信息系统安全等级保护基础调查工具v1.1

考试范围考试科目1：信息系统项目管理综合知识1、信息化和信息系统1.1信息系统及其技术和开发方法1.1.1信息系统基础●信息和信息系统的定义、特征或属性●信息系统的目标和构成●信息系统生命周期模型1.1.2信息系统的设计和开发方法1.1.3常规信息系统集成技术●计算机网络技术（标准与协议、网络设备、网络接入、网络设计与规划、性能指标）●服务器技术（体系结构、性能指标）●存储技术●数据库技术（数据库管理系统、数据仓库）●中间件技术●高可用性和高可靠性的规划与设计1.1.4软件工程●软件工程及其生命周期●软件架构（定义、模式、分析与评估）●面向对象的分析、设计与开发●软件工程的过程管理●软件配置管理●软件的质量管理及其评估●软件测试及其管理●软件集成技术与管理1.1.5新一代信息结束●物联网●云计算●大数据●移动互联●大型信息系统1.2信息系统安全技术1.2.1信息安全基础●信息安全的有关概念●信息加密、解密与常用算法1.2.2信息系统安全●常用信息系统安全管理的技术、设备、设施、工具和方法1.3信息化发展与应用1.3.1信息化发展与应用的新特点1.3.2国家信息化发展战略●区域信息化●领域信息化1.3.3电子政务1.3.4电子商务1.3.5工业和信息化的融合1.3.6智慧化1.4信息系统服务管理1.4.1信息系统服务业及发展1.4.2信息系统工程监理的概念和发展1.4.3信息系统运行维护的概念和发展1.4.4信息技术服务管理的标准和框架1.5信息系统规划1.5.1大型信息系统1.5.2信息系统的规划流程1.5.3信息系统的规划工具1.6企业首席信息官及职责2、信息系统项目管理基础2.1项目管理的理论基础与体系2.1.1项目管理基础2.1.2项目管理知识体系的构成2.1.3IPMPPMP2.1.4PRINCE2●定义与结构●原则●主题●流程●工具2.1.5项目管理成熟度模型2.1.6项目管理的量化2.2组织结构对项目的影响2.3信息系统项目的生命周期2.3.1项目生命周期基础2.3.2信息系统项目典型生命周期模型●瀑布模型●V模型●原型化模型●螺旋模型●迭代模型●敏捷开发管理2.4单个项目的管理过程3、立项管理3.1立项管理内容3.2可行性研究3.3项目评估与论证4、项目整体管理4.1项目整体管理的含义、作用4.2项目整体管理过程4.2.1制订项目章程4.2.2编制项目管理计划4.2.3指导与管理项目工作4.2.4监控项目工作4.2.5项目整体变更控制4.2.6结束项目或阶段4.3项目整体管理的技术和工具5、项目范围管理5.1项目范围管理的含义和作用5.2项目范围管理过程5.2.1规划范围管理5.2.2收集需求5.2.3定义范围5.2.4创建工作分解结构WBS5.2.5确认范围5.2.6控制范围5.3项目范围管理的技术和工具6、项目进度管理6.1项目进度管理的含义和作用6.2项目进度管理过程6.2.1规划进度管理6.2.2定义活动6.2.3排列活动顺序6.2.4估算活动资源6.2.5估算活动持续时间6.2.6制订进度计划6.2.7控制进度6.3项目进度管理的技术和工具7、项目成本管理7.1项目成本和成本管理基础7.2项目成本管理过程7.2.1规划成本管理7.2.2估算成本7.2.3制订预算7.2.4控制成本7.3项目成本管理的技术和工具8、项目质量管理8.1质量管理基础8.2项目质量管理过程8.2.1规划质量管理8.2.2实施质量保证8.2.3控制质量8.3项目质量管理的技术和工具9、项目人力资源管理9.1项目人力资源管理基础9.2项目人力资源管理过程9.2.1规划人力资源管理9.2.2组建项目团队9.2.3建设项目团队9.2.4管理项目团队9.3项目人力资源管理的技术和工具10、项目沟通管理基础10.1项目沟通管理基础10.2项目沟通管理过程10.2.1规划沟通管理10.2.2管理沟通10.2.3控制沟通10.3项目沟通管理的技术和工具10.4项目干系人管理基础10.5项目干系人管理过程10.5.1识别干系人10.5.2规划干系人管理10.5.3管理干系人参与10.5.4控制干系人参与10.6项目干系人管理的技术和工具11、项目风险管理11.1风险和项目风险管理基础11.2项目风险管理过程11.2.1规划风险管理11.2.2识别风险11.2.3实施定性风险分析11.2.4实施定量风险分析11.2.5规划风险应对11.2.6监控风险11.3项目风险管理的技术和工具12、项目采购管理12.1采购管理基础12.2采购管理过程12.2.1规划采购管理12.2.2实施采购12.2.3控制采购12.2.4结束采购12.3采购管理的技术和工具12.4招投标方法和程序13、项目合同管理13.1合同管理基础13.2合同管理过程13.2.1合同签订13.2.2合同履行13.2.3合同管理●档案管理●索赔管理●违约管理13.2.4合同收尾13.3合同管理的技术和工具14、信息文档管理、配置管理与知识管理14.1信息系统项目相关信息文档及其管理14.2配置管理基础14.3知识管理基础15、项目变更管理15.1变更管理角色职责15.2变更管理工作程序15.3项目变更管理与其他管理要素之间的关系16、战略管理16.1组织战略管理16.1.1战略与战略管理16.1.2组织战略的主要内容16.1.3战略实施过程分解16.1.4战略监控16.1.5战略评价16.2组织战略的类型和层次16.2.1组织战略类型16.2.2组织战略层次16.2.3组织战略目标分解16.2.4组织战略与项目管理17、组织级项目管理17.1组织级项目管理概述17.2组织级项目管理的内容17.3组织级项目管理过程管理17.4组织级项目管理成熟度模型17.5组织级项目管理流程体系设计17.6组织级项目管理信息系统（PMIS）18、流程管理18.1流程管理基础18.2流程分析、设计、实施与评估18.3流程重构与改进18.4项目管理流程的管理和优化19、项目集（大型项目）管理19.1项目集管理基础19.1.1项目管理标准19.1.2项目集相关角色界定19.1.3项目集经理的角色及其具有的知识和技能19.2项目集与战略一致性19.2.1项目集与组织战略的一致性●项目集商业论证●项目集计划19.2.2项目集路线图19.2.3环境评估●事业环境因素●环境分析19.3项目集生命周期和收益管理19.3.1项目集生命周期●项目集定义阶段●项目集收益交付阶段●项目集收尾阶段19.3.2项目集收益管理●项目集收益识别●项目集收益分析与规划●项目集交付●交付项目集收益●项目集收益维持19.4项目集干系人管理19.4.1项目集干系人识别19.4.2编制项目集干系人管理计划19.4.3管理项目集干系人19.4.4监控项目干系人19.5项目集治理19.5.1项目集治理委员会及其责任●项目集治理与组织愿景●项目集的批准、签署和启动●项目集筹资●建立项目集治理计划●沟通与签署项目集成功标准●批准项目集方法与计划●项目集