免费智能真题库 > 历年试卷 > 信息系统监理师 > 2011年下半年 信息系统监理师 上午试卷 综合知识
  第65题      
  知识点:   安全管理   国际标准   信息安全   信息安全管理
  关键词:   国际标准   信息安全管理   安全   安全管理   信息安全        章/节:   安全管理       

 
(65)属于信息安全管理国际标准
 
 
  A.  ISO 9000-2000
 
  B.  SSE-CMM
 
  C.  ISO 17799
 
  D.  ISO 15408
 
 
 

 
  第61题    2018年上半年  
   52%
《中华人民共和国网络安全法》自( )起施行。
  第1题    2010年上半年  
   57%
信息安全风险评估贯穿于信息系统的全生命周期,根据《国家电子政务工程建设项 目管理暂行办法》,项目建设单位组织开展信息安全风..
 
   知识点讲解    
   · 安全管理    · 国际标准    · 信息安全    · 信息安全管理
 
       安全管理
        安全管理的目标是将信息资源和信息安全资源管理好。安全管理是信息系统安全能动性的组成部分。大多数事故的发生,与其说是技术原因,还不如说是由管理不善导致的。安全管理要贯穿于信息系统规划、设计、建设、运行和维护各阶段。
               安全管理政策法规
               信息安全管理政策法规包括国家法律和政府政策法规和机构和部门的安全管理原则。信息系统法律的主要内容有:信息网络的规划与建设、信息系统的管理与经营、信息系统的安全、信息系统的知识产权保护、个人数据保护、电子商务、计算机犯罪、计算机证据与诉讼。信息安全管理涉及的方面有:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理、审计管理。
               信息安全管理的总原则有:规范化、系统化、综合保障、以人为本、主要负责人负责、预防、风险评估、动态发展、注重实效、均衡防护。安全管理的具体原则有:分权制衡、最小特权、标准化、选用成熟的先进技术、失效保护、普遍参与、职责分离、审计独立、控制社会影响、保护资源和效率。
               我国的信息安全管理的基本方针是:兴利除弊,集中监控,分级管理,保障国家安全。
               安全机构和人员管理
               国家信息安全机构是国家最上层安全机构的组成部分。国家信息安全强调的是国家整体上的信息安全性,而不仅是某一个部门或地区的信息安全。而各部门、各地区又确实存在个体差异,对于不同行业领域来说,信息安全具有不同的涵义和特征,国家的信息安全保障体系的战略性必须涵盖部门和地区信息安全保障体系的相关内容。
               为保证信息系统的安全,各信息系统使用单位也应建立信息系统安全管理机构。建立信息系统安全管理机构的第一步是确定系统安全管理员的角色,并组成安全管理小组。安全管理小组制定出符合本单位需要的信息安全管理策略,具体包括:安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估原则等内容。并尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
               信息系统的运行是依靠各级机构的工作人员来具体实施的,安全人员既是信息系统安全的主体,也是系统安全管理的对象。要加强人员管理,才能增强人们的安全意识,增强他们对安全管理重视的程度和执行的力度。首先要加强人员的审查、培训和考核工作,并与安全人员签订保密合同,调离不合格的人员,并做好人员调离的后续工作,承诺调离后的保密任务,收回其权限、钥匙、证件、相关资料等。安全人员管理的原则有:从不单独一个人、限制使用期限、责任分散、最小权限。
               技术安全管理
               技术安全管理包括如下内容。
               (1)软件管理:包括对操作系统、应用软件、数据库、安全软件和工具软件的采购、安装、使用、更新、维护和防病毒的管理等。
               (2)设备管理:对设备的全方位管理是保证信息系统建设的重要条件。设备管理包括设备的购置、使用、维修和存储管理。
               (3)介质管理:介质在信息系统安全中对系统的恢复、信息的保密和防止病毒方面起着关键作用。介质管理包括将介质分类、介质库的管理、介质登记和借用、介质的复制和销毁以及涉密介质的管理。
               (4)涉密信息管理:包括涉密信息等级的划分、密钥管理和密码管理。
               (5)技术文档管理:包括技术文档的密级管理和使用管理。
               (6)传输线路管理:包括传输线路管理和网路互连管理。传输线路上传送敏感信息时,必须按敏感信息的密级进行加密处理。重要单位的计算机网络于其他网络的连接与计算机的互连需要经过国家有关单位的批准。
               (7)安全审计跟踪:为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件(如网络入侵、内部资料窃取、泄密行为等),并阻断严重的违规行为,就需要安全审计跟踪机制的来实现在跟踪中记录有关安全的信息。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。
               (8)公共网络连接管理:是指对单位或部门通过公共网络向公众发布信息和提供有关服务的管理,和对单位或部门从网上获得有用信息的管理。
               (9)灾难恢复:灾难恢复是对偶然事故的预防计划,包括制定灾难恢复策略和计划和灾难恢复计划的测试与维护。
               网络管理
               网络管理是指通过某种规程和技术对网络进行管理,从而实现:①协调和组织网络资源以使网络的资源得到更有效的利用;②维护网络正常运行;③帮助网络管理人员完成网络规划和通信活动的组织。网络管理涉及网络资源和活动的规划、组织、监视、计费和控制。国际标准化组织(ISO)在相关标准和建议中定义了网络管理的五种功能,即:
               (1)故障管理:对计算机网络中的问题或故障进行定位,主要的活动是检测故障、诊断故障和修复故障。
               (2)配置管理:对网络的各种配置参数进行确定、设置、修改、存储和统计,以增强网络管理者对网络配置的控制。
               (3)安全管理:网络安全包括信息数据安全和网络通信安全。安全管理可以控制对计算机网络中的信息的访问。
               (4)性能管理:性能管理可以测量网络中硬件、软件和媒体的性能,包括整体吞吐量、利用率、错误率和响应时间,帮助管理者了解网络的性能现状。
               (5)计费管理:跟踪每个个人和团体用户对网络资源的使用情况,并收取合理的费用。
               场地设施安全管理
               信息系统的场地与设施安全管理要满足机房场地的选择、防火、火灾报警及消防措施、防水、防静电、防雷击、防辐射、防盗窃、防鼠害,以及对内部装修、供配电系统等的技术要求。并完成出入控制、电磁辐射防护和磁辐射防护工作。
 
