信息安全管理体系ISMS2016年6月考题

2016信息安全管理体系（ISMS）审核知识试卷

2016年6月

一、单选题

1、密码就是一种用于保护数据保密性的密码学技术、由（）方法及相应运行过程。

A、加密算法和密钥生成

B、加密算法、解密算法、密钥生成

C、解密算法、密钥生成

D、加密算法、解密算法

2、计算机安全保护等级的第三级是（）保护等级

A、用户自主

B、安全标记

C、系统审计

D、结构化

3、隐蔽信道是指允许进程以（）系统安全策略的方式传输信息的通信信道

A、补强

B、有益

C、保护

D、危害

4、

5、

6、ISMS关键成功因素之一是用于评价信息安全

A、测量

B、报告

C、传递

D、评价

7、防止恶语和移动代码是保护软件和信息的（）

A、完整性

B、保密性

C、可用性

D、以上全部

8、以下强健口令的是（）

A、a8mom9y5fub33

B、1234

C、Cnas

D、Password

9、开发、测试和（）设施应分离、以减少未授权访问或改变运行系统的风险

A、系统

B、终端

C、配置

D、运行

10、设备、（）或软件在授权之前不应带出组织场所

A、手机

B、文件

C、信息

D、以上全部

11、包含储存介质的设备的所有项目应进行核查，以确保在处置之前，（）和注册软件已被删

除或安全地写覆盖

A、系统软件

B、游戏软件

C、杀毒软件

D、任何敏感信息

12、雇员、承包方人员和（）的安全角色和职责应按照组织的信息安全方针定义并形成文件

A、第一方人员

B、第二方人员

C、第三方人员

D、IT经理

13、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包含在（）合同

中。

A、雇员

B、承包方人员

C、第三方人员

D、A+B+C

14、ISMS文件的多少和详细程度取决于（）

A、组织的规模和活动的类型

B、过程及其相互作用的复杂程度

C、人员的能力

D、A+B+C

15、为确保信息资产的安全，设备、信息和软件在（）之前不应带出组织

A、使用

B、授权

C、检查合格

D、识别出薄弱环节

16、对于所有拟定的纠正和预防措施，在实施前应先通过（）过程进行评审。

A、薄弱环节识别

B、风险分析

C、管理方案

D、A+B

17、组织机构在应建立起评审ISMS时，应考虑（）

A、风险评估的结果

B、管理方案

C、法律、法规和其它要素

D、A+C

18、ISMS管理评审的输出应包括：

A、可能影响ISMS的任何变更

B、以往风险评估没有充分强调的薄弱点或威胁

C、风险评估和风险处理计划的更新

D、改进的建议

19、在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题。

A、内容监控

B、安全教育和培训

C、责任追查和惩处

D、访问控制

20、经过风险处理后遗留的风险是（）

A、重大风险

B、有条件的接受风险

C、不可接受的风险

D、残余风险

21、（）是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反

或防护措施的失效，或是和安全关联的一个先前未知的状态。

A、信息安全事态

B、信息安全事件

C、信息安全事故

D、信息安全故障

22、系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应

用程序、数据库系统、用户设置、系统参数等信息，以便迅速（）。

A、恢复全部程序

B、回复网络设置

C、回复所有数据

D、恢复整个系统

23、不属于计算机病毒防治的策略的是（）。

A、确认您手头常备一张真正“干净”的引导盘

B、及时、可靠升级反病毒产品

C、新购置的计算机软件也要进行病毒检测

D、整理磁盘

24、为了取保布线安全，以下不正确的做法是（）。

A、使用同一电缆管道铺设电源电缆和通讯电缆

B、网络电缆采用明线架设，以便于探查故障和维修

C、配线盘应尽量放置在公共可访问区域，以便于应急管理

D、使用配线标记和设备标记，编制配线列表

25、不属于常见的危险密码是（）。

A、跟用户名相同的密码

B、使用生日作为密码

C、只有4位数的密码

D、10位数的综合型密码

26、在每天下午5点使用计算机结束时断开终端的连接属于（）。

A、外部终端的物理安全

B、通信线的物理安全

C、窃听数据

D、网络地址欺骗

27、不属于WEB服务器的安全措施的是（）。

A、保证注册账户的时效性

B、删除死账户

C、强制用户使用不易被破解的密码

D、所有用户使用一次性密码

28、1999年，我国发布的第一个信息安全等级保护的国家标准GB17859-1999，提出将信息系

统的安全等级划分为（）个等级，并提出每个级别的安全功能要求。

A、7

B、8

C、6

