信息安全管理-试题集
判断题:
1. 信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(×)
注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。
2. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×)
注释:应在24小时内报案
3. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型(×)
注释:共3种计算机犯罪,但只有2种新的犯罪类型。
单选题:
1. 信息安全经历了三个发展阶段,以下( B )不属于这三个发展阶段。
A. 通信保密阶段
B. 加密机阶段
C. 信息安全阶段
D.
安全保障阶段
2. 信息安全阶段将研究领域扩展到三个基本属性,下列( C )不属于这三个基本属性。
A. 保密性
B. 完整性
C. 不可否认性
D. 可用性
3. 下面所列的( A )安全机制不属于信息安全保障体系中的事先保护环节。
A. 杀毒软件
B. 数字证书认证
C. 防火墙
D. 数据库加密
4. 《信息安全国家学说》是( C )的信息安全基本纲领性文件。
A. 法国
B. 美国
C. 俄罗斯
D. 英国
注:美国在2003年公布了《确保网络空间安全的国家战略》。
5. 信息安全领域内最关键和最薄弱的环节是( D )。
A. 技术
B. 策略
C. 管理制度
D. 人
6. 信息安全管理领域权威的标准是( B )。
A. ISO 15408
B. ISO 17799/ISO 27001(英)
C. ISO 9001
D. ISO 14001
7. 《计算机信息系统安全保护条例》是由中华人民共和国(A )第147号发布的。
A. 国务院令
B. 全国人民代表大会令
C. 公安部令
D. 国家安全部令
8. 在PDR安全模型中最核心的组件是( A )。
A. 策略
B. 保护措施
C. 检测措施
D. 响应措施
9. 在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的结果文档被称为( A )。
A. 可接受使用策略AUP
B. 安全方针
C. 适用性声明
D. 操作规范
10. 互联网服务提供者和联网使用单位落实的记录留存技术措施,应当具有至少保存( C )天记录备份的功能。
A. 10
B. 30
C. 60
D.90
11. 下列不属于防火墙核心技术的是( D )
A. (静态/动态)包过滤技术
B. NAT技术
C. 应用代理技术
D. 日志审计
12. 应用代理防火墙的主要优点是( B )
A. 加密强度更高
B. 安全控制更细化、更灵活
C. 安全服务的透明性更好
D. 服务对象更广泛
13. 对于远程访问型VPN来说,( A )产品经常与防火墙及NAT机制存在兼容性问题,导致安全隧道建立失败。
A. IPSec VPN
B. SSL VPN
C. MPLS VPN
D. L2TP VPN
注:IPSec协议是一个应用广泛,开放的VPN安全协议,目前已经成为最流行的VPN解决方案。在IPSec框架当中还有一个必不可少的要素: Internet安全关联和密钥管理协议
——IKE(或者叫ISAKMP/Oakley),它提供自动建立安全关联和管理密钥的功能。
14. 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859-1999,提出将信息系统的安全等级划分为( D )个等级,并提出每个级别的安全功能要求。
A. 7
B. 8
C. 6
D. 5
注:该标准参考了美国的TCSEC标准,分自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。
15. 公钥密码基础设施PKI解决了信息系统中的( A )问题。
A. 身份信任
B. 权限管理
C. 安全审计
D. 加密注:PKI(Public Key Infrastructure,公钥密码基础设施),所管理的基本元素是数字证书。
16. 最终提交给普通终端用户,并且要求其签署和遵守的安全策略是( C )。
A. 口令策略
B. 保密协议
C. 可接受使用策略AUP
D. 责任追究制度
知识点:
1. 《信息系统安全等级保护测评准则》将测评分为安全控制测试和系统整体测试两个方面。
2. 安全扫描可以弥补防火墙对内网安全威胁检测不足的问题。
3. 1994年2月18日国务院发布《计算机信息系统安全保护条例》。
4. 安全审计跟踪是安全审计系统检测并追踪安全事件的过程。
5. 环境安全策略应当是简单而全面。
6. 安全管理是企业信息安全的核心。
7. 信息安全策略和制定和维护中,最重要是要保证其明确性和相对稳定性。
8. 许多与PKI相关的协议标准等都是在X.509基础上发展起来的。
9. 避免对系统非法访问的主要方法是访问控制。
10. 灾难恢复计划或者业务连续性计划关注的是信息资产的可用性属性。
11. RSA是最常用的公钥密码算法。
12. 在信息安全管理进行安全教育和培训,可以有效解决人员安全意识薄弱。
13. 我国正式公布电子签名法,数字签名机制用于实现抗否认。
14. 在安全评估过程中,采取渗透性测试手段,可以模拟黑客入侵过程,检测系统安全脆弱性。
15. 病毒网关在内外网络边界处提供更加主动和积极的病毒保护。
16. 信息安全评测系统CC是国际标准。
17. 安全保护能力有4级:1级-能够对抗个人、一般的自然灾难等;2级-对抗小型组织;3级-对抗大型的、有组织的团体,较为严重的自然灾害,能够恢复大部分功能;4级-能够对抗敌对组织、严重的自然灾害,能够迅速恢复所有功能。
