等级测评师培训大纲

等级测评师培训大纲

为贯彻落实《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）的精神，在全国开展信息安全等级保护测评体系建设工作，对开展等级测评工作的测评人员进行专门的培训和考试，特制定本大纲。本大纲以信息安全等级保护相关标准为基础，结合信息安全等级测评工作实际需要，明确了开展等级测评工作的人员能力要求，用以指导信息安全等级测评师的培训和考试工作。

1 培训对象

信息安全等级测评师培训是针对等级测评机构中的测评人员进行的培训，初级、中级和高等级测评师与等级测评机构中的测评员、项目负责人（或项目组长）和技术负责人（或技术总监）三个工作岗位相对应，通过初级、中级和高级等级测评师培训和考试后，颁发相应的等级测评师证书，等级测评人员需持等级测评师证上岗。

1）初级等级测评师

初级等级测评师的培训对象是网络安全、主机安全、应用安全、安全管理和工具测试人员等。

报考人员需要具备信息安全基础知识和信息安全相关工作经验,熟悉TCP/IP 网络协议，了解标识与鉴别、访问控制等安全技术及原理，熟悉主流服务器操作系统、路由器、交换机、防火墙等设备的操作与配置。

2）中级等级测评师

中级等级测评师的培训对象是项目负责人（或项目组长）。

报考人员需要具备信息安全理论基础，对系统安全、网络安全、应用安全和攻击测试等有深入了解,作为项目负责人组织实施过信息系统安全测评项目，熟悉国内外信息安全相关产品特性，具有较丰富的测评实践经验、良好的沟通协作和文字表达能力。

3）高级等级测评师

高级等级测评师的培训对象是技术负责人（或技术总监）。

报考人员需要具备信息安全理论基础，具有信息安全理论、信息安全技术的研究和

实践经验，从事过信息安全方面的测评、规划、设计、实施、运维等工作。熟悉信息安全标准和产品特性，熟悉信息安全技术发展动向。

2 培训方式

评估中心组织对报考初、中和高级等级测评师考试的人员进行专门的培训，通过培训后方可参加相应的等级测评师考试。人员培训采用网络培训和集中培训相结合的方式。网络培训要求学员通过互联网登录培训系统在线接受培训。网上培训完成后，参加集中培训。集中培训以重点内容、复习、现场答疑和考前辅导为主。

3 初级等级测评师

3.1 培训目标

了解信息安全等级保护的相关政策、标准；

掌握等级测评方法，熟悉网络、主机、应用、安全管理测评内容、要求和方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；

熟悉信息安全产品分类，了解其功能、特点，熟悉主流产品安全配置方法；

掌握测评工具的操作方法，能够合理设计测试用例获取测试数据；

能够按照报告编制要求整理测评数据，开展等级测评工作。

3.2 培训内容

3.2.1 信息安全等级保护政策

信息安全等级保护制度的主要内容

目标要求：了解等级保护基本政策，包括《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、关于印发《信息安全等级保护管理办法》的通知（公通字[2007] 43号）、关于印发《关于信息安全等级保护工作的实施意见》的通知（公通字[2004] 66号）、关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函（公信安[2009]1429号）、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）等。

信息安全等级保护政策体系

目标要求：了解等级保护基本政策体系以及相关文件的作用。

等级保护工作的具体内容和要求

目标要求：了解信息系统定级、备案、安全建设整改、等级测评、监督检查各阶段具体工作内容和要求。

3.2.2 等级保护相关标准应用

等级保护标准体系及主要标准

目标要求：了解等级保护相关标准的定位、主要内容等。

信息安全等级保护概述

目标要求：了解等级保护工作过程及标准应用。

3.2.3 网络安全测评

网络全局安全测评

目标要求：能够进行安全体系架构分析，熟悉安全区域划分、边界访问控制、入侵检测和恶意代码防范等实现机制。

网络设备安全测评

目标要求：掌握主流交换机、路由器等网络设备的安全配置方法，熟悉设备自身安全防护、访问控制、身份认证和安全审计等安全实现方法。

安全设备安全测评

目标要求：掌握主流防火墙、入侵检测系统、安全审计系统、身份认证系统等安全设备的工作原理，熟悉设备自身安全防护、访问控制、身份认证和安全审计等安全实现方法。

3.2.4 主机安全测评

Windows操作系统安全测评

目标要求：熟悉WINDOWS操作系统的安全功能及其原理，掌握系统安全配置方法及最佳安全实践，掌握WINDOWS操作系统的安全等级测评内容，熟悉Windows 操作系统自身安全防护、访问控制、身份认证和安全审计等安全实现方法。

类UNIX/Linux操作系统安全测评

目标要求：熟悉UNIX/LINUX操作系统的安全功能及其原理，掌握系统帐号管理、

访问控制、资源和网络安全管理等的安全配置及最佳安全实践。掌握UNIX/LINUX操作系统的安全等级测评内容，熟悉类UNIX/Linux系统自身安全防护、访问控制、身份认证和安全审计等安全实现方法。

