信息安全管理体系审核员注册准则-中国信息安全认证中心

中国认证认可协会

信息安全管理体系审核员

注册准则

第1版

文件编号：CCAA－141

发布日期：2012年6月19日

?版权2012-中国认证认可协会

信息安全管理体系审核员注册准则

类别

本准则为中国认证认可协会（CCAA）人员注册规范类文件。

本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。

本准则经CCAA批准发布。

批准

编制：CCAA日期：2012年5月10日

批准：CCAA日期：2012年6月19日

实施：CCAA 日期：2012年6月19日

信息

所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。

关于CCAA或CCAA人员注册的更多信息，请与CCAA人员注册部联系，联络地址如下：

地址：北京市朝阳区朝外大街甲10号中认大厦13层

邮编：100020

https://www.360docs.net/doc/0011513417.html,

email：pcc@https://www.360docs.net/doc/0011513417.html,

版权

?版权2012-中国认证认可协会

前言

中国认证认可协会(CCAA)是国家认证认可监督管理委员会（CNCA）唯一授权的依法从事认证人员认证(注册)的机构，开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员，加入了IPC-QMS/EMS审核员培训与注册国际互认协议，人员注册结果在世界范围内得到普遍承认。

本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》（质检总局令第61号）、国家认监委《关于正式开展信息安全管理体系认证工作的公告》（2009年第47号公告）制定，考虑了中国的国情及认证/认可机构的要求，是建立信息安全管理体系（ISMS）审核员国家注册制度的基础性文件。

CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性，但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求，CCAA对此不承担责任。

第一章概论

1.1引言

1.1.1本准则由中国认证认可协会（CCAA）制定，以建立信息安全管理体系(ISMS)审核员国家注册制度，目的是确认认证人员具备相应的个人素质、知识和能力，保证信息安全管理体系认证工作的质量。

1.1.2 本准则规定了CCAA ISMS审核员的注册要求，以及采用以知识和能力为基础的评价考核方法。

1.1.3所有注册人员和申请人员除符合本准则要求外，还应遵守国家和/或地区的有关法律、法规和规定。

1.2引用文件

《中华人民共和国认证认可条例》

《认证及认证培训、咨询人员管理办法》（质检总局令第61 号）

《关于正式开展信息安全管理体系认证工作的公告》（认监委2009年第47号公告）

GB/T 22080-2008 / ISO/IEC27001:2005 《信息技术安全技术信息安全管理体系要求》

GB/T 22081-2008 / ISO/IEC27002:2005《信息技术安全技术信息安全管理实用规则》

GB/T19011-2003 IDT ISO 19011:2002《质量和（或）环境管理体系审核指南》

1.3 注册级别

1.3.1 CCAA ISMS审核员注册资格分为实习审核员、审核员和高级审核员三个级别。

● ISMS实习审核员

ISMS实习审核员资格授予经CCAA考核评价，确认符合本准则相应注册资格要求并具备ISMS审核所必要的知识和基本技能的申请人。

实习审核员不能独立实施审核任务。

● ISMS审核员

ISMS审核员资格授予经CCAA考核评价，确认符合本准则相应注册资格要求，具备ISMS审核所需的知识和技能，并在实施审核活动方面有一定实践经验的申请人。

审核员可以独自一人完成或作为审核组成员完成ISMS审核任务，也可以在高级审核员的指导和帮助下，作为实习审核组长领导审核组完成ISMS审核任务。

● ISMS高级审核员

ISMS高级审核员资格授予经CCAA考核评价，确认符合本准则相应注册资格要求，具备ISMS审核所需的知识和技能以及领导一个审核组所需的能力，并在策划、协调、实施审核活动以及与审核委托方、受审核方沟通等方面有丰富实践经验的申请人。

高级审核员可以完成或领导审核组完成ISMS审核任务。

高级审核员有责任指导审核组内的实习审核员和审核员实施、改进审核活动和审核管理活动。

1.3.2 CCAA ISMS审核员注册遵循逐级晋升的原则。

1.3.3 审核员聘用机构应建立并实施能力分析和评价系统（或程序），按照其开展的信息安全管理体系认证的业务类别，对审核员的专业能力进行更细化的专业能力评定。

第二章注册要求

2.1 申请要求

2.1.1 各级别注册申请人应认真阅读CCAA ISMS审核员注册准则，了解各项注册要求。

2.1.2 申请人应提供真实、完整的注册信息、资料。申请信息、资料应使用中文或英文，如提供其他语言的信息、资料，应附有经聘用申请人的认证机构确认的中文翻译件。

2.1.3申请人应登陆CCAA 网站https://www.360docs.net/doc/0011513417.html,，完成网上注册申请，打印带有条形码（申请号）的注册申请表格。申请表应填写完整，由申请人亲笔签字，注册担保人、推荐机构负责人签字并盖机构公章，附上所有要求的证明资料，与注册费用一同递交CCAA。

2.1.4 申请人应签署声明，表示其同意遵守CCAA注册准则的各项要求，特别是行为规范的要求。

2.1.5 申请人提交完整的注册申请资料和注册费用后，CCAA方可受理申请，开始评价注册程序。注册费用见《认证人员注册收费规则》（详见CCAA网站）。

2.1.6 申请人如果对注册过程或注册信息发布方式、内容等有特殊要求，应在申请时书面说明。

2.2 申请人资格经历要求

2.2.1 教育经历

申请人应具有国家承认的信息安全相关或相近专业大学本科（含）以上学历，并取得相应的学位证书。无学位证书的申请人应至少有5年与信息安全相关的全职工作经历或与信息安全相关的中级（含）以上技术职称。

信息安全相关和相近专业包括：电子信息科学与技术、微电子学、光信息科学与技术、信息安全、电子信息工程、通信工程、计算机科学与技术、电子科学与技术、信息对抗技术、信息管理与信息系统、微电子学与固体电子学、通信与信息系统、信号与信息处理、计算机软件与理论、计算机应用技术、密码学、光电子技术科学、集成电路设计与集成系统、智能科学与技术、信息显示与光电技术、数字媒体技术、测绘工程、遥感科学与技术、电子商务、网络工程、广播电视工程、建筑设施智能技术、电气工程及自动化等。

必要时须向CCAA提供相关证明材料。

2.2.2 工作经历

2.2.2.1实习审核员/审核员工作经历要求

最高学历为本科毕业的申请人应具有至少4年全职工作经历；最高学历为硕士研究生及以上毕业的申请人应具有至少2年全职工作经历；

2.2.2.2高级审核员工作经历要求

最高学历为本科毕业的申请人应具有至少6年全职工作经历；最高学历为硕士研究生及以上毕业的申请人应具有至少4年全职工作经历；

2.2.2.3工作经历应在负有判定责任的技术、专业或管理岗位获得。满足CCAA 注册要求的工作经历应在取得学历教育之后获得。

2.2.3专业工作经历

2.2.

3.1实习审核员/审核员申请人在全部工作经历中应具有至少2年与信息安全相关的工作经历；

2.2.