       国际标准
        1946年成立的国际标准化组织负责制定各种国际标准,ISO有89个成员国家,85个其他成员。ISO的任务是促进全球范围内的标准化及其有关活动,以利于国际间产品与服务的交流,以及在知识、科学、技术和经济活动中发展国际间的相互合作。例如,ISO开发了开放式系统互连网络结构模型,模型定义了用于网络结构的7个数据处理层。
        其他标准化组织如下:
        (1)ANSI:美国国家标准研究所,ISO的美国代表。ANSI设计了ASCII代码组,它是一种广泛使用的数据通信标准代码。
        (2)NIST:美国国家标准和技术研究所,美国商业部的标准化机构。
        (3)IEEE:电气和电子工程师协会(Institute of Electrical and Electronics Engineers)。IEEE设置了电子工业标准,分成一些标准委员会(或工作组),每个工作组负责标准的一个领域,工作组802设置了网络上的设备如何彼此通信的标准,即IEEE 802标准委员会划分成的工作组有:802.1工作组,协调低档与高档OSI模型;802.2工作组,涉及逻辑数据链路标准;802.3工作组,有关CSMA/CD标准在以太网的应用;802.4工作组,令牌总线标准在LAN中的应用;802.5工作组,设置有关令牌环网络的标准。
        (4)EIA:电子工业协会(Electronic Industries Association)。最为人熟悉的EIA标准之一是RS-232C接口,这一通信接口允许数据在设备之间交换。
        值得注意的是,ITU-T和ISO之间有很好的合作和协调。
 
