第十期《我国信息安全技术标准体系与认证认可制度介绍》

合集下载

ISMS信息安全管理及相关标准简介

信息安全管理及相关标准简介一、社会发展对信息资源的依赖程度人类正进入信息化社会，社会发展对信息资源的依赖程度越来越大，从人们日常生活、组织运作到国家管理，信息资源都是不可或缺的重要资源，没有各种信息的支持，现代社会将不能生存和发展。

在信息社会中，一方面信息已成为人类重要资产，在政治、经济、军事、教育、科技、生活等方面发挥着重要作用，另一方面计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。

由于信息具有易传播、易扩散、易毁损的特点，信息资产的比传统的实物资产更加脆弱，更容易受到损害，使组织在业务运作过程中面临大量的风险。

其风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节，以及大量存在于组织内、外的各种威胁,因此对信息系统需要加以严格管理和妥善保护。

信息可以理解为消息、情报、数据或知识，它可以以多种形式存在，可以是组织中信息设施中存储与处理的数据、程序，可以是打印出来的或写出来的论文、电子邮件、设计图纸、业务方案，也可以显示在胶片上或表达在会话中消息。

所有的组织都有他们各自处理信息的形式，例如，银行、保险和信用卡公司都需要处理消费者信息，卫生保健部门需要管理病人信息，政府管理部门存储机密的和分类信息。

无论组织对这些信息采用什么样的共享、处理和存储方式，都需要对敏感信息加以安全、妥善的保护，不仅要保证信息处理和传输过程是可靠的、有效的，而且要求重要的敏感信息是机密的、完整的和真实的。

为达到这样的目标，组织必须采取一系列适当的信息安全控制措施才可以使信息避免一系列威胁，保障业务的连续性，最大限度地减少业务的损失，最大限度地获取投资回报。

在ISO27002中，对信息的定义更确切、具体：“信息是一种资产，像其他重要的业务资产一样，对组织具有价值，因此需要妥善保护”。

通过风险评估与控制，不但能确保企业持续营运，还能减少企业在面对类似‘911事件’之时出现的危机。

二、信息安全的内容网络技术的发展加速了信息的传输和处理,缩短了人们之间的时空距离,方便了交流；同时对信息安全提出了新的挑战。

2013年公需课《信息化建设与信息安全》的一次在线考核(93分,仅错11题)

2013年公需课《信息化建设与信息安全》的一次在线考核（93分，仅错11题）1、（）是指信息不泄露给非授权用户，即使非授权用户获得保密信息也无法知晓信息的内容。

（5分）5分∙A. 保密性∙B. 完整性∙C. 可用性∙D. 不可否认性∙E. 可控性本题解答：正确答案：A暂无解析!查看本题解析2、2011年12月30日，国务院办公厅公布的三网融合第二阶段试点城市有（）个。

（5分）5分∙A. 30∙B. 20∙C. 42∙D. 50本题解答：正确答案：C暂无解析!查看本题解析3、以下是“智慧城市”示范工程的是（）。

（5分）5分∙A. 上海世博园∙B. 无锡“感知中国”中心∙C. 杭州图书馆新馆∙D. 以上都是本题解答：正确答案：D暂无解析!查看本题解析4、二维码技术属于物联网的技术体系框架中的哪一层次：（）。

（5分）5分∙A. 感知∙B. 传输∙C. 支撑∙D. 应用本题解答：正确答案：A暂无解析!查看本题解析5、云计算的层次服务不包括以下哪一项：（）。

（5分）5分∙A. HaaS(Hardware-as-a-Service)：硬件即服务∙B. SaaS (Software-as-a-Service)：软件即服务∙C. PaaS(Platform-as-a-Service)：平台即服务∙D. IaaS(Infrastructure-as-a-Service)：基础设施即服务。

本题解答：正确答案：A暂无解析!查看本题解析6、下列关于信息安全产品的统一认证制度说法正确的是：（）。

（5分）5分∙A. 我国对于重要的安全信息产品实行强制性认证，所有产品都必须认证合格才能出厂，进口，销售和使用∙B. 根据产品的安全性和应用的领域，统一认证制度分为强制性认证和自愿性认证两种认证方式∙C. 认证机构，认可技术委员会，国家信息安全产品认证管理委员会组成了我国的信息安全产品认证认可体系∙D. 目前我国承担信息安全产品强制性认证工作的认证机构有中国信息安全认证中心等机构本题解答：正确答案：B暂无解析!查看本题解析7、信息资源集成化管理的基础是（）。