18. 信息系统安全等级分5级:1-自主保护级;2-指导保护级;3-监督保护级;4-强制保护级;5-专控保护级。
19. 信息系统安全等级保护措施:自主保护、同步建设、重点保护、适当调整。
20. 对信息系统实施等级保护的过程有5步:系统定级、安全规则、安全实施、安全运行和系统终止。
21. 定量评估常用公式:SLE(单次资产损失的总值)=AV (信息资产的估价)×EF(造成资产损失的程序)。
22. SSL主要提供三方面的服务,即认证用户和服务器、加密数据以隐藏被传送的数据、维护数据的完整性。
23. 信息安全策略必须具备确定性、全面性和有效性。
24. 网络入侵检测系统,既可以对外部黑客的攻击行为进行检测,也可以发现内部攻击者的操作行为,通常部署在网络交换机的监听端口、内网和外网的边界。
25. 技术类安全分3类:业务信息安全类(S类)、业务服务保证类(A类)、通用安全保护类(G类)。其中S类关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改;A类关注的是保护系统连续正常的运行等;G类两者都有所关注。
26. 如果信息系统只承载一项业务,可以直接为该信息系统确定安全等级,不必划分业务子系统。
27. 信息系统生命周期包括5个阶段:启动准备、设计/开发、实施/实现、运行维护和系统终止阶段。而安全等级保护实施的过程与之相对应,分别是系统定级、安全规划设计、安全实施、安全运行维护和系统终止。
中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号:CCAA-141 发布日期:2012年6月19日 ?版权2012-中国认证认可协会
信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会(CCAA)人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制:CCAA日期:2012年5月10日 批准:CCAA日期:2012年6月19日 实施:CCAA 日期:2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息,请与CCAA人员注册部联系,联络地址如下: 地址:北京市朝阳区朝外大街甲10号中认大厦13层 邮编:100020 https://www.doczj.com/doc/3a15365200.html, email:pcc@https://www.doczj.com/doc/3a15365200.html, 版权 ?版权2012-中国认证认可协会
前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会(CNCA)唯一授权的依法从事认证人员认证(注册)的机构,开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员,加入了IPC-QMS/EMS审核员培训与注册国际互认协议,人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》(质检总局令第61号)、国家认监委《关于正式开展信息安全管理体系认证工作的公告》(2009年第47号公告)制定,考虑了中国的国情及认证/认可机构的要求,是建立信息安全管理体系(ISMS)审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性,但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求,CCAA对此不承担责任。
ISO27001培训系列V1.0 ISO 27001信息安全体系培训控制目标和控制措施 (条款A7-资产管理) 2009年11月 董翼枫(dongyifeng78@https://www.doczj.com/doc/3a15365200.html, )
条款A7 资产管理
A7.1对资产负责 ?目标: 实现和保持对组织资产的适当保护。 ?所有资产应是可核查的,并且有指定的责任人。 ?对于所有资产要指定责任人,并且要赋予保持相应控制措施的职责。特定控制措施的实施可以由责任人适当地委派别人承担,但责任人仍有对资产提供适当保护的责任。
A7.1.1资产清单 控制措施 ?应清晰的识别所有资产,编制并维护所有重要资产的清单。 实施指南 ?一个组织应识别所有资产并将资产的重要性形成文件。资产清单应包括所有为从灾难中恢复而需要的信息,包括资产类型、格式、位置、备份信息、许可证信息和业务价值。该清单不应复制其他不必要的清单,但它应确保内容是相关联的。 ?另外,应商定每一资产的责任人(见A7.1.2)和信息分类(见A7.2),并形成文件。基于资产的重要性、其业务价值和安全级别,应识别与资产重要性对应的保护级别。
A7.1.2资产责任人 控制措施 ?与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任。 实施指南 ?资产责任人应负责: a)确保与信息处理设施相关的信息和资产进行了适当的分类; b)确定并周期性评审访问限制和分类,要考虑到可应用的访问控制策略。 ?所有权可以分配给: a)业务过程; b)已定义的活动集; c)应用; d)已定义的数据集。
A7.1.3资产的合格使用 控制措施 ?与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。 实施指南 ?所有雇员、承包方人员和第三方人员应遵循信息处理设施相关信息和资产的可接受的使用规则,包括: a)电子邮件和互联网使用(见A10.8)规则; b)移动设备,尤其是在组织外部使用设备(见A11.7;1)的使用指南; ?具体规则或指南应由相关管理者提供。使用或拥有访问组织资产权的雇员、承包方人员和第三方人员应意识到他们使用信息处理设施相关的信息和资产以及资源时的限制条件。他们应对使用信息处理资源以及在他们职责下的使用负责。