3.2高级审核员申请人在全部工作经历中应具有至少4年与信息安全相关的工作

经历。并具备CCAA QMS高级审核员注册资格1年以上或与信息安全和信息技术相关的高级技术职称。

2.3.3.3信息安全相关工作经历包括信息安全管理工作（如ISMS的研究、实施、运作、咨询、审核、教学经历），信息安全技术工作（如信息安全科研教学、工程设计与实施、产品研发与测试和网络管理工作等）。

其中，ISMS的实施经历是指组织中业务管理部门的人员和组织中信息安全管理体系实施部门的负责人具体实施管理体系的经历。ISMS的运作经历指组织中最高管理层、

信息安全主管部门的人员策划、运行管理体系的经历。

专业工作经历与工作经历可以同时发生。

2.2.4 培训考试

申请人应成功地完成CCAA承认的ISMS审核员培训课程，并考试合格。

2.2.5 审核经历

2.2.5.1 实习审核员

实习审核员注册申请人无ISMS审核经历要求。

2.2.5.2 审核员

以实习审核员的身份，作为审核组成员在审核员或高级审核员的指导和帮助下完成至少3次ISMS初次认证或再认证审核经历。

所有审核经历应当在申请前 3 年内获得。

2.2.5.3 高级审核员

作为实习审核组长在高级审核员的指导和帮助下，领导审核组完成至少3 次ISMS初次认证或再认证审核经历。

所有审核经历应当在申请前 2 年内获得。

2.2.6审核经历记录

用于申请注册的审核经历应填入《CCAA审核经历记录表》。

2.3 个人素质和审核原则要求

2.3.1 各级别审核员应具备下列个人素质：

a）有道德，即公正、可靠、忠诚、诚实和谨慎；

b）思想开明，即愿意考虑不同意见或观点；

c）善于交往，即灵活地与人交往；

d）善于观察，即主动地认识周围环境和活动；

e）有感知力，即能本能地了解和理解环境；

f）适应力强，即容易适应不同情况；

g）坚韧不拔，即对实现目的坚持不懈；

h）明断，即根据逻辑推理和分析及时得出结论；

i）自立，即在同其他人交往中独立工作并发挥作用；

j）健康，即身体健康状况良好并无传染性疾病。

2.3.2 各级别审核员应按照下列原则进行工作：

a) 道德行为：职业的基础

对审核而言，诚信、正直、保守秘密和谨慎应是最基本的。

b) 公正表达：真实、准确地报告的义务

审核发现、审核结论和审核报告应真实和准确地反映审核活动。报告在审核过程中遇到的重大障碍以及在审核组和受审核方之间没有解决的分歧意见。

c) 职业素养：在审核中勤奋并具有判断力

审核员应珍视他们所执行的任务的重要性以及委托方和其它相关方对自己

的信任。具有必要的能力是一个重要的因素。

d) 独立性：审核的公正性和审核结论的客观性的基础

审核员应独立于受审核的活动，并且不带偏见，没有利益上的冲突。审核员在审核过程中应保持客观的心态，以保证审核发现和结论仅建立在审核证据的基础上。

e) 基于证据的方法：在一个系统的审核过程中，得出可信的和可重现的审核结论的合理方法

审核证据应是可证实的。由于审核是在有限的时间内并在有限的资源条件下进行的，因此审核证据是建立在可获得的信息样本的基础上。抽样的合理性与审核结论的可信性密切相关。

2.4 知识和技能要求

2.4.1 各级别审核员应具备的知识和技能

2.4.1.1管理体系审核

●理解GB/T19011标准3、4、6章的内容；

●理解审核原则、程序和技术的应用；

●理解受审核方管理体系与审核准则的关系；

●理解如何确定组织的信息安全管理体系范围，以及在受审核方组织环境中

实施有效的审核；

●理解审核中运用抽样技术的适宜性和后果；

2.4.1.2 信息安全管理体系

●理解GB/T 22080-2008 / ISO/IEC27001:2005标准每项条款的内容和要求；

●理解GB/T 22080-2008 / ISO/IEC27001:2005标准中的术语；

●理解信息安全特性（保密性、可用性、完整性以及真实性、可核查性、不

可否认性和可信性）之间的联系；

●理解信息安全管理体系在不同类型组织中的应用，包括：

a)不同类型组织信息资产的识别以及与组织业务的关系；

b)不同类型组织资产脆弱性与威胁的识别以及与组织业务的关系；

c)不同类型组织信息安全技术应用以及与组织业务的关系；

d)保障物理区域安全的常用技术；

e)通信设施及信息处理设施运行中的信息安全；

f)信息系统的开发、获取和维护；

g)访问控制；

h)信息安全领域的业务连续性管理与容灾；

i)信息安全技术符合性测试及IT系统审计；

j)理解GB/T 22080-2008 / ISO/IEC27001:2005标准中控制措施的选择以及删减原则。

●理解风险管理的基本原理和常用风险评估技术以及在信息安全管理中的

应用；

●了解用于文件、数据和记录的授权、安全、发放、控制的信息系统和技术。

2.4.1.3法律法规

●了解我国法律法规体系的构成；

●了解组织所属行业中行业性法律法规要求；

●与信息安全管理体系的关系以及在审核中的应用；

●了解国家认证认可法规、规章要求；

●了解相关的国际条约和公约、合同和协议等；

●了解组织遵守的其他要求；

●了解CCAA审核员行为规范要求。

2.4.2 高级审核员应具备的技能

●对审核进行总体策划并在审核中有效地利用资源；

●代表审核组与审核委托方和受审核方进行沟通；

●组织和指导审核组成员开展审核工作；

●领导审核组得出审核结论；

●预防和解决冲突；

●编制和完成审核报告；

●主持首次、末次会议。

2.5 注册人员行为规范要求

所有注册人员均应遵守CCAA注册人员行为规范。

在初次注册和再注册时，所有申请人均应签署声明，表明其遵守行为规范。

a)遵纪守法、敬业诚信、客观公正；

b)努力提高个人的专业能力和声誉；

c)帮助所管理的人员拓展其专业能力；

d)不承担本人不能胜任的任务；

e)不介入冲突或利益竞争，不向任何委托方或聘用机构隐瞒任何可能影

响公正判断的关系；

f)不讨论或透露任何与工作任务相关的信息，除非应法律要求或得到委托方

和/或聘用单位的书面授权；

g)不接受受审核方及其员工或任何利益相关方的任何贿赂、佣金、礼物或任

何其它利益，也不应在知情时允许同事接受；

h)不有意传播可能损害审核工作或人员注册过程的信誉的虚假或误导性信

息；

i)不以任何方式损害CCAA及其人员注册过程的声誉。与针对违背本准则

的行为而进行的调查进行充分的合作；

j)不向受审核方提供相关咨询。

2.6 监督与年度确认要求

2.6.1 CCAA采用年度确认的方式，对审核员和高级审核员持续保持其能力和个人素质以及遵守行为规范的情况进行监督。聘用机构应在CCAA规定的年度确认受理时间（每年的4月和10月）内统一申报本机构聘用人员的相关情况，并提交年度确认汇总表（包括书面和电子文件两种格式）。

