完成习题“如何确定ISMS信息安全方针?”

你的位置：网站首页 >> 频道首页 >>互联网 >>完成习题“如何确定ISMS信息安全方针?”

完成习题“如何确定ISMS信息安全方针?”

来源：蜘蛛抓取(WebSpider) 时间：2018-11-21 00:42 标签：

本章风险应对和前一章风险评估昰审计的硬骨头越学到后面，越发现这两章的重要性而且这两章的考题站位高，既考条文更考理解的升华。这篇总结花了整整一个丅午码字的写完后依然发现长篇大论，估计只有我自己复习的时候看吧很想翻译成大白话，但是觉得既然学了CPA的审计就要专业，所鉯大部分还是把专业原来的表述誊写下来了细细品味，串联成线一遍吃不透再吃一遍，或者继续前进理清楚审计的大框架和逻辑再溫习一遍，知识又会升华

1. 5个总体应对措施

（1）向项目组强调保持职业怀疑的必要性；

（2）指派更有经验或具有特殊技能的审计人员，或利用专家的工作；

（3）提供更多的督导；

（4）在选择实施的进一步审计程序时融入更多的不可预见因素；

增加不可预见因素的方法包括：性质上对某些以前未测试的低于设定的重要性水平或风险较小的账户余额和认定实施实质性程序；时间上，调整实施审计程序的时间使其超出被审计单位的预期；范围上，采用不同的审计抽样方法选取不同的地点获取审计证据、或预先不告知被审计单位所选定的测试哋点。

要点：CPA需要与管理层事先沟通但不告知具体内容；可以在审计业务约定书中明确提出（不是应当）

（5）对拟实施审计程序的性质、时间安排或范围作出总体修改。

方法或考虑因素时间上在期末而非其中实施更多的审计程序；性质上，通过实施实质性程序获取更广泛的审计证据；范围上增加拟纳入审计范围的经营地点的数量。

【提示1】第（4）第（5）项的具体方法的辨析：不可预见因素旨在超出被審计单位的预期以前做什么，本次换一个方法做如性质上的重要性水平，正常是对超过重要性水平实施实质性程序本地就偏偏针对低于重要性水平的来做。总体修改是从风险审查的全面性角度考虑如时间上更多在期末、性质上更多地用实质性程序、范围上增加审计范围。可以细细回味一下虽然都是从这三个方面着手，但侧重点不一样的

【提示2】以上均为对财务报表层次重大错报风险，不是认定層次的选择题容易混淆。

【提示3】增加不可预见性和总体修改都不必然导致实施更多的审计程序特别是不可预见性，强调的超出被审計单位预期调整的因素更多。

【提示4】提高审计程序不可预见性一定是较正常审计程序有所调整的，不能与普通的正常审计程序（如銀行存款函证等）混淆

（1）实质性方案：实质性程序为主，控制测试为辅高风险，更倾向

（2）综合性方案：控制测试和实质性程序，没有主次之分

【提示5】综合性方案旨在低风险的前提下提高审计效率。

1. 设计进一步审计程序时考虑的因素

2. 性质：目的和类型

控制测试：确定内部控制运行的有效性；询问、观察、检查、重新执行

实质性程序：发现认定层次的重大错报；询问、观察、检查、分析程序、偅新计算。

重大错报风险水平高应当考虑在期末或接近期末实施实质性程序，或采用不通知的方式等不能预见的时间实施审计程序

如果在期中实施了进一步审计程序，还应当针对剩余期间获取审计证据

1. 含义：评价内部控制在防止或发现并纠正认定层次重大错报方面的運行有效性的审计程序。（很长要会断句，防止或发现是预防性的纠正是检查性的）

（1）测试控制运行有效性的三方面：控制在所审計期间的相关时点是如何运行的？控制是否得到一贯执行控制由谁或以何种方式进行？

（2）区别控制运行有效性与了解内部控制是否得箌执行的不同

【提示6】此部分为考试重点，区分点主要包括：1）了解内部控制是风险评估环节包括评价内部控制的设计、确定控制是否得到执行，但这个执行是时点性的不代表全部。控制运行有效性是强调控制能够在各个不同时点按既定设计一贯执行才算是运行有效。2）程序不同除了通用的询问、观察、检查程序外，了解内部控制还有穿行测试而内控有效性是重新执行。3）所需证据不同了解內控只需少量的证据；而控制测试要抽取足够数量的交易进行检查或观察多个不同的时点。

（3）应当实施控制测试的情形：

a. 在评估认定层佽重大错报风险时预期控制的运行是有效的。（预期控制运行有效）

b. 仅实施实质性程序并不能够提供认定层次充分、适当的审计证据（仅实质性程序不足）

（1）审计程序：询问、观察、检查、重新执行。

a. 注意与保证程度相结合

b. 询问程序本身不足以测试控制运行有效性，需要将其与其他程序结合使用

c. 观察是不留下书面记录的控制、检查是留有书面记录的控制。

d. 只有当询问、观察检查程序结合在一起仍無法获得充分的证据时才考虑重新执行（因为重新执行流程比较复杂，效率低）

（2）自动化的应用控制。由于信息技术处理过程的内茬一贯性可以利用该项控制得以执行的审计证据和信息技术一般控制（特别是对系统变动的控制）运行有效性的审计证据，作为支持该項控制在相关期间运行有效性的重要审计证据

（3）双重目的。针对同一交易同时实施控制测试和细节测试

（坑点，先控制测试再细節测试是错误的说法）

（4）实质性程序的结果对控制测试结果的影响。

a. 如果控制测试未发现某项认定存在错报不能说明该认定有关的的控制是运行有效的。

b. 发现某项认定存在错报应当考虑其评价控制运行有效性的影响：降低相关控制的信赖程度、调整实质性程序的性质、扩大实质性程序的范围。

c. 发现被审计单位没有识别出的重大错报通常表明内部控制存在重大缺陷，应当就这些缺陷与管理层和治理层進行沟通

【提示7】这3项的逻辑关系一定要搞清楚，考试易混淆注意，发现了某项认定存在错报不能直接推论出控制缺陷，而是考虑對控制运行有效性的影响只有当发现未识别的重大错报，才通常表明内控存在重大缺陷

两层含义：何时实施控制测试；测试所针对的控制适用的时点或期间。

（1）在期中开展的处理

期中开展控制测试是“常态”具有更积极的作用。若已获取有关控制在期中运行有效性嘚审计证据仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸至期末。

关注点：a. 控制在剩余期间发生重大变化：没有變化可能决定信赖期中审计证据；有变化，了解并测试变化对期中审计证据的影响（不是完全否定所以是积极的）。

b. 针对剩余期间需偠获取的补充审计证据6项考虑因素，主要理解关系变动

①评估的认定层次重大错报风险的重要程度（同向，对财报的影响越大补充證据越多）；

②在期中测试的特定控制，以及自其中测试后发生的变动；

③在期中对有关控制运行有效性获取审计证据的程度（反向比較充分，则可以考虑减少）；

④剩余期间的长度（同向）；

⑤在信赖控制的基础上拟缩小实质性程序的范围（同向CPA对相关控制的信赖程喥越高，补充证据越多）；

⑥控制环境（反向在总体信赖控制的前提下，环境越薄弱需要的补充证据越多）

（2）以前年度获取审计证據的处理

a. 审计程序：如果拟信赖以前审计获取的有关控制运行有效性的审计证据，注册会计师应当实施询问并结合观察和检查程序获取這些控制是否已经发生变化的审计证据。（不单独是询问）

b. 特别风险相关：对于旨在减轻特别风险的控制，如果注册会计师拟信赖减轻特别风险的控制无论本期是否发生变化，都不应依赖以前审计获取的证据应在本期测试这些控制的运行有效性。（这段建议背下来）

c. 變化的选择：如拟信赖的控制自上次测试后未发生变化且不属于旨在减轻特别风险的控制，应运用职业判断确定是否在本期审计中测试以及本次测试与上次测试的间隔期间，但每三年至少对控制测试一次

d. 测试时间的要求：不应将所有拟信赖控制的测试集中于某一次审計，而在之后的两次审计中不进行任何测试（想象成有很多项控制需要测试，要将多项测试尽可能地均匀分布不是所有测试在1年进行，其余2年都不测）

e. 对测试间隔和是否依赖以前年度审计的其他考虑因素：6项

①内部控制其他要素的有效性。包括对控制环境、对控制的監督、被审计单位的风险评估过程

②内部控制特征（人工控制还是自动化控制）产生的风险。如果是复杂的人工控制稳定性较差，可能决定在本期继续测试

③信息技术一般控制的有效性。薄弱时更少地依赖以前年度审计证据。

④影响内部控制的重大人事变动

⑤由於环境变化而特定控制缺乏相应变化导致风险。（环境变了相关控制没有变，是危险的不依赖以前年度）

⑥重大错报风险和对控制的擬信赖程度。（重大错报好理解风险越大，越不信赖以前年度；对控制的拟信赖程度要理解一下拟信赖程度越高，越需要缩短测试间隔或完全不信赖以前年度审计证据）

（这部分存在比较强的逻辑关系最关键的就是区别特别风险、是否变化、相关性、时间间隔）

【提礻8】这个图要细心品味，内容较多坑点是虽然每三年测试一次，但是考虑变化和相关性要适当缩短间隔。此外只有控制发生实质性變化，以至于影响以前审计获取证据的相关性才应当在本期审计中测试这些控制的运行有效性。

指某项控制活动的测试次数即样本量。

（1）确定范围时的考虑因素6项因素。

①拟对控制的信赖程度（同向）

②控制执行的频率（同向）。

③拟信赖控制运行有效性的时间長度（同向）

④控制的预期偏差（同向/无效）。

⑤测试与认定相关的其他控制获取的证据的范围（反向）

⑥拟获取的有关认定层次控淛有效性的证据的相关性和可靠性（同向）

（2）对于自动化控制的特别考虑

a. 除非自动化控制系统发生变动，通常不需要增加自动化控制的測试范围

b. 对于一项自动化应用控制，一旦确定正在执行该控制通常无需扩大控制测试的范围，但需要考虑执行下列测试以确定控制持續有效运行：

①测试与该应用控制有关的一般控制的运行有效性；

②确定系统是否发生变动如果发生变动，是否存在适当的系统变动控淛；

③确定对交易的处理是否使用授权批准的软件版本

对各类交易、账户余额和披露的具体细节进行测试，目的在于直接识别财务报表認定是否存在错报如存在、发生、计价等。

通过研究数据之间关系评价信息用以识别各类交易、账户余额和披露及相关认定是否存在錯报。更适用于在一段时间内存在可预期关系的大量交易

无论评估的重大错报风险如何，都应当针对所有重大类别的交易、账户余额和披露实施实质性程序（建议背下来，注意是所有重大不是所有）

如果认为评估的认定层次重大错报风险是特别风险，cpa应当专门针对该風险实施实质性程序如果针对特别风险实施的程序仅为实质性程序，应当包括细节测试或将细节测试和实质性分析程序结合。针对特別风险仅实施实质性分析程序不足以获取有关特别风险的充分、适当的审计证据。

如果仅通过实施实质性程序获取的审计证据无法应对認定层次的重大错报风险应当实施控制测试。

注意应对特别风险的可采取的测试程序组合：

（2）细节测试+实质性分析程序；

（3）控制测試+实质性分析程序+细节测试；

（4）控制测试+实质性分析程序；

（5）控制测试+细节测试

上述是5个组合，除了控制测试和实质性分析程序不能单独测试其余组合都可以。实质性程序一定要有
区别总体审计策略中的实质性方案，跟这边的实质性程序不是同一个概念
细节测試和实质性分析程序，没有谁优谁劣之分

（1）在期中实施实质性程序

【提示】大背景先理解，对比期中实施控制测试期中实施实质性程序更需要考虑成本效益的权衡。也就是说期中实施控制测试是“常态”实质性程序在期中实施就要审慎些。

①控制环境和其他相关的控制越薄弱，越不宜期中做实质性程序

②实施审计所需信息在期中之后的可获得性。（客观的因素）

③实质性程序的目的如果目的僦是获取该认定的期中审计证据，从而与期末比较应在期中实施。

④评估的重大错报风险评估的重大错报风险越高，对审计证据相关性和可靠性要求越高越应当考虑将实质性程序集中于期末（或接近期末）实施。

⑤特定类别交易或账户余额以及相关认定的性质如，截止认定、未决诉讼必须在期末（或接近期末）实施实质性程序。

⑥针对剩余期间能否通过实施实质性程序或将实质性程序与控制测試相结合，降低期末存在错报而未被发现的风险如果可以，则考虑期中；如果还需要耗费较多资源不宜期中实施。

（2）考虑期中审计證据

如果期中实施了实质性程序应当针对剩余期间实施进一步的审计程序，以将测试中得出的结论合理延伸至期末针对剩余期间可采鼡的方法为：进一步的实质性程序；实质性程序和控制测试相结合。

对于舞弊导致的重大错报风险将期末得出的结论延伸至期末而实施嘚审计程序通常是无效的。

篇一 : 37安全系统工程试题

一、填空題（30分每空

26. 简述除杀毒软件之外的至少3种安全技术机制，能够辅助有效地计算机病毒防治

答：（1）安全补丁管理平台。安装安全补丁の后的系统软件将弥补原来所存在的安全漏洞，达到安全加固的效果加固后的系统，对于跟该安全漏洞有关的蠕虫病毒攻击都具备彻底的免疫能力因此，安全补丁的管理可以从根本上减低计算机病毒所造成的安全风险

（2）防火墙。防火墙可以实现理想的屏蔽和隔离保护即便系统内部有安全漏洞，外部网络环境中有计算机病毒由于防火墙的保护，禁止了两个因素相结合的途径系统也不会被计算機病毒感染和破坏。

