信息安全服务高级工程师知识重点1.docx

1、信息安全服务高级工程师知识重点1第一部分：信息安全概述1、网络与信息安全保障工作文件汇总2013年的文要着重看，具体参照复印的网络与信息安全保障工作文件汇编。第二部分：信息安全政策法规与标准1、北京市经济和信息化委员会通告2013年第1号2、关于加强信息安全管理体系认证安全管理的通知【2010】394号3、关于做好信息技术服务外包安全管理工作的通知京经信委函【2013】203号 信息安全部分。第三部分：1、什么是风险？答：风险是指特定威胁利用资产的弱点，由此导致资产受损或破坏的潜在可能。2、什么是风险管理？答：是指在可接受的成本范围内，识别、控制和降低或排除（可能影响信息系统的）安全风险的动态

2、过程。3、什么是ISMS？答：ISMS即信息安全管理体系，是基于业务风险方法，建立、实施、运行、监视、保持和改进信息安全的体系，是一个组织整改管理体系的一部分。4、什么是残余风险？答：是指实施风险处置后仍旧残留的风险。5、什么是信息？答：信息是一种资产，像其他重要的业务资产一样，对组织具有价值，因此需要妥善保护。6、信息的三个最基本属性是什么？答：CIA，即保密性、完整性、可用性。7、信息资产的分类分几类，分别是什么？答：6类，分别是硬件、软件、数据、文档、人员、服务性设施，也叫有形资产。无形资产例如企业文化，企业形象客户关系等。8、如何才算是信息安全？答：保护信息的保密性、完整性、可用性不受

3、破坏。9、信息安全服务体系主要包括哪三类服务？答：信息安全咨询服务、信息安全实施服务、信息安全培训服务。10、服务类别、组件和实例之间的关系是什么？答：将相对独立的服务尽量细分为服务组件，将具有相同或相近服务界面的服务组件归并为统一服务类别。11、信息安全服务分类？服务类别服务组件目标对象代码名称代码名称组织的信息系统及其所有支持的业务系统和管理A信息安全咨询服务A01信息安全规划A02信息安全管理体系咨询A03信息安全风险评估A04信息安全应急管理咨询A05业务连续性管理咨询A99其他信息安全咨询服务B信息安全实施服务B01信息安全设计组织的信息系统个人的信息设备B02信息安全产品部署B03

4、信息安全开发B04信息安全加固和优化B05信息安全检查和测试B06信息安全监控B07信息安全应急处理B08信息安全通告B09备份和恢复B10数据修复B11电子认证服务B12信息安全监理B13信息安全审计B99其他信息安全实施服务C信息安全培训服务C01信息安全培训信息安全相关人员Z其他信息安全服务12、信息安全咨询服务的服务界面分为哪五个方面？答：服务对象、服务供需、服务特性、服务质量、服务组件。13、信息安全管理体系分为哪几个步骤？答：面向组织建立、实施、运行、监视、评审、保持和改进信息安全的体系。14、什么是信息安全规划？答：信息安全规划主要是从组织核心业务、核心价值出发，根据组织的发展战

5、略，通过风险评估等方式提取组织的安全需求，对相应的安全保障目标、任务、措施和步骤进行规划。15、信息安全风险评估应贯穿哪几个阶段？答：信息安全风险评估应贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段。16、什么是渗透性测试？答：渗透性测试是指信息安全服务提供者的专业人员模拟攻击行为，对目标系统实施渗透，意图找到“非法”进入目标系统并获得相关权限的途径，从而测试目标系统安全控制措施的有效性。17、信息安全监控主要通过哪些方式对各系统进行监控？答：监控工具或平台。18、信息安全应急管理体系是什么？答：针对各类突发信息安全事件，提供实施层面的应急响应和应急演练。响应方式可以按事件特点和级

6、别，分为现场和远程两种。在设备、系统、业务、组织等不同层面进行测试和演练，演练的方式分为桌面演练、模拟演练和实战演练。19、信息安全培训服务的服务组件包裹哪些？答：针对信息安全专业人员的资质培训、针对服务需求方特定要求的定制培训等。20、信息安全咨询实施总体计划分为哪几个阶段？答、项目准备、现状调研、架构设计、总体规划、体系建设、落地实施。21、信息安全技术架构设计分为哪几个层面？答：终端、应用、系统、网络、物理。22、信息安全技术架构设计分为哪几类？答：身份认证、访问控制、内容安全、监控审计、备份恢复。23、信息安全管理体系基础分为哪些方面？答：建立ISMS、实施和运行ISMS、监视和评审I

