可能危及设备安全的物品。 第三条机房内严禁一切与工作无关的操作。严禁外来信息载体带入机房,未经允许不准将机器设备和数据带出机房。 第四条认真做好机房内各类记录介质的保管工作,落实专人收集、保管,信息载体必须安全存放并严密保管,防止丢失或失效。机房资料外借必须经批准并履行手续,方可借出。作废资料严禁外泄。 第五条机房工作人员要随时掌握机房运行环境和设备运行状态,保证设备随时畅通。机房设备开关必须先经检查确认正常后再按顺序依次开关机。 第六条机房工作人员对机房存在的隐患及设备故障要及时报告,并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。
第七条机房设备应由专业人员操作、使用,禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障,应及时报请维修,以免影响工作。 第八条外单位人员因工作需要进入机房时,必须报经局领导审批后方可进入,进入机房后须听从工作人员的指挥,未经许可,不得触及机房内设施。 第九条外来人员参观机房,须指定人员陪同。操作人员按陪同人员要求可以在电脑演示、咨询;对参观人员不合理要求,陪同人员应婉拒,其他人员不得擅自操作。 第十条中心机房处理秘密事务时,不得接待参观人员或靠近观看。
网络安全管理制度 第一条严格遵守法律、行政法规和国家其他有关规定,确保计算机信息系统的安全。 第二条连入局域网的用户严禁访问外部网络,若因工作需要,上网查询信息,允许访问与工作相关的网站,但须报告计算机管理部门,并在专业人员的指导下完成。非本局工作人员不允许上网查询信息。严禁访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密,侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非工作人员操纵系统,禁止不合法的登录情况出现。遇到安全问题应及时向计算机管理部门报告,并采取措施及时解决。 第五条局域网要采取安全管理措施,保障计算机网络设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论,不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络
航空公司安全工作总结
航空公司安全工作总结 百度《航空公司安全工作总结》,觉得应该跟大家分享,为了方便大家的阅读。 篇一:航空安全工作总结民航业内工作总结及年工作计划--天涯容为全力配合领导完成年质量管理中心各项工作任务,本人严格按年初工作计划有序开展各项工作,现将年工作总结及年工作计划总结如下:一、年工作重点业绩总结指标分解。 为严格完成部门年工作指标,配合领导分解部门的安全指标、延误指标、投诉指标,动态监控各中心的指标完成情况并做分析评估,部门安全指标及延误指标均在控制范围内,投诉数量指标超出年初设定的数据。 质量报表。 全年配合完成一、二、三季度的质量季报表,配合完成、、月度质量报表,所有安全指标均在控制范围内,各项任务全部完成。 风险管理。 实时监控部门危险源,全年新增危险源条,组织开展个风险评估项目,完善部门安全质量控制体系。 其中风险管理项目开展数量未达到公司要求的每月开展一个项目。 安全专项活动。 全力落实集团、公司开展安全生产月、安全调研活动,协调领导组织开展安全隐患排查,汇总完成部门的集团整改指令反馈材料等。
全部按计划完成任务。 事件调查。 为有效提升部门质量,年度共下发不符合整改通知单,开展个事件调查。 能够按时完成相关事件的调查。 质量监察。 拟定部门年度专项监察活动,范文动态监控各项监察活动完成情况,年度开展货物运输的检查、航前准备监察等,完成率%。 二、问题与不足对质量整改的监控力度不够,部分整改通知单下发流于形式。 业务创新能力有待进一步提高。 客舱监察频次不足,未能及时发现空中安全、服务不足之处。 三、年工作计划指标分解。 为全面落实部门年工作指标,全力配合领导分解部门的安全指标、延误指标、投诉指标,动态监控各中心的指标完成情况并做分析评估。 质量报表。 每日不定期收集相关工作数据,于月初按时完成上月的质量报表,分析工作中的不足之处,为下月工作方向依据。 风险管理。 实时部门危险源,监控各岗位按时、按量完成主动数据的汇报;按公司要求及时完成部门的风险管理项目。
如何建立信息安全管理体系.doc