D、5

29、文件初审是评价受审方ISMS文件的描述与审核准则的（）

A、充分性和适宜性

B、有效性和符合性

C、适宜性、充分性和有效性

D、以上都不对

30、在认证审核时、一阶段审核是（）。

A、是了解受审方ISMS是否正常运行的过程

B、是必须进行的

C、不是必须的过程

D、以上都不准确

31、末次会议包括（）

A、请受审方确认不符合报告、并签字

B、向受审核方递交审核报告

C、双方就审核发现的不同意见进行讨论

D、以上都不准确

32、审核组长在末次会议上宣布的审核结论是依据（）得出的。

A、审核目的

B、不符合项的严重程度

C、所有的审核发现

D、A+B+C

33、将收集的审核证据对照（）进行评价的结果是审核发现

A、GB/T22080标准

B、法律、法规要求

C、审核准则

D、信息安全管理体系文件

34-45未知

三、阐述题（每题10分，共20分）

46、审核员在现场审核时，发现公司存有一份软件清单，当询问清单上所列的软件是否都是通

过正规途径购买的软件，管理员回答有的是到正规商店，有的是通过网络购买的。如果您是审核员，您会如何审核？

47、什么是信息安全事态并举例说明。

四、案例分析题（每题6分，5题，共30分）

48、审核员在公司的资产登记表中发现，公司于年初将一批2003年购置的电脑特价处理给了

员工，这些电脑原用于核心业务系统，当询问系统管理员是否在出售前进行格式化处理，该系统管理员说：“由于当时新进了许多新的电脑设备，需要安装测试，没空处理老的电脑，再说这些都是卖给自己员工的，他们本身就接触到这些信息”。

49、审核员发现某软件开发公司在暑假期间聘请了三位大学生来做软件测试，但在人事部门未

找到相关的保密协议，也未见有关要求的培训记录，人事经理解释说：“他们在测试期间没有接触到软件的核心机密信息，所以不需要签保密协议，也不需要进行ISMS的培训”。

50、某财务外包公司办公作业现场员工正在使用的标准版金蝶财务软件为客户进行记账服务，

其默认帐号是manage，不需要每次进系统时重新输入，业务主管解释说：“由于没有外人，为了工作方便，所以，我们把登录口令也省掉了，不需要每次进系统前输入口令”。

51、XX银行在2008年一季度发生了10起开通网上转账客户的资金损失事故，左后经确认是

密码系统设计太简单，并赔偿客户损失。但在2008年4-5月又发生7起类似事故。系统管理员说：“我们目前也没有办法，只能赔款了”。

52、审查某知名网站的总部时，审核员来到陈列室发现任何客户可以随意进入。并且该陈列室

中有5台演示用的台式电脑可以连接外网和内网。现场有的参观人员正在上网查询该公司网站的资料。

信息安全管理体系审核员注册准则

中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号：CCAA－141 发布日期：2012年6月19日 ?版权2012-中国认证认可协会

信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会（CCAA）人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制：CCAA日期：2012年5月10日 批准：CCAA日期：2012年6月19日 实施：CCAA 日期：2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息，请与CCAA人员注册部联系，联络地址如下： 地址：北京市朝阳区朝外大街甲10号中认大厦13层 邮编：100020 https://www.sodocs.net/doc/92788740.html, email：pcc@https://www.sodocs.net/doc/92788740.html, 版权 ?版权2012-中国认证认可协会

前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会（CNCA）唯一授权的依法从事认证人员认证(注册)的机构，开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员，加入了IPC-QMS/EMS审核员培训与注册国际互认协议，人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》（质检总局令第61号）、国家认监委《关于正式开展信息安全管理体系认证工作的公告》（2009年第47号公告）制定，考虑了中国的国情及认证/认可机构的要求，是建立信息安全管理体系（ISMS）审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性，但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求，CCAA对此不承担责任。

ISO27001信息安全体系培训(条款A7-资产管理)

