第一篇:等保测评选择题范文
等保测评项目管理制度
等级保护测评项目管理制度 一、目的 为有效保障等级保护测评中心的测评质量,防止发生质量异常,提升效率,确保质量满足客户需求,特制定本制度。
二、职责 等级保护测评中心的测评质量监督管理纳入公司总体质量管理体系,由公司法人代表授权的等保测评质量主管组织质量部对测评的质量进行控制:
Ø 质量主管:
1) 全面领导等保测评中心的质量管理工作,监督执行有关等保测评中心须遵循的各种政策、法律法规,并传达法律法规对测评工作的重要性;
2) 确保质量部开展工作所需的各种资源;
3) 审批质量部发展的中长期计划和年度计划;
4) 主持重大质量问题的申诉,对等保测评中心的质量和质量管理工作全面负责;
5) 质量手册(方针、目标等)的发布者;
6) 负责贯彻执行等保测评中心应遵循的各种法律、法规及标准;
7) 负责主持制定质量方针、质量目标,并确保质量管理体系得以完善和有效运行;
8) 主持质量管理体系的策划、建立,并完善实现等保测评中心质量方针、质量目标所必须的组织机构,确保质量部各类人员的职责和权限得到规定与沟通;
9) 主持管理评审和质量工作会,定期向等保测评中心主任汇报质量体系运行情况,提出改进的建议;
10) 负责质量问题和质量事故的申诉处理以及质量奖惩工作,签发质量管理体系程序文件和质量规章制度文件;
11) 制订质量部发展的中长期计划和年度计划,注重计划的准确性、可操作性,把质量工作计划纳入年度计划;
12) 负责组织对《等级测评报告》进行评估活动,并批准签发《等级测评报告》;
13) 根据等保测评项目的论证签订等级保护测评合同,并批准等级保护测评总体计划;
14) 调研分析对设备供应单位质量保证能力,确定供应设备能满足工作需要;
15) 落实质量部的保密制度和保密防范措施,对人员的安全保密培训情况;
16) 负责与质量体系有关事宜的外部联络。
Ø 质量部 1) 履行企业法人代表赋予的职责;
2) 贯彻执行等保测评中心应遵循的各种法律、法规及标准;
3) 贯彻、执行质量方针、质量目标;
4) 主持等级保护测评项目的论证,组织《等级测评方案》的评审;
5) 管理并监督等级保护测评中心测评人员按国家有关保密规定保守相关秘密;
6) 统筹安排等保测评中心资源,确保每项测评工作顺利完成;
7) 制定等级保护测评中心测评人员技术培训计划,确保计划能与预期的任务相适应;
8) 确保等保测评中心专用设备的准确度,指定专人负责设备运输、存放、使用、维护的管理;
9) 负责组织设备的验收、入库、保管、标识工作;
10) 在技术上负责系统测评的正确性,负责审核等保测评中心《等级测评报告》,并可以受测评中心主任委托批准《等级测评报告》。
三、工作程序 1、测评中心开展的等级保护测评项目,严格按照《质量管理体系文件》要求和国家《信息系统安全等级保护测评过程指南》和《信息系统安全等级保护测评要求 》等规范文件进行,严格遵循ISO9001:2000质量管理体系规范管理。
2、对测评的质量评价采用优秀、良好、一般、差四级评定,见下表。
质量要素 优秀 良好 一般 差 进度(非测评组长可控因素除外) 按时完成。
未按时完成,进度变更控制良好,延期在计划工期的10%之内。
未按时完成,延期在计划工期的25%内。
未按时完成,进度变更控制差,延期计划工期的25%以上。
测评成果 及时提交完备的测评成果,文档材料规范。
及时提交关键的测评成果,文档材料规范,得到质量主管认可。
提交关键的测评成果,延期不超过2天,文档材料不规范,但基本得到质量主管认可。
拖延提交测评成果超过一周,文档材料严重不规范,缺少关键内容。
用户反馈 《工作确认单》,表明服务规范,用户满意。
《工作确认单》表明服务流程完成,用户认可。
《工作确认单》,或用户主动反映现场测评存在缺陷,经核查属实。
《工作确认单》,或测评客户投诉,后果对测评产生严重影响,经核查属实。
3、质量评定的方法 质量主管根据上述三项服务考察要素的质量评定结果,综合评定测评的质量等级。评定方式原则上取三个考察要素获得的等级最低的为综合质量评定结果。举例:如果进度等级为优,测评成果等级为良,用户反馈等级为优,则综合质量等级为良。
4、质量改进 质量评价后,对存在的不合格或潜在的不合格,质量主管将向测评组长提交《测评质量审核报告》,测评组长对报告上的不合格项或潜在的不合格项进行确认,测评组长填写《纠正预防措施报告》,采取相应的纠正和预防措施,质量主管根据《纠正预防措施报告》上的整改时间,进行跟踪验证改进措施的效果,直到合格为止。
四、等保测评质量管理体系 1.总要求:
1.1 依据ISO 9001:2000质量管理体系的要求,对测评中心等级保护测评项目的测评过程进行控制,表明本中心有能力稳定地提供满足被测评单位的测评要求,并通过对质量管理体系的有效运用,包括持续改进和纠正预防不合格的发生而保证测评质量。
1.2 实施质量管理体系,测评中心做到:
Ø 测评中心质量管理体系所需过程主要有:客户服务体系的建立、测评设备的管理、测评活动的开展、验收评审、文档管理等过程,并对各过程进行监视、测量和控制管理,测评项目的质量控制有关过程参见“质量管理体系过程图” 见附件;
Ø 在“质量管理体系过程图”中可看到测评过程的顺序及相互的关联;
Ø 质量主管通过质量目标的测量和监控对质量管理体系的各过程进行监控和管理,并分析过程的有效性。技术主管决定所需要的技术标准及方法,以确保等保测评的相关过程可达到有效作业及控制。
Ø 各部门按要求确保所需要的资讯容易获取,从而支持测评过程的实施及监控;
Ø 通过质量方针、质量目标及各部门的分解目标的达成状况,测量、监控及分析这些过程,并且执行所需要的测量、监视活动,以证实这些过程的成果及今后的持续改进;
Ø 质量部依照ISO9001:2000标准和等级保护测评相关法规、技术标准的要求管理这些过程,组织进行持续改进。
2.文件要求:
2.1 各部门按国家/国际标准要求实施相关文件要求,并作好相关质量记录。
2.2 质量管理体系的范围:测评中心按等级保护测评相关法规和技术标准的要求进行等级保护测评服务 。包括ISO9001:2000质量管理体系的全过程、全要素。
2.3 文件控制:测评过程中产生的各类文档和记录应指定管理部按质量管理体系的要求加以管理控制。质量体系文件的架构见“质量体系文件架构图”,并建立文件目录。每一份规范化程序文件的制定包括以下内容:
Ø 测评过程产生的各类文件和记录定稿前得到测评中心主任审批,确保其适宜性、充分性;
Ø 质量管理体系文件在每年的管理评审时进行适宜性、有效性评审,确定是否需要更新,体系文件更新后要重新进行审核,并再次批准;
Ø 文件的版本、修订状态在文件中有标识,文件更改标识体现在修订状态上,文件更改按《文档管理制度》进行;
Ø 确保使用场所具有适宜版本的有效文件,便于使用;
