开展信息技术服务管理体系认证的业务类别表

2020年11月ITSMS信息技术服务管理体系基础考试试题（网友回忆版）[单选题]1.认证机构应要（江南博哥）求申请组织的授权代表提供必要的信息，以便认证机构确认()A.申请认证的范围B.申请组织的一般特性C.申请组织的法人地位D.申请组织采用的所有影响符合性的外包过程的信息参考答案：A[单选题]3.与服务可用性需求直接相关的是()A.用户访问响应慢B.资源利用率低C.发生重大泄密事件D.安全漏洞参考答案：A[单选题]4.经测试且被引入实际运行环境新配置项和（或）变更的配置项的集合是()A.SLAB.发布C.CMDBD.软件包参考答案：B[单选题]5.—个用户通知帮助团队，说他的电脑不能正常工作，这是一个()A.事件B.已知错误C.问题D.变更请求参考答案：A[单选题]6.IS0/IEC20000-2018所采用的模型是()A.PDCAB.SMARTC.SWOTD.PPTR参考答案：A[单选题]7.内部审核是为了确定服务管理体系的()。

A.适宜性B.充分性C.符合性D.有效性参考答案：C[单选题]8.管理评审的输入可以不包括()。

A.相关方的反馈B.不符合和纠正措施C.信息安全目标完成情况D.所有事件的处理结果参考答案：D[单选题]9.在实际运行环境中，交付、发布并跟踪一个或多个变更的过程是()A.策划和实施服务管理B.策划和实施新的或变更的服务C.服务交付流程D.发布流程参考答案：D[单选题]10.关于审核方案，以下说法正确的是()A.审核范围应与审核方案和审核目标相一致B.即使审核目标、范围或准则发生变化，也不可修改审核方案C.当对两个或更多的管理体系同时进行审核时，审核目标、范围和准则与相关审核方案的目标可以不一致D.每次审核，审核目标、范围和准则不一定形成文件参考答案：A[单选题]11.关于不符合项和纠正措施，下列说法正确的是()A.不符合必须被纠正B.不符合必须建立纠正措施C.不符合必须被组织做出反应D.其他选项均不正确参考答案：C[单选题]12.“己识别的服务容量升级的时间进度表、阈值和成本”是()的内容。

认证机构管理体系及服务认证信息报告规范发布日期：2015年06月30日修订日期：2016年04月18日实施日期：2016年07月01日认证机构管理体系及服务认证信息报告规范说明一、报告范围：所有从事管理体系及服务认证的认证机构均应按本规范要求及时、准确、全面报送管理体系及服务认证全过程相关的信息，包括但不限于认证申请、认证受理、审核计划、审核结果、认证结果评价和批准、认证证书、获得认证后的监督、证书信息变更、证书状态变化等信息。

二、报告时间：所有认证机构可以根据管理体系及服务认证信息变化情况实时报告，但当月数据不得迟于下个月10日报告（遇法定节假日不再顺延）。

三、报告人员：各认证机构应指定专人负责信息报告并在统一上报平台进行登记，若信息报告人员有变动，须及时对系统用户信息进行更新。

四、服务对象：为免除认证机构多渠道报送数据的麻烦，同时满足国家认监委行政监管、中国合格评定国家认可中心认可约束、中国认证认可协会行业自律、消费者社会监督的需要，国家认监委信息中心组织建设统一上报平台，实现认证机构一次报送，多方共享认证认可业务信息资源。

五、报表结构：管理体系及服务认证业务信息使用EXCEL文件进行报告，分成“审核计划信息表”、“证书信息表”、“审核结果信息表”和“能源绩效信息表”（涉及能源管理体系需上报）4张表。

认证机构不得变更EXCEL文件中各表格名称、表格中的表头和列顺序，否则无法正常上报。

其中“证书信息表”、“审核结果信息表”和“能源绩效信息表”等3张表有相互依存关系。

上述EXCEL表格中所有的填报单元格一律去除前后空格及其他不可见字符，各类编号、证书号中的字母一律大写、不得含有任何空格。

六、上报方式：用户登录，上传Excel文件和ZIP压缩包（如图），通过上传文件、读取数据、验证数据、提交数据等步骤来完成数据上报，当看到“上报成功”提示后，表示数据已上报成功。