3.2.5 应用和数据安全测评

应用系统安全测评

目标要求：熟悉典型的Web服务器软件、中间件软件等主流商用应用系统的安全测评方法。理解并掌握应用安全包括的主要内容和测评方法。

数据库安全测评

目标要求：熟悉数据库的基本安全机制、安全管理，熟悉主流数据库安全基本配置，掌握数据库安全测评内容和方法。

数据安全测评

目标要求：熟悉数据传输、存储、备份的安全实现技术和原理，掌握数据安全测评内容和方法。

3.2.6 安全管理测评

安全管理测评过程

目标要求：掌握安全管理测评的基本流程和方法，能够合理运用管理测评方法对安全管理内容进行测评。

安全管理测评方法与技巧

目标要求：熟悉安全管理测评的内容和方法，能够根据实际情况，合理安排资源，有效获取安全管理测评各项证据。

物理安全测评过程

目标要求：掌握物理安全测评的基本流程和方法，能够合理运用物理测评方法对物理安全内容进行测评。

3.2.7 工具测试方法

工具测试方法

目标要求：熟悉漏洞基本知识、熟悉网络安全漏洞扫描器基本原理、熟练操作网络

安全漏洞扫描器、测试点选取，能够对扫描结果进行分析。

渗透测试方法

目标要求：熟悉渗透性测试的一般流程、熟悉黑客攻击的常用工具和技术、熟悉防范和检测黑客攻击的工具和技术。

4 中级等级测评师

4.1 培训目标

熟悉信息安全等级保护相关政策、法规；正确理解信息安全等级保护标准体系和主要标准内容，能够跟踪国内、国际信息安全相关标准的发展；

熟悉信息安全等级测评方法，并熟悉测评指导书的开发、版本控制和评审的流程和方法；

熟悉测评项目的工作流程和质量管理的方法；

能够根据信息系统的特点，编制测评方案，确定测评对象、测评指标和测评方法；

能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性；

了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题，提出合理化的整改建议。

4.2 培训内容

4.2.1 信息安全等级保护政策

信息安全等级保护制度的主要内容

目标要求：理解等级保护基本政策，包括《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、关于印发《信息安全等级保护管理办法》的通知（公通字[2007] 43号）、关于印发《关于信息安全等级保护工作的实施意见》的通知（公通字[2004] 66号）、关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函（公信安[2009]1429号）、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）等。

信息安全等级保护政策体系

目标要求：理解等级保护基本政策体系以及相关文件的作用。

等级保护工作的具体内容和要求

目标要求：理解信息系统定级、备案、安全建设整改、等级测评、监督检查各阶段具体工作内容和要求。

4.2.2 等级保护相关标准应用

等级保护标准体系及主要标准

目标要求：理解等级保护相关标准的定位、主要内容等。

信息安全等级保护概述

目标要求：理解等级保护工作过程及标准应用。

4.2.3 信息系统安全等级保护基本要求

基本要求体系结构

目标要求：熟悉标准结构、编写背景、过程。

基本要求主要内容

目标要求：熟悉不同级别系统之间的差别、熟悉各级安全要求内容。

4.2.4 信息系统安全等级保护测评方法

等级测评方法

目标要求：掌握单元测评方法、整体测评方法，能够熟练运用单元测评方法和整体测评方法进行测评。

能够开发测评指导书

目标要求：掌握测评指导书编制方法，能够根据测评指导书编制方法正确编制测评指导书。

能够设计测评方案

目标要求：掌握测评方案编制方法，能够根据信息系统的特点，正确编制测评方案，确定测评对象、测评指标、测评方法，合理选择测试点。

能够编制、审核测评报告

项目管理师(PMP_IPMP_CPMP)考试介绍_报考条件_流程_部分大纲

项目管理师分为国外认证（IPMP PMP）和中国认证（CPMP）三种。 IPMP： International Project Management Professional，是国际项目管理协会在全球推行的四级项目管理专业资质认证体系的总称。目前已有30个正式会员国家及25个非正式会员国家，包括中国在内，2002年起，中国项目管理研究委员会与各大部委合作在中国全面推行1PMP。 IPMP对个人来说，是对项目管理人员知识、经验和能力水平的综合评估证明，不同级别的IPMP证书对应不同的专业水平。 IPMP是一个具有通用性的认证体系，没有行业限制。项目管理的组织形式在20世纪50-60年代开始被广泛应用，而目前IPMP在我国电子、核工业、国防和航空航天等行业的应用已经很广泛。 从事项目管理的人员和欲从事项目管理的的人员均可报考IPMP。具体包括工程管理、科技管理、产品管理等相关人员，从事项目管理教学科研的教师，有志从事项目管理的学生。 IPMP申请资格 IPMP对各级证书申请人员的资格要求有所不同，申请IPMP的考生需满足以下教育和专业背景要求： A级(Level A) l 职位要求 负责过或正在负责单个跨国域项目或多个多公司参与的复杂项目，担任过或正在担任涉及多个公司参与的多个项目的高级项目经理，具有领导一个组织所有项目的能力。 l 学历及工作经验要求 类别1：应试申请者具有大专以上学历，具有5年以上的项目管理工作经验，同时具有3年以上跨国域项目或多公司参与的多项目的项目领导人经历，但应试者具有的5年以上的项目管理工作经验在申请日8年前获得的经验无效。 类别2：应试申请者不具有大专以上学历，但具有8年以上项目管理经验，同时具有5年以上跨国域项目或多公司参与的多项目的项目领导人经历。但应试者具有的8年以上的项目管理工作经验在申请日10年前获得的经验无效。 B级(Level B) l 职位要求 负责过或正在负责单个公司多个项目或者多个公司单个项目的管理工作，担任过或正在担任项目经理，具有领导复杂项目的能力。 l 学历及工作经验要求 类别1：应试申请者具有大专以上学历，具有5年以上的项目管理工作经验，同时具有3年以上多公司单项目或者单公司多项目的项目领导人经历，但应试者具有的5年以上的项目管理工作经验在申请日8年前获得的经验无效。 类别2：应试申请者不具有大专以上学历，但具有8年以上项目管理经验，同时具有5年以上项目领导者的经历，负责过两项以上多公司单项目、单公司多项目的管理工作。但应试者具有的8年以上的项目管理工作经验在申请日10年前获得的经验无效。 C级(Level C) l 职位要求 参与过或正在参与整个项目的管理或负责过项目某一部分的管理，曾经辅助过或正在辅助项目经理进行复杂项目的管理，或者全面负责过一些非复杂项目的管理工作。 l 学历及工作经验要求 类别1：应试申请者具有学士学位或大学本科以上学历，同时具有3年以上的项目管理工作经验，但应试者具有的3年以上的项目管理工作经验在申请日5年前获得的经验无效。 类别2：应试申请者具有大专以上学历或同等学历，同时具5年以上的项目管理工作经验，但应试者具有的5年以上的项目管理工作经验在申请日8年前获得的经验无效。 类别3：应试申请者不具有大专以上学历，但具有3年以上项目领导者的经历，负责过两项以上复杂项目的管理工作，同时具有从事项目管理工作5年以上的工作经验。但应试者具有的5年以上的项目管理工作经验在申请日8年前获得的经验无效。 D级(Level D) l 学历及工作经验要求 类别1：具有项目管理知识，熟知项目管理原理、技术与方法，可以将其应用于一些实践领域，同时具有大专

