信息技术安全技术信息安全管理体系 要求.doc

信息技术安全技术

信息安全管理体系要求

Information technology- Security techniques

-Information security management systems-requirements

（IDT ISO/IEC 27001:2005）

（征求意见稿，2006 年 3 月 27 日）

目次

前引言 ............................................................................. II 言 ............................................................................ III

1范围 (1)

2规范性引用文件 (1)

3术语和定义 (1)

4信息安全管理体系（ISMS） (3)

5管理职责 (6)

6内部ISMS审核 (7)

7 ISMS的管理评审 (7)

8 ISMS改进 (8)

附录附录附录A（规范性附录）控制目标和控制措施 (9)

B（资料性附录）OECD原则和本标准 (20)

C（资料性附录）ISO 9001:2000, ISO 14001:2004和本标准之间的对照 (21)

前言

引言

0.1总则

本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（Information Security Management System，简称ISMS）提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS，是本标准所期望的，例如，简单的情

况可采用简单的ISMS解决方案。

本标准可被内部和外部相关方用于一致性评估。

0.2过程方法

本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS。

一个组织必须识别和管理众多活动使之有效运作。通过使用资源和管理，将输入转化为输出的任意活动，可以视为一个过程。通常，一个过程的输出可直接构成下一过程的输入。

一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”。

本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性：

a) 理解组织的信息安全要求和建立信息安全方针与目标的需要；

b) 从组织整体业务风险的角度，实施和运行控制措施，以管理组织的信息安全风险；

c) 监视和评审ISMS的执行情况和有效性；

d) 基于客观测量的持续改进。

本标准采用了“规划（Plan）-实施（Do）-检查（Check）-处置（Act）”（PDCA）模型，该模型

可应用于所有的ISMS过程。图1说明了ISMS如何把相关方的信息安全要求和期望作为输入，并通过必要的行动和过程，产生满足这些要求和期望的信息安全结果。图1也描述了4、5、6、7和8章所提出的过程间的联系。

采用PDCA模型还反映了治理信息系统和网络安全的OECD指南（2002版）1中所设置的原则。本标准为实施OECD指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强

健的模型。

例1：某些信息安全缺陷不至于给组织造成严重的财务损失和/或使组织陷入困境，这可能是一种要求。

例2：如果发生了严重的事故——可能是组织的电子商务网站被黑客入侵——应有经充分培训的员工按照适当的程序，将事件的影响降至最小。这可能是一种期望。

图 1 应用于ISMS过程的PDCA模型

0.3与其它管理体系的兼容性

本标准与GB/T 19001-2000及GB/T 24001-1996相结合，以支持与相关管理标准一致的、整合的实施和运行。因此，一个设计恰当的管理体系可以满足所有这些标准的要求。表C.1说明了本标准、GB/T 19001-2000（ISO 9001:2000）和GB/T 24001-1996（ISO 14001:2004）的各条款之间的关系。

本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。

信息技术安全技术信息安全管理体系要求

重点：本出版物不声称包括一个合同所有必要的规定。用户负责对其进行正确的应用。符合标准本身并不获得法律义务的豁免。

1 1.1 范围

总则

本标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。本标准从组织的整体

业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。

ISMS的设计应确保选择适当和相宜的安全控制措施，以充分保护信息资产并给予相关方信心。

注1：本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。

注2：ISO/IEC 17799提供了设计控制措施时可使用的实施指南。

1.2 应用

本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。组织声称符合本标准时，对于4、5、6、7和8章的要求不能删减。

为了满足风险接受准则所必须进行的任何控制措施的删减，必须证明是合理的，且需要提供证据证明相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任，否则不能声称符合本标准。

注：如果一个组织已经有一个运转着的业务过程管理体系（例如，与ISO 9001或者ISO 14001相关的），那么在大多数情况下，更可取的是在这个现有的管理体系内满足本标准的要求。

2 规范性引用文件

下列参考文件对于本文件的应用是必不可少的。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其最新版本（包括任何修改）适用于本标准。

ISO/IEC 17799:2005，信息技术—安全技术—信息安全管理实用规则。

3 术语和定义

本标准采用以下术语和定义。

3.1

资产asset

任何对组织有价值的东西[ISO/IEC 13335-1:2004]。

3.2

可用性availability

根据授权实体的要求可访问和利用的特性[ISO/IEC 13335-1:2004]。

3.3

保密性confidentiality

信息不能被未授权的个人，实体或者过程利用或知悉的特性[ISO/IEC 13335-1:2004]。

3.4

信息安全information security

保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性[ISO/IEC 17799：2005]。

3.5

信息安全事件information security event

信息安全事件是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态[ISO/IEC TR 18044：2004]。