精选关于我国信息安全的若干基本问题

对我国信息网络脆弱性
是否有正确的判断？
互联网的广泛应用可能使网络的互联互通发生了变化在发生突发事件的情况下，能否保证用户的有效接入？缺少全面认真地研究和分析对网络与信息系统脆弱性的正确判断是积极防御、综合防范的基础
问题4：商业密码算法是否应当是国家秘密？
密码管理体制面临的挑战
面临电子政务特别是电子商务的开放环境面临全球漫游的通信环境（无线通信、互联网等）面临通用信息系统的密码管理（操作系统等）密码管理工作必须适应经济全球化保护信息的保密性、完整性和可用性都需要考虑成本考虑成本，就要平衡损失与投入，要考虑时效，要考虑综合防范
问题8：不适当的保密是否造成了一个怪圈？
一个需要解决的的怪圈
（不适当的内容、范围、期限等）保密→保守→ （技术和产业）落后→ 不得不（大规模）引进 → 无密可保或不能有效保密→ 进一步加强保密→
问题5：商业密码管理如何适应改革开放的大环境？密码管理是加强开放系统管理的重要手段
封闭管理与开放环境的矛盾
封闭管理一般适用于规模相对小并容易控制的环境开放环境是面向全社会的大环境管理上往往表现出力不从心过分管理又限制了发展
要适应我国信息化发展的需求
《国家信息化领导小组关于加强信息安全保障工作的意见》中提出：按照满足需求、方便使用、加强管理的原则修改完善密码管理法规建立健全适应信息化发展的密码管理体制
关键问题
适应信息化发展和国家安全的需求，着实提高产品安全的检测水平避免重复检测，重复收费，推动产业发展
如果所提问题符合国情，欢迎参加讨论！谢谢！
9、静夜四无邻，荒居旧业贫。。10、雨中黄叶树，灯下白头人。。11、以我独沈久，愧君相见频。。12、故人江海别，几度隔山川。。13、乍见翻疑梦，相悲各问年。。14、他乡生白发，旧国见青山。。15、比不了得就不比，得不到的就不要。。。16、行动出成果，工作出财富。。17、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。。9、没有失败，只有暂时停止成功！。10、很多事情努力了未必有结果，但是不努力却什么改变也没有。。11、成功就是日复一日那一点点小小努力的积累。。12、世间成事，不求其绝对圆满，留一份不足，可得无限完美。。13、不知香积寺，数里入云峰。。14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。15、楚塞三湘接，荆门九派通。。。16、少年十五二十时，步行夺得胡马骑。。17、空山新雨后，天气晚来秋。。9、杨柳散和风，青山澹吾虑。。10、阅读一切好书如同和过去最杰出的人谈话。11、越是没有本领的就越加自命不凡。12、越是无能的人，越喜欢挑剔别人的错儿。13、知人者智，自知者明。胜人者有力，自胜者强。14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。15、最具挑战性的挑战莫过于提升自我。。16、业余生活要有意义，不要越轨。17、一个人即使已登上顶峰，也仍要自强不息。

