网络管理员国家职业标准

计算机网络管理员国家职业标准

1、职业概况

1.1 职业名称

计算机网络管理员。

1.2 职业定义

从事计算机网络运行、维护工作的人员。

1.3 职业等级

本职业共设三个等级，分别为：网络管理员（国家职业资格四级）、高级网络管理员（国家职业资格三级）、网络管理师（国家职业资格二级）。

1.4 职业环境

室内，常温。

1.5 职业能力特征

1.6基本文化程度

高中毕业（或同等学历）

1.7培训要求

1.7.1培训期限

全日制职业学校教育，根据其培养目标和教学计计划确定。晋级培训期限：网络管理员不少于200标准学时；高级网络管理员不少于250标准学时；网络管理师不少于300标准学时。

1.7.2培训教师

培训网络管理员的教师应具有本职业高级网络管理员职业资格读书2

年以上；培训高级网络管理员的教师应具有本职业网络管理师职业资格证书2年以上或相关专业中级以上（含中级）专业技术职务任职资格；培训网络管理师的教师应具有本职业网络管理师职业资格证书3年以

上或相关专业高级专业技术职务任职资格。

1.7.3培训场地设备

具有满足教学需要的标准教室和具有必备设备的计算机网络环境的实

验室。

1.8鉴定要求

1.8.1适用对象

从事或准备从事本职业的人员。

1.8.2申报条件

——网络管理员（具备以下条件之一者）

（1）经本职业网络管理员正规培训达规定标准学时数，并取得毕（结）业证书。

（2）连续从事本职业工作2年以上。

（3）取得经营劳动保障行政部门审核认定的、以中级技能为培养目标的中等以上职业学校本职业（专业）毕业证书。

——高级网络管理员（具有以下条件之一者）

（1）取得本职业网络管理员证书后，连续在本职业工作2年以上，经本职业高级网络管理员正规培训达规定标准学时数，并取得毕（结）业证书。（2）取得经营劳动保障行政部门审核认定的、以高级技能为培养目标的高等以上职业学校本职业（专业）毕业证书。

（3）取得相关专业大专以上（含大专）毕业证书，并连续从事本职业工作2年以上。

（4）连续从事本职业工作5年以上。

——网络管理师（具备以下条件之一者）

（1）取得本职业高级网络管理员证书后，连续从事本职业工作3年以上，经本职业网络管理师正规培训达规定标准学时数，并取得毕（结）业证书。（2）取得本职业网络管理员证书后，连续从事本职业工作4年以上。

（3）取得相关专业大学以上（含本科）毕业证书，并连续从事本职业工作3年以上。

1.8.3鉴定方式

分为理论知识考试和技能操作考试。理论知识考试采用闭卷笔试方式或上机考试方式；技能操作考核采用实际操作方式。理论知识考试和技能操作考核采用实际操作方式。理论知识考试和技能操作考核均实行百分制，成绩皆达60分以上者为合格。网络管理师还须进行综合评审。1.8.4考评人员与考生配比