2.6.2 在注册证书有效期内，审核员和高级审核员每年应完成下列活动，表明其持续符合准则的相关要求：

●至少成功地完成1次ISMS审核经历，或完成15小时专业发展活动；

●持续遵守行为规范的要求；

●已妥善解决任何针对其审核表现的投诉；

●当CCAA有指定的审核员继续教育或专业发展活动时，已按要求完成。

2.6.3 审核员和高级审核员应保留完成年度确认的记录（如CCAA发布的通知公告），在申请再注册时作为证明文件提交CCAA。

2.6.4 实习审核员无年度确认要求。CCAA 将通过处理投诉、接受聘用机构和受审核方反馈等方式收集信息，对实习审核员进行监督。

2.6.5必要时，CCAA可对各级别审核员采取专项调查、质询或要求提供更多证实信息等方式进行更频繁更深入的监督。

2.7 再注册要求

2.7.1 各级别审核员应每3年进行一次再注册，以确保持续符合本准则相应注册级别的各项要求。

2.7.2 实习审核员再注册要求

●注册证书到期前 3 个月内，向CCAA 提出再注册申请；

●注册证书有效期内持续遵守行为规范；

●已妥善解决任何针对其审核表现的投诉；

●当CCAA有指定的审核员继续教育或专业发展活动时，已按要求完成。

2.7.3 审核员再注册要求

●注册证书到期前3个月内，向CCAA提出再注册申请；

●注册证书有效期内，完成至少3次ISMS审核经历；

●如存在注册准则要求变更，应符合变更后的相应要求；

●注册证书有效期内持续遵守行为规范；

●已妥善解决任何针对其审核表现的投诉；

●完成历次的年度确认；

●当CCAA有指定的审核员继续教育或专业发展活动时，已按要求完成。

2.7.4 高级审核员再注册要求

●注册证书到期前3个月内，向CCAA提出再注册申请；

●注册证书有效期内，作为审核组长完成至少3次ISMS审核经历；

●如存在注册准则要求变更，应符合变更后的相应要求；

●注册证书有效期内持续遵守行为规范；

●已妥善解决任何针对其审核表现的投诉；

●完成历次的年度确认；

●当CCAA有指定的审核员继续教育或专业发展活动时，已按要求完成。

2.8 申请资料要求

2.8.1 申请资料由推荐机构集中申报，包括申请表、相关证明文件和注册费用。

2.8.2 申请资料清单

2.8.2.1实习审核员

a) 注册申请表（网上注册后生成）；

b) 身份证（复印件）；

c）学历证书和学位证书（复印件）；

d) 审核员培训合格证书（复印件）；

e）考试合格证明（复印件）；

f) 中级以上（含中级）职称证明（复印件）（适用时）；

g）注册费。

2.8.2.2 审核员

a) 注册申请表（网上注册后生成），应经推荐机构盖章确认；

b) 身份证（复印件）；

c）学历证书和学位证书（复印件）；

d) 实习审核员注册资格证明（复印件）；

e) 审核员培训合格证书（复印件）；

f）考试合格证明（复印件）；

g）审核经历证明(包括审核计划、审核经历记录表、审核经历汇总表)；

h) 注册费。

2.8.2.3 高级审核员

a) 注册申请表（网上注册后生成），应经推荐机构盖章确认；

b) 身份证（复印件）；

c) 学历证书和学位证书（复印件）；

d) CCAA QMS高级审核员或高级技术职称（复印件）；

e) 审核员注册资格证明（复印件）；

f）审核经历证明(包括审核计划、审核经历记录表、审核经历汇总表)；

g）完成年度确认的证明文件，如CCAA通知（适用时）；

h) 完成CCAA指定继续教育或专业发展的证明文件（适用时）；

i) 注册费。

2.8.2.4年度确认

a）年度确认汇总表，包括书面和电子文件两种格式。其中书面文件应经聘用机构盖章确认；

b）年度确认费。

2.8.2.5 审核员/高级审核员再注册

a）审核员再注册申请表（网上注册后生成），应经推荐机构盖章确认；

b）身份证（复印件）；

c）学历证书和学位证书（复印件）；

d) 前一轮次注册资格证明（复印件）；

e）完成年度确认的证明文件，如CCAA通知；

f) 审核经历证明(包括审核计划、审核经历记录表、审核经历汇总表)；

g）完成CCAA指定继续教育或专业发展的证明文件（适用时）；

h）注册费。

第三章评价过程

3.1 申请受理与资格审查

3.1.1 CCAA注册管理人员对注册申请资料进行审查，确认申请人符合2.1和2.2的要求。

3.1.2 CCAA注册管理人员应关注申请人对注册过程是否有特殊需求并作出相应安排。

3.2 知识和技能的考核

申请人应在注册申请前 3 年内通过CCAA 组织的笔试，以证实其满足2.4.1 规定的知识和技能要求。

3.3 个人素质的考核

对申请人个人素质的考核在培训、考试、审核现场及聘用机构和客户反馈、注册担保人担保等过程中结合进行。

3.4 担保与推荐

3.4.1 每名注册申请人应由一名注册担保人担保。

注册担保人是指具有良好的个人声誉和 CCAA 认证人员注册资格（不含实习注册资格），了解申请人专业状况、主要工作经历和基本个人素质的人员。

3.4.2 注册担保人应对申请人个人素质(2.3.1)的适宜性和专业工作经历(2.2.3)的真实性作出担保。

3.4.3 推荐机构应对申请人资格经历(2.2)的真实性进行核实，并就申请人的个人素质、知识与能力是否适合从事审核活动作出推荐意见。

3.5 注册决定与注册公告

3.5.1 注册决定

CCAA评价人员根据评价考核过程中收集的信息形成评价考核结论，作出申请人是否适宜注册的意见；

CCAA注册管理人员对评价考核结论、注册意见进行审定，作出是否予以注册的决定；注册管理人员应未参与过对申请人的评价考核与培训。

CCAA负责人审核注册意见和注册决定，批准注册决定。

3.5.2 注册公告或证书

3.5.2.1 对批准注册的申请人，CCAA将予以公告或颁发注册证书，注册有效期3年。对不予注册的申请人，CCAA将通知推荐机构或本人。

3.5.2.2对于符合再注册要求的申请人，CCAA将给予再注册，有效期3年，自原注册截止日期延续计算。对不符合要求、不予再注册的申请人，CCAA将通知推荐机构或本人。

3.5.2.3 CCAA负责人负责批准人员注册公告或注册证书。

3.5.2.4 注册公告包含下列信息：

●注册领域；

●注册人员姓名；

●注册级别和注册证书编号；

●注册日期；

●执业机构名称。

3.5.2.5 注册证书包含下列信息（适用时）

●CCAA的名称、标识；

●注册准则标识；

●注册人员姓名和身份识别信息；

●注册级别和注册证书编号；

●注册日期和有效期。

3.5.3注册人员使用注册证书，应遵守CCAA《证书及标志的使用规则》，在取得注册证书之前应签署《认证人员注册证书、标志使用承诺》。

3.5.4 CCAA拥有颁发的各类注册证书、证卡的所有权。注册人员一旦被撤销相应注册资格，应交回相应证书。

3.6 注册资格处置

3.6.1 对违反行为规范、不满足注册要求的各级别审核员，经调查核实，CCAA将按照《注册人员资格处置规则》给予警告、暂停注册资格、降低注册级别，直至撤销注册资格的处置。

3.6.2 注册人员因个人原因决定不再保持注册资格，可自愿申请注销注册资格，或降低注册级别，申请应以书面形式向CCAA提出。

3.7 注册收费

3.7.1 CCAA依据《认证人员注册收费规则》收取注册费用，注册申请人和已注册人员应遵照规则缴纳相应费用。

注：《认证人员注册收费规则》见CCAA网站。

3.7.2评价和注册过程一经开始，不论注册结果如何，注册费用将不予退还。

3.8投诉

3.8.1 针对注册人员的投诉

CCAA依据《申诉、投诉和争议处理程序规则》，处理针对注册人员违反注册要求和行为规范的行为的投诉。

3.8.2 针对CCAA的投诉

CCAA依据《申诉、投诉和争议处理程序规则》，处理针对CCAA工作人员在注册活动中违反工作程序和工作守则的行为的投诉，以及对CCAA的争议处理决定提出的投诉。

3.8.3 投诉人可从CCAA网站下载《申诉、投诉和争议处理程序规则》，CCAA也可应申请人的要求提供该规则。

3.9 申诉

3.9.1 CCAA依据《申诉、投诉和争议处理程序规则》，处理注册人员的申诉，包括：

●注册申请人或注册人员对CCAA作出的不予注册、资格处置等决定提出的申

诉；

●投诉人因不同意CCAA的投诉处理决定提出的申诉。

3.9.2 申诉应在相关决定作出后30天内，以书面形式向CCAA提交。

3.9.3 申诉人可从CCAA网站下载《申诉、投诉和争议处理程序规则》，CCAA也可应申诉人的要求提供该规则。

3.10 评价人员

3.10.1 CCAA按照《人员注册考核人员管理程序》选择书面评价人员。

3.10.2 评价人员按照CCAA的规定程序实施评价、考核活动。

3.11 相关表格与文件

●审核员注册申请表

●审核员再注册申请表

●审核经历记录表

●审核经历汇总表

●《认证人员注册收费规则》

●《证书及标志的使用规则》

●《注册人员资格处置规则》

●《申诉、投诉和争议处理程序规则》

2017年中国信息安全行业发展现状及未来发展趋势分析

2017年中国信息安全行业发展现状及未来发展趋势分析（一）行业主管部门、监管体制以及主要法律法规和政策 1、行业主管部门和行业监管体制信息安全行业主要受信息产业及安全主管部门的监管，具体如下：数据来源：公开资料整理 2、行业主要法律法规及政策（1）行业主要法律法规信息安全行业，受到信息安全行业相关法律法规的管理。行业的主要法律法规如下：