计算机信息网络安全员培训试题8

计算机信息⽹络安全员培训试题8计算机信息⽹络安全员培训试题8在实现信息安全的⽬标中，信息安全技术和管理之间的关系以下哪种说法不正确？1>产品和技术，要通过管理的组织职能才能发挥最好的作⽤2>技术不⾼但管理良好的系统远⽐技术⾼但管理混乱的系统安全3>信息安全技术可以解决所有信息安全问题，管理⽆关紧要4>实现信息安全是⼀个管理的过程，⽽并⾮仅仅是⼀个技术的过程Cid=19 gid=69在实现信息安全的⽬标中，以下哪⼀项措施值得我们推⼴1>管理层明显的⽀持和承诺2>有效地向所有管理⼈员和员⼯推⾏安全措施3>为全体员⼯提供适当的信息安全培训和教育4>⼀整套⽤于评估信息安全管理能⼒和反馈建议的测量系统5>以上答案都是Eid=20 gid=70以下哪个标准是信息安全管理国际标准？1>ISO9000-20002>SSE-CMM3>ISO177994>ISO15408Cid=21 gid=71ISO17799是由以下哪个标准转化⽽来的？1>BS7799-12>BS7799-23>SSE-CMM4>橘⽪书Aid=22 gid=72我们经常说的CC指的是以下哪⼀个标准1>TCSEC2>SSE-CMM3>ISO177994>ISO15408Did=23 gid=73信息安全管理体系中的“管理”是指1>⾏政管理2>对信息、⽹络、软硬件等物的管理3>管辖4>通过计划、组织、领导、控制等环节来协调⼈⼒、物⼒、财⼒等资源，以期有效达到组织信息安全⽬标的活动Did=24 gid=74信息安全管理体系是指1>实现信息安全管理的⼀套计算机软件2>实现信息安全管理的⼀套组织结构3>建⽴信息安全⽅针和⽬标并实现这些⽬标的⼀组相互关联相互作⽤的要素4>实现信息安全管理的⾏政体系Cid=25 gid=75信息安全管理体系中要素通常包括1>信息安全的组织机构2>信息安全⽅针和策略3>⼈⼒、物⼒、财⼒等相应资源4>各种活动和过程5>以上都是Eid=26 gid=76信息安全⽅针是⼀个组织实现信息安全的⽬标和⽅向，它应该1>由组织的最⾼领导层制定并发布2>定期进⾏评审和修订3>贯彻到组织的每⼀个员⼯4>以上各项都是Did=27 gid=77确定信息安全管理体系的范围是建设ISMS的⼀个重要环节，它可以根据什么1>组织结构如部门2>所在地域3>信息资产的特点4>以上各项都是Did=28 gid=78信息安全风险评估应该1>只需要实施⼀次就可以2>根据变化了的情况定期或不定期的适时地进⾏3>不需要形成⽂件化评估结果报告4>仅对⽹络做定期的扫描就⾏Bid=29 gid=79信息安全风险管理应该1>将所有的信息安全风险都消除2>在风险评估之前实施3>基于可接受的成本采取相应的⽅法和措施4>以上说法都不对Cid=30 gid=80选择信息安全控制措施应该1>建⽴在风险评估的结果之上2>针对每⼀种风险，控制措施并⾮唯⼀3>反映组织风险管理战略4>以上各项都对Did=31 gid=81关于PDCA循环，以下哪⼀种说法不正确1>PDCA循环是计划－实施－检查－改进的⼀次性活动2>PDCA循环是按计划－实施－检查－改进的顺序进⾏，靠组织的⼒量推动的周⽽复始、不断循环的活动3>组织中的每个部分，甚⾄个⼈，均可运⾏PDCA循环，⼤环套⼩环，⼀层⼀层地解决问题4>每进⾏⼀次PDCA 循环，都要进⾏总结，提出新⽬标，再进⾏第⼆次PDCAAid=32 gid=82过程是指1>⼀组将输⼊转化为输出的相互关联或相互作⽤的活动2>⼀个从起点到终点的时间段3>⼀组有始有终的活动4>⼀组从开始到结束的相互关联相互作⽤的活动Aid=33 gid=83如果把组织实现信息安全⽬标的活动看作是⼀个过程，那么这个过程的输⼊和输出分别是1>信息安全解决⽅案和信息安全项⽬验收2>信息安全要求和信息安全要求的实现3>信息安全产品和解决信息安全事件4>信息不安全和信息安全Bid=34 gid=84关于实现信息安全过程的描述，以下哪⼀项论述不正确1>信息安全的实现是⼀个⼤的过程，其中包含许多⼩的可细分过程2>组织应该是别信息安全实现中的每⼀个过程3>对每⼀个分解后的信息安全的过程实施监控和测量4>信息安全的实现是⼀个技术的过程Did=35 gid=85以下哪⼀项是过程⽅法中的要考虑的主要因素1>责任⼈、资源、记录、测量和改进2>时间、财务、记录、改进3>责任⼈、时间、物资、记录4>资源、⼈、时间、测量和改进Aid=36 gid=86建⽴和实施信息安全管理体系的重要原则是1>领导重视2>全员参与3>⽂档化4>持续改进5>以上各项都是Eid=37 gid=87组织在建⽴和实施信息安全管理体系的过程中，领导重视可以1>指明⽅向和⽬标2>提供组织保障3>提供资源保障4>为贯彻信息安全措施提供权威5>以上各项都是Eid=38 gid=88关于全员参与原则的理解，以下哪⼀项说法不确切1>信息安全并⾮仅仅是IT部门的事2>每⼀个员⼯都应该明⽩，时时处处都存在信息不安全的隐患3>每⼀个员⼯都应该参与所有的信息安全⼯作4>每⼀个员⼯都应该明确⾃⼰肩负的信息安全责任Cid=39 gid=89组织在建⽴和实施信息安全管理体系的过程中，⽂档化形成的⽂件的主要作⽤是1>有章可循，有据可查2>⽤于存档3>便于总结、汇报4>便于检查⼯作Aid=40 gid=90信息安全的持续改进应该考虑1>分析和评价现状，识别改进区域2>确定改进⽬标3>选择解决办法4>实施并测量⽬标是否实现5>以上都包括Eid=41 gid=91你认为建⽴信息安全管理体系时，⾸先因该1>风险评估2>建⽴信息安全⽅针和⽬标3>风险管理4>制定安全策略Bid=42 gid=92我国对信息安全产品实⾏销售许可证管理制度，以下哪个部门具体负责销售许可证的审批颁发⼯作1>中国信息安全产品测评认证中⼼2>公安部公共信息⽹络安全监察局3>信息安全产业商会4>互联⽹安全协会Bid=43 gid=93⽬前我国提供信息安全从业⼈员资质-CISP认证考试的组织是1>中国信息安全产品测评认证中⼼2>公安部公共信息⽹络安全监察局3>信息安全产业商会4>互联⽹安全协会Aid=44 gid=94⽬前我国提供信息安全产品检测、认证的组织包括1>中国信息安全产品测评认证中⼼2>公安部第三研究所3>解放军信息安全产品测评认证中⼼4>国家保密局5>以上都是Eid=45 gid=95⽬前我国颁布实施的信息安全相关标准中，以下哪⼀个标准属于强制执⾏的标准1>GB/T 18336-2001 信息技术安全性评估准则2>GB 17859-1999 计算机信息系统安全保护等级划分准则3>GB/T 9387.2-1995 信息处理系统开放系统互联安全体系结构4>GA/T 391-2002 计算机信息系统安全等级保护管理要求Bid=46 gid=96我国信息安全标准化组织是1>互联⽹安全协会2>计算机安全学会3>信息安全标准化委员会4>信息安全专业委员会Cid=47 gid=97CERT是计算机紧急响应⼩组的英⽂缩写，世界各国⼤都有⾃⼰CERT，我国的CERT是1>互联⽹安全协会2>国家计算机⽹络与信息安全管理中⼼3>公安部公共信息⽹络安全监察局4>中国信息安全产品测评认证中⼼Bid=48 gid=98我国规定商⽤密码产品的研发、制造、销售和使⽤采取专控管理，必须经过审批，所依据的是1>商⽤密码管理条例2>中华⼈民共和国计算机信息系统安全保护条例3>计算机信息系统国际联⽹保密管理规定4>中华⼈民共和国保密法Aid=49 gid=99“物理隔离”这⼀项控制措施依据的是以下哪⼀个法规1>商⽤密码管理条例2>中华⼈民共和国计算机信息系统安全保护条例3>计算机信息系统国际联⽹保密管理规定4>中华⼈民共和国保密法Cid=50 gid=100发⽣⿊客⾮法⼊侵和攻击事件后，应及时向哪⼀个部门报案1>公安部公共信息⽹络安全监察局及其各地相应部门2>国家计算机⽹络与信息安全管理中⼼3>互联⽹安全协会4>信息安全产业商会Aid=3 title="第三章⼩测验" qtotal=49 ask=20 pass=14 id=1 gid=101我国的信息安全⾏政法律体系有那⼏部分组成？1>法律2>⾏政法规和部门规章3>法律、⾏政法规和部门规章Cid=2 gid=102法律是由那个部门通过的？1>⼈民代表⼤会2>国务院3>政府部门Aid=3 gid=103⾏政法规(条例)是由那个部门通过的？1>⼈民代表⼤会2>国务院3>政府部门Bid=4 gid=104部门规章是由那个部门通过的？1>⼈民代表⼤会2>国务院3>政府部门Cid=5 gid=105以下那部分没有直接描述信息安全？1>法律2>⾏政法规3>部门规章Aid=6 gid=106我国《刑法》中第⼏条规定了“⾮法侵⼊计算机信息系统罪”1>第⼆百⼋⼗五条2>第⼆百⼋⼗六条3>第⼆百⼋⼗七条Aid=7 gid=107我国《刑法》中第⼏条规定了“破坏计算机信息系统罪”1>第⼆百⼋⼗五条2>第⼆百⼋⼗六条3>第⼆百⼋⼗七条Bid=8 gid=108我国《刑法》中规定的“⾮法侵⼊计算机信息系统罪”是指1>侵⼊国家事务、国防建设、尖端技术领域的计算机信息系统，没有破坏⾏为。