ISO27001培训系列V1.0 ISO 27001信息安全体系培训控制目标和控制措施 （条款A7-资产管理） 2009年11月 董翼枫（dongyifeng78@https://www.sodocs.net/doc/92788740.html, ）

条款A7 资产管理

A7.1对资产负责 ?目标： 实现和保持对组织资产的适当保护。 ?所有资产应是可核查的，并且有指定的责任人。 ?对于所有资产要指定责任人，并且要赋予保持相应控制措施的职责。特定控制措施的实施可以由责任人适当地委派别人承担，但责任人仍有对资产提供适当保护的责任。

A7.1.1资产清单 控制措施 ?应清晰的识别所有资产，编制并维护所有重要资产的清单。 实施指南 ?一个组织应识别所有资产并将资产的重要性形成文件。资产清单应包括所有为从灾难中恢复而需要的信息，包括资产类型、格式、位置、备份信息、许可证信息和业务价值。该清单不应复制其他不必要的清单，但它应确保内容是相关联的。 ?另外，应商定每一资产的责任人（见A7.1.2）和信息分类（见A7.2），并形成文件。基于资产的重要性、其业务价值和安全级别，应识别与资产重要性对应的保护级别。

A7.1.2资产责任人 控制措施 ?与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任。 实施指南 ?资产责任人应负责： a)确保与信息处理设施相关的信息和资产进行了适当的分类； b)确定并周期性评审访问限制和分类，要考虑到可应用的访问控制策略。 ?所有权可以分配给： a)业务过程； b)已定义的活动集； c)应用； d)已定义的数据集。

A7.1.3资产的合格使用 控制措施 ?与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。 实施指南 ?所有雇员、承包方人员和第三方人员应遵循信息处理设施相关信息和资产的可接受的使用规则，包括： a)电子邮件和互联网使用（见A10.8）规则； b)移动设备，尤其是在组织外部使用设备（见A11.7;1）的使用指南； ?具体规则或指南应由相关管理者提供。使用或拥有访问组织资产权的雇员、承包方人员和第三方人员应意识到他们使用信息处理设施相关的信息和资产以及资源时的限制条件。他们应对使用信息处理资源以及在他们职责下的使用负责。

ISMS手册信息安全管理体系手册

ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 ：2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》，建立与本公司业务相一致的信息安全与IT 服务管理体系， 现予以颁布实施。 本手册是公司法规性文件，用于贯彻公司信息安全管理方针和目标，贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理，开展持续改进 服务质量，不断提高客户满意度活动，加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺，通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 ：2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针，根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 ：2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表，作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求，自觉遵守本手册各项要求，努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责：

a）建立服务管理计划； b）向组织传达满足服务管理目标和持续改进的重要性； e）确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源，如招聘合适的人员，管理人员的更新； 1．确保按照ISO207001:2005 标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；按照ISO/IEC20000 《信息技术服务管理－规范》的要求，组织相关资源，建立、实施和保持IT 服务管理体系，不断改进IT 服务管理体系，确保其有效性、适宜性和符合性。 2．负责与信息安全管理体系有关的协调和联络工作；向公司管理层报告 IT 服务管理体系的业绩，如：服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3．确保在整个组织内提高信息安全风险的意识； 4．审核风险评估报告、风险处理计划； 5．批准发布程序文件； 6．主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告； 向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。 7．推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度，以及为达到公司服 务管理目标所应做出的贡献。 总经理：

信息安全管理试题集

信息安全管理试题集

信息安全管理－试题集 判断题： 1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×） 注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×） 注释：应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×） 注释：共3种计算机犯罪，但只有2种新的犯罪类型。 单选题： 1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D.

