GBT20986-2007信息安全事件分類分級指南？

信息安全技術信息安全事件分類分級指南1范圍本指導性技術iso三體系認證為信息安全事件的分類分級提供指導，用于信息安全事件的防范與處置，為事前準備、事中應對、事后處理提供一個基礎指南，可供信息系統和基礎信息傳輸網絡的運營和使用單位以及信息安全主管部門參考使用。2術語和定義下列術語和定義適用于本指導性技術iso三體系認證。
2.1信息系統informationsystem由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、申報等處理的人機系統。
2.2信息安全事件informationsecurityincident由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統造成危害，或對社會造成負面影響的事件。3縮略語下列縮略語適用于本指導性技術iso三體系認證。MI：有害程序事件（MalwareIncidents）CVI：計算機病毒事件（ComputerVirusIncidents）WI：蠕蟲事件（WormsIncidents）THI：特洛伊木馬事件（TrojanHorsesIncidents）BI：僵尸網絡事件（BotnetsIncidents）BAI：混合攻擊程序事件（BlendedAttacksIncidents）WBPI：網頁內嵌惡意代碼事件（WebBrowserPlug-InsIncidents）NAI：網絡攻擊事件（NetworkAttacksIncidents）DOSAI：拒絕服務攻擊事件（DenialofServiceAttacksIncidents）BDAI：后門攻擊事件（BackdoorAttacksIncidents）VAI：漏洞攻擊事件（VulnerabilityAttacksIncidents）NSEI：

職業安全健康管理體系審核分為(?)兩種基本類型。？

C答案解析：[解析]職業安全健康管理體系審核分為內部審核和外部審核兩種基本類型。

電力行業信用標準分為電力企業和什么兩大類？

電力行業標準分為電力企業和電力供應商兩大類

為什么 信息安全管理體系認證？

隨著在世界范圍內，信息化水平的不斷發展，信息安全逐漸成為人們關注的焦點，世界范圍內的各個機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標準，國際標準化組織(ISO)也發布了ISO1779
9、ISO1333
5、ISO15408等與信息安全相關的國際標準及技術報告。在信息安全管理方面，英國標準ISO27000:2005已經成為世界上應用最廣泛與典型的信息安全管理標準，它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成。