绩效支持●项目集报告与控制●项目集组件启动移交与收尾19.5.2项目集组件治理与其他支持活动●项目集组件治理●项目集信息系统●项目集知识管理●项目集管理审计支持19.6项目集管理支持过程19.6.1项目集整合管理19.6.2项目集沟通管理19.6.3项目集财务管理19.6.4项目集采购管理19.6.5项目集质量管理19.6.6项目集范围管理19.6.7项目集资源管理19.6.8项目集风险管理19.6.9项目集进度管理20、项目组合管理20.1项目组合管理基础20.1.1项目组合管理概念●项目组合管理和组织治理的关系●项目组合管理模块●项目组合管理办公室和组合经理角色●项目组合管理过程周期20.1.2项目组合管理过程组●定义过程组●调整过程组●授权与控制过程组20.1.2项目组合管理过程组●定义过程组●调整过程组●授权与控制过程组20.1.3项目组合管理过程的相互作用●常见的输入和输出●贯穿项目组合过程的关键可交付成果20.2项目组合治理管理20.2.1制订项目组合管理计划20.2.2定义项目组合20.2.3优化项目组合20.2.4授权项目组合20.2.5规定项目组合监督20.3项目组合绩效管理20.3.1制订项目组合绩效管理计划20.3.2管理供应与需求20.3.3管理项目组合价值20.4项目组合风险管理20.4.1制订项目组合风险管理计划20.4.2管理项目组合风险21、项目管理办公室21.1组成、职能和类别21.2项目管理师在组织级PMO中的职责21.3组织级项目管理办公室21.4项目集与项目集管理办公室22、信息系统安全管理22.1信息系统安全策略22.1.1信息系统安全策略的概念与内容22.1.2建立安全策略需要处理好的关系22.1.3信息系统安全策略设计原则22.1.4信息安全等级保护22.2信息安全系统工程22.2.1信息安全系统工程概述22.2.2信息安全系统22.2.3信息安全系统架构体系22.2.4信息安全系统工程基础22.2.5信息安全系统工程体系结构●ISSE-CMM基础●ISSE过程●ISSE体系结构22.3PKI公开密钥基础设施22.3.1公钥基础设施（PKI）22.3.2数字证书及其生命周期22.3.3信任模型22.3.4应用模式22.4PMI权限（授权）管理基础22.4.1PMI权限（授权）管理基础设施22.4.2PMI与PKI的区别22.4.3属性证书定义22.4.4访问控制22.4.5PMI支撑体系22.4.6PMI实施22.5信息安全审计22.5.1安全审计概念22.5.2建立安全审计系统●基于入侵监测预警系统的网络与主机信息监测审计●重要应用系统运行情况审计22.5.3分布式审计系统23、知识管理23.1知识和知识管理概念23.2知识管理常用的方法和工具23.3知识产权保护24、法律法规和标准规范24.1法律24.1.1合同法24.1.2招投标法24.1.3著作权法24.1.4政府采购法24.2标准24.2.1基础标准●信息技术软件工程术语GBT 11457-2006●信息处理数据流程图、程序流程图、系统流程图、程序网络图和系统资源图的文件编辑符号及约定GBT 1526-1989●信息处理系统计算机系统配置图符号及约定GBT 14085-1993●软件工程软件工程知识体系指南GBZ 31102-201424.2.2生存周期管理标准●信息技术软件生存周期过程GBT 8566-2007●系统工程系统生存周期过程GBT 22032-2008●系统与软件工程软件工程环境服务GBT 30972-2014●计算机软件可靠性和可维护性管理GBT 14394-200824.2.3文档化标准●系统与软件工程用户文档的管理者要求GBT 16680-2015●计算机软件文档编制规范GBT 8567-2006●计算机软件需求规格说明规范GBT 9385-2008●计算机软件测试文件编制规范GBT 9386-200824.2.4质量与测试标准●软件工程产品评价第1部分：概述GBT 18905.1-2002●软件工程产品评价第2部分：策划和管理GBT 18905.2-2002●软件工程产品评价第3部分：开发者用的过程GBT 18905.3-2002●软件工程产品评价第4部分：需方用的过程GBT 18905.4-2002●软件工程产品评价第5部分：评价者用的过程GBT 18905.5-2002●软件工程产品评价第6部分：评价模块的文档编制GBT 18905.6-2002●软件工程产品质量第2部分：外部度量GBT 16260.2-2006●软件工程产品质量第3部分：内部度量GBT 16260.3-2006●软件工程产品质量第4部分：使用质量的度量GBT 16260.4-200625、管理科学基础知识25.1数学建模基础知识25.2数据分析处理基础知识25.3运筹学基本方法25.4数学在经济管理中的应用25.5系统管理基础知识26、专业英语26.1具有高级工程师所要求的英语阅读水平26.2掌握本领域的英语词汇27、信息系统项目管理师职业道德规范考试科目2：信息系统项目管理案例分析1、信息化和信息系统的开发方法1.1信息系统及其技术和开发方法1.2信息化发展与应用1.3信息系统综合测试与管理1.3.1测试内容和方法1.3.2测试需求分析与设计1.3.3测试流程1.3.4测试执行与评估1.3.5测试过程管理2、信息系统项目管理2.1立项管理2.1.1可行性研究2.1.2项目评估与论证2.2采购和合同管理2.3项目启动2.4项目资源管理2.4.1项目人力资源管理2.4.2项目成本管理2.5项目规划2.6项目实施与团队建设2.6.1项目绩效检查与评估2.6.2项目控制2.6.3项目团队建设2.6.4项目干系人管理2.7项目整体管理2.8项目范围管理2.9进度管理2.10成本管理2.11质量管理2.12风险管理2.13项目监督与控制2.14变更管理与控制2.15项目收尾管理3、信息系统服务管理3.1信息系统服务管理计划的制订和执行3.2信息系统服务管理的绩效评估和持续改进4、战略管理4.1组织战略和组织战略管理4.2组织级项目管理与组织战略4.3战略管理与流程管理5、项目集（大型项目）管理5.1项目集收益管理5.2项目集干系人管理5.3项目集治理5.4项目集管理支持过程5.4.1项目集整合管理、5.4.2项目集沟通管理5.4.3项目集财务管理5.4.4项目集采购管理5.4.5项目集质量管理5.4.6项目集范围管理5.4.7项目集资源管理5.4.8项目集风险管理5.4.9项目集进度管理6、项目组合管理6.1项目组合管理过程组6.2项目组合治理管理6.3项目组合绩效管理6.4项目组合风险管理7、信息系统安全管理7.1信息安全管理的组织7.2信息安全管理计划的制订和执行7.3信息系统的安全风险评估7.4信息安全管理过程的监控与改进7.5信息安全审计考试科目3：信息系统项目管理论文根据试卷上给出的与项目管理有关的二个论文题目，选择其中一个题目，按照规定的要求撰写论文和摘要。