等级保护测评试题

一、单选题 1、下列不属于网络安全测试范畴的是（C） A．结构安全B.便捷完整性检查C.剩余信息保护D.网络设备防护 2、下列关于安全审计的内容说法中错误的是（D） A．应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录 B．审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 C．应能够根据记录数据进行分析，并生成审计报表 D．为了节约存储空间，审计记录可以随意删除、修改或覆盖 3、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应为下列哪一个（A） A．exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标（A） A.ping扫描 B.操作系统扫描 C.端口扫描 D.漏洞扫描 ping扫描：用于发现攻击目标 操作系统识别扫描：对目标主机运行的操作系统进行识别 端口扫描：用于查看攻击目标处于监听或运行状态的。。。。。。 5、路由器工作在（C） A.应用层 B.链接层 C.网络层 D.传输层 6、防火墙通过____控制来阻塞邮件附件中的病毒。（A） A.数据控制 B.连接控制 C.ACL控制 D.协议控制 7、与10.110.12.29 mask 255.255.255.224属于同一网段的主机IP地址是（B） A.10.110.12.0 B.10.110.12.30 C.10.110.12.31 D.10.110.12.32 8、查看路由器上所有保存在flash中的配置数据应在特权模式下输入命令：（A） A.show running-config B.show buffers C. show starup-config D.show memory 9、路由器命令“Router（config）#access-list 1 permit 192.168.1.1”的含义是：（B） A．不允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 B．允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 C．不允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则结束 D．允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则检查下一条语句。 10、配置如下两条访问控制列表：

信息安全技术 信息系统安全等级保护测评要求.doc

信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）等有关文件要求，制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南； ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求； ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说，信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容，未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定，本标准中的信息系统主要指计算机信息系统。在本标准文本中，黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求，包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分：安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。

《GB∕T28448-2019信息安全技术网络安全等级保护测评要求》试卷答案

《GB∕T28448-2019信息安全技术网络安全等级保护测评 要求》试卷 姓名：分数： 一、填空题（每空3分，共30分） 1.安全测评通用要求中安全物理环境的测评对象是__________和__________。 2.机房__________设在地下室。 3.二级测评通用要求对机房设置防盗报警系统或有专人值守的视频监控系统__________ （有或没有）作要求。 4.三级测评通用要求机房电力供应设置__________电力电缆线路。 5.三级测评通用要求网络设备的业务处理能力满足业务高峰期的要求，可通过查看网络设 备的__________使用率和__________使用率。 6.边界防护中，__________级测评要求内外网的非法互联进行检测和限制。 7.云计算安全测评扩展要求云计算基础设施位于__________。 8.工业控制系统与企业其他系统之间应划分为__________个区域。 二、不定项选择（每题5分，共30分） 1.三级测评通用要求机房出入口应__________。 A．安排专人值守B．放置灭火器 C．安装玻璃门D．配置电子门禁系统 2.三级测评通用要求防雷击除了将各类机柜、设施和设备等通过接地系统安全接地，还要 求设置__________。

A．照明灯具B．过压保护器 C．防雷保安器D．空气清新剂 9.身份鉴别要求采用__________等两种或两种以上的鉴别技术。 A．动态口令B．数字证书 C．生物技术D．设备指纹 10.三级测评通用要求安全计算环境中，访问控制的粒度应达到主体为__________。A．端口级B．用户级 C．进程级D．应用级 11.安全管理中心是《GB∕T28448-2019信息安全技术网络安全等级保护测评要求》新增加 的内容，三级测评通用要求安全管理中心内容包括__________。 A．系统管理B．审计管理 C．安全管理D．集中管控 12.工业控制系统内使用广域网进行进行控制指令或相关数据交换的应采用加密认证技术 手段实现__________加密传输。 A．身份认证B．访问控制 C．数据D．以上都不是 三、简答题（共40分） 3.三级测评通用要求数据备份恢复有哪些内容？（8分）

