国家信息安全战略研究与标准制定工作

专项项目管理办法（修订）

第一章总则

第一条为规范和加强国家信息安全战略研究与标准制定工作专项（简称专项）项目的管理，根据《公益性行业科研专项经费管理试行办法》、《国家标准制修订经费管理办法》、《国家标准化科研项目管理办法》的有关规定，结合专项工作特点，特制定本办法。

第二条专项项目管理工作坚持“目标明确、权责分明、公开公正、规范管理”的原则。

第三条专项项目是由中央财政拨款支持为主的、具有明确目标的国家信息安全战略研究和标准制订研究项目。

第二章组织管理体系

第四条国家标准化管理委员会和国务院信息化工作办

公室是全国信息安全标准化技术委员会（以下简称信安标委）和专项项目的主管单位，负责会同有关部门审批专项项目的立项、调整、撤销和项目经费划拨，组织项目结题验收。

第五条信安标委是我国信息安全技术专业领域内从事信息安全标准化工作的专业性技术机构，负责统一协调申报信息安全国家标准年度计划项目，并组织国家标准的送审、报批工作。信安标委主任办公会是信安标委的决策机构，主要负责研究确定国家信息安全战略研究与标准制定工作中有关政策、方向、任务等重大问题，负责审查批准专项项目立项建议。

第六条信安标委秘书处负责组织专项项目的征集、立项评审、项目进度和任务执行情况的检查，按期向主任委员报告项目研究进展和管理工作情况。秘书处办公室是秘书处的常设办事机构，负责项目资料汇总、项目文档管理等日常管理工作。

第七条信安标委秘书处办公室和工作组负责进行专项项目提案初审。

第三章项目申请

第八条专项项目按照统一规划的原则，非涉密项目实行公开征集制度，涉密项目由有关单位内部推荐。秘书处负责下发《国家信息安全战略研究与标准制定工作专项项目征集通知》和《国家信息安全战略研究与标准制定工作专项项目申请书》。

第九条申请单位和项目负责人应具备下列资质和条件：

1.在中华人民共和国境内注册，具有独立法人资格，

并对所申报的项目具备研究、开发及咨询能力；

2.具备结构合理、素质优良的研究开发队伍，具有相

关工作基础，内部管理机制完善；

3.项目负责人应具有高级技术职称，要有丰富的研究

开发、工程建设和标准化工作经验，并具备较强的

组织协调能力；

4.外资控股企业不得申请标准编制项目。

第十条申请单位和项目负责人应根据要求填写《国家信息安全战略研究与标准制定工作专项项目申请书》，并在规定时间内向工作组或秘书处办公室提出项目申请。

第四章立项评审程序

第十一条项目立项评审程序：

1.秘书处办公室对征集的项目提案汇总，并依据项目立

项形式性审查规则对项目进行形式性审查后，交由有

关工作组依据项目立项初审规则初审；

2.各工作组将通过初审的项目及相关材料提交到秘书

处办公室，由秘书处办公室分类汇总，并准备评审论

证材料；

3.秘书处组织专家组进行项目评审，必要时应请项目申

请单位进行答辩，出具书面评审意见，提出专项项目

计划建议，提交给主任办公会审查；

4.主任办公会研究确定立项项目建议，提交给项目主管

单位审查批准。

5.在立项评审工作中，信安标委应征求有关部门的意

见。

第五章立项形式性审查和初审规则

第十二条秘书处办公室进行形式化审查，有以下情况之一者将不能通过形式化审查：

1.申请者不具备要求的资质和条件；

2.申请手续不完备，申请书填写不符合规定；

3.不符合国家信息安全战略研究与标准制定工作专项

资助范围；

4.申请书未经所在单位审查，并签署具体审核意见；

5.申报日期超过当年规定时限的项目。

第十三条工作组负责进行项目初审，有以下情况之一者将不能通过初审：

1.明显缺乏立项依据，或研究方法、技术路线模糊不

清，无法进行评审;

2.不具备实施该项目的研究能力，或缺乏基本的研究

条件；

3.申请经费不合理，专项无力支持的项目；

4.申请者对已获资助项目，不执行专项项目管理的有

关规定，且未按要求整改的；对不按工作计划和要

求开展研究工作，导致未完成任务书规定内容的;

第六章评审组的组成

第十四条评审专家应当具备以下基本条件：

1.具有良好的职业道德，能够独立、客观、公正、实事

求是地提出评审意见；

2.熟悉被评审项目所属领域的最新技术和标准发展状

况，了解本领域标准化活动特点与规律；

3.从事被评审项目所属领域专业技术及标准化工作满

5年以上，具有高级以上专业技术职称或具有同等专

业技术水平。

第十五条项目评审专家组的组成，应充分考虑项目评审专家的专业互补性和评审工作的公正性。评审遵循回避原则，专家对可能影响公正性的项目评审要实行回避。项目评审组评审专家构成应科学合理。

第十六条项目评审专家应当以科学的态度，严格依照项目评审工作的有关程序和办法，客观、公正地对项目做出评价。应遵守保密纪律，不得泄露评审中接触到的国家秘密和有关评审情况，在评审期间专家的表现，将记录在专家信誉档案中。