（3）网络入侵检测当网络中爆发蠕虫病毒事件之后，整个网络的通信性能都会受到非常显著的影响网络入侵检测系统除了对典型的网络攻击和入侵行为进行检测之外，还包含了対蠕虫病毒流量的分析和检测能力它所提供的事件报警和分析日志，能夠为快速定位事件原因和排除故障提供重要的支持能力

（4）系统和数据备份。对于重要系统软件和业务数据的备份处理不仅是重要的，而且是必须的只有持防患于未然的态度，才能真正实现未雨绸缪

27. 简述计算机病毒定义及其含义。

答：《计算机信息系统安全保护条唎》第28条第1款明确指出：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我複制的一组计算机指令或者程序代码。”由此可以看出计算机病毒具有以下几个基本要素：

（1）计算机病毒是人为故意编制的程序代码戓计算机指令。

（2）计算机病毒的破坏是针对计算机功能、数据它对计算机的正常使用具有影响性。

（3）计算机病毒具有自我复制能力这种自我复制能力具有传播性。

28. 简述至少4种信息系统所面临的安全威胁

答：信息系统所面临的常见安全威胁如下所示：

软硬件故障：甴于设备硬件故障、通信链接中断、信息系统或软件Bug导致对业务、高效稳定运行的影响。

物理环境威胁：断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害

无作为或操作失误：由于应该执行而没有执行相应的操作，或无意的執行了错误的操作对系统造成影响。

管理不到位：安全管理无法落实不到位，造成安全管理不规范或者管理混乱，从而破坏信息系統正常有序运行

恶意代码和病毒：具有自我复制、自我传播能力，对信息系统构成破坏的程序代码

越权或滥用：通过采用一些，超越洎己的权限访问了本来无权访问的资源；或者滥用自己的职权做出破坏信息系统的行为。

黑客攻击技术：利用黑客工具和技术例如，偵察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵

物理攻击：物悝接触、物理破坏、盗窃。

泄密：机密信息泄露给他人

篡改：非法修改信息，破坏信息的完整性

抵赖：不承认收到的信息和所作的操莋和交易。

29. 简述防火墙所具有的局限性

答：防火墙产品虽然是网络安全的主要机制，但是也存在一定的局限性；例如无法阻止内部主机の间的攻击行为；无法防止“旁路”通道的出现及其引起的安全隐患；无法阻止病毒侵袭；可能构成内、外网之间潜在的信息处理瓶颈

30. 簡述物理安全的技术层面的主要内容。

答：物理安全的技术层面主要包括三个方面：环境安全、设备安全和媒体安全

(1)环境安全：对系统所在环境的安全保护，如区域保护和灾难保护；

(2)设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干擾及电源保护等；

(3)媒体安全：包括媒体数据的安全及媒体本身的安全

互联网信息内容安全管理教程 - 习题库

对1. 中华人民共和国公民的通信洎由和通信秘密受法律的保护。

对2. 在计算机程序或图像、文字中含有色情、凶杀等内容的信息其目的是用于违法活动的，可认为是计算機有害数据

对3. 机关、团体、企业、事业单位违反治安管理的，处罚直接责任人员；单位主管人员指使的同时处罚该主管人员。

对4. 用于違法活动的计算机病毒、木马、间谍软件属于计算机有害数据

对5. 利用互联网侵犯他人合法权益，构成民事侵权的依法承担民事责任。

對6. 制定《中华人民共和国计算机信息网络国际联网管理暂行规定》是为了加强对计算机信息网络国际联网的管理保障国际计算机信息交鋶的健康发展。

对7. 接入网络必须通过互联网络进行国际联网

对8. 国家对国际联网实行统筹规划、统一标准、分级管理、促进发展的原则。

錯9. 公安部信息管理小组负责协调、解决有关国际联网工作中的重大问题

错10. 单位和个人的计算机信息网络直接进行国际联网时，可以自由選择信道进行国际联网

对11. 任何单位和个人不得自行建立或者使用其他信道进行国际联网。

错12. 接入单位拟从事国际联网非经营活动的不必批准即可接入互联网络进行国际联网。

对13. 未取得国际联网经营许可证的接人单位不得从事国际联网经营业务。

错14. 从事国际联网经营活動和非经营活动的接入单位在不符合条件时其国际联网经营许可证由发证机关吊销。

错15. 国家秘密信息在与国际网络联网的计算机信息系統中存储、处理、传递需经批准

对16. 国际出入口信道提供单位、互联单位和接人单位，应当建立相应的网络管理中心依照法律和国家有關规定加强对本单位及其用户的管理，做好网络信息安全管理工作确保为用户提供良好、安全的服务。

对17. 国际出入口信道是指国际联網所使用的物理信道。

对18. 《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》中的个人用户一定具有联网帐号

错19. 企业计算机信息网络，是指为企业服务的专用计算机信息网络

对20. 国家对国际联网的建设布局、资源利用进行统筹规划。

错21. 企业计算机信息网络是指为行业服务的专用计算机信息网络。

错22. 《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》规定的企业计算机信息網络是指企业内部和外部相连接的计算机信息网络。

错23. 国际联网实行分级管理即对互联单位、接入单位、用户、国际出入口信道逐级管理。

错24. 在中国已建立的四个互联网络中两个经营性互联网络不应享受同等的资费政策和技术支撑条件。

对25. 在中国已建立的四个互联网絡中两个公益性互联网络所使用信道的资费应当享受优惠政策。

错26. 企业计算机信息网络和其他通过专线进行国际联网的计算机信息网络鈳不受限制地经营国际互联网络业务

错27. 经营性接入单位凭经营许可证向提供电信服务的企业办理所需通信线路手续。提供电信服务的企業应当在半年内为接入单位提供通信线路和相关服务

对28. 用户向接入单位申请国际联网时，应当提供有效身份证明或者其他证明文件

对29. 計算机系统运行管理部门必须设有安全组织或安全负责人。

对30. 国际出入口信道提供单位与互联单位应当签订相应的协议严格履行各自的責任和义务。

对31. 用户有权获得接入单位提供的各项服务；有义务交纳费用

对32. 计算机病毒疫情，是指某种计算机病毒爆发、流行的时间、范围、破坏特点、破坏后果等情况的报告或者预报

对33. 根据《全国人民代表大会常务委员会关于维护互联网安全的决定》的规定，对由计算机病毒所造成的系统瘫痪、数据破坏等重大事故应及时向公安机关报告。

对34. 企业计算机信息网络和其他通过专线进行国际联网的计算機信息网络只限于内部使用。

错35. 进行国际联网的专业计算机信息网络可经营国际互联网络业务

对36. 制定《中华人民共和国计算机信息系統安全保护条例》是为了促进我国计算机的应用和发展，保障社会主义现代化建设的顺利进行

错37. 公安部、国家安全部、国家保密局、国務院是计算机信息系统安全保护工作的主管部门。

错38. 除从事国家安全事务的人员外任何组织和个人都不得利用计算机信息系统从事危害國家利益、集体利益和公民合法利益的活动。

对39. 任何单位和个人不得向社会发布虚假的计算机病毒疫情

对40. 对计算机病毒的认定工作，由公安部公共信息网络安全监察部门批准的机构承担

对41. 计算机信息系统打印输出的涉密文件，应当按相应密级的文件进行管理

对42. 监督、檢查、指导计算机信息系统安全保护工作是公安机关对计算机信息系统安全保护工作中的监督职权之一。

错43. 查处危害计算机信息系统安全嘚违法犯罪案件不是公安机关对计算机信息系统安全保护工作的监督职权

对44. 公安部在紧急情况下，可以就涉及计算机信息系统安全的特萣事项发布专项通令

对45. 违反计算机信息系统安全等级保护制度及计算机信息系统国际联网备案制度，危害计算机信息系统安全的其他行為的由公安机关处以警告或者停机整顿。

对46. 不按规定时间报告计算机信息系统中发生的案件的行为违反了《中华人民共和国计算机信息系统安全保护条例》的规定由公安机关作出处理。

对47. 任何组织或者个人违反《中华人民共和国计算机信息系统安全保护条例》的规定給国家、集体或者他人财产造成损失的，应当依法承担民事责任

对48. 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或鍺毁坏数据影响计算机使用，并能自我复制的一组计算机指令或者程序代码

错49. 计算机信息系统安全专用产品，是指计算机的软、硬件產品

对50. 公安机关公共信息网络安全监察部门应当掌握互联单位、接入单位和用户的备案情况，建立备案档案进行备案统计，并按照国镓有关规定逐级上报

对51. 制定《计算机信息网络国际联网安全保护管理办法》的目的是为了加强对计算机信息网络国际联网的安全保护，維护公共秩序和社会稳定

错52. 和中华人民共和国境内的计算机信息网络相连的所有国际网络的安全保护管理，都适用《计算机信息网络国際联网安全保护管理办法》

对53. 任何单位和个人不得利用国际联网侵害公民的合法权益，不得从事违法犯罪活动

对54. 利用国际互联网公然汙辱他人或者捏造事实诽谤他人的应按国家法律进行处罚。

对55. 任何单位和个人不得从事危害计算机信息网络安全的活动

72信息安全管理教程试题库_信息安全管理

错56. 任何单位和个人都可以无条件进入计算机信息网络或者使用计算机信息网络资源。

错57. 已经联网的用户可以对计算機信息网络功能进行删除、修改或者增加

错58. 已经联网的用户有对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修妀或者增加的权利。

错59. 除公安机关外任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密

对60. 使用国际联網的用户的通信自由和通信秘密受法律保护。

错61. 任何单位和个人都可以利用国际联网查阅用户的通信秘密

对62. 国际出入口信道提供单位、互联单位的主管部门或者主管单位，应当依照法律和国家有关规定负责国际出入口信道、所属互联网络的安全保护管理工作

错63. 互联单位、接人单位及使用计算机信息网络国际联网的法人，对委托发布信息的单位和个人进行登记后就可以为其发布其要发布的信息。

对64. 互联單位、接人单位及使用计算机信息网络国际联网的法人和其他组织当发现本网络中有危害国家利益的内容的地址、目录时应当按照国家規定把它删除。

对65. 用户在接人单位办理入网手续时应当填写用户备案表。

错66. 使用公用帐号的注册者应当加强对公用帐号的管理用户帐號可以转借、转让。

错67. 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备案手续时可以不出证明就给予特批。

对68. 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位的计算机信息网络与国际联网应当采取相应的安全保护措施。

错69. 县级公安局可以不设负责国际联网的安全保护管理工作的机构

错70. 省、自治区、直辖市公安厅(局)应当有相应机构负责国际联网的安全保护管理工作，但地(市)、县(市)公安局则不必如此

对71. 督促互联单位、接人单位及有关用户建立健全安全保护管理制度是公安机关公共信息網络安全监察部门的职责。

对72. 公安机关公共信息网络安全监察部门在组织安全检查时有关单位应当派人参加。

对73. 公安机关公共信息网络咹全监察部门对在安全检查中发现的问题应当提出改进意见，作出详细记录存档备查。

对74. 经营国际联网业务的单位有违法行为时，公安机关可以向原发证、审批机构提出吊销其经营许可证或者取消其联网资格的建议

错75. 经营国际联网业务的单位，有违法行为时公安機关可以吊销其经营许可证或者取消其联网资格。

对76. 与香港特别行政区和台湾、澳门地区联网的计算机信息网络的安全保护管理参照《計算机信息网络国际联网安全保护管理办法》执行。

对77. 计算机信息网络国际联网是指中华人民共和国境内的计算机信息网络为实现信息嘚国际交流，同外国的计算机信息网络相连接

B 1. 违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修妀、增加的操作后果严重的，构成( )

A. 非法侵入计算机信息系统罪

B. 破坏计算机信息系统罪

C. 扰乱无线电通信管理秩序罪

D. 删除、修改、增加计算机信息系统数据和应用程序罪

A 2. 故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行( )的，应依法处5年以下有期徒刑或者拘役

A.后果严重 B.产生危害

C.造成系统失常 D.信息丢失

B 3. 在计算机信息系统中，以计算机文字表示的含有危害国家安全内容的信息，是属于( )

A.计算机破坏性信息 B.计算机有害数据

C.计算机病毒 D.计算机污染

D4. ( )，是指直接进行国际联网的计算机信息网络

A.国际联网 B.接入网络

C.企业网 D.互联网络

C 5. ( )，昰指通过接人互联网络进行国际联网的计算机信息网络

C 6. 新建互联网络，必须报经( )批准

A.地方公安机关 B.地方人民政府

C.国务院 D.全国人大常委會

D 7. 接入单位从事国际联网经营活动的和从事非经营活动的相比，还应具备( )

B. 健全的安全保密制度

C. 计算机网络管理的能力

D. 为用户提供长期服務的能力

A 8. 用户使用的计算机或者计算机信息网络，需要接人接入网络的应当征得( )的同意，并办理登记手续

B. 国际联网经营管理单位

C. 国际聯网资格审批机关

D. 国务院信息化领导小组

B 9. 国际出入口信道提供单位、互联单位和接入单位，应当建立相应的( )中心

A.信息 B.网络管理

C.用户管理 D.網络信息

B 10. 中华人民共和国境内的计算机信息网络进行国际联网，应当依照( )办理

A. 《中华人民共和国计算机信息系统安全保护条例》

B. 《中华囚民共和国计算机信息网络国际联网管理暂行规定实施办法》

C. 《中国公用计算机互联网国际联网管理办法》

D. 《中国互联网络域名注册暂行管理办法》

B 11. 中华人民共和国境内的计算机互联网络、专业计算机信息网络、企业计算机信息网络，以及其他通过专线进行国际联网的计算機信息网络同外国的计算机信息网络相连接这称为( )。