《我国信息安全技术标准体系与认证认可制度介绍》

第十期《我国信息安全技术标准体系与认证认可制度介绍》一. 什么是信息安全技术标准体系？为了规范信息系统建设、资源保护、管理、服务等信息安全各方面的建设,使信息安全在各个方面都有据可依，信息安全标准的制定显得十分重要，国际国内都形成了具有一定规模的信息安全标准体系.信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体，是编制信息安全标准编制、修订计划的重要依据,是促进信息安全领域内的标准组成趋向科学合理化的手段.信息安全技术领域有国际标准体系、国家标准体系、行业标准体系和地方标准体系等，而且通常高层次的标准体系对下有约束力。

事实上,在这些特定领域标准的执行还要看各个国家的管理法规和制度。

国际信息安全标准体系主要由信息系统安全的一般要求、开发安全技术和机制、开发安全指南和安全管理支撑性文件和标准等几部分组成。

二。

国内外信息安全标准化组织有哪些？国际上与信息安全标准化有关的组织主要有以下四个.1.ISO/IEC JTC1（信息技术标准化委员会）所属SC27（安全技术分委员会）的前身是SC20（数据加密技术分委员会），主要从事信息技术安全的一般方法和技术的标准化工作。

ISO/TC68负责银行业务应用范围内有关信息安全标准的制定，主要制定行业应用标准，与SC27有着密切的联系。

ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面。

2。

lEC在信息安全标准化方面除了与ISO联合成立了JTC1下的分委员会外,还在电信、信息技术和电磁兼容等方面成立了技术委员会，如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通信技术电子设备的安全等,并且制定相关国际标准。

3.ITU SG17组负责研究网络安全标准，包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务等.4。

IETF(Internet工程任务组）制定标准的具体工作由各个工作组承担。

信息安全产品实施政府采购的相关政策要求

信息安全产品实施政府采购的相关政策要求目录1. 相关政策文件及通知 (2)1.1 福建省财政厅通知： (2)1.2 （财库〔2010〕48号）主要内容： (2)1.3 《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）文件重点内容： (3)2. 信息安全等级保护法规： (3)3. 防火墙产品ISCCC认证级别与等级保护要求对比： (4)3.1 信息安全等级保护技术要求： (4)3.2 防火墙ISCCC认证技术要求： (5)3.3 技术要求对比结论 (6)4. 经常接触产品的ISCCC认证情况： (7)5. 目前获得ISCCC认证的产品名录： (14)1. 相关政策文件及通知1.1 福建省财政厅通知：省直各单位，各设区市财政局、信息产业主管部门、质监局：根据《中华人民共和国政府采购法》，为进一步贯彻落实质检总局、财政部、认监委《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）要求，规范政府采购信息安全产品行为，现将《财政部、工业和信息化部、质检总局、认监委关于信息安全产品实施政府采购的通知》（财库〔2010〕48号）转发给你们，请认真遵照执行。

二0一0年五月十九日1.2 （财库〔2010〕48号）主要内容：一、各级国家机关、事业单位和团体组织(以下统称采购人)使用财政性资金采购信息安全产品的，应当采购经国家认证的信息安全产品。

二、在政府采购活动中，采购人或其委托的采购代理机构按照政府采购法的规定一在政府采购招标文件(包括谈判文件、询价文件)中应当载明对产品获得信息安全认证的要求，并要求产品供应商提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书。

三、对采购人或其委托的采购代理机构未按上述要求采购的，有关部门要按照有关法律、法规和规章予以处理，财政部门视情况可以拒付采购资金。

1.3 《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）文件重点内容：根据《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）规定，在政府采购法规定范围内实行强行认证，未获得强制性认证证书和未加施中国强制性认证标志的，不得进入政府采购领域。

中国信息安全认证中心

中国信息安全认证中心中国信息安全认证中心（China Information Security Certification Center，简称“CISCC”）是中国专门从事信息安全认证和相关技术服务的国家级机构。

成立于1998年，是经中华人民共和国认证认可监管部门批准设立的、具有独立法人资格的非营利性社会组织，隶属于国家利益的领域。

其宗旨是保护信息安全，提高信息安全水平，促进经济社会的可持续发展。

一、机构架构CISCC主要由认证与评估部、密码与安全技术部、科学技术研究部、信息安全应急联动中心、证书管理中心等五个部门构成。

其中认证与评估部是其核心部门，承担着对各类信息系统的安全认证、安全评估等任务。

二、业务范围1. 认证服务CISCC在信息安全认证方面具有多年的经验和技术积累，拥有国际领先的信息安全认证服务。

其认证业务主要包括以下几个方面：1.1. 信息系统安全等级保护评估认证信息系统安全等级保护是国家强制性的安全保护措施之一，对于各类重要信息系统的安全防护来说至关重要。

CISCC 的信息系统安全等级保护评估认证业务主要包括：（1）信息系统安全等级评估认证；（2）信息系统安全防护产品安全等级评估认证；（3）信息安全等级保护培训和咨询。

1.2. 信息安全管理体系认证信息安全管理体系认证是指在信息系统运行过程中，采用相关管理规范和标准，建立管理制度来保护信息资产的活动。

CISCC的信息安全管理体系认证业务主要包括：（1）ISO 27001信息安全管理体系认证；（2）GB/T 22080信息安全管理体系认证；（3）CISCC信息安全管理体系认证。