信息系统安全等级保护基础调查工具使用手册（V1.1版）二零零六年一月目录1信息系统安全等级保护基础调查工具概述 (3)1.1信息系统安全等级保护基础调查工具介绍 (3)2界面说明 (4)3操作方法 (5)3.1 使用者是信息系统的主管单位，没有直接管理的信息系统 (5)3.2 使用者是信息系统的运营/使用单位 (8)信息系统安全等级保护基础调查工具概述1信息系统安全等级保护基础调查工具概述本章是信息系统安全等级保护调查工具的一般介绍，帮助用户掌握软件的基本情况。

1.1信息系统安全等级保护基础调查工具介绍本软件为信息系统安全等级保护基础调查的辅助工具，有两类用户，一类是被调查单位，一类是负责收集汇总辖区内被调查对象数据的公安机关。

对于被调查单位，可以直接使用本工具填写本单位内所有信息系统数据，生成本单位的基础调查文件报当地公安机关；也可将本软件逐级分发至下属部门，由下属部门分别填写各自数据后，形成以部门名称为文件名的电子文件，再通过本软件的汇总功能逐级往上汇总，建立本单位的树状分级结构，最终生成一个本单位基础调查文件报当地公安机关。

各地市级公安机关通过建立本地根节点，汇总本辖区内各被调查单位的基础调查文件，形成本地的树形分级结构，并保存成一个上报文件。

省级公安机关建立省级节点后，汇总本省各地市级公安机关上报文件，形成一个省级上报文件，报公安部。

界面说明2界面说明打开信息系统安全等级保护基础调查工具的EXE文件，进入信息系统安全等级保护基础调查工具的第一个页面，整体布局如下图所示：如果此工具的使用者是信息系统的主管单位，没有直接管理的信息系统，则选择第二个选项不填写信息系统信息仅填写单位信息。

信息系统信息由下级部门填写。

如果此工具的使用者是信息系统的运营/使用单位，有直接管理的信息系统，则选择第三个选项填写单位信息和信息系统信息。

用户也可以通过“打开保存文件”查看已经填报完成的上报文件。

3操作方法3.1 使用者是信息系统的主管单位，没有直接管理的信息系统如果此工具的使用者是信息系统的主管单位，没有直接管理的信息系统，则选择第二个选项，点击“下一步”按钮：在填写内容时有如下填写项：单位名称：填写单位名称，此项必须要填写。

重要信息系统保护人员培训指南 （Critical Information Infrastructure Protection Training：CIIPT)（V1.0）公安部信息安全等级保护评估中心二〇一一年九月0 前言随着我国信息化建设步伐的加快，信息系统建设已经达到了一个相当的规模，这些系统中承载着我国各行业的重要业务，正发挥越来越重要的作用，成为我国的关键信息基础设施（Critical Information Infrastructure）（或称为“重要信息系统”）。

