国家标准信息安全管理实用规则

sa3标准
SA3标准是指《信息技术安全技术信息安全管理实用规则》（GB/T 20984-2007）中的一项标准。

该标准规定了信息安全管理的基本原则、目标和要求，以及实施信息安全管理的具体步骤和方法。

根据SA3标准，信息安全管理应包括以下内容：
1. 制定信息安全政策：组织应制定明确的信息安全政策，明确组织的信息安全目标、原则和要求，为信息安全管理提供指导。

2. 建立信息安全组织结构：组织应设立专门的信息安全管理部门或人员，负责组织内部信息安全管理工作。

3. 进行信息安全风险评估：组织应定期对信息系统的安全风险进行评估，识别潜在的安全威胁和漏洞，并采取相应的控制措施。

4. 制定信息安全管理计划：组织应根据风险评估结果，制定详细的信息安全管理计划，包括安全目标、控制措施、责任分工等内容。

5. 实施信息安全控制措施：组织应按照信息安全管理计划，采取各种技术和管理手段，确保信息系统的安全性。

6. 进行信息安全培训和宣传：组织应对员工进行信息安全培训，提高员工的安全意识和技能，同时加强信息安全的宣传工作。

7. 建立信息安全审计机制：组织应定期对信息安全管理工作进行审计，检查安全控制措施的有效性，发现问题并及时整改。

8. 建立应急响应机制：组织应建立完善的应急响应机制，对突发的安全事件进行快速、有效的处置，减少损失。

9. 持续改进信息安全管理：组织应不断总结经验教训，改进信息安全管理工作，提高信息系统的安全性能。

信息技术安全技术信息安全管理体系要求Information technology-Security techniques- Information security management systems-Requirements（ISO/IEC 27001：2005）目次引言 (II)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 信息安全管理体系（ISMS） (3)5 管理职责 (8)6 内部ISMS审核 (9)7 ISMS的管理评审 (9)8 ISMS改进 (10)附录 A （规范性附录）控制目标和控制措施 (12)附录 B （资料性附录）OECD原则和本标准 (27)附录 C （资料性附录）ISO 9001:2000, ISO 14001:2004 和本标准之间的对照 (29)引言0.1总则本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（Information Security Management System，简称ISMS）提供模型。

采用ISMS应当是一个组织的一项战略性决策。

一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及其支持系统会不断发生变化。

按照组织的需要实施ISMS，是本标准所期望的，例如，简单的情况可采用简单的ISMS解决方案。

本标准可被内部和外部相关方用于一致性评估。

0.2过程方法本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS。

一个组织必须识别和管理众多活动使之有效运作。

通过使用资源和管理，将输入转化为输出的任意活动，可以视为一个过程。

通常，一个过程的输出可直接构成下一过程的输入。

一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”。

本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性：a)理解组织的信息安全要求和建立信息安全方针与目标的需要；b)从组织整体业务风险的角度，实施和运行控制措施，以管理组织的信息安全风险；c)监视和评审ISMS的执行情况和有效性；d)基于客观测量的持续改进。