3.6

信息安全事故information security incident

一个信息安全事故由单个的或一系列的有害或意外信息安全事件组成，它们具有损害业务运作和威胁信息安全的极大的可能性[ISO/IEC TR 18044：2004]。

3.7

信息安全管理体系（ISMS）information security management system（ISMS）

是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。

注：管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。

3.8

完整性integrity

保护资产的准确和完整的特性[ISO/IEC 13335-1:2004]。

3.9

残余风险residual risk

经过风险处理后遗留的风险[ISO/IEC Guide 73:2002]。

3.10

风险接受risk acceptance

接受风险的决定[ISO/IEC Guide 73：2002]。

3.11

风险分析risk analysis

系统地使用信息来识别风险来源和估计风险[ISO/IEC Guide 73：2002]。

3.12

风险评估risk assessment

风险分析和风险评价的整个过程[ISO/IEC Guide 73：2002]。

3.13

风险评价risk evaluation

将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO/IEC Guide 73：2002]。

3.14

风险管理risk management

指导和控制一个组织相关风险的协调活动[ISO/IEC Guide 73：2002]。

3.15

风险处理risk treatment

选择并且执行措施来更改风险的过程[ISO/IEC Guide 73：2002]。

注：在本标准中，术语“控制措施”被用作“措施”的同义词。

适用性声明statement of applicability

描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档。

注：控制目标和控制措施基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。

4 4.1 信息安全管理体系（ISMS）

总要求

一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进

文件化的ISMS。就本标准而言，使用的过程基于图1所示的PDCA模型。

4.2 建立和管理ISMS

4.2.1 建立ISMS

组织应：

a) 根据业务特点、组织结构、位置、资产和技术，确定ISMS的范围和边界，包括对例外于此范

围的对象作出详情和合理性的说明（见1.2）。

b) 根据业务特点、组织结构、位置、资产和技术，确定ISMS方针，应：

1)

2)

3)

4)

5) 为其目标建立一个框架并为信息安全行动建立整体的方向和原则；考虑业务和法律法规的要求，及合同中的安全义务；

在组织的战略性风险管理环境下，建立和保持ISMS；

建立风险评价的准则[见4.2.1 c]]；

获得管理者批准。

注：就本标准的目的而言，ISMS方针被认为是信息安全方针的一个扩展集。这些方针可以在一个文件中进行描述。

c) 确定组织的风险评估方法

1）识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法。

2）制定接受风险的准则，识别可接受的风险级别（见5.1f）。

选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。

注：风险评估具有不同的方法。在ISO/IEC TR 13335-3《信息技术IT安全管理指南：IT安全管理技术》中描述了风险评估方法的例子。

d) 识别风险

1)

2)

3)

4) 识别ISMS范围内的资产及其责任人2；

识别资产所面临的威胁；

识别可能被威胁利用的脆弱点；

识别丧失保密性、完整性和可用性可能对资产造成的影响。

e) 分析和评价风险

1)

2)

3)

4) 在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失误可能造成的对组织的影响。

评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控制措施。

估计风险的级别。

确定风险是否可接受，或者是否需要使用在4.2.1 c)2)中所建立的接受风险的准则进行处

理。

f) 识别和评价风险处理的可选措施

可能的措施包括：

1)

2)

3)

4) 采用适当的控制措施；

在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险[见4.2.1 c)2)]；

避免风险；

将相关业务风险转移到其他方，如：保险，供应商等。

g) 为处理风险选择控制目标和控制措施

应选择和实施控制目标和控制措施以满足风险评估和风险处理过程中所识别的要求。这种选择

应考虑接受风险的准则（见4.2.1c）2））以及法律法规和合同要求。

从附录A中选择控制目标和控制措施应成为此过程的一部分，该过程适合于满足这些已识别的

要求。

附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施，组织也可能需要选择另

外的控制目标和控制措施。

注：附录A包含了组织内一般要用到的全面的控制目标和控制措施的列表。本标准用户可将附录A作为选择控制措施的出发点，以确保不会遗漏重要的可选控制措施。

h) 获得管理者对建议的残余风险的批准

i) 获得管理者对实施和运行ISMS的授权

j) 准备适用性声明（SoA）

应从以下几方面准备适用性声明：

1）从4.2.1 g）选择的控制目标和控制措施，以及选择的理由；

2）当前实施的控制目标和控制措施（见4.2.1e）2））；

3）对附录A中任何控制目标和控制措施的删减，以及删减的合理性说明。

注：适用性声明提供了一份关于风险处理决定的综述。删减的合理性说明提供交叉检查，以证明不会因疏忽而遗漏控制措施。

4.2.2 实施和运行ISMS

组织应：

a) 为管理信息安全风险识别适当的管理措施、资源、职责和优先顺序，即：制定风险处理计划（见

第5章）。

b) 实施风险处理计划以达到已识别的控制目标，包括资金安排、角色和职责的分配。

c) 实施4.2.1 g）中所选择的控制措施，以满足控制目标。

d) 确定如何测量所选择的控制措施或控制措施集的有效性，并指明如何用来评估控制措施的有效

性，以产生可比较的和可再现的结果（见4.2.3c)）。

注：测量控制措施的有效性可使管理者和员工确定控制措施达到计划的控制目标的程度。

e)

f)

g)

h)

4.2.3

实施培训和意识教育计划（见5.2.2）。

管理ISMS的运行。

管理ISMS的资源（见5.2）。

实施能够迅速检测安全事件和响应安全事故的程序和其他控制措施（见4.2.3）a））。监视和评审ISMS

组织应：

a) 执行监视和评审程序和其它控制措施，以：

1)

2)

3)

4)

5) 迅速检测过程运行结果中的错误；

迅速识别试图的和得逞的安全违规和事故；

使管理者确定分配给人员的安全活动或通过信息技术实施的安全活动是否被如期执行；通过使用指标，帮助检测安全事件并预防安全事故；

确定解决安全违规的措施是否有效。

b) 在考虑安全审核结果、事故、有效性测量结果、所有相关方的建议和反馈的基础上，进行ISMS

有效性的定期评审（包括满足ISMS方针和目标，以及安全控制措施的评审）。

c) 测量控制措施的有效性以验证安全要求是否被满足。

d) 按照计划的时间间隔进行风险评估的评审，以及对残余风险和已确定的可接受的风险级别进行

评审，应考虑以下方面的变化：

1)

2)

3)

4)

5)

