国家信息安全测评信息安全服务资质申请指南.doc

国家信息安全测评

信息安全服务资质申请指南（安全开发类二级）

?版权2017—中国信息安全测评中心

2017年10月

一、认定依据4

二、级别划分4

三、二级资质要求5

3.1 基本资格要求5

3.2 基本能力要求5

3.3质量管理能力要求 6

3.4安全开发过程能力要求 6

四、资质认定7

4.1认定流程图7

4.2申请阶段 8

4.3资格审查阶段 8

4.4能力测评阶段 8

4.4.1静态评估8

4.4.2现场审核9

4.4.3综合评定9

4.4.4资质审定9

4.5证书发放阶段 9

五、监督、维持和升级10

六、处置10

七、争议、投诉与申诉10

八、获证组织档案11

九、费用及周期11

十、联系方式12

中国信息安全测评中心（以下简称CNITSEC）是经中央批准成立、代表国家开展信息安全测评的职能机构，依据国家有关产品质量认证和信息安全管理的政策、法律、法规，管理和运行国家信息安全测评体系。

中国信息安全测评中心的主要职能是：

1.对国内外信息安全产品和信息技术进行测评；

2.对国内信息系统和工程进行安全性评估；

3.对提供信息系统安全服务的组织和单位进行评估；

4.对信息安全专业人员的资质进行评估。

“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。

本指南适用于所有向CNITSEC申请信息安全服务资质（安全开发类二级）的境内外组织。

一、认定依据

信息安全服务（安全开发类）资质认定是对产品安全开发服务提供者的资格状况、技术实力和安全开发过程能力等方面的具体衡量和评价。

信息安全服务（安全开发类）资质级别的评定，是依据《信息安全服务资质评估准则》和不同级别的信息安全服务资质（安全开发类）具体要求，在对申请组织的基本资格、技术实力、安全开发过程能力以及安全开发项目的组织管理水平等方面的评估结果基础上的综合评定后，由中国信息安全测评中心给予相应的资质级别。

二、级别划分

信息安全服务（安全开发类）资质认定是对产品安全开发服务提供者的综合实力的客观评价和确认，信息安全服务（安全开发类）资质级别反映了产品安全开发服务提供者从事产品安全开发保障能力的成熟程度。资质级别划分的主要依据包括：基本资格、基本能力要求、质量管理能力要求、安全开发过程能力要求和其他补充要求等。

信息安全服务资质分为五个级别，由一级到五级依次递增，一级是最基本级别，五级为最高级别。

一级：基本执行级

二级：计划跟踪级

三级：充分定义级

四级：量化控制级

五级：持续改进级

三、二级资质要求

信息安全服务资质（安全开发类二级）为计划跟踪级，要求满足基本资格的产品安全开发服务组织通过建立有效的质量管理体系，使安全开发能力方面实施的过程规范被定义、标准化和文档化，安全开发过程时能普遍按照规范执行，通过跟踪发现开发过程中的重大偏离并采取纠正措施，从而使组织的安全开发能力达到部分可重复的水平。

申请信息安全服务（安全开发类二级）资质的组织需要在基本资格、基本能力、质量管理能力和安全开发过程能力等几个方面符合《信息安全服务资质具体要求（安全开发类二级）》的规定。

3.1 基本资格要求

基本资格要求是评定信息安全服务资质的起评条件。

申请信息安全服务（安全开发类二级）资质的组织必须：

1.是具有独立法人地位的实体；

2.获得相关主管部门的批准；

3.遵守国家现行法律法规；

4.已获信息安全服务（安全开发类一级）资质，且资质证书在有效期内；

5.达到其他补充要求。

3.2 基本能力要求

基本能力的要求包括：技术能力要求，资源配置要求（包括人员构成与素质要求、设备、设施与环境要求），规模与资产要求和业绩要求。

申请信息安全服务（安全开发类二级）资质的组织应该：

1.从事信息安全服务行业3年以上；

2.注册资本应在100万元以上，资产总额在200万元以上；

3.近3年的财务状况良好；

4.从事信息安全服务的人力资源充足、人员结构合理、技术队伍相对稳定，

拥有专职的“注册信息安全专业人员（CISP）”数量不少于从事安全开

发专业技术人员的10%，但不得少于4人，其中CISD人员不少于2人，

或专职的“注册软件安全专业人员（CWASP CSSP）”不少6人。若同时

拥有专职的“注册信息安全专业人员（CISD）”和专职的“注册软件安

全专业人员（CWASP CSSP）”，则按3名CWASP CSSP等同于1名CISD

的配置方式计算。

5.实践过完整的安全开发过程；

6.近3年完成信息安全产品开发服务工程项目总值应在200万元以上。3.3质量管理能力要求

申请信息安全服务（安全开发类二级）资质的组织，在质量管理方面应该：

0.建立合理的组织架构来满足产品安全开发服务的实施和管理，产品安全

开发服务技术部门相对独立；

1.建立合理的管理架构来满足产品安全开发服务的管理，建立有效的技术

管理、质量管理和组织管理机制；

2.建立有效的质量管理体系，至少满足支持产品安全开发技术能力达到计

划跟踪级所需的相关管理能力要求。

3.4安全开发过程能力要求

安全开发过程能力方面的要求是产品安全开发服务资质的核心要求。

申请信息安全服务（安全开发类二级）资质的组织应该：

1.在按照一级所要求的各个过程域最佳实践的基础上将实践上升为理论，

形成规范指导安全开发过程有计划、规范化地实施；

2.验证安全开发实施过程与规范的一致性；

3.通过对计划实施过程的跟踪，发现实施过程与计划产生重大偏离时能采

取纠正措施。

四、资质认定

4.1认定流程图

4.2申请阶段

申请组织应首先到CNITSEC网站（https://www.sodocs.net/doc/fa15529903.html, ）查看并下载《信息安全服务资质申请指南(安全开发类二级)》和《信息安全服务资质申请书（安全开发类二级）》，认真阅读上述文档，了解资质认定的流程及相关情况，确定本组织满足二级资质的基本资格要求和基本能力要求。