《安全生产管理知识》 一、单项选择题(每小题1分,共70分) 1.一般生产经营单位主要负责人和安全生产管理人员安全生产管理培训时间不得少于()学时;每年再培训时间不得少于()学时。 A.24,12 B.20,8 C.36,10 D.24,8 2.下列对 "本质安全"理解不正确的是()。 A.包括设备和设施等本身固有的失误安全和故障安全功能 B.是安全生产管理预防为主的根本体现 C.可以是事后采取完善措施而补偿的 D.设备或设施含有内在的防止发生事故的功能 3.以下的论点中,()不属于“偶然损失原则”的论点。 A.事故后果及其严重程度都是随机的。 B.反复发生的同类事故,并不一定产生完全相同的后果。 C.事故后果及其严重程度是难于预测的,因此,无论事故损失大小,都必 须做好预防工作。 D.为了预防事故的发生,就要从根本上消除事故发生的可能性。 4.安全生产管理的目标是减少、控制危害和事故,尽量避免生产过程中由于()所 造成的人身伤害、财产损失及其他损失。 A.事故 B.危险 C.管理不善 D.违章 5.根据能量转移理论的概念,事故的本质是()。 A.能量的不正常转移 B.造成人员死伤 C.造成经济损失 D.造成人员伤亡 6.要做到“安全第一”,就必须()。 A.将高危作业统统关掉 B.提高系统的安全系数 C.实行“安全优先”的原则 D.提高劳动生产率 7.海因里希事故连锁理论把事故发生过程概括为五个部分,即()。 A.管理缺陷;环境缺陷;人的不安全行为和物的不安全状态;事故;伤害 B.遗传及社会环境;人的缺点;直接原因;事故;伤害 C.基本原因;间接原因;人的不安全行为和物的不安全状态;事故;损失 D.遗传及社会环境;人的缺点;人的不安全行为和物的不安全状态;事故;伤害
最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
信息安全管理体系程序文件目录
信息安全管理体系作业文件目录
1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类: 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故: a) 企业秘密、机密及国家秘密泄露或丢失; b) 服务器停运4 小时以上; c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故: a) 企业机密及国家秘密泄露; b) 服务器停运8 小时以上; c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括: a) 未产生恶劣影响的服务、设备或者实施的遗失; b) 未产生事故的系统故障或超载; c) 未产生不良结果的人为误操作; d) 未产生恶劣影响的物理进入的违规
项目管理人员安全培训考试试题 项目部:姓名:得分: 一、单项选择题(4个选项中只有1个正确答案,每道题2分,共40题) 1.安全生产管理是实现安全生产的重要( B ) A.条件 B.保证 C.依据 D.因素 2.安全是(D)。 A.没有危险的状态B.没有事故的状态C.舒适的状态D.生产系统中人员免遭不可承受危险的伤害 3. 我国安全生产的方针是(D ) A生产必须安全、安全促进生产B反违章、除隐患、保安全、促生产 C落实安全规章制度、强化安全防范措施D安全第一,预防为主 4. 工程监理单位和监理工程师应当按照法律法规和工程建设强制性标准实施监理,并对建设工程安全生产承担( B )责任。 A控制B监理C监督D检查 5.总承包单位依法将建设工程分包给其他单位的,分包合同中应当明确各自的安全生产方面的权利、义务。总承包单位对分包工程的安全生承担( A )。 A.连带 B.主要 C.直接 D.与其无关。 6.安全目标的措施体系是安全目标实现的(C )。 A.主要因素 B.必要条件 C.保证 D.依据 7.施工现场发生火灾时,应当拨打(B )向公安消防机构报警。 A.110 B.119 C.122 D.120 8.专职安全生产管理人员发现安全事故隐患,应当及时向( D )报告。 A.项目负责人和安全生产管理机构 B.当地建设局安全部门 C.业主 D.项目负责人 安全色分为红、黄、蓝、绿四种颜色分别表( D )9.根据《安全色》规定A.警告、禁止、指令、提示 B.指令、警告、禁止、提示 C.禁止、指令、警告、提示 D.禁止、警告、指令、提示 10.建筑施工现场的围挡高度,一般路段应高于(B )。 A.2m B.1.8m C.1.5m D.2.2m 11.施工单位应对从事拆除作业的人员依法办理(D )保险。 A.医疗保险 B.工伤保险 C.失业保险 D.意外保险 12.拆除工程施工前,必须对施工作业人员进行书面(B )交底。 A.施工技术 B.安全技术 C.安全保障 D.工程安全 13.遇( B )级及以上强风,严禁露天起重吊装和高处作业。 A.5 B.6 C.7 D.8 14.当连续5天日平均气温低于(C ),一般来讲即进入冬期施工阶段。
信息安全管理体系认证实施规则 ISCCC-ISMS-001:2016 中国信息安全认证中心
目录 1.适用范围 (2) 2.认证依据 (2) 3.术语和定义 (2) 3.1.信息收集 (2) 3.2.现场审核 (2) 4.认证类别 (2) 5.审核人员及审核组要求 (2) 6.认证信息公开 (2) 7.认证程序 (2) 7.1.初次认证 (2) 7.2.监督审核 (6) 7.3.再认证 (8) 7.4.管理体系结合审核 (8) 7.5.特殊审核 (9) 7.6.暂停、撤消认证或缩小认证范围 (9) 8.认证证书 (10) 8.1.证书内容 (10) 8.2.证书编号 (11) 8.3.对获证组织正确宣传认证结果的控制 (11) 9.对获证组织的信息通报要求及响应 (11) 10.附录A:审核时间 (11)