6) 组织结构；

技术；

业务目标和过程；

已识别的威胁；

已实施控制措施的有效性；

外部事件，如法律法规环境的变更、合同义务的变更和社会环境的变更。

e) 按计划的时间间隔，对ISMS进行内部审核（见第6章）。

注：内部审核，有时称为第一方审核，是用于内部目的，由组织自己或以组织的名义所进行的审核。

f) 定期对ISMS进行管理评审，以确保ISMS范围保持充分，ISMS过程的改进得到识别（见7.1）。

g) 考虑监视和评审活动的结果，以更新安全计划。

h) 记录可能影响ISMS的有效性或执行情况的措施和事件（见4.3.3）。

4.2.4 保持和改进ISMS

组织应经常：

a) 实施已识别的ISMS改进措施。

b) 依照8.2和8.3采取合适的纠正和预防措施。从其它组织和组织自身的安全经验中吸取教训。

c) 向所有相关方沟通措施和改进措施，其详细程度应与环境相适应，需要时，商定如何进行。

d) 确保改进达到了预期目标。

4.3 文件要求

4.3.1 总则

文件应包括管理决定的记录，以确保所采取的措施符合管理决定和方针策略，还应确保所记录的结

果是可重复产生的。

至关重要的是，能够显示出所选择的控制措施回溯到风险评估和风险处理过程的结果、并进而回溯

到ISMS方针和目标之间的关系。

ISMS文件应包括：

a) 形成文件的ISMS方针[见4.2.1b）]和目标；

b) ISMS的范围[见https://www.sodocs.net/doc/929122410.html,）]；

c) 支持ISMS的程序和控制措施；

d) 风险评估方法的描述[见4.2.1c）]；

e) 风险评估报告[见4.2.1c）到4.2.1g）]；

f) 风险处理计划[见4.2.2b）]；

g) 组织为确保其信息安全过程的有效规划、运行和控制以及描述如何测量控制措施的有效性所需

的形成文件的程序（见4.2.3c））；

i) 适用性声明。

注1：本标准出现“形成文件的程序”之处，即要求建立该程序，形成文件，并加以实施和保持。注2：不同组织的ISMS文件的详略程度取决于：

??组织的规模和活动的类型；

安全要求和被管理系统的范围及复杂程度；

注3：文件和记录可以采用任何形式或类型的介质。

4.3.2 文件控制

ISMS所要求的文件应予以保护和控制。应编制形成文件的程序，以规定以下方面所需的管理措施：

a) 文件发布前得到批准，以确保文件是适当的；

b) 必要时对文件进行评审、更新并再次批准；

c) 确保文件的更改和现行修订状态得到标识；

d) 确保在使用处可获得适用文件的相关版本；

e) 确保文件保持清晰、易于识别；

f) 确保文件对需要的人员可用，并依照文件适用的类别程序进行传输、贮存和最终销毁；

g) 确保外来文件得到标识；

h) 确保文件的分发得到控制；

i) 防止作废文件的非预期使用；

j) 若因任何原因而保留作废文件时，对这些文件进行适当的标识。

4.3.3 记录控制

记录应建立并加以保持，以提供符合ISMS要求和有效运行的证据。记录应加以保护和控制。ISMS 的记录应考虑相关法律法规要求和合同义务。记录应保持清晰、易于识别和检索。记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。记录的详略程度应通过管理过程确定。

应保留4.2中列出的过程执行记录和所有发生的与ISMS有关的安全事故的记录。

例如：记录包括访客登记薄、审核报告和已完成的访问授权单。

5 管理职责

5.1 管理承诺

管理者应通过以下活动，对建立、实施、运行、监视、评审、保持和改进ISMS的承诺提供证据：

a) 制定ISMS方针；

b) 确保ISMS目标和计划得以制定；

c) 建立信息安全的角色和职责；

d) 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；

e) 提供足够资源，以建立、实施、运行、监视、评审、保持和改进ISMS（见5.2.1）；

f) 决定接受风险的准则和风险的可接受级别；

g) 确保ISMS内部审核的执行（见第6章）；

h) 实施ISMS的管理评审（见第7章）。

5.2 资源管理

5.2.1 资源提供

组织应确定并提供所需的资源，以：

a) 建立、实施、运行、监视、评审、保持和改进ISMS；

b) 确保信息安全程序支持业务要求；

c) 识别和满足法律法规要求、以及合同中的安全义务；

d) 通过正确实施所有的控制措施保持适当的安全；

f) 在需要时，改进ISMS的有效性。

5.2.2 培训、意识和能力

组织应通过以下方式，确保所有分配有ISMS职责的人员具有执行所要求任务的能力：

a) 确定从事影响ISMS工作的人员所必要的能力；

b) 提供能力培训，必要时，聘用有能力的人员以满足这些需求；

c) 评价所提供的培训和所采取的措施的有效性；

d) 保持教育、培训、技能、经历和资格的记录（见4.3.3）。

组织也要确保所有相关人员意识到其信息安全活动的适当性和重要性，以及如何为达到ISMS目标

做出贡献。

6 内部ISMS审核

组织应按照计划的时间间隔进行内部ISMS审核，以确定其ISMS的控制目标、控制措施、过程和程序是否：

a) 符合本标准和相关法律法规的要求；

b) 符合已确定的信息安全要求；

c) 得到有效地实施和保持；

d) 按预期执行。

应在考虑拟审核的过程与区域的状况和重要性以及以往审核的结果的情况下，制定审核方案。方案应规定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。