理论知识考试考评人员与考生配比为1：20，每个标准教室不少于2名考评人员；技能操作考核考评员与考生配比为1：5，且不少于3名考评员。综合评审委员不少于5人。

1.8.5鉴定时间

各等级理论知识考试时间为90 min，各等级技能操作考核时间为180 min。综合评审时间不少于30 min。

1.8.6鉴定场所和设备

理论知识考试在标准教室进行，技能操作考核和综合评审在具有计算机网络必备设备的实验室进行。

2.基本要求

2.1职业道德

2.1.1职业道德基本知识

2.1.2职业守则

（1）遵纪守法，尊重知识产权。（2）爱岗敬业，严守保密制度。（3）爱护设备。

（4）团结协作。

2.2基础知识

2.2.1计算机机房环境的基础知识（1）电源系统基础知识。

（2）空调系统基础知识。

（3）消防系统基础知识。

2.2.2计算机基础知识

（1）计算机硬件基础知识

（2）计算机软件基础知识

2.2.3网络基础知识

（1）数据传输与通信基础知识。（2）网络体系结构基础知识（3）网络设备基础知识

（4）网络管理基础知识

（5）网络应用基础知识

2.2.4计算机网络与通信的英语专业术语

2.2.5相关法律、法规知识

（1）知识产权的相关知识。

（2）劳动法的相关知识。

（3）国家有关信息网络的法律法规。

3．工作要求

本标准对网络管理员、高级网络管理员、网络管理师的技能要求依次递进，高级别包括低级别的要求。

3.1网络管理员

3.2高级网络管理员

3.3网络管理师

4.比重表4.1理论知识

4.2技能操作

现行国家信息安全技术标准

现行国家信息安全技术标准 序号 标准号 Standard No. 中文标准名称 Standard Title in Chinese 英文标准名称 Standard Title in English 备注 Remark 1GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分：算法描述Information security technology—ZUC stream cipher algorithm— Part 1: Algorithm description 2GB/T 33134-2016信息安全技术公共域名服务系统安全要求Information security technology—Security requirement of public DNS service system 3GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求Information security technology—Specification for IP storage network security based on IPSec 4GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems 5GB/T 33132-2016信息安全技术信息安全风险处理实施指南Information security technology—Guide of implementation for information security risk treatment 6GB/T 32905-2016信息安全技术 SM3密码杂凑算法Information security techniques—SM3 crytographic hash algorithm 国标委计划[2006]81号 7GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求Information security techniques—Security technical requirements for IC card chip with CPU 8GB/T 32907-2016信息安全技术 SM4分组密码算法Information security technology—SM4 block cipher algorthm 国标委计划[2006]81号 9GB/T 32918.1-2016信息安全技术 SM2椭圆曲线公钥密码算法第1部分：总则Information security technology—Public key cryptographic algorithm SM2 based on elliptic curves—Part 1: General 国标委计划 [2006]81号

国家标准信息安全管理实用规则

国家标准《信息安全技术安全漏洞分类规范》 （征求意见稿）编制说明 一、工作简况 1.1任务来源 《信息安全技术安全漏洞分类规范》是国家标准化管理委员会2010年下达的信息安全国家标准制定项目，国标计划号为：20100385-T-469。由国家信息技术安全研究中心主要负责进行规范的起草，中国信息安全测评中心、中国科学院研究生院国家计算机网络入侵防范中心、国家计算机网络应急技术处理协调中心等单位参与起草。 1.2主要工作过程 1、2010年6月，组织参与本规范编写的相关单位召开项目启动会，成立规范编制小组，确立各自分工，进行初步设计，并听取各协作单位的相关意见。 2、2010年7月，根据任务书的要求，规范编制小组开展考察调研和资料搜集工作，按照需求分析整理出安全漏洞分类规范的框架结构。 3、2011年4月，按照制定的框架结构，确定分类的原则和方法，形成《安全漏洞分类规范》草稿V1.0。 4、2011年7月，课题组在专家指导下，积极采纳国外相关漏洞分类的原则，形成《安全漏洞分类规范》草稿V1.1。 5、2011年8月26日，规范编制小组在积极采纳专家意见的基础上，对规范内容进行修改，形成《安全漏洞分类规范》草稿V1.2。 6、2013年8月28日，安标委秘书处组织了该标准的专家评审，编制小组听取了专家意见，对标准文本的内容进行修订、简化，形成《安全漏洞分类规范》草稿V1.3。 7、2014年11月，安标委WG5工作组对《安全漏洞分类规范》标准草案稿进行了投票表决，通过了本标准。投票表决中相关单位和专家提出了一些修改建议和意见，标准编制组对意见进行了逐条分析和理解，对标准文本进行了完善，形成了《安全漏洞分类规范》征求意见稿及相关文件。 二、编制原则和主要内容 2.1 编制原则

网络通信安全管理员含信息安全国家职业标准.doc

网络通信安全管理员（含信息安全）国家职业标准 （自2009年12月31日起施行） 1．职业概况 1.1 职业名称：网络通信安全管理员。 1.2 职业定义：利用计算机技术、网络技术、通信技术等现代信息技术从事互联网信息安全技术管理的人员。 1.3 职业等级：本职业共设四个等级，分别为：中级（国家职业资格四级）、高级（国家职业资格三级）、技师（国家职业资格二级）、高级技师（国家职业资格一级）。 1.4 职业环境：室内，常温。 1.5 职业能力特征：具有一定的组织、理解、判断能力，具有较强的学习能力、分析解决问题的能力和沟通能力。 1.6 基本文化程度：大专毕业（或同等学历，要求电子或计算机信息类专业毕业）。 1.7 培训要求 1.7.1 培训期限：全日制职业学校教育，根据其培养目标和教学计划确定。晋级培训期限：中级不少于200标准学时，高级不少于180标准学时，技师不少于150标准学时，高级技术不少于120标准学时。 1.7.2 培训教师：培训教师应当具备一定的通信网络知识、网络信息安全知识、计算机应用知识和软件工程相关知识，具有良好的语言表达能力和知识传授能力。培训中级和高级的教师应是获得本职业技师资格证书或具有相关专业中级及以上专业技术职务任职资格者；培训技师和高级技师的教师应是获得本职业高级技师资格证书或具有相关专业高级专业技术任职资格者。 1.7.3 培训场地设备：应有可容纳20人以上学员的教室，有必要的教学设备、教学模型和相关的教学硬件、软件，有必要的实验设备和实验环境。 1.8 鉴定要求 1.8.1 适应对象：从事或准备从事本职业工作的人员。