Ø 确保文件保持清晰、完好,易于阅读、识别、调阅及追溯;
Ø 确保外来文件原稿已作标识,并控制其分发;
特别关注国家、行业的标准和管理文件的最新版本的收集和管理、发放;
Ø 预防作废文件被误用,假如因任何目的需保存以备用时,则应作出适当鉴别(加盖作废章、保留章),并加以控制。
3.记录控制:
3.1 测评中心各部门执行《等级保护测评项目质量监督管理制度》对质量管理体系所需的质量记录予以控制,并保持、维护有效的质量记录,以证明符合各项要求及质量管理体系得到有效运行。
3.2 测评中心建立的《等级保护测评项目质量监督管理制度》规定了质量记录的鉴别、储存、调阅、保护、保存期限及作废处理办法和程序。
4.测评过程的质量监督管理:
测评中心测评部负责对等保测评项目的被测系统的详细情况进行分析,为实施测评做好文档及测试工具,从而完成测评项目的测评准备过程活动;
进入测评实施过程活动后测评部部负责开发与被测信息系统相适应的测评内容及实施方法,为测评实施提供最基本的文档和指导方案;
在测评实施过程活动中,按照测评方案的总体要求,分步实施所有测评项目,包括单项测评和系统整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题;
最后进入分析与报告编制过程,综合评价被测信息系统保护状况,并形成测评报告文本。整个测评活动应与质量管理体系的其他要求相一致,质量部需同步对测评活动的以下各项目进行监督管理:
4.1 根据被测评单位要求/相关的质检规范、国标、法律法规要求,技术工程部确定有关工程的质量目标及要求;
4.2 市场部接到客户的等级保护测评需求,将信息传递到测评部、管理部, 测评部编制《项目计划书》,全面满足被测评单位要求。具体的过程和相互关系参见《质量管理体系过程图》中的描述;
4.3 根据等级保护测评相关法规和技术标准的要求针对测评过程,策划并实施各项验证、确认、访谈、检验等测评活动,留下相关的记录。
4.4 对各项测评过程及测评验收提供所需的记录,规划结果必须以测评报告的形式输出。
4.5 对测评活中输入输入的各类作业指导书、记录表单、报告及选取的测评设备必须进行评审,确保其准确和稳定。并做相应的验证及分析。
Ø 输入包括:功能和性能的要求;
适用的法律法规要求;
成熟的作业指导书;
Ø 对所有的输入进行评审:确保输入是充分的,适宜的,要求不可自相矛盾,完整,清楚;
Ø 保证测评活动中的各类输出记录的完整性和准确性;
Ø 质量部针对测评输入进行验证,并在放行前得到测评中心主任和被测评单位批准;
Ø 质量部针对测评输出(如测评记录和测评报告)进行评审,并由测评中心主任审批后方可提交客户;
Ø 质量部对选取的测评设备进行校验,确保设备的可靠性和检测数据准确性;
五、系统集成建设和服务提供的控制 测评中心依通过以下方式来对测评过程进行质量控制:
1.测评部提供可以说明测评有关特性的信息(测评方案、项目计划书等),对测评的重要节点进行重点控制;
2.向现场测评活动提供各类作业指导书,给出更为详细的测评规范和方法,指导现场测评;
3.测评部选取测评活动所需要的测评设备种类及数量,并对测评设备进行适宜的维护,确保设备的运行能力。
4.在现场测评过程中,质量部对测评设备的运行以及测评输出的数据进行监督管理,确保在现场测评过程中不断的测量及监控测评设备检测过程的变化,为调整和修正这些变化提供保证;
5.对测评的重要特性形成的过程执行监控和测量活动,通过对现场测评师,测评设备,测评方法都进行监控,保证测评质量满足要求;
6.测评部按照预先与被测评单位商定的验收时间,执行规定的测评结果交付活动;
未通过质量部评审合格或不满足测评要求的测评项目不得放行。
7.被测评单位资产:测评过程中有被测评单位提供的场地、终端设备、用户的知识产权的保护,包括系统需求、图样等都是客户资产,进场前与客户进行验证确认,明确其状态,并在现场测评活动中加以保护,发生损坏及时向客户报告,必要时予以修复或赔偿。
六、测评设备的质量管理 测评中心管理部负责维护、保养测评中心现有测评设备,建立《测评设备清单》,《编制保养计划》,《设备履历卡》,《维修记录》,确保测评设备的运行正常、测评数据准确。
测评部协助管理部对测评设备进行日常保养,包括测设备的版本升级、校对和维修。当发现测评设备不符合要求时,对以往的测量结果进行有效性的评价和记录,对该设备和任何受影响的测评项目采取补救措施。校准和验证结果的记录应予以保持。
质量部对测评设备的日常保养进行监督管理,对各项文档记录进行审核后由管理部存档。
七、质量方针和质量总目标 1.质量方针:技术先进、诚信服务、用户至上。
2.质量总目标:
Ø 等级保护测评方案评审一次成功;
Ø 测评质量目标:等级保护测评报告评审一次成功;
Ø 顾客满意率:≥95%。
Ø 等级保护测评报告准时交付率:≥80%。
3.宣贯方式:通过会议、质量手册、培训等方式确保传递到测评中心的每一位员工,总质量目标分解到各部门。
4.质量目标分解 Ø 管理部:培训计划完成率98%;
文件资料管理失误次数每年度小于3次。
Ø 市场部:客户服务体系完成98%;
合同评审率100%。
Ø 研究部:测评方案、作业指导书研究完成100%。
Ø 测评部:测评方案一次成功;
测评报告一次成功;
测评过程各节点质量控制100%符合等保测评技术标准;
准时交付率80%;
客户满意度95%。
Ø 质量部:质量管理体系完成100%;
测评项目质量监督完成100%。
八、质量文件的修订 测评中心测评项目质量监督管理制度依据ISO9001:2000质量管理体系的要求,结合等级保护测评相关法规和技术标准编制而成。测评中心质量部每年年底前至少重新校正一次,并参照以往质量管理实际情况检查各项标准及规范的合理性,进行修订。 质量管理体系产品实现的过程图 市场部 测评部 质量部 测评部 质量部 管理部 质量部 客户要求 测评设计 验证 输出 输入 评审 确认 编写测评方案 前期调查 作业指导书 测评设备的选用 方案评审 客户确认 测评计划 作业指导书 设备校对 现场测评 报告评审 编写测评报告 满意度衡量及售后服务 Y 客户 N 顾客抱怨 原因分析,纠正措施,预防不合规的再发生,质量改进活动 改进措施实施的验证,结果确认,PDCA
第二篇:人员素质测评选择题-单选解读
《人员素质测评》单项选择练习题
1.人力资源最佳发挥的前提是“人事相宜,人适其事,事得其人,人尽其才,才尽其用”。实践表明,每种工作职位对其任职者都有一种基本要求,当任职者现有的素质合乎职位要求时,个体的人力资源就能主动发挥作用,创造出高水平的绩效,因此,在人事配置中经常需要运用( )测评。
A.选拔性 B.诊断性 C.配置性 D.开发性
2.素质测评的( )原则,即要求素质测评既要以差异为依据,又要能够反映被测评者素质的真实差异,这是保证选拔结果正确性的前提。