七、错误反馈：上报平台只接受数据全部通过校验的EXCEL文件，并将其记录添加到数据库中，对外提供查询服务；对于没有通过上报平台校验的EXCEL文件，上报平台将反馈给数据上报人员，每个单元格都会标注没有通过校验的原因，上报人员必须按业务规则订正数据后重新上报。

感谢你的观看感谢你的观看2014年第38号国家认监委关于发布自愿性认证业务分类目录及主要审批条件的公告为深入贯彻党的十八届三中全会决定精神，深化行政审批制度改革，按照简化审批、激发活力、创新发展的原则，国家认监委确定了认证机构审批改革方案。

现将认证业务分类及主要审批条件等有关事项公告如下：一、认证机构设立审批的指导思想发展各类认证应当符合国家建设资源节约型和环境友好型社会、建设质量强国的目标，不违背国家政策、法规和行业部门导向性指导意见，积极倡导在节能环保、绿色低碳、保护消费者权益等领域开展认证认可活动，提升产品质量、服务质量及管理水平。

认证依据应当为相应的国家强制性标准、或者有广泛市场需求的国家推荐性标准、行业标准和技术规范等。

二、认证分类坚持科学、简化、集约的原则，认证业务按照“认证类别”、“认证领域”和“认证项目”逐层分为三个层级。

根据《认证认可条例》确定的原则，“认证类别”分为产品、服务和管理体系三个大类；按照专业划分“认证领域”，认证机构业务范围审批至领域；按照认证方案划分“认证项目”，认证项目按照认证规则备案方式进行管理，有关备案要求另行规定。

三、认证领域的划分（一）自愿性产品认证，按照国家标准GB/T7635.1《全国主要产品分类与代码第一部分可运输产品》划分为21个认证领域（认证业务分类目录见附件），其中：01、03为“一般食品农产品”，其他为“一般工业产品”。

国家统一制定认证基本规范、认证规则的自愿性产品认证，或者国家认监委与国务院其他部门联合推动的产品认证项目，每项为一个单独的认证领域。

（二）服务认证，按照国家标准GB/T7635.2《全国主要产品分类与代码第二部分不可运输产品》划分为23个认证领域感谢你的观看（认证业务分类目录见附件）。

国家统一制定认证基本规范、认证规则的服务认证，每项为一个单独的认证领域。

（三）管理体系认证，按照目前实施的管理体系认证项目归类划为11个领域（认证业务分类目录见附件），除“其他管理体系”以外的每个领域均设置基本审批项目。

“主要应用领域”由企业根据开展业务的类型，从以下选项中选择。

（1）通用：指各种基础类、工具类软件、中间件、数据处理、设计开发、运维支持及咨询服务等不特定用于某些应用领域的软件、集成和服务。

（2）安全：指各种用于安全防护的软件、集成和相关服务。

（3）电子政务：指各种用于电子政务的软件、集成和相关服务。

（4）企业管理：指各种用于企业管理、办公自动化、财务管理、生产过程管理等的软件、集成及服务。

（5）通信：指各种用于通信领域的软件、集成和相关服务。

（6）金融：指各种用于金融领域的软件、集成和相关服务。

（7）能源：指各种用于能源生产、控制、管理领域的软件、集成和相关服务。

（8）工业控制：指各种用于工业生产控制领域的软件、集成和相关服务。

（9）交通：指各种用于公路、铁路、航空领域和交通工具上的软件、集成和相关服务。

（10）教育：指各种用于教育领域的软件、集成和相关服务。

（11）娱乐：指各种用于娱乐的软件、集成和相关服务。

（12）医疗：指各种用于医疗卫生领域的软件、集成和相关服务。

产品（服务）类别名称备注软件开发行业一、软件开发合计向用户提供的计算机软件、信息系统或设备中嵌入的软件或在提供计算机信息系统集成、应用服务等技术服务时提供的计算机软件。

包括基础软件、支撑软件、应用软件、信息安全产品、嵌入式软件和软件定制产品和服务。

（一）基础软件包括操作系统、数据库系统、中间件、办公软件、网络基础软件等1．操作系统含通用操作系统、嵌入式操作系统2．数据库系统3. 中间件包括基础中间件、业务中间件、领域中间件等。