策划和实施审核以及报告结果和保持记录（见4.3.3）的职责和要求应在形成文件的程序中做出规定。

负责受审区域的管理者应确保及时采取措施，以消除已发现的不符合及其产生的原因。跟踪活动应包括对所采取措施的验证和验证结果的报告（见第8章）。

注：GB/T 19011：2003给出了管理体系审核的基本指南，也可作为认证机构的指南。

7 7.1 ISMS的管理评审

总则

管理者应按计划的时间间隔（至少每年1次）评审组织的ISMS，以确保其持续的适宜性、充分性和

有效性。评审应包括评估ISMS改进的机会和变更的需要，包括信息安全方针和信息安全目标。评审的结果应清晰地形成文件，记录应加以保持（见4.3.3）。

7.2 评审输入

管理评审的输入应包括：

a) ISMS审核和评审的结果；

b) 相关方的反馈；

c) 组织用于改进ISMS执行情况和有效性的技术、产品或程序；

d) 预防和纠正措施的状况；

e) 以往风险评估没有充分强调的脆弱点或威胁；

f) 有效性测量的结果；

g) 以往管理评审的跟踪措施；

h) 可能影响ISMS的任何变更；

i) 改进的建议。

7.3 评审输出

管理评审的输出应包括与以下方面有关的任何决定和措施：

a) ISMS有效性的改进；

b) 风险评估和风险处理计划的更新；

c) 必要时修改影响信息安全的程序，以响应内部或外部可能影响ISMS的事件，包括以下的变更：

1)

2)

3)

4)

5)

6) 业务要求；

安全要求；

影响现有业务要求的业务过程；法律法规环境；

合同义务；

风险级别和/或接受风险的准则。

d) 资源需求；

e) 正在被测量的控制措施的有效性的改进。

8 8.1 ISMS改进

持续改进

组织应通过使用信息安全方针、安全目标、审核结果、监视事件的分析、纠正和预防措施以及管理

评审（见第7章），持续改进ISMS的有效性。

8.2 纠正措施

组织应采取措施，以消除与ISMS要求不符合的原因，以防止再发生。形成文件的纠正措施程序，应规定以下方面的要求：

a) 识别不符合；

b) 确定不符合的原因；

c) 评价确保不符合不再发生的措施需求；

d) 确定和实施所需要的纠正措施；

e) 记录所采取措施的结果（见4.3.3）；

f) 评审所采取的纠正措施。

8.3 预防措施

组织应确定措施，以消除潜在不符合的原因，防止其发生。预防措施应与潜在问题的影响程度相适应。形成文件的预防措施程序，应规定以下方面的要求：

a) 识别潜在的不符合及其原因；

b) 评价防止不符合发生的措施需求；

c) 确定和实施所需要的预防措施；

d) 记录所采取措施的结果（见4.3.3）；

e) 评审所采取的预防措施。

组织应识别变化的风险，并识别针对重大变化的风险的预防措施的要求。

预防措施的优先级要根据风险评估的结果确定。

注：预防不符合的措施通常比纠正措施更节约成本。

附录 A

（规范性附录）

控制目标和控制措施

表A-1所列的控制目标和控制措施是直接引用并与ISO/IEC 17799:2005第5到15章一致。表A.1 中的清单并不完备，一个组织可能考虑另外必要的控制目标和控制措施。在这些表中选择控制目标和

控制措施是条款4.2.1规定的ISMS过程的一部分。

ISO/IEC 17799:2005第5至15章提供了最佳实践的实施建议和指南，以支持A.5到A.15列出的控制措施。

表A.1控制目标和控制措施

3 解释：术语“责任人”是被认可，具有控制生产、开发、保持、使用和资产安全的个人或实体。术语“责任人”不指实际上对资产具有财产权的人。

信息安全技术题库及答案(全)

1 连云港专业技术继续教育—网络信息安全总题库及答案 1282 信息网络的物理安全要从环境安全和设备安全两个角度来考虑. A 正确 B 错误 1283 计算机场地可以选择在公共区域人流量比较大的地方。 A 正确 B 错误 1284 计算机场地可以选择在化工厂生产车间附近。 A 正确 B 错误 1285 计算机场地在正常情况下温度保持在18～28摄氏度。 A 正确 B 错误 1286 机房供电线路和动力、照明用电可以用同一线路。 A 正确 B 错误 1287 只要手干净就可以直接触摸或者擦拔电路组件，不必有进一步的措施。 A 正确 B 错误 1288 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内，使用时要远离静电敏感器件。 A 正确 B 错误 1289 屏蔽室是一个导电的金属材料制成的大型六面体，能够抑制和阻挡电磁波在空气中传播。 A 正确 B 错误 1290 屏蔽室的拼接、焊接工艺对电磁防护没有影响。 A 正确 B 错误 1291 由于传输的内容不同，电力线可以与网络线同槽铺设。 A 正确 B 错误 1292 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管，钢管应与接地线做电气连通。地线做电气连通。 A 正确 B 错误 1293 新添设备时应该先给设备或者部件做上明显标记，最好是明显的无法除去的标记，以防更换和方便查找赃物。 A 正确 B 错误

2 1294 TEMPEST 技术，是指在设计和生产计算机设备时，就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施，从而达到减少计算机信息泄露的最终目的。 A 正确 B 错误 1295 机房内的环境对粉尘含量没有要求。 A 正确 B 错误 1296 防电磁辐射的干扰技术，是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起，以掩盖原泄露信息的内容和特征等，使窃密者即使截获这一混合信号也无法提取其中的信息。 A 正确 B 错误 1297 有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。 A 正确 B 错误 1298 纸介质资料废弃应用碎纸机粉碎或焚毁。 A 正确 B 错误 1299 以下不符合防静电要求的是____。 A 穿合适的防静电衣服和防静电鞋 B 在机房内直接更衣梳理 C 用表面光滑平整的办公家具 D 经常用湿拖布拖地 1300 布置电子信息系统信号线缆的路由走向时，以下做法错误的是____。 A 可以随意弯折 B 转弯时，弯曲半径应大于导线直径的10倍 C 尽量直线、平整 D 尽量减小由线缆自身形成的感应环路面积 1301 对电磁兼容性(Electromagnetic Compatibility ，简称EMC)标准的描述正确的是____。 A 同一个国家的是恒定不变的 B 不是强制的 C 各个国家不相同 D 以上均错误 1302 物理安全的管理应做到____。 A 所有相关人员都必须进行相应的培训，明确个人工作职责 B 制定严格的值班和考勤制度，安排人员定期检查各种设备的运行情况 C 在重要场所的进出口安装监视器，并对进出情况进行录像 D 以上均 正确 1303 场地安全要考虑的因素有____。 A 场地选址 B 场地防火 C 场地防水防潮 D 场地温度控制 E 场地电源供应 1304 火灾自动报警、自动灭火系统部署应注意____。 A 避开可能招致电磁干扰的区域或设备 B 具有不间断的专用消防电源 C 留备用电源 D 具有自动