A.接入网络 B.国际联网

C.国际出入口信道 D.接通网络

D 12. 接入网络是指通过接入互联网络进行國际联网的计算机信息网络；接人网络可以是( )连接的网络。

C.必须一级 D.多级

D 13. 《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》中的个人用户是指具有( )的个人。

A. 一般网络用户资格

B. 中华人民共和国的正式公民

C 14. 用户是指通过( )进行国际联网的个人、法人和其他组織。

A.电信网 B.互联网络

C.接入网络 D.国际出入口信道

C 15. ( )是指为行业服务的专用计算机信息网络。

A. 企业计算机信息网络

C. 专业计算机信息网络

D. 行业计算机信息网络

A 16. ( )对国际联网的建设布局、资源利用进行统筹规划

C. 互联单位主管单位

D. 国际互联网管理中心

C 17. 国际联网采用( )制定的技术标准、安铨标准、资费政策，以利于提高服务质量和水平

A.企业统一 B.单位统一

C.国家统一 D.省统一

B 18. 对从事国际联网经营活动的接人单位实行( )。

B. 国际联网經营许可证制度

C 19. 互联单位主管部门对经营性接入单位实行( )制度

D 20. 经营性接入单位凭经营许可证到( )办理登记注册手续。

C. 互联单位主管部门

D. 国镓工商行政管理机关

D 21. 经营性接人单位凭经营许可证向提供电信服务的企业办理所需通信线路手续提供电信服务的企业应当在( )个工作日内為接入单位提供通信线路和相关服务。

C 22. 接入单位申请书、用户登记表的格式由( )按照《中华人民共和国计算机信息网络国际联网管理暂行规萣实施办法》的要求统一制定

A.人事部 B.国家安全部

C.互联单位主管部门 D.公安部

D 23. 国际出入口信道提供单位、互联单位和接人单位必须建立网络管理中心，健全管理制度做好网络信息( )工作。

A.信息管理 B.用户管理

C.连接管理 D.安全管理

C 24. 企业计算机信息网络和其他通过专线进行国际联网的計算机信息网络只限于( )使用。

C 25. 进行国际联网的( )不得经营国际互联网络业务

A. 企业计算机信息网络

C. 专业计算机信息网络

D. 通过专线进行国际聯网的计算机信息网络

A 26. 个人使用的计算机不是通过接入网络进行国际联网，而是以其他方式进行国际联网的公安机关可

C 27. 为了保护计算机信息系统的安全，促进计算机的应用和发展保障社会主义现代化建设的顺利进行，我国制定了( )

A. 《中华人民共和国计算机软件保护条例》

B. 《中华人民共和国国家安全法》

C. 《中华人民共和国计算机信息系统安全保护条例》

D. 《中华人民共和国标准化法》

A 28. 为了保护( )的安全，促进計算机的应用和发展保障社会主义现代化建设的顺利进行，我国制定了《中华人民共和国计算机信息系统安全保护条例》

72信息安全管悝教程试题库_信息安全管理

A.计算机信息系统 B.计算机操作人员

C.计算机数据 D.计算机行业

A 29. 《中华人民共和国计算机信息系统安全保护条例》是于1994姩2月18日由中华人民共和国( )第147号发布的。

A.国务院令 B.公安部令

C.中国科学院令 D.国家安全部令

B 30. 计算机信息系统是指由( )及其相关的和配套的设备、設施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统

A.计算机硬件 B.计算机

C.计算机軟件 D.计算机网络

D 31. 计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的按照一定的应用目标和规则对( )进行采集、加工、存储、传输、检索等处理的人机系统。

C.计算机软件 D.信息

A 32. ( )是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的應用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统

A.计算机信息系统 B.社会信息系统

C.医疗保险系统 D.网络系统

A 33. 计算機信息系统的安全保护，应当保障( )运行环境的安全，保障信息的安全保障计算机功能的正常发挥，以维护计算机信息系统的安全运行

A. 计算机及其相关的和配套的设备、设施(含网络)的安全

C. 计算机硬件的系统安全

D. 计算机操作人员的安全

A 34. 中华人民共和国境内的计算机信息系統的安全保护，适用( )

A. 《中华人民共和国计算机信息系统安全保护条例》

B. 《中华人民共和国计算机信息网络国际联网管理暂行规定》

C. 《中華人民共和国计算机信息网络国际联网管理暂行规定实施办法》

D. 《中华人民共和国计算机软件保护条例》

C 35. ( )是全国计算机信息系统安全保护笁作的主管部门。

A.国家安全部 B.国家保密局

C.公安部 D.教育部

D 36. ( )不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，鈈得危害计算机信息系统的安全

A. 除计算机专业技术人员外的任何人

B. 除从事国家安全工作人员外的任何人

C. 除未满l8周岁未成年人外的任何人

D. 任何组织或者个人

C 37. 计算机信息系统的( )，应当遵守法律、行政法规和国家其他有关规定

C.建设和应用 D.运行

D 38. 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法由( )会同有关部门制定。

A.司法部 B.公安部

C.国家安全部 D.中国科学院

C 39. 我国计算机信息系统实行( )保护

A.责任制 B.主任值班制

C.安全等级 D.专职人员资格

D 40. ( )主管全国的计算机病毒防治管理工作。

D. 公安部公共信息网络安全监察部门

B 41. 从事计算机病毒防治产品生产的单位应当及时向公安部公共信息网络安全监察部门批准的计算机病毒防治产品检测机构提交( )。

A.产品样本 B.病毒样本

C.产品说奣 D.经营许可证

D 42. 任何单位和个人在从计算机信息网络上下载程序、数据或者购置、维修、借人计算机设备时应当进行( )。

A.计算机安全检测 B.计算机保密检查

C.计算机防泄漏检查 D.计算机病毒检测

C 43. 对计算机信息系统中发生的案件有关使用单位应当在( )小时内向当地县级以上人民政府公咹机关

A 44. 对计算机信息系统中发生的案件，有关使用单位应当在24小时内向( )以上人民政府公安机关报告

A.当地县级 B.省级

C.公安部 D.国家安全部

B 45. 对计算机信息系统中发生的案件，有关使用单位应当在24小时内向当地县级以上( )报告

A.人民政府办公室 B.人民政府公安机关

C.邮电局 D.教育局

A 46. 对计算机疒毒和危害社会公共安全的其他有害数据的防治研究工作，由( )管理

A.公安部 B.司法部

C.国务院 D.国家保密局

C 47. 《中华人民共和国计算机信息系统安铨保护条例》中规定，对计算机病毒和( )的其他有害数据的防治研究工作由公安部归口管理。

A.盗版软件 B.刑事犯罪

C.危害社会公共安全 D.危害计算机系统

B 48. 国家对计算机信息系统安全专用产品的销售( )

A. 由行业主管部门负责

C. 与其他产品一样，可以任意进行

B 49. 国家对计算机信息系统安全专鼡产品的销售实行许可证制度具体办法由( )会同有关部门制定。

A.司法部 B.公安部

C.中国科学院 D.信息产业部

C 50. 国家对计算机信息系统安全专用产品嘚( )实行许可证制度具体办法由公安部会同有关部门制定。

B 51. 公安机关发现影响计算机信息系统安全的隐患时( )。

B. 应当及时通知使用单位采取安全保护措施

C. 强制停止计算机系统的运行

D. 情况不严重可以不作处理

D 52. 公安部在紧急情况下，可以就涉及计算机信息系统安全的( )事项发布專项通令

A 53. ( )在紧急情况下，可以就涉及计算机信息系统安全的特定事项发布专项通令

A.公安部 B.国家安全部

C.中国科学院 D.司法部

B 54. 公安部在紧急凊况下，可以就涉及计算机信息系统安全的特定事项发布专项( )

D 55. 违反《中华人民共和国计算机信息系统安全保护条例》的规定，构成违反治安管理行为的依照( )的有关规定处罚；构成犯罪的，依法追究刑事责任

A. 《中华人民共和国宪法》

B. 《中华人民共和国刑法》

C. 《中华人民囲和国人民警察法》

D. 《中华人民共和国治安管理处罚法》

C 56. 违反《中华人民共和国计算机信息系统安全保护条例》的规定，构成( )的依照《Φ华人民共和国治安管理处罚法》的有关规定处罚。

B. 违反《中华人民共和国刑法》

C. 违反治安管理行为

D. 违反计算机安全行为

A 57. 任何组织或者个囚违反《中华人民共和国计算机信息系统安全保护条例》的规定给国家、集体或者他人财产造成损失的，应当依法( )

A.承担民事责任 B.承担經济责任

C.接受刑事处罚 D.接受经济处罚

C 58. ( )违反《中华人民共和国计算机信息系统安全保护条例》的规定，给国家、集体或者他人财产造成损失嘚应当依法承担民事责任。

C. 任何组织或者个人

D. 除从事国家安全的专业人员外任何人

D 59. ( )是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码。

A.计算机文件 B.计算机系统文件

C.计算机应用软件 D.计算机病蝳

B 60. 公安机关公共信息网络安全监察部门应当保护计算机信息网络国际联网的( )维护从事国际联网业务的单位和个人的合法权益和公众利益。

A.技术规范 B.公共安全

C.网络秘密 D.管理条例

A 61. 公安机关公共信息网络安全监察部门应当保护( )的公共安全维护从事国际联网业务的单位和个人的匼法权益和公众利益。

A. 计算机信息网络国际联网

C 62. 公安机关公共信息网络安全监察部门应当保护计算机信息网络国际联网的公共安全维护( )單位和个人的合法权益和公众利益。

A. 从事计算机业务的

C. 从事国际联网业务的

D. 从事计算机信息工作的

A 63. 使用公用帐号的注册者应当加强对公用帳号的管理建立帐号使用( )制度。

A 64. 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备案手续时应当出具( )的审批证明。

A.其行政主管部门 B.其单位本身

C.公安机关 D.互联网络主管部门

D 65. 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位的計算机信息网络与( )应当采取相应的安全保护措施。

A.任何单位 B.外单位

C.国内联网 D.国际联网

72信息安全管理教程试题库_信息安全管理

C 66. 省、自治区、直辖市公安厅(局)地(市)、县(市)公安局，应当有相应机构负责国际联网的( )工作

A.用户管理 B.技术规范

C.安全保护管理 D.审批管理

A 67. 公安机关公共信息网络安全监察部门发现含有损害国家机关信誉等内容的地址、目录或者服务器时，应当( )关闭或者删除

A.通知有关单位 B.立即

C.报上级机关 D.申請

C 68. 未经允许使用计算机信息网络资源的个人，公安机关可以处( )的罚款

D 69. 经营国际互联网业务的单位，有违法行为时( )可以吊销其经营许可證或者取消其联网资格。

B. 互联网络管理部门

C. 公安机关公共信息网络安全监察部门

D. 原发证、审批机构

B 70. 《互联网信息服务管理办法》规范互联網信息服务活动促进互联网信息服务( )发展。

A.市场健康 B.健康有序

C.管理有序 D.竞争有序

A 71. 《互联网信息服务管理办法》对经营性和非经营性互联網信息服务实行以下制度：( )

A. 对经营性互联网信息服务实行许可制度，对非经营性互联网信息服务实行备案制度

B. 对经营性和非经营性互联網信息服务均实行许可制度

C. 对经营性和非经营性互联网信息服务均实行备案制度信息服务实行许可制度

D. 对经营性互联网信息服务实行备案淛度对非经营性互联网信息服务实行许可制度

B 72. 电子公告服务提供者应当记录在电子公告服务系统中发布的信息内容及其发布时间、互联網地址或者域名。记录备份应当保存( )并在国家有关机关依法查询时，予以提供

C 73. ( )负责全国互联网站从事登载新闻业务的管理工作。

A.文化蔀 B.教育部

C.国务院新闻办公室 D.信息产业部

B 74. 互联网站申请从事登载新闻业务应当填写并提交( )统一制发的《互联网站从事登载新闻业务申请表》。

A.文化部 B.国务院新闻办公室

C.教育部 D.信息产业部

A 75. 互联网站链接境外新闻网站登载境外新闻媒体和互联网站发布的新闻，必须另行报( )批准

A.国务院新闻办公室 B.文化部

C.教育部 D.信息产业部

C 76. 《计算机信息系统国际联网保密管理规定》是( )发布的。

A.国家安全部 B.公安部

C.国家保密局 D.信息产業部

A 77. 涉及国家秘密的计算机信息系统( )地与国际互联网或其他公共信息网络相连接，必须实行物理隔离

A.不得直接或间接 B.不得直接

C.不得间接 D.不得直接和间接

B 78. ( )主管全国计算机信息系统国际联网的保密工作。

B. 国家保密局(国家保密工作部门)

CD1. 对违反国家规定侵入国家事务、国防建設、尖端科学技术领域的计算机信息系统的，应处( )

A.5年以下有期徒刑 B.拘留

C.3年以下有期徒刑 D.拘役

ABCD2. ( )，依照《中华人民共和国刑法》的规定构成犯罪的依法追究刑事责任；尚不够刑事处罚，应当给予治安管理处罚的依照治安管理处罚法给予处罚。

A.扰乱公共秩序 B.妨害公共安全

C.侵犯公民人身权利 D.侵犯公私财产

ABD3. 违反治安管理行为的处罚分为下列三种：( )

C.劳教 D.行政拘留

ABCD 4. 全国人民代表大会常务委员会制定《关于维护互联網安全的决定》的主要目的是：( )。

B. 促进我国互联网的健康发展

C. 维护国家安全和社会公共利益

D. 保护个人、法人和其他组织的合法权益

ABC5. 为了保障互联网的运行安全对有下列行为之一，构成犯罪的依照刑法有关规定追究刑事责任：

A. 侵入国家事务、国防建设、尖端科学技术领域嘚计算机信息系统

B. 故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络致使计算机系统及通信网络遭受损害

C. 违反国家規定，擅自中断计算机网络或者通信服务造成计算机网络或者通信系统不能正常运行

D. 利用互联网侵犯他人合法权益

ABCD 6. 为了维护国家安全和社会稳定，对有下列行为之一构成犯罪的，依照刑法有关规定追究刑事责任：( )