申请组织当决定申请信息安全服务资质（安全开发类二级）后，根据《信息安全服务资质申请书（安全开发类二级）》的要求填写申请书、加盖公章并将申请书中所要求的相关资料一起提交给CNITSEC，同时提交申请费。在向CNITSEC 递交申请书前，须逐项检查所填报的材料的完整性和正确性。

4.3资格审查阶段

CNITSEC接到正式申请书及相关资料以及申请费后，根据所提交的资料进行资格审查，以确认申请单位是否满足资质的基本资格要求，提交资料是否完整。

资格审查包括对申请单位所提交资料进行的形式化审查以及对申请单位的进一步调查和沟通。如果资格审查阶段发现有不符合要求的内容，CNITSEC将要求申请组织补充资料等。

当通过资格审查阶段后，CNITSEC将与申请组织签订合同，正式受理该申请，并通知相关费用的缴纳事宜等。

4.4能力测评阶段

当申请组织通过资格审查并缴纳了相关费用后，资质申请进入能力测评阶段。

能力测评阶段包括静态评估、现场审核、综合评定和资质审定四个步骤。

4.4.1静态评估

静态评估是对申请组织资料进行符合性审查，是对申请组织的安全开发服务能力做出基本判断，初步确定申请组织的安全开发能力水平状况，为现场审核做

准备。如果静态评估阶段发现有不符合要求的内容，CNITSEC将要求申请组织进一步补充资料，以便反映申请组织的客观情况。

4.4.2现场审核

现场审核是对申请组织从事安全开发的综合能力（包括技术能力、管理能力、质量保证、设施设备、工作环境、人员构成及素质、经营业绩、资产状况等方面）进行核实和确认。

通过静态评估后，CNITSEC将与申请组织沟通现场审核事宜，安排审核组进行现场审核。

现场审核若发现需整改的不符合项，审核组将对申请组织提出限期整改的要求，并对整改效果进行验证。

4.4.3综合评定

在综合评定阶段，将依据静态评估和现场审核结果，对申请组织的基本资格、基本能力、安全开发能力以及资质所要求的其他内容进行综合评定，出具综合评定报告。

对评定结果不符合的，CNITSEC将要求申请组织限期整改。申请组织完成整改并向CNITSEC提交整改报告后，CNITSEC将对整改结果进行验证，整改仍不符合的，将不能通过能力测评。逾期未整改的，视作整改不符合。

4.4.4资质审定

根据综合评定的报告，CNITSEC技术委员会将组织技术专家对申请组织的产品安全开发服务资质进行审查，并最终做出是否通过的决定。

4.5证书发放阶段

资质审定通过后，CNITSEC将进行资质证书的制作、审批和发放，并在网站、报刊杂志等媒体上公布获证组织的相关信息。

五、监督、维持和升级

获得资质的组织需通过持续发展自身信息安全服务体系以保持基本能力及安全开发过程能力。CNITSEC将通过申诉系统、现场见证以及对产品安全开发服务项目进行抽样检查来验证每个获得资质组织的能力。

证书在三年有效期内实行年确认制度，每三年进行一次维持换证。

获证后，每年在证书签发之日前30天内，获证组织要向CNITSEC提交年度调查表，并到CNITSEC办理年检。CNITSEC年检中发现获证组织不符合资质认定要求的，将要求其限期整改，整改后仍不合格，CNITSEC将暂停或取消证书。

在证书有效期届满前90天内，由获证组织提出维持换证申请。CNITSEC将依据信息安全服务资质维持有关政策进行评审，以确定获证组织符合产品安全开发服务能力二级资质要求的持续性。

若获证组织相关资料变动时，须及时通知CNITSEC，并申请更改。

若获证组织实体发生变化，需要进行资质证书的转移，可到CNITSEC网站（https://www.sodocs.net/doc/fa15529903.html, ）下载并填写《信息安全服务资质变更申请书》，并提出资质转移申请。

获证组织获证后，可根据自身能力的提升情况，向CNITSEC申请三级资质。

六、处置

获证组织存在违规行为时，CNITSEC有权视组织违规情节轻重予以以下处置：警告、限期整改、暂停证书、取消证书。

七、争议、投诉与申诉

对CNITSEC所作的评审、复查、处置等决定有异议时，可向CNITSEC提出书面申诉。CNITSEC将会责成与所申诉、投诉事项无利益相关的人员进行调查，CNITSEC在调查基础上做出结论。

获证组织应妥善处理因自身行为而发生的投诉，保留记录并采取措施防止问题的再发生。CNITSEC将在必要时查阅获证组织的申诉/投诉记录。

八、获证组织档案

CNITSEC将对每个获证组织建立专项档案，所有资料将保存六年。

九、费用及周期

信息安全服务资质认定收费划分为如下四个部分：

（1）申请费：2000元

（2）测评费：3000元/人日

（3）审定与注册费（含证书费）：3000元

（4）年金（含标志使用费）：5000元/年

测评费将根据测评过程的工作日进行具体核算。对于中小型规模的组织，首次申请测评过程工作日至少为静态评估2人日、现场审核4人2日和综合评估2人日；证书维持测评过程工作日至少为静态评估2人日、现场审核4人1日和综合评估2人日。对规模较大的或跨地域的组织，针对申请组织的具体情况需要增加测评过程的工作日。