国家职业资格项目管理师考试提纲

项目管理师培训授课提纲 武汉理工大学 2006年8月

第一篇基础知识 第1章职业道德 理解概念，能进行基本的是非判断。（第1页） 1.职业道德（4项功能） 2.职业守则（3条要点） 第2章项目管理基本概念 本章为全书的重点，必须掌握每个概念的要点，并且能够联系实际进行判断。（突出重点将以下划线标示）。 一、项目的定义及特点（第4页） 1．项目的定义：在时间、费用和资源约束下，具有特定目标的受控活动所组成的特定过程。（注意5点说明） 2．项目的特点：（体现在选择与判断题中，故要非常清晰） （1）一次性。有起点，有终点。不重复。 （2）独特性。没有完全相同的项目。 （3）目标的特定性。注意项目过程（或工作）目标与项目产品（或产出）目标的区别。 （4）制约性。时间、费用、质量（技术标准）、资源（人、财、物、信息）4大约束的直接影响和外部环境因素的间接影响。 （5）不确定性与不可挽回性。项目实施的风险很大。 （6）项目组织的临时性和开放性。每一个项目均需要组成一个项目团队，任命项目经理，直到项目结束。 二、项目管理的概念、主要内容及意义（第6页） 1．项目管理的概念：对项目，通过管理的5项基本职能，实现项目目标的过程。2．项目管理的主要内容：9项管理（见知识体系） 3．项目管理的目标：首先是满足项目业主的要求和期望，兼顾其他。 4．项目管理的意义：应用的广泛性。（把更多的工作纳入项目管理的轨道） 三、项目阶段和项目生命期（第7页） 1．项目阶段和项目生命期（每一阶段都贯穿项目管理的5个过程，图2—1）（1）启动阶段（概念阶段）： 项目发起（项目建议书）——项目核准（移交权利）——项目启动（项目可行性研究报告）（注意两个标志：项目经理与项目许可证）——项目立项（项目投资决策）——明确项目要求（项目范围说明书准备）。 对于规模较小的项目，过程可简化。 （2）规划阶段（计划阶段）： 项目规划原则（目的性、系统性、动态性、相关性） 项目规划内容： 项目目标——任务——责任分析（目标树，项目范围说明书，WBS，RAM、LRC）

等级保护测评题型及考题

1.cisco的配置通过什么协议备份： A.ftp B.tftp C.telnet D.ssh 2.交换机收到未知源地址的帧时： A.广播所有相连的设备 B.丢弃 C.修改源地址转发 D..... 3.功能测试不能实现以下哪个功能： A.漏洞 B.补丁 C.口令策略 D.全网访问控制策略 4.等保3级别中，而已代码应该在___进行检测和清除 A.内网 B.网络边界 C.主机 D..... 5.____是作为抵抗外部人员攻击的最后防线 A.主机安全 B.网络安全 C... D... 6.按照等保要求，第几级开始增加“抗抵赖性”要求： A.一 B.二 C.三 D.四 7.哪项不是开展主机工具测试所必须了解的信息： A.操作系统 B.应用 C.ip D.物理位置 8.查询sql server中是否存在弱口令的sql语句是： A.select name from xx_logins where password is null B.... C..... D.... 9.Oracle查看是否开启审计功能的sql语句是： 10.linux查看目录权限的命令： A. ls -a B.ls -l C. dir -a D. dir -l 不定项： 1.应用的审计日志应包括： A.日期 B.时间 C.时间描述 D.事件结果 E... 2.鉴别信息描述正确的是：

A.鉴别信息就是用户名 B.鉴别信息时明文的 C.鉴别信息时加密的 D.xxx 3.鉴别信息一般包括： A.知道什么 B.具有什么 C.第三方信息 D... 4.以下哪些可以用来对oracle数据库进行配置管理： A.sqlplus B.手工修改实例名_init.ora C... D... 5.按照等保3级要求，应实现对网络上html,_______,pop3,smtp等协议命名级控制 A.ftp B.TELNET C.ssh D.tftp 6.一段cisco的命令信息，结合日志输出，给出4个选项的描述判定 判断题： 1.按三级要求，应对非法接入客户端进行检查、定位。 2.按三级要求，并对重要数据、鉴别信息等实现存储保密性。 3.sybase数据库中，未启用xxx则不具备审计功能 4.oracle数据库不能对密码进行复杂度进行设置 5.windows 的power users组具有对事件日志的删除权限 6. 给主机动态分配IP的协议是ARP协议 简答题： 1.给出一张检查表，有8条不符合项目，请结合等级保护要求，及你的理解，描述存在的风险，并给出解决建议 2.回答工具测试接入点的原则，及注意事项 3.回答你对安全审计的理解，并结合实际案例说明安全审计的部署（必要时可画图）