数据来源：公开资料整理（2）行业主要发展政策

行业主要发展政策如下：数据来源：公开资料整理（二）信息安全行业概况及未来发展趋势 1、信息安全的定义

信息安全是指对信息系统的硬件、软件、系统中的数据及依托其开展的业务进行保护，使得它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、修改、审阅、检查、记录或销毁，保证信息系统连续可靠地正常运行。信息安全具有真实性、机密性、完整性、不可否认性、可用性、可核查性和可控性七个主要属性：数据来源：公开资料整理 2、信息安全行业的技术、产品和服务（1）信息安全技术为了实现信息安全的七个核心属性，需要从信息系统的物理安全、运行安全、数据安全、内容安全、信息内容对抗等五个方面进行安全建设与安全防范。因而，目前信息安全的主流技术包括信息系统自身的安全技术（物理安全和运行安全技术）、信息自身的安全技术（数据安全与内容安全技术）、信息利用的安全技术（信息对抗技术），具体如下：

数据来源：公开资料整理（2）信息安全产品信息安全产品按照功能分类主要包括：防火墙产品、入侵检测与入侵防御产品、统一威胁管理产品、身份管理类产品、加密类产品、电子签名类产品、安全审计类产品以及终端安全管理产品等。主要产品的情况如下：

信息安全管理体系审核员注册准则-中国信息安全认证中心

中国认证认可协会信息安全管理体系审核员注册准则第1版文件编号：CCAA－141 发布日期：2012年6月19日 ?版权2012-中国认证认可协会

信息安全管理体系审核员注册准则类别本准则为中国认证认可协会（CCAA）人员注册规范类文件。本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。本准则经CCAA批准发布。批准编制：CCAA日期：2012年5月10日批准：CCAA日期：2012年6月19日实施：CCAA 日期：2012年6月19日信息所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。关于CCAA或CCAA人员注册的更多信息，请与CCAA人员注册部联系，联络地址如下：地址：北京市朝阳区朝外大街甲10号中认大厦13层邮编：100020 https://www.360docs.net/doc/0011513417.html, email：pcc@https://www.360docs.net/doc/0011513417.html, 版权 ?版权2012-中国认证认可协会

前言中国认证认可协会(CCAA)是国家认证认可监督管理委员会（CNCA）唯一授权的依法从事认证人员认证(注册)的机构，开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员，加入了IPC-QMS/EMS审核员培训与注册国际互认协议，人员注册结果在世界范围内得到普遍承认。本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》（质检总局令第61号）、国家认监委《关于正式开展信息安全管理体系认证工作的公告》（2009年第47号公告）制定，考虑了中国的国情及认证/认可机构的要求，是建立信息安全管理体系（ISMS）审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性，但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求，CCAA对此不承担责任。

国家信息安全测评

国家信息安全测评信息安全服务资质申请指南（安全工程类三级） ?版权2015—中国信息安全测评中心 2016年10月1 日

一、认定依据 (4) 二、级别划分 (4) 三、三级资质要求 (4) 3.1 基本资格要求 (5) 3.2 基本能力要求 (5) 3.3 质量管理要求 (6) 3.4安全工程过程能力要求 (6) 四、资质认定 (7) 4.1认定流程图 (7) 4.2申请阶段 (8) 4.3资格审查阶段 (8) 4.4能力测评阶段 (8) 4.4.1静态评估 (8) 4.4.2现场审核 (9) 4.4.3综合评定 (9) 4.4.4资质审定 (9) 4.5证书发放阶段 (9) 五、监督、维持和升级 (10) 六、处置 (10) 七、争议、投诉与申诉 (10) 八、获证组织档案 (11) 九、费用及周期 (11)

中国信息安全测评中心（以下简称CNITSEC）是经中央批准成立、代表国家开展信息安全测评的职能机构，依据国家有关产品质量认证和信息安全管理的政策、法律、法规，管理和运行国家信息安全测评体系。中国信息安全测评中心的主要职能是： 1.对国内外信息安全产品和信息技术进行测评； 2.对国内信息系统和工程进行安全性评估； 3.对提供信息系统安全服务的组织和单位进行评估； 4.对信息安全专业人员的资质进行评估。 “信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估，依据公开的标准和程序，对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。本指南适用于所有向CNITSEC提出信息安全工程服务三级资质申请的境内外组织。

中国电信信息安全责任书范文

信息安全责任书作为中国电信用户，保证遵守以下各项规定：第一条遵守国家有关法律、行政法规和管理规章，严格执行信息安全管理规定。第二条建立有效的信息安全管理制度和技术保障措施，建立完善的内容管理审核制度，定期组织自查自纠，及时处理各种隐患。落实信息安全责任制，加强从事信息管理人员的教育检查工作，并接受相关业务主管部门的管理、监督和检查。第三条不利用中国电信移动通信网、互联网或相关业务平台从事危害国家安全、泄露国家机密等违法犯罪活动，不利用中国电信移动通信网、互联网或相关业务平台制作、查阅、复制和传播违反宪法和法律、妨碍社会治安、破坏国家统一、破坏民族团结、色情、暴力等的信息，不利用中国电信移动通信网、互联网或相关业务平台发布任何含有下列内容之一的信息：（一）反对宪法所确定的基本原则的；（二）危害国家安全，泄露国家机密，颠覆国家政权，破坏国家统一的；（三）损害国家荣誉和利益的；（四）煽动民族仇恨、民族歧视，破坏民族团结的；（五）破坏国家宗教政策，宣扬邪教和封建迷信的；（六）散布谣言，扰乱社会秩序，破坏社会稳定的；

（七）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（八）侮辱或者诽谤他人，侵害他人合法权益的；（九）含有法律、行政法规禁止的其他内容的。发现上述违法活动和有害信息的，应立即采取措施制止并及时向有关主管部门报告。第四条服务器上开设的网站，在开通联网前必须履行备案手续，先备案后接入，未履行备案手续、未获得备案号的网站必须关闭。网站开通论坛必须履行前置审批手续，若未履行前置审批、未获得备案号必须关闭论坛。承诺声明，将严格履行相关规定，若因违反以上规定，根据相关法规承担全部责任，中国电信丽江分公司有权单方面断网。责任单位（签章）：责任人（签字）年月日

美国八大金刚对中国信息安全的威胁

中国在美国“八大金刚”面前几乎赤身裸体一位在信息安全领域沉浸了20多年的专家称：“作为全球第二大经济体，中国几乎是赤身裸体地站在已经武装到牙齿的美国…八大金刚?(思科、IBM、Google、高通、英特尔、苹果、Oracle、微软)面前。” 被西方国家及媒体频频指责是安全威胁源的中国，目前正处于一个无形的网络安全阴影之下。中国国家互联网应急中心抽样监测显示，2011年有近5万个境外IP地址作为木马或僵尸网络控制服务器，参与控制了我国境内近890万台主机，其中有超过99.4%的被控主机，源头在美国。而仿冒我国境内银行网站站点的IP也有将近四分之三来自美国。

这组触目惊心的数据，显示出中国网络安全的脆弱现状。中国的信息安全在以思科为代表的美国“八大金刚”(思科、IBM、Google、高通、英特尔、苹果、Oracle、微软)面前形同虚设。在绝大多数核心领域，这八家企业都占据了庞大的市场份额。一位在信息安全领域沉浸了20多年的专家称：“作为全球第二大经济体，中国几乎是赤身裸体地站在已经武装到牙齿的美国…八大金刚?面前。” 多位信息安全专家向《中国经济和信息化》杂志表示，在全球范围内，除美国在信息安全方面采用进攻型策略以外，其他国家都只能防守。而如何防范可能被插进体内的獠牙，国内相关部门应当拿出更多办法。而本刊获得的数据显示，全球有超过九成的网络战发端于美国。而网络设备正是网络战必备的武器。在此威胁下，已有中国大型央企觉醒。思科在中国的第二大客户中国联通，正在更换已经使用的思科网络设备。中国联通及江苏联通向本刊确认称，截至10月底，中国两大骨干网之一的China169骨干网江苏无锡节点核心集群路由器已搬迁完成，而被“扫地出门”的路由器正是思科的产品。江苏联通综合部部长向记者证实，此次搬迁是来自中国联通总部的统一安排，并不是江苏联通的决定。中国联通还称，不排除有其他省级公司继续弃用思科产品。这或许是这艘来自美国的通信领域航空母舰在中国第一次遭受挫折。在18年前，它驶入一片荒芜的中国通信海域大展拳脚，凭借强悍的技术实力与公关能力横行无阻。也有专家呼吁，因为承担着振兴国家经济命脉的重任，以央企为代表的大型企业，应当率先警惕使用思科等产品带来的潜在安全威胁。技术漏洞还是另有玄机？美国与以色列曾经借助电脑蠕虫病毒令伊朗的核设施瘫痪——之所以该病毒具备如此威力，是因为几乎伊朗每台电脑都安装了微软的Windows 系统。在传统的四大战争空间之外，越来越多的国家将目光投向网络空间。美国总统奥巴马已经任命微软的前安全总管霍华德·施密特作为网络安全总指挥。五角大楼甚至成立了一个新的网络司令部，担任领导的是国家安全局局长基思·亚历山大将军，他的任务是保卫美国的军事网络和攻击他国的系统。