如何建立信息安全管理体系1 如何建立信息安全管理体系 信息安全管理体系ISMS(Information Securitry Management Systems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它基于业务风险方法,用来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统,其目的是保障组织的信息安全。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、检查表等要素的集合,涉及到人、程序和技术。 建立健全信息安全管理体系对组织的安全管理工作和组织的发展意义重大。参照信息安全管理模型,按照先进的信息安全管理标准建立的全面规划、明确目的、正确部署的、组织完整的信息安全管理体系,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,实现用最低的成本,保障信息安全合理水平,从而保证业务的有效性与连续性。组织建立、实施与保持信息安全管理体系的好处主要有下几点: 1.引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。 2.可以增进组织间电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,为广大用户和服务提供商提供一个基础的设备管理。同时,把组织的干扰因素降到最小,创造更大收益。 3.通过认证能保证和证明组织所有的部门对信息安全的承
诺。 4.通过认证可改善全体的业绩、消除不信任感。 5.获得国际认可的机构的认证证书,可得到国际上的承认,拓展您的业务。 6.建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。信息安全管理体系是一个系统化、程序化和文件化的管理体系,属于风险管理的范畴,体系的建立需要基于系统、全面和科学的风险评估。ISMS 体现预防为主的思想,强调遵守国家有关信息安全的法律法规,强调全过程和动态控制,本着控制成本与风险平衡的原则,合理选择安全控制方式保护组织所拥有的关键信息资产,确保信息的保密性、完整性和可用性,从而保持组织的竞争优势和业务运作的持续性。 构建信息安全管理体系不是一蹴而就的,欲速则不达,每家组织都是不同的,不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过以下几个主要步骤: 1、信息安全管理体系策划和准备 策划和准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研,以及相关资源的配置与管理。 2、确定信息安全管理体系适用的范围
软件项目管理案例教程课后习题答案
第一章 二、判断题 1、搬家属于项目。(√) 2、项目是为了创造一个唯一的产品或提供一个唯一的服务而进行的永久性的努力。(×) 3、过程管理就是对过程进行管理,目的是要让过程能够被共享、复用,并得到持续的改进。(√) 4、项目具有临时性的特征。(√) 5、日常运作存在大量的变更管理,而项目基本保持连贯性的。(×) 6、项目开发过程中可以无限制地使用资源。(×) 三、选择题 1、下列选项中不是项目与日常运作的区别的是(C) A. 项目是以目标为导向的,日常运作是通过效率和有效性体现的。 B. 项目是通过项目经理及其团队工作完成的,而日常运作是职能式的线性管理。 C.项目需要有专业知识的人来完成,而日常运作的完成无需特定专业知识。 D.项目是一次性的,日常运作是重复性的。 2、下列选项中最能体现项目的特征(C) A.运用进度计划技巧B.整合范围与成本C.确定期限D.利用网络进行跟踪 3、以下都是日常运作和项目的共同之处,除了(D) A.由人来做B.受限于有限的资源C.需要规划、执行和控制D.都是重复性工作 4、项目经理的职责不包括(D) A.开发计划 B.组织实施 C.项目控制 D.提供资金 5、下列选项中属于项目的是(C) A.上课 B.社区保安 C.野餐活动 D.每天的卫生保洁 6、下列选项中正确的是(C) A.一个项目具有明确的目标而且周期不限 B.一个项目一旦确定就不会发生变更 C.每个项目都有自己的独特性 D.项目都是一次性的并由项目经理独自完成 7、(B)是为了创造一个唯一的产品或提供一个唯一的服务而进行的临时性的努力。 A.过程 B.项目 C.项目群 D.组合 8、(B)是一系列伴随着项目的进行而进行,目的是确保项目能够达到期望结果的一系列管理行为。 A.人力资源管理 B.项目管理 C.软件项目管理 D.需求管理 9、下列活动中不是项目的是(C) A.野餐活动 B.集体婚礼 C.上课 D.开发操作系统 10、下列选项中不是项目的特征的是(C) A.项目具有明确的目标 B.项目具有限定的周期 C.项目可以重复进行 D.项目对资源成本具有约束性 第二章 二、判断题 1、项目初始阶段甲方为软件开发方,乙方为顾客。(×)