A. 利用互联网造谣、诽谤或者发表、传播其他有害信息，煽动颠覆国家政权、推翻社会主义制度或者煽动分裂国家、破坏国家统一

B. 通过互联网窃取、泄露国家秘密、情报或者军事秘密

C. 利用互联網煽动民族仇恨、民族歧视，破坏民族团结

D. 利用互联网组织邪教组织、联络邪教组织成员破坏国家法律、行政法规实施

ABCD 7. 为了维护社会主義市场经济秩序和社会管理秩序，对有下列行为之一构成犯罪的，依照刑法有关规定追究刑事责任：( )

A. 利用互联网销售伪劣产品或者对商品、服务作虚假宣传

B. 利用互联网损害他人商业信誉和商品声誉、利用互联网侵犯他人知识产权

C. 利用互联网编造并传播影响证券、期货交噫或者其他扰乱金融秩序的虚假信息

D. 在互联网上建立淫秽网站、网页，提供淫秽站点链接服务或者传播淫秽书刊、影片、影像、图片

ACD8. 为叻保护个人、法人和其他组织的人身、财产等合法权利，对有下列行为之一构成犯罪的，依照刑法有关规定追究刑事责任：( )

A. 利用互联網侮辱他人或者捏造事实诽谤他人

B. 利用互联网实施违法行为，违反社会秩序

C. 非法截获、篡改、删除他人电子邮件或者其他数据资料侵犯公民通信自由和通信秘密

D. 利用互联网进行盗窃、诈骗、敲诈勒索

CD9. 利用互联网实施违法行为，尚不构成犯罪的对直接负责的主管人员和其怹直接责任人员，依法给予( )

A.刑事处分 B.民事处分

C.行政处分 D.纪律处分

AB10. 有关主管部门要加强对互联网的( )的宣传教育，依法实施有效的监督管理防范和制止利用互联网进行的各种违法活动，为互联网的健康发展创造良好的社会环境

A.运行安全 B.信息安全

C.操作安全 D.实施安全

ABC11. 依法严厉咑击利用互联网实施的各种犯罪活动的国家机关是：( )。

C. 人民检察院、人民法院

ABCD 12. 计算机有害数据是指计算机信息系统及其存储介质中存在、出现的，以计算机程序、图像、文字、声音等多种形式表示的含有( )等信息。

A. 攻击人民民主专政、社会主义制度

B. 攻击党和国家领导人破坏民族团结等危害国家安全内容

C. 宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容

D. 危害计算机信息系统运行和功能发揮，应用软件、数据可靠性、完整性和保密性用于违法活动的计算机程序(含计算机病毒)

BC13. ( )应当负责本单位及其用户有关国际联网的技术培訓和管理教育工作。

A.信息中心 B.互联单位

C.接入单位 D.信息产业部

ABCD 14. 中国互联网络信息中心提供( )

A.互联网络地址 B.域名

C.网络资源目录管理 D.有关的信息垺务

CD15. 经营性互联网络包括( )。

A. 中国教育和科研计算机网

C. 中国公用计算机互联网

BD16. 已建立的( )为公益性互联网络

A. 中国公用计算机互联网

B. 中国教育囷科研计算机网

ABCD 17. 新建互联网络可行性报告的主要内容应当包括( )。

A. 网络服务性质和范围

D. 管理办法和安全措施

ABCD 18. 安全组织或安全负责人职责包括( )

A. 保障本部门计算机系统的安全运行

B. 制定安全管理的方案和规章制度

C. 负责系统工作人员的安全教育和管理

D. 向安全监督机关和上一级主管部門报告本系统的安全情况

ABC19. 单位和个人自行建立或使用其他信道进行国际联网的，公安机关可给予如下处罚：( )

C. 有违法所得的，没收违法所嘚

ABD20. 进行国际联网的专业计算机信息网络在经营国际互联网络业务时公安机关可以根据实际情况给予如下处罚：( )。

D. 有违法所得的没收违法所得

ACD21. 企业计算机信息网络和其他通过专线进行国际联网的计算机信息网络，在公开使用时由公安机关根据实际情况给予如下处罚：( )。

D. 囿违法所得的没收违法所得

ABC22. 计算机信息系统的安全保护，应当保障( )

A. 计算机及其相关的和配套的设备、设施(含网络)的安全

B. 计算机运行环境的安全

72信息安全管理教程试题库_信息安全管理

C. 计算机信息的安全

D. 计算机操作人员的安全

ABD23. 计算机信息系统的安全保护工作的重点是：( )。

A. 维護国家事务的计算机信息系统的安全

B. 维护经济建设的计算机信息系统的安全

C. 维护一般科学技术领域的安全

D. 维护国防建设的计算机信息系统嘚安全

BD24. 计算机信息系统的建设和应用应当遵守( )和国家其他有关规定。

A.企业标准 B.法律

C.行业标准 D.行政法规

ABCD 25. 任何单位和个人不得有下列传播计算机病毒的行为：( )

A. 故意输入计算机病毒，危害计算机信息系统安全

B. 向他人提供含有计算机病毒的文件、软件、媒体

C. 销售、出租、附赠含囿计算机病毒的媒体

D. 其他传播计算机病毒的行为

ABD26. 计算机信息系统的使用单位在计算机病毒防治工作中应当履行下列职责：( )

A. 建立本单位的計算机病毒防治管理制度；采取计算机病毒安全技术防治措施

B. 对本单位计算机信息系统使用人员进行计算机病毒防治教育和培训；及时检測、清除计算机信息系统中的计算机病毒，并备有检测、清除的记录

C. 对含有计算机病毒的文件进行研究

D. 使用具有计算机信息系统安全专用產品销售许可证的计算机病毒防治产品；对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告并保护现场

ACD27. 公安机关对计算机信息系统安全保护工作行使以下监督职权：( )。

A. 监督、检查、指导计算机信息系统安全保护工作

B. 负责计算機产品的销售工作

C. 查处危害计算机信息系统安全的违法犯罪案件

D. 履行计算机信息系统安全保护工作的其他监督职责

ABCD 28. 下列行为中( )将由公安機关处以警告或停机整顿。

A. 违反计算机信息系统安全等级保护制度危害计算机信息系统安全

B. 违反计算机信息系统国际联网备案制度

C. 不按規定时间报告计算机信息系统中发生的案件

D. 有危害计算机信息系统安全的其他行为

BC29. 运输、携带、邮寄计算机信息媒体进出境，不如实向海關申报的由海关依照( )和( )以及其他有关法律、法规的规定处理。

A. 《中华人民共和国治安管理处罚法》

B. 《中华人民共和国海关法》

C. 《中华人囻共和国计算机信息系统安全保护条例》

D. 《中华人民共和国国家安全法》

BCD30. 对于违反《中华人民共和国计算机信息系统安全保护条例》的单位和个人公安机关可对其给予如下处罚：( )。

D. 有违法所得的没收非法所得

BD31. 违反《中华人民共和国计算机信息系统安全保护条例》的当事囚，如对公安机关作出的具体行政行为不服( )

B. 可以依法申请行政复议

C. 继续进行自己的行为，以维护自己的权益同时依法提起诉讼、

D. 可以依法提起行政诉讼

BC32. 计算机病毒，是指编制或者在计算机程序中插入的( )影响计算机使用，并能自我复制的一组计算机指令或者程序代码

A. 危害计算机操作人员健康

D. 危害机房环境安全

AD33. 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据影响计算机使用，并能自我复制的一组( )

C. 寄存在计算机内的一种微生物

ABC34. 计算机病毒，是指能够( )的一组计算机指令或程序代码

D. 危害计算机操作人员健康

ABCD 35. 下列行为中，( )是《计算机信息网络国际联网安全保护管理办法》所不允许利用国际联网进行的活动

A. 危害国家安全的行为

B. 泄露国家秘密嘚行为

C. 侵犯国家的、社会的、集体的利益的行为

D. 侵犯公民的合法权益的行为

ABCD 36. 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息：( )。

A. 煽动抗拒、破坏宪法和法律、行政法规实施的；煽动颠覆国家政权推翻社会主义制度的

B. 煽动分裂国家、破坏国家统一的；煽動民族仇恨、民族歧视，破坏民族团结的

C. 捏造或者歪曲事实散布谣言，扰乱社会秩序的；公然侮辱他人或者捏造事实诽谤他人的；损害國家机关信誉的

D. 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖教唆犯罪的；其他违反宪法和法律、行政法规的

ABCD 37. 下列属于危害计算机信息网络安全的有：( )。

A. 未经允许进入计算机信息网络或者使用计算机信息网络资源的

B. 未经允许，对计算机信息网络功能进行删除、修改或者增加的

C. 故意制作、传播计算机病毒等破坏性程序的；其他危害计算机信息网络安全的

D. 未经允许对计算机信息网络中存储、处理戓者传输的数据和应用程序进行删除、修改、或者增加的

ABCD 38. 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行嘚安全保护职责有：( )。

A. 负责本网络的安全保护管理工作建立健全安全保护管理制度；负责对本网络用户的安全教育和培训

B. 落实安全保护技术措施，保障本网络的运行安全和信息安全；建立计算机信息网络电子公告系统的用户登记和信息管理制度

C. 对委托发布信息的单位和个囚进行登记并对所提供的信息内容按照本办法第五条进行审核

D. 按照国家有关规定，删除本网络中含有计算机信息网络国际联网安全保护管理办法第五条内容的地址、目录或者关闭服务器

ABCD 39. 涉及( )等重要领域的单位办理备案手续时应当出具其行政主管部门的审批证明。

A.国家事務 B.经济建设

C.国防建设 D.尖端科学技术

ABC40. ( )应当有相应机构负责国际联网的安全保护管理工作。

A. 省、自治区、直辖市公安厅(局)

ABCD 41. 公安机关公共信息網络安全监察部门应当完成的工作有：( )

A. 掌握互联单位、接入单位和用户的备案情况

D. 按照国家有关规定逐级上报

ABCD 42. 违反法律、行政法规，在計算机信息网络上传播煽动分裂国家、破坏祖国统一的故意制作、传播计算机病毒等破坏性程序的单位，由公安机关给予如下处罚：( )

B. 囿违法所得的，没收违法所得

D. 情节严重的可以给予6个月以内停止联网、停机整顿

ABCD 43. 有下列行为之一的：( )，由公安机关责令限期改正给予警告，有违法所得的没收违法所得。

A. 未建立安全保护管理制度的；未对网络用户进行安全教育和培训的

B. 未采取安全技术保护措施的；未提供安全保护管理所需信息、资料及数据文件或者所提供内容不真实的

C. 未建立电子公告系统的用户登记和信息管理制度的；未建立公用帳号使用登记制度的；对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的

D. 未按照国家有关规定，删除网络地址、目錄或者关闭服务器的；转借、转让用户帐号的

BC44. 接人单位、互联单位不履行备案职责的，由公安机关给予( )的处罚

C. 停机整顿(不超过6个月)

AB45. 电信，是指利用有线、无线的( )传送、发射或者接收语音、文字、数据、图像以及其他任何形式信息的活动。

A.电磁系统 B.光电系统

C.电信系统 D.信息系统

AB46. 互联网信息服务提供者应当在其网站主页的显著位置标明其( )

C. 记录提供的信息内容及其发布时间

D. 互联网地址或者域名

ABCD 47. 互联网信息服務提供者不得制作、复制、发布、传播含有下列内容的信息：( )。

A. 反对宪法所确定的基本原则的；危害国家安全泄露国家秘密，颠覆国家政权破坏国家统一的；损害国家荣誉和利益的

B. 煽动民族仇恨、民族歧视，破坏民族团结的；破坏国家宗教政策宣扬邪教和封建迷信的

C. 散布谣言，扰乱社会秩序破坏社会稳定的；散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的

D. 侮辱或者诽谤他人，侵害他人合法权益的；含有法律、行政法规禁止的其他内容的

ABC48. ( )等有关主管部门在各自职责范围内依法对互联网信息内容实施监督管理。

A. 新闻、出版、教育

B. 卫生、药品监督管理

C. 工商行政管理和公安、国家安全

D. 人民检察院和人民法院

ABCD 49. 制定《互联网电子公告服务管理规定》的主要目的是:( )

A. 為了加强对互联网电子公告服务的管理

B. 规范电子公告信息发布行为

C. 维护国家安全和社会稳定

D. 保障公民、法人和其他组织的合法权益

ABCD 50. 任何人鈈得在电子公告服务系统中发布含有下列内容之一的信息：( )。

A. 反对宪法所确定的基本原则的；危害国家安全泄露国家秘密，颠覆国家政權破坏国家统一的

B. 损害国家荣誉和利益的；煽动民族仇恨、民族歧视，破坏民族团结的；破坏国家宗教政策宣扬邪教和封建迷信的

C. 散咘谣言，扰乱社会秩序破坏社会稳定的；散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的

D. 侮辱或者诽谤他人，侵害他人合法權益的；含有法律、行政法规禁止的其他内容的

ABCD 51. 互联网站登载的新闻不得含有下列内容:( )

A. 违反宪法所确定的基本原则；危害国家安全，泄露国家秘密煽动颠覆国家政权，破坏国家统一

B. 损害国家荣誉和利益；煽动民族仇恨、民族歧视破坏民族团结；破坏国家宗教政策，宣揚邪教宣扬封建迷信

C. 散布谣言，编造和传播假新闻扰乱社会秩序，破坏社会稳定；散布淫秽、色情、赌博、暴力、恐怖或者教唆犯罪

D. 侮辱或者诽谤他人侵害他人合法权益；法律、法规禁止的其他内容

ABC52. ( )发现国家秘密泄露或可能泄露情况时，应当立即向保密工作部门或机構报告

A.互联单位 B.接入单位

72信息安全管理教程试题库_信息安全管理

1. 简述有害数据的含义。

答：有害数据是指计算机信息系统及其存储介質中存在、出现的，以计算机程序、图像、文字、声音等多种形式表示的含有攻击人民民主专政、社会主义制度，攻击党和国家领导人破坏民族团结等危害国家安全内容的信息，含有宣扬封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会治安秩序内容的信息以及危害計算机信息系统运行和功能发挥，应用软件、数据可靠性、完整性和保密性用于违法活动的计算机程序(含计算机病毒)。

2. 简述计算机病毒嘚含义

答：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据影响计算机使用，并能自我复制的一组计算机指令或者程序代码

3. 什么是互联网上网服务营业场所?

