下载文档原格式
信息安全技术信息安全能力成熟度模型-概述说明以及解释1.引言1.1 概述信息安全技术在当今社会中扮演着至关重要的角色,随着信息技术的快速发展和普及,信息安全问题也随之愈发凸显。
信息安全技术不仅是保障个人隐私和数据的安全,更是企业经营和国家安全的重要保障。
信息安全能力成熟度模型是评估和提升组织信息安全能力的重要工具。
通过对组织信息安全管理系统的评估,可以帮助组织全面了解其信息安全现状,找出存在的问题和风险,进而制定有效的信息安全策略和措施。
本文将探讨信息安全技术的重要性以及信息安全能力成熟度模型的定义和应用,旨在帮助读者深入了解信息安全领域的发展和实践。
希望通过本文的阐述,读者能够对信息安全的重要性有更深入的认识,并了解如何利用成熟度模型提升信息安全能力。
1.2 文章结构文章结构部分的内容主要涉及整篇文章的组织架构和写作方式。
在本篇文章中,我们将分为引言、正文和结论三个部分来展开论述。
引言部分主要包括概述、文章结构和目的。
在概述部分,我们将介绍信息安全技术和信息安全能力成熟度模型的重要性和背景,引发读者对本文主题的兴趣。
文章结构部分则是本节主要内容,介绍整篇文章所包含的大纲和各个章节的主要内容,以便读者对全文有一个清晰的整体认识。
最后,在目的部分,我们将明确本文的撰写目的和预期效果,为读者提供明确的阅读导向。
正文部分将分为信息安全技术的重要性、信息安全能力成熟度模型的定义和信息安全能力成熟度模型的应用三个小节。
信息安全技术的重要性将讨论信息安全在现代社会中的重要性,以及信息安全所面临的挑战和威胁。
信息安全能力成熟度模型的定义将解释该模型的概念和组成要素,为读者建立对模型的基础认知。
信息安全能力成熟度模型的应用部分将介绍该模型在实际应用中的价值和作用,为读者提供实际应用案例和参考。
结论部分将在总结、展望和结语三个小节中对全文内容进行总结归纳,展望未来信息安全技术和信息安全能力成熟度模型的发展趋势,并留下一句简短的结语,以结束整篇文章。
2019年国家注册信息安全专业人员CISP题库2019.7 一、单选题第1题具有行政法律责任强制力的安全管理规定和安全规范制度包括:_________。
1.安全事件(包括安全事故)报告制度;2.安全等级保护制度;3.信息系统安全监控;4.安全专用产品销售许可证制度;A:1.2.4B:2.3C:2.3.4D:1.2.3本题得分:1分正确答案:A您的答案:A所在章:CISP知识点:法规标准答案解析:A第2题有关系统安全工程-能力成熟度模型(SSE-CMM)中基本实施(Base Rractes)正确的理解是:A:BP不限定于特定的方法工具,不同业务背景中可以使用不同的方法B:BP不是根据广泛的现有资料,实施和专家意见综合得出的C:BP不代表信息安全工程领域的最佳实践D:BP不是过程区域(Process Arebs ,PA)的强制项本题得分:0分正确答案:A您的答案:所在章:CISP知识点:安全工程答案解析:A第3题规范的实施流程和文档管理,是信息安全风险评估能否取得成果的重要基础,某单位在实施风险评估时,按照规范形成了若干文档,其中,下面()中的文档应属于风险评估中风险要素识别阶段输出的文档。
A:《风险评估方案》,主要包括本次风险评估的目的、范围、目标、评估步骤、经费预算和进度安排等内容B:《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容C:《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、资产分类标准等内容D:《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容本题得分:0分正确答案:D您的答案:所在章:CISP知识点:安全管理答案解析:D第4题以下关于灾难恢复和数据备份的理解,说法正确的是:A:增量备份是备份从上次完全备份后更新的全部数据文件B:依据具备的灾难恢复资源程度的不同,灾难恢复能力分为7个等级C:数据备份按数据类型划分可以划分为系统数据备份和用户数据备份D:如果系统在一段时间内没有出现问题,就