1.适用范围 本规则用于规范中国信息安全认证中心(简称中心)开展信息安全管理体系(ISMS)认证活动。 2.认证依据 以国家标准ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》为认证依据。 3.术语和定义 3.1.现场审核 中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。 4.认证类别 认证类型分为初次认证,监督审核和再认证。为满足认证的需要,中心可以实施特殊审核,特殊审核采取现场审核方式进行。 5.审核人员及审核组要求 认证审核人员必须取得其他管理体系认证注册资格,并得到中心的专业能力评价,以确定其能够胜任所安排的审核任务。 审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增强审核组的技术能力。 具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作,可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。 6.认证信息公开 中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息: 1)认证服务项目; 2)认证工作程序; 3)认证依据; 4)证书有效期; 5)认证收费标准。 7.认证程序 7.1.初次认证
施工安全生产管理知识题库 一、单选题(每题有4个备选答案,其中只有一个答案是正确的,多选、不选、错选均不得分。) 1.我国安全生产工作的方针是( )。 A.安全责任重于泰山B.质量第一,安全第一 C.管生产必须管安全D.安全第一,预防为主,综合治理 正确答案:D 2.我们将施工作业的场所统称为( ),也叫工地。 A.临时工棚B.工厂C.施工现场D.高处作业 正确答案:C 3.( )不属于施工作业的特点。 A.露天作业、交叉作业多B.高温作业多C.高处作业多D.手工操作多正确答案:B 4.在生产过程中直接从事( )的人员统称为特种作业人员。 A.脚手架搭拆B.手工操作C.特种作业D.高处作业 正确答案:C 5.下列属于国家标准的是( )。 A.《施工扣件式钢管脚手架安全技术规》(JGJ 130-2001) B.《施工现场临时用电安全技术规》(JGJ 46--2005) C.《施工现场机械设备检查技术规程》(JGJ 160-2008) D.《塔式起重机安全规程》(GB 5144-2006) 正确答案:D 6《法》规定,( )必须为从事危险作业的职工办理意外伤害保险,支付保险费 A.施工企业B.职工自己C.作业班组D.建设单位 正确答案:A 7.施工特种作业人员考核容,包括( )等。 A.安全技术理论和实际操作技能B.安全技术理论 C.实际操作技能D.自学能力 正确答案:A 8.施工特种作业操作书有效期为( )年。 A.3 B.4 C.1 D.2 正确答案:D 9.特种作业人员应参加培训时间不少于()学时的年度安全教育培训。 A.8 B.16 C.24 D.32 正确答案:C 10.公司级安全教育,由企业安全教育部门实施,下列()不属于公司教育容。 A.国家和地方有关安全生产方面的方针、政策及法律法规 B.施工安全、职业健康和劳动保护的基本知识 C.施工人员安全生产方面的权利和义务 D.工程概况、施工现场作业环境和施工安全特点 正确答案:D 11.属于防护头部安全防护用品的是( )。 A.安全帽、工作帽B.护目镜、防护罩
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
安全生产管理人员考试卷 及答案 Prepared on 22 November 2020
中铁x x局连盐铁路第x项目部 管理人员工程生产管理考核 姓名:单位:职务:得分: 一、单项选择题(每小题四个答案中只有一个是正确的,将正确的答案的编号填在正确答案后面。每小题1分,共35分) 1、建设工程安全生产管理的方针是()。 A.管生产必须管安全 B.建立安全生产制度 C.安全第一、预防为主 D.建立政府的监察机制 正确答案: 2、建筑施工事故中,所占比例最高的是()。 A.高处坠落事故 B.各类坍塌事故 C.物体打击事故 D.起重伤害事故 正确答案: 3、建设工程实行总承包的,由总承包单位对施工现场的安全生产()。 A.负连带责任 B.负相关责任 C.负总责 D.不负责任 正确答案:4、专职安全生产管理人员负责对施工现场的安全生产进行监督检查,发现违章指挥、违章操作的,应当()。 A.马上报告有关部门 B.找有关人员协商 C.立即制止 D.通知项目负责人 正确答案:5、分包单位应当服从总承负单位的安全生产管理,分包单位不服从管理导致产生安全事故的,由()承担主要责任。
A. 分包单位 B.总承包单位 C.建设单位 D.监理单位 正确答案:6、垂直运输机械作业人员、安装拆卸工、爆破作业人员、起重信号工、登高架设作业人员等特种作业人员,必须按照国家有关规定经过(),并取得特种作业操作资格证书后,方可上岗作业。 A.三级教育 B.专门的安全作业培训 C.安全常识培训 D.安全技术交底 正确答案:7、工程中涉及深基坑、地下暗挖工程、高大模板工程的专项施工方案,施工单位还应当组织()进行论证。 A.企业负责人 B.项目负责人 C.安全负责人 D.专家 正确答案:8、根据《建设工程安全生产管理条例》规定,达到一定规模的危险性较大的分项工程应编制专项施工方案,经施工单位技术负责人和()签字后实施。 A.业主代表 B.设计主持人 C.总监理工程师 D.有关部门 正确答案:9、建设工程施工前,施工单位负责项目管理的()应当对有关安全施工措施的技术要求向施工作业班组、作业人员做出详细说明,并由双方签字确认。 A.项目经理 B.技术人员 C.值班人员 D.考核人员 正确答案: 1 10、施工现场暂时停止施工的,施工单位应该做好现场防护,所需费用由()承担或按合同约定执行。