一、什么是信息及信息安全 ? ? ? ?信息像其他重要的商務資產一樣，也是一種資產，對一個組織而言具有價值，因而需要被妥善保護。信息安全使信息避免一系列威脅，保障了組織商務的連續性，最大限度地減小組織的商務損失，順利獲取投資和商務回報。信息可以以多種形式存在。它可以是打印或寫在紙上（如：書面的認證老師報表等）；電子形式存貯(如:一個組織ERP系統的備份磁帶)；通過郵件或用電子手段傳輸；顯示在膠片上；表達在會話中。不論信息采用什么方式或采取什么手段共享和存貯，因為它有價值，應該得到妥善的保護。
二、信息安全主要體現在以下三個方面： ? ? ?
1、保密性。保密性是指確保信息資料，特別是重要的信息資料，不流失，不被非本部門人員非法盜用。比如的儲戶信息，醫院的病人就醫資料，單位單位、安全部門的機密iso三體系認證，企業的客戶資料、商務信息、ISO環境體系認證、專有技術資料等等，應該給誰看，不應該給誰看，什么級別/部門的人員可以看什么密別的信息資料，如何儲存保管，都應制定具體的措施、規范，以防止因信息流失而造成不良影響和重大經濟損失。 ? ? ? ?
2、完整性。所謂信息資料的完整性，是指信息資料不丟失、不少缺。比如采取一定的措施防止存貯在電腦中的磁盤iso三體系認證不因操作不當或病毒的侵襲而導致iso三體系認證的殘缺或丟失。再如防止存貯的打印iso三體系認證因霉變、蟲蛀而殘缺、損壞，防止水災、火災而毀損iso三體系認證和資料等。 ? ? ? ?
3、可用性?？捎眯允侵府斝枰骋恍畔①Y料時，可馬上拿得到。比如采取一定的措施，防止因某一資料員不在場或其它例外情況下，因為拿不到所需的資料而導致停工或錯失商機等。 ISO 27001標準把信息資料看作是公司的資產，其對公司的生存與發展起著關鍵作用，尤其是在知識經濟和電子信息時代，確保信息安全更是非常有必要的。英國曾做過一項統計，80%的信息資料的損失是與人為因素有關的。所以防止人為因素造成的信息風險被作為信息安全的主要控制對象。 ? ? ? ?信息安全是通過執行一套適當的控制來達到的。可以是方針、慣例、程序、組織結構和軟件功能來實現，這些控制方式需要確定，才能保障組織特定的安全目標的實現。 ?
三、信息安全的重要性 ? ? ? ?信息及其支持過程的系統和網絡都是組織的重要資產。信息的機密性、完整性和可用性對保持一個組織的競爭優勢、資金流動、效益、法律符合性和商務形象都是至關重要的。 ? ? ? ?任何組織及其信息系統（如一個組織的ERP系統）和網絡都可能面臨著包括計算機輔助欺詐、刺探、陰謀破壞行為、火災、水災等大范圍的安全威脅。隨著計算機的日益發展和普及，計算機病毒、計算機???、服務器的非法入侵破壞已變得日益普遍和錯綜復雜。 ? ? ? ?目前一些組織，特別是一些較大型公司的業務已經完全依賴信息系統進行生產業務管理，這意味著組織更易受到安全威脅的破壞。組織內網絡的互連及信息資源的共享增大了實現訪問控制的難度。 ? ? ? ?有些組織的信息系統盡管在iso認證時可能已考慮了安全，但僅僅依靠技術手段實現安全仍然是有限的，還應當通過管理和程序來支持。
四、建立信息安全管理體系對任何組織都具有重要意義 ? ? ? ?任何組織，不論它在信息技術方面如何努力以及采納如何新的信息安全技術，實際上在信息安全管理方面都還存在漏洞，例如： ? ? ? ?
1. 缺少信息安全管理論壇，安全導向不明確，管理支持不明顯； ? ? ? ?
2. 缺少跨部門的信息安全協調機制； ? ? ? ?
3. 保護特定資產以及完成特定安全過程的職責還不明確； ? ? ? ?
4. 雇員信息安全意識薄弱，缺少防范意識，外來人員很容易直接進入生產和工作場所； ? ? ? ?
5. 組織信息系統管理制度不夠健全； ? ? ? ?
6. 組織信息系統主機房安全存在隱患，如：防火設施存在問題，與危險品倉庫同處一幢辦公樓等； ? ? ? ?
7. 組織信息系統備份設備仍有欠缺； ? ? ? ?
8. 組織信息系統安全防范技術投入欠缺； ? ? ? ?
9. 軟件iso體系認證保護欠缺； ? ? ?
10. 計算機房、辦公場所等物理防范措施欠缺； ? ? ? 1
1. 檔案、記錄等缺少可靠貯存場所； ? ? ? 1
2. 缺少一旦發生意外時的保證生產經營連續性的措施和計劃；…….等等 ? ? ? ?通過以上信息管理方面的漏洞以及經常見諸報端的種種信息安全事件表明，任何組織都急需建立信息安全管理體系，以保障其技術和商業機密，保障信息的完整性和可用性，最終保持其生產、經營活動的連續性。
五、建立信息安全管理體系的意義 ? ? ? ?組織可以參照信息安全管理模型，按照先進的信息安全管理標準建立組織完整的信息安全管理體系并實施與保持，達到動態的、系統的、全員參與、制度化的、以預防為主的信息安全管理方式，用最低的成本，使信息風險的發生概率和結果降低到可接受水平，并采取措施保證業務不會因風險的發生而中斷。組織建立、實施與保持信息安全管理體系將會： ? ? ? ?
1、 強化員工的信息安全意識，規范組織信息安全行為；
2、對組織的關鍵信息資產進行全面系統的保護，維持競爭優勢； ? ? ? ?
3、在信息系統受到侵襲時，確保業務持續開展并將損失降到最低程度； ? ? ?
4、使組織的生意伙伴和客戶對組織充滿信心。