中国信息安全测评中心授权培训机构管理办法

中国信息安全测评中心授权培训机构管理办法中国信息安全测评中心二〇一七年一月

第一章总则第一条随着国家信息化建设的高速发展，对信息安全专业人才的需求逐年增加。为贯彻中共中央办公厅、国务院办公厅中办发[2003]27号文件中关于“加快信息安全人才培养，增强全民信息安全意识”的精神，加强对授权培训机构的管理，规范授权培训机构的职能，中国信息安全测评中心（以下简称CNITSEC）根据相关管理规定制定本办法。第二条CNITSEC为授权委托方，中国信息产业商会信息安全产业分会为授权运营管理机构（以下简称授权运营方），授权培训机构为CNITSEC授权的培训机构方。第三条CNITSEC、授权运营方、授权培训机构关系如下： 1、CNITSEC及授权培训机构均为独立的法人单位，但两两之间不具有行政隶属及产权归属关系，各自对自己的行为承担法律责任； 2、授权运营方作为CNITSEC与授权培训机构之间的接口机构，按照授权委托方的要求对授权培训机构进行监督、指导和管理。授权运营方统一受理对授权培训机构的投诉，根据调查结果出具处理意见。 3、CNITSEC对授权运营方及授权培训机构具有监督管理的权利； 4、授权培训机构应严格遵守相关管理规定，开展双方协议规定的培训业务，按时向CNITSEC缴纳管理费。第四条本办法由授权运营方具体执行。第二章授权业务类型授权培训机构应与CNITSEC及授权运营方签订授权协议书，明确

双方的责任与义务，依法开展培训业务。第五条授权培训机构可以以“中国信息安全测评中心授权培训机构”的名义，根据授权协议中授权内容从事以下培训业务： 1、注册信息安全员（Certified Information Security Member 简称CISM）培训； 2、注册信息安全专业人员（Certified Information Security Professional，简称CISP）培训，根据工作领域和实际岗位工作的需要，CISP培训分为四类： ●注册信息安全工程师(Certified Information Security Engineer简称CISE)培训； ●注册信息安全管理员(Certified Information Security Officer简称CISO)培训； ●注册信息安全审计师(Certified Information Security Auditor简称CISP-A)培训； ●注册信息安全开发人员（Certified Information Security Developer 简称CISD）培训。 3、其他培训业务以双方协议具体规定为准。第三章授权培训机构的管理第六条授权培训机构必须遵守如下管理规定： 1、日常工作管理（1）按CNITSEC统一规定的教材、教学大纲开展培训业务，并执行授权运营方制定的统一培训标准；

信息技术与信息安全考试题库及答案(全)

???广西公需科目信息技术与信息安全考试试卷考试时间：150分钟总分：100分 ???分? ???是第几代移动通信技术?（） ?? 第三代 ? 第二代 ? 第一代 ? 第四代 ???分? 无线局域网的覆盖半径大约是（? ）。 ?? ???????? ? ?????? ? ?????? ? ???????? ???分? 恶意代码传播速度最快、最广的途径是（）。 ?? 安装系统软件时 ? 通过?盘复制来传播文件时 ? 通过网络来传播文件时 ? 通过光盘复制来传播文件时 ???分? 以下关于智能建筑的描述，错误的是（? ）。 ?? 随着建筑智能化的广泛开展，我国智能建筑市场已接近饱和。 ? 智能建筑能为用户提供一个高效、舒适、便利的人性化建筑环境。 ? 建筑智能化已成为发展趋势。 ? 智能建筑强调用户体验，具有内生发展动力。 ???分? 广义的电子商务是指（ ?）。 ?? 通过互联网在全球范围内进行的商务贸易活动 ? 通过电子手段进行的商业事务活动 ? 通过电子手段进行的支付活动 ? 通过互联网进行的商品订购活动 ???分? 证书授权中心（ ?）的主要职责是（ ?）。

?? 颁发和管理数字证书 ? 进行用户身份认证 ? 颁发和管理数字证书以及进行用户身份认证 ? 以上答案都不对 ???分? 以下关于编程语言描述错误的是（ ?）。 ?? 高级语言与计算机的硬件结构和指令系统无关，采用人们更易理解的方式编写程序，执行速度相对较慢。 ? 汇编语言适合编写一些对速度和代码长度要求不高的程序。 ? 汇编语言是面向机器的程序设计语言。用助记符代替机器指令的操作码，用地址符号或标号代替指令或操作数的地址，一般采用汇编语言编写控制软件、工具软件。 ? 机器语言编写的程序难以记忆，不便阅读和书写，编写程序难度大。但具有运行速度极快，且占用存储空间少的特点。 ???分? 云计算根据服务类型分为（? ）。 ?? ????、 ???、 ??? ? ????、 ???、 ??? ? ????、 ???、 ??? ? ????、 ???、 ??? ???分? 统一资源定位符是（? ）。 ?? 互联网上网页和其他资源的地址 ? 以上答案都不对 ? 互联网上设备的物理地址 ? 互联网上设备的位置 ????分? 网站的安全协议是?????时，该网站浏览时会进行（ ?）处理。 ?? 增加访问标记 ? 加密 ? 身份验证 ? 口令验证 ????分? 涉密信息系统工程监理工作应由（）的单位或组织自身力量承担。 ?? 具有信息系统工程监理资质的单位； ? 涉密信息系统工程建设不需要监理；

浅谈中国国家信息安全战略

浅谈中国国家信息安全战略关键词：信息安全国际信息安全威胁中国信息安全战略摘要：当今世界，和平与发展是时代的主题。国家的发展需要和平稳定的建设环境，需要国家安全保障。随着现代技术的发展，信息技术已经成为隐形的国际斗争的工具，某种程度上来说，鼠标、键盘和子弹、炸弹一样危险。信息安全是国家安全的独立的基本要素，也影响着政治、军事、经济等其他要素。对于中国而言，必须广泛吸收借鉴发达国家的经验，完善信息安全战略，健全信息安全体制，保障国家信息安全。一、信息安全简述（一）、什么是信息安全从一个主权国家的角度来讲，信息安全属于非传统安全范畴。非传统安全是指除军事、政治和外交冲突以外的其他对主权国家及人类整体生存和发展构成威胁的因素。1信息安全，意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。2 （二）、信息安全的重要性随着现代科学技术的发展，尤其是互联网的诞生为信息战提供的巨大技术支持，信息技术已经成为隐形的国际斗争的工具。某种程度上来说，轻轻敲击一下键盘和发射一枚炸弹危险程度不相上下。信息安全是国家安全的基本要素，举足轻重地影响着政治、军事、经济等其他要素。二、国际信息安全现状分析（一）、信息安全威胁事件回顾 1.1991年的海湾战争中，美国偷偷把一套带有病毒的同类芯片换装到伊拉克从法国购买了一种用于防空系统的新型电脑打印机里。当美国领导的多国部队发动“沙漠风暴”行动，空袭伊拉克时，美军用无线遥控装置激活了隐藏的病毒，致使伊拉克的防空系统陷入了瘫痪。 1夏超然，2008年非传统安全问题的新挑战与国家安全战略的应对之策，《理论观察》2009年第1期 2资料来源：“信息安全”维基百科https://www.360docs.net/doc/0011513417.html,/wiki