1.3. 其他信息安全认证CISCC的认证业务还包括其他信息安全认证项目，如：密码技术安全认证、市场网络安全评估、云计算安全认证等。

2. 技术服务CISCC的技术服务主要包括区块链技术、密码技术、信息安全应急服务等。

其技术服务专家团队由具有多年从业经验的专业技术人员组成，服务范围包括政府部门、企业、金融机构、电子政务和社会公益组织等。

“自主原创证明体系”重点推介

C N I T S E C 信息化社会开放、互联网的本质属性以及经济全球化的发展趋势，也不适应当前我国信息产业的输出能力和水平。

因此在关键领域实现“自主可控”既是一个长远的战略考虑，也是规避信息安全风险、确保我国信息安全现实而有效的手段。

当然，“自主制造”也不等于“自主可控”。

我们要对各类信息技术产品的风险和隐患、漏洞和问题都要做到“心中有底、手中有招、控制有效”，不论是自主研制的，还是大量使用的国外软硬件产品。

自主创新的探索与实践中国信息安全测评中心（以下简称国家测评中心）肩负着信息安全漏洞分析和风险评估的国家职责，在探索实现自主可控、维护国家信息安全方面一直进行着不懈的探索与努力。

2009年10月，中国国家漏洞库正式投入运行，信息安全产品自主原创证明工作正式启动。

国家测评中心依靠十多年工作的积累和国家专项资金的支持，通过建立漏洞收集、分析、通报和面向应用的工作机制，极大地提高了国家应对信息安全威胁的能力和管控风险的水平。

同时，依托国家漏洞库的数据资料和软件源代码等方面的独特优势，同期开展信息安全产品“自主原创证息技术和互联网技术的飞速发展，给人们的生产生活带来了翻天覆地的变化和便利，同时也带来了一系列信息安全问题，而且这个问题目前已远远突破了计算机安全的疆域，上升和演变为国家安全的问题。

要保障国家安全就要保障信息安全，要保障信息安全就要做到自主创新，有自己的原创技术产品；对外来的产品做到自主可控。

令人欣喜的是，近年来我国已出现了这样一批信息安全企业和部门，他们以国家安全利益为己任，在信息安全自主创新的道路上积极探索，研发了一批有自主知识产权的安全技术产品，摸索了一些行之有效的方法，得到了国家有关部门的肯定。

信息安全形势严峻我国信息化建设发展速度很快，但整体水平还不高，面临的信息安全问题也比较复杂。

这里面，一方面有全球化的共性问题，诸如：系统漏洞、网络窃密、网络攻击、恶意代码、垃圾邮件、虚假有害信息和网络违法犯罪等；另一方面是由于我国在操作系统、核心芯片、大型专用软件、数据库、高端路由器等领域严重依赖国外产品。

信息安全管理体系介绍

2006年 3月认监委批准4家ISMS试点认证机构：华夏认证中心等四家认证机构
2006年10月商务部关于做好服务外包“千百十工程”企业认证和市场开拓有关工作的通知
谢谢！
据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达100多亿美元，还有日益增加的趋势，那么，信息安全问题主要是由哪方面的原因引起呢？据有关部门统计，在所有的计算机安全事件中，约有52%是人为因素造成的，25%由火灾、水灾等自然灾害引起，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。简单归类，属于管理方面的原因比重高达70%以上，也就是说，真正的信息安全是需要系统的管理来保证的
(1）法律法规与合同条约的要求
（2）组织自身业务持续性发展的要求
（3）客户的要求
建立信息安全管理体系的必要性
· 能全面了解自身的重要信息资产和信息安全现状，使企业的信息安全得到有效管理和控制
· 加强公司信息资产的安全性，保障业务持续开展与紧急恢复
· 强化员工的信息安全意识，规范组织信息安全行为
的信息。 c）共享信息 – 组织需要与其他贸易
合作伙伴分享的信息。
信息安全管理体系发展历程：
1995年英国标准协会颁布了指南性标准 BS7799-1:1995《信息安全管理实施细则》
1999年，BS7799-1:1995修订后再次由英国标准协会颁布，BS7799-2信息安全管理体系规范也在同年颁布。
信息安全应具备以下几个方面的特征：
a）保密性 - 确保信息仅允许授权人员访问。 b）完整性 - 信息及其处理方法的准确和全面。 c）可用性 - 确保在需要时，授权用户能访问
到信息、接触到相关资产。

2024年3月《认证通用基础》真题

2024年3月《认证通用基础》试题1.WTO/TBT协议规定了各成员国合格评定的原则的目的是为了（）。

A.减少合格评定活动对贸易的负面影响B.增加各成员国的贸易壁垒C.提高合格评定活动的约束性D.提升合格评定活动对贸易的影响参考答案：A【考题解析】参考《合格评定》P9为减少合格评定活动对贸易的负面影响，WTO/TBT协议规定了各成员国合格评定的原则。

2.认证是有关产品、过程、管理体系、人员的（）。

A.第一方声明B.第二方声明C.第三方声明D.公共性评价和检查参考答案：C【考题解析】《合格评定》P37认证是有关产品，过程、体系和人员的第三方证明。

3.合格评定活动中对选取和确定活动及其结果的适宜性、充分性和有效性进行的验证是（）。

A.证明B.检验C.验收D.复核参考答案：D【考题解析】参看《合格评定》P21复核（review）；针对合格评定对象满足规定要求的情况，对选取和确定活动及其结果的适宜性、充分性和有效性进行的验证。

4.在现场审核时应尽量减少审核活动与受审核方工作的（）。

A.交流B. 互动C.相互干扰D.时间重要参考答案：C【考题解析】参看审核概论P85其缺点是：一个过程往往涉及多个部门，审核过程中会出现一个部门重复往返接受审核的情况，效率较低。

