2022年计算机信息网络安全员培训试题.doc

计算机信息网络安全员培训试题涉及到的信息安全相关知识点涵盖了管理和技术两个方面，强调了两者的相互依赖性和信息安全管理体系的构建。以下是对这些知识点的详细说明： 1. **信息安全技术和管理的关系**：信息安全不仅仅是技术的问题，管理同样至关重要。技术产品需要通过有效的管理才能发挥其最大效用。一个管理良好的系统即使技术相对较低，也往往比技术先进但管理混乱的系统更安全。实现信息安全是一个涉及组织、人员、流程等多方面管理的过程，而非单纯的技术实施。 2. **信息安全的推广措施**：为了实现信息安全目标，需要管理层的支持和承诺、全员的安全意识教育和培训、有效的安全措施推广以及持续的评估和反馈机制。所有这些措施都是确保信息安全不可或缺的部分。 3. **信息安全管理国际标准**：ISO17799（现为ISO/IEC 27001）是一个重要的信息安全管理国际标准，旨在提供一套信息安全最佳实践指南。它源自英国标准BS7799-1。 4. **其他信息安全标准**：CC（Common Criteria）指的是ISO15408，是一个国际公认的信息技术安全评价标准；TCSEC（Trusted Computer System Evaluation Criteria）也被称为“橘皮书”，是美国的计算机安全等级评估标准；SSE-CMM（Software Security Engineering - Capability Maturity Model）则关注软件安全工程的能力成熟度模型。 5. **信息安全管理体系中的“管理”**：这里的管理指的是通过计划、组织、领导和控制等管理活动，协调组织内外的人力、物力、财力等资源，以实现信息安全目标的综合过程。 6. **信息安全管理体系的定义**：信息安全管理体系（ISMS）是一组相互关联的要素，包括方针、策略、资源和各种活动，旨在建立、实施、维护和持续改进信息安全。 7. **ISMS的组成部分**：ISMS通常包括信息安全的组织结构、方针策略、必要资源以及各种活动和过程。它是一个系统的、全面的管理框架。 8. **信息安全方针**：信息安全方针应由组织高层制定并发布，定期评审和修订，并确保所有员工都理解和遵循。 9. **ISMS的范围**：确定ISMS的范围需考虑组织结构、地域分布以及信息资产的重要性等因素。 10. **信息安全风险评估**：风险评估是一个持续的过程，需要根据情况的变化定期或不定期进行，并形成文件化的评估结果报告。 11. **信息安全风险管理**：风险管理不是消除所有风险，而是基于成本效益分析选择合适的风险应对策略。 12. **选择信息安全控制措施**：控制措施的选择应基于风险评估结果，可能有多种方式来应对同一种风险，并且应与组织的整体风险管理战略保持一致。 13. **PDCA循环**：PDCA（Plan-Do-Check-Act）循环是质量管理的基本方法，是一个持续改进的过程，不是一次性活动。组织内各层级都可以应用PDCA，形成大小循环，逐级解决问题。 这些知识点展示了信息安全领域的核心概念，包括管理角色、标准、风险管理和持续改进，对于理解和提升计算机信息网络安全员的专业能力至关重要。