信息安全技术试题答案

信息安全技术教程习题及答案 信息安全试题（1/共3） 一、单项选择题（每小题2分，共20分） 1．信息安全的基本属性是＿＿＿。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A，B，C都是 2．假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于＿＿＿。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3．密码学的目的是＿＿＿。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4．A方有一对密钥（K A公开，K A秘密），B方有一对密钥（K B公开，K B秘密），A方向B方发送数字签名M，对信息M加密为：M’= K B 公开（K A秘密（M））。B方收到密文的解密方案是＿＿＿。 A. K B公开（K A秘密（M’）） B. K A公开（K A公开（M’）） C. K A公开（K B秘密（M’）） D. K B秘密（K A秘密（M’）） 5．数字签名要预先使用单向Hash函数进行处理的原因是＿＿＿。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度，加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6．身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述不正确的是＿＿。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7．防火墙用于将Internet和内部网络隔离＿＿＿。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 8．PKI支持的服务不包括＿＿＿。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务 9．设哈希函数H有128个可能的输出(即输出长度为128位)，如果H的k个随机输入中至少有两个产生相同输出的概率大于，则k约等于＿＿。 A．2128 B．264 C．232 D．2256

信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求内容

《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》（征求意见稿） 编制说明 1 工作简况 1.1任务来源 2015年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号：2015bzzd-WG5-001。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心（以下简称“检测中心”）负责主编。 国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》，开展实施工业控制等多个领域的信息安全专用产品扶持工作。面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一，其中包含了隔离类设备，表明了工控隔离产品在工控领域信息安全产品中的地位，其标准的建设工作至关重要。因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。 1.2协作单位

在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后，检测中心立即与产品生产厂商、工业控制厂商进行沟通，并得到了多家单位的积极参与和反馈。最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。 1.3编制的背景 目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业，工控系统已是国家安全战略的重要组成部分，一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏，将对工业生产和国家经济安全带来重大安全风险。 随着计算机和网络技术的发展，特别是信息化与工业化深度融合，逐步形成了管理与控制的一体化，导致生产控制系统不再是一个独立运行的系统，其接入的范围不仅扩展到了企业网甚至互联网，从而面临着来自互联网的威胁。同时，随着工控系统产品越来越多地采用通用协议、通用硬件和通用软件，病毒、木马等威胁正在向工控系统扩散，工控系统信息安全问题日益突出，因此如何将工控系统与管理系统进行安全防护已经破在眉捷，必须尽快建立安全标准以满足国家信息安全的战略需要。 1.4编制的目的 在标准制定过程中，坚持以国内外产品发展的动向为研究基础，对工控隔离产品的安全技术要求提出规范化的要求，并结合工业控制

信息安全管理体系研究

信息安全管理体系研究 摘要：随着信息技术的不断应用，信息安全管理已经逐渐成为各企业或各机构管理体系的重要组成部分。了解信息安全对企业发展的重要性，制定科学合理的方案构建完善的信息安全管理体系，是当前企业发展中需要解决的问题之一。 关键词：信息;管理体系;安全 一、概述 信息安全管理是指在信息的使用、存储、传输过程中做好安全保护工作，保持信息的保密性、完整性和可用性。其中，保密性是指保障信息仅能被具有使用权限的人获取或使用;完整性指为信息及其处理方法的准确性和完整性提供保护措施;可用性则指使用权限的人可在需要时获取和使用相关的信息资产。因此，做好信息安全管理体系的研究对于提升信息的安全性具有现实意义。 二、信息安全管理体系 2.1 信息安全管理体系介绍根据网络安全相关统计表明，网络信息安全事故中由于管理问题导致出现安全事故的高达70%以上，因此解决网络信息的安全问题，除从技术层面进行改进外，还应加强网络信息的安全管理力度。信息安全管理体系的建设是一项长期的、系统的、复杂的工程，在建设信息安全管理体系时，应对整个网络系统的各个环节进行综合考虑、规划和构架，并根据各个要素的变化情况对管理体系进行必要的调整，任何环节存在安全缺陷都可能会影响整个体系的安全。 2.2 信息安全管理体系的功能信息安全管理是指导企业对于信息安全风险相互协调的活动，这种指导性活动主要包括信息安全方针的制定、风险评估、安全保障、控制目标及方式选择等。企业要实现对信息资产进行安全、高效、动态的管理，就需要建立科学、完善、标准的信息安全管理体系。因此，一个有效的信息安全管理体系应该具备以下功能：对企业的重要信息资产进行全面的保护，维持企业的竞争优势;使企业能在预防和持续发展的观点上处理突发事件，当信息系统受到非法入侵时，能使相关的业务损失降到最低，并能维持基本的业务开展;使企业的合作伙伴和客户对企业充满信心;能使企业定期对系统进行更新和控制，以应对新的安全威胁。 三、信息安全管理体系的构建 3.1 信息安全管理框架的建立