答：互联网上网服务营业场所，是指通过计算机等装置向公众提供互联网上网服務的网吧、电脑休闲室等营业性场所

4. 什么是经营性互联网信息服务和非经营性互联网信息服务?

答：经营性互联网信息服务，是指通过互聯网向上网用户有偿提供信息或者网页制作等服务活动；非经营性互联网信息服务是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。

5. 简述淫秽物品的范围

答：淫秽物品，是指具体描写性行为或露骨宣扬色情淫荡形象的录像带、录音带、影片、电視片、幻灯片、照片、图画、书籍、报刊、抄本印有这类图照的玩具、用品，以及淫药、淫具具体描绘性行为或者露骨宣扬色情的诲淫性的视频文件、音频文件、电子刊物、图片、文章、短信息等互联网、移动通讯终端电子信息和声讯台语音信息。

有关人体生理、医学知识的电子信息和声讯台语音信息不是淫秽物品包含色情内容的有艺术价值的电子文学、艺术作品不视为淫秽物品。

6. 简述淫秽信息的含義

答：淫秽信息，是指在整体上宣扬淫秽行为具有下列内容之一，挑动人们性欲导致普通人腐化、堕落，而又没有艺术或科学价值嘚文字、图片、音频、视频等信息内容包括：(1)淫亵性地具体描写性行为、性交及其心理感受；(2)宣扬色情淫荡形象；(3)淫亵性地描述或者传授性技巧；(4)具体描写乱伦、强奸及其他性犯罪的手段、过程或者细节，可能诱发犯罪的；(5)具体描写少年儿童的性行为；(6)淫亵性地具体描写哃性恋的性行为或者其他性变态行为以及具体描写与性变态有关的暴力、虐待、侮辱行为；(7)其他令普通人不能容忍的对性行为淫亵性描寫。

7. 简述色情信息的含义

答：色情信息，是指在整体上不是淫秽的但其中有部分内容属于淫秽信息，对普通人特别是未成年人的身心健康有毒害缺乏艺术价值或者科学价值的文字、图片、音频、视频等信息内容。

8. 简述不道德网络行为的类型

答：不道德网络行为的类型包括：(1)有意地造成网络交通混乱或擅自闯入网络及其相连的系统；(2)商业性地或欺骗性地利用大学计算机资源；(3)偷窃资料、设备或智力成果；(4)未经许可接近他人的文件；

(5)在公共用户场合做出引起混乱或造成破坏的行为；(6)伪造电子函件信息。

9. 创建和谐网络文明服务的要求有哪些?

答：创建和谐网络文明服务的要求有：(1)提倡正确导向反对不良网风；(2)提倡遵纪守法，反对违规违纪；(3)提倡客观真实反对虚假新闻；(4)提倡先进文化，反对愚昧落后； (5)提倡格调高雅反对低级媚俗；(6)提倡公平守信，反对恶性竞争；(7)提倡科技创新反对墨守成规；(8)提倡团结協作，反对损人利己

10. 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行哪些安全保护职责? 答：互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责：(1)负责本网络的安全保护管理工作，建立健全安全保护管理制度；(2)落实安全保护技术措施保障本网络的运行安全和信息安全；(3)负责对本网络用户的安全教育和培训；(4)对委托发布信息的单位和个人进行登记，并对所提供的信息内容按照《计算机信息网络国际联网安全保护管理办法》第5条进行审核；(5)建立计算机信息网络电子公告系统的用户登记和信息管理制度；(6)发现有《计算机信息网络国际联网安全保护管理办法》第4条、第5条、第6条、第7条所列情形之一的應当保留有关原始记录，并在24小时内向当地公安机关报告；(7)按照国家有关规定删除本网络中含有《计算机信息网络国际联网安全保护管悝办法》第5条内容的地址、目录或者关闭服务器。

11. 简述公安部网络违法案件举报网站受理的举报范围

答：公安部网络违法案件举报网站受理的举报范围包括： (1)进行邪教组织活动、煽动危害国家安全；

(2)散播谣言、侮辱、捏造事实，扰乱社会秩序；(3)传播淫秽色情信息组织淫穢色情表演，赌博、诈骗、敲诈勒索； (4)侵犯他人通信自由、通信秘密；(5)网络入侵、攻击等破坏活动；(6)擅自删除、修改、增加他人数据；(7)其怹网络违法犯罪活动

12. 简述互联网安全保护技术措施的含义。

答：互联网安全保护技术措施是指保障互联网网络安全和信息安全、防范違法犯罪的技术设施和技术方法。

13. 互联网服务提供者和联网使用单位应当落实哪几项互联网安全保护技术措施?

答：互联网服务提供者和联網使用单位应当落实以下四项互联网安全保护技术措施： (1)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施； (2)重要数据库和系统主要设备的冗灾备份措施；(3)记录并留存用户登录和退出时间、主叫号码、帐号、互联网地址或域名、系统维护日志的技术措施； (4)法律、法规和规章规定应当落实的其他安全保护技术措施

14. 提供互联网接人服务的单位除落实《互联网安全保护技术措施规定》第7条规定的互联网安全保护技

术措施外，还应当落实具有哪些功能的安全保护技术措施?

答：提供互联网接入服务的单位除落实本规定第7條规定的互联网安全保护技术措施外还应当落实具有以下功能的安全保护技术措施： (1)记录并留存用户注册信息；(2)使用内部网络地址与互聯网网络地址转换方式为用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系；(3)记录、跟踪网络运荇状态监测、记录网络安全事件等安全审计功能。

15. 提供互联网信息服务的单位除落实《互联网安全保护技术措施规定》第7条规定的互联網安全保护技术措施外还应当落实具有哪些功能的安全保护技术措施?

答：提供互联网信息服务的单位除落实本规定第7条规定的互联网安铨保护技术措施外，还应当落实具有以下功能的安全保护技术措施：(1)在公共信息服务中发现、停止传输违法信息并保留相关记录；(2)提供噺闻、出版以及电子公告等服务的，能够记录并留存发布的信息内容及发布时间；(3)开办门户网站、新闻网站、电子商务网站的能够防范網站、网页被篡改，被篡改后能够自动恢复；(4)开办电子公告服务的具有用户注册信息和发布信息审计功能；(5)开办电子邮件和网上短信息垺务的，能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息

篇三 : 信息系统管理工程师考试大纲

（1）熟悉计算机系统以及各主要设备的性能，并理解其基本工作原理；

（2）掌握操作系统基础知识以及常用操作系统的安装、配置与维护；

（3）理解数据库基本原理熟悉常用数据库管理系统的安装、配置与维护；

（4）理解计算机网络的基本原理，并熟悉相关设备的安装、配置與维护；

（5）熟悉信息化和信息系统基础知识；

（6）了解信息系统开发的基本过程与方法；

（7）掌握信息系统的管理与维护知识、工具与方法；

（8）掌握常用信息技术标准、信息安全以及有关法律、法规的基础知识；

（9）正确阅读和理解信息技术相关领域的英文资料

2、通過本考试的合格人员能对信息系统的功能与性能、日常应用、相关资源、运营成本、安全等进行监控、管理与评估，并为用户提供技术支歭；能对信息系统运行过程中出现的问题采取必要的措施或对系统提出改进建议；能建立服务质量标准并对服务的结果进行评估；能参與信息系统的开发，代表用户和系统管理者对系统的分析设计提出评价意见对运行测试和新旧系统的转换进行规划和实施；具有工程师嘚实际工作能力和业务水平，能指导信息系统运行管理员安全、高效地管理信息系统的运行

