互联网金融信息安全 信息安全管理体系标准 信息安全管理体系标准作业.pptx

互联网金融信息安全 第一章 绪论 知识点：相关管理标准及法规 目录页 信息安全风险评估标准 信息安全管理体系标准 1 2 信息安全法律法规 3 作业 信息安全风险评估标准 1.商业银行应当设立统一的（ ），用于应急决策、指挥与联络，指挥场所应当配置办公与通讯设备以及指挥执行文档、联系资料等。 A 运营中断事件指挥中心场所 B 技术标准 C 规章制度 D 组织架构 答案：A 作业 信息安全风险评估标准 2.我国的风险评估技术标准有哪些？ （1）GB 17859-1999《计算机信息系统安全保护等级划分准则》。 为提高我国计算机信息系统安全保护水平，1999年9月由公安部主持制定、国家质量技术监督局发布了国家标准GB 17859-1999《计算机信息安全保护等级划分准则》，它是建立信息系统安全等级保护、实施安全等级管理的重要基础性标准。该标准的制定参照了美国的TCSEC及TNI，有3个主要目的：一是为计算机信息系统安全法规的制定和执法部门的监督检查提供依据；二是为安全产品的研制提供技术支持；三是为安全系统的建设和管理提供技术指导。 （2）GB/T 18336-2001《信息技术安全性评估准则》。 我国自1996年CC 1.0版发布后，相关标准制定部门就一直进行跟踪研究，密切关注着它的发展情况，并尝试将CC标准与信息安全实践相结合。2001年3月，我国国家质量技术监督局正式颁布了等同采用CC的国家标准GB/T 18336-2001《信息技术安全性评估准则》。 作业 信息安全风险评估标准 2.我国信息系统等级保护标准 由公安部提出并组织制定的强制性国家标准《计算机信息系统安全保护等级划分准则》已于1999年9月13日经国家质量技术监督局发布，并于2000年1月1日起实施。《计算机信息系统安全保护等级划分准则》是针对当前我国计算机信息系统安全保护工作的现状和水平充分借鉴国外评价计算机系统和安全产品的先进经验而制定的，该准则为安全产品的研制提供了技术支持，也为安全系统的建设和管理提供了技术指导。该标准以信息安全访问控制为基础，规定了信息系统整体安全保护策略，原则上划分了5个保护等级。 第一级：用户自主保护级(对应C1级) 第二级：系统审计保护级(对应C2级) 第三级：安全标记保护级(对应B1级) 第四级：结构化保护级(对应B2级) 第五级：访问验证保护级(对应B3级)