1.8.2 申报条件 ——国家职业资格四级（中级）（具备以下条件之一者） （1）大学专科以上毕业生在本职业工作满一年或经本职业中级正规培训达规定标准学时数，并取得结业证书； （2）取得技工学校或经劳动保障行政部门审核认定的以中级技能为培养目标的高等职业学校本职业（专业）毕业生。 ——国家职业资格三级（高级）（具备以下条件之一者） （1）大学本科以上毕业生在本职业工作满一年或经本职业高级正规培训达规定标准学时数，并取得结业证书； （2）取得高级技工学校或经劳动保障行政部门审核认定的以高级技能为培养目标的高等职业学校本职业（专业）毕业生。 （3）取得本职业中级职业资格证书后，连续从事本职业工作4年以上； （4）取得本职业中级资格证书的高级技工学校本职业（专业）毕业生，连续从事本职业工作3年以上； （5）取得本职业中级资格证书的大学本科本职业（专业）毕业生，连续从事本职业工作2年以上。 ——国家职业资格二级（技师）（具备以下条件之一者） （1）取得本职业高级资格证书后，连续从事本职业工作4年以上，经本职业技师正规培训达规定标准学时数，并取得结业证书； （2）取得本职业高级职业资格证书后，连续从事本职业工作6年以上； （3）取得本职业高级资格证书的高级技工学校本职业（专业）毕业生，连续从事本职业工作5年以上； （4）取得本职业高级资格证书的大学本科本职业（专业）毕业生，连续从事本职业工作4年以上。 ——国家职业资格一级（高级技师）（具备以下条件之一者） （1）取得本职业技师职业资格证书后，连续从事本职业工作3年以上，经本职业高级技师正规培训达规定标准学时数，并取得结业证书；

信息安全法律法规清单

07中华人民共和国档案法1987年9月5日第六届全国人民代表大会常务委员会第二十二次会议通过。根据1996年7月5日第八届全 国人民代表大会常务委员会第二十次会议《关于修改<中华人民共和国档案法>的决定》修正。 1988.01.01 08中华人民共和国刑法1979年7月1日第五届全国人民代表大会第二次会议通过。《中华人民共和国刑法修正案(八)》(发布日期：2011 年2月25日实施日期：2011年5月1日)修正或修改 1997.10.01 09中华人民共和国消防法1998年4月29日第九届全国人民代表大会常务委员会第二次会议通过，2008年10月28日第十 一届全国人民代表大会常务委员会第五次会议修订 2009.05.01 10中华人民共和国民法通则中华人民共和国主席令第三十七号《中华人民共和国民法通则》已由中华人民共和国第六届全国人民代表 大会第四次会议于一九八六年四月十二日通过，现予公布，自一九八七年一月一日起施行。 1987.01.01 11中华人民共和国劳动法1994年7月5日第八届全国人民代表大会常务委员会第八次会议通过。1995.01.01 12中华人民共和国劳动合同法2007年6月29日第十届全国人民代表大会常务委员会第二十八次会议通过。2008.01.01 13中华人民共和国国家安全法1993年2月22日第七届全国人民代表大会常务委员会第三十次会议通过，1993年2月22日中 华人民共和国主席令第68号公布。 1993.02.22 14中华人民共和国标准化法1988年12月29日第七届全国人民代表大会常务委员会第五次会议通过，1988年12月29日中华人民共和 国主席令第11号公布。 1989.04.01 15中华人民共和国治安管理处罚条例《中华人民共和国治安管理处罚条例》现在已变成《中华人民共和国治安管理处罚法》2005年8月28日 公布，2006年3月1日起实施 1987.01.01 16中华人民共和国消费者权益保护法全国人民代表大会常务委员会关于修改＜中华人民共和国消费者权益保护法＞的决定》已由中华人民共和 国第十二届全国人民代表大会常务委员会第五次会议于2013年10月25日通过，现予公布，自2014年3 月15日起施行。 1994.04.01 17中华人民共和国著作权法1990年9月7日第七届全国人民代表大会常务委员会第十五次会议通过,根据2001年10月27日第九届全国人民代表大 会常务委员会第二十四次会议《关于修改〈中华人民共和国著作权法〉的决定》修正，根据2010年2月26日第十一届 全国人民代表大会常务委员会第十三次会议《关于修改〈中华人民共和国著作权法〉的决定》第二次修正。 1991.06.01