这些关键信息基础设施的安全保护（Critical Information Infrastructure Protection：CIIP）越来越成为人们关注的焦点，其安全保护水平直接关系到我国公众利益、经济秩序和国家安全。

我国在信息安全保障方面正在全面实施信息安全等级保护制度，通过制度来保障我国重要信息系统的安全，通过制定一系列的政策、法规和标准，对重要信息系统的安全建设提出了明确的要求和指导意见。

信息安全等级保护制度需要信息系统的相关人员来实施，因此，人员培训是信息安全各项措施能否落实的关键。

中办发[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》中提出了“加快信息安全人才培养，增强全民信息安全意识”的指导精神，强调了信息安全人才培养的重要性。

为了保障重要信息系统的安全建设和运行维护，重要信息系统的相关人员需要深入理解等级保护政策、标准和工作方法。

因此，有必要围绕重要信息系统的安全保护开展针对运营使用单位、安全服务提供商、IT行业相关人员的培训工作，在各部门、各行业中广泛开展和普及等级保护相关政策、标准、要求和方法。

让更多的人意识到等级保护制度对于我国重要系统安全稳定运行的重要性，并严格依据国家相关要求在信息系统规划设计、工程实施、运行维护和测评自查等各个环节中保障各项安全措施的贯彻落实。

公安部信息安全等级保护评估中心（以下简称“评估中心”）是由公安部为建立信息安全等级保护制度，构建国家信息安全保障体系而专门批准成立的专业技术支撑机构，目前，受国家信息安全等级保护工作协调小组办公室委托，正在开展信息安全等级测评师的培训、考试和发证工作。

信息安全风险评估工具
以下是一些常用的信息安全风险评估工具：
1. Nmap：用于网络侦测和安全评估的开源工具。

它可以扫描
网络上的主机，发现潜在的安全漏洞和脆弱点。

2. Nessus：一种广泛使用的漏洞扫描器，用于检测网络上的常
见漏洞和安全风险。

3. OpenVAS：类似于Nessus的漏洞扫描器，具有漏洞检测和
风险评估功能。

4. Burp Suite：一套用于应用程序安全测试的工具。

它包括代理、扫描仪和漏洞检测设备，可用于发现Web应用程序的安
全漏洞。

5. Wireshark：一种流行的网络协议分析工具，可以用于监测
和分析网络流量，包括潜在的安全威胁。

6. Metasploit：一套用于漏洞利用和渗透测试的工具，可用于
评估系统的安全性，发现潜在的威胁和漏洞。

7. Aircrack-ng：一款用于无线网络渗透测试和破解密码的工具。

8. Nikto：一个基于Web的漏洞扫描器，用于自动检测Web应用程序中的常见漏洞。

9. OWASP ZAP：一个用于漏洞扫描和安全测试的开源工具，特别适用于Web应用程序的安全评估。

10. Qualys：一种云端安全和合规性解决方案，可帮助企业识别和修复潜在的安全风险。

这些工具都有不同的特点和用途，可以根据具体需求选择适合的工具进行信息安全风险评估。

文档信息制度编号: 生效日期: 分发范围:解释部门: 版次:Ver1.1 页数: 6制定人: 审核人: 批准人:传阅阅后执行并存档保密保密等级内部公开版本记录XX单位信息安全培训管理1总则1.1目的为提高XX单位全体职工信息安全意识和信息安全技能,特制订本规范。

1.2范围本规范适用于XX单位信息系统相关人员的安全意识培训、安全技能培训管理。

1.3职责信息中心负责制订各类岗位和人员的信息安全相关培训计划，并按照计划执行各种形式的信息安全培训。

各部门主管协助信息中心开展覆盖本部门范围的相关安全培训，全体职工积极参加信息中心组织的各类信息安全培训。

2信息安全意识培训2.1信息安全意识培训对象XX单位职工都应接受信息安全意识的培训。

2.2信息安全意识培训时机(1)新入职职工在上岗前都应接受信息安全意识培训；(2)针对现有职工，信息中心应确保每年至少提供一次基础的信息安全意识培训，以确保所有职工都保持必要的信息安全意识。

3信息安全技术培训3.1信息安全技术培训对象信息安全技术培训对象主要是信息中心的技术人员，各科室信息专员。

3.2信息安全技术培训时机(1)信息技术人员在上岗前都应接受信息安全技术培训；(2)针对现有的信息技术人员，应确保每年至少提供一次基础的信息安全技术培训；(3)当出现新的信息安全技术时，应确保所有的信息技术人员参加相应的培训。

4信息安全管理培训4.1信息安全管理培训的对象信息安全管理培训的对象是中层以上管理人员。

4.2信息安全管理培训的时机(1)在信息安全管理体系建设过程中，应对中层以上管理人员进行信息安全管理培训，确保他们理解并支持信息安全管理体系的建设，确保信息安全管理体系的实施顺利进行。

(2)应确保每年至少提供一次基础的信息安全管理培训5培训的组织与管理5.1信息安全年度培训计划(1)信息安全工作小组负责参照以下信息编制XX单位的《信息安全年度培训计划》。

-过去一年XX单位信息系统内发生的信息安全事件状况-XX单位职工在遵守安全程序及规范方面的状况-信息安全管理体系内部审核状况(2)《年度信息安全培训计划》应由信息安全工作小组组长批准，并报信息安全领导小组备案。

