ISMS相关标准和法规
该标准对信息安全管理体系相关规范进行了综述,并列举了其主要技术要求。
该标准对信息安全管理体系的技术规范提出了具体要求。
该指南为信息安全控制提供了实践指导书。
该指南详细阐述了信息安全管理体系实施的具体方法。
该文件对信息安全管理方面的量化指标进行了系统规定。
该文件明确了信息安全风险管理体系的基本框架。
该机构对信息安全管理体系的审核流程提出了明确要求。
本整合版指南旨在统一ISO/IEC 27001与ISO/IEC 20000-1的相关要求。
该指南为信息技术安全治理提供了全面指导原则。
本标准则聚焦于信息安全治理的整体框架设置。
其中一项扩展内容涵盖了隐私保护领域的深入细节。
gb/t29246-2017/iso/iec27000:2016 概述和词汇
2 术语和定义
2.5 审核
收集审核依据并对其进行全面评估以确保符合审核标准要求的一个条理性、自主性且有记录的支持流程。
单选
单选
单选
单选
单选
单选
单选
2.16 控制
改变风险的措施。
单选
单选
单选
单选
2.19 纠正措施
消除不符合成因以防止再次发生的措施。
2.25 事态
一组特定情形的发生或改变。
2.32 信息处理设施
任何一种信息处理系统、服务或其他相关基础设施都包括在内;同时这些设施的位置也对其功能具有重要影响。
包含信息的保密性、完整性和可用性得到了充分保护。此外,还可以涵盖诸如真实性、可核查性、抗抵赖性和可靠性 等其他特性。
单选
单选
单选
单选
单选
单选
单选
单选
2.68 风险
对目标的不确定性影响。
2.69 风险接受
接纳特定风险的有根据的决定。
单选
单选
单选
判断
判断
判断
单选
单选
2.75 风险识别
发现、识别和描述风险的过程。
多选
2.83 威胁
可能对系统或组织造成危害的不期望事件的潜在原由。
2.89 脆弱性
可能被一个或多个威胁利用的资产或控制的弱点。
单选
单选
单选
单选
GB/T22080-2016/ISO/IEC27001:2013 信息安全管理体系 要求
1 范围
本标准规定了在组织环境下制定、构建、管理以及优化维护信息安全管理体系的要求。
本标准还包括了根据组织需求而**筛选的信息安全风险评估及处置要求。
本标准规定的要求是广泛适用性的一般性要求,在各类规模或性质不同的组织中均可适用。
当声称某组织符合本标准时,则不应忽视第4至第10章中所规定的各项具体要求。
2 规范性引用文件
3 术语和定义
判断
判断
判断
判断
判断
判断
判断
判断
多选
多选
多选
判断
判断
判断
判断
判断
判断
判断
单选
单选
单选
7.5.3 文件化信息的控制
【多选】为控制文件化信息,适用时,组织应强调以下活动:
- 分发、访问、检索以及使用;
- 存储与保护,并注重内容可读性;
- 管理变更(如版本管理);
- 维护与处理
8 运行
8.1 运行规划和控制
单选
多选
多选选项
单选
多选
单选
单选
表A-1 安全信息目标与控制
A-6 信息安全组织
A-6-1-1 安全信息角色与责任划分
A-6-1-2 职责分离措施
A-6-1-3 相关职能机构联系
A-6-1-4 特定相关方联系
A.7 人力资源安全
A.7.1 任用前
目标:使员工与合同方充分认识到其责任并适应其角色。
A.7.1.1 审查
应依据相关法律法规及道德准则对所有任用候选人的背景进行核实确认,并与业务要求、访问信息等级以及潜在风险相匹配。
A.7.1.2 任用条款与条件
应在员工与合同方签订的协议中明确双方对于信息安全的责任义务。
A.7.2 任用中
目标:确保员工与合同方了解并履行信息安全义务。
A.7.2.1 管理责任
管理者应对组织所有员工及相关合同方提出要求:按照既定的安全策略与操作规程履行信息安全职责。
A.7.2.2 安全意识、教育与培训
组织全体员工及相关合同方进行培训教育,并根据工作职责制定相应的培训内容及频率;同时需定期更新安全策略及相关规程。