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》 发布时间：2018-01-28浏览：578 按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。 本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。 一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容： 6.1 个人信息保存时间最小化 对个人信息控制者的要求包括： a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。 6.2 去标识化处理 收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储 对个人信息控制者的要求包括： a) 传输和存储个人敏感信息时，应采用加密等安全措施; b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时，应： a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容： 9.1 安全事件应急处置和报告 对个人信息控制者的要求包括： a) 应制定个人信息安全事件应急预案; b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程; c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置： 1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门; 2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患; 3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或

GBT 35273-2017-信息安全技术-个人信息安全规范

《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容： 6.1 个人信息保存时间最小化 对个人信息控制者的要求包括： a) 个人信息保存期限应为实现目的所必需的最短时间； b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。 6.2 去标识化处理 收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储 对个人信息控制者的要求包括： a) 传输和存储个人敏感信息时，应采用加密等安全措施； b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时，应： a) 及时停止继续收集个人信息的活动； b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体； c) 对其所持有的个人信息进行删除或匿名化处理。 《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告 对个人信息控制者的要求包括： a) 应制定个人信息安全事件应急预案； b) 应定期（至少每年一次）组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程； c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置： 1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门； 2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患； 3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式； 4) 按照本标准9.2的要求实施安全事件的告知。 d) 根据相关法律法规变化情况，以及事件处置情况，及时更新应急预案。 9.2 安全事件告知 对个人信息控制者的要求包括： a) 应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时，应采取合理、有效的方式发布与公众有关的警示信息； b) 告知内容应包括但不限于：

国内外信息安全标准

国内外信息安全标准 姓名杨直霖 信息安全标准是解决有关信息安全的产品和系统在设计、研发、生产、建设、使用、检测认证中的一致性、可靠性、可控性，先进性和符合性的技术规范和技术依据。因此，世界各国越来越重视信息安全产品认证标准的制修订工作。 国外信息安全标准发展现状:CC标准(Common Criteria for Information Technology Security Evaluation)是信息技术安全性评估标准，用来评估信息系统和信息产品的安全性。CC标准源于世界多个国家的信息安全准则规范，包括欧洲ITSEC、美国TCSEC（桔皮书）、加拿大CTCPEC 以及美国的联邦准则(Federal Criteria)等，由6个国家（美国国家安全局和国家技术标准研究所、加拿大、英国、法国、德国、荷兰）共同提出制定。 国际上，很多国家根据CC标准实施信息技术产品的安全性评估与认证。1999年被转化为国际标准ISO/IEC15408-1999《Information technology-Security techniques-Evaluation criteria for IT security》，目前，最新版本ISO/IEC15408-2008采用了。 用于CC评估的配套文档CEM标准(Common Methodology for Information Technology Security Evaluation)提供了通用的评估方法，并且跟随CC标准版本的发展而更新。CEM标准主要描述了保护轮廓(PP-Protection Profile)、安全目标(ST-Security Target)和不同安全保证级产品的评估要求和评估方法。CEM标准于2005年成为国际标准ISO/IEC18045《Information technology-Security techniques-Methodology for ITsecurity evaluation》。 国内信息安全标准:为了加强信息安全标准化工作的组织协调力度，国家标准化管理委员会批准成立了全国信息安全标准化技术委员会(简称“信安标委会”编号为TC260)。在信安标委会的协调与管理下，我国已经制修订了几十个信息安全标准，为信息安全产品检测认证提供了技术基础。 2001年，我国将ISO/IEC15408-1999转化为国家推荐性标准GB/T18336-2001 (CC 《信息技术安全技术信息技术安全性评估准则》。目前，国内最新版本GB/T18336-2008采用了 IS0/IEC15408-2005．即CC 。 我国信息安全标准借鉴了GB/T 18336结构框架和技术要求，包括安全功能要求、安全保证要求和安全保证级的定义方法，以及标准的框架结构等。例如，GB/T20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》借用了PP的结构和内容要求，包括安全环境、安全目的和安全要求（安全功能要求和安全保证要求）等内容，以及CC标准预先定义的安全保证级别(EAL4)。同时，结合国内信息安全产品产业的实际情况，我国信息安全标准还规定了产品功能要求和性能要求，以及产品的测试方法。有些标准描述产品分级要求时，还考虑了产品功能要求与性能要求方面的影响因素。 国外信息安全现状 信息化发展比较好的发达国家，特别是美国，非常重视国家信息安全的管理工作。美、俄、日等国家都已经或正在制订自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展。美国信息安全管理的最高权力机构是美国国土安全局，分担信息安全管理和执行的机构有美国国家安全局、美国联邦调查局、美国国防部等，主要是根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。2000年初，美国出台了电脑空间安全计划，旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月，日本信息技术战略本部及信息安全