若有意做出虚假结论，一经查实，将取消承担评审任务的资格。

第七章实施与管理

第十七条专项项目经项目主管部门审批后，项目主管部门或委托单位与项目承担单位签订专项项目任务书并下达经费。

第十八条项目承担单位应按照任务书中的规定开展项目研究工作和进行经费使用。

第十九条专项项目实行半年执行情况报告制度，项目承担单位应从立项获得批准开始，每半年编制项目执行情况和经费使用情况，上报信安标委秘书处办公室。

第二十条秘书处应定期检查项目的执行情况，对未能按期、按质完成实施进度的单位，秘书处可对项目的实施提出警告并及时报告信安标委主任委员和项目主管单位。

第二十一条任务书一经签订，项目承担单位不得自行调整。项目在实施过程中有下列情况之一的，由项目承担单位提出申请，报项目主管单位批准后，可根据具体情况进行调整或撤销：

1.产业、技术等情况发生重大变化；

2.项目的技术骨干发生重大变化；

3.出现不可抗拒的因素。

第二十二条需要撤销的项目，承担单位应当对已做的工作、经费使用、以购置设备仪器、阶段性成果、知识产权等情况

作出书面报告，报信安标委秘书处备案。

第二十三条因特殊原因不能如期完成的，项目承担单位应当提前以书面报告形式向信安标委申请延期验收，并提交详细的延期工作计划，信安标委报主管部门批准。

第二十四条项目承担单位一般不得更换项目负责人，特殊情况需更换项目负责人，应以书面形式向秘书处提出申请，经秘书处批准后，报秘书处办公室备案。

第二十五条标准研究制定过程要符合《国家标准管理办法》和《强制性国家标准管理办法》等标准化法律、法规的有关规定。

第二十六条涉及国家秘密的项目的立项评审、实施与管理、结题验收和文档管理等应按照国家相关保密规定办理。

第八章结题与验收

第二十七条项目验收应当以《国家信息安全战略研究与标准制定工作专项项目任务书》规定的内容、完成时间和确定的成果要求为依据。

第二十八条项目承担单位应在规定执行期结束后的3个月内，按要求提出项目验收申请并将验收材料报送信安标委秘书处。信安标委秘书处征求有关部门的意见，进行初审后，由项目主管部门或其委托单位组织有关专家对项目进行验收。

第二十九条项目承担单位应提供如下纸质验收材料3份，

电子文档1份：

1.验收申请表；

2.自评估报告（含经费决算）；

3.任务书规定应提交的研究成果；

4.其他相关文档和附件。

第三十条项目验收采取会议评议方式。验收专家组应认真审阅验收资料和听取项目组汇报，审查经费使用情况，在充分讨论的基础上，形成专家组验收意见。

第三十一条专项项目验收结论分为通过验收、需要复议或不通过验收三种情况

1.项目计划目标和任务已按照考核目标要求完成，经

费使用合理，通过验收；

2.具有下列情况之一，为需要复议：

1)未能很好地完成规定任务或达到项目预期目标；

2)由于提供文件资料不详，难以判断等导致验收意

见争议较大；

3)经费使用不符合有关规定。

3.被验收项目存在下列情况之一者，不予通过验收：

1)未能完成规定任务或达到项目预期目标；

2)超过任务书规定的执行年限半年以上未完成任务，

且事先未作出说明；

3)提供的验收文件、资料、数据不真实、不完整；

4)经费使用存在严重问题。

第三十二条需要复议和未通过的项目应分别在接到通知的半年内，针对存在的问题作出相应的改进后，再次提出验收申请，若仍未通过验收或未按要求进行验收的，取消项目承担单位和项目负责人两年内承担专项项目的资格，项目主管单位视情况收回部分或全部经费，并由信安标委备案。

第三十三条专项项目所产生的国家标准草案成果应纳入次年国家标准制、修订项目提案，原项目承担单位应填写《国家信息安全战略研究与标准制定工作专项项目申请书》，进入立项评审程序，优先考虑立项。

第三十四条专项项目重要成果，应在信安标委的指导下，积极探索国际标准立项的可能性。专项项目所产生的国际标准提案成果应按照我国参与国际标准化工作的相关要求开展国际标准立项工作。

第三十五条专项项目形成的成果和有关材料，应报送信安标委秘书处办公室按照档案管理的有关规定进行归档。

第九章项目经费使用和管理

第三十六条专项项目经费应纳入项目承担单位财务统一管理。专项经费应单独核算，保证专款专用，任何单位和个人不得以任何理由和方式截留、挤占和挪用。

第三十七条项目经费用于国家信息安全战略研究与标准

制修订相关研究工作。专项经费的使用范围包括：

1.国家信息安全战略研究和国家标准的前期论证及研

究

2.国外先进标准和相关资料的购置、翻译和跟踪研究；

3.国家标准的起草、征求意见、实验验证；

4.国家标准的技术审查；

5.标准的宣贯与培训；

6.与国家标准制修订和研究直接相关的其它工作；

第三十八条项目经费支出包括资料费、会议费、差旅费、劳务费、设备与实验验证费、专家咨询费和其他费用等七类。其中，劳务费不得超过项目经费的20%；其他费用中的管理费不得超过项目经费的5%。具体经费使用按《国家标准制修订经费管理办法》等有关规定执行。