安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性，下列（ C ）不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的（ A ）安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是（ C ）的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注：美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是（ D ）。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是（ B ）。 A. ISO 15408 B. ISO 17799/ISO 27001(英） C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国（A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是（ A ）。

2018最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)

最新ISO27001信息安全管理体系全套文件（手册+程序文件+作业规范）

信息安全管理体系程序文件目录

信息安全管理体系作业文件目录

1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类： 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事故： a) 企业秘密、机密及国家秘密泄露或丢失； b) 服务器停运4 小时以上； c) 造成信息资产损失的火灾、洪水、雷击等灾害； d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事故： a) 企业机密及国家秘密泄露； b) 服务器停运8 小时以上； c) 造成机房设备毁灭的火灾、洪水、雷击等灾害； d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括： a) 未产生恶劣影响的服务、设备或者实施的遗失； b) 未产生事故的系统故障或超载； c) 未产生不良结果的人为误操作； d) 未产生恶劣影响的物理进入的违规

信息安全管理体系认证实施规则

信息安全管理体系认证实施规则 ISCCC-ISMS-001:2016 中国信息安全认证中心

目录 1.适用范围 (2) 2.认证依据 (2) 3.术语和定义 (2) 3.1.信息收集 (2) 3.2.现场审核 (2) 4.认证类别 (2) 5.审核人员及审核组要求 (2) 6.认证信息公开 (2) 7.认证程序 (2) 7.1.初次认证 (2) 7.2.监督审核 (6) 7.3.再认证 (8) 7.4.管理体系结合审核 (8) 7.5.特殊审核 (9) 7.6.暂停、撤消认证或缩小认证范围 (9) 8.认证证书 (10) 8.1.证书内容 (10) 8.2.证书编号 (11) 8.3.对获证组织正确宣传认证结果的控制 (11) 9.对获证组织的信息通报要求及响应 (11) 10.附录A：审核时间 (11)

1.适用范围 本规则用于规范中国信息安全认证中心（简称中心）开展信息安全管理体系（ISMS）认证活动。 2.认证依据 以国家标准ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》为认证依据。 3.术语和定义 3.1.现场审核 中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。 4.认证类别 认证类型分为初次认证，监督审核和再认证。为满足认证的需要，中心可以实施特殊审核，特殊审核采取现场审核方式进行。 5.审核人员及审核组要求 认证审核人员必须取得其他管理体系认证注册资格，并得到中心的专业能力评价，以确定其能够胜任所安排的审核任务。 审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增强审核组的技术能力。 具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作，可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议，但技术专家不能作为审核员。 6.认证信息公开 中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息： 1)认证服务项目； 2)认证工作程序； 3)认证依据； 4)证书有效期； 5)认证收费标准。 7.认证程序 7.1.初次认证

信息安全管理体系ISMS2016年6月考题

2016信息安全管理体系（ISMS）审核知识试卷 2016年6月 1、单选题 1、密码就是一种用于保护数据保密性的密码学技术、由（）方法 及相应运行过程。 A、加密算法和密钥生成 B、加密算法、解密算法、密钥生成 C、解密算法、密钥生成 D、加密算法、解密算法 2、计算机安全保护等级的第三级是（）保护等级 A、用户自主 B、安全标记 C、系统审计 D、结构化 3、隐蔽信道是指允许进程以（）系统安全策略的方式传输信息的 通信信道 A、补强 B、有益 C、保护 D、危害 4、 5、 6、ISMS关键成功因素之一是用于评价信息安全 A、测量 B、报告 C、传递 D、评价 7、防止恶语和移动代码是保护软件和信息的（） A、完整性 B、保密性 C、可用性 D、以上全部 8、以下强健口令的是（） A、a8mom9y5fub33 B、1234 C、Cnas D、Password

9、开发、测试和（）设施应分离、以减少未授权访问或改变运行 系统的风险 A、系统 B、终端 C、配置 D、运行 10、设备、（）或软件在授权之前不应带出组织场所 A、手机 B、文件 C、信息 D、以上全部 11、包含储存介质的设备的所有项目应进行核查，以确保在处置之前， （）和注册软件已被删除或安全地写覆盖 A、系统软件 B、游戏软件 C、杀毒软件 D、任何敏感信息 12、雇员、承包方人员和（）的安全角色和职责应按照组织的信息安全方针定义并形成文件 A、第一方人员 B、第二方人员 C、第三方人员 D、IT经理 13、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的 内容应包含在（）合同中。 A、雇员 B、承包方人员 C、第三方人员 D、A+B+C 14、ISMS文件的多少和详细程度取决于（） A、组织的规模和活动的类型 B、过程及其相互作用的复杂程度 C、人员的能力 D、A+B+C 15、为确保信息资产的安全，设备、信息和软件在（）之前不应带出组织 A、使用 B、授权 C、检查合格 D、识别出薄弱环节 16、对于所有拟定的纠正和预防措施，在实施前应先通过（）过程进行评审。 A、薄弱环节识别 B、风险分析 C、管理方案 D、A+B 17、组织机构在应建立起评审ISMS时，应考虑（） A、风险评估的结果 B、管理方案 C、法律、法规和其它要素 D、A+C