（1）基础中间件含交易中间件、消息中间件、应用服务器（J2EE）、对象中间件等（2）业务中间件含系统集成中间件、信息集成中间件、企业服务总线、工作流中间件、门户中间件、安全中间件、商业智能中间件、内容管理中间件等（3）领域中间件含计算机语言集成中间件（CTI）、移动中间件、无线射频（RFID）中间件、数字电视中间件等4. 办公软件5. 网络基础软件6．其他（二）支撑软件指软件开发过程中使用到的开发工具和平台、建模工具、界面工具、项目管理工具、配置管理软件、测试工具、网络支持等软件1. 开发工具和平台软件2. 测试工具软件3. 网络支持软件4. 基本支撑软件（三）应用软件含管理软件、办公自动化软件、地理信息系统软件、网络应用软件、多媒体软件、动漫游戏软件、科学和工程设计软件、翻译软件、智能分析软件、通用软件、行业应用软件、文字语言处理软件等。

ISO20000-2018信息技术服务管理体系信息安全风险评估表类别编号资产编号资产名称功能描述威胁内容(威胁源、动机）脆弱性影响后果资产重要程度现行控制方式威胁发率脆弱被利用率风险值风险等级风险处理方式改善措施资产重要程度威胁发生的评率脆弱性被利用率残余风险值风险等级是否接受文档与数据SL-DATA-001解决方案针对客户需求提出的信息安全解决方案被竞争对手获取人员道德缺乏文件被竞争对手获取，影响业务开展5数据加密系统控制1 2 10 1 接受未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受电子存储媒体故障设备损坏资料丢失，影响项目进度5使用数据备份系统，对数据实时备份1 2 10 1 接受手工误删操作不小心资料丢失，影响项目进度5使用数据备份系统，对数据实时备份1 2 10 1 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制客户信息丢失，业务开展产生困难5设置必要的放火，放雷机制1 2 10 1 接受自然灾难：地缺乏应急机客户信息丢失，业 5 对重要数据 1 2 10 1 接受震、洪水、台风制务开展产生困难进行定期移动硬盘备份SL-DATA-003SL-DATA-00 4SL-DATA-01 8 体系文件管理制度各项规章制度公司管理类文档未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受电子存储媒体故障设备损坏资料丢失，影响项目进度5使用数据备份系统，对数据实时备份1 2 10 1 接受手工误删操作不小心资料丢失，影响项目进度5使用数据备份系统，对数据实时备份1 2 10 1 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，业务缺乏指导5设置必要的放火，放雷机制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，业务缺乏指导5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-00 8SL-DATA-01 0 在职员工个人信息员工劳动合同人事档案信息未经授权使用、访问、复制缺乏物理防护机制员工个人信息资料丢失或泄密4人事资料放在人事文件柜中1 4 162 避免员工档案资料文件柜应上锁，防止非授权的获取4 1 2 8 1 接受瘟疫、火灾、爆缺乏应急机文件信息丢失，人 5 设置必要的 2 3 30 3 接受炸、雷击、恐怖袭击等制事工作开展困难放火，放雷机制自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-013SL-DATA-01 6SL-DATA-02 1SL-DATA-02 2 供应商合作协议书采购合同代理合同厂商报价合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-01 4SL-DATA-01 5SL-DATA-02 3SL-DATA-02报价、合同样本销售合同客户报价客户合同报价单合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受4SL-DATA-03 3 瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中SL-DATA-02 6 客户资料供开票及联系未经授权使用、访问、复制缺乏物理防护机制客户信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-02 7 CRME和快普数据库ERP系统数据未经授权使用、访问、复制访问权限没有控制数据被删除，修改或泄密5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受未经授权更改访问权限没有控制公司业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受电子存储媒体故障存放缺乏保护数据丢失业务无法开展5通过服务器备份数据2 3 30 3 控制增加专门数据备份系统，对数据进行实时备份5 1 1 5 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份，设置放雷机制1 2 10 1 