申请组织还应承担因现场审核活动审核组成员所发生的交通和食宿费用。

从受理到颁发证书的周期为三个月，期间由于申请方原因（如，资料补充需要的时间等）造成的时间延误不计算在内。

十、联系方式

名称：中国信息安全测评中心资质评估处

地址：中国北京市海淀区上地西路8号院1号楼邮编：100085

传真：xxx

咨询电话：xxx

信息安全等级测评师测试(1)-管理初级

一、单选题（20分） 1、《基本要求》中管理要求中，下面那一个不是其中的内容？（） A、安全管理机构。 B、安全管理制度。 C、人员安全管理。 D、病毒安全管 理。 2、应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的 恶意攻击、一般的自然灾难，所造成的重要资源损害，能够发现重要的安 全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能 是几级要求？（） A、一级。 B、二级。 C、三级。 D、四级。 3、三级系统基本要求中管理要求控制类共有（）项？ A、32。 B、36。 C、37。 D、38。 4、《测评要求》和哪一个文件是对用户系统测评的依据？ A、《信息系统安全等级保护实施指南》。 B、《信息系统安全保护等级定级指 南》。C、《信息系统安全等级保护基本要求》。D、《信息系统安全等级保护 管理办法》。 5、安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状 态监控、（）、安全检查和持续改进、监督检查？ A、安全事件处置和应急预案。 B、安全服务。 C、网络评估。 D、安全加固。 6、如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重 要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家 安全、社会秩序和公共利益造成较大损害；本级系统依照国家管理规范和 技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。这

应当属于等级保护的什么级别？（） A、强制保护级。 B、监督保护级。 C、指导保护级。 D、自主保护级。 7、《信息系统安全等级保护实施指南》将（）作为实施等级保护的第一项重 要内容？ A、安全定级。 B、安全评估。 C、安全规划。 D、安全实施。 8、人员管理主要是对人员的录用、人员的离岗、（）、安全意识教育和培训、 第三方人员访问管理5各方面。 A、人员教育。 B、人员裁减。 C、人员考核。 D、人员审核。 9、根据《信息安全等级保护管理办法》，由以下哪个部门应当依照相关规范和 标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作？ A、公安机关。 B、国家保密工作部门。 C、国家密码管理部门。 D、信息系 统的主管部门。 10、计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、 社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。（） A、经济价值经济损失。 B、重要程度危害程度。 C、经济价值危害程度。 D、重要程度经济损失。 11、新建_______信息系统，应当在投入运行后_______，由其运营、使用单位 到所在地设区的市级以上公安机关办理备案手续。（） A、第一级以上30日内。 B、第二级以上60日内。 C、第一级以上60日内。 D、第二级以上30日内。

信息安全测评服务简介

信息安全测评和服务 1信息安全风险评估 对客户单位所有信息系统进行风险评估，每半年评估一次，评估后出具详细的评估报告。评估范围为所有业务系统及相关的网络安全资产，内容具体包括： (1)漏洞扫描：通过工具对网络系统内的操作系统、数据库和网站程序进行自动化扫描， 发现各种可能遭到黑客利用的各种隐患，包括：端口扫描，漏洞扫描，密码破解，攻击测试等。 (2)操作系统核查：核查操作系统补丁安装、进程、端口、服务、用户、策略、权限、审 计、内核、恶意程序等内容，对用户当前采取的风险控制措施和管理手段的效果进行评估，在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。 (3)数据库核查：主要是对数据库管理系统的权限、口令、数据备份与恢复等方面进行核 查。 (4)网络及安全设备核查：网络及安全设备核查主要是针对网络及安全设备的访问控制策 略进行检查，确定是否开放了网站服务以外的多余服务。 (5)病毒木马检查：通过多种方式对机器内异常进程、端口进行分析，判断是

否是木马或病毒，研究相关行为，并进行查杀。 (6)渗透测试：模拟黑客的各种攻击手段，对评估过程中发现的漏洞安全隐患进行攻击测 试，评估其危害程度，主要有：弱口令、本地权限提升、远程溢出、数据库查询等。 测评次数不低于两次，在有重大安全漏洞或隐患出现时，及时采取有针对性的渗透测试。 2、信息安全加固 针对评估的结果，协助客户单位对应用系统中存在的安全隐患进行安全加固。加固内容包括： 操作系统安全加固； 基本安全配置检测和优化 密码系统安全检测和增强 系统后门检测 提供访问控制策略和安全工具 增强远程维护的安全性 文件系统完整性审计 增强的系统日志分析 系统升级与补丁安装 (1)网络设备安全加固； 严格的防控控制措施 安全审计 合理的vlan划分 不必要的IOS服务或潜在的安全问题 路由安全 抵抗拒绝服务的网络攻击和流量控制 广播限制 (2)网络安全设备安全加固； 防火墙的部署位置、区域划分 IDS、漏洞扫描系统的部署、VPN网关部署 安全设备的安全防护措施配置加固

信息安全服务资质申请书(安全开发类一级)