信息安全管理练习题

信息安全管理练习题-2014 判断题： 1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×） 注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×） 注释：应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×） 注释：共3种计算机犯罪，但只有2种新的犯罪类型。 单选题： 1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性，下列（C）不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的（A）安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是（C）的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注：美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是（D）。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是（B）。 A. ISO 15408 B. ISO 17799/ISO 27001(英） C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国（A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部 令 8. 在PDR安全模型中最核心的组件是（A）。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施

【精品推荐】ISO27001信息安全管理体系全套文件

目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7

6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15

参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性

信息安全管理体系建设

a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间：2015年12月

信息化建设引言 随着我国中小企业信息化的普及，信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面：信息化在中小企业的发展程中，对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展，与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识，导致中小企业的信息安全面临着较大的风险，我国中企业信息化进程已经步入普及阶段，解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的，由 新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的 就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的围之内，获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域，三分技术，七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系，提出一个适合我国中小企业的信息安全管理的模型，用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行（如下

ISO27001信息安全管理体系标准中文版

ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)

0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系（ISMS）的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施，如，简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理，将输入转换为输出的活动，可以被认为是一个过程。通常，一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用，连同这些过程的识别和相互作用及管理，可以称之这“过程的方法”。 在本国际标准中，信息安全管理的过程方法鼓励用户强调以下方面的重要性： a)了解组织信息安全需求和建立信息安 全策略和目标的需求； b)在组织的整体业务风险框架下，通过 实施及运作控制措施管理组织的信息 安全风险； c)监控和评审ISMS的执行和有效性； d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”（PDCA）模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望，经过必要的处理，产生满足需求和期望的产品信息安全输出，图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》（2002）中陈述的原则，0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the

网络与信息安全习题集 及答案

《网络与信息安全》综合练习题 一．选择题 1．以下对网络安全管理的描述中，正确的是（）。 A）安全管理不需要对重要网络资源的访问进行监视。 B）安全管理不需要验证用户的访问权限和优先级。 C）安全管理的操作依赖于设备的类型。 D）安全管理的目标是保证重要的信息不被未授权的用户访问。 2．以下有关网络管理功能的描述中，错误的是（）。 A）配置管理是掌握和控制网络的配置信息。 B）故障管理是对网络中的故障进行定位。 C）性能管理是监视和调整工作参数，改善网络性能。 D）安全管理是使网络性能维持在较好水平。 3．有些计算机系统的安全性不高，不对用户进行验证，这类系统的安全级别是（）。 A）D1 B）A1 C）C1 D）C2 4．Windows NT操作系统能够达到的最高安全级别是（）。 A）C1 B）C2 C）D1 D）D2 5．下面操作系统能够达到C2安全级别的是（）。 Ⅰ.Windows 3.x Ⅱ.Apple System 7.x Ⅲ.Windows NT Ⅳ.NetWare3.x A）Ⅰ和Ⅲ B）Ⅱ和Ⅲ C）Ⅱ和Ⅳ D）Ⅲ和Ⅳ 6．计算机系统处理敏感信息需要的最低安全级别是（）。 A）D1 B）C1 C）C2 D）B1 7．计算机系统具有不同的安全级别，其中Windows 98的安全等级是（）。 A）B1 B）C1 C）C2 D）D1 8.计算机系统具有不同的安全等级，其中Windows NT的安全等级是（）。 A）B1 B）C1 C）C2 D）D1 9.网络安全的基本目标是实现信息的机密性、合法性、完整性和_________。 10．网络安全的基本目标是保证信息的机密性、可用性、合法性和________________。11．某种网络安全威胁是通过非法手段取得对数据的使用权，并对数据进行恶意添加和修改。

最新ISO27001：2013信息安全管理体系一整套程序文件(共41个程序184页)