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
省(市区) 姓名 准考证号 ………密……….…………封…………………线…………………内……..………………不……………………. 准…………………答…. …………题… 2020年安全工程师考试《安全生产管理知识》考前检测试题B 卷 含答案 考试须知: 1、考试时间:150分钟,本卷满分为100分。 2、请首先按要求在试卷的指定位置填写您的姓名、准考证号等信息。 3、请仔细阅读各种题目的回答要求,在密封线内答题,否则不予评分。 一、单选题(本大题共70小题,每题1分,共70分) 1、甲国有企业收购乙民营生物质发电公司45%的股份,完成收购后,乙公司总经理李某占股比20%,其他小股东合计占股份35%,为强化管理,甲企业派出副总经理王某任乙公司董事长,并组建乙公司董事会。依据《安全生产法》,乙公司的安全费用投入责任主体是( ) A 、董事长王 B 、总经理李某 C 、乙公司董事会 D 、甲企业董事会 2、宋体依据《生产经营单位安全生产更世故应急元编制导则》(AQ/T9002-2006),针对具体的事故类别、危险源和应急保障而制定的计划或方案属于( ) A 、综合应急预案 B 、专项应急预案 C 、现场处置方案 D 、基本应急预案 3、鉴于事故的不确定性和突发性,预警机制必须以( )为重要原则。 A 、高效率 B 、及时性 C 、全面性 D 、引导性 4、塔式起重机的接地必须牢固可靠,其接地电阻不大于( )Ω。 A 、4 B 、8 C 、10 D 、20 5、根据可能产生职业病危害程度的不同,《建设项目职业病危害管理办法》将建设项目分为一般职业病危害项目和严重职业病危害项目。下列项目中,不属于严重职业病危害项目的是( ) A 、可能产生高度和极度危害化学物质的项目 B 、可能产生石棉纤维的项目 C 、可能产生10%以下游离二氧化硅粉尘的项目 D 、可能产生放射性职业危害因素的项目 6、辐射可分为电离辐射和非电离辐射。属于电离辐射的是( ) A 、红外线 B 、x 射线 C 、激光 D 、紫外线 7、4月5日甲市某物流运输公司在乙市丙县境内公路上发生一起交通事故,造成重伤3人,轻伤3人,1辆运输车、2辆轿车严重受损,至4月10日在医院抢救的3人陆续死亡。关于组织这起事故调查的有关人民政府的说法,正确的是( ) A 、丙县人民政府负责组织事故调查,甲市人民政府应当派人参加,运输公司配合事故调查 B 、丙县人民政府负责组织事故调查,乙市人民政府应当派人参加,运输公司配合事故调查 C 、乙市人民政府负责组织事故调查,甲市人民政府应当派人参加,丙县人民政府配合事故调查 D 、甲市人民政府负责组织事故调查,乙市人民政府应当派人参加,丙县人民政府配合事故调查 8、根据毒害作用机理不同,职业性有害气体可分为窒息性气体和刺激性气体。下列气体中,属
XXXXXXXXX有限责任公司 信息安全管理体系 程序文件 编号:XXXX-B-01~XXXX-B-41 (符合ISO/IEC 27001-2013标准) 拟编:信息安全小组日期:2015年02月01日 审核:管代日期:2015年02月01日 批准:批准人名日期:2015年02月01日 发放编号: 01 受控状态:受控 2015年2月1日发布2015年2月1日实施
[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序 [XXXX-B-03]记录控制程序 [XXXX-B-04]纠正措施控制程序 [XXXX-B-05]预防措施控制程序 [XXXX-B-06]内部审核管理程序 [XXXX-B-07]管理评审程序 [XXXX-B-08]监视和测量管理程序 A6[XXXX-B-09]远程工作管理程序 A7[XXXX-B-10]人力资源管理程序 A8[XXXX-B-11]商业秘密管理程序 A8[XXXX-B-12]信息分类管理程序 A8[XXXX-B-13]计算机管理程序 A8[XXXX-B-14]可移动介质管理程序 A9[XXXX-B-15]用户访问管理程序 A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序 A10[XXXX-B-18]账号密码控制程序 A11[XXXX-B-19]安全区域管理程序 A12.1.2[XXXX-B-20]变更管理程序 A12.1.3[XXXX-B-21]容量管理程序 A12.2.1[XXXX-B-22]恶意软件管理程序 A12.3[XXXX-B-23]重要信息备份管理程序 A12.6[XXXX-B-24]技术薄弱点管理程序 A13[XXXX-B-25]电子邮件管理程序
信息安全管理体系认证合同 1 甲方: 乙方:中国电子技术标准化研究所体系认证中心 2 容和围 乙方根据甲方的申请,通过对甲方信息安全管理体系的审核,确认甲方的信息安全管理体系是否符合所选定的标准,从而决定是否批准甲方获得或保持注册资格。 2.1 认证所依据的信息安全管理体系标准:ISO/IEC27001或等同采用的标准文件 2.2.1 甲方信息安全管理体系覆盖的产品类别、过程及主要活动: 2.2.2 删减说明: 2.3 甲方信息安全管理体系所覆盖的地点(含安装、维修/服务、活动地点): 注:如多现场可另页详细描述 2.4 审核时间安排 初访/预审时间计划于年月进行,现场审核时间计划于年月进行,最终审核时间由双方具体商定。 2.5 认证证书有效期为三年,甲方获得认证注册资格后,在有效期,乙方对初次通过认证的甲方共进行四次监督审核。前两次的监督审核在获证后每半年进行一次,以后的监督审核为每年一次。对复评后的甲方每年进行一次监督审核。如有特殊情况,将酌情增加监督审核频次。证书有效期满前三个月向乙方提出申请进行复评。