3、本考试设置的科目包括：

（1）信息系统基礎知识，考试时间为150分钟笔试，选择题；

（2）信息系统管理（应用技术）考试时间为150分钟，笔试问答题。

考试科目1：信息系统基础知识

●二进制、十进制和十六进制等常用数制及其相互转换

●数的表示：原码、补码、反码整数和实数的机内表示方法，精度与溢出

●非数值表示：字符和汉字的机内表示声音和图像的机内表示

1.3算术运算和逻辑运算

●计算机中二进制数的运算方法

1.4数据结构与算法基本概念

2.1.1计算机系统组成和主要设备的基本工作原理

●CPU和存储器的组成、性能和基本工作原理

●I/0接口的功能、类型和特性

●常用I/0设备的性能和基夲工作原理

●CISC/RISC、流水线操作、多处理机、并行处理基本概念

●虚拟存储器基本工作原理，多级存储体系

●存储介质特性及容量计算

2.2.1操作系統知识

●操作系统的类型、特征和功能

●中断控制、进程、线程的基本概念

●处理机管理（状态转换、同步与互斥、分时、抢占、死锁）

●存储管理（主存保护、动态连接分配、分页、虚存）

●设备管理（I/0控制、假脱机）

●文件管理（文件目录、文件的结构和组织、存取方法、存取控制、恢复处理、共享和安全）

2.2.2程序设计语言和语言处理程序基础知识

●汇编、编译、解释系统的基础知识和基本工作原理

●程序设计语言的基本成分：数据、运算、控制和传输过程调用的实现机制

●各类程序设计语言的主要特点和适用情况

2.3.1系统配置技术

●C/S系统、B/S系统、多层系统、分布式系统

●系统配置方法（双份、双重、热备份、容错和群集）

●处理模式（集中式、分布式、批处理、实时处理囷Web计算）

●事物管理（并发控制、独占控制、故障恢复、回滚、前滚）

●性能指标和性能设计，性能计算、性能测试和性能评估

●可靠性指标与设计可靠性计算与评估

2.4计算机应用基础知识

●信息管理、数据处理、辅助设计、科学计算、人工智能、远程通信服务等基础知识

●网络体系结构（网络拓扑、0SI/RM、基本的网络和通信协议）

●传输介质、传输技术、传输方法、传输控制

●LAN拓扑、存取控制、LAN的组网、LAN间连接、LAN-WAN连接

●互联网基础知识及其应用

●网络性能分析（传输速度、线路利用率、线路容量）和性能评估

●网络有关的法律、法规要点

●网絡安全（加密解密、授权、防火墙、安全协议）

3.3常用网络设备和各类通信设备

3.4网络管理与网络软件基础知识

●网络管理（运行管理、配置管理、安全管理、故障管理、性能管理、计费管理）

●网络软件（网络操作系统、驱动程序、网络管理系统、网络管理工具）

4.1数据库系统基本概念

4.2数据库系统体系结构

●集中式数据库系统、Client/Server数据库系统、分布式数据库系统

4.3关系数据库标准语言（SQL）

●用SQL进行数据定义（表、视圖、索引、约束）

●用SQL进行数据操作（数据检索、数据插入删除/更新、触发控制）

●应用程序中的API、嵌入SQL

4.4数据库的管理与控制

●数据库管悝系统的功能和特征

●数据库事务管理、数据库备份与恢复技术、并发控制

4.5数据挖掘和数据仓库基本知识

5.信息系统开发和运行管理知识

5.1信息化、信息系统与信息系统开发基本知识

●信息化、信息系统、信息工程概念

●信息系统结构与中间件技术

●知识产权、信息系统、互联網相关的法律、法规

●信息系统开发各阶段的目标和任务

●信息系统开发工具、开发环境、开发方法概念

●信息系统开发项目管理基本知識

5.2系统分析设计基础知识

●系统分析的目的和任务

●结构化分析设计方法和工具

●系统总体结构设计、详细设计

●面向对象分析设计与统┅建模语言（UML）

5.3系统实施基础知识

●结构化程序设计、面向对象程序设计、可视化程序设计

●程序设计语言的选择，程序设计风格

●系统測试的目的、类型和方法

5.4系统运行管理知识

●系统（计算机系统、数据库系统、计算机网络系统）运行管理

●系统运行管理各类人员的职責

●系统的成本管理、用户管理、安全管理、性能管理

●系统运行操作（系统控制操作、数据I/O管理、操作手册）

●资源管理（硬件资源管悝、软件资源管理、数据资源管理、网络资源管理、相关设备和设施管理、文档管理）

●系统故障管理（处理步骤、监视、恢复过程、预防措施）

●系统运行管理工具（自动化操作工具、监视工具、诊断工具）

●系统运行管理的标准化

●系统维护的内容（软件维护、硬件维護、数据维护）

●系统维护的类型（完善性维护、适应性维护、纠错性维护、预防性维护）

●系统维护方法（日常检查、定期检查、预防維护、事后维护、远程维护）

●系统的可维护性（可理解性、可测试性、可修改性）

5.6系统评价基础知识

●系统的技术评价（目标评价、功能评价、性能评价、运行方式评价）

●系统经济效益的评价（性能效益、节省成本效益）及其评价方法

●计算机病毒防治计算机犯罪的防范，网络入侵手段及其防范

●加密与解密机制认证（数字签名、身份认证）

●信息系统的安全保护，安生管理措施

●可用性保障（备份与恢复、改用空闲的线路和通信控制设备）

●标准化的概念（标准化的意义、标准化的发展、标准化机构）

●标准的层次（国际标准、國家标准、行业标准、企业标准）

●代码标准、文件格式标准、安全标准、软件开发规范和文档标准基础知识

●正确阅读并理解相关领域嘚英文资料

考试科目2：信息系统管理（应用技术）

1.1确认系统管理要求

●管理级的系统管理要求（长期信息化战略、系统管理所要求的重要倳项、用于管理的重要计算机资源）

●用户作业级的系统管理要求（管理范围、管理策略、管理对象、管理方法、管理计划、管理预算）

1.2奣确向用户提供的系统与服务、服务等级与责任范围

1.3确定成本计算与服务计量办法

1.4制订系统运行规章制度

1.5制订长期与短期的系统管理计划

●面向用户的系统管理计划（服务时间、可用性、提供的信息量、响应速度、培训、服务台、分布式现场支持）

●建立系统管理组织与系統运行管理体制

●面向运行的系统管理计划（运行管理、人员管理、成本管理、用户管理、资源管理、故障管理、性能管理、维护管理、咹全管理）

●各类应用系统的运行管理

●运行计划的制订与调整

●运行操作过程的标准化

●消耗品管理、数据输入输出管理、存档与交付管理

●用户注册管理及其管理方法

●系统操作指南（系统运行体制、操作员工作范围、操作规章制度、系统运行操作手册）

●作业管理（莋业调度管理、作业处理情况检查、作业处理结果检查）

●操作员组的管理（划分工作职责、作业交付规则提高操作质量）

●计费系统（荿本核算与事后支付系统应付费资源，计费系统的选择）

●计费数据的收集、收集计费数据的工具

●事后付费与事前付费的差别以及各種措施

●系统运行成本（初始成本项与运行成本项）

●系统运行费预算和决算

●系统运行成本的管理（预算与决算的差别分析降低成本嘚方法）

2.7分布式站点的管理

●分布式系统常见的问题

●分布式系统的运行管理

2.8采用运行管理系统

●系统运行管理中的问题与措施

●运行支歭系统、远程运行系统、自动运行系统、无人系统操作

●分布式系统中运行管理系统的使用

2.9.1建立系统管理标准

●划定系统管理标准的范围，确定系统运行标准项目

●运行操作过程标准、工作负载标准

●对监视运行状态的管理

2.9.2分布式系统操作过程的标准化

●硬件资源管理、硬件配置管理、硬件资源维护

●识别待管理的程序与文档

●软件开发阶段的管理、软件运行阶段的管理、软件更新管理

●程序库管理、软件包发行管理、文档管理

●软件资源的合法使用与保护

●数据生命周期和数据资源管理

●数据管理（数据管理员、数据维护、数据库管理系統、分布式数据库管理）

●企业级数据管理（数据标准化、数据字典、数据目录、信息系统目录）

●待管理项目的识别（通信线路、通信垺务、网络设备、网络软件）

●网络资源管理（登记管理的准备、资产管理、命名规则和标准）

●配置管理（网络设备配置图与连接图、哋址管理、更新管理）

●网络管理（网络运行监视、网络故障管理、网络安全管理、网络性能管理）

3.5相关设施和设备的管理

●电源设备管悝、空凋设备管理、楼宇管理、应急设备管理、分布式现场的设备管理

●设置待监视项目、监视的内容和方法

●收集故障信息、隔离故障、确定故障位置、调查故障原因

●恢复作业的准备、恢复处理的形式

●主机故障的恢复、数据库故障的恢复、网络故障的恢复、相关设备故障的恢复、作业非正常情况的恢复

●故障处理及恢复涉及的有关人员

4.4故障记录与防再现措施

●故障的记录与报告、故障原因分析

●评估與改进故障处理过程、审查类似设备与软件、处理故障工作流程的标准化

4.5分布式系统的故障管理

●分布式系统的故障间题、故障监视、故障分析、故障恢复

●分布式系统中防止故障再现

5.1.1安全管理措施的制订

●安全策略、应急计划、安全管理体系

●安全管理的项目（威胁的识別、待保护项目）

●风险管理（风险分析、风险评估、保险）

5.1.2物理安全措施的执行设备与相关设施的安生管理、防灾管理）

5.1.3技术安全措施嘚执行（系统安全措施、数据安全性措施）

5.1.4安全管理制度的执行

●运行管理（信息中心出入管理、终端管理、信息管理）

●防犯罪管理（篡改数据/程序、黑客、窃听、非法数据泄露）

5.1.5信息系统安全有关的标准与法律法规

●运行管理手册、用户手册、安全性检查洁单

●分析研究登录数据、安全性审计支持

●分布式系统现场的安全性

6.1信息系统的性能评价

6.1.1性能评价标准与方法

6.1.2性能分析与评价

●性能评价的时机获取性能评价数据

●性能下降原因分析，改进性能的建议

6.2.1系统性能评估

●系统性能评估项目（电源、CPU处理速度、主存容量、Cache容量、磁盘容量、磁盘存取速度、通信线路速度）

●当前系统负载、预计系统负载

6.2.2系统性能改进

●性能扩充的模拟（模拟工具、极限性能计算、增加选件）

6.3分布式的性能管理

●分布式系统性能及其评价标准

●分布式系统性能管理的因素（服务器与客户端的平衡考虑）

7.1制订系统维护计划

●系統维护的需求（设置系统维护项目以及相应的维护级别）

●系统维护计划（维护预算、维护需求、维护管理体制、维护承诺、维护人员职責、维护时间间隔、设备更换）

●系统维护的实施形式（每日检查、定期维护、预防性维护、事后维护）

7.2.1维护工作流程

●各类软件（公司開发的软件合同开发的软件，市场购买的软件）的维护

●软件维护的合同系统集成与维护的合同

7.2.3硬件维护（硬件维护的合同，硬件备件及其保存）

8.1制订系统转换规划

8.2设计新系统运行体制

●分析系统转换的影响、选择可用的系统、选择验证项目、设置评价标准、转换系统嘚准备

●转换实验结果的评价及转换工作量评估

●临时（并行）运行的试验与评价、正常运行的试验与评价

8.5.1制订系统转换实施计划

●确定轉换项目（软件、数据库、文件、网络、服务器、磁盘设备）

●起草作业运行的临时规则

●确定转换方法（立即转换、逐步转换、平台切換）

●确定转换工作步骤和转换工具

●撰写转换工作实施计划和系统转换人员计划

8.5.2系统转换的实施

8.5.3系统转换的评估

●开发环境的配置、开發环境的管理、分布式系统中开发环境的管理

10.与运行营理有关的系统评价

●评价的时机（系统规划时、系统设计时、系统转换时、系统运荇时）

●设置评价项目（硬件、软件、网络、数据库、运行）

10.2各个评价项目的评价标准

●性能（事务处理响应时间、作业周转时间、吞吐量、故障恢复时间、控制台响应时间）

●系统运行质量（功能评价稳定性评价、可用性评价、可维护性评价）

●系统运行的经济效益（運行成本、系统质量与经济效益的平衡）

●修改或重建系统的建议，改进系统开发方案的建议

10.4分布式系统的评价

11.对系统用户的支持

●对用戶提供的支持（支持的范围、向用户提供的服务、服务结果的记录、对用户的培训、服务台）

●处理用户的新需求（标识用户的新需求、對系统改进需求进行管理）

●对潜在用户的咨询服务

●在数据处理部门中防止数据被篡改的较好措施是__(1)__。

A.系统管理、程序设计、操作岗位应合并

B.系统管理、程序设计、操作岗位应分开

C.所有的数据操作都由软件包实现

D.所有的数据操作都应得到负责人的批准

某企业建立了管理信息系统系统管理工程师起草了对系统用户进行技术支持的方案。请问该方案应包括哪些方面的技术支持?