国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;

b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。

《信息安全师》国家职业标准

《信息安全师》国家职业标准 一、职业概况 1.1 职业名称 信息安全师。 1.2 职业定义 信息安全师是在各级行政、企事业单位、信息中心、互联网接入单位中从事信息安全或者计算机网络安全管理工作的人员。 1.3 职业等级 本职业从低到高分为三个等级：助理信息安全师（国家职业资格三级）；信息安全师（国家职业资格二级）；高级信息安全师（国家职业资格一级）。 助理信息安全师：能够熟练运用基本技能和专门技能完成较为复杂的信息安全保障工作，能够独立处理和维护信息安全保障工作中出现的常见问题。 信息安全师：能够熟练运用专门技能和特殊技能完成复杂的、非常规的信息安全保障工作，掌握信息安全的关键技术技能，能够独立处理和解决信息安全技术难题，能指导和培训助理信息安全师，具有信息系统安全解决方案能力和一定的技术管理能力。 高级信息安全师：能组织开展技术改造、技术革新活动，能组织开展系统的信息安全专业技术培训；能掌握信息安全专业理论知识，具有进行信息系统信息安全规划、诊断和技术管理能力。 1.4 职业环境 室内、常温。 1.5 职业能力特征 具备丰富的信息安全专业知识；掌握较为全面的信息安全保障技能；具有较强的学习能力、信息处理能力和应变能力；能够准确判断问题和解决问题；善于沟通与协调，合作意识强；语言表达清楚。 1.6 基本文化程度 具有高中学历并在相关行业工作两年(含两年)以上，或者具有大专学历的人员。 1.7 鉴定要求 1.7.1 适用对象 从事或准备从事信息安全工作的人员。 1.7.2 申报条件 参照《全国职业技能鉴定申报条件》执行。

1.7.3 鉴定方式 助理信息安全师、信息安全师采用非一体化鉴定方式，分理论知识鉴定和操作技能鉴定两部分。理论知识鉴定采用闭卷考试（上机考）方式；操作技能鉴定采用计算机上机操作的方式。高级信息安全师采用一体化鉴定方式，采用笔试鉴定和综合评审（口试）鉴定。鉴定成绩均实行百分制，成绩达60分为合格。 1.7.4 鉴定场所设备 理论知识考试在标准教室进行。专业技能考核的考场要求配有PC机及相关软硬件应用环境并具备局域网络环境。 二、工作要求 本标准对助理信息安全师、信息安全师、高级信息安全师的技能要求依次递进，高级别包括低级别的要求。 2.1 “职业功能”、“工作内容”一览表

解读国标T信息安全技术个人信息安全规范

解读国标T信息安全技 术个人信息安全规范 Coca-cola standardization office【ZZ5AB-ZZSYT-ZZ2C-ZZ682T-ZZT18】

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》 发布时间：2018-01-28浏览：578 按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。 本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。 一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容： 个人信息保存时间最小化 对个人信息控制者的要求包括： a) 个人信息保存期限应为实现目的所必需的最短时间; b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。 去标识化处理

收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。 个人敏感信息的传输和存储 对个人信息控制者的要求包括： a) 传输和存储个人敏感信息时，应采用加密等安全措施; b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时，应： a) 及时停止继续收集个人信息的活动; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：安全事件应急处置和报告 对个人信息控制者的要求包括：

软考-信息安全工程师(汇总1000题)

一、1单项选择题（1-605） 1、Chinese Wall 模型的设计宗旨是：（A）。 A、用户只能访问哪些与已经拥有的信息不冲突的信息 B、用户可以访问所有信息 C、用户可以访问所有已经选择的信息 D、用户不可以访问哪些没有选择的信息 2、安全责任分配的基本原则是：（C）。 A、“三分靠技术，七分靠管理” B、“七分靠技术，三分靠管理” C、“谁主管，谁负责” D、防火墙技术 3、保证计算机信息运行的安全是计算机安全领域中最重要的环节之一，以下（B）不属于 信息运行安全技术的范畴。 A、风险分析 B、审计跟踪技术 C、应急技术 D、防火墙技术 4、从风险的观点来看，一个具有任务紧急性，核心功能性的计算机应用程序系统的开发和 维护项目应该（A）。 A、内部实现 B、外部采购实现 C、合作实现 D、多来源合作实现 5、从风险分析的观点来看，计算机系统的最主要弱点是（B）。 A、内部计算机处理 B、系统输入输出 C、通讯和网络 D、外部计算机处理 6、从风险管理的角度，以下哪种方法不可取？（D） A、接受风险 B、分散风险 C、转移风险 D、拖延风险 7、当今IT的发展与安全投入，安全意识和安全手段之间形成（B）。 A、安全风险屏障 B、安全风险缺口 C、管理方式的变革 D、管理方式的缺口 8、当为计算机资产定义保险覆盖率时，下列哪一项应该特别考虑？（D）。 A、已买的软件 B、定做的软件 C、硬件 D、数据 9、当一个应用系统被攻击并受到了破坏后，系统管理员从新安装和配置了此应用系统，在 该系统重新上线前管理员不需查看：（C） A、访问控制列表 B、系统服务配置情况 C、审计记录 D、用户账户和权限的设置 10、根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行（B）。 A、逻辑隔离 B、物理隔离 C、安装防火墙 D、VLAN 划分 11、根据《信息系统安全等级保护定级指南》，信息系统的安全保护等级由哪两个定级要素