3 费用 3.1审核费用: □申请费1000元 □注册费1000元 □证书费1000元 □年金2000元 □审核费: 3.2 初访/预审费用¥元(整)。 3.3 证书副本费用:中文副本元(50元/);英文副本,元(50元/); 加印分、子证书套元(3000元/套)。 3.4 以上费用共计:¥(整)。 上述3.1和3.2费用自合同生效之日起10日先交纳30%,其余费用在现场审核后15日一次付清。3.5 监督审核费(在组织体系不发生重大变化的情况下)包括: □监督审核费(每次)¥元□年金(每年)2000元 监督审核费在每次审核前支付。 3.6 乙方派出审核人员的食、宿、交通等费用按实际支出由甲方负担。 3.7 因甲方自身原因(不符合标准要求,严重不符合等)而导致的不能注册时,由甲方支付乙方现场审核实际发生的费用。 4 甲方的权利和义务 4.1 甲方的权利 4.1.1 甲方对乙方的现场审核、审核结论、审核人员的行为、审核的公正性及泄露甲方、认证证书的暂停、注销和撤销等有权向乙方提出申诉/投诉,如对处理结果持有异议,可向乙方的管理委员会直至中国合格评定国家认可委员会(CNAS)提出申诉/投诉。 4.1.2 通过认证后,甲方享有按规定正确使用其管理体系认证证书和标志以及正确对外广告宣传其获得管理体系认证注册资格的权利。 4.2 甲方的义务 4.2.1 甲方在认证审核之前管理体系至少已运行三个月。
安全管理人员教育培训考试试题 单位:姓名:得分: 一、单选题(每道题2分,共40分) 1、负责对安全生产进行现场监督检查的人员是:()。 A项目经理 B安全总监 C安质部长 D专职安全员 2、影响人的安全行为的环境因素是( )。 A、气质、性格、情绪、能力、兴趣等 B、社会知觉、角色、价值观等 C、光亮、气温、气压、温度、风速、空气含氧量等 3、为防止高温场所人员中暑,多饮以下哪种水最好?( ) A、纯净水 B、汽水 C、淡盐水 D、不喝 4、对电击所至的心搏骤停病人实施胸外心脏挤压法,应该每分钟挤压( )次。 A、60~80 B、70~90 C、80~l00 D、30~50 5、扑救电气设备火灾时,不能用什么灭火? ( ) A.四氯化碳灭火器 B.二氧化碳灭火器 C.泡沫灭火器 6、如果工作场所潮湿,为避免触电,使用手持电动工具的人应()。 A、站在铁板上操作 B、站在绝缘胶板上操作 C、穿防静电鞋操 作 7、三线电缆中的红线代表()。 A.零线 B.火线 C.地线 8、停电检修时,在一经合闸即可送电到工作地点的开关或刀闸的操作把手上,应悬挂如下哪种标示牌? ()
A."在此工作” B.“止步,高压危险” C.“禁止合闸,有人工作” 9、重视和保障从业人员的(),是贯穿《安全生产法》的主线。 A.知情权 B.生命权 C.健康权 D.批评检举权 10、对新建、改建、扩建项目,必须执行安全设施与生产设施()、同时投入使用的“三同时”原则。 A 同时设计、同时生产 B 同时生产、同时施工 C同时设计、同时施工 11、我国的消防方针是:() A、安全第一,预防为主。 B、预防为主,防消结合。 C、预防为主、防治结合。 12、“全国安全生产月活动”在( )月。“全国质量月活动”在( )月。( ) A、6月、9月 B、9月、6月 C、6月、8月 D、8月、6月 13、国际规定,电压()伏以下不必考虑防止电击的危险。A.36伏 B.65伏 C.25伏 14、生产经营单位应当对从业人员进行安全生产教育和培训,保证从业人员具备必要的()。 A.安全生产技术 B.安全生产知识 C.安全生产条件 D.安全生产素质 15、如果是遇湿易燃物品发生火灾,禁止用()灭火。 A 沙土 B干粉灭火器 C水、泡沫灭火器
安全生产管理知识题库 一、判断题(共650题) 1、安全生产管理,坚持安全第一,预防为主、综合治理的方针。()答案:正确 2、矿山企业必须建立健全安全生产责任制。()答案:正确 3、用人单位必须依法参加工伤社会保险。()答案:正确 4、矿山建设的附属工程必须和主体工程同时设计、同时施工、同时投入生产使用。()答案:错误 5、从业人员发现直接危及人身安全的紧急情况时,经上级同意后,方可停止作业或采取可靠的应急措施后,撤离现场。()答案:错误 6、从业人员在作业过程中,应当严格遵守本单位的安全生产规章制度和操作规程,服从管理,正确佩戴和使用劳动防护用品。()答案:正确 7、井下爆破作业开始前,必须确定危险区范围,但不必发出声光报警信号。( )答案:错误 8、职业病危害严重的用人单位,应当设置或者指定职业卫生管理机构或者组织,配备专职或者兼职职业卫生管理人员。( ) 答案:错误 9、安全评价把研究的所有对象都视为系统。( ) 答案:正确 10、地下开采的一个重要特点就是变剥离覆益在矿床上部及其周围的表土和岩石,并将其运至专设的场地排弃。( ) 答案:错误
11、生产巷道是为了准备采矿而开掘的巷道。( )答案:错误 12、职工患职业病时,不应当认定为工伤。( )答案:错误 13、预案编制是编制预案的重点工作,是一项专业性和系统性很强的工作。( )答案:正确 14、水是造成滑坡的一个主要因素,它能使岩体的内摩擦角和黏聚力等物理性能指标降低,从而削弱边坡岩体的抗剪强度。( )答案:正确 15、最小抵抗线是指爆炸药包的几何中心到临近自由面的垂直距离。( )答案:正确 16、中国境内用人单位,凡有关职业健康方面的工作,不需要接受统一监督管理,履行《职业病防治法》等法律法规所规定的职责。()答案:错误 17、安全生产监督检查人员执行监督检查任务时,必须出示有效的监督执法证件。( )答案:正确 18、斜井施工斜井内人行通道一侧,每隔30-50m应设一躲避硐。( )答案:正确 19、矿山企业向职工发放保障安全生产所需的劳动防护用品有困难时,可以发现金。( )答案:错误 20、导爆索是指管壳内装入起爆药,能使药包爆炸的装置。( )答案:错误 21、杂散电流、雷电和静电是引起电雷管起爆早爆事故的主要原因。( )答案:正确