盘点2017年国内移动信息安全十大事件

盘点2017国内移动信息安全十大事件2017年刚刚结束，回头反思过去一年的发生的各类网络安全事件，除了WannaCry勒索病毒横扫全球、2亿选民资料泄漏的“邮件门”及新型IoT僵尸网络等轰动全球的网络安全大事件外，与我们生活密切相关的一众移动安全事件也是让人应接不暇，下面就跟我们一起来整理回顾下，2017年都发生了哪些移动安全事件吧。 1、勒索病毒瞄准“王者荣耀”袭击手机火到一发不可收拾的《王者荣耀》不光吸粉能力、吸金能力超强，这吸引病毒的能力也非同一般。6月2日，360手机卫士发现了一款冒充时下热门手游《王者荣耀》辅助工具的手机勒索病毒，该勒索病毒被安装进手机后，会对手机中照片、下载、云盘等目录下的个人文件进行加密，并索要赎金。这种病毒一旦爆发，会威胁几乎所有安卓平台的手机，用户一旦中招，可能丢失所有个人信息。

从该病毒的形态来看，与PC端大规模肆虐的“永恒之蓝”界面极为相似，用户中招后，桌面壁纸、软件名称、图标形态都会被恶意修改，用户三天不支付，赎金便会加倍，一周不支付，文件就会被全部删除!除此之外，该勒索病毒可能使用的软件命名包括“王者荣耀辅助”或“王者荣耀前瞻版安装包”等。 2、个人隐私泄漏引发重视10款APP上安全“灰名单” 2017年7月20日，腾讯社会研究中心与DCCI互联网数据中心联合发布《网络隐私安全及网络欺诈行为研究分析报告显示，手机APP越界获取个人信息已经成为网络诈骗的主要源头之一，由此引发了社会各界对于手机应用越权获取用户隐私权限现状的声讨。报告显示，高达96.6%的Android应用会获取用户手机隐私权，而iOS应用的这一数据也高达69.3%。用户更需警惕的是，25.3%的Android应用存在越界获取用户手机隐私权限的情况。越界获取隐私权限，是指手机应用在自身功能不必要的情况下获取用户隐私权限的行为。手机应用越界获取用户隐私权限会带来巨大的安全风险隐患，如隐私信息被窃取、用户信息被用于网络诈骗、造成经济损失、手机卡顿现象严重等。例如，手机APP随意访问联系人、短信、记事本等应用，可以查看到用户的银行卡账号密码等信息，容易造成用户手机话费被暗扣和银行支付账号被盗。用户存在手机里的隐私资料、照片被

2019中国网络与信息安全市场优秀品牌调查报告

中国网络与信息安全市场优秀品牌调查报告第一部分调查背景、方法随着用户在网络与信息安全意识和安全需求方面的提升，近几年来，网络与信息安全市场正以倍速增长，行业发展日趋集中化和规范化，国内的网络与信息安全厂商已逐渐由原来的星星之火发展起燎原之势。网络与信息安全产业不但关系到国家的政治、经济、文化和国防安全，同时也成为it产业发展的一大亮点，在产业发展的过程中，也涌现出了大批优的网络与信息产品和服务品牌，其中也不乏行业中的后起之秀。为了让优秀的、具有一定实力的中国网络与信息安全生产和服务厂商脱颖而出，拥有更广泛的合作机会，让用户了解国内优秀的网络安全厂商和安全产品；推动构建面向未来、一体化的可信赖网络的发展，XX中国互联网大会.网络与信息安全论坛组委会，结合大会和论坛在组织、媒体、用户和专家层面的资源，发起了中国网络与信息安全优秀品牌调查活动。本次活动由中国互联网协会主办，上海交通大学信息安全工程学院承办，国家信息产业部、科技部等部委对活动予以指导，组织成立了中国网络与信息安全优秀品牌推荐专家评审委员会，保证了评选活动的中立性、专业性和权威性。本次调查共有有效样本1143份，样本广泛覆盖政府机关、金融、电信、能源、教育文化、互联网企业等各类用户。调查时间为XX年7月15日--XX年8月20日。采用的调查方式是通过网络调查、传真、e_mail和信件等多种方式向广大的互联网用户发放问卷。活动评选的过程同时得到了网易、新浪、天极、计算机世界、信息安全与通信保密、信息网络安全等大众和专业媒体的大力支持。第二部分调查结果一、使用过何种类型的网络与信息安全产品（一）网民中安全产 - 1 -

国家信息安全专项清单

国家信息安全专项及下一代互联网技术研发、产业化和规模商用专项项目清单 2015年2月16日，国家发改委发布了国家信息安全专项及下一代互联网技术研发、产业化和规模商用专项项目清单，共计105个单位入选，其中信息安全行业的领导者北京中超伟业信息安全技术有限公司的云操作系统安全加固系统产品产业化项目成功入选，排名在第33位。全部名单如下： 1、中安网脉（北京）技术股份有限公司中安源网络安全存储系统产品产业化项目已列入2013年国家信息安全专项。 2、最高人民检察院检察技术信息研究中心基于密级标识的综合管控系统试点示范项目已列入2013年国家信息安全专项。 3、北京中盾安全技术开发公司高级可持续威胁（APT）安全监测产品产业化项目已列入2013年国家信息安全专项。 4、上海辰锐信息科技公司网络保密和失泄密核查取证产品产业化项目已列入2013年国家信息安全专项。 5、中国信息安全测评中心基于公网的跨域电子邮箱安全保密试点示范项目已列入2013年国家信息安全专项。 6、龙浩通信公司基于可信强制访问控制的虚拟化安全加固及管理系统产品产业化项目已列入2013年国家信息安全专项。 7、中国银行业监督管理委员会信息中心国家金融领域商业银行重要信息系统安全应急保障平台试点示范项目已列入2013年国家信息安全专项。 8、国家信息中心基于标识密码技术的安全电子邮箱试点示范项目已列入2013年国家信息安全专项。

9、国家电网公司智能电网调度控制系统安全免疫示范项目已列入2013年国家信息安全专项。 10、北方智能微机电集团有限公司基于密级标识的涉密信息系统研究与试点示范项目已列入2013年国家信息安全专项。 11、中国电力建设集团有限公司云计算与大数据安全应用试点示范项目已列入2013年国家信息安全专项。 12、中国电信集团公司云操作系统安全加固及超大规模集群虚拟机安全管理产品产业化项目已列入2013年国家信息安全专项。 13、成都卫士通信息产业股份有限公司高性能入侵检测与防御系统产品产业化项目已列入2013年国家信息安全专项。 14、中电六所智能系统有限公司高级可持续威胁(APT)安全监测产品产业化项目已列入2013年国家信息安全专项。 15、中国软件与技术服务股份有限公司面向社会公共安全领域的大数据平台安全管理产品产业化项目已列入2013年国家信息安全专项。 16、中国信息安全研究院有限公司恶意程序辅助检测系统产品产业化项目已列入2013年国家信息安全专项。 17、北京国际系统控制有限公司安全采集远程终端单元（RTU）产品产业化项目已列入2013年国家信息安全专项。 18、金航数码科技有限责任公司网络保密检查和失泄密核查取证产品产业化项目已列入2013年国家信息安全专项。 19、北京京航计算通讯研究所航天三院涉密信息系统涉密载体全生命周期安全管控试点示范项目已列入2013年国家信息安全专项。

中国信息安全行业发展现状及未来发展趋势分析

年中国信息安全行业发展现状及未来发展趋势分析

————————————————————————————————作者：————————————————————————————————日期：

数据来源：公开资料整理

（2）行业主要发展政策行业主要发展政策如下：数据来源：公开资料整理（二）信息安全行业概况及未来发展趋势 1、信息安全的定义

中国信息安全测评中心授权培训机构申请书

中国信息安全测评中心授权培训机构申请书申请单位（公章）：填表日期： ?版权2020—中国信息安全测评中心 2020年2月

中国信息安全测评中心(CNITSEC) 授权培训机构资质申请书目录一、申请单位基本情况 (5) 二、申请单位概况 (6) 三、申请单位资产运营情况 (7) 四、申请单位人员情况 (9) 五、培训场所及设备设施情况 (14) 六、质量保证 (16) 七、信息安全及相关培训情况 (18) 八、信息安全培训宣传推广 (19)