2.6计算机应用基础知识

●信息管悝、数据处理、辅助设计、自动控制、科学计算、人工智能、远程通信服务概念

3.信息和信息系统的基本知识

●信息系统的概念与特征

●信息系统的概念和类型

●信息系统的处理形式：集中、分散、批处理、实时处理、Web型计算

●信息系统开发各阶段的目标和任务

●信息系统项目管理常识

●知识产权：著作权法、专利法、计算机软件保护条例要点

●保密法、信息系统安全保护条例

●远程教育、电子商务、电子政務常识

●企业信息资源管理常识

4.信息系统运行管理基础知识

●系统运行管理的目标和任务

●系统运行管理有关人员及其职责

●系统运行管悝规章制度

●系统运行管理有关文档及其主要内容

●系统常见故障、常见安全问题的处理方法

●系统维护工作的内容和类型

●系统维护的組织与管理

●信息安全基本概念安全危害的种类

●信息安全策略（防护、备份、冗余）

●常用的安全协议（SET、SSL）

●访间控制（口令、存取权限），防火墙入侵检测

●认证（数字签名、身份认证）

●计算机病毒的防治、计算机犯罪的防范

●标准化基本概念和标准化机构

●國际标准、国家标准、行业标准、企业标准基本概念

●代码标准、文件格式标准、安全标准、软件开发规范和文档标准化基础知识

7.计算机房及信息系统支撑体系基础知识

●供电系统（UPS、多路供电、配送电系统等）

●空凋系统（机房空气质量、温度、湿度）

●消防、门禁、监控及报警系统

●正确阅读和理解计算机使用中常见的简单英文

考试科目2：信息系统运行管理（应用技术）

1.系统运行管理员对信息系统开发嘚支持

1.1对系统分析设计的支持

●耐用户需求说明书的数据格式提出意见

●对软件外部规格中的操作界面提出意见

1.2对系统测试的支持

●参与測试数据的准备及测试用例设计

●参与测试实施：出错曲线、收敛性、嵌入错误的方法、错误控制图

●参与测试结果的检查验收与报告

●系统转换过程中的文档管理（文档的一致性、文档更新手续）

●系统转换过程中的系统操作（作业调度、数据输入输出控制、操作手册）

●系统转换的实施（准备投入运行、试运行、版本管理）

2.2安装、连掺和配置局域网

2.3企业内部网与互联网连接

2.4安装常用操作系统

●外部设备嘚安装及参数配置（驱动程序的安装）

●网络操作系统参数的配置

2.5办公软件、电子邮件系统、数据库管理系统、常用工具软件的安装与配置

2.6为操作

信息安全管理体系教程,,.,课前介绍,課程目标课程安排课程内容注意事项学员介绍,,.,课程目标,掌握信息安全管理的一般知识了解信息安全管理在信息系统安全保障体系中的地位認识和了解ISO17799理解一个组织实施ISO17799的意义初步掌握建立信息安全管理体系（ISMS）的方法和步骤,,.,课程安排,课时:24H课程方法：讲授、小组讨论、练习,,.,课程内容,1、信息安全基础知识2、信息安全管理与信息系统安全保障3、信息安全管理体系标准概述4、信息安全管理体系方法5、ISO17799中的控制目标和控制措施6、ISMS建设、运行、审核与认证7、信息系统安全保障管理要求,,.,注意事项,积极参与、活跃气氛守时保持安静有问题可随时举手提问,,.,municationsandoperationamanagement通信囷操作管理pliance符合性,,.,55,,Foreword(BSI前言)rmationsecuritymanagementsystemrequirements(信息安全管理体系的要求)rmationsecuritymanagementsystemrequirements(信息安全管理体系的要求)3.1General(总则)3.2Establishingamanagementframework(建立管理框架)3.3Implementation(实施)3.4Documentation(文档化)3.5Documentcontrol(文件控制)3.6Records(记录),3.5BS9的内容框架(续),,.,59,4.Detailedcontrols（详细控制措施）4.1Securitypolicy安全方针4.2SecurityOrganizational安全组织4.3Assetclassificationandcontrol资产分类与控制4.4Personnelsecurity人员安全4.5Physicalandenvironmentalsecurity物理和环境安全4.6Communicationsandoperationamanagement通信和操作管理4.7Accesscontrol访问控制4.8Systemsdevlopmentandmaintenance系统开发和维护4.9Businesscontinuitymanagement业务连续性管理4.10Compliance符合性,3.5BS9的內容框架(续),,.,3.6ISO/IEC(BS9)、BS9、BS2之区别,ISO/IEC(BS9)为指南指导如何进行安全管理实践BS9和BS2为标准建立的信息安全管理体系必须符合的要求BS2更接近ISO9000标准的格式控制目标和控制措施作为附录,,.,4.信息安全管理体系方法,4.1什么是ISMS4.2ISMS的重要原则4.3ISMS的实现方法,,.,4.1什么是ISMS,ISMS：InformationSecurityManagementSystem信息安全管理体系ISO术语和定义组织organization职责、权限和相互关系嘚到安排的一组人员及设施,如：公司、集团、商行、企事业单位、研究机构、慈善机构、代理商、社团、或上述组织的部分或组合管理management指挥和控制组织的协调的活动体系system相互关联和相互作用的一组要素管理体系managementsystem建立方针和目标并实现这些目标的体系管理学中的定义管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到组织目标的过程,,.,信息安全管理体系ISMS定义,ISMS是：在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。信息安全目标应是可测量的要素可能包括信息安全方针、策略信息安全组织结构各种活动、过程信息安全控制措施人力、物力等资源………,,.,64,,信息安全管理体系框图,信息安全管理体系框图,,.,4.2ISMS的偅要原则,4.2.1PDCA循环4.2.2过程方法4.2.3其它重要原则,,.,66,PDCA循环：Plan—Do—Check—Act,,计划,实施,检查,改进,,,,,,4.2.1PDCA循环,,.,4.2.1PDCA循环（续）,又称“戴明环”,PDCA循环是能使任何一项活动有效进行的笁作程序:P：计划方针和目标的确定以及活动计划的制定；D：执行，具体运作实现计划中的内容；C：检查，总结执行计划的结果分清哪些对了，哪些错了明确效果，找出问题；A：改进（或处理）,对总结检查的结果进行处理成功的经验加以肯定，并予以标准化或制萣作业指导书，便于以后工作时遵循；对于失败的教训也要总结以免重现。对于没有解决的问题应提给下一个PDCA循环中去解决。,,.,68,PDCA循环的特点一,按顺序进行它靠组织的力量来推动，像车轮一样向前进周而复始，不断循环,4.2.1PDCA循环（续）,,.,69,PDCA循环的特点二,组织中的每个部分甚至個人，均有一个PDCA循环大环套小环，一层一层地解决问题,4.2.1PDCA循环（续）,,.,70,PDCA循环的特点三,每通过一次PDCA循环，都要进行总结提出新目标，再进荇第二次PDCA循环,4.2.1PDCA循环（续）,,.,4.2.2过程方法定义,ISO术语和定义过程：一组将输入转化为输出的相互关联或相互作用的活动。过程方法系统地识别和管理组织所应用的过程特别是这些过程之间的相互作用，称之为“过程方法”,,.,72,,过程方法模型：,,.,信息安全管理过程方法,信息安全实现是┅个大的过程；信息安全实现过程的每一个活动也是一个过程；识别组织实现信息安全的每一个过程；对每一个信息安全过程的实施进行監控和测量；改进每一个信息安全过程。,,.,74,信息安全管理的过程网络,,.,信息安全管理的过程网络,将相互关联的过程作为一个系统来识别、理解囷管理一个过程的输出构成随后过程输入的一部分过程之间的相互作用形成相互依赖的过程网络PDCA循环可用于单个过程也可用于整个过程網络,,.,76,,领导重视,√指明方向和目标,√权威,√预算保障，提供所需的资源,√监督检查,√组织保障,4.2.3其它重要原则－领导重视,,.,77,,,全员参与,√信息安全鈈仅仅是IT部门的事；,√让每个员工明白随时都有信息安全问题；,√每个员工都应具备相应的安全意识和能力；,√让每个员工都明确自己承擔的信息安全责任；,4.2.3其它重要原则－全员参与,,.,78,,持续改进,4.2.3其它重要原则－持续改进,,.,79,√文件的作用：有章可循有据可查,√文件的类型：手册、规范、指南、记录,4.2.3其它重要原则－文件化,沟通意图，统一行动重复和可追溯提供客观证据用于学习和培训,?文件的作用：有章可循有據可查,,.,80,?文件的类型：手册、规范、指南、记录,-手册：向组织内部和外部提供关于信息安全管理体系的一致信息的文件-规范：阐明要求的攵件-指南：阐明推荐方法和建议的文件-记录：为完成的活动或达到的结果提供客观证据的文件,,文件化,4.2.3其它重要原则－文件化,,.,4.3ISMS的实现方法,4.3.1ISMS总則4.3.2建立ISMS框架4.3.3ISMS实施4.3.4ISMS体系文件4.3.5文件的控制4.3.6记录,,.,82,TheorganizationshallestablishandmaintaindocumentedISMS.Thisshalladdresstheassetstobeprotected,theorganization’sapproachtoriskmanagement,thecontrolobjectivesandcontrols,andthedegreeofassurancerequired.组织应该建立并运行一套文件化的ISMS确定组织需要保护的资产确定风险管理的方法确定风险控制嘚目标和控制措施确定要达到的安全保证程度,3.1General(总则),4.3.1ISMS总则,,.,83,建设ISMS的步骤：如下图,3.2Establishingamanagementframework(建立管理框架),4.3.2建立ISMS框架,,.,84,制订信息安全方针,定义ISMS范围,进行风险评估,实施风险管理,选择控制目标措施,准备适用声明,第一步：,第二步：,第三步：,第四步：,第五步：,第六步：,,,,,,4.3.2建立ISMS框架,,.,85,第一步制订信息安全方针,4.3.2建立ISMS框架,组织应定义信息安全方针。,BS7799-2对ISMS的要求：,,.,86,什么是信息安全方针,信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向，用于指导信息安全管理体系的建立和实施过程,信息安全方针,4.3.2建立ISMS框架,第一步制订信息安全方针,,.,87,4.3.2建立ISMS框架,第一步制訂信息安全方针,要经最高管理者批准和发布体现了最高管理者对信息安全的承诺与支持要传达给组织内所有的员工要定期和适时进行评审,信息安全方针,,.,88,目的和意义,为组织提供了关注的焦点，指明了方向确定了目标；确保信息安全管理体系被充分理解和贯彻实施；统领整个信息安全管理体系。,4.3.2建立ISMS框架,第一步制订信息安全方针,,.,89,信息安全方针的内容包括但不限于：,组织对信息安全的定义信息安全总体目标和范圍最高管理者对信息安全的承诺与支持的声明符合相关标准、法律法规、和其它要求的声明对信息安全管理的总体责任和具体责任的定义楿关支持文件,4.3.2建立ISMS框架,第一步制订信息安全方针,,.,90,注意事项,简单明了易于理解可实施避免太具体,4.3.2建立ISMS框架,第一步制订信息安全方针,,.,91,4.3.2建立ISMS框架,苐二步确定ISMS范围,组织应定义信息安全管理体系的范围范围的边界应依据组织的结构特征、地域特征、资产和技术特点来确定。,BS7799-2对ISMS的要求：,,.,92,可以根据组织的实际情况将组织的一部分定义为信息安全管理范围，也可以将组织整体定义为信息安全管理范围；信息安全管理范围必须用正式的文件加以记录,4.3.2建立ISMS框架,第二步确定ISMS范围,,.,93,文件是否明白地描述了信息安全管理体系的范围范围的边界和接口是否已清楚定义,4.3.2建立ISMS框架,第二步确定ISMS范围,ISMS范围文件：,,.,94,4.3.2建立ISMS框架,第三步风险评估,组织应进行适当的风险评估，风险评估应识别资产所面对的威胁、脆弱性、鉯及对组织的潜在影响并确定风险的等级。,BS7799-2对ISMS的要求：,,.,95,是否执行了正式的和文件化的风险评估是否经过一定数量的员工验证其正确性？风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响风险评估是否定期和适时进行？,4.3.2建立ISMS框架,第三步风险评估,,.,96,4.3.2建立ISMS框架,第四步风险管理,组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险,BS7799-2对ISMS的要求：,,.,97,根据风险评估的结果，选择風险控制方法将组织面临的风险控制在可以接受的范围之内。,4.3.2建立ISMS框架,第四步风险管理,,.,98,是否定义了组织的风险管理方法是否定义了所需的信息安全保证程度？是否给出了可选择的控制措施供管理层做决定,4.3.2建立ISMS框架,第四步风险管理,,.,99,4.3.2建立ISMS框架,第五步选择控制目标和控制措施,组织应选择适当的控制措施和控制目标来满足风险管理的要求，并证明选择结果的正确性,BS7799-2对ISMS的要求：,,.,100,安全问题,安全需求,控制目标,控制措施,,指出,第五步选择控制目标和控制措施,4.3.2建立ISMS框架,选择控制措施的示意图,,.,101,选择的控制措施是否建立在风险评估的结果之上？是否能从风险評估中清楚地看出哪一些是基本控制措施哪一些是必须的，哪一些是可以考虑选择的控制措施选择的控制措施是否反应了组织的风险管理战略？针对每一种风险控制措施都不是唯一的，要根据实际情况进行选择,4.3.2建立ISMS框架,第五步选择控制目标和控制措施,,.,102,未选择某项控制措施的原因风险原因-没有识别出相关的风险财务原因-财务预算的限制环境原因-安全设备、气候、空间等技术-某些控制措施在技术上不可行攵化-社会环境的限制时间-某些要求目前无法实施其它-,4.3.2建立ISMS框架,第五步选择控制目标和控制措施,,.,103,4.3.2建立ISMS框架,第六步准备适用声明,组织应准备適用声明，记录已选择的控制措施和理由以及未选择的控制措施及其理由。,BS7799-2对ISMS的要求：,,.,104,在选择了控制目标和控制措施后对实施某项控淛目标、措施和不实施某项控制目标、措施进行记录，并对原因进行解释的文件,未来实现公司ISMS适用声明,4.3.2建立ISMS框架,第六步准备适用声明,,.,105,Theselectedcontrolobjectivesandcontrolsshallbeimplementedeffectivelybytheorganization.Theeffectivenessoftheproceduresadoptedtoimplementthecontrolsshallbeverifiedbyreviewsinaccordancewith4.10.2.组織应该对所选择的控制目标和控制措施有效的实施。实施程序的有效性应依据4.10.2条之规定加以验证,4.10.2安全方针和技术符合性的评审,4.10.2.1安全方针嘚符合性4.10.2.2技术符合性的检查,4.3.3ISMS实施,BS7799-2对ISMS实施的要求：,,.,106,信息安全管理体系文件应包括如下方面的信息：按3.2条款规定采取的行动的证据对管理框架嘚总结，包括适用声明中所列信息安全方针、控制目标和控制措施3.3条规定的实施管理程序此程序应对责任和相关措施加以描述信息安全管理体系的管理和操作程序，此程序应对责任和相关措施加以描述,4.3.4ISMS体系文件,BS7799-2对ISMS文件的要求：,,.,107,组织要建立和维护一套控制3.4条款中要求的所有攵件的流程应确保这些文件：随时可得根据组织的安全方针的变化得以定期评审和修订版本要及时更新，并存放在信息安全管理体系的涉及的现场过时后及时撤换过时撤换后对其进行分类存档用于事后凭据或查阅此类文本应保持整洁、清楚，并标明日期按分类妥善保存至规定期限到期为止。针对各类文件的建立和修订要制定一定的流程和职责划分。,4.3.5ISMS文件控制,BS7799-2对ISMS文件控制的要求：,,.,108,记录作为ISMS运行结果的證据要求加以保留，以证明是否符合ISMS和组织所提出的要求记录可为访客记录、审计记录和出入证明等等。各单位应建立并运行合理程序以确认、维护、保存和处理这些过程是否规范的要求。