信息技术安全技术信息安全管理实用规则Information technology-Security techniques-Code of practice for information security management（ISO/IEC 17799：2005）目次引言 (III)0.1 什么是信息安全？ (III)0.2 为什么需要信息安全？ (III)0.3 如何建立安全要求 (III)0.4 评估安全风险 (IV)0.5 选择控制措施 (IV)0.6 信息安全起点 (IV)0.7 关键的成功因素 (V)0.8 开发你自己的指南 (V)1 范围 (1)2 术语和定义 (1)3 本标准的结构 (2)3.1 章节 (2)3.2 主要安全类别 (3)4 风险评估和处理 (3)4.1 评估安全风险 (3)4.2 处理安全风险 (4)5 安全方针 (4)5.1 信息安全方针 (4)6 信息安全组织 (6)6.1 内部组织 (6)6.2 外部各方 (10)7 资产管理 (15)7.1 对资产负责 (15)7.2 信息分类 (16)8 人力资源安全 (18)8.1 任用之前 (18)8.2 任用中 (20)8.3 任用的终止或变化 (21)9 物理和环境安全 (23)9.1 安全区域 (23)9.2 设备安全 (26)10 通信和操作管理 (29)10.1 操作程序和职责 (29)10.2 第三方服务交付管理 (32)10.3 系统规划和验收 (33)10.4 防范恶意和移动代码 (34)10.5 备份 (36)10.6 网络安全管理 (37)10.7 介质处置 (38)10.8 信息的交换 (40)10.9 电子商务服务 (44)10.10 监视 (46)11 访问控制 (50)11.1 访问控制的业务要求 (50)11.2 用户访问管理 (51)11.3 用户职责 (53)11.4 网络访问控制 (55)11.5 操作系统访问控制 (58)11.6 应用和信息访问控制 (62)11.7 移动计算和远程工作 (63)12 信息系统获取、开发和维护 (65)12.1 信息系统的安全要求 (65)12.2 应用中的正确处理 (66)12.3 密码控制 (68)12.4 系统文件的安全 (70)12.5 开发和支持过程中的安全 (72)12.6 技术脆弱性管理 (75)13 信息安全事件管理 (76)13.1 报告信息安全事态和弱点 (76)13.2 信息安全事件和改进的管理 (78)14 业务连续性管理 (80)14.1 业务连续性管理的信息安全方面 (80)15 符合性 (84)15.1 符合法律要求 (84)15.2 符合安全策略和标准以及技术符合性 (87)15.3 信息系统审核考虑 (88)引言0.1什么是信息安全？象其他重要业务资产一样，信息也是对组织业务至关重要的一种资产，因此需要加以适当地保护。

信息安全概论课后习题及答案第一章：1、请说出平时在使用计算机的时候遇到的各种安全问题，以及当时的解决方案。

答：略。

2、什么是信息安全?答：信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多门学科的综合性学科。

3、什么是P2DR2动态安全模型?答：P2DR2动态安全模型研究的是基于企业网对象、依时间及策略特征的(Policy，Protection，Detection，Response，Restore) 动态安全模型结构，由策略、防护、检测、响应和恢复等要素构成，是一种基于闭环控制、主动防御的动态安全模型，通过区域网络的路由及安全策略分析与制定，在网络内部及边界建立实时检测、监测和审计机制，采取实时、快速动态响应安全手段，应用多样性系统灾难备份恢复、关键系统冗余设计等方法，构造多层次、全方位和立体的区域网络安全环境。

4、信息系统的安全威胁有哪些?答：信息系统的安全威胁有物理层安全威胁，网络层安全威胁，操作系统层安全威胁，应用层安全威胁，管理层安全威胁等。

5、信息安全实现需要什么样的策略?答：信息安全的实现需要有一定的信息安全策略，它是指为保证提供一定级别的安全保护所必须遵守的规则。

实现信息安全，不但靠先进的技术，也得靠严格的安全管理、法律约束和安全教育。

6、信息安全的发展可以分为哪几个阶段?答：信息安全在其发展过程中经历了三个阶段：第一阶段: 早在20 世纪初期，通信技术还不发达，面对电话、电报、传真等信息交换过程中存在的安全问题；第二阶段: 20 世纪60 年代后，半导体和集成电路技术的飞速发展推动了计算机软硬件的发展，计算机和网络技术的应用进入了实用化和规模化阶段；第三阶段: 20 世纪80 年代开始，由于互联网技术的飞速发展，信息无论是对内还是对外都得到极大开放，由此产生的信息安全问题跨越了时间和空间。