信息系统项目管理师复习大纲复习资料

信息系统项目管理师复习大纲（答案） 1、项目的特点：临时性、独特性、渐进性 2、日常运营和项目两者之间的区别 答：日常运营是持续不断和重复进行的，而项目是临时性的，独特的。 3、项目生命周期的特征 答：（1）初始阶段费用和人员水平较低，中间阶段达到最高，结束时快速下降。 （2）初始阶段不确定性水平最高。 （3）初始阶段项目干系人影响项目的最终产品特征和项目最终费用的能力最高，随着项目的继续逐渐变低。 4、典型的信息系统项目的生命周期模型：瀑布模型、螺旋模型、迭代模型 5、项目的组织结构形式 答：职能型组织、项目性组织、弱矩阵型组织、平衡矩阵型组织、强矩阵型组织、复合型组织。 6、5个过程组9个知识域44个流程的映射表 7、初步可行性研究的主要内容 答：市场和生产能力、设备与材料投入分析、网络规划和物理布局方案的选择、项目设计、项目进度安排、项目投资与成本估算。 8、详细可行性研究的主要内容 答：市场需求预测、配件和投入的选择供应、信息系统结构及技术方案的确定、技术与设备选择、网络物理布局设计、投资、成本估算与资金筹措、经济评价及综合分析。 9、指数估算法：x=y(c2c1)0.6CF X、Y、C2、Cl、CF的含义 答：X：投资估算数；Y:同类老项目的实际投资数；C2：新项目的生产能力；C1：老项目的生产能力；CF：价格调整系数。 10、项目评估的含义 答：在项目可行性研究的基础上，由第三方根据国家颁布的政策、法规、方法、参数和条例等，对项目进行评价、分析和论证，进而判断其是否可行的一个评估过程。 11、范围管理的主要内容 答：编制范围管理计划、范围定义、创建工作分解结构、范围确认、范围控制。 12、WBS分解过程及分解的原则 答：WBS分解过程 （1）识别项目交付物和相关项目工作。 （2）对WBS的结构进行组织。 （3）对WBS进行分解。 （4）对WBS中各级工作单元分配标识符或编号。 （5）对当前的分解级别进行检验，以确保他们是必须的、而且是足够详细的。 WBS分解原则： （1）在各层次上保持项目的完整性，避免遗漏必要的组成部分。 （2）一个工作单元只能从属于某个上层单元，避免交叉从属。 （3）相同层次的工作单元应用相同性质。 （4）工作单元应能分开不同的责任者和不同工作内容。 （5）便于项目管理计划、控制的管理需求。 （6）最底层工作应该具有可比性、是可管理的，可定量检查的。 （7）应包括项目管理工作，包括分包出去的工作。 13、范围确认与质量控制的不同

内部培训师甄选测评项目

内部培训师甄选测评项目 一、项目诉求分析 通过顾问初步访谈后收集与提炼的项目背景和具体意向，现将XX公司内部培训体系建设中涉及内部培训师胜任素质模型与素质评价工作的内涵与目的进行简单陈述。 XX公司从战略高度出发充分重视内部培训体系建设工作，从企业内部甄选优秀的培训师，并通过系统的培训使其掌握开展培训工作的知识、技能与能力，将极大地提高企业内部培训体系的工作效率。也是内部培训体系建设工作的起点和重点。内部培训师甄选项目将帮助企业甄选优秀的内部培训师，并在培训师训练的过程中根据每个培训师的个人特点进行有针对性地培训与指导。 二、项目目标分析 （一）总体目标 建立企业完备的内部培训体系，将在企业战略目标和经营指标实现过程中发挥战略性的推进作用，能够加速企业经营目标的实现。培训体系的建设存在内部培训师甄选与训练、课题开发、培训计划体系、培训制度系统保障共四项重点。这些环节唇齿相依、密不可分，相互作用、互相联系。内部培训师甄选工作的目的就是为企业顺畅地建立内部培训体系并高效的运行该体系提供人员保障。 （二）阶段目标与成果 依据上述项目的总体目标，本项目将分为四个关键阶段，而每个阶段都具有清晰的阶段目标，分别简述如下：

项目各阶段成果如下：

三、项目过程分析 （一）构建内部培训师胜任素质模型 （二）开发素质测评工具与实施测评 （三）数据整合分析与个人报告 维度数据整合分析报告任务

说明：以上所涉及方法仅作为说明工作过程使用，并不代表在项目中一定使用此方法。 四、项目周期 （一）构建内部培训师胜任素质模型 （二）开发素质测评工具与实施测评 1、开发素质测评工具 2、测评实施过程

项目管理师考试内容(理论)

1、项目建议书阶段投资的估价方法不包括：类比估算法 2、 3、 4、 （正确的答案：比较法、分析法、順查法） 5、 （正确的答案：比较法、分析法、順查法） 6、KJ 后找出解决问题的方法。 7、 8、 （正确的答案：变更控制系统、绩效测量、项目管理信息系统） 9、 （正确的答案：趋势分析、偏差分析、挣值分析） 10、 11、 （审计依据：项目立项说明、可行性报告、工作分解结构、资源计划、进度计划、费用估算和预算） 12 13 14 15 16 正确答案：项目沟通需求、项目沟通方式、项目假设前提。 17、 正确答案：工程法、教育法、程序法。 18、 19、 正确答案：根据数据和实际信息做决策全员参与实现项目过程和产品质量与分承包方和其他组织建立互利关系 20、当企业同时进行多个项目并且专业较多时，最好的组织结构是：矩阵式。 21、以横向线条结合时间坐标来表示各项工作起始时间和先后顺序的是：横道图也叫甘 特图和条形图。 22、应对处理发生的风险事件消除和缩小风险叫：风险控制 23、综合平衡应遵循的原则不包括：灵活性。（正确答案：合理性、重点性、系统性） 24、做好项目设计是采购计划的先决条件。 25、编制项目综合计划的主要目的是：提供合理的、明确的、可执行的项目基线 26、项目团队在疑问阶段适用影响型的领导方式 27、五种正式沟通渠道中全通道式的民主氛围最浓 28、组织形式复杂，易构成沟通障碍，项目经理与职能经理职责不清的是矩阵型 29、企业专卖物品采购方式：直接签订合同。 30、净现值为零时的折现率是：IRR.