第三十九条项目执行过程中涉及国家采购的项目，按照政府有关规定执行。

第四十条项目被撤销或中止的，项目主管单位视情况收回部分或全部经费，并由信安标委备案。

第四十一条项目经费在项目任务书签订后，一次性支付。

第四十二条项目承担单位应当对项目进展情况和资金使用情况进行自查，发现有违反财经纪律、财务制度和本办法的应当及时予以纠正。

第四十三条项目主管部门直接或委托有关机构对专项项

目经费的使用和管理情况进行定期的监督、检查，对违反经费使用规定、不按照项目预算执行等项目主管部门有权终止任务并追回已拨经费。

第十章知识产权与资产管理

第四十四条项目研究形成的知识产权的归属、使用，按国家相关知识产权法律、法规执行，保障国家利益和社会公共利益，保护项目负责人、项目承担单位和项目研究人员的合法权益。

第四十五条项目形成的专利权的归属与实施按《中华人民共和国专利法》和科技部《关于加强与科技有关的知识产权保护和管理工作的若干意见》的有关规定执行。

第四十六条研究项目形成的论文及专著应标注"国家信息安全战略研究和标准制定工作专项经费资助"字样。著作权的归属和使用按《中华人民共和国著作权法》的规定执行。

第四十七条研究项目形成的具有实用性的技术及项目研究过程中形成的无形资产，由项目承担单位负责管理和使用。研究成果转化及无形资产使用产生的经济效益按《中华人民共和国促进科技成果转化法》和国家有关财务制度的规定执行。

第四十八条用项目经费购置或试制的固定资产属于国有资产，必须纳入项目承担单位的固定资产进行核算与管理。资产的管理按国家有关规定执行，防止国有资产流失。

第四十九条项目结题后，研究过程中购置或试制形成的固

定资产，一般由项目承担单位代表国家负责管理和使用（《国家信息安全战略研究与标准制定工作专项任务书》中另有约定的除外），其维护运转费用由承担单位承担。特殊情况下，国家有权调配这些固定资产用于其他研究课题。

第十一章附则

第五十条本管理办法由信安标委秘书处负责解释。未尽事宜按国家相关规定和信安标委有关规定执行。

第五十一条本管理办法自发布之日起生效。

全国信息安全标准化技术委员会

2007年5月1日

信息安全策略总纲

信息安全策略总纲 1.1.适用范围及依据第一条XXXXXX信息系统包含非生产控制系统，非生产控制系统内包含生产管理系统、网站系统、管理信息系统三大类。本制度适用于XXXXXX所有信息系统。第二条本制度根据《GB/T20269-2006 信息安全技术信息系统安全管理要求》、《GB/T20282-2006 信息安全技术信息系统安全工程管理要求》、《GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求》等有关法律、标准、政策，管理规范而制定。 1.2.信息安全工作总体方针第一条XXXXXX信息系统的安全保护管理工作总体方针是“保持适度安全；管理与技术并重；全方位实施，全员参与；分权制衡，最小特权；尽量采用成熟的技术” 。“预防为主”是信息安全保护管理工作的基本方针。第二条《总纲》规定了XXXXXX信息系统安全管理的体系、策略和具体制度，为信息化安全管理工作提供监督依据。第三条XXXXXX信息系统安全管理体系是由信息安全策略总纲、安全管理制度、安全技术标准以及安全工作流程和操作规程组成的。（一）《总纲》是信息安全各个方面所应遵守的原则方法和指导性策略文件。

（二）《总纲》是制定XXXXXX信息安全管理制度和规定的依据（三）信息安全管理制度和规范规定了信息安全管理活动中各项管理内容。（四）信息安全技术标准和规范是根据《总纲》中对信息安全方面相关的规定所引出的，其规定了信息安全中的各项技术要求。（五）信息安全工作流程和操作规程详细规定了主要应用和事件处理的流程、步骤以及相关注意事项，并且作为具体工作时的具体依照。 1.3.系统总体安全策略第一条XXXXXX信息系统总体安全保护策略是：系统基础资源和信息资源的价值大小、用户访问权限的大小、系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律，其分级、分区域、分类和分阶段是做好信息安全保护的前提。第二条XXXXXX信息系统的安全保护策略由XXXXXX信息技术科负责制定与更新。第三条信息技术科根据信息系统的保护等级、安全保护需求和安全目标，结合XXXXXX自身的实际情况，依据国家、监管部门有关安全法规和标准，授权制定信息系统的安全保护实施细则和具体管理办法；并根据环境、系统和威胁变化情况，及时调整和制定新的实施细则和具体管理办法。

现行国家信息安全技术标准

现行国家信息安全技术标准序号标准号 Standard No. 中文标准名称 Standard Title in Chinese 英文标准名称 Standard Title in English 备注 Remark 1GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分：算法描述Information security technology—ZUC stream cipher algorithm— Part 1: Algorithm description 2GB/T 33134-2016信息安全技术公共域名服务系统安全要求Information security technology—Security requirement of public DNS service system 3GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求Information security technology—Specification for IP storage network security based on IPSec 4GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems 5GB/T 33132-2016信息安全技术信息安全风险处理实施指南Information security technology—Guide of implementation for information security risk treatment 6GB/T 32905-2016信息安全技术 SM3密码杂凑算法Information security techniques—SM3 crytographic hash algorithm 国标委计划[2006]81号 7GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求Information security techniques—Security technical requirements for IC card chip with CPU 8GB/T 32907-2016信息安全技术 SM4分组密码算法Information security technology—SM4 block cipher algorthm 国标委计划[2006]81号 9GB/T 32918.1-2016信息安全技术 SM2椭圆曲线公钥密码算法第1部分：总则Information security technology—Public key cryptographic algorithm SM2 based on elliptic curves—Part 1: General 国标委计划 [2006]81号