《信息技术与信息安全》最新标准答案

20140713信息技术与信息安全考试标准答案 1、关于信息安全应急响应，以下说法错误的（C）？ A、信息安全应急响应通常是指一个组织机构为了应对各种信息安全意外事件的发生所做的准备以及在事件发生后所采取的措施，其目的是避免、降低危害和损失，以及从危害中恢复。 B、信息安全应急响应工作流程主要包括预防预警察、事件报告与先期处置、应急处置、应急结束。 C、我国信息安全事件预警等级分为四级：I级（特别严重）、级和级、级，依次用红色、橙色、黄色和蓝色表示。 D、当信息安全事件得到妥善处置后，可按照程序结束应急响应。应急响应结束由处于响应状态的各级信息安全应急指挥机构提出建议，并报同政府批准后生效。 2、以下关于操作系统的描述，不正确的是（A） A、分时操作系统为每个终端用户分时分配计算资源，每个终端用户彼此独立，感觉在独立使用整台计算机。 B、分布式操作系统是为分布计算系统配置的操作系统，它支持分布系统中各个计算节点协同工作。 C、操作系统负责对硬件直接监管，对内存、处理器等各种计算资源进行管理。 D、实时操作系统具有较强的容错能力，其特点是资源的分配和调度时首要考虑效率。 3、进入涉密场所前，正确处理手机的行为是（BC）。 A、关闭手机后带入涉密场所 B、不携带手机进入涉密场所 C、将手机放入屏蔽柜 D、关闭手机并取出手机电池 4、信息安全应急响应工作流程主要包括（BCD）。 A、事件研判与先期处置 B、预防预警 C、应急结束和后期处理 D、应急处置

5.(2分) 关于信息安全应急响应，以下说法是错误的（ C）？ A. 信息安全应急响应通常是指一个组织机构为了应对各种信息安全意外事件的发生所做的 准备以及在事件发生后所采取的措施，其目的是避免、降低危害和损失，以及从危害中恢复。 B. 信息安全应急响应工作流程主要包括预防预警、事件报告与先期处置、应急处置、应急结束。 C. 我国信息安全事件预警等级分为四级：Ⅰ级（特别严重）、Ⅱ级（严重）、Ⅲ级（较重）和Ⅳ级 (一般)，依次用红色、橙色、黄色和蓝色表示。 D. 当信息安全事件得到妥善处置后，可按照程序结束应急响应。应急响应结束由处于响应状态的各级信息安全应急指挥机构提出建议，并报同级政府批准后生效。 6.(2分) 蠕虫病毒爆发期是在（D ）。 A. 2001年 B. 2003年 C. 2002年 D. 2000年 7.(2分) 信息系统安全等级保护是指（C ）。 A. 对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。 B. 对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理。 C. 对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应和处置。 D. 对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中发生的信息安全事件分等级响应和处置。 8.(2分) 防范ADSL拨号攻击的措施有（CD ）。 A. 修改ADSL设备操作手册中提供的默认用户名与密码信息 B. 重新对ADSL设备的后台管理端口号进行设置 C. 在计算机上安装Web防火墙 D. 设置IE浏览器的安全级别为“高” 9.(2分) 常见的网络攻击类型有（ABCD ）。 A. 被动攻击 B. 协议攻击 C. 主动攻击 D. 物理攻击 10.(2分) 目前我国计算机网络按照处理内容可划分哪些类型？（ABD ） A. 党政机关内网 B. 涉密网络 C. 互联网 D. 非涉密网络 19.(2分) 我国卫星导航系统的名字叫（）。