在部门较多的情况下，受审核方的各部门会全程等候，对受审核方的正常工作过程干扰较大。

5.GB/T27021.1，IDTISO/IEC17021—1《合格评定管理体系审核机构要求第1部分：要求》规定："应对整个认证周期制订审核方案，以清晰地识别所需要的审核活动，使客户的管理体系符合认证所依据标准或其他规范B. 监督C. 确定D.复核与证明参考答案：A【考题解析】参看《合格评定基础》P81：选取阶段是要确定采用何种要求和方法，选取何种信息来实施对合格评定的对象的评价，怎样从申请中确定评价的范围和对象等。

包括选取方案、选取评价方法和要素、选取体系的要求数量、抽样方案要求、选取评价的对象等。

信息安全体系考试试卷(A)附答案

一、单项选择1、Cp是理想过程能力指数，Cpk是实际过程能力指数，以下（）是正确的。

A、Cp＞CpkB、Cp＜CpkC、Cp≤CpkD、Cp≥Cpk2、信息安全是保证信息的保密性、完整性、（）。

A、充分性B、适宜性C、可用性D、有效性3、应为远程工作活动制定：开发和实施策略、（）和规程。

A、制定目标B、，明确职责C、编制作业指导书D、操作计划4、一个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大可能性。

A、已经发生B、可能发生C、意外D、A+B+C5、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）。

A、国家经营B、地方经营C、许可制度D、备案制度6、以下说法不正确的是（）A、应考虑组织架构与业务目标的变化对风险评估结果进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新7、组织在建立和评审信息安全管理体系时，应考虑（）A、风险评估的结果B、管理方案C、法律、法规和其他要求D、A+C8、管理体系是指（）。

A、建立方针和目标并实现这些目标的体系B、相互关联的相互作用的一组要素C、指挥和控制组织的协调活动D、以上都对9、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对10、以下属于计算机病毒感染事件的纠正预防措施的是（）A、对计算机病毒事件进行相应调查和处理B、将感染病毒的计算机从网络隔离C、对相关责任人进行处罚D、以上都不对11、监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局12、国家秘密的密级分为（）A、绝密B、机密C、秘密D、以上都对13、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查。

《信息安全技术》课件

技术漏洞
软硬件缺陷、配置错误等。
信息安全的防护策略
物理安全
保护硬件设施和通信线路，防止物理破坏和非
法访问。
网络安全
建立防火墙、入侵检测系统等，防范外部威胁
。
主机安全
加强用户账户管理、访问控制等，防范内部威
胁。
应用安全
对应用程序进行安全测试、漏洞扫描等，确保
应用程序的安全性。
02
密码学基础
《信息安全技术》ppt课件
contents
目录
• 信息安全概述 • 密码学基础 • 网络安全技术 • 应用安全技术 • 信息安全法律法规与标准 • 信息安全实践案例分析
01
信息安全概述
信息安全的定义
信息安全是指保护信息系统免受未经授权的访问、使用、泄露、破坏、修改，以及中断等风险，确保信息的机密性、完整性和可用性。
防火墙部署
防火墙的部署应根据网络结构和安全需求进行合理配置，一般可部署在网络的入口处或重要节点上。
入侵检测系统
入侵检测定义
入侵检测系统是一种用于检测和响应网络攻击的安全系统，能够实时监控网络流量和用户行为，
发现异常情况并及时报警。
入侵检测类型
根据数据来源和应用场景，入侵检测系统可分为基于主机的入侵检测系统和基于网络的入侵检测
信息安全的目的是维护组织或个人在处理敏感信息时的安全和隐私，防止因非法入侵、恶意攻击、内部泄露等原因导致的信息泄露、篡改或损坏。
信息安全的威胁来源
外部威胁
黑客攻击、病毒、蠕虫、特洛伊木马、勒索软件等。
内部威胁
内部人员误操作、恶意行为、权限滥用等。
自然灾害
地震、洪水、火灾等自然灾害对信息系统的破坏。

质量方针政策理论考试多选题与答案

1、《质量发展纲要》从（）方面设定了发展目标。

A、产品质量B、工程质量C、服务质量D、环境质量答案：ABC2、质量强市建设的主体质量包括（）。

A、产品质量B、工程质量C、环境质量D、服务质量答案：ABCD3、市场监管总局、全国工商联、国家发展改革委、科技部、工业和信息化部、商务部联合印发的《关于进一步发挥质量基础设施支撑引领民营企业提质增效升级作用的意见》（国市监质发〔2021〕62号）指出，力争到2025年，建立（）的民营企业质量基础设施服务保障体系。

A、系统完备B、平等获得C、支撑有力D、机制健全答案：ABCD4、市场监管总局《关于大力开展质量基础设施“一站式”服务的意见》（国市监质〔2020〕177号）指出，质量基础设施“一站式”服务是通过有机融合（）等要素资源，面向企业、产业、区域特别是中小企业提供的全链条、全方位、全过程质量基础设施综合服务。

A、计量B、标准C、认证认可D、检验检测E、质量管理答案：ABCDE5、28、2017年9月5日，党中央、国务院共同下发的《关于开展质量提升行动的指导意见》中的基本原则是（）。

A、坚持以质量第一为价值导向B、坚持以满足人民群众需求和增强国家综合实力为根本目的C、坚持以企业为质量提升主体D、坚持改革创新为根本途径答案：ABCD6、30、市场监管总局、全国工商联、国家发展改革委、科技部、工业和信息化部、商务部联合印发的《关于进一步发挥质量基础设施支撑引领民营企业提质增效升级作用的意见》（国市监质发〔2021〕62号）指出，力争到2025年，建立（）的民营企业质量基础设施服务保障体系。