7、SMS、保持和改进ISMS。24、建立并管理ISMS的内容有哪些？答：根据组织业务特征、组织、地理位置、资产、技术以及任何删减的细节和合理性来确定ISMS范围；根据组织业务特征、组织、地理位置、资产和技术确定ISMS方针；确定组织的风险评估方法；识别风险；分析并评价风险；识别和评价风险处理的选择；7选择风险处理的控制目标和控制方式；管理层批准建议的残留风险；获得管理层对实施和运行ISMS的授权；10准备适用性声明。25、信息安全管理体系基础的纠正措施和预防措施有哪些？纠正措施：确定不符合的原因；评价确保不符合不在发生所需的措施；确定和实施所需的纠正措施；记录所采取实施的结果；评审所采取的纠正措

8、施；预防措施：识别潜在不符合及其原因；评价预防不符合发生所需的措施；确定并实施所需的预防措施；记录所采取措施的结果；评审所采取的预防措施；26、控制域、控制目标、控制措施分别合计为多少项？答：控制目标39项，控制措施133项。27、什么叫资产？答：资产（Asset）任何对组织具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。28、什么是威胁？答：威胁（Threat）可能对资产或组织造成损害的某种安全时间发生的潜在原因，通常需要识别出威胁源。29、什么是弱点？答：弱点（Vulnerability）也称作漏洞或脆弱性，即资产或资

9、产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。30、什么是风险？答：风险（Risk）特定威胁利用资产的弱点，导致资产受损或破坏的潜在可能。31、什么是严重性？答、严重性（Impact）弱点一旦被威胁利用儿造成的意外事件可能给组织带来的冲击，包括直接或间接的损失或伤害。32、什么是控制措施？答：控制措施（Control）也称为安全措施或对策，即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。33、什么是残余风险？答：在实施安全措施之后仍然存在的风险。34、风险评估要素关系图35、风险分析原理36、风险评估前应采取哪些措施？确定风险评估的目标

10、；确定风险评估的范围；组建适当的评估管理与实施团队；进行系统调研；确定评估依据和方法；制定风险评估方案；获得最高管理者对风险评估工作的支持。37、风险评估实施流程图（略）38、风险评估实施应分为几级？答：5级，分别是很高、高、中等、低、很低。39、威胁如何分类？答：威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。40、详细描述风险计算的方法？风险值 = R（A，T，V）= R（L（T，V），F（Ia，Va）。R表示安全风险计算函数A表示资产T表示威胁V表示脆弱性Ia表示安全事件所作用的资产价值Va表示脆弱性严重程度L表示威胁利用资产的脆弱性导致安

11、全事件的可能性F表示安全事件发生后造成的损失41、什么是ITSS？ITSS的来源是？答：ITSS是Informaiton Techonlogy Service Standards，即信息技术服务标准，是一套体系化的信息技术服务标准库.ITSS是在工业和信息化部软件服务业司的指导下，由国家信息技术服务标准工作组组织研究指定的。42、信息技术服务的核心要素是什么？答：是人员、过程、技术和资源。人员是IT服务的载体，是IT服务发展的主导力量。43、IT服务的生命周期包括哪些？答：包括规划设计、部署实施、服务运营、持续改进和监督管理。44、CMMI的成熟度分几级，分别是什么？答：分5级，第一级完成级，

12、第二级管理级，第三级定义级，第四级量化管理级，第五级持续优化级。45、ISO20000分为哪两部分？答：第一部分管理规范，IT服务管理标准介绍，定义了服务提供者交付管理服务的需求。第二部分实施准则，实践指导，描述了服务管理流程的最佳实践，描述了IT服务管理流程质量标准。46、COBIT5的过程参考模型（1）规划过程域：调整（Align）、规划（Plan）、组织（Organize）（2）建立过程域：建立（Build）、获取（Acquier）、实施（Implement）（3）执行过程域：交付（Deliver）、服务（Service）、支持（Support）（4）监视过程域：监视（Monitor）、

13、评价（Evaluate）、评估（Assess）47、信息安全运维实施过程管理主要分为哪几个方面？（1）策划（Plan）（2）实施（Do）（3）检查（Check）（4）改进（Act）48、ITSS实施原理分为哪五个阶段？答：需求分析阶段、规划设计阶段、部署实施阶段、优化改进阶段、实施过程管控。49、实施ITSS的成果及成功要素包括哪些方面？答：政策法规、标准规范、业务需求、意识意愿、团队人员、管理体系、工具平台、相关资源、测量评价。50、什么是信息安全工程？答：信息安全工程ISSE，它解决用户的信息保障需求，是系统工程学、系统采购、风险管理、认证和认可以及生命期支持的一部分。51、信息安全工程的