信息安全职业类型分析

职业类型: 信息安全咨询师,信息安全测评师,信息安全服务人员,信息安全运维人员,信息安全方案架构师,安全产品开发工程师,安全策略工程师、培训讲师、漏洞挖掘、攻防测试 咨询顾问一般需要以下技能: 熟悉各类安全标准--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800…… 相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO…… 咨询体系--企业经营管理,流程管理,人力资源管理,信息战略,法律法规 基本技能--沟通表达、文档、项目管理 技术体系--All above(不要因为我说了这句话趋之若鹜哦) 分类: 市场销售类:销售员、营销人员 顾问咨询类:售前工程师、咨询顾问 管理类:内控审计师、信息安全管理 技术实现类:开发工程师、渗透测试 开发管理类:项目经理、技术总监 实施维护类:实施工程师、维护工程师 甲方 乙方:有技术、产品、有解决方案,更关注行业、技术等,保障企业利益 X方:标准制定机构,处于中立地位的机构,监管机构等 四类主体岗位群: 管理、技术、销售、运维 管理类职业群:行业监管标准的执行,合规标准;管理实践;系统方法进行指导 技术类职业群:技术开发类职业群,技术运维类职业群(核心就是对业务的需求与理解) 开发:语言、工具、思路、需求理解 运维:系统分析、运维思想、操作技能、流程管理

营销类职业群:(通常在乙方,向人提供产品技术),在什么情景下使用什么技术解决什么问题。传播、方案、场景、市场。有技术基础,又有良好的表达能力。 销售类职业群:关系+价值 信息安全管理岗位职业锚 甲方:以服务自己为主 1、安全体系管理员 大型企业,体系化的。有时候配合乙方进行企业安全建设。 职责:安全规划、需要多少钱多少人、制定相关安全制度,提出相应安全要求。参照ISO27000级内控等。(还就是比较难的) 督促实施,检查各项信息安全制度、体系文件与策略落实情况。(在企业内部地位还可以) 2、信息安全经理 大型企业,会设安全处,就是处长级别。不仅了解企业内部动态,设置规章制度。而且要与监管机构、行业主管部门、上级进行沟通,了解她们对安全的要求。对沟通能力,全局观有要求。定期组织各个部门进行风险评估,针对问题制定相关措施。对技术也要有所了解。很多技术活都要去做。(实干型的在企业中承担重要职责的岗位) 3、CSO首席安全官 负责整个机构的安全运行状态,物理安全信息安全等。(在很多企业甚至就是合伙人之一)互联网金融、银行等行业都非常重要,外企的信息安全官各个方面都要管。甚至业务安全、反欺诈与隐私保护等等,到犯罪的问题都要管。 涉及到公共安全等问题,已经进入公司的决策层。 超脱技术,从更高的层次去理解。本身就是一个高级管理层。 (甲方安全的最高位置) 金融安全:1道防线技术部门,2道防线安全风险部门,3道防线审计 乙方:以服务客户为主 安全咨询顾问 卖的就是经验与脑子,帮客户发现问题解决问题。要有整套的方法论。 帮客户进行合规性工作,安全规划、等级保护、安全体系建设等。安全解决方案设计。对客户进行安全培训、售前交流等。

全国信息安全标准化技术委员会工作组章程

全国信息安全标准化技术委员会工作组章程 （2017年2月3日） 第一章总则 第一条为加强全国信息安全标准化技术委员会（以下简称“信安标委”）工作组的管理，规范工作组工作及相关活动，根据《全国信息安全标准化技术委员会章程》的有关规定制定本章程。 第二条本章程适用于信安标委下设的工作组（WG）和特别工作组（SWG）。 第三条工作组的设立、调整或撤消，由信安标委秘书处（以下简称“秘书处”）提出建议，报请信安标委主任办公会审议批准。 第二章工作组组成 第四条工作组设组长一名，全面负责工作组工作。工作组组长由秘书处提名，经信安标委主任办公会审议任命。工作组可设副组长，协助组长开展工作。副组长由组长提名，经主任委员批准任命。秘书处指派联络员，负责与工作组对口联络。

第五章工作组可设秘书，按组长要求组织和落实工作组相关工作，包括标准项目管理和推进、会议组织、文档 管理、工作组成员管理等。 第六条组长、副组长应具备的基本条件： 1. 遵守国家法律法规的中国公民； 2. 愿意为国家网络安全标准化事业做出贡献，具有较强的技术研究能力或丰富的标准化工作经验，并具备较强的组织协调能力； 3. 工作认真负责，公平公正，作风民主； 4. 具有相关工作基础和支撑其开展工作的条件。 第七条工作组成员应具备的基本条件： 1. 在我国境内注册的、具有法人资格的企业、高等院校、科研院所等； 2. 自愿加入工作组，承认并遵守本章程； 3. 从事与工作组技术领域相关的业务。 第八条工作组成员具有的权利： 1. 对工作组有关事宜享有表决权； 2. 了解工作组的工作情况和工作计划，申请或参与工作组标准项目； 3. 获取工作组工作文件、信息服务，以及信安标委刊物、技术资料等；