A、系统完备B、平等获得C、支撑有力D、机制健全答案：ABCD7、市场监管总局《关于大力开展质量基础设施“一站式”服务的意见》（国市监质〔2020〕177号）指出，质量基础设施“一站式”服务是通过有机融合（）质量管理等要素资源，面向企业、产业、区域特别是中小企业提供的全链条、全方位、全过程质量基础设施综合服务。

认证和标准知识介绍(定)

a）初次评审：按商品售后服务评价体系认证流程图，走完全部过程。 b）监督评审：初次评审完成，企业取得认证证书后的三年内，每年都将进行一次监督评审（一般是9-10个月为周期，特殊情况下也不超过12个月）。监督评审的时间是初评的1/3，在初次评审的项目中抽取1/3进行评审。 c）复评：第三年后，获得认证的企业需换发新证。复评一般按初评的2/3时间进行。 d）升级评审：企业获证一年后可申请提升星级，一般按复评执行。
收费标准：按企业总人数计算
问：商品售后服务评价体系认证的费用如何计算?每年都有一次监督评审，那么每次监督评审的费用是多少?3年后证书到期时，如果企业需要继续保持认证资格，费用是多少? 答：认证的收费是按人/日数来执行的，人/日数按照企业总人数计算。评审的费用分为初评、监督、复评三类。监督评审的费用一般是初评的1/3 ，复评的费用一般是初评的2/3。举例： 1200人规模的企业，在1176—1550这一档范围。初评时，评审人/日数是16，乘以每人/日收费3000元人民币，评审费共 48000元，再加1000元申请费和2000元审定与注册费，共计51000元。监督评审时，通常按初评的1/3，即5.5个评审人/日数计算，即16500元，加2000元年金和标志使用费，共计18500元。 3年后证书到期，如需保持认证资格，可进行复评。评审人/日数通常按初评的2/3执行，即10个评审人/日，费用30000元。加2000元年金和标志使用费，共计32000元。
在我们的日常生活中，衣、食、住、行各方面，到处可以看到认证的影子：衣：纺织品认证
Otak生态纺织品认证：禁止使用对人体有害的染料，如偶氮类物质、含重金属的物质。
食：食品安全质量认证
强制性市场准入认证：QS质量安全市场准入标志由于食品安全问题,如:金华毒火腿事件、2004年安徽阜阳大头奶粉事件、食品添加剂“苏丹红”等事件的发生，政府对食品实施强制性市场准入制度。

2023年5月认证通用基础答案分析

2023年5月《认证通用基础》真题汇总声明：此为网传版，答案未经严格考证（仅供各位学员参考）切勿相信网络承诺正确答案的版本
A.认证机构
B.审核机构
56.当进行审核员资格注册时，人员注册机构将其基本的专业能力水平作为注册的条件。

(√)()（审核概论P197）
NQI 有那几个要素？包含哪些体系？有哪些属性？以认证认可为例，对这些属性进行说明。

【（《合格评定基础》P33、36）】
（2)（3）质量基础设施具有技术、生产和贸易三重属性。

从国家质量基础设施概念的产生和发展过程来看，国家质量基础设施还具有系统性、技术性、制度性、基础性、国际性等多重属性。

（4）认证认可的技术属性主要解决量的公允性，生产属性是提升社会化大生产组织的质量保障水平，贸易属性是推动贸易便利化的重要工具。

《商品学概论》试题集

《商品学概论》试题集一、填空题（每题2分）1．商品学是研究（商品使用价值及其变化规律）的科学。

2．商品学从自然科学、技术科学与经济管理科学相互交叉、相互结合的角度，系统地研究（商品使用价值的开发、形成、维护、评价和实现过程规律）的综合性交叉应用学科。

3．商品使用价值的研究内容，在量的方面，主要研究（商品品种）；在质的方面，主要研究（商品质量）。

4．商品学在发展过程中产生了两个研究方向：一是从自然科学和技术科学角度研究商品使用价值，研究的中心内容是商品质量，称为（技术论商品学）；二是从社会科学和经济学，特别是从市场营销和消费需求角度研究与经营品种和经营质量相关的问题，称为（经济论商品学）。