A.公正性 B.差异性 C.准确性 D.可比性
3.明尼苏达操作速度测验主要用来测验人的( )能力。
A.文书倾向 B.运动技能倾向 C.机械倾向 D.技能技巧
4.面试中,所谓( )原则是指主试人应该从多方面去把握考生的内在素质,应从整个的行动反应中系统地、完整地测评某种素质,而不能仅凭某一个行为反应就下断言。
A.客观性 B.目的性 C.全面性 D.标准性
5.区分度,是指项目把具有不同素质水平的被测适当区分开来的( )能力。 A.鉴别 B.操作 C.管理 D.考查
6.( )误差,是指测评者不是实事求是地对每个素质独立测评,而是依据其是否具有相关性特点而进行逻辑上的推断。
A.哈罗效应 B.对比效应 C.趋中心理效应 D.逻辑效应 7.评价中心是以测评( )素质为中心标准化的一组评价活动。 A.决策 B.操作 C.管理 D.能力
8.复本信度,是指测评结果相对于另一个非常相同的测评结果的( )程度。 A.吻合 B.变异 C.准确 D.满意
9.( )一般是指手势、身势、面部表情、眼色、人际空间位置等一系列能够揭示内在意义的动作。
A.动作 B.行为 C.体态语 D.情感
10.在建构测评标准体系时,将测评要素层层分解成测评目标、测评项目、测评指标,可以形成测评标准体系的_______结构。(
)。
A.纵向 B.横向 C.混合 D.网络
11.工作分析的方法有多种,其中观察法适用于_______的生理性工作特征的调查分析。(
)。
A.长时间 B.短时间 C.长短时间均适用 D.以上均不对
12.1890年,美国个性心理学家_______发表了《心理测验与测量》的论文,介绍了他编制的第一套心理测验试题,并用这套试题测量了哥伦比亚大学的学生,使测验走出实验室直接应用于实际。(
)。
A.西蒙 B.瑟斯顿 C.卡特尔 D.哈特威
13.用意义不明确的各种图形、墨迹、词语,让被测者在不受限制的情境下自由地作出反应,从分析反应结果来推测测验的结果,这种测验方法为(
)。
A.机械倾向测验 B.投射技术测验 C.生理学测验 D.镶嵌图形测验 14.希波拉克特认为,人体内有四种体液:血液、粘液、黄胆汁、黑胆汁,黑胆汁占优势的人表现为(
)。
A.多血质 B.胆汁质 C.抑郁质 D.粘液质
15.主考官往往因应聘人某一方面十分好或坏的表现而产生对应聘人的整体判断,结果导致录用误差,这种误差称为(
)。
A.第一印象效应 B.近因效应 C.戴明效应 D.晕轮效应
16.在测评时,测评者因某种主观臆断的逻辑定势而产生的测评误差称为(
)。 A.光环效应误差 B.定势效应误差 C.期望效应误差 D.近因效应误差
17.所谓效度是指测评结果对所测素质反映的真实程度,实际测评到的内容与我们所想测评内容的一致性,反映的是( )。
A.结构效度 B.内容效度 C.关联效度 D.项目分数效度
18.项目的独立性分析,一般是采用项目间分数的相关系数来揭示,当相关系数越大时,说明独立性越(
)。
A.高 B.低 C.大 D.小
19.个体的素质是在遗传、环境与个体能动性三个因素共同作用下形成和发展的,并非天生不变的,因而具有一定的(
)。
A.先天性 B.后天性 C.稳定性 D.可塑性 20.比例量化要求素质测评对象的排列有顺序等距关系,而且还要存在_______关系( )。 A.数量 B.倍数 C.相等 D.相似
21.人们由于生长与工作的环境不同,所具有的生理特点与遗传素质不同,接受教育程度不同,因此,每个人所形成的素质也就不同,这就是_______差异。( )。
A.整体 B.群体 C.个体 D.独立
22.无论是先天还是后天获得的素质,都是个体行为发展与事业成功的必要条件而非充分条件。这只是说明素质具有( )
A. 稳固性 B. 可塑性 C. 差异性 D. 基础作用性
23.人的素质最佳可塑期与年龄有关。下列哪个科学家做的年龄和创造性成就之间关系的研究,表明了这种重要性。( )
A. 罗夏 B. 卡特尔 C. 冯特 D. 莱曼
24.较高的稳定性,较高的有恒性,较高的自律性,较低的怀疑性等,是哪类人才应具备的素质特征。( )
A. 财会人员 B. 人力资源管理者 C. 企业管理人才 D. 发明创新人才
25.在工作中所从事的具体活动和承担的责任与个人所期望从事的活动和承担的责任相符的程度,是什么测评指标的表现。( )
A. 工作积极性 B. 独立性 C. 主动性 D. 工作高标准
26.为实现某一特定目标,给自己或他人建立行动方案,做出适当的人员派遣和资源配置规划的能力,其测评指标是( )。
A. 分析能力 B. 判断能力 C. 决断能力 D. 规划和组织能力
27.与结构化面试比,非结构化面试的面试过程具有( )。 A. 确定性 B. 非确定性 C. 发散性 D. 非发散性
28.默里和摩根提出了( )。
A. 主题统觉测验 B. 多项个性测验 C. 智力测验 D. 人格测验
29.专业能力测验一般是针对被测者掌握的基本知识和下列哪项知识进行的测评( )。
A. 非基本知识 B. 专业知识 C. 实践知识 D. 一般知识
30.问卷调查量表法进行问卷调查的主要方式是( )。 A. 开放式 B. 封闭式 C. 他陈式 D. 自陈式 31.明尼苏达的多项人格调查的主要方式是( )。
A. 调查表题目少 C.实行起来省事 C. 在一般的人员测评中使用广泛 D. 使用四级效度量表来确定测评对象是否弄虚作假
32.罗夏墨迹测验给被试者看涂有标准化“墨迹”的卡片有( )。 A. 8 张 B. 10张 C. 15 张 D. 17张
33.评价中心最常犯的错误是( )。
A. 评价结果准确性差 B. 评价结果反馈的质量
C. 评价中心与现行工作执行之间产生纠纷 D. 评价结果反馈不及时
34.以下评价中心所遵循的原则中,表述正确的是( )。 A.采用一种评价技术 B.使用相同的工作模拟技术 C.评价人员可以交流 D.评价人员先预测,后观察讨论
35.对情景模拟的表述中,正确的是( )。
A.面谈模拟不属于情景模拟 B.是一种客观性的技术
C.常用的练习有小溪练习、建筑练习 D.管理游戏是情景模拟的一种形式 36.素质测评标准体系及其分数等级、评语,其组成要素不包括( )。 A.标准 B.标度 C.标记 D.标尺
37.下面哪一个属于按照测评技术与手段对人员素质测评类型的分类( )。 A. 他人测评 B. 上级测评 C. 中性测评 D. 单项测评
38.确定测评指标权重的德尔菲法,又称( )。
A. 专家咨询法 B. 文献查阅法 C. 主管人员分析法 D. 关键事例法
39.下面那一个不属于按照测评标准对人员素质测评的分类( )。 A.无目标测评 B.常模参照性测评 C.单项测评 D.效标参照性测评