编号： 国家信息安全测评 信息安全服务资质申请书 (安全开发类一级) 申请单位（公章）： 填表日期： ?2011—中国信息安全测评中心 2011年1月1日

目录 填表须知 (3) 申请表 (4) 一、申请单位基本情况 (5) 二、申请单位概况 (6) 三、申请单位近三年资产运营情况 (7) 四、申请单位人员情况 (8) 五、申请单位技术能力基本情况 (8) 六、申请单位安全开发过程能力 (8) 6.1安全意识和安全教育 (8) 6.2启动安全开发过程 (8) 6.3产品风险评估和分析 (8) 6.4定义安全设计原则 (8) 6.5提供安全文档和安全配置工具 (8) 6.6进行安全编码 (8) 6.7进行安全测试 (8) 6.8安全最终评审与产品发布 (8) 6.9安全响应服务 (8) 七、申请单位的项目和组织过程能力 (8) 7.1实现质量保证的能力 (8) 7.2实现配置管理的能力 (8) 7.3管理项目风险的能力 (8) 7.4规划项目技术活动的能力 (8) 7.5监控技术活动的能力 (8) 7.6提供不断发展的知识和技能的能力 (8) 7.7与供应商协调的能力 (8) 八、申请单位安全服务项目汇总 (8) 九、申请单位获奖、资格授权情况 (8) 十、申请单位在安全开发服务方面的发展规划 (8) 十一、申请单位其他说明情况 (8) 十二、申请单位附加信息 (8) 申请单位声明 (8)

填表须知 用户在正式填写本申请书前，须认真阅读并理解以下容： 1．中国信息安全测评中心对下列对象进行测评： ●信息技术产品 ●信息系统 ●提供信息安全服务的组织和单位 ●信息安全专业人员 2．申请单位应仔细阅读《信息安全服务资质申请指南（安全开发类一级）》，并按照其要求如实、详细地填写本申请书所有项目。 3．申请单位应按照申请书原有格式进行填写。如填写容较多，可另加附页。 4．提交申请书之前，请仔细查验申请书填写是否有误，须提供的附件以及证明材料是否完整。 5．申请单位须提交本申请书（含附件及证明材料）纸版一份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档。 6．本申请书要求提供的附件及证明材料须单独装订成册并编目。提供的资料须客观、真实和完整，不要编辑、修改和摘录，但可以进行脱密处理。 7．如有疑问，请与中国信息安全测评中心联系。 中国信息安全测评中心 地址：市海淀区上地西路8号院1号楼 邮编：100085 ：（010）82341188或82341118 传真：82341100 网址：https://www.sodocs.net/doc/fa15529903.html, 电子：https://www.sodocs.net/doc/fa15529903.html,

(安全生产)国家信息安全测评认证

编号： 国家信息安全测评认证 信息系统安全服务资质认证申请书 (一级) 申请单位（公章）： 填表日期： 中国信息安全产品测评认证中心

目录 填表须知 (3) 申请表 (4) 一，申请单位基本情况 (5) 二，企业组织结构 (6) 三，企业近三年资产运营情况 (7) 四，企业主要负责人情况 (9) 五，企业技术能力基本情况 (13) 六，企业的信息系统安全工程过程能力 (18) 七，企业的项目和组织过程能力 (41) 八，企业安全服务项目汇总 (58) 九，企业安全培训软硬件情况 (60) 十，企业获奖、资格授权情况 (62) 十一，企业在安全服务方面的发展规划 (63) 十二，企业其他说明情况 (64) 十三，其他附件 (65) 申请单位声明 (66)

填表须知 用户在正式填写本申请书前，须认真阅读并理解以下内容： 1．中国信息安全产品测评认证中心对下列对象进行测评认证： ●信息技术产品 ●信息系统 ●提供信息安全服务的组织和单位 ●信息安全专业人员 2．申请单位应仔细阅读《信息系统安全服务资质认证指南》，并按照其要求如实、详细地填写本申请书所有项目。 3．申请单位应按照申请书原有格式进行填写。如填写内容较多，可另加附页。4．申请单位须提交《信息系统安全服务资质认证申请书》（含附件及证明材料）纸板一式叁份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档。5．不申请安全工程服务类资质认证的单位无需填写《企业的信息系统安全工程过程能力》此项内容。 6．不申请安全培训服务类资质认证的单位无需填写《企业安全培训软硬件情况》此项内容。 7．如有疑问，请与中国信息安全产品测评认证中心联系。 中国信息安全产品测评认证中心 地址：北京市西三环北路27号北科大厦9层 邮编：100091 电话：86－10－68428899 传真：86－10－68462942 网址：https://www.sodocs.net/doc/fa15529903.html, 电子邮箱：cnitsec@https://www.sodocs.net/doc/fa15529903.html,

国家信息安全测评

国家信息安全测评 信息安全服务资质申请指南（安全工程类三级） ?版权2015—中国信息安全测评中心 2016年10月1 日

一、认定依据 (4) 二、级别划分 (4) 三、三级资质要求 (4) 3.1 基本资格要求 (5) 3.2 基本能力要求 (5) 3.3 质量管理要求 (6) 3.4安全工程过程能力要求 (6) 四、资质认定 (7) 4.1认定流程图 (7) 4.2申请阶段 (8) 4.3资格审查阶段 (8) 4.4能力测评阶段 (8) 4.4.1静态评估 (8) 4.4.2现场审核 (9) 4.4.3综合评定 (9) 4.4.4资质审定 (9) 4.5证书发放阶段 (9) 五、监督、维持和升级 (10) 六、处置 (10) 七、争议、投诉与申诉 (10) 八、获证组织档案 (11) 九、费用及周期 (11)