信息技术安全技术信息安全管理实用规则信息技术安全技术是指利用各种技术手段来确保信息系统在保密、完整性、可用性、可审查性和可控性等方面的安全性。

信息安全管理实用规则是一套操作性很强的管理方法和规程，可以帮助组织制定和执行信息安全管理策略，有效地保护组织的信息资产和信息系统。

下面将根据信息安全管理实用规则的内容进行详细介绍。

1.制定明确的安全策略和政策首先，组织需要制定明确的信息安全策略和政策，明确信息安全的目标、原则和要求，为信息安全工作提供明确的指导。

安全策略和政策应当包括信息系统的安全目标、安全组织与负责制、安全培训和教育、安全审计等内容。

2.实施风险评估和管理组织应当对自身信息系统的风险进行全面评估，并采取相应的管理措施来降低风险。

风险评估应当包括对信息系统的漏洞、威胁和影响进行评估，并采取相应的控制措施和风险处理策略，确保信息系统的安全性。

3.建立合理的权限管理机制权限管理是信息安全管理的重要组成部分。

组织应当根据业务需求和风险评估结果，建立合理的权限管理机制。

通过用户身份认证、访问控制和权限控制等手段，确保只有合法的用户可以访问和操作信息系统，并限制用户的权限，防止信息泄露、篡改和滥用。

4.加强网络防护和安全监控组织应当加强网络防护和安全监控，确保信息系统在网络层面的安全。

包括建立防火墙、入侵检测系统、安全网关等网络安全设施，对网络流量进行监控和分析，及时发现和应对网络攻击和威胁。

5.建立安全意识和培训机制安全意识和培训是提高信息安全管理水平的关键环节。

组织应当建立安全意识和培训机制，通过定期的安全培训和教育，提高员工对信息安全的认识和重视程度，增强员工的安全防范意识和应对能力。

6.做好安全审计和事件响应组织应当及时进行安全审计，对信息系统进行定期的安全检查和评估，发现和修复安全漏洞和风险。

同时，建立健全的事件响应机制，对信息安全事件进行及时、有效的处置和响应。

总之，信息安全管理实用规则是组织进行信息安全管理的重要参考。

银行信息安全管理办法第一章总则第一条为加强 *** （下称“本行”）信息安全管理，防范信息技术风险，保障本行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等，特制定本办法。

第二条本办法所称信息安全管理，是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条本行信息安全工作实行统一领导和分级管理，由分管领导负责。

按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实部门与个人信息安全责任。

第四条本办法适用于本行。

所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。

第二章组织保障第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组，负责本行信息安全管理工作，决策信息安全重大事宜。

第六条各部室、各分支机构应指定至少一名信息安全员，配合信息安全领导小组开展信息安全管理工作，具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。

第七条本行应建立与信息安全监管机构的联系，及时报告各类信息安全事件并获取专业支持。

第八条本行应建立与外部信息安全专业机构、专家的联系，及时跟踪行业趋势，学习各类先进的标准和评估方法。

第三章人员管理第九条本行所有工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。

第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员，不得从事此项工作。

第十二条信息安全管理人员定期参加信息安全相关培训。

第十三条安全工作小组在如下职责范围内开展信息安全管理工作：（一）组织落实上级信息安全管理规定，制定信息安全管理制度，协调信息安全领导小组成员工作，监督检查信息安全管理工作。

信息技术安全技术信息安全控制实用规则信息技术安全技术是指通过各种技术手段和管理措施来保护信息系统的完整性、可用性和保密性，确保信息系统及其数据不受到非法访问、破坏、篡改和泄露等威胁。