填表须知用户在正式填写本申请书前，须认真阅读并理解以下内容：授权培训机构申请单位（以下简称：申请单位）在正式填写本申请书前，须认真阅读以下内容： 1.申请单位应仔细阅读《授权培训机构申请指南》及《授权培训机构管理办法》，并按要求认真、如实、详细地填写本申请书。 2.申请单位应按照申请书的原有格式进行填写，所有填报项目(含表格)页面不足时，可另加附页。 3.填写本表时要求字迹清晰，请用签字笔正楷填写或计算机输入。 4.提交申请书之前，请仔细查验申请书填写是否有误，须提供的附件以及证明材料是否完整。 5.申请单位须提交本申请书（含附件及证明材料）纸版一份，要求盖章的地方，必须加盖公章，同时提交一份对应的电子文档（电子文档刻盘与纸板申请书一起邮寄）。 6.本申请书要求提供的附件及证明材料须单独装订成册并编目。 7.如有疑问，请与中国信息安全测评中心联系。中国信息安全测评中心地址：北京市海淀区上地西路8号院1号楼邮编：100085 电话：（010）82341571或82341576 传真：82341100 网址：https://www.360docs.net/doc/0011513417.html, 电子邮箱：zhangxy@https://www.360docs.net/doc/0011513417.html,

电信日网络信息安全知识竞赛试题

电信日网络信息安全知识竞赛试题 a、“让全球网络更安全” b、“信息通信技术：实现可持续发展的途径” c、“行动起来创建公平的信息社会” 2、信息产业部将以世界电信日主题纪念活动为契机，广泛进行宣传和引导，进一步增强电信行业和全社会的意识。 a、国家安全 b、网络与信息安全 c、公共安全版权所有 3、为了进一步净化网络环境，倡导网络文明，信息产业部于XX年2月21日启动了持续到年底的系列活动。 a、阳光绿色网络工程 b、绿色网络行动 c、网络犯罪专项整治 4、“阳光绿色网络工程”的“阳光”寓意着光明和普惠万事万物，并要涤荡网络上的污浊；“绿色”代表要面向未来构建充满生机的和谐网络环境；“网络”代表活动的主要内容以网络信息服务为主；“工程”代表活动的系统性和长期性。系列活动的副主题为：倡导网络文明，。 a、构建和谐环境 b、打击网络犯罪 c、清除网络垃圾 5、为了规范互联网电子邮件服务，依法治理垃圾电子邮件问题，保障互联网电子邮件用户的合法权益，信息产业部于XX年2月20日颁布了，自XX年3月30 日开始施行。 a、《互联网信息服务管理办法》 b、《互联网电子邮件服务管理办法》 c、《互联网电子公告服务管理规定》 6、为了防范垃圾电子邮件，互联网电子邮件服务提供者应当按照信息产业部制定的技术标准建设互联网电子邮件服务系统，电子邮件服务器匿名转发功能。 a、使用 b、开启 c、关闭 7、互联网电子邮件服务提供者对用户的和互联网电子邮件地址负有保密的义务。 a、个人注册信息 b、收入信息 c、所在单位的信息 8、向他人发送包含商业广告内容的互联网电子邮件时，应当在电子邮件标题的前部注明字样。 a、“推销” b、“商业信函” c、“广告”或“ad” 9、任何组织或个人不得利用互联网电子邮件从事传播淫秽色情信息、窃取他人信息或者等违法犯罪活动，否则构成犯罪的，依法追究刑事责任，尚不构成犯罪的，由公安机关等依照有关法律、行政法规的规定予以处罚；电信业务提供者从事上述活动的，并由电信管理机构依据有关行政法规处罚。 a、故意传播计算机病毒 b、发送商业广告 c、传播公益信息 10、为了鼓励用户对违规电子邮件发送行为进行举报，发动全社会的监督作用，信息产业部委托中国互联网协会设立了互联网电子邮件举报受理中心，其举报电话是010-12321，举报电子邮箱地址为。

2020年全球及中国信息安全市场规模分析及预测

2020年全球及中国信息安全市场规模分析及预测网络安全相关法规、政策逐渐落地，推动整体行业的发展。1）合规性政策陆续出台提升网络安全产品服务空间。2017年，《网络安全法》出台，从顶层设计上将网络安全法制化。2019 年 5 月 13 日，《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布，将于 2019 年12 月 1 日开始实施，标志着国家对信息安全技术与网络安全保护迈入 2.0时代。等保 2.0 为中国网络安全市场注入又一强力催化剂，进一步保障和提升中国在未来几年引领全球网络安全市场增速。 2）促进性法规进一步推动行业加速发展。2019 年 6 月，《国家网络安全产业发展规划》正式发布，根据规划，到2020 年，依托产业园带动北京市网络安全产业规模超过 1000 亿元，拉动 GDP 增长超过 3300 亿元，打造不少 3 家年收入超过 100 亿元的骨干企业。此外，地方政府网络安全产业规划陆续出台，为网络安全行业提供场地、资金、人才等实质性发展支持。护网行动力度加大，凸显国家对网络安全的重视。自 2016 年以来，公安部每年开展针对关键信息基础设施的实战攻防演习，被称为“护网行动”。伴随着等保 2.0 时代的到来，同时为加强新中国成立 70 周年大庆的安全保卫，2019年“护网行动”涉及范围扩大至工信、安全、武警、交通、铁路、民航、能源、新闻广电、电信运营商等单位，充分彰显国家对网络安全的重视。护网行动力度的加大，也极大促进了政企对网络安全的投入，推动安全市场的发展。

信息安全应急处理服务资质认证申请书-中国信息安全认证中心

申请编号：信息安全服务资质认证申请书申请组织（盖章）：申请日期：中国网络安全审查技术与认证中心

填写说明 1、本申请书适用于向中国网络安全审查技术与认证中心申报信息安全服务资质认证。 2、三级申请组织需提交申请书和自评价表（自评价表应包括公共管理自评价表一份）。 3、一、二级申请组织需提交申请书和自评价表（自评价表应包括公共管理、对应服务类别的自评价表各一份）。 4、申请书应使用A4型纸打印装订，首页及申请组织声明处加盖组织公章，并使用黑色钢笔或签字笔在相应位置签名（法人）。 5、申请书中所要求提交的证明材料，自评价表及自评价证据以电子版方式提供，不接受纸版材料。

信息安全服务资质认证申请书 1.申请信息 1.1申请类型初次认证级别变更1.2 资本类型 A类（不具有外资背景）B类（具有外资背景） 1.2申请类别与级别安全集成一级二级三级应急处理一级二级三级风险评估一级二级三级安全运维一级二级三级软件安全开发一级二级三级灾难备份与恢复（资源服务类）一级二级三级灾难备份与恢复（技术服务类）一级二级三级网络安全审计一级二级三级工业控制系统安全一级二级三级（工业控制所属行业：能源交通通信水利城建其他）1.3保持的类别和级别（级别变更或增加类别时填写）安全集成一级二级三级应急处理一级二级三级风险评估一级二级三级安全运维一级二级三级软件安全开发一级二级三级灾难备份与恢复（资源服务类）一级二级三级灾难备份与恢复（技术服务类）一级二级三级网络安全审计一级二级三级工业控制系统安全一级二级三级（工业控制所属行业：能源交通通信水利城建其他）2.组织基本信息（所有申请类型和级别都需填写）申请组织全称（中文）：。申请组织全称（英文）：。