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-02 8 公司办公租赁合同合同未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受网络传输中被窃取未使用密码技术文件信息外泄 5使用加密系统控制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中1 2 10 1 接受SL-DATA-03 0SL-DATA-03 2 公司各类财务数据及报表公司经营相关数据及资料财务数据未经授权使用、访问、复制访问权限没有控制数据被删除，修改或泄密5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受未经授权更改访问权限没有控制公司业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受电子存储媒体故障存放缺乏保护数据丢失业务无法开展5通过服务器备份数据2 3 30 3 控制增加专业数据备份系统，对数据进行实时备份5 1 1 5 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份，设置放雷机制1 2 10 1 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受SL-DATA-03 1 公司资质文件及认资质资料未经授权使用、访问、复制人员缺乏安全意识文件信息外泄 5进行员工信息安全意识1 2 10 1 接受证证书培训不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受SL-DATA-036SL-DATA-042 报价（给渠道）渠道合同合同，报价信息未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务或收款等内容5合同报价等资料放在上锁的文件柜中SL-DATA-037 报价（厂家供货价）合同，报价信息未经授权使用、访问、复制缺乏物理防护机制供应商信息被客户或竞争对手获得，供应商投诉或业务无法开展5合同报价等资料放在上锁的文件柜中1 2 10 1 接受不正确的废弃人员缺乏安全意识文件信息外泄 5进行员工信息安全意识培训，1 2 10 1 接受瘟疫、火灾、爆炸、雷击、恐怖袭击等缺乏应急机制文件信息丢失，人事工作开展困难5设置必要的放火，放雷机制2 3 30 3 接受自然灾难：地震、洪水、台风缺乏应急机制文件信息丢失，人事工作开展困难5对重要数据进行定期移动硬盘备份1 2 10 1 接受盗窃存放缺乏保护合同丢失，影响后续服务等内容5合同报价等资料放在上锁的文件柜中SL-DATA-04 0 销售部管理周报未经授权使用、访问、复制访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 3 用友OA日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 4 快普ERP日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 5 豪创日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 6 管家婆日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 7 SSLvpn日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 8 广域网加速设备日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-04 9 准入系统日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 0 爱数备份日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 1 趋势防毒日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 2 守内安日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 3 上网行为管理日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 4 视屏监控日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 5 电话录音日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受SL-DATA-05 6 考勤机日志文件日志未经授权使用、访问、复制弱密码日志信息被删除，无法追溯系统的信息5通过员工自己定义密码进行控制2 3 30 3 控制使用密码策略，严禁使用弱密码5 1 1 5 1 接受日志数据被修改，删除访问权限没有控制公司销售信息被竞争对手获得，业务无法开展5通过域控，系统密码控制，严格控制访问权限2 3 30 3 控制增加准入设备，对访问权限和访问区域进行规定5 1 1 5 1 接受第11 页共36 页。