管理人员安全生产知识考试题库 一、适用范围企业经理人和中、基层管理干部 二、题库依据 (一)安全生产法 (二)消防法 (三)职业病防治法 (四)安全生产许可证条例 (五)工伤保险条例 (六)建设工程安全生产管理条例 (七)生产安全事故报告和调查处理条例 (八)特种设备安全监察条例 (九)危险化学品安全管理条例 (十)中粮生化安全管理手册 三、试题类型单选题+多选题 四、试题范围(一)单选题(请选出唯一全面、正确的答案) 1. 生产经营单位的(B )对本单位的安全生产工作全面负责。 A. 投资人 B.主要负责人 C.安全管理人员 D.受益人 2. 生产经营单位应当具备的安全生产条件所必需的资金投入,由B )予 以保证,并对由于安全生产所必需的资金投入不足导致的 后果承担责任。 A. 生产经营单位 B.生产经营单位的决策机构、主要负责人或者个人经
营的投资人C.财务管理人员D.安全管理负责人员 3. 有关生产经营单位应当按照规定提取和使用(B ),专门用于改善安全生产条件。 A. 安全生产责任保险 B.安全生产费用 C.安全生产专项资金 D.安全技术改造费用 4. 生产经营单位作出涉及安全生产的经营决策,应当听取(A )的意见。 A. 安全生产管理机构、安全生产管理人员 B. 主要负责人 C. 职工 D. 安监部门人员 5. 生产经营单位加强对安全生产责任落实情况的监督考核,保证(D )的落实。 A.安全生产规章制度 B.安全生产法律法规 C.安全生产各项政策 D. 安全生产责任制 6. 用人单位的(A )应当接受职业卫生培训,依法组织本单位的职业病防治工作。 A.主要负责人和职业卫生管理人员 B.主要负责人 C.职业卫生管 理人员D.主要负责人和安全管理人员 7. 用人单位应当为劳动者建立(B ),并按照规定的期限妥善保存。 A.职业卫生档案 B.职业健康监护档案 C.职业健康查体档案 D.职 业卫生查体档案 8. 生产经营单位的主要负责人在本单位发生生产安全事故时,不立即组织抢救或者在事故调查处理期间擅离职守或者逃匿的,给予降级、撤职的处
如何建立信息安全管理体系1 如何建立信息安全管理体系 信息安全管理体系ISMS(Information Securitry Management Systems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它基于业务风险方法,用来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统,其目的是保障组织的信息安全。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、检查表等要素的集合,涉及到人、程序和技术。 建立健全信息安全管理体系对组织的安全管理工作和组织的发展意义重大。参照信息安全管理模型,按照先进的信息安全管理标准建立的全面规划、明确目的、正确部署的、组织完整的信息安全管理体系,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,实现用最低的成本,保障信息安全合理水平,从而保证业务的有效性与连续性。组织建立、实施与保持信息安全管理体系的好处主要有下几点: 1.引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。 2.可以增进组织间电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,为广大用户和服务提供商提供一个基础的设备管理。同时,把组织的干扰因素降到最小,创造更大收益。 3.通过认证能保证和证明组织所有的部门对信息安全的承
诺。 4.通过认证可改善全体的业绩、消除不信任感。 5.获得国际认可的机构的认证证书,可得到国际上的承认,拓展您的业务。 6.建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。信息安全管理体系是一个系统化、程序化和文件化的管理体系,属于风险管理的范畴,体系的建立需要基于系统、全面和科学的风险评估。ISMS 体现预防为主的思想,强调遵守国家有关信息安全的法律法规,强调全过程和动态控制,本着控制成本与风险平衡的原则,合理选择安全控制方式保护组织所拥有的关键信息资产,确保信息的保密性、完整性和可用性,从而保持组织的竞争优势和业务运作的持续性。 构建信息安全管理体系不是一蹴而就的,欲速则不达,每家组织都是不同的,不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过以下几个主要步骤: 1、信息安全管理体系策划和准备 策划和准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研,以及相关资源的配置与管理。 2、确定信息安全管理体系适用的范围