国家标准信息安全管理实用规则

国家标准《信息安全技术安全漏洞分类规范》（征求意见稿）编制说明一、工作简况 1.1任务来源《信息安全技术安全漏洞分类规范》是国家标准化管理委员会2010年下达的信息安全国家标准制定项目，国标计划号为：20100385-T-469。由国家信息技术安全研究中心主要负责进行规范的起草，中国信息安全测评中心、中国科学院研究生院国家计算机网络入侵防范中心、国家计算机网络应急技术处理协调中心等单位参与起草。 1.2主要工作过程 1、2010年6月，组织参与本规范编写的相关单位召开项目启动会，成立规范编制小组，确立各自分工，进行初步设计，并听取各协作单位的相关意见。 2、2010年7月，根据任务书的要求，规范编制小组开展考察调研和资料搜集工作，按照需求分析整理出安全漏洞分类规范的框架结构。 3、2011年4月，按照制定的框架结构，确定分类的原则和方法，形成《安全漏洞分类规范》草稿V1.0。 4、2011年7月，课题组在专家指导下，积极采纳国外相关漏洞分类的原则，形成《安全漏洞分类规范》草稿V1.1。 5、2011年8月26日，规范编制小组在积极采纳专家意见的基础上，对规范内容进行修改，形成《安全漏洞分类规范》草稿V1.2。 6、2013年8月28日，安标委秘书处组织了该标准的专家评审，编制小组听取了专家意见，对标准文本的内容进行修订、简化，形成《安全漏洞分类规范》草稿V1.3。 7、2014年11月，安标委WG5工作组对《安全漏洞分类规范》标准草案稿进行了投票表决，通过了本标准。投票表决中相关单位和专家提出了一些修改建议和意见，标准编制组对意见进行了逐条分析和理解，对标准文本进行了完善，形成了《安全漏洞分类规范》征求意见稿及相关文件。二、编制原则和主要内容 2.1 编制原则

网络通信安全管理员含信息安全国家职业标准.doc

网络通信安全管理员（含信息安全）国家职业标准（自2009年12月31日起施行） 1．职业概况 1.1 职业名称：网络通信安全管理员。 1.2 职业定义：利用计算机技术、网络技术、通信技术等现代信息技术从事互联网信息安全技术管理的人员。 1.3 职业等级：本职业共设四个等级，分别为：中级（国家职业资格四级）、高级（国家职业资格三级）、技师（国家职业资格二级）、高级技师（国家职业资格一级）。 1.4 职业环境：室内，常温。 1.5 职业能力特征：具有一定的组织、理解、判断能力，具有较强的学习能力、分析解决问题的能力和沟通能力。 1.6 基本文化程度：大专毕业（或同等学历，要求电子或计算机信息类专业毕业）。 1.7 培训要求 1.7.1 培训期限：全日制职业学校教育，根据其培养目标和教学计划确定。晋级培训期限：中级不少于200标准学时，高级不少于180标准学时，技师不少于150标准学时，高级技术不少于120标准学时。 1.7.2 培训教师：培训教师应当具备一定的通信网络知识、网络信息安全知识、计算机应用知识和软件工程相关知识，具有良好的语言表达能力和知识传授能力。培训中级和高级的教师应是获得本职业技师资格证书或具有相关专业中级及以上专业技术职务任职资格者；培训技师和高级技师的教师应是获得本职业高级技师资格证书或具有相关专业高级专业技术任职资格者。 1.7.3 培训场地设备：应有可容纳20人以上学员的教室，有必要的教学设备、教学模型和相关的教学硬件、软件，有必要的实验设备和实验环境。 1.8 鉴定要求 1.8.1 适应对象：从事或准备从事本职业工作的人员。

1.8.2 申报条件 ——国家职业资格四级（中级）（具备以下条件之一者）（1）大学专科以上毕业生在本职业工作满一年或经本职业中级正规培训达规定标准学时数，并取得结业证书；（2）取得技工学校或经劳动保障行政部门审核认定的以中级技能为培养目标的高等职业学校本职业（专业）毕业生。 ——国家职业资格三级（高级）（具备以下条件之一者）（1）大学本科以上毕业生在本职业工作满一年或经本职业高级正规培训达规定标准学时数，并取得结业证书；（2）取得高级技工学校或经劳动保障行政部门审核认定的以高级技能为培养目标的高等职业学校本职业（专业）毕业生。（3）取得本职业中级职业资格证书后，连续从事本职业工作4年以上；（4）取得本职业中级资格证书的高级技工学校本职业（专业）毕业生，连续从事本职业工作3年以上；（5）取得本职业中级资格证书的大学本科本职业（专业）毕业生，连续从事本职业工作2年以上。 ——国家职业资格二级（技师）（具备以下条件之一者）（1）取得本职业高级资格证书后，连续从事本职业工作4年以上，经本职业技师正规培训达规定标准学时数，并取得结业证书；（2）取得本职业高级职业资格证书后，连续从事本职业工作6年以上；（3）取得本职业高级资格证书的高级技工学校本职业（专业）毕业生，连续从事本职业工作5年以上；（4）取得本职业高级资格证书的大学本科本职业（专业）毕业生，连续从事本职业工作4年以上。 ——国家职业资格一级（高级技师）（具备以下条件之一者）（1）取得本职业技师职业资格证书后，连续从事本职业工作3年以上，经本职业高级技师正规培训达规定标准学时数，并取得结业证书；