       信息安全
        信息安全的5个基本要素为机密性、完整性、可用性、可控性和可审查性。
        (1)机密性。确保信息不暴露给未受权的实体或进程。
        (2)完整性。只有得到允许的人才能修改数据,并能够判别出数据是否已被篡改。
        (3)可用性。得到授权的实体在需要时可访问数据。
        (4)可控性。可以控制授权范围内的信息流向及行为方式。
        (5)可审查性。对出现的安全问题提供调查的依据和手段。
        随着信息交换的激增,安全威胁所造成的危害越来越受到重视,因此对信息保密的需求也从军事、政治和外交等领域迅速扩展到民用和商用领域。所谓安全威胁,是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是威胁的具体实现。安全威胁分为两类:故意(如黑客渗透)和偶然(如信息发往错误的地址)。
        典型的安全威胁举例如下表所示。
        
        典型的安全威胁
 
       信息安全管理
               信息安全含义及目标
               国际标准《ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系-要求》中对信息安全的定义为:“保护信息的保密性、完整性、可用性;另外也包括其他属性,如:真实性、可核查性、不可抵赖性和可靠性。”
               根据定义,信息安全的属性包括:
               .保密性(confidentiality):指“信息不被泄露给未授权的个人、实体和过程或不被其使用的特性。”数据的保密性可以通过网络安全协议、身份认证服务、数据加密技术来实现。
               .完整性(integrity):指“保护资产的正确和完整的特性。”简单地说,就是确保接收到的数据就是发送的数据。确保数据完整性的技术包括CA认证、数字签名、防火墙系统、传输安全(通信安全)和入侵检测系统。
               .可用性(availability):指“需要时,授权实体可以访问和使用的特性。”可用性确保数据在需要时可以使用。确保可用性的技术有磁盘和系统的容错、可接受的登录及进程性能、可靠的功能性的安全进程和机制、数据冗余及备份。
               .其他属性及目标:真实性一般指对信息的来源进行判断,能对伪造来源的信息予以鉴别;可核查性指系统实体的行为可以被独一无二地追溯到该实体的特性,这个特性就是要求该实体对其行为负责,可核查性也为探测和调查安全违规事件提供了可能性;不可抵赖性指建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的;可靠性指系统在规定的时间和给定的条件下,无故障地完成规定功能的概率,通常用平均故障间隔时间(Mean Time Between Failure, MTBF)来度量。
               信息安全管理的内容
               ISO/IEC 27000系列标准是由国际标准组织与国际电工委员会共同发布的国际公认的信息安全管理系列标准,它包括《ISO/IEC 27001信息技术-安全技术-信息安全管理体系-要求》《ISO/IEC 27002信息技术-安全技术-信息安全管理体系-实践准则》等系列标准。
               ISO/IEC 27000系列标准将信息安全管理的内容主要概括为如下14个方面:
               .信息安全方针与策略:为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。管理者应根据业务目标制定清晰的方针和策略,并通过在整个组织中颁发和维护信息安全方针来表明对信息安全的支持和承诺。
               .组织信息安全:要建立管理框架,以启动和控制组织范围内的信息安全的实施。管理者应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施。同时要保持被外部组织访问、处理、通信或受其管理的组织信息及信息处理设施的安全。组织的信息处理设施和信息资产的安全不应由于引入外部各方的产品或服务而降低。信息安全应整合到组织的项目管理方法中,以确保识别并处理了信息安全风险。应确保在使用移动计算和远程工作设施时的信息安全。