40.下面不属于按具体的测验对象对认知测验进行的分类的是( )。 A.成就测验 B.智力测验 C.能力倾向测验 D.人格测验 41.下面属于从气氛设计上对面试进行分类的是( )。 A.个别面试 B.集体面试 C.压力面试 D.问答面试
42.从表征形式看,品德结构包括四种形式,那么“乐于助人”属于( )。 A.态度型 B.意志型 C.情绪型 D.理智型
43.下面哪一种不属于从主体的结构与实施程序上对面试进行的分类( )。 A.依序面试 B.个别面试 C.逐步面试 D.小组面试
44.“假如我现在告诉你因为某种原因,你可能难以被录用,你如何看待呢?”面试时这种提问方式属于( )。
A.假设式 B.开口式 C.压迫式 D.引导式
45.下面的哪个指标是指测评结果相对另一个非常相同的测评结果的变异程度( )。 A.再测信度 B.复本信度 C.一致性信度 D.评分者信度
46.测评者往往会因为对被测整体印象的好坏而影响他对其每个素质的测评,此类误差属于( )。
A.对比效应误差 B.哈罗效应误差 C.接近效应误差 D.宽大心理误差
47.用来反映被测者行为符合项目测评标准程度的指标是( )。 A.效度 B.信度 C.再测信度 D.适合度
48.将心理测验分类时,下面不属于按测验目的分类的是( )。 A.描述性 B.能力性 C.预测性 D.诊断性
49.“据说你工作不到5年已换了4个单位,有什么可以证明你能在我们公司服务一辈子呢?”,面试时这种提问方式属于( )。
A.收口式 B.开口式 C.压迫式 D.引导式
50.用来反映测评结果对所测素质真实程度的指标是( )。 A.效度 B.信度 C.再测信度 D.适合度 51.游戏投射属于( )。
A.图形投射 B.语言投射 C.动作投射 D.构造投射 52.哪项是一般职业能力测验的测试内容( )。
A.人际关系处理能力 B.空间感知能力 C.领导决策能力 D.日常行为能力 53.以下哪项是以人为对象的职业( )。
A.户外作业型 B.管理与组织型 C.纯粹技术型 D.工作技术型 54.分析测验结果的核心问题,就是( )。
A.对于分数的解释 B.对于分数的分析 C.对于试题的解释 D.对于试题的分析 55.题目的覆盖面问题主要体现在( )。
A.看题目的标准化 B.看所出试题是否具有代表性
C.看题目的公平性 D.看题目的正确性 E.看题目的规范性
56.下面那一概念表示测评能够正确的测量到所要测量的能力的程度,也就是测评本身所能达到的期望目标的程度( )。
A.平均数 B.标准差 C.信度 D.效度 57.相关系数的大小( )。
A.在0至+1之间 B.在-1至0之间于 C.在-1至+1之间 D.任意数 58.用于分析两次间隔一定时间的平定结果之间相关关系的是( )。 A.重测信度 B.对半信度 C.等值信度 D.复本信度 59.信度系数越大,说明测定或评定方法的可靠性( )。 A.越强 B.越弱 C.不变 D.不一定 60.罗夏墨迹测验是谁编制的( )。
A.卡特尔 B.莫利金 C.罗夏 D.郝兹威 61.艾森克认为人格的三个最基本的因素是( )。
A.情绪稳定性、可靠性和内外倾性 B.随和性、内外倾性和可靠性 C.精神性、随和性和情绪稳定性 D.内外倾性、情绪稳定性和精神性
62.克劳福德灵活性测验是用于测试电器和电子产品装配工的能力倾向,主要测量的是( )。
A.手指灵活性 B.手和手臂的动作 C.机械能力 D.眼和手的配合准确性 63.以下哪一个指的是个体获得新的知识、能力和技能的潜力,而不是一个人在被测的当时就已经具备的现实条件。( )
A.能力倾向 B.能力 C.创造力 D.素质
64.用先进的科学技术和手段,对各类人才所具备的知识水平、能力及其倾向、发展潜力、工作技能及绩效实施测量和评价的管理活动是( )。
A.人员测评 B.绩效评估 C.素质测评 D.能力倾向测评 65.综合多种以知信息,并导出一种结论的思维过程是( )。 A.发散思维 B.直觉思维 C.创造思维 D.收敛思维 66.下面那一个是投射测验法的特征。( )
A.测验工具一般为调查表 B.测验目的多为伪装的 C.通常采用纸笔形式 D.题目的数量较多
67.素质的第一特性是它的________。它是个体行为发展与事业成功的必要条件,但不是充分条件。它说明了素质开发的必要性。( )。
A.可塑性 B.可靠性 C.差异性 D.原有基础作用性
68.________年,卡特尔、桑代克和武德沃斯等著名心理学家建立了第一个较大的心理测验公司,将心理测验向社会推广。( )。
A.1905 B.1912 C.1903 D.1921 69_______慢但持续很久体验深刻,具有内倾性。( ) A.抑郁质 B.胆汁质 C.多血质 D.粘液质
70.面试已经突破了面对面的问答形式,多数地方以面谈问答为基础,引入答辩式、演讲式、辩论式等辅助形式,这是面试的________发展趋势。( )
A.程序规范化 B.内容全面 C.试题的顺应化 D.形式多样化
读书的好处
1、行万里路,读万卷书。
2、书山有路勤为径,学海无涯苦作舟。
3、读书破万卷,下笔如有神。
4、我所学到的任何有价值的知识都是由自学中得来的。——达尔文
5、少壮不努力,老大徒悲伤。
6、黑发不知勤学早,白首方悔读书迟。——颜真卿
7、宝剑锋从磨砺出,梅花香自苦寒来。
8、读书要三到:心到、眼到、口到
9、玉不琢、不成器,人不学、不知义。
10、一日无书,百事荒废。——陈寿
11、书是人类进步的阶梯。
12、一日不读口生,一日不写手生。
13、我扑在书上,就像饥饿的人扑在面包上。——高尔基
14、书到用时方恨少、事非经过不知难。——陆游
15、读一本好书,就如同和一个高尚的人在交谈——歌德
16、读一切好书,就是和许多高尚的人谈话。——笛卡儿
17、学习永远不晚。——高尔基
18、少而好学,如日出之阳;壮而好学,如日中之光;志而好学,如炳烛之光。——刘向
19、学而不思则惘,思而不学则殆。——孔子
20、读书给人以快乐、给人以光彩、给人以才干。——培根
第三篇:等保感谢信
一、感谢信
(一)感谢信的含义
感谢信是机关、团体、单位在获得有关方面和人员的关心、支持、帮助、慰问、馈赠后,向对方表示感谢的事务书信。
感谢信在公务活动及日常生活中使用较广泛。 (二)感谢信的结构和写法
感谢信据内容的不同可分为两类,一类是普发性感谢信,即对与本单位有过交往的众多单位表示谢意;另一类是专用感谢信,专为某事向某单位或个人表示感谢。两类感谢信拟稿的要求不同,前者内容要求概括些,使之适合所有的感谢对象;后者内容应写得具体些,使之适合个别感谢对象。一般所说的感谢信多为专用感谢信,其一般格式和写法如下: 1.标题。可直接以文种“感谢信”为标题,也可以由受文单位和文种组成标题,如“致广东省科技干部学院的感谢信”;还可由发文单位、受文单位及文种组成,如“中共中央致各民主党派中央、全国工商联的感谢信”。 2.称呼。在标题下隔行顶格写所感谢的单位名称或个人姓名。个人姓名后可写“同志”、“先生”、“小姐”等相应的尊称。 3.正文写感谢的内容。一般写以下两个方面: (1)简述事迹,说明效果。应交待清楚人物、事件、时间、地点、原因和结果,并扼要叙述在对方帮助下所产生的客观影响和社会效果。 (2)颂扬品德,表示决心。既表感激之情,也谈今后如何用实际行动向对方学习。