XXXXXXXXX有限责任公司 信息安全管理体系 程序文件 编号：XXXX-B-01～XXXX-B-41 （符合ISO/IEC 27001-2013标准） 拟编：信息安全小组日期：2015年02月01日 审核：管代日期：2015年02月01日 批准：批准人名日期：2015年02月01日 发放编号: 01 受控状态：受控 2015年2月1日发布2015年2月1日实施

[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序 [XXXX-B-03]记录控制程序 [XXXX-B-04]纠正措施控制程序 [XXXX-B-05]预防措施控制程序 [XXXX-B-06]内部审核管理程序 [XXXX-B-07]管理评审程序 [XXXX-B-08]监视和测量管理程序 A6[XXXX-B-09]远程工作管理程序 A7[XXXX-B-10]人力资源管理程序 A8[XXXX-B-11]商业秘密管理程序 A8[XXXX-B-12]信息分类管理程序 A8[XXXX-B-13]计算机管理程序 A8[XXXX-B-14]可移动介质管理程序 A9[XXXX-B-15]用户访问管理程序 A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序 A10[XXXX-B-18]账号密码控制程序 A11[XXXX-B-19]安全区域管理程序 A12.1.2[XXXX-B-20]变更管理程序 A12.1.3[XXXX-B-21]容量管理程序 A12.2.1[XXXX-B-22]恶意软件管理程序 A12.3[XXXX-B-23]重要信息备份管理程序 A12.6[XXXX-B-24]技术薄弱点管理程序 A13[XXXX-B-25]电子邮件管理程序

信息安全管理体系认证合同范本

信息安全管理体系认证合同 1 甲方： 乙方：中国电子技术标准化研究所体系认证中心 2 容和围 乙方根据甲方的申请，通过对甲方信息安全管理体系的审核，确认甲方的信息安全管理体系是否符合所选定的标准，从而决定是否批准甲方获得或保持注册资格。 2.1 认证所依据的信息安全管理体系标准：ISO/IEC27001或等同采用的标准文件 2.2.1 甲方信息安全管理体系覆盖的产品类别、过程及主要活动： 2.2.2 删减说明： 2.3 甲方信息安全管理体系所覆盖的地点(含安装、维修/服务、活动地点)： 注：如多现场可另页详细描述 2.4 审核时间安排 初访/预审时间计划于年月进行，现场审核时间计划于年月进行，最终审核时间由双方具体商定。 2.5 认证证书有效期为三年，甲方获得认证注册资格后，在有效期，乙方对初次通过认证的甲方共进行四次监督审核。前两次的监督审核在获证后每半年进行一次，以后的监督审核为每年一次。对复评后的甲方每年进行一次监督审核。如有特殊情况，将酌情增加监督审核频次。证书有效期满前三个月向乙方提出申请进行复评。

3 费用 3.1审核费用： □申请费1000元 □注册费1000元 □证书费1000元 □年金2000元 □审核费： 3.2 初访/预审费用￥元（整）。 3.3 证书副本费用：中文副本元（50元/）；英文副本，元（50元/）； 加印分、子证书套元（3000元/套）。 3.4 以上费用共计：￥（整）。 上述3.1和3.2费用自合同生效之日起10日先交纳30%，其余费用在现场审核后15日一次付清。3.5 监督审核费（在组织体系不发生重大变化的情况下）包括： □监督审核费（每次）￥元□年金（每年）2000元 监督审核费在每次审核前支付。 3.6 乙方派出审核人员的食、宿、交通等费用按实际支出由甲方负担。 3.7 因甲方自身原因（不符合标准要求，严重不符合等）而导致的不能注册时，由甲方支付乙方现场审核实际发生的费用。 4 甲方的权利和义务 4.1 甲方的权利 4.1.1 甲方对乙方的现场审核、审核结论、审核人员的行为、审核的公正性及泄露甲方、认证证书的暂停、注销和撤销等有权向乙方提出申诉/投诉，如对处理结果持有异议，可向乙方的管理委员会直至中国合格评定国家认可委员会（CNAS）提出申诉/投诉。 4.1.2 通过认证后，甲方享有按规定正确使用其管理体系认证证书和标志以及正确对外广告宣传其获得管理体系认证注册资格的权利。 4.2 甲方的义务 4.2.1 甲方在认证审核之前管理体系至少已运行三个月。