ISMS手册信息安全管理体系手册

ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 ：2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》，建立与本公司业务相一致的信息安全与IT 服务管理体系， 现予以颁布实施。 本手册是公司法规性文件，用于贯彻公司信息安全管理方针和目标，贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理，开展持续改进 服务质量，不断提高客户满意度活动，加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺，通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 ：2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针，根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 ：2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表，作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求，自觉遵守本手册各项要求，努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责：

a）建立服务管理计划； b）向组织传达满足服务管理目标和持续改进的重要性； e）确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源，如招聘合适的人员，管理人员的更新； 1．确保按照ISO207001:2005 标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；按照ISO/IEC20000 《信息技术服务管理－规范》的要求，组织相关资源，建立、实施和保持IT 服务管理体系，不断改进IT 服务管理体系，确保其有效性、适宜性和符合性。 2．负责与信息安全管理体系有关的协调和联络工作；向公司管理层报告 IT 服务管理体系的业绩，如：服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3．确保在整个组织内提高信息安全风险的意识； 4．审核风险评估报告、风险处理计划； 5．批准发布程序文件； 6．主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告； 向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。 7．推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度，以及为达到公司服 务管理目标所应做出的贡献。 总经理：

现行国家信息安全技术标准

现行国家信息安全技术标准 序号 标准号 Standard No. 中文标准名称 Standard Title in Chinese 英文标准名称 Standard Title in English 备注 Remark 1GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分：算法描述Information security technology—ZUC stream cipher algorithm— Part 1: Algorithm description 2GB/T 33134-2016信息安全技术公共域名服务系统安全要求Information security technology—Security requirement of public DNS service system 3GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求Information security technology—Specification for IP storage network security based on IPSec 4GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems 5GB/T 33132-2016信息安全技术信息安全风险处理实施指南Information security technology—Guide of implementation for information security risk treatment 6GB/T 32905-2016信息安全技术 SM3密码杂凑算法Information security techniques—SM3 crytographic hash algorithm 国标委计划[2006]81号 7GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求Information security techniques—Security technical requirements for IC card chip with CPU 8GB/T 32907-2016信息安全技术 SM4分组密码算法Information security technology—SM4 block cipher algorthm 国标委计划[2006]81号 9GB/T 32918.1-2016信息安全技术 SM2椭圆曲线公钥密码算法第1部分：总则Information security technology—Public key cryptographic algorithm SM2 based on elliptic curves—Part 1: General 国标委计划 [2006]81号

2019信息网络安全专业技术人员继续教育(信息安全技术)习题及解答

信息安全技术 第一章概述 第二章基础技术 一、判断题 1.加密技术和数字签名技术是实现所有安全服务的重要基础。（对） 2.对称密码体制的特征是:加密密钥和解密密钥完全相同,或者一个密钥很容易从另ー个密钥中导出。（对） 3.对称密钥体制的对称中心服务结构解决了体制中未知实体通信困难的问题。（错） 4.公钥密码体制算法用一个密钥进行加密,!而用另一个不同但是有关的密钥进行解密。（对） 5.公钥密码体制有两种基本的模型:一种是加密模型,另一种是解密模型（错） 6.Rabin体制是基于大整数因子分解问题的,是公钥系统最具典型意义的方法。（错） 7.对称密码体制较之于公钥密码体制具有密钥分发役有安全信道的限制,可实现数字签名和认证的优点。（错） 8.国密算法包括SM2,SM3和SM4. （对）

9.信息的防篡改、防删除、防插入的特性称为数据完整性保护。（对） 10.Hash函数的输人可以是任意大小的消息，其输出是一个长度随输入变化的消息摘要。（错） 11.数字签名要求签名只能由签名者自己产生。（对） 12、自主访问控制(DAC)是基于对客体安全级别与主体安全级别的比较来进行访问控制的。（错） 13.基于角色的访问控制(RBAC)是基于主体在系统中承担的角色进行访问控制，而不是基于主体的身份。（对） 二、多选题 1.公钥密码体制与以前方法的区别在于()。 A.基于数学函数而不是替代和置换B、基于替代和置换 C.是非对称的，有两个不同密钥 D.是对称的，使用一个密钥 2.公钥密码的优势体现在()方面。 A.密钥交换 B.未知实体间通信 C.保密服务 D.认证服务 3.以下属于非对称算法的是()。 A.RSA B.DSA C.AES D.ECC 4.密钥生命周期过程包括( )

ISO27001信息安全管理体系标准中文版

ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)

0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系（ISMS）的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施，如，简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理，将输入转换为输出的活动，可以被认为是一个过程。通常，一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用，连同这些过程的识别和相互作用及管理，可以称之这“过程的方法”。 在本国际标准中，信息安全管理的过程方法鼓励用户强调以下方面的重要性： a)了解组织信息安全需求和建立信息安 全策略和目标的需求； b)在组织的整体业务风险框架下，通过 实施及运作控制措施管理组织的信息 安全风险； c)监控和评审ISMS的执行和有效性； d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”（PDCA）模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望，经过必要的处理，产生满足需求和期望的产品信息安全输出，图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》（2002）中陈述的原则，0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the