计算机网络(信息安全)管理员国家职业标准

计算机网络管理员（信息安全） 国家职业标准 广东安信职业培训学校

前言 2016年12月9号人社部发〔2016〕121号：为贯彻落实《国务院关于加快发展现代职业教育的决定》（国发〔2014〕19号）精神，加快推进技工教育改革创新发展，根据《人力资源和社会保障事业发展“十三五”规划纲要》要求，我部组织制定了《技工教育“十三五”规划》。（技工院校中级工班、高级工班、预备技师（技师）班毕业生分别按相当于中专、大专、本科学历落实相关待遇。） 2016年6月6日中网办发文〔2016〕4号为加强网络安全学院学科专业建设和人才培养，经中央网络安全和信息化领导小组同意，中网办、发改委、教育部等六部门近日联合印发《关于加强网络安全学科建设和人才培养的意见》，要求加快网络安全学科专业和院系建设，创新网络安全人才培养机制，强化网络安全师资队伍建设，推动高等院校与行业企业合作育人、协同创新，完善网络安全人才培养配套措施。 为了加好落实国家网络强国政策，培养网络信息安全人才，我司（安信学院）从2014年开始联合广东省信息安全测评中心和广东省职业技能鉴定指导中心开发完成计算机网络（信息安全）管理员的二级和三级课程，并已经在2016年初已经完成并已经在广东省内开始试运营。

目录 第1章.职业概况 (4) 1.1.职业名称 (4) 1.2.职业定义 (4) 1.3.职业等级 (4) 1.4.职业环境条件 (4) 1.5.职业能力特征 (4) 1.6.基本文化程度 (5) 1.7.培训要求 (5) 1.7.1.培训期限 (5) 1.7.2.培训教师 (5) 1.7.3.培训场地设备 (5) 1.8.鉴定要求 (5) 1.8.1.适用对象 (5) 1.8.2.申报条件 (6) 1.8.3.鉴定方式 (7) 1.8.4.考评人员与考生配比 (7) 1.8.5.鉴定时间 (7) 1.8.6.鉴定场地和设备 (8) 第2章.基本要求 (9) 2.1.职业道德 (9) 2.1.1.职业道德基本知识 (9) 2.1.2.职业守则 (9) 2.2.基础知识 (9) 2.2.1.计算机专业英语知识 (9) 2.2.2.计算机基本原理 (10) 2.2.3.计算机软件基础知识 (10) 2.2.4.计算机硬件基础知识 (10)

信息安全技术网络安全等级保护测评要求

信息安全技术网络安全等级保护测评要求 第1部分：安全通用要求 编制说明 1概述 1.1任务来源 《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。 根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。 1.2制定本标准的目的和意义 《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、测评结论准确、公正及可重现。 《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。 伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。 作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。 此外，《测评要求》还需要吸收近年来的测评实践，更新整体测评方法和测评结论形成方法。

《计算机操作员国家职业标准(2008年修订)》

计算机操作员国家职业技能标准 （2008年修订） 1. 职业概况 1.1 职业名称 计算机操作员。 1.2 职业定义 使用常见的计算机设备、应用软件、网络，从事企事业单位计算机日常操作，进行日常计算机信息处理的人员。 1.3 职业等级 本职业共设三个等级，分别为：初级 (国家职业资格五级)、中级（国家职业资格四级)、高级 (国家职业资格三级)。 1.4 职业环境 室内，常温。 1.5 职业能力特征 具有很强的学习、表达、计算和逻辑能力，一定的空间感、形体感，色觉正常，手指、手臂灵活，动作协调性强。 1.6 基本文化程度 高中毕业 (或同等学历)。 1.7 培训要求 1.7.1 培训期限 全日制职业学校教育，根据其培养目标和教学计划确定。晋级培训期限：初级不少于200标准学时；中级不少于250标准学时；高级不少于300标准学时。 1.7.2 培训教师 培训初级、中级的教师应具有本职业高级职业资格证书 2年以上或相关专业中级及上 专业技术职务任职资格；培训高级的教师应具有本职业高级职业资格证书 5年以上或相关专业高级专业技术职务任职资格。 1.7.3 培训场地设备 理论知识培训场地应为满足教学需要的标准教室。技能操作培训场地应为具有计算机网络环境、软件环境等必备软硬件条件的实操机房。 1.8 鉴定要求 1.8.1 适用对象 从事或准备从事本职业的人员。 1.8.2 申报条件 ——初级 (具备以下条件之一者) (1)经本职业初级正规培训达规定标准学时致，并取得结业证书。 (2)连续从事本职业工作 1 年以上。 (3)取得经劳动和社会保障行政部门审核认定的、以中级技能为培养目标的中等以上职业学校本职业(专业)毕业证书。 ——中级 (具备以下条件之一者) (1)取得本职业初级职业资格证书后，连续从事本职业工作 1 年以上。