中国信息安全测评中心（以下简称CNITSEC）是经中央批准成立、代表国家开展信息安全测评的职能机构，依据国家有关产品质量认证和信息安全管理的政策、法律、法规，管理和运行国家信息安全测评体系。 中国信息安全测评中心的主要职能是： 1.对国内外信息安全产品和信息技术进行测评； 2.对国内信息系统和工程进行安全性评估； 3.对提供信息系统安全服务的组织和单位进行评估； 4.对信息安全专业人员的资质进行评估。 “信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。 本指南适用于所有向CNITSEC提出信息安全工程服务三级资质申请的境内外组织。

中国信息安全测评中心授权培训机构管理办法

中国信息安全测评中心授权培训机构管理办法 中国信息安全测评中心 二〇一七年一月

第一章 总 则 第一条随着国家信息化建设的高速发展，对信息安全专业人才的需求逐年增加。为贯彻中共中央办公厅、国务院办公厅中办发[2003]27号文件中关于“加快信息安全人才培养，增强全民信息安全意识”的精神，加强对授权培训机构的管理，规范授权培训机构的职能，中国信息安全测评中心（以下简称CNITSEC）根据相关管理规定制定本办法。 第二条CNITSEC为授权委托方，中国信息产业商会信息安全产业分会为授权运营管理机构（以下简称授权运营方），授权培训机构为CNITSEC授权的培训机构方。 第三条CNITSEC、授权运营方、授权培训机构关系如下： 1、CNITSEC及授权培训机构均为独立的法人单位，但两两之间不具有行政隶属及产权归属关系，各自对自己的行为承担法律责任； 2、授权运营方作为CNITSEC与授权培训机构之间的接口机构，按照授权委托方的要求对授权培训机构进行监督、指导和管理。授权运营方统一受理对授权培训机构的投诉，根据调查结果出具处理意见。 3、CNITSEC对授权运营方及授权培训机构具有监督管理的权利； 4、授权培训机构应严格遵守相关管理规定，开展双方协议规定的培训业务，按时向CNITSEC缴纳管理费。 第四条本办法由授权运营方具体执行。 第二章授权业务类型 授权培训机构应与CNITSEC及授权运营方签订授权协议书，明确

双方的责任与义务，依法开展培训业务。 第五条授权培训机构可以以“中国信息安全测评中心授权培训机构”的名义，根据授权协议中授权内容从事以下培训业务： 1、注册信息安全员（Certified Information Security Member 简称CISM）培训； 2、注册信息安全专业人员（Certified Information Security Professional，简称CISP）培训，根据工作领域和实际岗位工作的需要，CISP培训分为四类： ●注册信息安全工程师(Certified Information Security Engineer简称CISE)培训； ●注册信息安全管理员(Certified Information Security Officer简称CISO)培训； ●注册信息安全审计师(Certified Information Security Auditor简称CISP-A)培训； ●注册信息安全开发人员（Certified Information Security Developer 简称CISD）培训。 3、其他培训业务以双方协议具体规定为准。 第三章授权培训机构的管理 第六条授权培训机构必须遵守如下管理规定： 1、日常工作管理 （1）按CNITSEC统一规定的教材、教学大纲开展培训业务，并执行授权运营方制定的统一培训标准；

国家信息安全服务资质

国家信息安全服务资质 灾难恢复服务资质（一级）认证指南 （试行） ?版权2008—中国信息全安全测评中心 2008年5月1日

目录 目录................................................................................................................... I 一、认证依据 (1) 二、级别划分 (2) 三、认证要求 (3) （一）基本资格要求 (3) （二）基本能力要求 (3) 1、组织与管理要求 (3) 2、技术能力要求 (3) 3、人员构成与素质要求 (4) 4、设备、设施与环境要求 (4) 5、规模与资产要求 (4) 6、业绩要求 (4) （三）灾难恢复服务过程能力 (4) 四、申请流程 (6) （一）申请流程图 (6) （二）申请阶段 (6) （三）资格审查阶段 (6) （四）能力测评阶段 (6) 1、静态评估 (6) 2、现场审核 (6) 3、综合评定 (7) 4、认证审核 (7) （五）证书发放阶段 (7) 五、监督、维持和升级 (8) 六、处置 (9) 七、争议、投诉与申诉 (10) 八、认证企业档案 (11) 九、认证费用及周期 (12)

一、认证依据 信息安全灾难恢复服务资质评估是对信息系统灾难恢复服务提供者的资格状况、技术实力和实施灾难恢复服务过程能力等方面的具体衡量和评价。 信息安全灾难恢复服务资质，是依据《信息安全服务资质评估准则》、《信息安全灾难恢复服务能力评估准则》等相关要求，在对申请组织的基本资格、技术实力、信息安全灾难恢复服务能力以及工程项目的组织管理水平等方面的评估结果基础上的综合评定后，由中国信息全安全测评中心给予的资质认证。