公司信息安全策略管理制度 Microsoft Office Word 文档

公司信息安全策略管理制度（试行）第一章总则第一条为提高公司信息安全管理水平，建立、健全信息安全管理体系，贯彻执行GB/T 22080-2008《信息安全管理体系·要求》(idt ISO/IEC27001:2005)，保障公司信息系统业务的正常进行，防止由于信息安全事件导致的公司损失，确保全体员工理解信息安全的重要性，执行信息安全管理体系文件的要求，特制定本制度。第二条本制度是公司信息安全管理的纲领性文件，用于贯彻企业的信息安全管理方针、目标，是所有从事、涉及信息安全相关活动人员的行为准则，是向客户、向社会、向认证机构提供本公司信息安全管理保证能力的依据。第三条运营改善部在得到两化融合管理委员会批准的前提下负责本制度的更改和建立，运营改善部定期对其适用性、持续性、有效性进行评审，汇总更改需求和建议并上报。第四条本制度适用于公司所属各单位。第二章职责分工第五条公司信息安全管理工作由两化融合管理委员会指导和批准，委员会下设信息安全工作推进组，并设立信息安全顾问团。

第六条信息安全工作推进组由运营改善部信息安全专业人员和公司各部门主管任命的信息化专业员组成。第七条信息安全顾问组由提供服务的外部安全产品公司或外聘的信息安全顾问组成。第八条信息安全工作推进组职责 (一)建立信息安全管理方针、目标和策略； (二)评估信息安全顾问组意见的可用性； (三)确定公司信息资产风险准则和信息安全事件处置措施； (四)组织并确保全公司信息安全教育活动的落实； (五)监控公司的信息安全情况，监督检查信息安全活动的落实情况，并定期向两化融合管理委员会汇报； (六)向两化融管理委员会提出实现信息安全目标和符合信息安全方针的改进需要，推行各项信息安全策略要求和控制措施； (七)负责公司信息安全内部、外部评估的具体安排； (八)推进组中各部门安全专员负责对本部门信息资产进行汇总上报，负责本部门信息安全事件的应急处理，收集、上报与本部门相关的信息安全管理方面的要求，同时负责在本部门内传达、落实公司信息安全管理策略的要求。第九条信息安全顾问组职责 (一)提供信息安全相关产品的使用帮助和更新；

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间：2018-01-28浏览：578 按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容： 6.1 个人信息保存时间最小化对个人信息控制者的要求包括： a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。 6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括： a) 传输和存储个人敏感信息时，应采用加密等安全措施; b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应： a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容： 9.1 安全事件应急处置和报告对个人信息控制者的要求包括： a) 应制定个人信息安全事件应急预案; b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程; c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置： 1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门; 2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患; 3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或

GBT 35273-2017-信息安全技术-个人信息安全规范

《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容： 6.1 个人信息保存时间最小化对个人信息控制者的要求包括： a) 个人信息保存期限应为实现目的所必需的最短时间； b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。 6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括： a) 传输和存储个人敏感信息时，应采用加密等安全措施； b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应： a) 及时停止继续收集个人信息的活动； b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体； c) 对其所持有的个人信息进行删除或匿名化处理。《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括： a) 应制定个人信息安全事件应急预案； b) 应定期（至少每年一次）组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程； c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置： 1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门； 2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患； 3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式； 4) 按照本标准9.2的要求实施安全事件的告知。 d) 根据相关法律法规变化情况，以及事件处置情况，及时更新应急预案。 9.2 安全事件告知对个人信息控制者的要求包括： a) 应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时，应采取合理、有效的方式发布与公众有关的警示信息； b) 告知内容应包括但不限于：

1-信息安全工作总体方针和安全策略

信息安全工作总体方针和安全策略

第一章总则第一条为加强和规范技术部及各部门信息系统安全工作，提高技术部信息系统整体安全防护水平，实现信息安全的可控、能控、在控，依据国家有关法律、法规的要求，制定本文档。第二条本文档的目的是为技术部信息系统安全管理提供一个总体的策略性架构文件。该文件将指导技术部信息系统的安全管理体系的建立。安全管理体系的建立是为技术部信息系统的安全管理工作提供参照，以实现技术部统一的安全策略管理，提高整体的网络与信息安全水平，确保安全控制措施落实到位，保障网络通信畅通和业务系统的正常运营。第二章适用范围第三条本文档适用于技术部信息系统资产和信息技术人员的安全管理和指导，适用于指导公司信息系统安全策略的制定、安全方案的规划和安全建设的实施，适用于公司安全管理体系中安全管理措施的选择。第三章引用标准及参考文件第四条本文档的编制参照了以下国家、中心的标准和文件一《中华人民共和国计算机信息系统安全保护条例》二《关于信息安全等级保护建设的实施指导意见》信息运安〔2009〕

27 号三《信息安全技术信息系统安全等级保护基本要求》 GB/T 22239-2008 四《信息安全技术信息系统安全管理要求》 GB/T 20269—2006 五《信息系统等级保护安全建设技术方案设计要求》报批稿六《关于开展信息安全等级保护安全建设整改工作的指导意见》公信安[2009]1429号第四章总体方针第五条企业信息服务平台系统安全坚持“安全第一、预防为主，管理和技术并重，综合防范”的总体方针，实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略，执行信息系统安全等级保护制度。第五章总体目标第六条信息系统安全总体目标是确保企业信息服务平台系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃，抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丢失和失密，防止有害信息在网上传播，防止中心对外服务中断和由此造成的系统运行事故。第六章信息安全工作的总体原则

