全部科目 > 系统规划与管理师 >
2023年上半年 上午试卷 综合知识
第 68 题
知识点 安全管理   信息安全管理体系   ISO   管理体系   认证   信息安全   信息安全管理  
章/节 信息安全管理   过程要素管理  
 
 
ISO/IEC 27001信息安全管理体系认证属于()标准。
 
  A.  国际
 
  B.  国家
 
  C.  行业
 
  D.  企业
 
 




 
 
相关试题     信息安全管理体系、知识和活动 

  第27题    2017年下半年  
甲和乙从认证中心CA1获取了自己的证书I和I,丙从认证中心CA2获取了自己的证书I,下面说法中错误的是( )。

  第22题    2019年上半年  
信息安全的基本属性包括5个方面,除了保密性、完整性、可用性和可控性外,还包括( )。

  第22题    2018年上半年  
“信息不被泄露给非授权的个人和实体或供其使用的特性”属于信息安全基本属性中的() 。

相关试题     安全管理 

  第28题    2021年上半年  
信息安全管理体系基于() 的方法,建立、实施、运行、监视、评审、保持和改进信息安全。

  第52题    2023年上半年  
不适合做安全管理关键指标的是()。

  第41题    2018年上半年  
在IT服务运营管理过程中,要对运行维护服务过程进行安全管理,以保证信息的保密性、完整性和( ) 。

 
知识点讲解
· 安全管理
· 信息安全管理体系
· ISO
· 管理体系
· 认证
· 信息安全
· 信息安全管理
 
        安全管理
        安全管理流程确保供方提供符合信息安全要求的服务。在IT服务运营中应充分执行以下事项。
        (1)执行安全策略:应当按照安全策略制订的要求,进行日常工作,如移动介质的安全检查、进出入机房的安全检查、风险评估等多项工作。
        (2)对违反安全策略的事件进行监控与追踪:应当对违反安全策略的事件进行监控,如非法用户的登入、非法软件的安装等。对于违反安全策略的事件要进行追责,并给予足够的重视。
        (3)安全管理的关键指标包括:运行维护服务过程中信息的保密性,运行维护服务过程中信息的可用性,运行维护服务过程中信息的完整性。
        【实例】典型移动介质安全策略。
        典型移动介质安全策略
        不得将载有重要信息的存储介质随意存放,未经安全责任人授权,不得带出公司。
        公司不得擅自使用私人自带设备。外来人员不经批准不得带入移动设备和介质。
        若介质上的内容不再需要,应立即清除。对于存放有重要信息的存储介质,在销毁时,保证措施到位,避免不必要的泄露。
        公司内的移动设备读取和光盘刻录限制在指定计算机上,并需要进行登记。
        公用移动设备和介质,借用需要审批流程,使用完毕后及时归还,归还前要进行信息删除处理。
 
        信息安全管理体系
        信息安全管理体系(ISMS):是整个管理体系的一部分。它是基于业务风险的方法,来建立、实施、运行、监视、评审、保持和改进信息安全的(注:管理体系包括:组织结构、方针政策、规划活动、职责、实践、程序、过程和资源)。
 
        ISO
        国际标准化组织(International Standardization Organization, ISO)成立于1947年,是世界上最庞大的国际标准化专门机构,也是联合国的甲级咨询机构。ISO每个标准的制定过程要经历下面的5个步骤。
        (1)每个技术委员会根据其工作范围拟定相应的工作计划,并报理事会下属的计划委员会批准。
        (2)相应的分技术委员会的工作组根据计划编写原始工作文件,称为工作草案。
        (3)分技术委员会或工作组再把工作草案提交技术委员会或分技术委员会作为待讨论的标准建议,称委员会草案(Committee Draft, CD),而ISO则要给每个CD分配一个唯一的编号,相应的文件被标记为ISO CD××××。委员会草案CD之间的文件叫作建议草案(Draft Proposal, DP)。
        (4)技术委员会将委员会草案发给其成员征求意见。若CD得到大多数成员的同意,则委员会草案(CD)就成为国际标准草案(Draft International Standard, DIS),其编号不变。
        (5)ISO的中央秘书处将DIS分别送给ISO的所有成员国投票表决。有75%的成员国赞成则通过。经ISO的理事会批准以后就成为正式的国际标准(International Standard, IS),其编号不变,标记为ISO××××。
 