14、意义？答：开放和安全的矛盾突出；弱点使其易于受到各种攻击；安全专业人员将发开人员、系统集成人员、用户有更加紧密的合作的前提条件。52、工程实施阶段的主要监理目标有哪些？答：加强工程实施方案的合法性、合理性、与设计方案的符合性；促使工程中所使用的产品和服务符合承建合同及国家相关法律、法规和标准；明确工程实施计划，对于计划的调整必须合理、受控；促使工程实施过程满足承建合同的要求，并与工程设计方案、工程计划相符。53、什么是应急响应？答：应急响应也叫紧急响应，是安全事件发生后迅速采取的措施和行动，它是安全事件响应的一种快速实现方式。54、应急响应的目的？答：目的是快速恢复系统的保密性、完整性、和可用

15、性，阻止和减小安全事件带来的影响。55、应急响应服务的特点有哪些？答：技术复杂性与专业性；知识经验的依赖性；突发性强；需要广泛的协调与合作。56、应急响应服务的形式有哪些？答：远程应急响应服务和本地应急响应服务。57、我国信息安全事件分级方法答：特别重大事件（1级）、重大事件（2级）、较大事件（3级）、一般事件（4级）58、应急响应预案的主要内容有哪些？具体的组织体系结构及人员职责应急响应计划各小组成员的联络信息供应商联络信息，包括离站存储和备用站点的外部联系点系统恢复或处理的标准操作规程和检查列表支持系统运行所需的硬件、软件、固件和其他资源的设备和系统需求清单供应商服务水平协议（SLA）、与

16、其他机构的互惠协议和其他关键记录备用站点的描述和说明在计划制定前进行BIA，包含关于系统各部分相互关系、风险、优先级别等应急响应计划文档的保存和分发方法59、信息安全等级保护管理办法分为几个阶段，分别是什么？答：五个阶段，主要对信息系统定级、备案、建设整改、等级测评和监督检查。60、受侵害的客体指等级保护对象（即定级对象）受到破坏时所侵害的客体主要由几个方面，分别是什么？答：3个方面，公民、法人和其他组织的合法权益设备秩序、公共利益国家安全。61、确定业务信息安全等级 业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二

17、级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级62、信息系统备案应按照什么标准执行？答：信息系统运营使用单位和受理备案的公共机关应按照信息安全等级保护备案实施细则公信安【2007】1360号的要求办理信息系统备案工作。63、安全建设整改工作依据的标准有哪些？答：信息系统安全等级保护基本要求（GB/T 22239-2008）信息系统通用安全技术要求（GB/T 20271）信息系统安全管理要求（GB/T 20269）信息系统等级保护安全设计技术要求（GB/T 24856-2009）等。64、等级测评是什么？和等级保护有什么关系？答：等级测评是测评机构依据国家信息安全等级保护制度规

18、定，受有关单位委托，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。等级测评工作是等级保护整体工作的一个重要组成部分。65、信息系统等级保护的监督检查方式有哪些？答：备案单位的定期自查行业主管部门的督导检查公安机关的监督检查66、信息系统等级保护基本要求的主要内容有哪些？答：管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。基本管理要求的内容分为安全管理制度；安全管理机构；人员安全管理；系统建设管理；系统运维管理。67、在信息系统等级保护的差级中，二级系统与信息系统的控制点

19、分别是多少？答：二级是175个，三级是290个68、详细说明信息系统等级保护的基本技术要求答：基本技术要求分为数据完整性、数据保密性和备份恢复三类，数据完整性。数据完整性：应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；应对重要通信提供专用通信协议或安全通信协议服务，避免来自基于通用通信协议的攻击破坏数据完整性。数据保密性：应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性应采用加密或

20、其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性应对重要通信提供专用通信协议或安全通信协议服务，避免来自基于通用协议的攻击破坏数据保密性。备份和恢复：应提供数据本地备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放应建立异地灾难备份中心，配备灾难恢复所需的通信线路、网络设备和数据处理设备，提供业务应用的实时无缝切换；应提供异地实时备份功能，利用通信网络将数据实时备份至灾难备份中心；应采用冗余技术设计网络拓扑结构，避免存在网络单点故障；应提供主要网络设备、通信线路和数据处理系统的硬件冗余、保证系统的高可用性。69、信息系统等级保护的安全需求分析方法分为哪三类？答：S类业务信