国家认监委公告2016年第24号——国家认监委关于自愿性认证领域目录和资质审批要求的公告文章属性•【制定机关】国家认证认可监督管理委员会•【公布日期】2016.08.26•【文号】国家认监委公告2016年第24号•【施行日期】2016.08.26•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】认证认可正文国家认监委公告2016年第24号国家认监委关于自愿性认证领域目录和资质审批要求的公告为进一步推进认证机构资质审批改革，提高审批效率，便利申请者，根据《中华人民共和国认证认可条例》第九、十、十一条、《认证机构管理办法》第七、八、九条及国务院有关规定，现制定发布《自愿性认证领域目录和资质审批要求》。

自本公告发布之日起，《国家认监委关于发布自愿性认证业务分类目录和主要审批条件的公告》（国家认监委2014年38号公告）同时废止。

根据国民经济和社会发展需求以及国内外认证行业发展情况，本公告内容将适时进行调整。

国家认监委2016年8月26日自愿性认证领域目录和资质审批要求一、自愿性认证领域目录1.按照科学、简化、集约的原则，自愿性认证业务分为“认证类别”、“认证领域”和“认证项目”三个层级。

2.根据《认证认可条例》，“认证类别”分为产品、服务、管理体系三个大类。

3.每一“认证类别”划分若干“认证领域”。

产品认证参照国家标准GB/T 7635.1《全国主要产品分类与代码第一部分可运输产品》和GB/T 7635.2《全国主要产品分类与代码第二部分不可运输产品》划分为21个认证领域；服务认证参照国家标准GB/T 7635.2《全国主要产品分类与代码第二部分不可运输产品》划分为22个认证领域；管理体系认证依据认证特性划分为6个认证领域。

认证机构的资质审批至领域，自愿性认证领域目录见附件1。

4.认证机构可在批准的“认证领域”内自行研发并开展“认证项目”。

按照国家认监委规定的要求和时限进行备案。

5.认证机构从事国家认监委或者国家认监委会同国务院有关部门推行的认证制度（简称国推认证制度），按照制度设定要求实施管理，国推认证制度目录见附件2。

信息安全技术信息安全服务的定义和分类目次前言 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 信息安全服务模型 (3)5 信息安全服务分类 (3)6 信息安全咨询服务 (4)6.1 概述 (4)6.2 信息安全规划 (5)6.3 信息安全管理体系咨询 (5)6.4 信息安全风险评估 (5)6.5 信息安全应急管理咨询 (5)6.6 业务连续性管理咨询 (5)7 信息安全实施服务 (6)7.1 概述 (6)7.2 信息安全设计 (6)7.3 信息安全产品部署 (6)7.4 信息安全开发 (6)7.5 信息安全加固和优化 (6)7.6 信息安全检查 (6)7.7 信息安全测试 (7)7.8 信息安全监控 (7)7.9 信息安全应急处理 (7)7.10 信息安全通告 (7)7.11 备份和恢复 (7)7.12 数据修复 (8)7.13 电子认证服务 (8)8 信息安全培训服务 (8)9 第三方信息安全服务 (8)9.1 概述 (8)9.2 信息安全测评 (8)9.3 信息安全监理 (9)9.4 信息安全审计 (9)10 信息安全服务特点 (9)附录A（规范性附录）信息安全服务的采购 (10)附录B（资料性附录）信息安全服务与信息系统生命周期的对应关系 (12)参考文献 (13)1 范围本标准规定了信息安全服务的定义、一般模型和主要类别，包括信息安全咨询服务、信息安全实施服务、信息安全培训服务、第三方信息安全服务和其他信息安全服务五大类。

本标准适用于各类组织或个人用户对信息安全服务的选用和采购，也适用于信息安全服务提供方提供信息安全服务和开发信息安全服务产品，以及信息安全行业对信息安全服务的分类管理。

本标准不适用于仅依附于信息安全产品的信息安全服务（如：信息安全产品的使用、维保等服务）。

2 规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅所注日期的版本适用于本文件。

附件1附件2全国技术先进型服务企业认定（复核）申请表企业名称(盖章)企业英文名称所属城市填报日期年月日填表人电话传真电子邮件二О年月填表说明企业须根据《关于将技术先进型服务企业所得税政策推广至全国实施的通知》（财税〔2017〕79号）的各项要求和本表的格式如实填写。

如发现弄虚作假，取消认定资格。

一、统一社会信用代码：按照国家标准委制定的标准填写，参见《法人和其他组织统一社会信用代码编码规则》。

二、企业注册类型：根据国家统计局与国家工商行政管理局联合制定的《关于划分企业登记注册类型的规定调整的通知》（国统字〔2011〕86号）按本企业在工商行政管理部门登记注册的类型填写。

如：（1）国有及国有控股企业；（2）集体企业；（3）私营企业；（4）股份制企业；（5）联营企业；（6）有限责任公司；（7）外商投资企业；（8）港、澳、台投资企业等。

三、服务业务范围可选择多个。

四、企业认定情况：高新技术企业应是企业拥有的高新技术企业证书在有效期内，其编号在“高新技术企业认定管理工作网”可查的企业；集成电路企业和软件企业为报财政部、税务总局、国家发展改革委、工业和信息化部备案的企业；科技型中小企业为在“全国科技型中小企业评价工作系统”中入库且登记编号可查的企业。