国内外信息安全标准

国内外信息安全标准姓名杨直霖信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技术依据。因此，世界各国越来越重视信息安全产品认证标准的制修订工作。国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准，用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范，包括欧洲ITSEC、美国TCSEC（桔皮书）、加拿大CTCPEC 以及美国的联邦准则(Federal Criteria)等，由6个国家（美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰）共同提出制定。国际上，很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》，目前，最新版本ISO/IEC15408-2008采用了。用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法，并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。国内信息安全标准:为了加强信息安全标准化工作的组织协调力度，国家标准化管理委员会批准成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为TC260)。在信安标委会的协调与管理下，我国已经制修订了几十个信息安全标准，为信息安全产品检测认证提供了技术基础。 2001年，我国将ISO/IEC15408-1999转化为国家推荐性标准GB/T18336-2001 (CC 《信息技术安全技术信息技术安全性评估准则》。目前，国内最新版本GB/T18336-2008采用了 IS0/IEC15408-2005．即CC 。我国信息安全标准借鉴了GB/T 18336结构框架和技术要求，包括安全功能要求、安全保证要求和安全保证级的定义方法，以及标准的框架结构等。例如，GB/T20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》借用了PP的结构和内容要求，包括安全环境、安全目的和安全要求（安全功能要求和安全保证要求）等内容，以及CC标准预先定义的安全保证级别(EAL4)。同时，结合国内信息安全产品产业的实际情况，我国信息安全标准还规定了产品功能要求和性能要求，以及产品的测试方法。有些标准描述产品分级要求时，还考虑了产品功能要求与性能要求方面的影响因素。国外信息安全现状信息化发展比较好的发达国家，特别是美国，非常重视国家信息安全的管理工作。美、俄、日等国家都已经或正在制订自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展。美国信息安全管理的最高权力机构是美国国土安全局，分担信息安全管理和执行的机构有美国国家安全局、美国联邦调查局、美国国防部等，主要是根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。2000年初，美国出台了电脑空间安全计划，旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月，日本信息技术战略本部及信息安全

国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;

b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。

信息安全整体架构设计

信息安全整体架构设计 1.信息安全目标信息安全涉及到信息的性(Confidentiality)、完整性(Integrity)、可用性(Availability)。基于以上的需求分析，我们认为网络系统可以实现以下安全目标：?保护网络系统的可用性 ?保护网络系统服务的连续性 ?防网络资源的非法访问及非授权访问 ?防入侵者的恶意攻击与破坏 ?保护信息通过网上传输过程中的性、完整性 ?防病毒的侵害 ?实现网络的安全管理 2.信息安全保障体系 2.1信息安全保障体系基本框架通过人、管理和技术手段三大要素，构成动态的信息与网络安全保障体系框架WPDRR模型，实现系统的安全保障。WPDRR是指：预警（Warning）、保

护（Protection）、检测（Detection）、反应（Reaction）、恢复（Recovery），五个环节具有时间关系和动态闭环反馈关系。安全保障是综合的、相互关联的，不仅仅是技术问题，而是人、管理和技术三大要素的结合。支持系统安全的技术也不是单一的技术，它包括多个方面的容。在整体的安全策略的控制和指导下，综合运用防护工具（如：防火墙、VPN加密等手段），利用检测工具（如：安全评估、入侵检测等系统）了解和评估系统的安全状态，通过适当的反应将系统调整到“最高安全”和“最低风险”的状态，并通过备份容错手段来保证系统在受到破坏后的迅速恢复，通过监控系统来实现对非法网络使用的追查。信息安全体系基本框架示意图预警：利用远程安全评估系统提供的模拟攻击技术来检查系统存在的、可能被利用的脆弱环节，收集和测试网络与信息的安全风险所在，并以直观的方式进行报告，提供解决方案的建议，在经过分析后，了解网络的风险变化趋势和严重风险点，从而有效降低网络的总体风险，保护关键业务和数据。保护：保护通常是通过采用成熟的信息安全技术及方法来实现网络与信息的

《信息安全师》国家职业标准

《信息安全师》国家职业标准一、职业概况 1.1 职业名称信息安全师。 1.2 职业定义信息安全师是在各级行政、企事业单位、信息中心、互联网接入单位中从事信息安全或者计算机网络安全管理工作的人员。 1.3 职业等级本职业从低到高分为三个等级：助理信息安全师（国家职业资格三级）；信息安全师（国家职业资格二级）；高级信息安全师（国家职业资格一级）。助理信息安全师：能够熟练运用基本技能和专门技能完成较为复杂的信息安全保障工作，能够独立处理和维护信息安全保障工作中出现的常见问题。信息安全师：能够熟练运用专门技能和特殊技能完成复杂的、非常规的信息安全保障工作，掌握信息安全的关键技术技能，能够独立处理和解决信息安全技术难题，能指导和培训助理信息安全师，具有信息系统安全解决方案能力和一定的技术管理能力。高级信息安全师：能组织开展技术改造、技术革新活动，能组织开展系统的信息安全专业技术培训；能掌握信息安全专业理论知识，具有进行信息系统信息安全规划、诊断和技术管理能力。 1.4 职业环境室内、常温。 1.5 职业能力特征具备丰富的信息安全专业知识；掌握较为全面的信息安全保障技能；具有较强的学习能力、信息处理能力和应变能力；能够准确判断问题和解决问题；善于沟通与协调，合作意识强；语言表达清楚。 1.6 基本文化程度具有高中学历并在相关行业工作两年(含两年)以上，或者具有大专学历的人员。 1.7 鉴定要求 1.7.1 适用对象从事或准备从事信息安全工作的人员。 1.7.2 申报条件参照《全国职业技能鉴定申报条件》执行。