信息安全管理规范完整篇.doc

信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生，及时处理网络出现的各类信息安全事件，减轻和消除突发事件造成的经济损失和社会影响，确保移动通信网络畅通与信息安全，营造良好的网络竞争环境，有效进行公司内部网络信息技术安全整体控制，特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责： 根据集团公司关于信息安全组织的指导意见，为保证信息安全工作的有效组织与指挥，四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组，由公司分管网络的副总经理任组长，网络部分管信息安全副总经理任副组长，由省公司网络部归口进行职能管理，省公司各网络生产维护部门设置信息安全管理及技术人员，负责信息安全管理工作，省监控中心设置安全监控人员，各市州分公司及生产中心设置专职或兼职信息安全管理员，各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责： 负责公司与相关领导之间的联系，跟踪重大网络信息安全事

件的处理过程，并负责与政府相关应急部门联络，汇报情况。 3.1.2网络与信息安全工作管理组副组长职责： 负责牵头制定网络信息安全相关管理规范，负责网络信息安全工作的安排与落实，协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责： 省公司网络部设置信息安全管理员，负责组织贯彻和落实各项安全管理要求，制定安全工作计划；制订和审核网络与信息安全管理制度、相关工作流程及技术方案；组织检查和考核网络及信息安全工作的实施情况；定期组织对安全管理工作进行审计和评估；组织制定安全应急预案和应急演练，针对重大安全事件，组织实施应急处理 工作及后续的整改工作；汇总和分析安全事件情况和相关安全状况信息；组织安全教育和培训。 3.1.4信息安全技术管理职责： 各分公司、省网络部、省生产中心设置信息安全技术管理员，根据有限公司及省公司制定的技术规范和有关技术要求，制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求，牵头对各类网络和系统实施安全技术评估和工作；发布安全漏洞和安全威胁预警信息，并细化制定相应的技术解决方案；协助制定网络与信息安全的应急预案，参与应急演练；针对重大安全事件，组织实施应急处理，并定期对各类安全事件进行技术分析。

网络安全评估指标体系研究.doc

研究报告二网络安全评估标准研究报告 一、研究现状 随着网络技术的发展，计算机病毒、网络入侵与攻击等各种网络安全事件给网络带来的威胁和危害越来越大，需对网络数据流进行特征分析，得出网络入侵、攻击和病毒的行为模式，以采取相应的预防措施。宏观网络的数据流日趋增大，其特征在多方面都有体现。为了系统效率，只需对能体现网络安全事件发生程度与危害的重点特征进行分析，并得出反映网络安全事件的重点特征，形成安全评估指标。 随着信息技术与网络技术的迅猛发展, 信息安全已经成为全球共同关注的话题, 信息安全管理体系逐渐成为确保组织信息安全的基本要求, 同时网络与信息安全标准化工作是信息安全保障体系建设的重要组成部分。网络与信息安全标准研究与制定为管理信息安全设备提供了有效的技术依据, 这对于保证安全设备的正常运行和网络信息系统的运行安全和信息安全具有非常重要的意义。本文将介绍当前网络信息安全标准研究的现状, 并着重介绍几个现阶段国内外较流行的安全标准。 近年来，面对日益严峻的网络安全形式，网络安全技术成为国内外网络安全专家研究的焦点。长期以来，防火墙、入侵检测技术和病毒检测技术被作为网络安全防护的主要手段，但随着安全事件的日益增多，被动防御已经不能满足我们的需要。这种情况下，系统化、自动化的网络安全管理需求逐渐升温，其中，如何实现网络安全信息融合，如何真实、准确的评估对网络系统的安全态势已经成为网络安全领域的一个研究热点。 对网络安全评估主要集中在漏洞的探测和发现上，而对发现的漏洞如何进行安全级别的评估分析还十分有限，大多采用基于专家经验的评估方法，定性地对漏洞的严重性等级进行划分，其评估结果并不随着时间、地点的变化而变化，不能真实地反映系统实际存在的安全隐患状况。再加上现在的漏洞评估产品存在误报、漏报现象，使得安全管理员很难确定到底哪个漏洞对系统的危害性比较大，以便采取措施降低系统的风险水平。因此，我们认为：漏洞的评估应该充分考虑漏洞本身的有关参数及系统的实际运行数据两方面信息，在此基础上，建立一个基于信息融合的网络安全评估分析模型，得到准确的评估结果 2 相关工作 现有的安全评估方式可以大致归结为4类:安全审计、风险分析、安全测评和系统安全工程能力成熟度模型SSE-CMM ( Systems Security Engineering Capability MaturityModel)等。大部分通用的信息安全标准,如ISO 17799,ISO13335等,其核心思想都是基于风险的安全理念[4-6]。信息技术先进的国家,例如美国、俄罗斯和日本等在信息安全保障评价指标体系方面已经率先开展了研究工作。特别是美国,利用卡内基梅隆大学系统安全工程能力成熟度模型SSE-CMM[4]较早地建立了信息安全保障评价指标体系[5,6]。Rayford B.Vaughn[7]和Nabil Seddigh[8]等人研究了信息安全保障评价的概念和范畴,给出了信息安全保障评价的框架。在国内,国家信息中心[9,10]研究了网络信息

信息安全系统管理系统要求规范

信息安全管理规范公司

版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要

Table of Contents（目录） 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级（保密级别）规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息？ (21) 2.2什么是信息安全？ (21)