31、有关工作持续时间压缩的说法中不正确的是：快速跟进是在成本和进度之间权衡， 以最小的成本，取得最大的持续时间压缩。 正确：赶工常导致成本增加；快速跟进是将一般情况下的多项工作改为平行进行；快速跟进容易导致返工 32、按照最早开始时间绘制的时标网络图中波形线的水平投影长度是—自由时差 33、为了评估因返工对项目可能造成的影响首先要找出网络计划的关键线路和总工期 34、作为一种绩效报告的工具或技巧，挣值分析综合了范围成本和进度三方面的信息。 35、往往会导致最后的估算费用过高，而无法接受的项目估算方式是自下而上估算法 36、项目计划执行的评价结果要以执行报告形式表现出来 37、贝尔宾提出“成功的团队是通过不同性格的人结合在一起的方式组成的”，是角色 界定法 38、业绩考评表通常采用多少个等级进行考评：5-7个 39、整体变更管理过程的输出不包括绩效报告 正确答案：项目计划分析、纠正措施、经验教训 40、项目进度更新的重点是：关键工作的调整 41、项目实施期费用审计的依据不包括费用估算和预算 正确答案：成本报告、进程报告、质量报告 42、范围核实主要关注什么？---对工作结果的认可 43、对项目成员的激励包括什么？---授权、绩效考评、适当奖励和激励 44、根据WBS对项目资源进行分析汇总的结果称为----资源矩阵计划 45、进行质量成本的分析目的是？---寻求最佳质量成本 46、为了保证和提高产出物质量，而支出的有关费用以及因为达到预先规定质量水平而 造成的一切损失费用的总和就叫质量成本。 47、明示的质量要求不包括：人们公认的要求 正确答案：合同的规定、技术文件的规定、图纸的规定 48、项目构思过程中，酝酿阶段的子过程不包括：构思完善。 潜伏、创意诞生、构思诞生 49、将错误排除在过程之外的一种质量控制方式是---预防 50、项目需求调查有多种，其中观察法的缺陷是花费较高 51、鉴于了解类型的各种性质，研究各种类型造成不良体原因的抽样方法是---分层抽样 52、投资决策的首要环节是—可行性研究 53、质量成本在巩固推广阶段应该-----建立正式的会计账目和统计核算 54、在项目中有时需要安排一人兼职多岗位或跨职能的工作，这体现灵活性原则 55、什么是稳定的资源使用率可以得到比较低的资源成本，这一假设为前提的：资源平 衡 56、对风险主体来说风险与利益必然同时存在，这体现风险与利益的对称性 57、价值工程的核心就是功能分析 1、成本效益分析指标包括哪些：A C.--------P191 A静态分析指标B投资收益率指标C 动态分析指标D最小费用指标E效益费用率指标2、项目的社会需求分析包括：ABCD 社会经济发展需求分析社会人文环境需求分析自然生态环境需求分析经济可持续发展需求分析社会人口平均消费需求分析

2016 PMP项目管理师考试大纲

2016PMP项目管理师考试大纲发布，2016年3月考试内容将受影响 为了让项目管理专业人士（PMP）适应专业发展的变化，PMI将在2016年1月12日 对PMP考试的内容进行变化。这些变化将在中国区2016年3月PMP考试中体现。2015 年12月考试不受影响。 之前PMI网站上公布了考试大纲的修改内容，但均为英文版本。 以下为考试大纳最新版本内容： 第一单元项目启动 1．基于现有的可用信息，以往项目的经验教训总结和访谈相关干系人，来实施项目 评审，以便于在给定的假设条件和/或制约因素下支持新的产品或服务的可行性评估。 2．识别基于业务需求的关键可交付成果，以管理客户的期望和指导项目目标的实现。 3．应用合适的工具和技术进行干系人分析，以调整干系人期望并获得干系人对项目 的支持。 4．根据当前的事业环境因素、组织过程资产、历史数据和专家判断，来识别项目的 高层级风险、假设条件和制约因素，以便实施组织战略计划。 5．通过整合和分析收集到的信息，参与项目章程的制定，以保证项目干系人对项目 章程内容达成一致意见。

6．通过获取发起人对项目章程的审批，来对项目经理进行正式授权，获得承诺并使其接受项目。 7．与干系人（包括发起人、客户和主题专家）进行效益分析，以验证项目定位与组织战略和预期的商业价值的一致性。 8．通知批准项目章程的相关干系人，以确保对关键可交付成果、关键里程碑和干系人角色职责达成共识。 第二单元项目规划 1．根据项目章程和以往项目的经验教训总结，使用需求收集技术，审查和评估详细的项目需求、制约因素与假设条件，以建立详细的项目可交付成果。 2．基于批准的项目范围，使用范围管理技术制定项目范围管理计划文件，用来指导定义、维护和管理项目的范围。 3．根据项目的范围、进度、资源、批准的项目章程和其他有用信息，制定项目成本管理计划，使用估算技术来管理项目成本。 4．基于批准的项目可交付成果、总体里程碑进度计划、范围和资源管理计划，制定详细的项目进度计划以管理项目按时完成。 5．通过定义项目角色和人员职责来制定一份人力资源管理计划，以创建项目组织机构图和指导有关资源将被如何分配和管理。