信息安全控制实用规则是指在实际应用中制定的一系列规则和标准，以确保信息系统的安全性。

一、信息安全控制实用规则的分类1.物理安全控制：物理安全控制是指通过物理手段来保护信息系统，包括对机房、服务器、网络设备等进行防盗防火防水等措施。

2.逻辑访问控制：逻辑访问控制是指通过软件技术来限制用户对系统资源的访问权限，包括密码策略、账号管理、权限分配等。

3.网络安全控制：网络安全控制是指通过网络设备和协议来保护网络通信过程中数据的机密性、完整性和可用性，包括防火墙、入侵检测系统等。

4.应用程序安全：应用程序安全是指通过编码规范和代码审计等方式来确保应用程序不受到攻击，包括输入验证、错误处理等方面。

5.数据安全控制：数据安全控制是指通过加密技术和备份策略来保护数据的机密性、完整性和可用性，包括数据备份、加密存储等。

二、信息安全控制实用规则的具体内容1.密码策略：密码策略是指对用户密码的要求和管理规定。

包括密码长度、复杂度、过期时间等方面。

2.账号管理：账号管理是指对用户账号的创建、修改、删除等方面进行规范管理，包括账号权限分配、审计等方面。

3.访问控制：访问控制是指对系统资源的访问进行限制和监控，包括用户身份验证、权限分配等方面。

4.入侵检测与防范：入侵检测与防范是指通过技术手段来发现并防止未经授权的访问和攻击，包括入侵检测系统、防火墙等。

5.日志审计与分析：日志审计与分析是指对系统日志进行记录和分析，以发现异常行为和安全事件，及时采取应对措施。

6.加密技术应用：加密技术应用是指通过加密算法来保护敏感信息的机密性，包括数据加密存储、通信加密等方面。

7.备份策略：备份策略是指对系统数据进行定期备份，以确保数据的可用性和完整性。

8.应急响应计划：应急响应计划是指对安全事件的预案和处理流程进行规划和制定，以快速有效地应对安全事件。

ISO/IEC 27002信息技术-安全技术-信息安全控制实用规则Information technology-Security techniques-Code of practice for information security controls目次前言 (I)引言 (II)0 简介 (II)0.1背景和环境 (II)0.2信息安全要求 (II)0.3选择控制措施 (III)0.4编制组织的指南 (III)0.5生命周期的考虑 (III)0.6相关标准 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 本标准的结构 (1)4.1章节 (1)4.2控制类别 (1)5 信息安全策略 (2)5.1信息安全的管理方向 (2)6 信息安全组织 (4)6.1内部组织 (4)6.2移动设备和远程工作 (6)7 人力资源安全 (9)7.1任用之前 (9)7.2任用中 (10)7.3任用的终止或变更 (13)8 资产管理 (13)8.1对资产负责 (13)8.2信息分类 (15)8.3介质处置 (17)9 访问控制 (19)9.1访问控制的业务要求 (19)9.2用户访问管理 (21)9.3用户职责 (24)9.4系统和应用访问控制 (25)10 密码学 (28)10.1密码控制 (28)11 物理和环境安全 (30)11.1安全区域 (30)11.2设备 (33)12 操作安全 (38)12.1操作规程和职责 (38)12.2恶意软件防护 (41)12.3备份 (42)12.4日志和监视 (43)12.5运行软件的控制 (45)12.6技术脆弱性管理 (46)12.7信息系统审计考虑 (48)13 通信安全 (49)13.1网络安全管理 (49)13.2信息传递 (50)14 系统获取、开发和维护 (54)14.1信息系统的安全要求 (54)14.2开发和支持过程中的安全 (57)14.3测试数据 (62)15 供应商关系 (62)15.1供应商关系的信息安全 (62)15.2供应商服务交付管理 (66)16 信息安全事件管理 (67)16.1信息安全事件和改进的管理 (67)17 业务连续性管理的信息安全方面 (71)17.1信息安全连续性 (71)17.2冗余 (73)18 符合性 (74)18.1符合法律和合同要求 (74)18.2信息安全评审 (77)参考文献 (79)前言ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

信息安全管理实用规则信息安全是现代社会中一个非常重要的话题。

随着技术的不断发展和互联网的普及，信息安全对于个人、企业和国家已经变得至关重要。

为了保护信息安全，我们需要遵守一些实用的规则。

本文将介绍一些信息安全管理的实用规则，以帮助大家更好地保护自己的信息。

1. 密码管理密码是我们保护个人信息的第一道防线。

一个强密码是由数字、字母和特殊字符组成的，并且长度不少于8位。

每个账户都应该使用不同的密码，并且定期更改密码，以防止被破解。

同时，不要将密码保存在明文中，最好使用密码管理软件来存储和管理密码。

2. 防止钓鱼网站钓鱼网站是指那些冒充合法机构网站的欺诈网站，目的是获取用户的个人信息和账户信息。

为了防止成为钓鱼网站的受害者，我们应该养成检查网站链接的习惯，不轻易点击来历不明的链接，并且在访问银行、支付平台等敏感网站时，直接输入网址而不是通过搜索引擎访问。