关于信息安全服务资质认证

一体化认证审核/评价记录表 自评价及评审表-QMS 中国网络安全审查技术与认证中心第 1 页共 11 页

填表说明： 1、规范化方式为组织为规范条款相关活动而采取的具体行动的方式，如果通过制度文件提出要求规范化方式为“文件规定”，如果没有制度文件采用工具进行约束规范 化方式为“工具实现”，组织可以同时采用两种方式。如果组织未针对标准要求建立任务规范要求，则选无，但需注意没有进行规范并不意味组织未执行相关活动，组织可能采用约定俗成的方式开展活动，这可能与组织的文档化粗细程度有关。确定了规范化方式要记录原因、文件名称或工具名称。 2、“规范关键要求”为组织文件关键要求或工具的规范方式，“资源要求”是执行该活动需要的资源，包括人、财、技术和信息。 3、“规范执行证据”要填写活动执行的证据，如果为文档证据，需要填写抽样的文档的名称和或编号，如果是工具实现，可通过记录或图片的方式。本文件可以附证据 附件，需要在证据内容一栏填写附件名称。资源保障证据类似。 4、“执行绩效评价”为活动设定的绩效目标与实际执行结果。 5、如果相关条款即存在不符合也存在观察项，评价一栏可以多选。 6、请在“证据内容”中体现审核范围的相关信息，例如物理环境审核应体现地址，抽样记录应体现涉及的业务和部门。 中国网络安全审查技术与认证中心第 2 页共 11 页

中国网络安全审查技术与认证中心第 3 页共 11 页

中国网络安全审查技术与认证中心第 4 页共 11 页

中国网络安全审查技术与认证中心第 5 页共 11 页

中国网络安全审查技术与认证中心第 6 页共 11 页

信息安全测评工具

信息安全等级保护测评工具选用指引 一、必须配置测试工具 （一）漏洞扫描探测工具。 1.网络安全漏洞扫描系统。 2.数据库安全扫描系统。 （二）木马检查工具。 1.专用木马检查工具。 2.进程查看与分析工具。 二、选用配置测试工具 （一）漏洞扫描探测工具。 应用安全漏洞扫描工具。 （二）软件代码安全分析类。 软件代码安全分析工具。 （三）安全攻击仿真工具 （四）网络协议分析工具 （五）系统性能压力测试工具 1.网络性能压力测试工具 2.应用软件性能压力测试工具 （六）网络拓扑生成工具 （七）物理安全测试工具 1.接地电阻测试仪 2.电磁屏蔽性能测试仪 （八）渗透测试工具集 （九）安全配置检查工具集 （十）等级保护测评管理工具 综合工具： 漏洞扫描器：极光、Nessus、SSS等； 安全基线检测工具（配置审计等）：能够检查信息系统中的主机操作系统、数据库、网络设备等； 渗透测试相关工具：踩点、扫描、入侵涉及到的工具等； 主机：sysinspector、Metasploit、木马查杀工具、操作系统信息采集与分析工具(Win,Unix)、日志分析工具、数据取证工具（涉密）； 网络：Nipper（网络设备配置分析）、SolarWinds、Omnipeek、laptop（无线检测工具）； 应用：AppScan、Webinspect、FotifySCA、Sql injection tools、挂马检测工具、webravor等。

信息安全测评工具 五大网络安全评估工具 1.Wireshark Wireshark（原名Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。 工作流程 （1）确定Wireshark的位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。 （2）选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。 （3）使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。 （4）使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。 （5）使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。 （6）构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。 （7）重组数据。Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。 Wireshark特性： ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 Wireshark不是入侵侦测系统（Intrusion Detection System,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark 不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 Wireshark不能提供如下功能： ?Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情，Wireshark不会警告您。但是如果发生了奇怪的事情，Wireshark可能对察看发生了什么会有所帮助。 ?Wireshark不会处理网络事务，它仅仅是“测量”(监视)网络。Wireshark

信息安全等级测评机构能力要求使用说明(试 行)

信息安全等级保护测评体系建设与测评工作规范性文件 信息安全等级测评机构 能力要求使用说明 （试行） 200×-××-××发布200×-××-××实施公安部信息安全等级保护评估中心

信息安全等级测评机构能力要求使用说明 目录 1范围 (3) 2名词解释 (3) 3基本条件 (3) 4组织管理能力 (4) 5测评实施能力 (6) 6设施和设备安全与保障能力 (10) 7质量管理能力 (12) 8规范性保证能力 (13) 9风险控制能力 (16) 10可持续性发展能力 (17) 11测评机构能力约束性要求 (18)

信息安全等级测评机构能力要求使用说明 前言 公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号），决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容，为确保有效指导测评机构的能力建设，规范其测评活动，满足信息安全等级保护工作要求，特制定本规范。 《信息安全等级测评机构能力要求》（以下简称《能力要求》）是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容，结合信息安全等级测评工作的特点，对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能力要求，为规范等级测评机构的建设和管理，及其能力评估工作的开展提供依据。

信息安全等级测评机构能力要求使用说明 信息安全等级测评机构能力要求使用说明 1范围 本规范规定了测评机构的能力要求。 本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。 2名词解释 2.1等级测评 等级测评是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 2.2等级测评机构 等级测评机构，是指具备测评机构基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室推荐，从事等级测评工作的机构。 3基本条件 依据《信息安全等级保护测评工作管理规范》（试行），信息安全等级测评机构（以下简称测评机构）应当具备以下基本条件： a)在中华人民共和国境内注册成立（港澳台地区除外）； b)由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（具 体要求参见8.2.1） c)产权关系明晰，注册资金100万元以上；（具体要求参见8.2.2） d)从事信息系统检测评估相关工作两年以上，无违法记录；（具体要求参见5.2.1） e)工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（具体要求参见 8.2.1） f)具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； g)具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等 级保护管理办法》对信息安全产品的要求；（具体要求参见6.1） h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （具体要求参见4.5） i)对国家安全、社会秩序、公共利益不构成威胁;