《GB∕T 28448-信息安全技术网络安全等级保护测评要求》试卷答案

《GB∕T 28448-2019信息安全技术网络安全等级保护测评 要求》试卷 姓名：分数： 一、填空题（每空3分，共30分） 1.安全测评通用要求中安全物理环境的测评对象是__________和__________。 2.机房__________设在地下室。 3.二级测评通用要求对机房设置防盗报警系统或有专人值守的视频监控系统__________ （有或没有）作要求。 4.三级测评通用要求机房电力供应设置__________电力电缆线路。 5.三级测评通用要求网络设备的业务处理能力满足业务高峰期的要求，可通过查看网络设 备的__________使用率和__________使用率。 6.边界防护中，__________级测评要求内外网的非法互联进行检测和限制。 7.云计算安全测评扩展要求云计算基础设施位于__________。 8.工业控制系统与企业其他系统之间应划分为__________个区域。 二、不定项选择（每题5分，共30分） 1.三级测评通用要求机房出入口应__________。 A．安排专人值守B．放置灭火器

C．安装玻璃门D．配置电子门禁系统 2.三级测评通用要求防雷击除了将各类机柜、设施和设备等通过接地系统安全接地，还要 求设置__________。 A．照明灯具B．过压保护器 C．防雷保安器D．空气清新剂 3.身份鉴别要求采用__________等两种或两种以上的鉴别技术。 A．动态口令B．数字证书 C．生物技术D．设备指纹 4.三级测评通用要求安全计算环境中，访问控制的粒度应达到主体为__________。A．端口级B．用户级 C．进程级D．应用级 5.安全管理中心是《GB∕T 28448-2019信息安全技术网络安全等级保护测评要求》新增加 的内容，三级测评通用要求安全管理中心内容包括__________。 A．系统管理B．审计管理 C．安全管理D．集中管控 6.工业控制系统内使用广域网进行进行控制指令或相关数据交换的应采用加密认证技术 手段实现__________加密传输。 A．身份认证B．访问控制 C．数据D．以上都不是

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南； ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求； ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南； ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围

本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件， 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号） 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1

人力资源规划管理的方法和工具1.doc

人力资源规划管理的方法和工具1 人力资源规划管理的方法和工具 课程背景: 年终又到了，如何进行年终绩效考核，确保考核结果的公平、公正？如何根据年度绩效考核的结果分配年度奖金？如何通过绩效面谈有效激励员工等？这些都是许多老板及人力资源主管深感头痛的问题，如果这些问题解决不好将会导致优秀员工流失，甚至严重影响到企业的稳定与持续发展。如何有效实施年度绩效考核呢？本课程通过案例和情景模拟，深入剖析年度绩效考核的方法和工具，提升受训者年度绩效考核的管理能力。公司制定了下一年度的经营目标，人力资源管理系统如何支撑到企业的经营目标实现，这值得企业管理层以及人力资源管理者深思。制定科学的年度人力资源规划，以及在此基础上做好关键岗位管理是确保企业经营目标得以实现的关键。 课程特色: （1）以解决问题为出发点。课程设计以客户的需求为出发点，有针对性帮助客户解决题； （2）以可操作性为主线条。课程提供的方法和工具，是人力资源管理咨询中用到的方法和工具，学员可以快速掌握并在工作中有效运用； （3）以有形成果为竞争力。通过沙盘模拟和辅导，建立标杆模板，形成有形学习成果。

培训形式: 1、正确认识年度绩效考核； 2、掌握年度绩效考核操作的方法和工具； 3、掌握奖金分配的方法和技巧； 4、提升绩效面谈的技巧； 5、正确理解人力资源规划 6、掌握人力资源规划的方法和工具 7、正确理解关键岗位管理8、提升关键岗位管理的六大技能 课程提纲: 第一部分：如何实施年度绩效考核实施 一：正确认识年度绩效考核 1、什么是年度绩效考核? 2、年度绩效考核与平时绩效考核的过程有何区别？ 3、年度绩效考核常见的问题及失败的原因 4、年度绩效考核准备事项 5、年度绩效考核实施步骤 6、年度绩效考核成功关键要素

信息安全等级保护初级测评师模拟试题

信息安全等级保护初级测评师模拟试题 集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

信息安全等级测评师模拟考试 考试形式：闭卷考试时间：120分钟 一、单选题（每题1.5分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（c） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（A） A.突出重要系统，涉及所有等级,试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（B）A A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4.安全建设整改的目的是（D） （1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5） B.（3）、（4）、（5）

信息系统安全等级保护测评准则

信息系统安全等级保护测评准则

目录 1 范围1 2 规范性引用文件1 3 术语和定义1 4 总则2 4.1 测评原则2 4.2 测评内容2 4.2.1基本内容2 4.2.2工作单元3 4.2.3测评强度4 4.3 结果重用4 4.4 使用方法4 5 第一级安全控制测评5 5.1安全技术测评5 5.1.1物理安全5 5.1.2网络安全7 5.1.3 主机系统安全9 5.1.4 应用安全11 5.1.5 数据安全13 5.2 安全管理测评15 5.2.1 安全管理机构15 5.2.2 安全管理制度17 5.2.3 人员安全管理17 5.2.4 系统建设管理19 5.2.5 系统运维管理23 6 第二级安全控制测评27 6.1 安全技术测评27 6.1.1 物理安全27 6.1.2 网络安全33 6.1.3 主机系统安全37 6.1.4 应用安全42 6.1.5 数据安全47 6.2 安全管理测评50 6.2.1 安全管理机构50 6.2.2 安全管理制度52 6.2.3 人员安全管理54 6.2.4 系统建设管理56 6.2.5 系统运维管理61 7 第三级安全控制测评69 7.1 安全技术测评69 7.1.1 物理安全69 7.1.2 网络安全76