信息安全知识竞赛题库

信息安全竞赛题库 1.《中国电信四川公司重大网络与信息安全事件管理办法》中的网络与信息安全管理对应的各类业务和平台包括：自营和合作类业务、直接接入网站、ISP商接入网站、各类支撑系统、业务平台、通信系统、自营或合作类网站。 2.重大网络与信息安全事件发生后，责任单位是第一责任人。 3.重大网络与信息安全事件管控，核心和重点在于风险的预防和管控。 4.对造成网络与信息安全重大事件的相关责任单位，及其领导班子、主要责任人予以考核问责，主要依据事件的情节轻重和造成的影响。 5.对造成网络与信息安全重大事件的相关责任单位，及其领导班子、主要责任人的考核处置方式包括绩效扣分、通报批评、取消评优评先资格、直至问责。 6.网络信息安全管理管理体系分为决策层、管理层和执行层。 7.安全策略体系的建设工作是以动态管理和闭环管理为方法，并是一个持续完善的过程。 8.互联网安全角色设置中主要角色包括安全管理角色、安全预警/统计分析角色、安全事件处理角色、日常安全维护角色。 9.各安全域维护单位必须明确服务安排、服务定义和服务管理的各方面内容，并对第三方服务过程进行监督和评审，确保网络安全事件和问题得到恰当的处理。 10.访问控制是指基于业务的安全需求对系统和数据的访问进行控制。 11.访问控制包括限制访问权限与能力、限制进入物理区域、限制使用网络与信息处理系统及存储数据，具体包括：账号口令管理、网络访问控制、操作系统和应用系统的访问控制、远程访问控制。 12.网络与系统风险评估要求各安全域维护单位应建立风险评估管理办法，定期对所辖定级网络与系统进行风险评估，形成风险评估报告。 13.安全事件与应急响应要求各安全域维护单位必须遵循并贯彻“积极预防，及时发现，快速响应，确保恢复”的方针，建立安全事件报告机制及应急响应机制。 14.安全审计管理明确安全审计的范围应该包括各类网络与系统，业务平台与信息资产、组织与人员、业务流程等。 15.安全审计应作为安全日常工作的一部分定期开展。 16.安全事件就来源不同可分为外部发现和内部发现两类。 17.网络信息安全指通过采取必要的措施，防范对网络攻击、入侵、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。 18.信息安全指在中国电信范围内，采取有效使网络数据与网络信息不受偶然或恶意的威胁，保障网络数据与网络信息的完整性、保密性、可用性以及合法合规性的能力；在发生信息安全事件时，能够最大程度降低信息安全事件所造成的影响。 19.信息安全基础管理原则包括一把手责任制和分级管理。 20.信息安全管理办法按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”原则，对责任单位划分为统筹管理部门、归口管理部门、业务运营管理部门、支撑管理部门四类。 21.网络数据和信息保存、提取、使用中，明确了必须遵守“合法、正当、必要”的原则。 22.责任单位必须对访问、提取使用、传递、消除等操作定期进行审计，履行信息安全管理责任。 23.合作方可以访问或使用的中国电信内部网络数据与网络信息，由责任单位承担管理和安全防护责任。 24.信息安全事件按照影响程度分为特大、重大、一般信息安全事件。 25.发生信息安全事件时，要按照要求立即进行上报并组织开展处置，其中特大和重大事件10分钟内上报省公司，处置情况20分钟内简要报送，24小时内简要书面报告，4个工作日内专题报告。 26.未实现电子化管理的用户信息资料必须落实到具体的使用人员，以权限最小化的原则进行查阅、使用和销毁。 27.所有涉及用户信息保护的人员签订保密协议，涉及用户信息查阅的支撑账号按季度定期审计。 28.互联网新技术、新业务信息安全评估指运用科学的方法和手段，系统地识别互联网业务经营过程中存在的信息安全风险，评估风险导致的信息安全事件一旦发生可能造成危害程度，进而提出综合性和可操作性的预防信息安全事件发生的管理对策和安全措施。 29.双新业务评估的对象包括基础电信企业及增值电信企业运营的互联网业务，以及可能被不法分子利用实施通讯信息诈骗的电信业务。 30.重点存量业务未经安全评估，业务部门必须立即停止发展。

电信信息安全管理制度

甘孜电信信息安全管理制度一、信息安全管理制度（一）、州公司各部门工作界面 1、市场拓展部：负责信息类业务整体规划、审核；负责对信息业务的整体把关；负责对外协调、公关，负责统一媒体宣传口径等工作。 2、信息化应用中心：负责制订信息安全工作管理规范，负责对州县信息安全工作的检查指导；负责信息安全管理体系相关技术平台的开发建设；负责承接省公司信息安全工作要求，负责组织开展本地的信息安全管理工作；负责本地互联网接入、合作接入及信息发布平台等本地管理的业务、平台的信息安全保障工作。二、信息业务接入审核（一）、与甘孜电信开展增值业务合作(包括：短信、声讯、互联网)，需要进行接入审核，合作SP必须具备以下基本资质： 1、基本条件（1）拥有信息产业部或其下属管理机构颁发的《电信增值业务经营许可证》，并确保其服务覆盖范围为其合法经营范围。（2）具备开发增值业务应用的技术实力和运营团队，完备的售前、售中、售后服务体系和合法、可靠的资讯来源。（3）符合中华人民共和国国务院令（第292号）《互联网信息服务管理办法》等互联网信息服务行业管理规定。（4）工商部门批准的公司机构。

2、准入条件（1）从事本地业务SP的注册资本金不低于100万人民币。（2）拥有独特的业务资源或具有创新性的业务。（3）具有完善的业务策划和商业计划。（4）主要管理人员应具有从事电信增值业务工作两年以上的管理经验，能够深入理解增值业务合作SP管理办法，熟悉各类业务流程、营销策略制定及推广、产品管理等。（5）符合《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际互联网保密管理规定》、《信息服务九不准》等相关管理规定。注：凡是合作中涉及视频业务，在本办法中另行说明； 3、SP应准备的申请资料（1）企业法人营业执照 (正副本复印件) （2）企业税务登记证（国税、地税正副本复印件）（3）增值电信业务经营许可证(复印件) （4）银行开户许可证(复印件) （5）四川电信增值业务(短信、声讯、互联星空等)项目商业合作计划书（包含如下内容） a、公司简介及团队介绍。 b、业务详细介绍：包括业务内容、业务定价、信息来源、特殊信息的版权、授权及合法性等资料；相关信息资讯来源许可证书(复印件)，特别对于如新闻、音乐体育版权、心理咨询信息等经营许可

国家信息安全测评

国家信息安全测评工业控制系统产品安全测评服务白皮书 ?版权2014—中国信息安全测评中心二〇一四年八月

目录 1. 目的和意义 (2) 2. 业务范围 (2) 3. 业务类型 (2) 4. 业务实施 (3)

1. 目的和意义工业控制系统产品（以下简称工控产品）安全测评的目的是促进高质量、安全和可控的工控产品的开发，具体目的和意义包括： 1）对工控产品依据相关标准规范进行测评； 2）判定工控产品是否满足安全要求； 3）有助于在涉及国家安全的工业自动化生产领域中加强工控产品的安全性和可控性，维护国家和用户的安全利益； 4）促进国内工控产品市场优胜劣汰机制的建立和完善，规范市场。 2. 业务范围工控产品分为控制类产品（即工业控制设备）和安全类产品（工业安全设备）。 1）控制类产品包括可编程控制器（PLC）、离散控制系统（DCS）、远程终端单元（RTU）、智能电子设备（IED）、各行业控制系统等用于生产控制的产品。 2）安全类产品包括工业防火墙、工业安全网关、工业异常监测产品、工业应用软件漏洞扫描产品等用于工业环境安全防护的产品。 3. 业务类型工控产品安全测评类型分为标准测试、选型测试和定制测试等。 1）标准测试依据第三方标准规范（如国家标准、测评中心测试规范等），测评工控产品的功能、性能、安全等指标，通过后颁发“工业控制系统安全技术测评证书”。 2）选型测试根据委托方提出的测评要求对工控产品进行测试，形成选型测试报告，为委托方在产品选型采购时提供技术依据。选型测试内容包括：功能测试、性能测试、安全测试等，具体测试项目和指标由

委托方与中心共同确认。 3）定制测试依据委托方要求对工控产品进行测试，形成定制测试报告。 4. 业务实施 4.1 测试依据依据标准： 1）GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》； 2）《工业防火墙安全测评准则》 3）《工业安全网关安全测评准则》 4）《工业异常监测系统安全测评准则》 5）《工业漏洞扫描产品安全测评准则》 6）…… 4.2 证据需求根据业务内容的要求，申请方需提交的证据包括： 1）测评申请书 2）测评所需文档 3）被测产品 4.3 业务流程测评流程分为以下四个阶段：申请阶段、预测评阶段、测评阶段和报告与证书发放阶段（如下图所示）。