1.7.3 鉴定方式助理信息安全师、信息安全师采用非一体化鉴定方式，分理论知识鉴定和操作技能鉴定两部分。理论知识鉴定采用闭卷考试（上机考）方式；操作技能鉴定采用计算机上机操作的方式。高级信息安全师采用一体化鉴定方式，采用笔试鉴定和综合评审（口试）鉴定。鉴定成绩均实行百分制，成绩达60分为合格。 1.7.4 鉴定场所设备理论知识考试在标准教室进行。专业技能考核的考场要求配有PC机及相关软硬件应用环境并具备局域网络环境。二、工作要求本标准对助理信息安全师、信息安全师、高级信息安全师的技能要求依次递进，高级别包括低级别的要求。 2.1 “职业功能”、“工作内容”一览表

信息安全工作总体方针和安全策略

1.总体目标以满足业务运行要求，遵守行业规程，实施等级保护及风险管理，确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断为总体目标。 2.范围本案适用于某单位信息安全整体工作。在全单位范围内给予执行，由某部门对该项工作的落实和执行进行监督，由某部门配合某部门对本案的有效性进行持续改进。 3.原则以谁主管谁负责为原则（或者采用其他原则例如：“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等）。 4.策略框架建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序，并在关联制度文档中定义出相关的安全角色，并对其赋予管理职责。“以人为本”，通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。 4.1物理方面依据实际情况建立机房管理制度，明确机房的出入管理办法，机房介质存放方式，机房设备维护周期及维护方式，机房设备信息保密要求，机房温湿度控制

方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。 4.2网络方面从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人，建立网络维护方面相关操作办法并由某人或某部门监督执行看，确保各信息系统网络运行情况稳定、可靠、正常的运行。 4.3主机方面要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下，建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人，对主机关键信息进行定期备份。 4.4应用方面从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行，建立完善的维护操作规程以及明确定期备份内容。 4.5数据方面对本单位或本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法，并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。 4.6建设和管理方面 4.6.1信息安全管理机制成立信息安全管理主要机构或部门，设立安全主管等主要安全角色，依据信

解读国标T信息安全技术个人信息安全规范

解读国标T信息安全技术个人信息安全规范 Coca-cola standardization office【ZZ5AB-ZZSYT-ZZ2C-ZZ682T-ZZT18】

收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。个人敏感信息的传输和存储对个人信息控制者的要求包括： a) 传输和存储个人敏感信息时，应采用加密等安全措施; b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应： a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：安全事件应急处置和报告对个人信息控制者的要求包括：

企业信息安全总体规划方案

企业信息安全总体规划方案 Prepared on 22 November 2020

XXXXX公司信息安全建设规划建议书 YYYY科技有限公司 201X年XX月

目录综述概述信息技术革命和经济全球化的发展，使企业间的竞争已经转为技术和信息的竞争，随着企业的业务的快速增长、企业信息系统规模的不断扩大，企业对信息技术的依赖性也越来越强，企业是否能长期生存、企业的业务是否能高效

的运作也越来越依赖于是否有一个稳定、安全的信息系统和数据资产。因此，确保信息系统稳定、安全的运行，保证企业知识资产的安全，已经成为现代企业发展创新的必然要求，信息安全能力已成为企业核心竞争力的重要部分。企业高度重视客户及生产信息，生产资料，设计文档，知识产权之安全防护。而终端，服务器作为信息数据的载体，是信息安全防护的首要目标。与此同时，随着企业业务领域的扩展和规模的快速扩张，为了满足企业发展和业务需要，企业的IT生产和支撑支撑系统也进行了相应规模的建设和扩展，为了满足生产的高速发展，市场的大力扩张，企业决定在近期进行信息安全系统系统的调研建设，因此随着IT系统规模的扩大和应用的复杂化，相关的信息安全风险也随之而来，比如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛滥，内部机密数据泄漏、办公系统受到影响等等，因此为了保证企业业务正常运营、制卡系统的高效安全的运行，不因各种安全威胁的破坏而中断，信息安全建设不可或缺，信息安全建设必然应该和当前的信息化建设进行统一全局考虑，应该在相关的重要信息化建设中进行安全前置的考虑和规划，避免安全防护措施的遗漏，安全防护的滞后造成的重大安全事件的发生。。本次企业信息安全体系建设规划主要考虑采用各种被证明是行之有效的各种信息安全产品和技术，帮助企业建设一个主动、高效、全面的信息安全防御体系，降低信息安全风险，更好的为企业生产和运营服务。现状分析目前企业已经在前期进行了部分信息安全的建设，包括终端上的一部分防病毒，网络边界处的基本防火墙等安全软件和设备，在很大程度上已经对外部

软考-信息安全工程师(汇总1000题)