正文是全文的主体,要善于组织材料,突出重点,写好主要事迹;要记叙详实,颂扬适度。其次表示向对方学习的态度和决心。如果感谢信是写给所感谢者的单位或新闻单位的,还可以写上建议对方单位给予表扬的建议。 4.敬语。按信函格式写上“此致”、“敬礼”一类敬语。 5.落款。在正文右下方写上写感谢信的单位名称或个人姓名,时间。 (三)感谢信写作应注意的问题
感谢的事项必须真实。字里行间所流露出的感激之情应是由衷的、真挚的。反对虚伪、应付、客套。
二、慰问信
(一)慰问信的含义
慰问信是机关、团体、单位向有关方面或个人表示安慰、问候、鼓励和致意的一种事务书信。它能体现组织的关怀、温暖,社会的爱心与支持,朋友、亲人间的深厚情谊,能给人以奋进的勇气、信心和力量。
慰问信以电讯的方式传送时,叫慰问电。 (二)慰问信的类型、结构和写法
慰问信从内容上看,一般可分为三种类型:一是对先进的慰问;二是对受难者的慰问;三是节日慰问;三类慰问信,其格式与感谢信基本相同,标题一般写“致??的慰问信”,也可只写“慰问信”三字。而称呼、敬语、落款的写法与感谢信一样。不同类型的慰问信正文略有一些区别: 1.慰问先进。正文内容主要是简述先进事迹及其意义,表示赞扬,并鼓励他们再接再厉,乘胜前进,争取更大的成绩。开头可用“欣闻??非常高兴,特表示祝贺并致以亲切的慰问”等语;中心段可写成绩是怎样取得的及有怎样的意义,并表示赞扬;最后勉励他们再接再厉,继续前进。 2.慰问受难者。正文内容主要对受难者表示同情和安慰,鼓励他们克服困难,勇往直前,夺取胜利。开头可用“惊悉??深表同情,并致以深切的慰问”等语;中心段着重写克服困难,战胜灾难的有利因素,如社会主义制度的优越性、安定团结的大环境、人民的大力支持等,鼓励他们努力奋斗,战胜眼前的困难;最后写自己(发信单位或个人)将为他们做贡献的决及行动(如捐款捐物等),并表示良好祝愿。 3.节日慰问。节日慰问信多是上级单位写给有关人员的,所以正文内容主要是强调节日意义,赞扬有关人员所取得的成绩或做出的贡献,并提出今后希望。开头概述节日意义及提出问候语;中心段赞扬有关人员所取得的成绩或所做的贡献,同时,联系当前的形势阐述责任和今后的任务;最后提出希望。 (三)写作慰问信应注意的问题
写慰问信感情要真挚,语气要诚恳,语言要富有感染力,使被慰问者从中得到慰藉与鼓励。
(四)慰问信与感谢信的异同
感谢信与慰问信都是书信体文书,即发送方式一样,为了庄重与快速,都可用电报。书写格式也一样。虽然慰问信和感谢信都有表扬的成分,但两者的区别
非常明显:一是内容侧重点不同,感谢信重在表示谢意,多讲对方对自己的帮助和支持,而慰问信则重在表示慰问,多讲对对方的勉励和激励;二是写作对象略有不同,感谢信可以是感谢单位的,也可以是感谢个人的,而慰问信则多是对某些单位、集体或群众表示慰问。
因此,感谢信和慰问信并不是随便使用的。只有在想感谢对方对自己的支持和帮助,或在对方取得了某方面的成绩或遭受了某些灾难想鼓励和安慰他们时,并且仅用口头方式又不足以表达心意,为郑重起见或为了加强宣传效果时,才使用这种文体。
感谢信和慰问信可以直接发给对方,也可以发给对方的上级单位,还可以利用新闻媒介进行传播。
三、贺信
(一)贺信的含义
贺信是机关、团体、单位向取得重大胜利,有突出成绩或喜庆之事的有关单位及人员表示祝贺或庆贺的一种礼仪文书。
现在,贺信已成为表彰、赞扬、庆贺对方在某个方面所做贡献的形式,有的还用来表示慰问和赞扬。在当前的经济建设中,如某个单位或某个人做出了巨大贡献,某单位召开了重要会议,某工程竣工,某科研项目成功,某项重大任务保质保量地提前完成,某重要人物的寿辰等,都可以使用贺信的形式表示祝贺。重要的贺信往往对广大群众有很大的激励和教育作用。
(二)贺信的结构和写法
贺信的基本结构包括以下几项: 1.标题。在第一行正中写上“贺信”二字。也可以在“贺信”前写上谁给谁的贺信以及被祝贺的事由。
2.称谓。顶格写接受贺信的单位或个人及称谓,后面加冒号。 3.正文。另起一行,空两格写贺信的内容。一般包括:对方取得的成绩和重大意义;表示热烈的祝贺和殷切的希望。如系会议要指出它的重要性;如系同级单位,除表示祝贺外,还应提出向对方学习的内容;如系下级单位给领导机关的贺信,除表示祝贺外,还应表示自己的决心和态度;如系给个人的贺信,应着重写明有供群众学习的品德和意义。 4.结尾。以祝愿词结尾,如“谨祝取得新的、更大的胜利”。如正文中“希望”内容写得详细具体,也可不用祝愿词结尾。在信的右下侧写明发信单位或个人名称及年、月、日。 (三)贺信写作的注意事项
1.感情真挚、浓烈,给人以鼓舞。 2.评价要适当而有新意,避免陈词滥调。行文规范,称谓合体。 3.文字简练,语言朴素。不堆砌华丽辞藻,不言过其实,不空喊口号。篇二:年终给保安的感谢信
感谢信
致:xx保安服务有限公司
由:xx公司
主题:对贵司保安在我司的年度表现表示感谢
一、 业绩说明 1. xx年x月x日,贵司保安队长接通报后立即与队员赶赴现场,及时将火势扑灭,有效保障我司生命财产安全 2. xx年9月,x队长到职后进行重新的整顿,保安室内桌面、窗台、卫生间天天整齐划一,窗明几净,队员恪尽职守,精神状态也更焕然一新,赢得我司上下好评如潮,每个月的检查中,保安室的评分均名列前茅,为整个所属的ehs部门倍感荣光 3. xx年12月1日23点,保安巡逻时发现消防泵冒烟,及时通知工程部值班人员,队员配合抽水持续3个小时,兢兢业业的工作态度及极强的行动力令我司上下都很感动 4. xx年1月,保安队长主动提出改善快递分发现状,购置快递架子及白板,在白板上写清楚包裹领取人的姓名,给我司员工带来极大便利,原本令我司员工心烦的快递领取难的问题迎刃而解,员工纷纷向我部门表达赞许之情。 5. xx年1月26日24点左右,保安巡逻发现危险化学品仓库前的水管冻裂,立即通知电工,及时将水情控制,避免了较大的水灾事故。
二、 感谢信
有一句话说得好,“在本位,尽本分”,这应该是每个人对自己工作最基本的要求。保安安保工作也不例外,我司盗窃行为频现,在监控等安防体系不太完善的条件下,贵司保安凭借自身的高度警觉及恪尽职守加强人防,数次及时的制止了我厂盗窃事件的发生,切实挽回了我厂的经济损失,维护了我厂的财产安全,这种忠于职守的精神,显得尤为可贵和值得学习,值得表扬和肯定,这种行为不仅体现保安人员的一种精神,更展现出xx集团、xx人的职业精神!