A.7.2.3 违规处理程序
应建立完善且已传达的操作流程以针对信息安全违规行为实施相应处理措施。
A.7.3 任用终止或变更
目标:在人员变动过程中保障组织利益不受损害。
A.7.3.1 变更或终止责任
应对人员变动后仍需履行的安全责任及其职责进行明确,并及时传达至相关人员并执行相应义务
判断
A.9 访问控制
A.9.1 访问控制的业务要求
目标:限制对信息和信息处理设施的访问。
A.9.1.1 访问控制策略
应基于业务和信息安全要求,建立访问控制策略,形成文件并进行评审。
A.9.1.2 网络和网络服务的访问
A.9.2 用户访问管理
A.9.2.1 用户注册和注销
A.9.2.2 用户访问供给
A.9.2.3 特许访问权管理
A.9.2.4 用户的秘密鉴别信息管理
A.9.2.5 用户访问权的评审
A.9.2.6 访问权的移除或调整
A.9.3 用户责任
A.9.3.1 秘密鉴别信息的使用
A.9.4 系统和应用访问控制
A.9.4.1 信息访问限制
应按照访问控制策略限制对信息和应用系统功能的访问。
A.9.4.2 安全登陆规程
A.9.4.3 口令管理系统
A.9.4.4 特权实用程序的使用
A.9.4.5 程序源代码的访问控制
A.10 密码
A.10.1 密码控制
A.10.1.1 密码控制的使用策略
A.10.1.2 密钥管理
单选
多选
单选
A.13 通信安全
A.13.1 网络安全管理
A.13.1.1 网络控制策略
A.13.1.2 信息传输协议标准
A.13.1.3 数据隔离管理措施
A.13.2 信息传输规划
A.13.2.1 信息安全管理制度
A.13.2.2 标准化通信协议体系
A.13.2.3 电子消息发送流程
A.13.24 加密通信机制规定
多选
判断
A.第十六部分.第一阶.第四条.信息安全事态的判定及应对措施制定
A.第十六部分.第一阶.第五条.针对信息系统的应急处理措施实施
A.第十六部分.第一阶.第六条.通过信息系统的事故分析来优化安全管理体系
A.第十六部分.第一阶.第七条.信息系统的证据采集与分析
注:改写说明
A项第十八章合规性
A项第十八章第一节第一条"适用的法律法规及合同条款依据"
A项第十八章第一节第二节知识产权管理
A项第十八章第一节第三节记录管理措施实施情况评估
A项第十八章第一节第四条隐私与可识别个人数据保护
A项第十八章第二节第一条独立完成信息安全评估任务
A项第十八章第二节第二条技术方案的技术合规性检验工作
gb/t22081-2016/iso/iec27002:2013 信息安全控制实践指南
单选
单选
单选
4 标准结构
单选
8 管理
8.1 关于资产管理的责任
目标:辨识组织内的各项资源并设定相应的保护职责。
8.1.1 资产清查
控制:建议识别相关信息及其相关数据存储设备、网络基础设施等。
实现指南:组织应辨识与其信息生命周期相关的各项资源,并记录其重要性。
【单选
单选
多选
单选
单选
单选
单选
单选
单选
单选
单选
单选
单选题
iso/iec27003 信息安全管理体系实施指南
iso/iec27004 信息技术 安全技术 信息安全管理 测量
单选
单选
单选题
单选题
3 术语和定义
3.9 测度
通过执行一次测量赋予对象属性的数或类别。
3.10 测量
使用测量方法、测量函数、分析模型和决策准则 来获取有关isms和控制措施有效性的过程。
iso/iec27005 信息技术 安全技术 信息安全风险管理
3 术语和定义
3.1 影响
对所达到业务目标的不利改变。
3.3 风险规避
3.4 风险沟通
3.5 风险估算
3.6 风险识别
3.7 风险降低
3.8 风险保留
3.9 风险转移
单选
单选
单选
单选
单选
单选题
单选
iso/iec27006 信息技术 安全技术 信息安全管理体系 审核和认证机构要求