信息安全管理练习题

-2014 信息安全管理练习题判断题： 1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×） 注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×） 注释：应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×） 注释：共3种计算机犯罪，但只有2种新的犯罪类型。 单选题： 1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性，下列（ C ）不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的（ A ）安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是（ C ）的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注：美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是（ D ）。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是（ B ）。 A. ISO 15408 B. ISO 17799/ISO 27001(英） C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国（ A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是（ A ）。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施 9. 在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的结果文档被称为（ A )。 A. 可接受使用策略AUP B. 安全方针 C. 适用性声明 D. 操作规范 应当具有至少10. 互联网服务提供者和联网使用单位落实的记录留存技术措施，

ISMS信息安全管理体系建立方法

信息安全管理体系建立方法 以BS7799的管理思想介绍通用安全管理体系建立的方法；信息安全管理包括诸多方面，如风险管理、工程管理、业务连续性管理等，每项管理的要点均有不同。后续将详细介绍不同部分的管理。 1 信息安全管理体系概述 1.1什么是信息安全管理体系 信息安全管理体系，即Information Security Management System(简称ISMS)，是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 BS7799－2是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系；体系一旦建立，组织应按体系的规定要求进行运作，保持体系运行的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。 1. ISMS的范围 ISMS的范围可以根据整个组织或者组织的一部分进行定义，包括相关资产、系统、应用、服务、网络和用于过程中的技术、存储以及通信的信息等，ISMS的范围可以包括： ●组织所有的信息系统； ●组织的部分信息系统； ●特定的信息系统。 此外，为了保证不同的业务利益，组织需要为业务的不同方面定义不同的ISMS。例如，可以为组织和其他公司之间特定的贸易关系定义ISMS，也可以为组织结构定义ISMS，不同的情境可以由一个或者多个ISMS表述。 2.组织内部成功实施信息安全管理的关键因素 ●反映业务目标的安全方针、目标和活动； ●与组织文化一致的实施安全的方法； ●来自管理层的有形支持与承诺； ●对安全要求、风险评估和风险管理的良好理解； ●向所有管理者及雇员推行安全意思； ●向所有雇员和承包商分发有关信息安全方针和准则的导则； ●提供适当的培训与教育； ●用于评价信息安全管理绩效及反馈改进建议，并有利于综合平衡的测量系统。 3.建立ISMS的步骤 不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体的情况，采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过下列四个基本步骤： a)信息安全管理体系的策划与准备； b)信息安全体系文件的编制； c)信息安全管理体系的运行； d)信息安全管理体系的审核与评审。

如何建立信息安全管理体系.doc

如何建立信息安全管理体系1 如何建立信息安全管理体系 信息安全管理体系ISMS（Information Securitry Management Systems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它基于业务风险方法，用来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统，其目的是保障组织的信息安全。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、检查表等要素的集合，涉及到人、程序和技术。 建立健全信息安全管理体系对组织的安全管理工作和组织的发展意义重大。参照信息安全管理模型，按照先进的信息安全管理标准建立的全面规划、明确目的、正确部署的、组织完整的信息安全管理体系，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，实现用最低的成本，保障信息安全合理水平，从而保证业务的有效性与连续性。组织建立、实施与保持信息安全管理体系的好处主要有下几点： 1.引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。 2.可以增进组织间电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到最小，创造更大收益。 3.通过认证能保证和证明组织所有的部门对信息安全的承

诺。 4.通过认证可改善全体的业绩、消除不信任感。 5.获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。 6.建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。信息安全管理体系是一个系统化、程序化和文件化的管理体系，属于风险管理的范畴，体系的建立需要基于系统、全面和科学的风险评估。ISMS 体现预防为主的思想，强调遵守国家有关信息安全的法律法规，强调全过程和动态控制，本着控制成本与风险平衡的原则，合理选择安全控制方式保护组织所拥有的关键信息资产，确保信息的保密性、完整性和可用性，从而保持组织的竞争优势和业务运作的持续性。 构建信息安全管理体系不是一蹴而就的，欲速则不达，每家组织都是不同的，不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况，采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过以下几个主要步骤： 1、信息安全管理体系策划和准备 策划和准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研，以及相关资源的配置与管理。 2、确定信息安全管理体系适用的范围