3. 防止恶意软件恶意软件是指那些具有恶意目的的软件，如病毒、木马、勒索软件等。

为了防止恶意软件侵入我们的设备，我们应该定期更新操作系统和应用程序，安装杀毒软件，并且不随意下载来历不明的文件和应用。

4. 保护个人隐私个人隐私是我们的基本权利，也是信息安全的重要方面。

我们应该警惕在网上泄露个人隐私的风险，不随意提供个人信息给不可信的网站和应用程序。

在公共场合，要注意避免他人窥屏或偷窥个人信息。

5. 定期备份数据数据的丢失是很常见的情况，无论是硬件故障还是恶意攻击。

为了防止数据的丢失，我们应该定期备份重要的数据，可以选择使用云存储或外部存储设备进行备份。

6. 强化网络安全意识信息安全是一个共同的责任，每个人都应该加强对网络安全的认识和意识。

我们可以通过参加信息安全培训、关注信息安全相关的新闻和动态，并与身边的人分享安全知识来提升我们的网络安全意识。

总结信息安全是我们生活中不可忽视的一部分。

通过遵守上述的实用规则，我们可以更好地保护自己的信息安全，减少信息泄露和损失的风险。

信息技术安全技术信息安全管理实用规则在当今数字化时代，信息技术的迅猛发展给我们的生活和工作带来了极大的便利。

然而，与之相伴的是信息安全问题的日益凸显。

信息安全不仅关乎个人隐私、企业利益，甚至关系到国家安全。

因此，掌握信息安全管理的实用规则至关重要。

首先，我们需要明确什么是信息安全。

简单来说，信息安全就是保护信息的保密性、完整性和可用性。

保密性指的是确保信息只被授权的人员访问；完整性是保证信息在存储、传输和处理过程中不被篡改；可用性则是让授权用户能够及时、可靠地获取和使用信息。

为了实现信息安全的这三个目标，我们需要从多个方面入手。

人员管理是信息安全管理的重要环节。

企业或组织中的员工是信息处理和使用的主体，他们的行为直接影响到信息安全。

因此，要对员工进行信息安全意识培训，让他们了解信息安全的重要性以及如何避免常见的安全风险，比如不随意透露密码、不点击可疑的链接等。

同时，要制定明确的信息安全政策和操作流程，规范员工的行为。

对于涉及敏感信息的岗位，要进行严格的背景审查和权限管理。

技术手段也是保障信息安全的关键。

防火墙、入侵检测系统、加密技术等都是常用的信息安全技术。

防火墙可以阻止未经授权的网络访问；入侵检测系统能够及时发现和预警潜在的攻击；加密技术则可以对敏感信息进行加密处理，即使信息被窃取，也难以被解读。

此外，定期进行系统更新和漏洞修复也是必不可少的。

操作系统和应用软件中的漏洞往往是黑客攻击的入口，及时打上补丁可以有效降低安全风险。

在数据管理方面，要建立完善的数据备份和恢复机制。

数据是企业和组织的重要资产，一旦丢失或损坏，可能会带来巨大的损失。

因此，要定期对重要数据进行备份，并将备份数据存储在安全的地方。

同时，要对数据进行分类管理，根据数据的重要性和敏感性采取不同的保护措施。

网络安全是信息安全的重要组成部分。

在构建网络时，要采用合理的网络拓扑结构，划分安全区域，设置访问控制策略。

对于无线网络，要使用强密码，并启用加密功能，防止他人非法接入。

信息技术安全技术信息安全管理实用规则信息技术安全技术是保护计算机系统和网络免受未经授权访问、使用、披露、破坏、干扰、篡改、破解以及恶意软件等威胁的一系列措施。

随着信息技术的快速发展，信息安全已经成为各个领域中的重要问题。

为了有效地保护信息安全，需要遵循一些实用规则。

本文将介绍几个信息安全管理实用规则。

首先，建立完善的信息安全管理体系。

信息安全管理体系是指通过制定政策和相应的安全制度，确保组织内部和外部的各方遵守信息安全要求，并对信息资产进行有效的管理和控制。

建立完善的信息安全管理体系可以对各种安全问题进行全面管理和风险控制。