信息安全等级保护备案端软件V1.3用户使用说明书公安部公共信息网络安全监察局2007年10月目 录1引言 (2)1.1编写目的 (2)1.2系统操作环境 (2)2系统安装 (3)2.1 java运行环境部署 (3)2.2 备案端软件部署及运行 (6)3系统操作界面 (7)3.1 进入界面 (7)3.2 主编辑界面 (8)3.2.1工具栏 (8)3.2.2菜单 (10)3.2.2.1 “文件”菜单 (10)3.2.2.2 “其它”菜单 (10)4备案表填写 (11)4.1 第一次填写 (11)4.2 新增信息系统 (17)4.3 修改信息系统信息 (18)4.4 修改单位信息 (18)4.5 修改已有系统表创建新的系统表 (18)4.6 多级备案 (19)5用户通过使用可以生成的材料 (20)6软件使用注意事项 (20)1引言1.1编写目的《“信息安全等级保护备案端软件”用户使用说明书》主要面向全国进行等级保护备案工作的相关人员。

该“用户使用说明书”将描述本系统涵盖的模块及其运转的主要业务流程。

1.2系统操作环境z操作系统： Windows2000、WindowsXP、WindowsVistaz Word软件: Microsoft Office Word 2003以上版本z java运行环境：jre1.4.2以上版本2系统安装备案端软件运行所需安装分别描述如下：2.1 java运行环境部署第一步 下载jre1.4.2运行包A．首先点击如下链接，进行sun公司下载界面： /j2se/1.4.2/download.html图示如下：B．点击界面中红色框的链接，进行jre1.4.2下载界面 图示如下：C．点击界面中红色框显示的单选框，进入正式下载界面；（接受license 许可）图示如下：D．选择“Windows Platform - Java(TM) 2 Runtime Environment, Standard Edition 1.4.2_15”中的“Windows Offline Installation, Multi-language”下载到本地。

信息系统项目管理师考试大纲考试大纲导航：1、考试说明2、考试范围：信息系统项目管理师综合知识3、考试范围：信息系统项目管理师案例分析4、考试范围：信息系统项目管理师论文5、题型举例一、考试说明1．考试目标通过本考试的合格人员具备管理信息系统项目特别是管理大型项目和多个项目的能力，具备实施企业级项目管理的能力。

能够熟练运用信息系统项目管理知识体系、相关技术、技能和方法，对信息系统项目的实施进行有效管理，确保项目在一定的约束限制下能够达到预期的项目目标；能对制订的项目管理计划、项目实施的绩效、风险和成果进行有效地分析和评估；能够有效指导系统集成项目管理工程师的工作。

能够综合运用项目集管理（大型项目管理）、项目组合管理、组织战略实施的相关知识和技能，管理复杂项目、大型项目和多项目；能够根据组织战略制定和建立组织级项目管理体系和项目集管理的相关标准；能够管理或领导项目管理办公室，能够为项目提供人员调配、综合采购、流程规范、战略引领、综合测试1和过程改进等方面的制度、机制或环境。

具备高级工程师的实际工作能力和业务水平。

2．考试要求(1)熟悉信息化知识、信息化技术和信息系统，了解我国信息化建设的有关政策和发展规划；(2)掌握信息系统项目管理的知识体系、过程、方法技术和工具；(3)掌握由项目、项目集、项目组合、项目管理办公室等组成的组织级项目管理体系；(4)掌握信息系统项目集管理的知识、方法、工具和流程；(5)掌握信息系统项目组合管理的知识、方法、工具和流程；(6)熟悉组织流程与项目管理流程改进、项目治理等方面的基本内容；(7)掌握项目管理、项目集管理和项目组合管理等与组织战略的关系，能够充分利用组织战略来指导项目的实施；(8)熟悉或掌握计算机系统、软件、网络、数据管理和信息系统集成知识、方法或技能；(9)熟悉信息安全相关知识与信息安全管理体系；(10)了解信息系统综合测试、综合监控等方面的相关知识、方法和流程；(11)了解信息系统工程监理、信息系统运行维护、信息系统服务管理等方面的相关知识；(12)熟悉管理科学基本知识，掌握线性规划、决策论应用等相关方法；(13)熟悉信息通信领域有关的法律法规、标准和规范；(14)熟悉项目管理师职业道德要求；2(15)熟练阅读和正确理解相关领域的英文资料。

锐安等保测评差距分析工具介绍锐安等保测评差距分析工具1.产品简介安全等级保护测评工具软件是由国内领先的等保测评专家团队在深入分析等级保护技术要求、国内信息系统面临安全威胁和典型案例的基础上研制而成。

作为国内领先的等保测评工具软件，不仅提供了详细的操作流程、步骤说明，还具有融合自动化工具和第三方安全检查工具检查、扫描的功能，能够有效协助使用者按照等级保护标准要求推进信息系统安全等级保护工作。

产品的原型来源于国家高技术研究发展计划（863计划）课题《等级保护体系模型、测评方法与支撑工具研究》（2007年01月10日，课题编号：2006AA01Z450）和国家发改委国家信息安全专项项目（发改办高技 [2007]2035号文）。

软件产品吸取了专家组的意见和建议，在公安部信息安全等级保护评估中心的指导下经过功能完善、适应测评工作指南要求、调整报告格式等大量工作，最终形成了可以为等级测评提供支持和服务的系列工具。

2.产品功能根据《信息系统等级保护模型研究报告》、《信息系统等级测评模型研究报告》、《等级保护测评工作知识表达方法研究报告》、《等级保护测评知识库与方法库设计报告》的研究成果，支撑工具完成了以下主要功能：●根据知识库的测评指标知识内容，将测评指标对应到测评对象，并自动生成测评检查表。

●引导用户对信息系统、制度和人员等进行全面的安全性证据获取；●引导用户手工输入收集的证据数据；●辅助分析给出系统的安全现状；●辅助分析给出系统保护等级的差距；●通过调用内置测评指标知识库，可对测评结果进行汇总、统计和计算，并按要求给出定级信息系统差距分析结论。