gb/t25069-2010 信息安全技术 术语
2.1.1 保密性
使信息不泄漏给未授权的个人、实体、进程,或不被其利用的特性。
2.1.17 抗抵赖性 表现某一动作或事件已经发生的能力,并得以防止事后否认这一动作或事件
2.1.18 可核查性
确保可将一个实体的行动唯一地追踪到此实体的特性。
2.1.19 可靠性
预期行为和结果保持一致的特性。
2.1.20 可用性
已授权实体一旦需要就可访问和使用数据和资源的特性。
2.1.42 完整性
保卫资产准确性和完整的特性。
单选
单选
第2.1.54条中的信息安全事件被视为一种被发现的系统、服务或网络状态的变化。这种变化通常表明确保当前的安全策略存在潜在违规行为或现有的防护机制失效,并可能暗示着一种潜在的安全状况未被人们所察觉。
单选
单选
单选题
单选
单选
多选
单选
单选
单选
单选
单选
单选
单选
单选
单选
单选
5 信息安全管理体系
6 信息安全管理部门
7 人员安全措施
8 资产安全管理
9 权限管理措施
10 身份认证机制
11 物理环境与环境安全措施
12 系统运行安全性管理
13 信息传输安全性措施
14 系统获取、开发与维护的安全管理措施
15 供应商关系安全管理
16 安全事件管理体系
17 信息系统的连续性保障体系
18 符合性评估标准
GB/Z 20986—2007 信息安全技术 信息安全事件分类分级指南
单选
单选
单选
单选
单选
单选题
gb/t20984-2007 信息安全技术 信息安全风险评估规范
【单选】构成风险的关键因素有(资产、威胁和弱点)。
多选
多选
多选
多选
单选
单选
单选
单选
GB/T20988-2007 信息安全技术 信息系统灾难恢复规范
灾难备份中心
单选
单选
单选
gb17859-1999 计算机信息系统 安全保护等级划分准则
单选
CNAS-CC11 多场所组织的管理体系审核与认证
2 定义
2.1 组织 Organization
为了实现目标, 该组织的核心要素是职责、权限以及各成员之间的互动关系, 而这些要素共同构成了其自身的功能体系, 通常是由个人或是多个团队共同完成任务的机构.
2.2 常设场所 Permanent Site
客户组织长期运营并开展服务活动的固定位置或虚拟地点
2.5 中心职能 Central function: 对于管理体系而言, 其承担着对管理体系实施统一调控的责任。
2.8 最高管理者 Top Management 负责指挥协调组织运作的整体 单个人员或团队
CNAS-CC170 信息安全管理体系认证机构要求
9.3 初次认证
9.3.1 IS 9.3.1 初次认证审核
9.3.1.1 IS 9.3.1.1 第一阶段
认证机构必须充分了解组织环境下实施的信息安全管理体系(ISMS)设计、风险评估以及相应的处置措施(包括已确定的控制措施),信息安全方针与目标,并且特别关注客户的审核准备工作。在此阶段的基础上才能进行第二阶段的策划。
多选
信息安全等级保护管理办法
单选
单选
第二十二条 第三级以上信息系统应当优先选用符合下列标准的信息安全产品:
(1) 该产品的研发及运营主体由国内法人所有或受国家掌控,并在中国境内设立独立法人;
(2) 该产品的核心技术及关键组件均拥有国内自主知识产权;
(3) 该产品的研发及运营主体及其主要业务运营者和技术人员均未有过犯罪记录;
(4) 该产品明确声明不存在恶意软件植入或其他漏洞配置行为;
(5) 使用该产品不会对国家安全和社会秩序等公共利益造成影响;
(6) 已被列入信息安全产品认证目录的产品需取得相关机构颁发的有效认证证书
单选
商用密码管理条例
第三条 商用密码技术被归类为国家秘密 。为了确保其安全性与机密性,在研发过程中必须实施严格管控措施:包括但不限于禁止非授权使用、建立完善的信息安全管理架构以及定期开展安全审查等环节。此外,在实际应用中也需要遵循以下规范:研发活动必须经过层层审批以确保安全;经营主体在进行研发和生产时需取得相关资质认证;使用环节则需专项许可证件审批。