五、主要股东及所占股份比例：股份制企业、外商投资企业和港、澳、台投资企业填写此栏，并按股权比例大小列出前三名股东和所占股份比例数。

六、总收入：指收入总额减去不征税收入。

收入总额与不征税收入按照《中华人民共和国企业所得税法》及《中华人民共和国企业所得税法实施条例》的规定计算。

七、技术先进型服务业务收入：指企业从事《关于将技术先进型服务企业所得税政策推广至全国实施的通知》（财税〔2017〕79号）中附件技术先进型服务业务认定范围（试行）中的一种或多种技术先进型服务业务取得的收入。

八、离岸服务外包业务取得的收入：指企业根据境外单位与其签订的委托合同，由本企业或其直接转包的企业为境外单位提供《技术先进型服务业务认定范围（试行）》中所规定的信息技术外包服务（ITO）、技术性业务流程外包服务（BPO）和技术性知识流程外包服务（KPO），而从上述境外单位取得的收入。

ICS 35.080L 77SJ 中华人民共和国电子行业标准SJ/T XXXXX—20XX信息技术服务分类与代码Information technology service —Classification and code（报批稿）XXXX-XX-XX发布XXXX-XX-XX实施前言本标准按照GB/T1.1-2009给出的规则起草。

请注意本文件的某些内容可能涉及专利。

本文件的发布机构不承担识别这些专利的责任。

本标准由中华人民共和国工业和信息化部软件服务业司提出。

本标准由中国电子技术标准化研究所归口。

本标准起草单位：中国电子技术标准化研究所、广州赛宝认证中心服务有限公司、山东浪潮齐鲁软件产业股份有限公司、太极计算机股份有限公司、神州数码系统集成服务有限公司。

本标准参与起草单位：上海宝信软件股份有限公司、河北省电子信息产品监督检验所、武汉矽感科技有限公司、北京斯福泰克科技股份有限公司、上海翰纬信息管理咨询有限公司、北京慧点科技开发有限公司、广州数控设备有限公司、北京华深慧正系统工程技术有限公司、武汉太阳花网络安全维护有限公司、广州南天电脑系统有限公司、东软集团股份有限公司、启明星信息技术股份有限公司、苏州软件评测有限公司、北京中软国际信息技术有限公司、江苏润和软件股份有限公司、中科院新疆理化技术研究所、北京信城通数码科技有限公司、同方股份有限公司、北京软件行业协会、用友软件股份有限公司、成都勤智数码科技有限公司、快威科技集团有限公司、大连华信计算机股份有限公司、深圳市中域通计算机服务外包有限公司、北京数字证书认证中心有限公司、海辉软件大连有限公司、曙光信息产业（北京）有限公司、北京护航科技有限公司、中金数据系统有限公司、北京立思辰科技股份有限公司、山东旅科信息有限公司、南京中兴软创科技股份有限公司、东华软件股份公司、首都信息发展股份有限公司、大连软件行业协会、上海市企业信息化促进中心、北京和源沐泽科技发展有限公司、大连口岸物流科技有限公司、广州市金禧信息技术服务有限公司、上海天玑科技股份有限公司、广州越维信息科技有限公司、博彦科技（北京）有限公司、北京中油瑞飞信息技术有限责任公司、万达信息股份有限公司、广州新鼎典信息技术服务有限公司、方正国际软件有限公司、北京中科金财科技股分有限公司、沈阳荣科科技工程有限公司、广州市金税信息系统集成有限公司、思创数码科技股份有限公司、北京紫光华宇软件股份有限公司、上海计算机软件技术开发中心、福建星网锐捷网络有限公司、南京擎天科技有限公司、广西壮族自治区计算中心、南宁海蓝数据有限公司、新疆天择数码科技有限责任公司、福建长威网络科技有限公司、山东标准化研究院、新疆航天信息有限公司、上海三零卫士信息安全有限公司、中国软件行业协会系统与软件过程改进分会、山东泰盈科技有限公司、辽宁立科信息工程有限公司、北京华力中电科技发展有限公司、山东省计算中心、重庆南华中天信息技术有限公司。