國際信息安全管理標準iso}iec 27001:2013正式實施 iso組織于2013年9月26日推出正式版本iso/iec 27001:2013信息安全管理體系標準。新版本標準涉及標準正文、風險管理及標準附錄等多方面變化。關于此次認證咨詢轉換時間安排現已確認標準正式發布日期為2013年10月1日認證咨詢過渡期為兩年從2013年10月1日至2015年09月30日。因止匕sgs特別提醒已獲證企業最遲需要在2015年9月3。日前的監督審核或換證審核時將符合2005版的管理體系認證咨詢轉換到2013新版標準。.標準正文變化iso指引2012版annex sl對管理體系標準在結構、格式、通用短語和定義方面進行了統一。這將確保今后編制或修訂的管理體系標準的持續性、整合性和簡單化這也將使標準更易讀、易懂。采用annex sl頒布的管理體系標準已有iso 22301,iso 20121, iso 30301,iso 27001將來發布的iso 9001:2015和iso 14001:2015都將采用相同的框架結構。.風險管理變化新版的iso 27001標準中信息安全風險管理要求與iso 31000:2009(風險管理一原則和指引)保持一致并遵從其中的定義這樣讓信息安全風險管理更容易與企業級風險管理集成。 標準附錄變化 新版iso 27001依然保留適用性聲明(soa)和附錄a控制目標、控制措施的架構由原來的11個控制域39個控制目標133個控制措施修訂為14個控制域35個控制目標114個控制措施這些控制目標和控制措施突顯了加密管理、供應鏈管理的重要性增強了控制域的結構性和系統性同時減少對技術實現的關注增加對管理控制的要求?？刂拼胧┳兓黾?3個、刪除25個、合并減少7個總計減少了19個。 企業應以改版為契機提升信息安全管理 在全球聚焦信息安全的背景下sgs建議企業通過如下采取措施以改版為契機提升企業信息安全管理。
1、企業管理者代表或其他負責人積極參加新版標準解讀或相關研討會了解標準改版內容用于領導和策劃改版工作企業內部審核員、風險評估小組成員參加專業技術培訓了解改版方向。
2、在企業人員了解標準改版方向及要點后應該內部進行風險管理檢查評估原有風險管理程序和風險評估過程記錄修訂程序進行風險再評估從原來的信息資產關注轉換為業務風險和相關方影響關注。
3、進行體系iso三體系認證升級根據新標準要，.求并結合風險再評估結果主要對手冊、soa、制度和表格進行修訂并重點關注職責權限、信息安全管理目標、利益相關方的信息安全需求收集、供應鏈信息安全風險的考慮:。
4、對體系運行評審經過修訂體系在運行一段時間后組織利用信息安 有效性測量、內部審核、管理評 審等評審工具對體系的運行進行評審為迎接新版的外部評審做準備。 sgs致力于為本土企業提供相關培訓服務如風險管理升級培訓、信息安全標準升級培訓、內審員升級培訓、新版風險管理培訓、新版標準培訓、新版內審員培訓、高級管理師培訓等。除了能夠實施}so/iec 27001管理體系認證咨詢服務在企業具體實施風險評估和體系升級的工作中sgs還可協助企業進行iso/iec 27001管理體系差距分樹預審確保企業為最終審核做好充分準備。對于無認證咨詢要求但有信息安全要求的客戶及供應鏈sgs還可信息安全管理能力診斷定制服務供應鏈信息安全管理能力審核服務個人信息保護管理能力診斷服務iso體系認證保護能力診斷服務等。 您需要先在企業內部建立該體系，并有效運行至少3個月，才能找認證咨詢機構進行認證咨詢，審核后如果沒有不符合項，就可以提交報告頒發證書了。進一步確認詳情請單獨談談。

戴爾有沒有國家信息安全測評信息安全服務資質證書【安全工程類一級】？

這個資質認證咨詢是針對企業的，對于你應聘應該沒什么直接關系吧，不過我可以簡單介紹一下這個資質認證咨詢。 信息安全服務資質是中國信息安全測評中心頒發的單位級權威資質認證咨詢。而中國信息安全測評中心是我國專門從事信息技術安全測試和風險評估的權威職能機構。該測評中心的主要職能包括：負責信息技術iso三體系認證和系統的安全漏洞分析與信息通報；負責黨政單位信息網絡、重要信息系統的安全風險評估；開展信息技術iso三體系認證、系統和工程建設的安全性測試與評估；開展信息安全服務和專業人員的能力評估與資質審核；從事信息安全測試評估的理論研究、技術研發、標準研制等。它是我國經中央認證的單位級權威機構。 而針對該項資質認證咨詢的意義，是指提供信息安全服務機構的綜合能力，包括技術能力、組織機構與管理、資源配置、安全工程過程能力、業績和質量保證等多個方面；是對信息系統服務提供者的資格狀況、技術實力和實施安全工程過程質量保證能力等方面的具體衡量、評價和認可。 信息安全服務資質證書（安全工程類）分為安全工程類一級以及更高一級的安全工程類二級認證咨詢。目前國內幾個知名信息安全企業都具備該認證咨詢的較高級別證書，像華為、網御星云、周融信、啟明星辰、網神這些公司都有。 至于書在哪兒辦我建議你先去中國信息安全測評中心官方網站進行了解后再說。