一、1单项选择题（1-605） 1、Chinese Wall 模型的设计宗旨是：（A）。 A、用户只能访问哪些与已经拥有的信息不冲突的信息 B、用户可以访问所有信息 C、用户可以访问所有已经选择的信息 D、用户不可以访问哪些没有选择的信息 2、安全责任分配的基本原则是：（C）。 A、“三分靠技术，七分靠管理” B、“七分靠技术，三分靠管理” C、“谁主管，谁负责” D、防火墙技术 3、保证计算机信息运行的安全是计算机安全领域中最重要的环节之一，以下（B）不属于信息运行安全技术的范畴。 A、风险分析 B、审计跟踪技术 C、应急技术 D、防火墙技术 4、从风险的观点来看，一个具有任务紧急性，核心功能性的计算机应用程序系统的开发和维护项目应该（A）。 A、内部实现 B、外部采购实现 C、合作实现 D、多来源合作实现 5、从风险分析的观点来看，计算机系统的最主要弱点是（B）。 A、内部计算机处理 B、系统输入输出 C、通讯和网络 D、外部计算机处理 6、从风险管理的角度，以下哪种方法不可取？（D） A、接受风险 B、分散风险 C、转移风险 D、拖延风险 7、当今IT的发展与安全投入，安全意识和安全手段之间形成（B）。 A、安全风险屏障 B、安全风险缺口 C、管理方式的变革 D、管理方式的缺口 8、当为计算机资产定义保险覆盖率时，下列哪一项应该特别考虑？（D）。 A、已买的软件 B、定做的软件 C、硬件 D、数据 9、当一个应用系统被攻击并受到了破坏后，系统管理员从新安装和配置了此应用系统，在该系统重新上线前管理员不需查看：（C） A、访问控制列表 B、系统服务配置情况 C、审计记录 D、用户账户和权限的设置 10、根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行（B）。 A、逻辑隔离 B、物理隔离 C、安装防火墙 D、VLAN 划分 11、根据《信息系统安全等级保护定级指南》，信息系统的安全保护等级由哪两个定级要素

《信息技术与信息安全》最新标准答案

20140713信息技术与信息安全考试标准答案 1、关于信息安全应急响应，以下说法错误的（C）？ A、信息安全应急响应通常是指一个组织机构为了应对各种信息安全意外事件的发生所做的准备以及在事件发生后所采取的措施，其目的是避免、降低危害和损失，以及从危害中恢复。 B、信息安全应急响应工作流程主要包括预防预警察、事件报告与先期处置、应急处置、应急结束。 C、我国信息安全事件预警等级分为四级：I级（特别严重）、级和级、级，依次用红色、橙色、黄色和蓝色表示。 D、当信息安全事件得到妥善处置后，可按照程序结束应急响应。应急响应结束由处于响应状态的各级信息安全应急指挥机构提出建议，并报同政府批准后生效。 2、以下关于操作系统的描述，不正确的是（A） A、分时操作系统为每个终端用户分时分配计算资源，每个终端用户彼此独立，感觉在独立使用整台计算机。 B、分布式操作系统是为分布计算系统配置的操作系统，它支持分布系统中各个计算节点协同工作。 C、操作系统负责对硬件直接监管，对内存、处理器等各种计算资源进行管理。 D、实时操作系统具有较强的容错能力，其特点是资源的分配和调度时首要考虑效率。 3、进入涉密场所前，正确处理手机的行为是（BC）。 A、关闭手机后带入涉密场所 B、不携带手机进入涉密场所 C、将手机放入屏蔽柜 D、关闭手机并取出手机电池 4、信息安全应急响应工作流程主要包括（BCD）。 A、事件研判与先期处置 B、预防预警 C、应急结束和后期处理 D、应急处置

5.(2分) 关于信息安全应急响应，以下说法是错误的（ C）？ A. 信息安全应急响应通常是指一个组织机构为了应对各种信息安全意外事件的发生所做的准备以及在事件发生后所采取的措施，其目的是避免、降低危害和损失，以及从危害中恢复。 B. 信息安全应急响应工作流程主要包括预防预警、事件报告与先期处置、应急处置、应急结束。 C. 我国信息安全事件预警等级分为四级：Ⅰ级（特别严重）、Ⅱ级（严重）、Ⅲ级（较重）和Ⅳ级 (一般)，依次用红色、橙色、黄色和蓝色表示。 D. 当信息安全事件得到妥善处置后，可按照程序结束应急响应。应急响应结束由处于响应状态的各级信息安全应急指挥机构提出建议，并报同级政府批准后生效。 6.(2分) 蠕虫病毒爆发期是在（D ）。 A. 2001年 B. 2003年 C. 2002年 D. 2000年 7.(2分) 信息系统安全等级保护是指（C ）。 A. 对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。 B. 对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理。 C. 对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应和处置。 D. 对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中发生的信息安全事件分等级响应和处置。 8.(2分) 防范ADSL拨号攻击的措施有（CD ）。 A. 修改ADSL设备操作手册中提供的默认用户名与密码信息 B. 重新对ADSL设备的后台管理端口号进行设置 C. 在计算机上安装Web防火墙 D. 设置IE浏览器的安全级别为“高” 9.(2分) 常见的网络攻击类型有（ABCD ）。 A. 被动攻击 B. 协议攻击 C. 主动攻击 D. 物理攻击 10.(2分) 目前我国计算机网络按照处理内容可划分哪些类型？（ABD ） A. 党政机关内网 B. 涉密网络 C. 互联网 D. 非涉密网络 19.(2分) 我国卫星导航系统的名字叫（）。