        管理体系
        灾备管理体系主要是指组织机构的各个层面,在日常状态和灾难状态下的各种管理工作,至少包括以下5个方面。
        (1)灾难恢复组织机构。商业银行应结合本行机构设置的具体情况,设立灾难恢复组织机构,包括灾难恢复规划建设、运行维护、应急响应和灾难恢复等各阶段工作所需的人员,有关人员可为专职,也可为兼职,关键岗位的人员应有备份。商业银行可以参考《JR/T0044 2008银行业信息系统灾难恢复管理规范》,设置灾难恢复组织机构,包括决策层、管理层和执行层,各层之间分工明确、职责清晰。
        (2)岗位与培训管理。灾备中心的应急生产岗位应与生产中心对等,只不过可以按照人员复用的原则,由灾备管理人员、开发测试人员或系统运维人员专职或兼职担任。对不同层次、不同部门的岗位,在灾难恢复策略规划、系统建设与运维、预案制定、演练和更新维护等不同阶段,应按照不同的培训目标,安排不同的培训计划。
        (3)灾难恢复预案管理与演练。灾难恢复预案要长期保持有效性,必须在灾难恢复策略发生变化、演练发现问题、生产系统发生变更、人员出现调整等情况下,及时修订维护预案,做好变更管理、版本管理,以及发布管理等,确保合适的人员及时获得最准确、最合适的信息。演练验证灾难恢复预案有效性的最佳手段。演练管理就是要对演练的计划、场景、人员、过程、总结评估和后续完善调整等进行全面管理,通过演练来培养灾难恢复团队面对复杂环境的信心和冷静心态,验证灾难恢复能力,改进灾难恢复流程,发现并纠正灾备体系中的缺陷。
        (4)灾备中心日常运维、灾难响应与重续运行管理。灾备中心应随时做好接替生产中心的准备,因此,必须像生产中心一样,对灾备中心的系统、网络和环境等基础资源进行运行维护,按照备份策略按时完成数据备份,完成灾备系统与生产系统的同步。当灾难发生后,灾难恢复组织机构的各层人员立即响应,在指挥报告、协调、联络、保障等工作机制的保障下,按照灾难恢复流程步骤,一步步地恢复信息系统及其支撑的关键业务功能。在生产系统成功切换到灾备中心运行后,要按照生产中心的规章制度、操作流程、技术规范来管理,保障生产系统安全稳定运行,直至生产中心重建并恢复了生产运行能力。
        (5)外部资源管理。外部资源主要指商业银行的合作伙伴、服务商、设备商和外协人员等。当发生灾难时,可能需要这些外部资源的支持才能完成灾难恢复,比如,从设备供应商紧急采购灾备生产设备,从电信运营服务商紧急租用通信线路,从银联借调交易流水等。因此,需要与这些外部资源建立日常联系或签订协议,并不定期地测试其支持能力,以保证在灾难恢复期间,外部资源可以提供有效的支持。
 
        认证
        认证又分为实体认证和消息认证两种。实体认证是识别通信对方的身份,防止假冒,可以使用数字签名的方法。消息认证是验证消息在传送或存储过程中有没有被篡改,通常使用报文摘要的方法。
               基于共享密钥的认证
               如果通信双方有一个共享的密钥,则可以确认对方的真实身份。这种算法依赖于一个双方都信赖的密钥分发中心(Key Distribution Center,KDC),如下图所示,其中的A和B分别代表发送者和接收者,KAKB分别表示A、B与KDC之间的共享密钥。
               