               .人力资源安全:要确保员工、合同方和第三方用户了解他们的责任并适合其岗位,从而减少盗窃、滥用或设施误用的风险。组织应确保所有的员工、合同方和第三方用户了解信息安全威胁和关注点,以及他们的责任和义务,并能够在他们的日常工作中支持组织的信息安全方针,减少人为错误的风险。要确保员工、合同方和第三方用户以一种有序的方式离开组织或变更工作。
               .资产管理:要对组织资产实现并维持适当的保护。所有资产均应有人负责,并有指定的所有者;要确保信息可以得到适当程度的保护;应对信息进行分类,以便在信息处理时指明保护的需求、优先级和期望程度。
               .访问控制:对信息、信息处理设施和业务过程的访问应基于业务和安全需求进行控制。访问控制规则应考虑到信息分发和授权的策略。
               .密码:应通过加密手段来保护信息的保密性、真实性或完整性。组织应制定使用密码的策略;应有密钥管理以支持密码技术的使用。
               .物理和环境安全:应防止对组织办公场所和信息的非授权物理访问、破坏和干扰。组织应防止资产的丢失、损坏、被盗和破坏,以及对组织业务活动的中断;应保护设备免受物理和环境的威胁;要对设备(包括非公司现场的设备和迁出的设备)进行保护以减少未授权访问信息的风险并防止丢失或损坏,同时要考虑设备的安置和处置。
               .运行安全:确保信息处理设施的正确和安全操作,应建立所有信息处理设施的管理和操作的职责与程序。组织应最小化系统失效的风险;应保护软件和信息的完整性;应保持信息和信息处理设施的完整性和可用性;应探测未经授权的信息处理活动;应维护应用系统软件和信息的安全;应减少由利用已发布的技术漏洞带来的风险。涉及运行系统验证的审计要求和活动,应谨慎地加以规划并取得批准,以便最小化业务过程的中断。
               .通信安全:应确保网络中的信息和支持性基础设施得到保护;应防止对资产的未授权泄露、修改、移动或损坏,及对业务活动的中断;应维持组织内部或组织与外部组织之间交换信息和软件的安全。
               .信息系统的获取、开发和保持:应确保安全成为信息系统的一部分;应防止应用系统中信息的错误、丢失、未授权的修改或误用。组织应为系统开发全生命周期的开发和集成活动建立安全开发环境,并予以适当保护;应保护在公共网络上应用服务传输的信息,以防止遭受欺诈、合同纠纷以及未经授权的泄露和修改;应确保电子商务的安全及其安全使用。
               .供应商关系:为降低供应商访问组织资产的相关风险,应与供应商就信息安全要求达成一致,并形成文件。供应商协议应包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。应按照第三方服务交付协议的要求实施并保持信息安全和服务交付的适宜水平。组织应检查协议的实施,监视协议执行的一致性,并管理变更,以确保交付的服务满足与第三方商定的所有要求。
               .信息安全事件管理:确保与信息系统有关的安全事件和弱点以一种能够及时采取纠正措施的方式进行沟通;应确保使用一致、有效的方法管理信息安全事件;应建立职责和程序以有效地处理报告的信息安全事件和弱点。对信息安全事件的响应、监视、评估和总体管理应进行持续改进。需要证据时,证据的收集应符合法律的要求。
               .业务持续性管理:应防止业务活动的中断,保护关键业务流程不会受到重大的信息系统失效或灾难的影响并确保它们的及时恢复。这个过程需要识别关键的业务过程,并将业务持续性的信息安全管理要求与其他的诸如运营、员工安置、材料、运输和设施等持续性要求予以整合。除了通用的风险评估过程外,业务连续性管理应包括识别和减少风险的控制措施、降低有害事件的影响以及确保业务过程需要的信息能够随时得到。
               .符合性:应避免违反法律、法规、规章、合同要求和其他的安全要求;确保系统符合组织安全策略和标准;应最大化信息系统审核的有效性,并最小化来自信息系统审核带来的干扰。
               除以上14个方面的主要内容外,信息安全风险管理也是信息安全管理的重要基础,不管对于哪个方面控制措施的选择和评价,都应基于风险评价的结果进行。随着多学科的应用和相互融合,信息安全管理的内容也更加广泛和深入。
   题号导航      2011年下半年 信息系统监理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第65题    在手机中做本题