●自动生成测评报告，并根据要求输出Word格式的数据。

3.产品特点●公安部第三研究所研发，直接针对等级保护，辅助信息系统完成测评，权威专业；●统一标准，完善流程，准确高效，为等级保护测评提供技术支撑；●全面覆盖等级保护二、三级知识点，明确等级保护工作内容；●自动化分析，替代人工问卷调查，节约时间，提高效率。

测评指导书等级保护测评工具安全配置核查系统HD-DJCP-AQHC-2011091001V1.0贵州亨达集团信息安全技术有限公司版本说明文档信息版权声明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属贵州亨达集团信息安全技术有限公司所有，受到有关产权及版权法保护。

任何个人、机构未经贵州亨达集团信息安全技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

目录1工具简介 (3)2设备安装指导 (3)2.1设备面板说明 (3)2.2设备部署方式 (4)2.2设备登陆说明 (5)3设备操作说明 (7)3.1用户管理 (7)3.2用户权限划分 (7)3.3模板管理 (8)3.4创建任务 (10)3.5创建空任务 (11)3.6创建正常任务 (11)3.7获取主机信息 (15)4报表分析 (17)4.1在线报表 (17)4.1.1任务列表概览 (17)4.1.2主机列表 (18)4.1.3主机信息 (18)4.2报表输出 (19)5数据保存 (21)附录A设备出厂参数 (22)A.1初始网络设置 (22)A.2初始用户帐号 (22)A.3串口通讯参数 (22)1工具简介绿盟安全配置核查系统（NSFOCUS Benchmark Verification System，简称：NSFOCUS BVS）。

NSFOCUS BVS具备完善的安全配置库，采用高效、智能的识别技术，主动实现对网络资产设备自动化的安全配置检测、分析，并生成专业的安全配置建议与合规性报表. NSFOCUS BVS 能帮助测评机构了解被测机构的信息系统的安全状况从而提出有针对性的强化安全建议。

2设备安装指导2.1设备面板说明BVS的硬件外观如图2.1所示，产品硬件的前面板如图2.2所示（实际产品会因批次不同而略有不同）。

图2.1BVS产品硬件外观图2.2 BVS前面板2.2设备部署方式请根据实际的网络结构，将BVS设备接入网络，请根据自己网络的拓扑结构加以调整，如图2.3所示。

1内容目录1.什么是工具测试2.工具测试的目的什么工具测试内容目录2.工具测试的目的3.工具测试的作用工具测试的目的内容目录3.工具测试的作用4.工具测试的流程工具测试的作用工具测试的作用工具测试的作用工具测试的作用工具测试的作用工具测试的作用工具测试的作用工具测试的作用工具测试的作用工具测试的作用工具测试的作用工具测试的作用工具测试的作用工具测试的作用工具测试的作用工具测试的作用内容目录4.工具测试的流程5.工具测试注意事项工具测试流程收集目标系统信息规划工具测试接入点规划工具测试接入点工具测试作业指导书》》制定《《工具测试作业指导书制定现场测试测试结果整理分析内容目录5.工具测试注意事项6.工具测试实例解析工具测试注意事项工具测试接入测试设备之前，首先要有被测系统人员确定测试条件是否具备。

测内容目录6.6工具测试实例解析7.测试工具的使用工具测试实例解析Internet接入区WEB服务器区核心数据库区前置应用区Si城域网办公接入区SW11.网络边界区域划分注：核心交换机SW1为带防火墙模块的核心交换，作为两个子系统的边界。

网络设备列表安全设备列表部访问提供访问控制服务器及主机检查列表工具测试实例解析Internet接入区WEB服务器区核心数据库区前置应用区Si城域网办公接入区SW1工具测试实例解析接入点接入点DE接入点A接入点C接入点B工具测试实例解析Internet 接入区WEB 服务器区核心数据库区接入点D接入点ESi接入点A城域网办公接入区前置应用区SW1接入点B接入点C工具测试所涵盖的设备及对应的IP地址172.18.18.16核心数据库服务器AIX-V1.0Oracle V1.0工具测试实例解析内容目录6.6工具测试实例解析7.测试工具的使用串口配置☐初次配置在第次使用RSAS扫描器时，需要给扫描口配置合适的IP地址和网关以及⏹在第一次使用扫描器时需要给扫描口配置合适的DNS地址。