可以不用再进行容灾演练了本题得分:0分正确答案:C您的答案:所在章:CISP知识点:安全管理答案解析:C第5题以下关于软件安全测试说法正确的是?A:软件安全测试就是黑盒测试B:Fuzz测试是经常采用的安全测试方法之一C:软件安全测试关注的是软件的功能D:软件安全测试可以发现软件中产生的所有安全问题本题得分:0分正确答案:B您的答案:所在章:CISP知识点:软件安全开发答案解析:B第6题有关危害国家秘密安全的行为的法律责任,正确的是:A:严重违反保密规定行为只要发生,无论是否产生泄密实际后果,都要依法追究责任B:非法获取国家秘密,不会构成刑事犯罪,不需承担刑事责任C:过失泄露国家秘密,不会构成刑事犯罪,不需承担刑事责任D:承担了刑事责任,无需再承担行政责任或其他处分本题得分:0分正确答案:A您的答案:所在章:CISP知识点:法规标准答案解析:A。
网络安全知识竞赛题库附答案(多选题267题)1.在日常生活中,以下哪些选项容易造成我们的敏感信息被非法窃取?A.随意丢弃快递单或包裹(正确答案)B.定期更新各类平台的密码,密码中涵盖数字、大小写字母和特殊符号C.电脑不设置锁屏密码(正确答案)D.在网上注册网站会员后详细填写真实姓名、电话、身份证号、住址等信息(正确答案)2.数据安全能力成熟度模型的安全能力维度包括A.组织建设(正确答案)B.制度流程(正确答案)C.技术工具(正确答案)D.人员能力(正确答案)3.数据权限申请、审批、使用、展示数据需()原则A.看看就行B.敏感信息脱敏(正确答案)C.随便发生D.遵循最小化够用(正确答案)4.数据安全中的数据指什么A.数字(正确答案)B.设计文档(正确答案)C.客户信息(正确答案)D.企业组织机构(正确答案)5.GB/T31168《信息安全技术云计算服务安全能力要求》提出的安全要求是通常情况下云服务商应具备的基本安全能力。
在具体的应用场景下,云服务商有可能需要对这些安全要求进行调整。
调整的方式有()。
A.删减(正确答案)B.补充(正确答案)C.忽视6.GB/T31168《信息安全技术云计算服务安全能力要求》规定的安全计划所包含的内容包括但不限于()。
A.云平台的基本描述(正确答案)B.所采取的安全措施的具体情况(正确答案)C.对云服务商新增的安全目标及对应的安全措施的说明(正确答案)D.对客户安全责任的说明,以及对客户应实施的安全措施的建议(正确答案)7.在不同情况下,实施云计算安全措施的主体可能包括()。
A.云服务商(正确答案)B.客户(正确答案)C.云服务商和客户共同承担(正确答案)D.其他组织承担(正确答案)8.即使对同等安全能力水平的云服务商,其实现安全要求的方式也可能会有差异。
为此,GB/T31168《信息安全技术云计算服务安全能力要求》在描述安全要求时引入了()。
B.重复C.细化D.选择(正确答案)9.下列场景,外单位人员可能接触到数据的有:A.内部使用B.领地公开共享(正确答案)C.受控公开共享(正确答案)D.完全公开共享(正确答案)10.去标识化的目标包括:A.删除所有标识符B.数据重标识风险尽可能低(正确答案)C.将数据尽可能泛化处理D.数据尽可能有用(正确答案)11.重标识的主要方法有:B.泛化C.关联(正确答案)D.推断(正确答案)12.重标识的主要工作包括:A.选取属性特征,确保区分度足够小B.选取属性特征,确保区分度足够大(正确答案)C.基于选取的属性特征,与身份信息关联(正确答案)D.基于选取的属性特征,去掉与身份信息的关联13.数据时效性一般要求包括A.制定数据存储时效性管理策略和规程(正确答案)B.明确存储数据分享、禁止使用和数据清除有效期,具备数据存储时效性授权与控制能力(正确答案)C.具备数据时效性自动检测能力D.建立过期存储数据的安全保护机制(正确答案)14.数据服务中的逻辑存储安全能力包括A.建立了数据逻辑存储管理安全规范和机制(正确答案)B.建立数据分片和分布式存储安全规范和规则(正确答案)C.明确了多租户数据逻辑存储隔离授权与操作规范(正确答案)D.提供了细粒度安全审计和数据操作溯源技术与机制15.在国际标准化组织(ISO)出版物类型中,技术规范(TS)指(1),公开可用规范(PAS)指(2),技术报告(TR)指(3)。