保安行业是一个普通而又特殊的行业,安全是保安工作的重中之重。巡查时,如果缺乏责任心、敷衍了事,就无法及时发现问题,更不会以实际行动去解决问题,因此责任心是安保工作的重要保证。有人曾这样说过:“责任通常分两种:一种如清茶,倒一杯是一杯,永远是被动;一种是啤酒,刚倒半杯,便已泡沫翻腾,永远是主动。”在保安安保工作中,只做清茶是不够的,我们要的是啤酒,时刻保持高度的警惕性和冷静的忧患意识,要主动地用强烈的责任心去为公司安全工作搭建一面防火墙,为我司的利益、员工的利益搭起一座巩固的桥梁。而在贵司汪经理、x队长带领下的现有团队恰如这杯啤酒,时刻保持“主动”状态,做在前想在前,对维护我司的生命财产安全、工作秩序做出了重大贡献,赢得我司上下高度评价及肯定。
鉴于本年度xx派驻团队对我司所做出的贡献,特写此感谢信,感谢xx集团对我司安保防卫工作所提供的大力支持和帮助,感谢xx保安公司二片区对于我司项目的重视,感谢项目保安团队为我司安保防卫工作做出的努力和奋斗。同时希望贵司能够一如既往的保持工作作风和职业精神,继往开来,发扬xx优良传统为我司xx年的安保防卫工作继续努力!
顺祝
商祺! xx公司
xx年1月29日篇三:保安感谢信
感谢信 xxx物业公司领导:你们好! 今天,我是怀着诚挚的谢意向你们表示感谢的,尤其是保安部门的xxx同志。
本周xxx,我去xxx小区为客户设计装修房屋,粗心把电脑放在了xxx,等我为客户设计完xxx,去拿电脑时,发现我心爱的电脑不见了,心想这下可完了,这个电脑是我花7000元刚买的,那可是我大半年的积蓄啊,你要知道做我们这种设计工作的,电脑是我们日常唯一的办公用品,没有了电脑我们就无法为客户设计图纸,就无法跟客户沟通交流,我们的业务工作也无法开展。另外,我的电脑上面还保存了重要的客户资料,和为其它客户设计的图纸,以及公司的一些重要业务信息,如果电脑遗失,说不定要给公司带来多大损失。就在我心急如焚之时,我想到了咱们小区的物业保安,我抱着一丝希望来到物业管理部,向他们叙述了我丢电脑的事情,谁知咱们的保安非常重视,当时就打电话联系其他人员帮忙一块寻找,他们询问小区中的居民,排查期间所有进出小区的人员,东奔西走,忙前忙后。最后在我几乎都绝望的时候,接到了咱们物业保安部打来的电话,说保安xxx同志在xxx找到了一台电脑,让我前去辨认并取回电脑,我真是非常感谢xxx同志及保安部热情的帮助。
在我的眼中,小区保安就是要做好本小区的站岗、巡逻、对外来车辆登记等本职工作,没有想到咱们的保安对待我们这种外部人员也如此热情,助人为乐、让我心存敬意,感激之情溢于言表。
他们的精神实在是令人感动,在此对全体保安部同志表示感谢!同时也深深为物业公司那种主动为人民服务的工作风气所感动! 谢谢!再一次向xxx同志表示感谢! 某某某 2012-07-10篇四:感谢信保安
尊敬的保安公司领导:
您们好! 感 谢 信
在这瑞雪飘飘的冬月,我们后石小学的全体师生,感谢贵公司领导有方,工作有力度!感谢您们为后石小学派来的保安孟广海和徐玉润,为学校师生安心工作和学习创造了稳定、和谐的人文环境,尤其为了学生们的安全认真负责,让我们倍受感激!
学校附近由于动迁改造,每天过往数十辆大货车,道路坑洼不平,施工设备如:起重机、吊车等支架在师生上学的必经之路,严重危及师生人身安全,给学校安全工作带来了隐患。孟广海和徐玉润两位保安责任心强、任劳任怨负责学生入、退校行走安全。他们每天早来晚走,风雪无阻,不计得失,甘于奉献,工作兢兢业业。尤其值得一提的是,孟广海保安每天早上乘第一趟车来到学校,清扫操场上的卫生;每当下雪时,他们和老师一起参加扫雪,他们出色的工作和表现得到全校师生及家长的认可,为师生的安全保驾护航,被称为“最可爱的人”。
溪湖区后石小学 2013年1月8日篇五:首保养感谢信
感 谢 信
感谢您到广州本田汽车骏鸣特约销售服务店接受首次保养,并衷心感谢您对本店的信赖和支持。
首次保养后,若您的汽车在行驶过程中出现任何问题,请及时与本店联系,以便本店能及时为您提供热情周到的服务。
当您的汽车每行驶5,000 km或6个月(以先到期限者为准)请您持《保修手册》到本店接受5,000 km定期保养,保养后本店将在您的汽车《保修手册》第10页上填写定期保养记录并盖上店章,此章是确保您的汽车在保修有效期内具备保修资格的必要条件。
为了能更好地对您的汽车进行跟踪服务,当您的地址或电话号码变更后,请及时与本店联系,本店电脑将记录下您的最新个人信息,并为您提供热情周到的售后服务。
第四篇:等保工作流程简介
等级保护定级备案→等级保护差距分析→等级保护整改建议方案→等级保护整改实施→等级保护测评→等级保护检查
● 等级保护定级备案
对信息系统进行划分,并根据信息系统的价值确定信息系统的保护等级,等级确定后完成保护等级的备案工作。
● 等级保护差距分析
通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善,使单位的信息系统安全工作有的放矢。
● 等级保护整改建议方案
根据评估的结果和信息系统确认的保护等级,结合公安部《信息系统安全等级保护基本要求》中对各级别信息系统的技术、管理和运维方面的要求,调整相应的安全保护措施,并完成等级保护整改建议方案的设计。
● 等级保护整改实施
依据规划提供详细设计和等级保护系统建设服务,确保保障等级能够达到信息系统所要求的保护等级,或者协助用户进行等级保护的实施,对承建商的工作进行监理。
● 等级保护测评
在信息系统进行完成定级和整改实施之后,需要通过测试手段对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证,提供的测评服务将协助用户完成等级保护测评工作。
● 等级保护检查
在信息系统进行完成定级和整改实施之后,用户需要对信息系统的安全技术和安全管理上各个层面的安全控制进行检查,并准备检查所需要的文档和资料,配合公安机关开展现场的检查工作。
第五篇:等保服务内容及报价;
一、信息安全等级保护服务流程及内容;信息安全等级保护服务分为定级备案咨询、安全建设规;1.定级备案咨询阶段:通过定级对象分析、定级要素;2.安全建设规划阶段:协助建设单位按照同步规划、;3.安全等级现状测评阶段:详实调研业务系统,了解;4.信息系统安全整改咨询阶段:依据脆弱性评估结果;5.信息安全等级测评阶段:实施等级测评,以满足国;等保
等保服务内容及报价
一、信息安全等级保护服务流程及内容
信息安全等级保护服务分为定级备案咨询、安全建设规划、安全等级现状测评、信息系统安全整改咨询和信息安全等级测评五个阶段,各阶段工作内容如下:
1. 定级备案咨询阶段:通过定级对象分析、定级要素分析,初步确定系统保护等级,协助召开定级专家咨询会议,确定系统保护等级,协助撰写定级报告、协助联络公安机关,完成定级备案工作。
2. 安全建设规划阶段:协助建设单位按照同步规划、同步建设、同步运行的原则,做好项目建设的安全规划。
3. 安全等级现状测评阶段:详实调研业务系统,了解系统边界、功能、服务范围、涉及部门、重要程度,全面进行差距分析和脆弱性评估;找出不足之处和安全漏洞,为等级保护体系设计提供客观依据;将根据之前的项目成果,制定合理安全管理措施和技术措施,形成等级化的信息安全保障体系。 4. 信息系统安全整改咨询阶段:依据脆弱性评估结果,弥补技术层面的安全漏洞;建立健全信息安全管理制度;根据前期信息安全保障体系设计方案,指导系统运维方落实相关安全保障措施。
5. 信息安全等级测评阶段:实施等级测评,以满足国家信息安全监管的相关政策要求。
等保服务在合同签订后1个月内完成项目的系统定级、安全建设规划。在系统建设完成后2周内完成安全评估差距分析、整改建议等工作。在系统整改完成后2周内完成信息安全等级测评工作,出具等保测评报告。