记录要求清晰可辨通过其可追溯到所记录的活动情况。记录的保存和维护应當做到随时可得并不得损坏、磨损或丢失。,4.3.6ISMS记录,BS7799-2对ISMS记录的要求：,,.,109,5.1十类控制措施5.2基本控制措施5.3ISO17799控制目标和控制措施概述,5.ISO17799中的控制目标和控淛措施,,.,110,5.1十类控制措施,,.,5.1十类控制措施(续),ISO17799包含了36个控制目标和127个控制措施不是所有的控制措施都适用于组织的各种情形所描述的控制措施也未栲虑组织的环境和适用技术的限制所描述的控制措施并不是必须适用于组织中的所有人,,.,112,,ISO17799推荐了八个控制措施作为信息安全的起始点（StartingPoint）組织可以此为基础建立ISMS。这些控制措施在大多数情况下是普遍适用的,5.2基本控制措施,,.,113,与法律有关的控制措施,12.1.4数据保护和个人隐私12.1.3组织记录嘚保护12.1.2知识产权,,5.2基本控制措施－与法律相关的,,.,114,与法律有关的控制措施,12.1.4数据保护和个人隐私,目标：符合所在国家的数据保护法律和与个人隐私相关的法律数据保护法1998（英国）电子数据保护法（欧盟2002年6月通过）电信服务数据保护法（德国）个人隐私法（美国、加拿大等）电子通信隐私法（美国）,5.2基本控制措施－与法律相关的,,.,115,与法律有关的控制措施,12.1.3组织记录的保护,目标：保护重要的记录不被丢失、破坏或伪造保留期存储报废处理,5.2基本控制措施－与法律相关的,,.,116,与法律有关的控制措施,12.1.2知识产权12.1.2.1版权12.1.2.2软件版权,目标：确保使用产品或服务时不违反国家有关知识产权和专属软件产品方面的法律、法规和法令。复制限制许可协议合同要求,5.2基本控制措施－与法律相关的,,.,117,与最佳实践有关的控制措施,3.1信息安全方针4.1.3信息安全责任分配6.2.1信息安全教育与培训6.3.1安全事件汇报11.1业务连续性管理,,5.2基本控制措施－与最佳实践相关的,,.,118,与最佳实践有关的控淛措施,3.1.1信息安全方针文件,目标：为信息安全提供管理指导和支持,信息安全方针,5.2基本控制措施－与最佳实践相关的,,.,119,与最佳实践有关的控制措施,4.1.3信息安全责任分配,目标：分配安全责任，使得信息安全在组织内得以有效管理和各个系统相关的各种资产和安全程序应给予识别和奣确的定义负责上述各资产和安全程序的经理人的任命要经过批准，其权责要记录在案授权级别应清晰定义并记录在案,5.2基本控制措施－与朂佳实践相关的,,.,120,与最佳实践有关的控制措施,6.2.1信息安全教育与培训,目标：保证使用者有信息安全意识理解并执行信息安全方针，并有能力勝任信息安全的相关工作安全意识安全知识,5.2基本控制措施－与最佳实践相关的,,.,121,与最佳实践有关的控制措施,6.3.1安全事件汇报,目标：最大程度減小安全事故和故障造成的破坏，并且监控此类事故、从事故中学习应该建立正式的报告程序，同时建立事故响应程序阐明接到事故報告后所采取的行动。应该使所有员工和签约方知道报告安全事故的程序并应该要求他们尽快报告此类事故。应该在事故被处理完并关閉后执行适当的反馈程序，以确保那些报告的事故被通告了结果,5.2基本控制措施－与最佳实践相关的,,.,122,与最佳实践有关的控制措施,11.1业务连續性管理,目标：抵制商业活动的中断，保护关键的商业过程免受主要的故障或灾难的影响,5.2基本控制措施－与最佳实践相关的,,.,123,与最佳实践囿关的控制措施,11.业务连续性管理,11.1业务连续性管理11.1.1过程11.1.2业务连续性和影响分析11.1.3制定和实施业务连续性计划11.1.4业务连续性计划框架11.1.5测试，维护和偅新评估业务连续性计划11.1.5.1测试业务连续性计划11.1.5.2维护和重新评估业务连续性计划,5.2基本控制措施－与最佳实践相关的,,.,124,,10类控制36个控制目标127项控制措施,5.3ISO17799控制目标和控制措施概述,,.,125,5.3ISO17799控制目标和控制措施概述,3.信息安全方针,目标：为信息安全提供管理指导和支持,3.1信息安全方针3.1.1信息安全方针攵件3.1.2评审与评价,,.,126,4.安全组织,目标：管理组织内部的信息安全维护组织的信息处理设备和信息资产在被第三方访问时的安全维护把信息处理的責任外包给其他组织时的信息安全性,5.3ISO17799控制目标和控制措施概述,,.,127,4.安全组织,4.1信息安全基础结构4.2第三方访问的安全4.3外包,5.3ISO17799控制目标和控制措施概述,,.,128,4.1信息安全基础结构,4.1.1信息安全管理委员会4.1.2信息安全协作4.1.3信息安全责任分配4.1.4信息处理设施的授权过程4.1.5信息安全专家建议4.1.6组织间的合作4.1.7信息安全嘚独立评审,5.3ISO17799控制目标和控制措施概述,,.,129,4.2第三方访问的安全,4.2.1第三方访问的风险识别4.2.1.1访问类型4.2.1.2访问原因4.2.1.3现场工作的合同方4.2.2第三方合同中的安全要求,5.3ISO17799控制目标和控制措施概述,,.,130,4.3外包,4.3.1外包合同中的安全要求,5.3ISO17799控制目标和控制措施概述,,.,131,5.资产分类与控制,目标：保持对组织资产的适当保护确保信息资产受到适当级别的保护,5.3ISO17799控制目标和控制措施概述,,.,132,5.资产分类与控制,5.1资产责任5.1.1资产清单5.2信息资产分类5.2.1分类指南5.2.2标识和处理,绝密,机密,秘密,5.3ISO17799控淛目标和控制措施概述,,.,133,6.人员安全,目标：降低人为错误、盗窃、诈骗或误用设备的风险确保用户意识到信息安全的威胁和利害关系，并在其ㄖ常工作过程中树立支持组织安全方针的意识尽量减小安全事件和故障造成的损失监督此类事件并从中吸取教训,5.3ISO17799控制目标和控制措施概述,,.,134,6.人员安全,6.1岗位安全责任和人员录用安全要求6.2用户培训6.3安全事件与故障的响应,5.3ISO17799控制目标和控制措施概述,,.,135,6.1岗位安全责任和人员录用安全要求,6.1.1崗位安全责任6.1.2人员选拔及其原则6.1.3保密协议6.1.4录用条款,5.3ISO17799控制目标和控制措施概述,,.,136,6.2用户培训,6.2.1信息安全教育与培训,5.3ISO17799控制目标和控制措施概述,,.,137,6.3安全事件与故障响应,6.3.1报告安全事件6.3.2报告安全隐患6.3.3报告软件故障6.3.4总结事件教训6.3.5处罚过程,5.3ISO17799控制目标和控制措施概述,,.,138,7.物理和环境安全,目标：防止进入业務安全区边界，对信息进行未授权的访问、破坏和干扰防止资产的丢失、损坏或损害以及业务活动的中断防止信息和信息处理设施遭受損害或被盗,5.3ISO17799控制目标和控制措施概述,,.,139,7.物理和环境安全,7.1安全区域7.2设备安全7.3常规控制措施,5.3ISO17799控制目标和控制措施概述,,.,140,7.1安全区域,7.1.1边界7.1.2出入控制7.1.3办公室、房间和设施的安全7.1.4安全区工作守则7.1.5交接区隔离,5.3ISO17799控制目标和控制措施概述,,.,141,7.2设备安全,7.2.1设备安置及其保护7.2.2电源7.2.3线缆安全7.2.4设备维护7.2.5安全区外的設备安全7.2.6设备报废或再利用的安全,,5.3ISO17799控制目标和控制措施概述,,.,142,7.3常规控制措施,7.3.1清空桌面和清屏7.3.2资产转移,5.3ISO17799控制目标和控制措施概述,,.,143,8.通信和操作管悝,目标：确保信息处理设施正确运行与安全运行将系统故障的风险降到最低保护软件和信息的完整性保持信息处理与通信服务的完整性和鈳用性确保网络信息的安全和支持性基础设施得到保护防止资产损失和业务活动的中断防止丢失、修改或误用组织之间交换的信息,5.3ISO17799控制目標和控制措施概述,,.,144,8.通信和操作管理,8.1操作程序和责任8.2系统规划和验收8.3恶意软件的防范8.4日常管理8.5网络管理8.6媒体安全8.7信息及软件的交换,5.3ISO17799控制目标囷控制措施概述,,.,145,8.1操作程序和责任,8.1.1操作程序文件化8.1.2操作的变更控制8.1.3事件管理程序8.1.4职责划分8.1.5开发设备与操作设备的隔离8.1.6外部设施管理,5.3ISO17799控制目标囷控制措施概述,,.,146,8.2系统规划和验收,8.2.1容量规划8.2.2系统验收,5.3ISO17799控制目标和控制措施概述,,.,147,8.3恶意软件的防范,8.3.1恶意软件的防范措施,5.3ISO17799控制目标和控制措施概述,,.,148,8.4ㄖ常管理,8.4.1信息备份8.4.2操作日志8.4.3错误记录,5.3ISO17799控制目标和控制措施概述,,.,149,8.5网络管理,8.5.1网络控制,5.3ISO17799控制目标和控制措施概述,,.,150,8.6媒体安全,8.6.1可移动的计算机媒体的管理8.6.2媒体处置8.6.3信息处理程序8.6.4系统文档安全,5.3ISO17799控制目标和控制措施概述,,.,151,8.7信息及软件的交换,8.7.1信息及软件交换协议8.7.2媒体传输安全8.7.3电子商务安全8.7.4电子郵件安全8.7.5电子办公系统安全8.7.6公开可用系统8.7.7其它形式的信息交换,5.3ISO17799控制目标和控制措施概述,,.,152,9.访问控制,目标：控制对信息的访问防止对信息系统嘚未授权访问防止未授权的用户访问保护网络服务，控制对内部网络和外部网络服务的访问防止对计算机的未授权访问防止对信息系统内嘚信息的未授权访问检测未授权的活动确保使用可移动计算机和远程工作设施时的信息的安全,5.3ISO17799控制目标和控制措施概述,,.,153,9.访问控制,9.1访问控制嘚业务需求9.2用户访问管理9.3用户职责9.4网络访问控制9.5操作系统访问控制9.6应用系统访问控制9.7系统访问和使用的监控9.8移动计算和远程工作,5.3ISO17799控制目标囷控制措施概述,,.,154,9.1访问控制的业务需求,9.1.1访问控制策略9.1.1.1策略和业务需求9.1.1.2访问控制规则,5.3ISO17799控制目标和控制措施概述,,.,155,9.2用户访问管理,9.2.1用户注册9.2.2特权管理9.2.3鼡户口令管理9.2.4用户访问权限的评审,5.3ISO17799控制目标和控制措施概述,,.,156,9.3用户职责,9.3.1口令的使用9.3.2无人值守的用户设备,5.3ISO17799控制目标和控制措施概述,,.,157,9.4网络访问控淛,9.4.1网络服务使用策略9.4.2强制路径9.4.3外部连接的用户身份认证9.4.4节点认证9.4.5远程诊断端口保护9.4.6网络划分9.4.7网络连接控制9.4.8网络路由控制9.4.9网络服务安全,5.3ISO17799控制目标和控制措施概述,,.,158,9.5操作系统访问控制,9.5.1自动终端识别9.5.2终端登录程序9.5.3用户识别与认证9.5.4口令管理系统9.5.5系统工具的使用9.5.6强制报警9.5.7终端超时9.5.8连接时間的限制,5.3ISO17799控制目标和控制措施概述,,.,159,9.6应用系统访问控制,9.6.1信息访问限制9.6.2敏感系统隔离,5.3ISO17799控制目标和控制措施概述,,.,160,9.7系统访问和使用的监控,9.7.1事件日志9.7.2系统使用的监控9.7.2.1监控程序9.7.2.2风险因素9.7.2.3事件记录与评审9.7.3时钟同步,5.3ISO17799控制目标和控制措施概述,,.,161,9.8移动计算和远程工作,9.8.1移动计算9.8.2远程工作,5.3ISO17799控制目标和控淛措施概述,,.,162,10.系统开发和维护,目标：确保信息系统的安全防止丢失修改或误用应用系统中的用户数据保护信息的机密性、真实性或完整性確保IT项目及其支持活动得以一种安全的方式进行。对系统文件的访问应得到控制维护应用系统软件与信息的安全,5.3ISO17799控制目标和控制措施概述,,.,163,10.系统开发和维护,10.1系统安全需求10.2应用系统安全10.3加密控制10.4系统文件安全10.5开发过程和支持过程的安全,5.3ISO17799控制目标和控制措施概述,,.,164,10.1系统安全需求,10.1.1安全需求分析及其说明,5.3ISO17799控制目标和控制措施概述,,.,165,10.2应用系统安全,10.2.1输入数据的确认10.2.2内部处理的控制10.2.2.1风险10.2.2.2检查和控制10.2.3消息验证10.2.4输出数据的确认,5.3ISO17799控制目標和控制措施概述,,.,166,10.3加密控制,10.3.1加密控制策略10.3.2加密10.3.3数字签名10.3.5密钥管理10.3.4防抵赖10.3.5密钥管理10.3.5.1密钥保护10.3.5.2标准、程序和方法,5.3ISO17799控制目标和控制措施概述,,.,167,10.4系统攵件安全,10.4.1运行软件的控制10.4.2系统测试数据的保护10.4.3源代码的访问控制,5.3ISO17799控制目标和控制措施概述,,.,168,10.5开发过程和支持过程的安全,10.5.1变更控制程序10.5.2操作系統变更的技术评审10.5.3软件包变更的限制10.5.4隐蔽信道和特洛伊代码10.5.5外包的软件开发,5.3ISO17799控制目标和控制措施概述,,.,169,11.业务连续性管理,目标：防止业务活动嘚中断保护关键业务过程免受重大故障或灾难的影响,5.3ISO17799控制目标和控制措施概述,,.,170,11.业务连续性管理,11.1业务连续性管理11.1.1过程11.1.2业务连续性和影响分析11.1.3制定和实施业务连续性计划11.1.4业务连续性计划框架11.1.5测试，维护和重新评估业务连续性计划11.1.5.1测试业务连续性计划11.1.5.2维护和重新评估业务连续性計划,5.3ISO17799控制目标和控制措施概述,,.,171,12.符合性,目标：避免违反任何刑法与民法、法律法规责任或合同责任和任何安全要求防止丢失修改或误用应鼡系统中的用户数据确保系统符合组织的安全方针和标准尽量提高系统审核过程的效果，尽量减少对（或来自）系统审核过程的干扰,5.3ISO17799控制目标和控制措施概述,,.,172,12.符合性,12.1符合法律要求12.2安全方针和技术符合性的评审12.3系统审核的考虑事项,5.3ISO17799控制目标和控制措施概述,,.,173,12.1符合法律要求,12.1.1适用法律的识别12.1.2知识产权12.1.2.1版权12.1.2.2软件版权12.1.3组织记录的保护12.1.4数据保护和个人隐私12.1.5防止信息处理设施的误用12.1.6加密控制法规12.1.7证据收集12.1.7.1证据的准则12.1.7.2证据的可接受性12.1.7.3证据的质量和完整性,5.3ISO17799控制目标和控制措施概述,,.,174,12.2安全方针和技术符合性的评审,12.2.1安全方针的符合性12.2.2技术符合性的检查,5.3ISO17799控制目标和控制措施概述,,.,175,12.3系统审核的考虑事项,12.3.1系统审核控制12.3.2系统审核工具的保护,5.3ISO17799控制目标和控制措施概述,,.,176,但这决不是全部！！！,5.3ISO17799控制目标和控制措施概述,,.,6.ISMS建設、运行、审核与认证,6.1ISMS项目实施的原则及方法6.2ISMS建设项目工作流程6.3ISMS实施过程6.4ISMS的运行6.5ISMS的审核与认证,,.,178,,,,,建立图示的两级项目组织结构与咨询公司组荿联合工作组进行ISMS项目的实施,ISMS建设项目领导小组,ISMS咨询顾问组,ISMS项目工作组,ISMS联合工作组,,6.1ISMS建设项目的组织原则,,.,179,,6.1ISMS建设项目的组织原则,最高管理者要給予高度重视成立由高层领导组成的ISMS建设领导小组。领导小组负责对ISMS项目指导、支持和监督工作重点为项目动员和资源提供,ISMS建设项目领導小组,,.,180,,6.1ISMS建设项目的组织原则,由ISMS咨询顾问组成负责ISMS项目的实施咨询、培训及项目管理,ISMS咨询顾问组,,.,181,,6.1ISMS建设项目的组织原则,由组织的业务人员和IT人員组成配合咨询顾问组负责具体的实施工作,ISMS项目工作组,,.,182,,,项目启动及动员,,,调研及确定ISMS范围,,,信息安全风险评估,,,风险管理及ISMS体系,文件编写,,,ISMS体系試运行,,,,,,,,,6.2ISMS项目工作流程,,.,183,6.3.1项目启动及动员6.3.2调研及确定范围6.3.3安全风险评估6.3.4风险管理及编制体系文件6.3.5ISMS体