1 物理安全(参考《信息系统安全等级保护信息系统安全技术要求》第一级第二级第三级第四级1.1 环境安全(参考同上1.1.1 中心机房安全保护1.1.1.1 机房场地选择01基本要求(1分****02防火要求**03防污染要求**04防潮及防雷要求**05防震动和噪声要求**06防强电场、磁场**07防地震、水灾要求**08位置要求**09防公众干扰要求*1.1.1.2 机房内部安全防护01机房出入****02机房物品****03机房人员**04机房分区**1.1.1.3 机房防火01建筑材料防火j** 02建筑材料防火k* 03建筑材料防火l*04报警和灭火系统j** 05报警和灭火系统k* 06报警和灭火系统l* 07区域隔离防火*** 1.1.1.4 机房供、配电01分开供电****02紧急供电j****03紧急供电k**04紧急供电l*05备用供电**06稳压供电***07电源保护***08不间断供电**09电器噪声防护*10突然事件防护*1.1.1.5 机房空调、降温01基本温度要求**02较完备空调系统*03完备空调系统*1.1.1.6 机房防水与防潮01水管安装要求****02水害防护****03防水检测**04排水要求*1.1.1.7 机房防静电01接地与屏蔽****02服装防静电****03温、湿度防静电**** 04地板防静电**05材料防静电**06维修MOS 电路保护* 07静电消除要求*1.1.1.8 机房接地与防雷击01接地要求****02去耦、滤波要求**** 03避雷要求****04防护地与屏蔽地要求** 05交流电源地线要求* 1.1.1.9 机房电磁防护01接地防干扰****02屏蔽防干扰****03距离防干扰****04电磁泄露发射防护** 05介质保护**06机房屏蔽*1.1.2 通信线路的安全防护01确保线路畅通****02发现线路截获**03及时发现线路截获*04防止线路截获*1.2 设备安全(参考同上1.2.1 设备的防盗和防毁01设备标记要求****02计算中心防盗j**03计算中心防盗k*04计算中心防盗l*05机房外部设备防盗**1.2.2 设备的安全可用01基本运行支持****02设备可用**03设备不间断运行*1.3 记录介质安全(参考同上01公开数据介质保护*02内部数据介质保护*03重要数据介质保护*04关键数据介质保护*05核心数据介质保护1.4 物理安全管理要求(参考TC260 N0016《计算机信息系统安全等级保护管理要求》中的表A.3 物理安全管理等级要求01 物理安全管理人员的配置****02 物理安全规章制度的建立;****03 GB17859-1999 相应等级技术要求的保证;****04 物理安全区域管理的实施;***05 设施配置计划、安装、运行、操作流程的制定;***06 系统关键物理设施登记制度的建立;***07 安全区域标记管理的实施**08 安全区域隔离管理的实施;*09 出入人员授权书的建立;*10 对安全区域活动的实时监视;*11 物理安全保障的持续改善。

信息安全技术信息系统安全等级保护基本要求Information Security Technology-Basic Requirements for ClassifiedSecurity Protection of Information System（试用稿_修订版V1.1）目录目录 (I)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 标记说明 (1)5 基本概念 (2)5.1. 信息系统概述 (2)5.2. 信息系统的五个安全等级 (3)5.3. 不同安全等级的安全保护能力 (3)5.4. 技术要求和管理要求 (4)5.5. 技术要求的三种类型 (5)5.6. 基本要求的选择 (5)6 安全目标 (6)6.1. 第1级安全目标 (6)6.1.1. 技术目标 (6)6.1.2. 管理目标 (7)6.2. 第2级安全目标 (8)6.2.1. 技术目标 (8)6.2.2. 管理目标 (9)6.3. 第3级安全目标 (11)6.3.1. 技术目标 (11)6.3.2. 管理目标 (13)6.4. 第4级安全目标 (14)6.4.1. 技术目标 (14)6.4.2. 管理目标 (17)7 第1级基本要求 (18)7.1. 技术要求 (18)7.1.1. 物理安全 (18)7.1.2. 网络安全 (19)7.1.3. 主机系统安全 (19)7.1.4. 应用安全 (20)7.1.5. 数据安全 (20)7.2. 管理要求 (20)7.2.1. 安全管理机构 (21)7.2.2. 安全管理制度 (21)7.2.3. 人员安全管理 (21)7.2.4. 系统建设管理 (22)7.2.5. 系统运维管理 (23)8.1. 技术要求 (25)8.1.1. 物理安全 (25)8.1.2. 网络安全 (26)8.1.3. 主机系统安全 (27)8.1.4. 应用安全 (29)8.1.5. 数据安全 (30)8.2. 管理要求 (31)8.2.1. 安全管理机构 (31)8.2.2. 安全管理制度 (32)8.2.3. 人员安全管理 (32)8.2.4. 系统建设管理 (33)8.2.5. 系统运维管理 (35)9 第3级基本要求 (38)9.1. 技术要求 (38)9.1.1. 物理安全 (38)9.1.2. 网络安全 (40)9.1.3. 主机系统安全 (42)9.1.4. 应用安全 (44)9.1.5. 数据安全 (46)9.2. 管理要求 (47)9.2.1. 安全管理机构 (47)9.2.2. 安全管理制度 (49)9.2.3. 人员安全管理 (49)9.2.4. 系统建设管理 (50)9.2.5. 系统运维管理 (53)10 第4级基本要求 (58)10.1. 技术要求 (58)10.1.1. 物理安全 (59)10.1.2. 网络安全 (60)10.1.3. 主机系统安全 (62)10.1.4. 应用安全 (65)10.1.5. 数据安全 (68)10.2. 管理要求 (69)10.2.1. 安全管理机构 (69)10.2.2. 安全管理制度 (70)10.2.3. 人员安全管理 (71)10.2.4. 系统建设管理 (72)10.2.5. 系统运维管理 (75)11 第5级基本要求 (81)附录A 威胁描述 (82)A2.第2级对抗威胁 (82)A3.第3级对抗威胁 (84)A4.第4级对抗威胁 (86)附录B安全威胁与安全目标的关系 (89)B1.一级 (89)B2.二级 (90)B3.三级 (92)B4.四级 (94)附录C 安全目标与基本要求的关系 (98)C1.一级 (98)C2.二级 (100)C3.三级 (104)C4.四级 (110)附录D 基本要求与安全目标的关系 (117)D1.一级 (117)D2.二级 (119)D3.三级 (122)D4.四级 (125)参考文献 (129)信息安全技术信息系统安全等级保护基本要求1范围本文件规定了信息系统安全等级保护的基本要求，包括基本技术要求和基本管理要求，适用于不同安全等级的信息系统的安全保护。

信息系统安全测评工具一、测评工具分类一）安全测试工具1、脆弱性扫描工具脆弱性扫描工具又称安全扫描器或漏洞扫描仪，是目前应用比较广泛的安全测试工具之一，主要用于识别网络、操作系统、数据库、应用的脆弱性，给出修补建议。