管理体系认证规则1适用范围本规则依据认证认可相关法律法规，结合相关技术标准，规定了认证机构开展各类管理体系认证活动应遵循的基本程序要求。

除国家认监委对特定管理体系认证另有规定外，在中国境内从事管理体系认证活动应当遵守本规则要求。

2对认证机构的基本要求2.1认证机构应当依据认证认可相关法律法规取得管理体系认证相关资质后，方可在批准范围内开展相关管理体系认证活动。

2.2认证机构从事管理体系认证活动应当遵循公正公开、客观独立、诚实信用的原则。

认证机构实施内部管理和开展管理体系认证活动应当符合GB/T27021.1/ISO/IEC 17021-1《合格评定管理体系审核认证机构要求》及其他相关系列标准要求，以确保持续具备开展管理体系认证的能力、一致性和公正性。

2.3认证机构开展不同类别、不同行业领域的管理体系认证活动，应根据国家经济和社会发展需要，不得影响国家安全和社会公共利益，不得违背社会公序良俗。

2.4认证机构开展不同类别、不同行业领域的管理体系认证活动，应当在遵守本规则基础上，制定机构自身的认证实施规则（如认证方案、认证程序、作业指导书等），并遵照执行。

2.5认证机构应当建立风险防范机制，对其从事管理体系认证活动可能引发的风险和责任，采取合理有效措施。

认证机构应能证明已对其开展的管理体系认证活动引发的风险进行了评估，并对各个活动领域和运作地域的业务引发的责任做了充分安排（如保险或储备金）。

获证组织发生重大事故或引发重大舆情，认证机构应及时采取措施，迅速进行调查、处理，并将信息及时报送市场监管部门：（1）在《生产安全事故报告和调查处理条例》和《国家突发环境事件应急预案》中被列为特别重大事故/事件的，应当立即对获证组织的认证资格进行相应处置，并在事故或事件发生1日之内将信息报送国家市场监管部门和当地省级市场监管部门。

（2）在《生产安全事故报告和调查处理条例》和《国家突发环境事件应急预案》中被列为重大事故/事件的，应当立即对获证组织的认证资格进行相应处置，并在事故或事件发生2日之内将信息报送国家市场监管部门和当地省级市场监管部门。

信息安全基础(试卷编号1281)1.[单选题]信息战的军人身份确认较常规战争的军人身份确认( )A)难B)易C)难说答案:A解析:2.[单选题]从统计的情况看,造成危害最大的黑客攻击是( )A)漏洞攻击B)蠕虫攻击C)病毒攻击答案:C解析:3.[单选题]配电自动化信息安全部署的原则是（ ）。

A)安全分区、网络专用、物理隔离、逻辑加密B)安全分区、网络专用、横向隔离、纵向加密C)安全分区、网络专用、纵向隔离、横向加密D)安全分区、网络专用、横向到边、纵向到底答案:B解析:4.[单选题]以下哪一项不属于物理入口控制的措施?( )A)仅允许佩戴规定类型工牌的人员进入B)入口处使用指纹识别系统C)仅允许穿戴规定防护服的人员进入D)保安核实来访人员的登记信息答案:C解析:5.[单选题]假如向一台远程主机发送特定的数据包，却不想远程主机响应发送的数据包。

这时可以使用哪一种类型的进攻手段（ ）。

A)缓冲区溢出B)地址欺骗C)拒绝服务D)暴力攻击答案:B6.[单选题]信息系统的安全保护等级第五级，信息系统受到破坏后，会对( )造成特别严重损害。

A)社会秩序B)公共利益C)信息安全D)国家安全答案:D解析:7.[单选题]当一个应用系统被攻击并受到了破坏后，系统管理员从新安装和配置了此应用系统，在该系统重新上线前管理员不需查看：（）A)访问控制列表B)系统服务配置情况C)审计记录D)用户账户和权限的设置答案:C解析:8.[单选题]关于漏洞的扫描，以下哪项是错误的？A)漏洞是事先未知、事后发现的。

B)漏洞一般是可以修补的C)漏洞是安全隐患，会使计算机遭受黑客攻击D)漏洞是可以避免的答案:D解析:9.[单选题]漏洞评估产品在选择时应注意( )。

A)是否具有针对网络、主机和数据库漏洞的检测功能B)产品的扫描能力和产品的评估能力C)产品的漏洞修复能力D)以上都正确答案:D解析:10.[单选题]事件管理流程主要角色有：（）、一线支持人员、二线支持人员、三线支持人员。