7.1.3 主机系统安全82 7.1.4 应用安全90 7.1.5 数据安全97 7.2 安全管理测评99 7.2.1 安全管理机构99 7.2.2 安全管理制度104 7.2.3 人员安全管理106 7.2.4 系统建设管理109 7.2.5 系统运维管理115 8 第四级安全控制测评126 8.1 安全技术测评126 8.1.1 物理安全126 8.1.2 网络安全134 8.1.3 主机系统安全140 8.1.4 应用安全149 8.1.5 数据安全157 8.2 安全管理测评160 8.2.1 安全管理机构160 8.2.2 安全管理制度164 8.2.3 人员安全管理166 8.2.4 系统建设管理169 8.2.5 系统运维管理176 9 第五级安全控制测评188 10 系统整体测评188 10.1 安全控制间安全测评188 10.2 层面间安全测评189 10.3 区域间安全测评189 10.4 系统结构安全测评190 附录A（资料性附录）测评强度190 A.1测评方式的测评强度描述190 A.2信息系统测评强度191 附录B（资料性附录）关于系统整体测评的进一步说明196 B.1区域和层面196 B.1.1区域196 B.1.2层面197 B.2信息系统测评的组成说明199 B.3系统整体测评举例说明200 B.3.1被测系统和环境概述200 B.3.1安全控制间安全测评举例201 B.3.2层面间安全测评举例201 B.3.3区域间安全测评举例202 B.3.4系统结构安全测评举例202

等级保护考试试题集

信息安全等级保护培训试题集 一、法律法规 一、单选题 1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。 A．公安机关 B．国家保密工作部门 C．国家密码管理部门 2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A．公安机关 B．国家保密工作部门 C．国家密码管理部门 D．信息系统的主管部门 3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B) A．经济价值经济损失 B．重要程度危害程度 C．经济价值危害程度 D．重要程度经济损失 4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 A．第一级 B．第二级 C．第三级 D．第四级 5．一般来说，二级信息系统，适用于（D） A．乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 B．适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。 C．适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。 D．地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。

信息系统安全等级保护测评及服务要求

成都农业科技职业学院 信息系统安全等级保护测评及服务要求 一、投标人资质要求 1.在中华人民共和国境内注册成立（港澳台地区除外），具有独立承担民事责任的能力；由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）。（提供营业执照副本、组织机构代码证副本、税务登记证副本复印件）； 2.测评机构应为成都市本地机构或在成都有常驻服务机构； 3. 参选人必须具有四川省公安厅颁发的《信息安全等级保护测评机构推荐证书》； 4. 参选人必须具有近3年内1例以上，市级以上企事业单位信息安全等级保护测评项目的实施业绩（以合同或协议为准）； 5. 参选人须具有良好的商业信誉和健全的财务会计制度；具有履行合同所必需的设备和专业技术能力；具有依法缴纳税收和社会保障资金的良好记录；有良好的财务状况和商业信誉。没有处于被责令停产、财产被接管、冻结或破产状态，有足够的流动资金来履行本项目合同。 6. 参与项目实施人员中应至少具备3名以上通过公安部信息安全等级保护测评师资格证书的测评工程师。 7.本包不接受联合体参加。 二、信息系统安全等级保护测评目标 本项目将按照《信息系统安全等级保护基本要求》、《信息系统安全

等级保护测评准则》和有关规定及要求，对我单位的重要业务信息系统开展信息安全等级保护测评工作，通过开展测评，了解与《信息系统安全等级保护基本要求》的差距，出具相应的测评报告、整改建议，根据测评结果，协助招标方完成信息安全等级保护后期整改工作，落实等级保护的各项要求，提高信息安全水平和安全防范能力，并配合完成公安系统等级保护备案。 等级保护测评主要是基于《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）和《信息系统安全等级保护测评准则》中的相关内容和要求进行测评。测评主要包括安全技术和安全管理两个方面的内容，其中安全技术方面主要涉及物理安全、网络安全、主机安全、应用安全与数据安全等方面的内容；安全管理方面主要涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的内容，配合相应等级的安全技术措施，提供相应的安全管理措施和安全保障。 三、测评内容及要求 1.完成上述信息系统的等级保护定级工作，协助学院编写相应的《信息系统安全等级保护定级报告》； 2.完成上述信息系统安全等级测评工作，测评后经用户方确认，出具符合信息系统等级测评要求的测评报告； 3.协助完成上述信息系统安全等级保护备案工作； 4.对上述信息系统不符合信息安全等级保护有关管理规范和技术

信息安全等级保护初级测评师模拟试题

信息安全等级测评师模拟考试 考试形式：闭卷考试时间：120分钟 一、单选题（每题1.5分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（C ） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（A ） A.突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（A ） A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是（D ） （1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5） B.（3）、（4）、（5） C.（2）、（3）、（4）、（5） D.全部