附录 A(规范性附录)项目与组织基本实践A.1 综述SSE-CMM®包含项目类和组织类过程域。
这些过程域源自SSE-CMM®,并成为SSE-CMM®的重要组成部分,并用于解释通用实践。
每个过程域包括“安全注意事项”,指出在安全工程的情况下使用该过程域的注意事项,并且还参考了相关的SSE-CMM®过程域。
A.2 一般安全注意事项除了作为每个过程域的特殊注意事项的解释清单外,以下各小节包括安全工程的一般注意事项适用于所有项目类和组织类过程域。
A.2.1 项目风险与安全风险项目类和组织类过程域使用术语“风险”。
在这些情况下,提及“项目风险”时,是指有关成功完成某个项目的风险,涉及成本和进度问题。
系统安全工程过程域中,“安全风险”被看作是一种是否影响运行的活动,这取决于残留安全风险是否可以被接受。
虽然项目类和组织类过程域并没有提出工程类过程域涉及的安全风险管理,但安全风险评估的结果可以提供输入并且影响项目风险管理活动。
A.2.2 运行阶段适用性尽管项目类和组织类过程域的措辞似乎意味着只适用于开发阶段,但这些过程域同样适用于生存周期的运行和维护阶段。
在针对适用于某个组织的过程域进行评估或改进时,需要解释这些过程域。
在安全注意事项中很少做例外说明。
A.2.3 安全工程与系统工程在所有项目类和组织类过程域(例如,“改进组织系统工程过程”)中都使用术语“系统工程”。
不过这些过程域适用面很广。
因此,当这些过程域应用于安全工程的情况时,术语“系统工程”应该用术语“安全工程”取代。
这些过程域也需要通过确保安全工程与其他工程学科的融合来完善和提升。
A.2.4 工程关系在每个过程域中,都会指出系统工程和安全工程的关系。
需要注意的是:在各种不同的过程域之间有许多关系(在这些章节中只标识出他们的主要关系)。
A.3 PA12——确保质量A.3.1 过程域A.3.1.1 安全注意事项PA06“建立保障论据”与确保质量有关。
第三部分SSE-CMM第三部分SSE-CMM SSE-CMM综述SSE-CMM过程域SSE-CMM能力级别SSE-CMM综述主要内容 SSE-CMM简介SSE-CMM方法学SSE-CMM的应用SSE-CMM简介主要内容 SSE-CMM简介–什么是SSE-CMM–开发SSE-CMM的动因–SSE-CMM的适用范围–SSE-CMM的用户–如何使用SSE-CMM–SSE-CMM的益处什么是SSE-CMM–SSE-CMM是系统安全工程能力成熟模型(Systems Security Engineering Capability Maturity Model)的缩写,它描述了一个组织的安全工程过程必须包含的本质特征,这些特征是完善的安全工程保证。
尽管SSE-CMM没有规定一个特定的过程和步骤,但是它汇集了工业界常见的实施方法。
本模型是安全工程实施的标准化评估准则,它覆盖了:–整个生命期,包括开发、运行、维护和终止;–整个组织,包括其中的管理活动、组织活动和工程活动;–与其它学科和领域相并行的相互作用,如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等;–与其它机构的相互作用,包括采办、系统管理、认证、认可和评估机构。
在SSE-CMM 模型描述中,提供了–基本原理(方法学)–模型的高层综述–对SSE-CMM 实施的建议–对模型的属性描述–开发该模型的需求SSE-CMM 评定方法部分描述了针对SSE-CMM 来评价一个组织的安全工程能力的过程和工具。
–体系结构的全面描述–适当运用此模型的建议SSE-CMM简介主要内容 SSE-CMM简介–什么是SSE-CMM–开发SSE-CMM的动因–SSE-CMM的适用范围–SSE-CMM的用户–如何使用SSE-CMM–SSE-CMM的益处信息安全工程学的必要性信息安全的特性决定了–信息保障是对信息和信息系统的安全属性及功能、效率进行保障的动态行为过程。