1 定级备案咨询 1.1 工作内容 (1)系统梳理
网络拓扑调查:通过对系统网络拓扑结构的调查,确定各个网络安全域,分析网络拓扑结构安全。
资产信息调查:通过对资产信息的调查,确定系统中重要资产,比如服务器、核心交换机、边界防火墙、IDS等。
服务信息调查:通过对服务信息的调查,确定系统服务对象。 系统边界调查:通过对系统边界的调查,确定各子系统边界情况。 (2)定级对象分析
业务类型分析:通过对业务类型的分析,确定各系统的重要性。 管理机构分析:通对管理机构的分析,确定安全管理机构设置的合理性。 (3)定级要素分析
业务信息分析:通过以上调查与分析,明确业务信息(系统数据)被破坏后受侵害的客体(公民、法人和其他组织的合法权益,社会秩序、公共利益,国家安全)和侵害程度。
系统服务分析:通过以上调查与分析,明确系统被破坏或者中断服务后受侵害的客体(公民、法人和其他组织的合法权益,社会秩序、公共利益,国家安全)和侵害程度。
综合分析:通过对业务信息分析与系统服务分析,分别确定其安全等级 确定等级:取业务信息安全等级与系统服务安全等级中最高的为整个系统安全等级。
(4)撰写定级报告
撰写定级报告:通过以上调查与分析,撰写系统定级报告,包括系统描述、业务信息安全保护等级的确定、系统服务安全保护等级的确定、整个系统安全保护等级的确定等。
(5)协助定级备案
协助填写备案表:协助业主完成系统安全等级保护备案表的填写。 协助评审审批:协助业主组织召开系统定级结果评审会,协助业主完成整个定级审批过程。
1.2 交付成果 信息系统安全等级保护定级报告 信息系统定级备案表 2 安全建设规划 2.1 工作内容
根据等级化安全保障体系的设计思路,等级保护的安全建设规划包括以下内容:
1. 安全域设计:根据系统定级情况,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
2. 确定安全域安全要求:参照国家相关等级保护安全要求,设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
3. 安全保障体系方案设计:根据安全域框架,设计系统各个层次的安全保障体系框架以及具体方案。包括:各层次的安全保障体系框架形成系统整体的安全保障体系框架;物理安全、网络安全、服务器安全等安全技术设计,安全管理制度规划与设计。
通过如上内容的规划,系统可以形成整体的等级化的安全保障体系,同时根据安全术建设和安全管理建设,保障系统整体的安全。
2.2 交付成果
信息系统安全等级保护建设规划方案 3 安全等级现状测评
为确保信息系统的安全保护措施符合相应安全等级的基本安全要求,需要实施安全等级现状测评,以提出合理、有效的安全整改建议,为信息系统制定信息安全规划和决策提供依据。
测评机构将指导系统运维方开展安全评估工作,简要了解系统现有安全保障措施与国家信息安全等级保护等级标准要求之间的差距,制定信息安全规划方案;同时检查系统在技术层面存在的脆弱性漏洞,为后续安全加固工作奠定基础。
3.1 等级保护差距分析
按照等级保护实施要求,信息系统应该具备相应等级的安全防护能力,部署相应的安全设备,制定相应的安全管理机构、制度、岗位等。
差距分析就是依据等级保护技术标准和管理规范,比较分析信息系统安全防护能力与等级要求之间的差距。为等级化体系设计提供依据。
3.1.1 工作内容
差距分析将从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面分别进行。具体内容为:
1、技术差距检测:
(1)物理安全:针对信息系统所处的物理环境即机房、线路、基础支撑设施等进行标准符合性识别。主要包含:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。
(2)网络安全:对评估工作范围内的网络与安全设备、网络架构进行网络安全符合性调查。主要包含:结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等方面。
(3)主机安全:评估信息系统的主机系统安全保障情况。主要包含:身份鉴别、访问控制、安全审计、系统保护、入侵防护、恶意代码防护、资源控制等方面。
(4)应用安全:对信息系统进行应用安全符合性调查。主要包含:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面。
(5)数据安全:评估信息系统的数据安全保障情况。主要检查系统的数据在采集、传输、处理和存储过程中的安全。
2、管理差距检测:
(1)安全管理制度:评估安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。
(2)安全管理机构:评估安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。
(3)人员安全管理:评估机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。 (4)系统建设管理:评估系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。
(5)系统运维管理:评估系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。
3、等级保护差距分析:
基于技术、管理层面的标准合规性检测结果,根据国家等级保护标准,结合行业规范,针对标准的每项具体要求,从微观角度展开,深入分析信息系统与相应等级要求之间的差距,并从宏观角度对计算环境、区域边界和通信网络等方面对单元检测的结果进行验证、分析和整体评价,确认信息系统的整体安全防护能力有无缺失,是否能够对抗相应等级的安全威胁,为安全规划设计提供依据。
3.1.2 交付成果
信息系统等级保护差距分析报告 3.2 脆弱性检测
脆弱性(弱点)是指可能为许多目的所利用的系统某些方面,包括系统弱点、安全漏洞和实现的缺陷等。为识别和分析信息系统所存在的脆弱性,确认需要实施安全加固与调优的事项,将首先进行脆弱性检测工作,从网络层、主机层和应用层三个方面进行检测,本次脆弱性检测的主要内容是漏洞扫描和系统配置检查。
3.2.1 工作内容 系统脆弱性检测涉及三个层面工作内容,包含整体的网络架构分析,服务器、网络与安全设备的配置检查,以及漏洞扫描检测工作。具体内容如下:
1、网络架构分析:
进行网络架构分析的目的是查找需要对网络结构实施优化的事项,具体内容 如下:;(1)网络现状识别:涉及应用系统和用户分布,安全;(2)网络安全分析:从网络的整体架构进行考虑,紧;
2、设备配置检查:;检查系统相关服务器、交换机与安全设备的配置策略,;(1)服务器手工检查:检查服务器操作系统、数据库;(2)网络设备手工检查:检测交换机或路由器的Vl;(3)安全设备手工检查:获取防火墙的访问控制策略;
3、漏洞扫描检测:;借助专业化漏
如下:
(1)网络现状识别:涉及应用系统和用户分布,安全域划分,区域边界之间所采取的访问控制措施,网络带宽需求及现状,对数据流向的安全控制,设备链路冗余设计,对网络带宽的管控措施,远程访问通信链路的加密,各区域内所采取的入侵检测,安全审计措施,网络出口所采取的入侵防范、病毒过滤、垃圾邮件过滤措施、终端用户接入认证等内容。
(2)网络安全分析:从网络的整体架构进行考虑,紧密结合业务应用现状,识别重要信息系统部署和用户所在网络区域的分布情况,分析网络设计布局的合理性,是否存在单点隐患,确认链路带宽是否满足业务要求,检查产品设备老化问题,确认设备性能是否满足要求,分析网络区域边界是否定义清晰,安全域划分是否合理,服务器、终端接入是否安全,各类安全设备的部署是否到位等。