1）基于网络的扫描工具：通过网络实现扫描，可以看作是一钟漏洞信息收集工具，根据不同漏洞的特征，构造网络数据包，发给网络中的一个或多个目标，以判断某个特定的漏洞是否存在，能够检测防火墙、IDS等网络层设备的错误配置或者链接到网络中的网络服务器的关键漏洞。

常用工具：天镜脆弱性扫描与管理系统、极光远程安全评估系统、榕基网络隐患扫描系统、Nessus和Nmap等。

2）基于主机的扫描工具：通常在目标系统上安装一个代理（Agent）或者是服务（Services）,以便能够访问所有的主机文件与进程，这也使得基于主机的漏洞扫描器能够扫描更多系统层面的漏洞。

常用工具：微软基线安全分析器、日志分析工具和木马查杀工具等。

3）数据库安全扫描工具：通过授权或非授权模式，自动、深入地识别数据库系统中存在的多种安全隐患，包括数据库的鉴别、授权、认证、配置等一系列安全问题，也可识别数据库系统中潜在的弱点，并依据内置的知识库对违背和不遵循数据库安全性策略的做法推荐修正措施。

常用工具：安信通数据库安全扫描工具、明鉴数据库弱点扫描器等商业产品，还有oscanner、Mysqlweak等专项审核工具。

4）Web应用安全扫描工具：通过构造多种形式的Web访问请求，远程访问目标应用特定端口的服务，记录反馈信息，并与内置的漏洞库进行匹配，判断确认Web应用程序中的安全缺陷，确认Web应用程序遭受恶意攻击的危险。

常用工具：AppScan、WebRavor、WebInspect、Acunetix Web Vulnerability Scanner、N-Stealth 等。

2、渗透测试工具渗透测试需要以脆弱性扫描工具扫描的结果为基础信息，结合专用的渗透测试工具开展模拟探测和入侵，判断被非法访问者利用的可能性，从而进一步判断已知的脆弱性是否真正会给系统或网络带来影响。

附件1：信息系统信息安全等级保护情况统计表信息系统信息安全等级保护情况统计表单位名称（盖公章）：填表人：日期：序号信息系统名称业务类型服务范围服务对象网络性质保护等级备案情况整改情况测评情况达标情况填表说明：统计范围包括本单位所有已定级和未定级信息系统。

除信息系统名称外，其他列请填写相应代码：1.业务类型：①生产作业②指挥调度③管理控制④内部办公⑤公众服务⑥其他。

12.服务范围：①全国②全省（区、市）③地（市、区）内④其他。

3.服务对象：①单位内部人员②社会公众人员③两者均包括④其他。

4.网络性质：①业务专网②互联网③其他。

5.保护等级：①第一级②第二级③第三级④第四级⑤第五级⑥未定级。

6.备案情况：①未备案②已备案。

7.安全建设整改情况：①未整改②已制定整改方案正组织实施③完成整改。

8.等级测评工作开展情况：①未测评②已制定测评计划③已测评。

9.达标情况：①已达到等级保护要求②未达到等级保护要求。

2附件 2 信息系统定级报告模板及备案登记表《信息系统安全等级保护定级报告》一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定1、业务信息描述描述信息系统处理的主要业务信息等。

2、业务信息受到破坏时所侵害客体的确定说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3、信息受到破坏后对侵害客体的侵害程度的确定说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

基本要求规定的范围：对象：不同安全保护等级信息系统内容：基本技术要求管理要求作用：指导分等级信息系统安全建设监督管理引用：保护等级：依重要程度、危害程度、由低到高分5级见：GB/T 22240-2008不同等级的安全保护能力：共5级基本技术要求和管理要求：信统安全等保应让系统有它们相应等级的基本安全保护能力。

基本安全要求，依实现方式，分基本技术要求、基本管理要求。

技术要求：立基于技术安全机制，通过在信统中部署软硬件，正确配置其安全功能。

管理要求：聚焦于信统中各种角色和角色参与的活动。

控制角色活动、从政策、制度、规范、流程以及记录等方面做出规定来实现。

基本技术要求：从物理、网络、主机、应用和数据安全，4个层面提出要求。

基本管理要求：从安全管理制度、机构、人员、系统建设、运维几方面提要求。

基本安全要求从各个层面方面，提出系统的每个组件应该满足的安全要求。

整体的安全保护能力依赖于其内部各不同组件的安全实现来满足。

基本技术要求的三种类型：技术类安全要求进一步细分为：保护数据在存储、传输、处理过程中不被泄漏、破坏、和免受未授权的修改的要求（S 要求）保护系统正常运行、免受对系统未授权修改、破坏而导致系统不可用的服务保护类要求（S 要求）通用安全保护类要求（G要求）第一级基本要求：技术要求：物理安全：访问控制：防盗窃、破坏：防雷击：防火：防水和防潮：温湿度控制：电力控制：网络安全：结构安全：a.保证关键网络设备的业务处理能力满足基本业务需要b.保证接入网络和核心网络的带宽满足基本业务需要c.绘制与当前运行情况相符的网络拓扑结构图访问控制：（G1）a.在网络边界部署访问控制设备，启用访问控制功能b.根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查，允许/拒绝数据包出入c.通过访问控制列表对系统资源实现允许或拒绝用户访问，控制粒度至少为用户组。

网络设备防护：a.应对登录网络设备的用户进行身份鉴别b.有登录失败处理功能，采取结束会话、限制非法登录次数、和当网络登录连接超时自动退出等措施c.对网络设备进行远程管理时，采措施防止信息传输中被窃听主机安全：身份鉴别：（S1）对登录操作系统和数据库系统的用户进行身份标识和鉴别。