               基于共享密钥的认证协议
               认证过程如下:A向KDC发出消息{A,KA(B,KS)},说明自己要与B通信,并指定了与B会话的密钥KS。注意,这个消息中的一部分(B,KS)是用KA加密的,所以第三者不能了解消息的内容。KDC知道了A的意图后就构造了一个消息{KB(A,KS)}发给B。B用KB解密后就得到了A和KS,然后就可以与A用KS会话了。
               然而,主动攻击者对这种认证方式可能进行重放攻击。例如A代表雇主,B代表银行。第三者C为A工作,通过银行转账取得报酬。如果C为A工作了一次,得到了一次报酬,并偷听和复制了A和B之间就转账问题交换的报文,那么贪婪的C就可以按照原来的次序向银行重发报文2,冒充A与B之间的会话,以便得到第二次、第三次……报酬。在重放攻击中攻击者不需要知道会话密钥KS,只要能猜测密文的内容对自己有利或是无利就可以达到攻击的目的。
               基于公钥的认证
               这种认证协议如下图所示。A向B发出EB(A,RA),该报文用B的公钥加密。B返回EARARBKS),用A的公钥加密。这两个报文中分别有A和B指定的随机数RARB,因此能排除重放的可能性。通信双方都用对方的公钥加密,用各自的私钥解密,所以应答比较简单。其中的KS是B指定的会话键。这个协议的缺陷是假定双方都知道对方的公钥。
               
               基于公钥的认证协议
 
        信息安全
        信息安全的5个基本要素为机密性、完整性、可用性、可控性和可审查性。
        (1)机密性。确保信息不暴露给未受权的实体或进程。
        (2)完整性。只有得到允许的人才能修改数据,并能够判别出数据是否已被篡改。
        (3)可用性。得到授权的实体在需要时可访问数据。
        (4)可控性。可以控制授权范围内的信息流向及行为方式。
        (5)可审查性。对出现的安全问题提供调查的依据和手段。
        随着信息交换的激增,安全威胁所造成的危害越来越受到重视,因此对信息保密的需求也从军事、政治和外交等领域迅速扩展到民用和商用领域。所谓安全威胁,是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是威胁的具体实现。安全威胁分为两类:故意(如黑客渗透)和偶然(如信息发往错误的地址)。
        典型的安全威胁举例如下表所示。
        