2、设备配置检查:
检查系统相关服务器、交换机与安全设备的配置策略,具体内容如下: (1)服务器手工检查:检查服务器操作系统、数据库和中间件的开放服务及端口、账户设置、文件权限设置、审计、共享资源、补丁更新和病毒防护等情况;
(2)网络设备手工检查:检测交换机或路由器的Vlan划分、路由表配置、访问控制列表ACL、IP和MAC地址绑定情况、设备登录认证方式、口令设置等配置项;
(3)安全设备手工检查:获取防火墙的访问控制策略、以透明还是路由方式部署、NAT地址转换、网络连接数限制等信息,检查入侵检测、安全审计设备的审计策略配置、特征库版本情况等。
3、漏洞扫描检测:
借助专业化漏洞检测工具,对检测范围内的交换机、路由器和服务器实施扫描,发现配置上存在的弱点,作为对手工检查工作所获取数据的补充,同时也是制定安全加固方案的重要依据。
3.2.2 交付成果
信息系统脆弱性评估报告 3.3 渗透测试
通过模拟黑客对信息系统进行渗透测试,发现分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、XSS跨站脚本漏洞及弱口令等安全隐患,评估系统抗攻击能力,提出安全加固建议。 3.3.1 工作内容
针对信息系统的渗透测试将采取两种类型:
第一类型:互联网渗透测试,是通过互联网发起远程攻击,比其他类型的渗透测试更能说明漏洞的严重性;
第二类型:内网渗透测试,通过接入内部网络发起内部攻击,主要针对信息系统的后台管理系统进行测试。
3.3.2 交付成果 信息系统渗透测试报告 3.4 源代码测评
源代码安全测试对所提供的源代码采用工具进行安全扫描,分析和软件安全风险管理,并给出安全问题审计结果,安全问题描述和推荐修复建议。
3.4.1 工作内容
依据CVE(Common Vulnerabilities & Exposures)安全漏洞库、设备及软件厂商公布的漏洞,根据测试用例对信息系统的源代码进行安全扫描,对安全漏洞进行识别,给出整改建议
3.4.2 交付成果
信息系统源代码测试报告 4 信息系统安全整改咨询 信息系统安全整改包含3方面工作内容:首先测评机构将指导系统运维方针对脆弱性检测和渗透测试所发现的技术层面的安全隐患进行整改,其次以等级保护对应等级的管理要求为依据建立健全信息安全管理制度,最后依照信息系统安
全规划方案指导信息系统优化和完善信息系统安全防护措施,并对系统安全整改情况进行跟踪和效果评价,为后续开展的等级测评工作奠定良好基础。
4.1 安全加固与优化
根据前期脆弱性评估、渗透测试结果,结合信息系统的业务需求,对信息系统相关设备进行安全策略加强、调优等,加强网络、系统和设备抵御攻击和威胁的能力,整体提高网络安全防护水平。
4.1.1 工作内容
根据前期对信息系统进行的调研、评估与测评结果,以脆弱性评估报告和渗透测试报告为依据,根据网络安全特殊需求和业务流程制定安全加固方案,在不影响当前业务开展的前提下,对信息系统内的操作系统、数据库、安全设备以及中间件的安全配置策略进行加强,及时消除因安全漏洞被恶意攻击者利用从而引发的风险。
根据信息系统网络现状,本次项目安全加固对象分为四类,即信息系统内的操作系统、数据库、中间件以及网络与安全设备。
4.1.2 交付成果
信息系统安全加固与优化方案 4.2 等级保护制度建设 以等级保护差距分析结果为依据,依照安全保障体系设计所提及的建设内容,按照等级保护标准要求,制定等级保护管理体系框架,明确管理方针、策略,以及相应的规定、操作规程、业务流程和记录表单;测评机构从结合信息系统实际业务流程的原则出发,指导系统运维方按照等级保护对应等级的管理标准,编写管理制度文件,并进行反复沟通和修订,确保所制定的文件的适用性,且满足各系统相应保护等级的安全管理要求。
4.2.1 工作内容
制定和完善与信息系统的安全保护等级相适应的配套管理制度,制度相关内容如下:
(1)安全管理机构:加强和完善安全机构的建设,设立指导和管理信息安全工作的信息安全领导小组,设立安全主管、安全管理各个方面的负责人,明确定义各个工作岗位的职责。建立各种安全管理活动的审批程序,明确对内对外的沟通协作方式,建立对各项安全管理活动的监督审核机制。
(2)安全管理制度:在差距分析的基础上,建立信息安全工作总体方针、安全策略,以方针策略为依据建立配套的安全管理制度及流程规范,由专门的组织机构负责管理制度的制订、发布和贯彻落实。定期对制度进行评审和修订,确保管理制度的适用性。
(3)人员安全管理:主要涉及两方面,对内部人员的安全管理和对外部人员的安全管理。具体包括人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等方面。
(4)系统建设管理:为了建设符合安全等级保护要求的信息系统、系统建设管理主要关注的是信息系统生命周期中的前三个阶段(即设计、采购、实施)中各项安全管理活动,实现信息系统的安全管理贯穿系统的整个生命周期。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等方面。
(5)系统运维管理:系统运行涉及到很多管理方面,要保证系统始终处于相应安全保护等级的安全状态中。要监控系统发生的重大变化,以便修改对应的安全措施。系统运维管理主要包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。
4.2.2 交付成果 信息系统安全管理制度 5 信息安全等级测评
信息系统安全等级测评是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。信息系统安全等级测评主要检测和评估信息系统在安全技术、
安全管理等方面是否符合已确定的安全等级的要求;对于尚未符合要求的信息系统,分析和评估其潜在威胁、薄弱环节以及现有安全防护措施,综合考虑信息系统的重要性和面临的安全威胁等因素,提出相应的整改建议,并在系统整改后进行复测确认,以确保整改措施符合相应安全等级的基本要求。
5.1 测评内容
针对信息系统的安全等级测评的内容如下: (1)按照《信息系统安全等级保护测评要求》,从以下方面进行等级测评: 技术安全测评:包括物理安全、网络安全、主机安全、数据安全、应用安全;
管理安全测评:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理;
综合测评:包括安全控制间安全测评、层面间安全测评、区域间安全测评、系统结构安全测评。
(2)对每个保护类的子项给出测评结果并分别提出改进建议; (3)按照整改结果进行复测,出具等级测评报告。 5.2 交付成果
信息系统等级测评报告
二、信息安全等级保护服务报价;等级保护按照运行的业务进行定级,不同业务可以定不;按照10个业务系统计算,进行定级备案、建设规划、;10个三级系统:;预估总价=34.78+9×3.55=66.73万;预估总价=20.77+9×2.1=39.67万元;预估总价=34.78+4×3.55+5×2.1=;附件:;三级系统报价;二级系统报价;
二、信息安全等级保护服务报价
等级保护按照运行的业务进行定级,不同业务可以定不同保护等级,根据基础网络、管理制度复用原则进行多个业务系统报价(三级、二级系统报价明细见附件)。 按照10个业务系统计算,进行定级备案、建设规划、安全测评、整改咨询、等级测评报告等5项服务,预估报价如下:
10个三级系统:
预估总价=34.78+9×3.55=66.73万元 10个二级系统:
预估总价=20.77+9×2.1=39.67万元 5个三级系统5个二级系统: 预估总价=34.78+4×3.55+5×2.1=59.48万元