–复杂的系统工程——信息安全工程–信息安全工程是采用工程的概念、原理、技术和方法,来研究、开发、实施与维护信息系统安全的过程能力成熟度模型的发展现状–质量保证概念在全世界兴起–以软件工程CMM为代表的CMM思想占据主流地位•SSE-CMM(系统安全工程-能力成熟度模型)•SE-CMM(系统工程-能力成熟度模型)•P-CMM(人员能力成熟度模型)•TCMM(可信能力成熟度模型)•CMMI(CMM集成)•IA-CMM(INFOSEC评估-能力成熟度模型)SSE-CMM的意义–各方对信息安全工程过程能力的改进与评估的需要•对安全工程质量不断提高的需求•对安全工程评估的需求–为信息安全工程方法的应用提供了一个衡量和不断改进的途径SSE-CMM的意义(续)SSE-CMM项目的目标是发展一个得到良好定义的、成熟的且可度量的信息系统安全工程方法,从而使得–通过区分投标者的能力级别和相关的项目风险来选择合格的安全工程提供商;–使安全工程机构把安全投资集中在安全工程工具、培训、过程定义、管理实施和改进上;–提供基于能力的保证,也就是说,信赖是基于对工程机构安全措施和过程成熟性的信心SSE-CMM简介主要内容 SSE-CMM简介–什么是SSE-CMM–开发SSE-CMM的动因–SSE-CMM的适用范围–SSE-CMM的用户–如何使用SSE-CMM–SSE-CMM的益处SSE-CMM的适用范围–涉及可信产品或可信系统的整个生命周期的安全工程活动,包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止。
信息系统安全与对抗技术系统安全工程能力成熟模型❖尽管SSE-CMM没有规定一个特定的过程和步骤,但是它汇集了工业界常见的实施方法。
❖本模型是安全工程实施的标准度量准则,它覆盖了•整个生命期,包括开发、运行、维护和终止;•整个组织,包括其中的管理、组织和工程活动;•与其它规范并行的相互作用,如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等规范。
SSE-CMM综述-使用方法❖SSE-CMM和使用模型的方法•作为工程组织的工具•作为顾客•作为安全工程评估机构SSE-CMM将安全工程划分为三个基本的过程区域1. 风险过程2. 工程过程3. 保证过程1. 风险过程❖安全措施的实施可以减轻风险。
安全措施可针对威胁、脆弱性、影响和风险自身。
❖SSE-CMM过程域包括威胁、脆弱性、影响和相关风险进行分析的活动保证。
2. 工程过程 Specify Security Needs PA10AdministerSecurity ControlsPA01Provide SecurityInput PA09 .Coordinate SecurityPA07.Monitor SecurityPosture PA08PA08: 监视安全态势PA10: 确定安全需求PA09: 提供安全输入PA07: 协调安全PA01: 管理安全控制3. 保证过程❖SSE-CMM包含了60个基本实施,这60个基本实施被归为了11类,它们涵盖了所有主要的安全工程域。
这些基本实施来自于广泛的材料、实践和专家知识。
❖一个基本实施•应用于整个企业生命期•和其它BP 互相不覆盖•代表安全业界“最好的实施”•不简单地反映新型技术•可在商务环境下以多种方法使用•不指定特定的方法或工具过程域❖汇集了一个域中的相关活动❖与有价值的安全工程服务相关❖可在整个组织生命周期中应用❖能够被感兴趣的组织加以改进❖能在多个组织和多类产品范围内实现❖能作为一个独立的过程加以改进❖包括了所有需要满足过程域目标的BP❖PA01 管理安全控制 ❖PA02 评估影响❖PA03 评估安全风险 ❖PA04 评估威胁❖PA05 评估脆弱性 ❖PA06 建立安全论据❖PA07 协调安全性❖PA08 监视安全态势 ❖PA09 提供安全输入 ❖PA10 确定安全需求 ❖PA11 验证与确认安全❖PA12 确保质量❖PA13管理配置❖PA14管理项目风险❖PA16规划技术工作❖PA17 定义机构的系统工程过程❖PA15监视和控制技术工作❖PA18 改善机构的系统工程过程❖PA19 管理产品线发展❖PA20 管理系统工程支持环境❖PA21 提供不断发展的技能和知识❖PA22 与提供商相协调。