        典型的安全威胁
 
        信息安全管理
               信息安全含义及目标
               国际标准《ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系-要求》中对信息安全的定义为:“保护信息的保密性、完整性、可用性;另外也包括其他属性,如:真实性、可核查性、不可抵赖性和可靠性。”
               根据定义,信息安全的属性包括:
               .保密性(confidentiality):指“信息不被泄露给未授权的个人、实体和过程或不被其使用的特性。”数据的保密性可以通过网络安全协议、身份认证服务、数据加密技术来实现。
               .完整性(integrity):指“保护资产的正确和完整的特性。”简单地说,就是确保接收到的数据就是发送的数据。确保数据完整性的技术包括CA认证、数字签名、防火墙系统、传输安全(通信安全)和入侵检测系统。
               .可用性(availability):指“需要时,授权实体可以访问和使用的特性。”可用性确保数据在需要时可以使用。确保可用性的技术有磁盘和系统的容错、可接受的登录及进程性能、可靠的功能性的安全进程和机制、数据冗余及备份。
               .其他属性及目标:真实性一般指对信息的来源进行判断,能对伪造来源的信息予以鉴别;可核查性指系统实体的行为可以被独一无二地追溯到该实体的特性,这个特性就是要求该实体对其行为负责,可核查性也为探测和调查安全违规事件提供了可能性;不可抵赖性指建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的;可靠性指系统在规定的时间和给定的条件下,无故障地完成规定功能的概率,通常用平均故障间隔时间(Mean Time Between Failure, MTBF)来度量。
               信息安全管理的内容
               ISO/IEC 27000系列标准是由国际标准组织与国际电工委员会共同发布的国际公认的信息安全管理系列标准,它包括《ISO/IEC 27001信息技术-安全技术-信息安全管理体系-要求》《ISO/IEC 27002信息技术-安全技术-信息安全管理体系-实践准则》等系列标准。
               ISO/IEC 27000系列标准将信息安全管理的内容主要概括为如下14个方面:
               .信息安全方针与策略:为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。管理者应根据业务目标制定清晰的方针和策略,并通过在整个组织中颁发和维护信息安全方针来表明对信息安全的支持和承诺。
               .组织信息安全:要建立管理框架,以启动和控制组织范围内的信息安全的实施。管理者应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施。同时要保持被外部组织访问、处理、通信或受其管理的组织信息及信息处理设施的安全。组织的信息处理设施和信息资产的安全不应由于引入外部各方的产品或服务而降低。信息安全应整合到组织的项目管理方法中,以确保识别并处理了信息安全风险。应确保在使用移动计算和远程工作设施时的信息安全。
               .人力资源安全:要确保员工、合同方和第三方用户了解他们的责任并适合其岗位,从而减少盗窃、滥用或设施误用的风险。组织应确保所有的员工、合同方和第三方用户了解信息安全威胁和关注点,以及他们的责任和义务,并能够在他们的日常工作中支持组织的信息安全方针,减少人为错误的风险。要确保员工、合同方和第三方用户以一种有序的方式离开组织或变更工作。
               .资产管理:要对组织资产实现并维持适当的保护。所有资产均应有人负责,并有指定的所有者;要确保信息可以得到适当程度的保护;应对信息进行分类,以便在信息处理时指明保护的需求、优先级和期望程度。
               .访问控制:对信息、信息处理设施和业务过程的访问应基于业务和安全需求进行控制。访问控制规则应考虑到信息分发和授权的策略。
               .密码:应通过加密手段来保护信息的保密性、真实性或完整性。组织应制定使用密码的策略;应有密钥管理以支持密码技术的使用。
               .物理和环境安全:应防止对组织办公场所和信息的非授权物理访问、破坏和干扰。组织应防止资产的丢失、损坏、被盗和破坏,以及对组织业务活动的中断;应保护设备免受物理和环境的威胁;要对设备(包括非公司现场的设备和迁出的设备)进行保护以减少未授权访问信息的风险并防止丢失或损坏,同时要考虑设备的安置和处置。
               .运行安全:确保信息处理设施的正确和安全操作,应建立所有信息处理设施的管理和操作的职责与程序。组织应最小化系统失效的风险;应保护软件和信息的完整性;应保持信息和信息处理设施的完整性和可用性;应探测未经授权的信息处理活动;应维护应用系统软件和信息的安全;应减少由利用已发布的技术漏洞带来的风险。涉及运行系统验证的审计要求和活动,应谨慎地加以规划并取得批准,以便最小化业务过程的中断。
               .通信安全:应确保网络中的信息和支持性基础设施得到保护;应防止对资产的未授权泄露、修改、移动或损坏,及对业务活动的中断;应维持组织内部或组织与外部组织之间交换信息和软件的安全。
               .信息系统的获取、开发和保持:应确保安全成为信息系统的一部分;应防止应用系统中信息的错误、丢失、未授权的修改或误用。组织应为系统开发全生命周期的开发和集成活动建立安全开发环境,并予以适当保护;应保护在公共网络上应用服务传输的信息,以防止遭受欺诈、合同纠纷以及未经授权的泄露和修改;应确保电子商务的安全及其安全使用。
               .供应商关系:为降低供应商访问组织资产的相关风险,应与供应商就信息安全要求达成一致,并形成文件。供应商协议应包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。应按照第三方服务交付协议的要求实施并保持信息安全和服务交付的适宜水平。组织应检查协议的实施,监视协议执行的一致性,并管理变更,以确保交付的服务满足与第三方商定的所有要求。
               .信息安全事件管理:确保与信息系统有关的安全事件和弱点以一种能够及时采取纠正措施的方式进行沟通;应确保使用一致、有效的方法管理信息安全事件;应建立职责和程序以有效地处理报告的信息安全事件和弱点。对信息安全事件的响应、监视、评估和总体管理应进行持续改进。需要证据时,证据的收集应符合法律的要求。
               .业务持续性管理:应防止业务活动的中断,保护关键业务流程不会受到重大的信息系统失效或灾难的影响并确保它们的及时恢复。这个过程需要识别关键的业务过程,并将业务持续性的信息安全管理要求与其他的诸如运营、员工安置、材料、运输和设施等持续性要求予以整合。除了通用的风险评估过程外,业务连续性管理应包括识别和减少风险的控制措施、降低有害事件的影响以及确保业务过程需要的信息能够随时得到。
               .符合性:应避免违反法律、法规、规章、合同要求和其他的安全要求;确保系统符合组织安全策略和标准;应最大化信息系统审核的有效性,并最小化来自信息系统审核带来的干扰。
               除以上14个方面的主要内容外,信息安全风险管理也是信息安全管理的重要基础,不管对于哪个方面控制措施的选择和评价,都应基于风险评价的结果进行。随着多学科的应用和相互融合,信息安全管理的内容也更加广泛和深入。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有