保守国家秘密法
十条 国家保密等级划分为绝密、机密与的秘密等级三级。
第十五条 国家的秘密信息其保密有效期通常为三十年以下(绝密级别)、二十年以下(机密级别)、十年以下(秘密级别),除非特殊情况外有特别规定。
第二十三条 存储和处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密等级实施分级管理措施。
第三条 在从事保密工作中的岗位员工(以下简称保密员 ),根据其保密级别的不同划分为一级、二级和三级保密员,并实施分级管理制度。
第三十八条 涉密人员离岗离职实行脱密期管理 。
单选
单选
单选
密码法
多选
多选
多选
多选
第七条 核心password与 ordinary password均用于管理国家secret information. 其中 core password专门负责protected information of the highest confidentiality grade, 而 ordinary password则承担protected information of medium confidentiality grade. 作为国家secret的一部分, 则由core与ordinary两种password进行防护.
第八条 商用密码用于保护不属于国家秘密的信息。
第四十四条 本法自2020年1月1日起施行。
网络安全法
【单选】《网络安全法》的实施时间是(2017年6月1日)。
单选
单选
互联网信息服务管理办法
第三条 互联网信息服务分为经营性和非经营性两类。
第四条 国家相关部门对经营性质的互联网信息服务采取许可管理方式;对非经营性质的互联网信息服务实施备案管理制度。
第五条 从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务业务时,请根据相关法律法规及国家规定,在申请经营许可证或完成备案手续之前应当依法向相关主管部门报备。
计算机信息系统国际联网保密管理规定
含有国家秘密的计算机信息系统不得通过网络手段与国际互联网或其他公共信息网络相连接,并须采取物理隔离措施。
单选
第二十条 本规定自2000年1月1日起施行。
计算机信息系统安全保护条例
【单选】(1994年2月18日 )国务院发布《计算机信息系统安全保护条例》。
判断
判断
第11条 对于设置全球网络连接的计算机信息系统实施国际联网服务应当由该单位的负责人向上级政府中的省级及以上公安机关提交备案申请
单选
单选
第十六条 国家对计算机信息系统安全专用产品的销售实行(许可证制度)。
单选
单选
任何组织或个人若违反本条例规定,使其财产遭受损失 ,则需依法承担(民事责任 )。
其他
PRD安全模型被归类于(时间模型)类别中,在满足(Pt > Dt + Rt)的情况下,则可判定该系统为安全状态。
在PPDR安全模型中以策略为核心要素的是... PPDR(Policy Protection Detection Response)。
在PPDRR安全模型中,在事件发生后的补救措施属于该模型的关键组成部分之一
(数字认证实体)构成了PKI体系的基础部分,所有安全操作均依赖于这一核心组件完成。
PKI的主要理论基础是(公钥密码算法)。
在PKI体系中负责数字证书管理的主要功能模块是(CA机构)。
解析:公钥基础设施(Public Key Infrastructure)作为现代信息安全的关键组成部分,在全球范围内得到了广泛的应用和发展。典型的PKI体系架构包含以下几大核心要素:基于标准的基础设施保障、强大的数字签名能力、灵活的电子签名认证平台以及相关的应用服务等。
关键绩效指标(KPI)作为公钥密码基础设施的核心要素,在信息系统中有效应对了(身份信任)难题。
单选
单选
多选题
单选
单选
单选