21、息安全保护类，关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改。A类系统服务安全保护类，关注的是保护系统连续正常的运行，避免因对系统的未授权修改、破坏而导致系统不可用。G类通用安全保护类，既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。70、新建系统等级保护方案设计步骤有哪些？答：1、局域网内部抽象处理2、局域网内部安全域之间互联的抽象处理3、局域网之间安全域互联的抽象处理4、局域网安全域与外部单位互联的抽象处理5、安全域内部抽象处理6、行程信息系统抽象模型7、指定总体安全策略8、关于等级边界进行安全控制的规定9、关于各安全域内部的安全控制要求10、关于等级

22、安全域的管理策略71、新建系统等级保护设计方案72、安全管理制度建设主要内容确定安全管理策略，制定安全管理制度，具体依据基本要求中的“安全管理制度”内容，同时可以参照信息系统安全管理要求等。高级工程师部分73、什么是IT服务项目？答：IT服务项目是“供方以项目的方式对需方提供IT服务的活动”。74、什么是IT服务项目经理？答：IT服务项目经理是“以项目的形式运用项目管理的方法，代表供方对需方提供IT服务的管理者。”75、IT服务项目经理的主要职责答：识别和管理需方的IT服务需求；明确IT服务目标并形成IT服务方案（计划）；指导、监控IT服务过程，并做到项目信息可视化，满足各项目干系人的沟通要求

23、；平衡IT服务质量、范围、内容、时间和成本等各方面的要求，确保高质量地完成IT服务工作，保证客户满意度。76、ITSS中定义的IT项目管理所需的知识能力能力分类知识能力项专业能力基本理论和方法营销规划和管理服务规划与设计服务转换能力运营管理能力质量管理能力项目管理和监控能力项目管理知识项目群管理团队建设和管理行为能力职业道德规范学习与创新领导力与影响力人际沟通能力压力与情绪管理77、产品是什么？分几种类别答：产品是“人们向市场提供的能满足消费者或用户某种需求的任何有形物品或无形服务。”通常有四种类别的产品，分别是服务、软件、硬件、流程性材料。78、什么是IT服务管理？答：IT服务管理（IT S

24、ervice Management，简称ITSM）是一套帮助组织对IT系统的规划、研发、实施和运营进行有效管理的方法，是一套方法论。79、项目管理试图对哪5个变量进行控制？答：时间、成本、质量、范围、风险。80、质量管理体系QMS在哪个标准中定义了在质量方面指挥和控制组织的管理体系？答：ISO9001：200581、基本的管理体系有哪些？答：ISO/IEC20000、ISO/IEC 27001、和PMBOK。82、供应商关系管理的目标是什么？答：建立互信、有效的协作关系；整合资源共同开拓保持客户；与供应商建立长期、紧密的业务关系；实现与供应商的合作共赢。83、人员要素管理的目标是什么？答：建立

25、公平、公正、公开的绩效考核文化；对人员绩效进行考核评估，以期达到积极高效的工作绩效。84、质量管理的目的是什么？答：IT运维服务的质量管理就是为了提高客户满意度，完成SLA的达成。IT服务项目经理所做的质量管理活动也就是围绕如何完成和达成SLA，提高客户满意度而进行的。85、ITSS质量管理评价体系的六个特点是什么？答：功能性、安全性、可靠性、响应性、有形性、友好性。86、在IT服务改进中，七步改进法分为哪七步？答：第一步，确定需要测量什么；第二步，明确能够测量什么；第三步，收集数据；第四步，处理数据；第五步，分析数据；第六步，展示信息并使用信息；第七步，采取改进措施。87、IT服务项目生命周

26、期分为五个阶段，分别是什么？答：项目启动、项目规划、项目执行、项目监控、项目收尾。88、简述什么是项目执行和项目监控？答：项目执行和项目监控是两个紧密相关的项目阶段，也是IT服务项目的具体实施阶段，项目经理通过有效的监控或变更方法开展工作，保证项目以计划设定或变更批准后的方式进行实施。89、项目收尾的目的是什么？答：项目收尾是使包括客户、第三方供应商、项目团队等在内的所有项目干系人，清楚项目为何结束、如何结束以及他们在项目收尾中的职责。90、IT服务项目质量管理描述有哪些？答：质量计划、质量保证、质量控制。91、什么是人力资源管理？答：组织计划编制、组织项目团队、项目团队建设和管理项目团队。92、IT服务营销的成功因素有哪些？答：提高客户满意度维持好客户关系做好需求的挖掘促使客户新需求落地实施提供部分增值服务适当运维营销管理方法