其次，加强对员工的安全教育培训。

员工是组织信息安全的最前线，他们的安全意识和行为直接影响到信息安全的实施效果。

因此，对员工进行定期的安全教育培训非常重要。

培训内容可以包括密码安全、网络安全、病毒防范、社交工程等方面的内容，让员工了解各种安全威胁和应对措施，从而有效地预防和应对安全事件。

第三，实施严格的访问控制措施。

访问控制是指对系统或网络资源的访问进行授权和管理的过程。

通过实施严格的访问控制措施，可以确保只有经过授权的人员才能够访问系统和网络资源，从而有效地防止未经授权的访问和滥用。

常见的访问控制措施包括密码策略、双因素认证、访问控制列表等。

第四，加强对系统和网络的监控和审计。

监控和审计是追踪系统和网络活动的过程，通过实时监控和后期审计可以发现潜在的安全威胁和异常行为。

这些活动可以包括对系统日志的记录和分析、入侵检测和防御系统的运行等。

通过加强对系统和网络的监控和审计，可以及时发现并应对安全事件，保障信息安全。

最后，建立紧急响应机制和灾难恢复计划。

即使实施了各种安全防护措施，也不能完全消除安全威胁的存在。

因此，建立紧急响应机制和灾难恢复计划非常重要。

在安全漏洞被发现或者安全事件发生时，可以快速采取相应的应对措施，最大程度地减少损失，并能够迅速恢复到正常的运营状态。

综上所述，信息安全管理实用规则包括建立完善的信息安全管理体系、加强员工安全教育培训、实施严格的访问控制措施、加强系统和网络的监控和审计，以及建立紧急响应机制和灾难恢复计划。

信息安全管理练习题—2014判断题:1。

信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用.（×）注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理(检测Detection和响应Reaction）、事后恢复（恢复Restoration）四个主要环节相互配合,构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。

2。

一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查. （×)注释：应在24小时内报案3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型(×）注释:共3种计算机犯罪，但只有2种新的犯罪类型。

单选题:1. 信息安全经历了三个发展阶段，以下（ B )不属于这三个发展阶段。

A. 通信保密阶段B. 加密机阶段C. 信息安全阶段D。

安全保障阶段2. 信息安全阶段将研究领域扩展到三个基本属性，下列（ C ）不属于这三个基本属性。

A. 保密性B。

完整性C。

不可否认性 D. 可用性3。

下面所列的（ A ）安全机制不属于信息安全保障体系中的事先保护环节.A. 杀毒软件B. 数字证书认证C。

防火墙 D. 数据库加密4. 《信息安全国家学说》是（ C )的信息安全基本纲领性文件。

A. 法国B。

美国 C. 俄罗斯 D. 英国5。

信息安全领域内最关键和最薄弱的环节是（ D ）。

A. 技术B。

策略C。

管理制度 D. 人6. 信息安全管理领域权威的标准是( B ）。

A. ISO 15408 B。

ISO 17799/ISO 27001(英）C。

ISO 9001 D。

ISO 140017. 《计算机信息系统安全保护条例》是由中华人民共和国( A )第147号发布的。

A。

国务院令B。

全国人民代表大会令 C. 公安部令 D. 国家安全部令8. 在PDR安全模型中最核心的组件是（ A ）。