中国信息安全测评中心授权培训机构申请书

中国信息安全测评中心 授权培训机构申请书 申请单位（公章）： 填表日期： ?版权2020—中国信息安全测评中心 2020年2月

中国信息安全测评中心(CNITSEC) 授权培训机构资质申请书 目录 一、申请单位基本情况 (5) 二、申请单位概况 (6) 三、申请单位资产运营情况 (7) 四、申请单位人员情况 (9) 五、培训场所及设备设施情况 (14) 六、质量保证 (16) 七、信息安全及相关培训情况 (18) 八、信息安全培训宣传推广 (19)

填表须知 用户在正式填写本申请书前，须认真阅读并理解以下内容：授权培训机构申请单位（以下简称：申请单位）在正式填写本申请书前，须认真阅读以下内容： 1.申请单位应仔细阅读《授权培训机构申请指南》及《授权培训机构管理办法》， 并按要求认真、如实、详细地填写本申请书。 2.申请单位应按照申请书的原有格式进行填写，所有填报项目(含表格)页面不足 时，可另加附页。 3.填写本表时要求字迹清晰，请用签字笔正楷填写或计算机输入。 4.提交申请书之前，请仔细查验申请书填写是否有误，须提供的附件以及证明材 料是否完整。 5.申请单位须提交本申请书（含附件及证明材料）纸版一份，要求盖章的地方， 必须加盖公章，同时提交一份对应的电子文档（电子文档刻盘与纸板申请书一起邮寄）。 6.本申请书要求提供的附件及证明材料须单独装订成册并编目。 7.如有疑问，请与中国信息安全测评中心联系。 中国信息安全测评中心 地址：北京市海淀区上地西路8号院1号楼 邮编：100085 电话：（010）82341571或82341576 传真：82341100 网址：https://www.sodocs.net/doc/fa15529903.html, 电子邮箱：zhangxy@https://www.sodocs.net/doc/fa15529903.html,

信息安全等级保护测评工作管理规范(试行)完整篇.doc

信息安全等级保护测评工作管理规范(试 行)1 附件一： 信息安全等级保护测评工作管理规范 （试行） 第一条为加强信息安全等级保护测评机构建设和管理，规范等级测评活动，保障信息安全等级保护测评工作（以下简称“等级测评工作”）的顺利开展，根据《信息安全等级保护管理办法》等有关规定，制订本规范。 第二条本规范适用于等级测评机构和人员及其测评活动的管理。 第三条等级测评工作，是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。 第四条省级以上等保办负责等级测评机构的审核和推荐工作。 公安部信息安全等级保护评估中心（以下简称“评估中心”）负责测评机构的能力评估和培训工作。

第五条等级测评机构应当具备以下基本条件： （一）在中华人民共和国境内注册成立（港澳台地区除外）； （二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）； （三）产权关系明晰，注册资金100万元以上； （四）从事信息系统检测评估相关工作两年以上，无违法记录； （五）工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （六）具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； （七）具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求； （八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （九）对国家安全、社会秩序、公共利益不构成威胁; （十）应当具备的其他条件。 第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。

信息安全服务资质认证要求

信息安全服务资质 认证要求 ISCCC XXX XXX-2007 信息安全服务资质 认证要求 Certification Requirements for Qualification of Information Security Service Provider (备案送审稿) 中国信息安全认证中心 发布 ××××-××-××实施 ××××-××-××发布 备案号：××××—××××

目录 前言............................................................ 错误!未定义书签。 1 适用范围...................................................... 错误!未定义书签。 2 定义.......................................................... 错误!未定义书签。 信息安全服务............................................ 错误!未定义书签。 信息安全服务提供者 ...................................... 错误!未定义书签。 信息安全服务资质等级 .................................... 错误!未定义书签。 信息安全工程过程能力级别 ................................ 错误!未定义书签。 3 服务类型与资质评定原则 ........................................ 错误!未定义书签。 信息安全服务的类型 ...................................... 错误!未定义书签。 信息安全服务资质等级的评判原则 .......................... 错误!未定义书签。 4 认证具体要求.................................................. 错误!未定义书签。 基本资格................................................ 错误!未定义书签。 独立法人 .......................................... 错误!未定义书签。 法律要求 .......................................... 错误!未定义书签。 基本能力................................................ 错误!未定义书签。 资产与规模 ........................................ 错误!未定义书签。 人员素质与构成 .................................... 错误!未定义书签。 设备、设施与环境 .................................. 错误!未定义书签。 业绩 .............................................. 错误!未定义书签。 质量管理能力............................................ 错误!未定义书签。 体系和管理职责 .................................... 错误!未定义书签。 资源管理 .......................................... 错误!未定义书签。 项目过程管理 ...................................... 错误!未定义书签。 测量、分析和改进 .................................. 错误!未定义书签。 客户服务 .......................................... 错误!未定义书签。 技术能力更新 ...................................... 错误!未定义书签。 安全工程过程能力 ........................................ 错误!未定义书签。 风险过程 .......................................... 错误!未定义书签。 工程过程 .......................................... 错误!未定义书签。 保证过程 .......................................... 错误!未定义书签。 5 引用标准与参考文献 ............................................ 错误!未定义书签。 计算机信息系统安全保护等级划分准则 ...................... 错误!未定义书签。 系统安全工程能力成熟模型 ................................ 错误!未定义书签。 系统安全工程能力成熟模型—评定方法 ...................... 错误!未定义书签。 信息系统安全工程手册 .................................... 错误!未定义书签。 软件工程能力成熟模型 .................................... 错误!未定义书签。 6 附录——系统安全工程主要术语 .................................. 错误!未定义书签。 组织.................................................... 错误!未定义书签。 项目.................................................... 错误!未定义书签。 系统.................................................... 错误!未定义书签。 安全工程................................................ 错误!未定义书签。 安全工程生命期 .......................................... 错误!未定义书签。 工作产品................................................ 错误!未定义书签。 顾客.................................................... 错误!未定义书签。 过程.................................................... 错误!未定义书签。 过程能力................................................ 错误!未定义书签。 制度化................................................ 错误!未定义书签。 过程管理................................................ 错误!未定义书签。