2016年安全生产管理知识试题 部门:姓名: 第一部分:判断题10题(每题2分,共计20分) 1、生产经营单位的安全生产管理人员对本单位的安全生产工作全面负责。(×) 2、设计单位编制工程概预算时,按照建设单位要求计列安全生产费用。(×) 3、勘察单位在勘察文件中对有可能引发通信工程安全隐患的灾害提出防治措施。(√) 4、建立安全生产责任制,明确各岗位的责任人员、责任范围和考核标准等内容,确保安全生产责任制的落实,只要施工单位建立起来,满足安全生产要求。(×) 5梯子上不准有2人同时作业,上下梯子时不得携带本中的工具和材料,应用绳索上下提吊。(√) 6、线路物资储运、装运杆材等作业现场的危险源控制,可能导致的事故类型有:物体打击、机械伤害、高处坠落。(×) 7、作业人员进入管道人孔前,尤其是进入环境复杂、井底有淤泥、污水的老孔和深孔时,必须进行气体检查和监测。(√) 8、攀爬单管塔时,必须使用防坠落自锁装置。使用前应仔细检查防坠落自锁装置,确保自如、完好、可靠。(√) 9、施工必要时机房内可以暂时存放易燃易爆品。(×) 10、在施工现场入口处、施工起重机械、孔洞口、人井口、铁塔底部、有害气体和液体存放处等部位,只要安排专人看管,可以不设置安全警
示标识。(×) 第二部分:单项选择题20题(每题2分,共计40分) 1、我国安全生产方针是( B )。 A.安全为了生产,生产必须安全 B.安全第一、预防为主、综合治理 C.安全生产人人有责 D.管生产必须管安全 2、根据《建筑工程安全生产管理体条例》,施工单位应当设立( A ),配备专职安全生产管理人员。 A.安全生产管理机构 B.安全生产监督机构 C.安全生产实施机构 D.安全生产保障机构 3、任何单位或个人对事故隐患或者安全生产违法行为,(B )向负有安全生产监督管理职责的部门报告或举报。 A.无权 B.均有权 C.应逐级 D.应越级 4、对本单位的安全生产工作全面负责的是(D )。 A.安全管理人员 B.工会主席 C.公司经理 D.生产经营单位的主要负责人 5、使用被派遣劳动者的,由( C )对被派遣劳动者进行岗位安全操作规程和安全操作技能的教育和培训。 A.派遣单位 B.劳动和社会保障部门 C.使用单位 D.安全生产监督 6、《通信建设工程安全生产管理规定》规定,工程施工前,(B )应组
安全生产管理人员考试试题(卷) 姓名: 单位: 职务: 成绩: 一、填空题:(30分,每空1分) 1.安全技术是指为防止在活动中发生,保障劳动者的生命安全,运用安全系统工程学的观点、方法,分析事故的原因,掌握事故发生的规律,制定防止事故发生的措施,而在、、个人防护上所采取的一整套措施。 2.生产经营单位的从业人员有权了解其作业场所和工作岗位存在 的,有权对本单位的。 3.生产经营单位应当在有较大危险因素的生产经营场所和有关设施、设备上,设置明显的。 4.当燃烧装置采用强制送风的燃烧嘴时,煤气支管上应装或。在空气管道上应设。 5.废钢配料,应防止带入。废钢料高不应超过料槽上口。转炉留渣操作时,应采取措施防止。 6.铁水罐、钢水罐龙门钩的横梁、耳轴销和吊钩、钢丝绳及其端头固定零件,应定期,发现问题及时处理,必要时吊钩本体应作。 7.带式输送机运转期间,不应进行和维修作业,也不应从胶带下方胶带。 8.电气设备的金属外壳,应根据技术条件。高构筑物应有措施。动力、照明、通讯等电气线路,不应敷设在、、蒸汽管道上。 9.国发【2004】2号文件《关于进一步加强工作的》。 10.国发【2010】23号文件《关于进一步加强工作的》。 11.2020年国家安全生产状况;达到或者接近世界国家水平。 12.坚持科学发展安全发展是解决安全生产问题的。 13.大力倡导“关注安全、”的安全文化。 14.发生特别重大生产安全事故的,要根据情节轻重,追究地市级 或的责任。 15.检验、衡量安全生产的一个标准是科学发展、。 二、单项选择题:(15分,每题1分) 1.安全生产法规具有如下什么特性:() A.强制性 B.建议性 C.随意性 D.指导性 2.根据国务院《特大安全事故行政责任追究的规定》,特大安全事故发生后,按照国家有关规定组织调查组对事故进行调查。事故调查工作应当自事故发生之日
信息安全管理体系认证的基本 知识(通用版) Enterprises should establish and improve various safety production rules and regulations in accordance with national safety production laws and regulations. ( 安全管理 ) 单位:______________________ 姓名:______________________ 日期:______________________ 编号:AQ-SN-0261
信息安全管理体系认证的基本知识(通用 版) 一、ISO27001认证的概况 ISO27001认证,即“信息安全管理体系”,是标准的IT类企业专项的认证。ISO27001是在世界上公认解决信息安全的有效方法之一。由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。企业通过了ISO27001认证,即表示企业的信息安全管理已建立了一套科学有效的管理体系作为保障。 信息安全管理体系的建立和健全,目的就是降低信息风险对经营带来的危害,并将其投资和商业利益最大化。 二、ISO27001认证适用范围
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。 三、ISO27001认证证书的有效期 ISO27001信息安全管理体系的认证证书有效期是三年。 期间每年要接受发证机构的监督审核(也称为:年检或年审),三年证书到期后,要接受认证机构的再认证(也称为复评或换证)。 四、信息安全管理体系认证的作用 1.符合法律法规要求 证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。 2.维护企业的声誉、品牌和客户信任 证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。