健康医疗大数据信息安全体系研究

健康医疗大数据信息安全体系研究 1 绪论 1.1 概述 对健康医疗大数据的信息安全体系进行研究，从信息安全目前面临的问题和如何解决信息安全问题两个方面入手，讨论如何构建健康医疗大数据信息安全体系，得出相关的结论。 健康医疗大数据的良好利用，对整个健康卫生领域的发展是非常有帮助的。有一个完善的信息安全体系是保证良好利用的前提。一个健全的信息安全体系，才可以让健康医疗大数据更好地提高医疗服务的水平，造福社会。一个健全的信息安全体系可以增强医疗健康大数据技术保障能力，有利于信息安全基础性工作，加快医疗健康大数据安全软硬件技术产品研发和标准制定，提高医疗健康大数据平台信息安全监测、预警和应对能力。在平衡创新发展与信息安全关系的同时，有利于建立医疗健康大数据安全管理规则、管理模式与管理流程，引导医疗健康大数据安全可控和有序发展[1]。信息安全体系由一组相互关联、相互作用、相互弥补、相互推动、相互依赖、不可分割的信息安全保障要素组成。一个系统的、完整的、有机的信息安全体系的作用力远远大于各个信息安全保障要素的保障能力之和。在此框架中，以信息安全策略为指导，融和了安全技术、安全风险管理、安全组织与管理和运行保障4个方面的安全体系，以此达到系统可用性、可控性、抗攻击性、完整性、保密性的安全防护目标 1.2国内外研究现状 1.2.1 国外研究现状 作为走在信息安全研究前列的大国，美、俄、日等国家都已制定自己的信息安全发展战略和计划，确保信息安全沿着正确的方向发展。2000年初美国出台了电脑空间安全计划，旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月日本信息技术战略本部及信息安全会拟定了信息安全指导方针。2000年9月俄罗斯批准了《国家信息安全构想》，明确了保护信息安全的措施。英国国家医疗服务体系在2016年7月份决定停止care.data健康医疗大数据平台的决定，信息安全得不到保障是关闭的重要原因之一。《对数据安全、同意和选择退出的审查》是由英国“国家健康和医疗数据守护者”发布。2015年9月，英国卫生大臣也委托其与英国医疗治疗委员会紧密合作，共同提出新的数据安全标准、测评数据安全合理的新方法，以及获取同意共享数据的新模式[2]。为了应对信息安全问题，很多国家从立法、制度、技术三个方面推出了相应的应对策略，制定国家大数据战略。美国、英国、法国、日本等发达国家均将大数据视为强化国家竞争力的关键因素之一，非常重视数据安全体系建设方面的研究。 国外比较成熟的关于信息安全体系建设的研究主要是关于服务信息化建设，提高对信息安全的认识，全面推行安全等级保护，定期进行信息系统安全风险评估以及安全加固，加强人才队伍建设。实施信息安全保护工作过程中应该注意的是明确要保护的目标，建立信息安全管理保障体系，加强信息安全意识和管理能力。ISO的安全体系结构主要内容：①安全服务:包括认证服务、访问控制、数据保密服务、数据完整性服务和抗抵赖服务;②安全机制:ISO安全体系结构中定义了一些安全机制.包括加密机制、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务流填充机制、路由控制机制、公证机制等;③安全管理:其重

ISO 270001 信息安全管理体系标准业务

一、信息安全管理体系标准业务介绍 1、背景介绍 信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失： ·直接损失：丢失订单，减少直接收入，损失生产率； ·间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉； ·法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。 所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。

2、标准发展 目前，在信息安全管理体系方面，ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织，如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。 2008年6月，ISO27001同等转换成国内标准GB/T22080-2008，并在2008年11月1日正式实施。 经过多年的发展，信息安全管理体系国际标准已经出版了一系列的标准，其中ISO/IEC27001是可用于认证的标准，其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1： 表1 ISO27000标准族现行状态

信息安全等级保护标准规范

信息安全等级保护标准规范 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 （一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 （二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业

金融行业的信息安全技术体系浅析

金融行业的信息安全技术体系浅析 【摘要】互联网正在影响着人们的生活，信息安全成为个人和企业的头等大事，为了防止不法分子通过各种手段侵害用户权益，信息安全技术已成为金融行业中最重要部分。本文主要阐述了信息安全的重要性，介绍了金融行业采用的常见信息安全技术，并针对存在的安全风险和解决措施展开了探讨。 【关键词】金融；信息安全技术；计算机；风险 金融行业的信息安全技术体系是否完善，关系到金融行业的发展。随着科技的不断进步和经济水平的发展，人们的消费习惯也在逐渐变化，如网上购物，网上汇款等。基于互联网的网上银行则充分满足了用户的需求，由此可见，信息安全技术对于用户和金融行业而言是至关重要的。 一、信息安全的重要性 互联网正在影响着人们的生活，人们对于网络的依赖性与日俱增。同时，信息安全也成为个人和企业的头等大事。一旦信息安全技术不到位，给个人、企业甚至国家造成的损失可能是无法估量的。各行各业都要重视信息安全，尤其是金融行业的信息安全技术体系需要不断完善，确保用户的信息资源的安全性，避免不法分子利用用户的信息去做违法犯

罪的事情，损害用户的权益。 如今，计算机所承载的内容和任务越来越繁重，不管是个人还是集体，许多重要的工作都要由计算机来完成。信息在处理的过程中存在极大的安全隐患，许多不法分子常常通过各种高科技手段窃取或篡改信息。因此，信息安全技术体系一定要不断完善，使保密措施更加多元化。 二、金融行业采用的信息安全技术有哪些 1.身份识别 在信息安全系统中，身份识别是最基本的安全功能，通过身份验证的用户才能进一步申请系统的相关服务。静态密码已不能满足更高的需求，动态口令、数字证书等一系列身份认证方式成为信息安全技术不断向前发展的标志。 2.存取权限控制 信息安全技术已经从最初的防守变成主动出击，主要针对不法分子。为确保用户信息和资源的安全，控制存取权限，谨防不法分子别有居心对用户资源进行使用，维护用户的合法权益。 3.数字签名 数字签名，也可称作公钥数字签名，用于辨别和验证签署人的身份。若要伪造可谓难上加难，数字签名可作为信息真实有效的证明。 4.数据完整性保护