国家信息安全测评

国家信息安全测评 工业控制系统产品安全测评服务 白皮书 ?版权2014—中国信息安全测评中心 二〇一四年八月

目录 1. 目的和意义 (2) 2. 业务范围 (2) 3. 业务类型 (2) 4. 业务实施 (3)

1. 目的和意义 工业控制系统产品（以下简称工控产品）安全测评的目的是促进高质量、安全和可控的工控产品的开发，具体目的和意义包括： 1）对工控产品依据相关标准规范进行测评； 2）判定工控产品是否满足安全要求； 3）有助于在涉及国家安全的工业自动化生产领域中加强工控产品的安全性和可控性，维护国家和用户的安全利益； 4）促进国内工控产品市场优胜劣汰机制的建立和完善，规范市场。 2. 业务范围 工控产品分为控制类产品（即工业控制设备）和安全类产品（工业安全设备）。 1）控制类产品包括可编程控制器（PLC）、离散控制系统（DCS）、远程终端单元（RTU）、智能电子设备（IED）、各行业控制系统等用于生产控制的产品。 2）安全类产品包括工业防火墙、工业安全网关、工业异常监测产品、工业应用软件漏洞扫描产品等用于工业环境安全防护的产品。 3. 业务类型 工控产品安全测评类型分为标准测试、选型测试和定制测试等。 1）标准测试 依据第三方标准规范（如国家标准、测评中心测试规范等），测评工控产品的功能、性能、安全等指标，通过后颁发“工业控制系统安全技术测评证书”。 2）选型测试 根据委托方提出的测评要求对工控产品进行测试，形成选型测试报告，为委托方在产品选型采购时提供技术依据。 选型测试内容包括：功能测试、性能测试、安全测试等，具体测试项目和指标由

委托方与中心共同确认。 3）定制测试 依据委托方要求对工控产品进行测试，形成定制测试报告。 4. 业务实施 4.1 测试依据 依据标准： 1）GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》； 2）《工业防火墙安全测评准则》 3）《工业安全网关安全测评准则》 4）《工业异常监测系统安全测评准则》 5）《工业漏洞扫描产品安全测评准则》 6）…… 4.2 证据需求 根据业务内容的要求，申请方需提交的证据包括： 1）测评申请书 2）测评所需文档 3）被测产品 4.3 业务流程 测评流程分为以下四个阶段：申请阶段、预测评阶段、测评阶段和报告与证书发放阶段（如下图所示）。

信息安全风险评估服务

1、风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、标准《信息系统安全等级评测准则》等法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等面存在的脆弱性为诱因的信息安全风险评估综合法及操作模型。 1.2风险评估相关 资产，任对组织有价值的事物。 威胁，指可能对资产或组织造成损害的事故的潜在原因。例如，组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点，是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思，使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险评估，对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。

风险评估也称为风险分析，就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的法，去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段（60-70年代）以计算机为对象的信息保密阶段1067年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险评估。 特点： 仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。 第二阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品，很少延拓至系统，婴儿在格意义上扔不是全面的风险评估。 第三阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段 随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能力明确来源于技术、管理和人员三个面；逐步形成了风险评估、自评估、认证认可的工作思路。

中国信息安全评测中心CISM认证模拟试题库-答案

中国信息安全测评中心CISM认证 模拟试题 中电运行信息安全网络技术测评中心 编辑

1．信息安全保障要素不包括以下哪一项？ A．技术 B．工程 C．组织 D．管理 2．以下对信息安全问题产生的根源描述最准确的是： A．信息安全问题是由于信息技术的不断发展造成的 B．信息安全问题是由于黑客组织和犯罪集团追求名和利造成的 C．信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的 D．信息安全问题产生的内因是信息系统的复杂性，外因是对手的威胁与破坏 3．完整性机制可以防范以下哪种攻击？ A．假冒源地址或用户的地址的欺骗攻击 B．抵赖做过信息的递交行为 C．数据传输中被窃听获取 D．数据传输中被篡改或破坏 4．PPDR模型不包括： A．策略 B．检测 C．响应 D．加密 5．关于信息安全策略的说法中，下面说法正确的是： A．信息安全策略的制定是以信息系统的规模为基础 B．信息安全策略的制定是以信息系统的网络拓扑结构为基础 C．信息安全策略是以信息系统风险管理为基础 D．在信息系统尚未建设完成之前，无法确定信息安全策略 6．“进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中，“看不懂”是指下面哪种安全服务： A．数据加密 B．身份认证 C．数据完整性 D．访问控制 7．下面对ISO27001的说法最准确的是： A．该标准的题目是信息安全管理体系实施指南 B．该标准为度量信息安全管理体系的开发和实施过程提供的一套标准 C．该标准提供了一组信息安全管理相关的控制措施和最佳实践 D．该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型