5．商品分类的基本原则主要包括（科学性原则、系统性原则、可延性原则、兼容性原则、结合实用性原则）。

6．在线分类体系中，被划分的类目称为（上位类），划分后的类目称为（下位类），上位类和下位类之间构成（隶属关系）。

7．在线分类体系中，由同一个类目直接划分出来的下一级类目，彼此称为（同位类），同位类之间存在（并列关系）。

8．选择分类标志的基本原则主要包括（目的性原则、稳定性原则、唯一性原则、逻辑性原则、包容性原则）。

9．常用的商品分类标志主要包括（用途分类标志、原材料分类标志、加工工艺分类标志、化学成分分类标志）。

10．商品代码分为（商品分类代码、商品标识代码）两种。

11．商品代码的类型主要包括（全数字型商品代码、全字母型商品代码、数字-字母混合型商品代码）。

12．商品分类代码的编制方法主要包括（顺序编码法、系列顺序编码法、层次编码法、平行编码法）。

13．EAN/UCC-8代码由8位数字组成，主要应用于（印刷面积较小的商品零售包装）。

14．商品条码由两部分组成，即（条码符号）和（供人识别字符）。

15．商品目录的种类主要包括（国际商品目录、国家商品目录、行业（部门）商品目录、企业商品目录）。

16．对有形商品的质量要求主要包括（使用性、安全卫生性、寿命、可信性、经济性、审美性、信息性和可追溯性、环境友好性）。

国家认证认可制度

安全管理体系。企业必须建立和实施卫生标准操作程序，以达到以下卫生要求。（1）接触食品（包括原料、半成品、成品）或与食品有接触的水和冰应当符合安全、卫生要求；（2）接触食品的器具、手套和内外包装材料等必须清洁、卫生和安全。
（3）确保食品免受交叉污染；（4）保证操作人员手的清洗消毒，保持洗手间设施的清洁；（5）防止润滑剂、燃料、清洗消毒用品、冷凝水及其他化
（3）企业HACCP计划实施的有效性，即HACCP计划的实施情况，以及实施后企业及产品安全卫生质量得到有效保证。
（四）监督管理
1、监督机构国家认监委对企业建立并实施HACCP管理体系实施监督，对出入境检验检疫机构的HACCP验证工作进行业务指导和监督检查。省、自治区、直辖市人民政府质量技术监督部门和国务院质量监督检验检疫部门设在地方的出入境检验检疫机构，在国务院认证认可监督管理部门的授权范围内，对 HACCP管理体系的认证活动实施监督管理。
3、HACCP认证的依据
HACCP认证的依据是国家有关法律法规、国家标准或者行业标准和有关国际标准、准则或者规范等。
4、认证证书
企业建立和实施的HACCP管理体系可申请HACCP认证。经认证机构按照规定评审符合要求的，由认证机构颁发 HACCP认证证书。
（三）验证
1、验证机构由出入境检验检疫机构或国家授权的验证机构根据有关规定对企业建立和实施的HACCP管理体系进行验证。根据中国政府主管部门与外国（地区）有关机构签订的双边协议或者合同约定及国外有关要求，企业应当接受国外食品卫生管理机构的验证。
二认可一个权威团体依据程序对某一个团体或个人具有从事特定任务的能力给予正式承认。
三认证第三方依据程序对产品、过程或服务符合规定的要求给予书面保证（合格证书）。

强制性产品认证制度介绍

强制性产品认证制度介绍一、强制性产品认证强制性产品认证制度，是各国政府为保护广大消费者人身与动植物生命安全，保护环境、保护国家安全，依照法律法规实施的一种产品合格评定制度，它要求产品务必符合国家标准与技术法规。

强制性产品认证，是通过制定强制性产品认证的产品目录与实施强制性产品认证程序，对列入《目录》中的产品实施强制性的检测与审核。

凡列入强制性产品认证目录内的产品，没有获得指定认证机构的认证证书，没有按规定加施认证标志，一律不得进口、不得出厂销售与在经营服务场所使用。

强制性产品认证制度在推动国家各类技术法规与标准的贯彻、规范市场经济秩序、打击假冒伪劣行为、促进产品的质量管理水平与保护消费者权益等方面，具有其它工作不可替代的作用与优势。

认证制度由于其科学性与公正性，已被世界大多数国家广泛使用。

实行市场经济制度的国家，政府利用强制性产品认证制度作为产品市场准入的手段，正在成为国际通行的作法。

二、强制性产品认证制度“四个统一”的背景由于我国的认证认可制度建立在计划经济逐步向社会主义市场经济过渡的阶段，由于管理结构与职能划分问题，认证认可工作政出多门，各自为政，存在重复认证、重复收费等弊端。

特别是产品的强制性认证制度，自建立以来就存在着多重体制、政出多门，发证与执法监督混淆，特别是对内对外两套制度等问题。

原国家质量技术监督局负责国产品的安全认证强制性监督管理制度，原国家出入境检验检疫局负责对进口商品的安全质量许可制度。

两个制度覆盖的产品大部分交叉，评价根据的标准与技术规则虽不完全一致但大部分重复、收费结构与标准存在较大差异、两个标志独立存在，互不认可。

中外企业对此反映强烈。

企业与外国政府多年来通过不一致渠道，向国务院与对外贸易主管部门反映情况，提出意见。

这一问题还成为我国入世谈判中屡屡被质疑的问题。

在我国加入世界贸易组织第十五次多边谈判中，有关方面的谈判代表强烈要求我国将内外两种强制性产品认证制度整合，建立符合世界贸易规则要求的新的认证制度。

《国内外信息安全标准化情况》

交换机和路防火墙由器无线 VPN 外部设备远程访问多域解决方案移动代码门卫
检测和响应多国信息共享 IDS
பைடு நூலகம்
4.4 信息安全评估标准
安全评估标准的发展经历了漫长的时间最具影响的是上世纪80年代，美国国防部推出的可信计算机安全评价准则（TCSEC）。该标准（俗称橘皮书）基于贝尔.拉巴杜拉模型的 “禁止上读下写”原则，用访问控制机制（自主型访问控制，强制型访问控制），针对计算机的保密性需求，把计算机的可信级别分成四类七个等级。橘皮书随后又补充了针对网络、数据库等安全需求，发展成彩虹系列。我国至今唯一的信息安全强制标准GB 17859就是参考橘皮书制定的。 GB 17859根据我们的产业能力，将信息安全产品分成五个等级。
7
2011-11-8
信息安全技术产品标准
-根据技术保障框架形成保护要求（IATF）
保卫网络和基础设施保卫边界和外部连接保卫局域计算环境操作系统生物识别技术单级WEB 令牌移动代码消息安全数据库支撑性基础设施 PKI/KMI 证书管理密钥恢复第四级PKI 目录系统轮廓
2.需要什么标准
从保密,保护到保障
保护 INFOSEC
预警（W）保护（P）检测（D）反应（R）恢复（R）反击（C）
保障 IA
保密 COMSEC
保密性 80年代
保密性完整性可用性
保密性完整性可用性真实性不可否认性现在
90年代
1
2011-11-8
到底信息安全保障应该包括那些方面？！
5. BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》 6. BMB6-2001《密码设备电磁泄漏发射限值》 7. BMB7-2001《密码设备电磁泄漏发射测试方法（总则）》 8. BMB7.1-2001《电话密码机电磁泄漏发射测试方法》 9. BMB8-2004《国家保密局电磁泄漏发射防护产品检测实验室认可要求》 10. BMB10-2004《涉及国家秘密的计算机网络安全隔离设备的技术要求和测试方法》