信息安全管理体系习题(精选7篇)
1.信息安全管理体系习题 篇一
一、填空题
1、信息安全实现技术包括:
23、防火墙应该安装在内网与外网之间。
4、信息安全的基础是
56密码分析学
8、密码理论研究的重点是算法,包括:
9、AES的密钥长度可分别指定成: 128、位。
10、AAA
二、选择题
1、是典型的公钥密码算法。
A.DESB.IDEAC.MD5D.RSA2、对网络系统中的信息进行更改、插入、删除属于A.系统缺陷B.主动攻击C.漏洞威胁D.被动攻击
3、是指在保证数据完整性的同时,还要使其能被正常利用和操作。
A.可靠性B.可用性C.完整性D.保密性
4、是指保证系统中的数据不被无关人员识别。
A.可靠性B.可用性C.完整性D.保密性
5、MD5的分组长度是
A.64B.128C.256D.5126、下面哪一种攻击是被动攻击?A.假冒B.搭线窃听C.篡改信息D.重放信息
7、AES是。
A.不对称加密算法B.消息摘要算法
C.对称加密算法D.流密码算法
8、在加密时将明文的每个或每组字符由另一个或另一组字符所代替,这种密码叫
A.移位密码B.替代密码C.分组密码D.序列密码
9、DES算法一次可用56位密钥把位明文加密。
A.32B.48C.64D.12810、是消息摘要算法。
A.DESB.IDEAC.MD5D.RSA
三、名词解释
1、数据的真实性---
又称不可抵赖性或不可否认性,指在信息交互过程中参与者的真实性,即所有的参与者都不可能否认或抵赖曾经完成的操作和承诺。
2、主动攻击---
指对数据的篡改或虚假数据流的产生。这些攻击可分为假冒、重放、篡改消息和拒绝服务4类。
3、入侵检测----
就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
4、假冒---
指某一个实体假扮成另外一个实体,以获取合法用户的权利和特权。
5、身份认证---
是系统审查用户身份的过程,查明用户是否具有他所出示的对某种资源的使用和访问权力。
2、什么是信息安全?
通过各种计算机、网络、密码技术、信息安全技术,保护在公用网络中传输、交换和存储信息的机密性、完整性和真实性,并对信息的传播及内容具有控制能力。
3、什么是被动攻击?有哪些手段?
被动攻击---指未经用户同意或认可的情况下得到信息或使用信息,但不对数据信息做任何修改。通常包括监听、流量分析、解密弱加密信息、获得认证信息等。
4、画出DES的一轮计算框图,并写出逻辑表达式。
逻辑函数:Li=Ri-1, Ri=Li-1⊕f(Ri-1,Ki)
五、问答与计算题。
Li Ri
解:补充S盒: 计算001011的输出:行号:(11)23列号:(0010)22对应的数:14二进制表示:1110
A1
82
2、在AES加密算法中,对进行列混淆变换。
E171
3、在维吉尼亚多表加密算法中密钥为SIX,试加密明文WINDOWS。解:维吉尼亚表的前4行:
ABCDEFGHIJKLMNOPQRSTUVWXYZ BCDEFGHIJKLMNOPQRSTUVWXYZA CDEFGHIJKLMNOPQRSTUVWXYZAB DEFGHIJKLMNOPQRSTUVWXYZABC
表中明文字母对应列,密钥字母对应行;于是有如下结果: P=WINDOWS K=SIX
C=OPKVWTP4、已知RSA密码体制的公开密码为n=55,e=7,试加密明文m=6,通过求解p,q和d破译该密码体制。设截获到密文C=17,求出对应的明文。解:1)
Cmmodn6mod5541
k(n)140k13k1
6k e77
e7
2)分解n=55得,p=11,q=5,φ(n)=(p-1)(q-1)=40 由edmodφ(n)=1,得d取k=2得d=13
3)C=17时mCmodn17mod5517 d
2.信息安全管理体系习题 篇二
1信息安全管理中宏观态势分析的应用
在信息安全管理中, 宏观态势分析主要在于微观技术领域。基于有效的评估、预测, 对信息安全的情况进行分析。 一般情况下, 宏观动态分析主要从稳定性、脆弱性及威胁性等几个方面对信息安全进行描述, 从而为信息安全管理构建多元化的发展基础。宏观动态分析在企业信息安全管理中的应用主要包括以下几个方面。
1.1企业战略发展的构建及核心业务、资产
在多元化的市场环境下, 企业战略性发展的构建很大程度上依托于企业信息安全管理的推进, 以更好地实现企业的战略性发展目标。为此, 在宏观动态分析中, 需要对企业未来一段时间 (一般为3-5年) 的战略发展变迁及核心业务、 资产等情况进行考虑分析, 这是动态分析助力企业战略发展的内在要求。例如, 在宏观动态分析中, 应针对企业的生产经营情况, 确认核心业务、资产是否出现转移;核心资产是否出现折旧等。这对于企业战略性发展的构建以及战略性发展目标的达成, 都具有十分重要的现实意义。
1.2信息安全环境的发展趋势
网络信息时代的快速发展, 强调宏观动态分析应对信息安全环境的发展趋势进行分析, 这对于提高企业信息安全管理能力至关重要。对于现代企业而言, 信息安全管理的开展一方面要基于自身实际情况, 如业务、系统等, 考虑自身内在信息安全的影响因素;另一方面, 也要对信息技术的发展趋势、信息安全环境等进行重点考虑, 针对可能引发额外风险的重点因素, 重点考虑, 重点防范, 实现更有价值的信息安全管理。
1.3社会环境及法律法规的影响要求
在企业生产经营发展的过程中, 政治经济事件对信息安全的影响, 相关法律法规对企业经营的要求, 都是动态分析中需要着重考虑和分析的要素。
在宏观动态分析中, 以上三点要素在风险定量评估中能够起到重要的指导作用。对实际操作情况而言, 可以利用 “Threat (威胁) =impact×likelihood (影响 × 可能性) ”
对风险影响进行表示。基于动态分析对风险实现定量评估, 这对于信息风险管理而言, 无疑具有重要的意义, 可提高信息安全管理的针对性、有效性。
当然, 对于该公式, 可以进行适当拓展, 进而将风险的表达更加全面。即有“Risk (威胁) =asset×vulnerability×threat (资产 × 脆弱性 × 威胁) ”
由此可以知道, 宏观层面的因素对“威胁”值起到了至关重要的影响。无论是社会环境, 还是安全环境趋势, 其值的增加都是构成威胁的重要来源。与此同时, 基于宏观动态分析, 为企业战略性的安全管理提供了一定的参考依据, 且对微观动态分析提供了量化的重要依据。这进一步强化了动态分析的针对性, 并对企业信息安全建设提供指导。
2信息安全管理中微观态势分析的应用
在微观动态分析领域, 无论是理论研究还是实践操作, 都已发展到一定程度。理论与实践并重的应用及发展情形, 强化其在企业信息安全管理中的重要作用。在对微观动态分析中, 需要提及“Endsley模型”。该模型最大的亮点在于将感知进行划分, 分为“感知”“理解”“预测”三个层次, 进而强化信息处理能力。“Endsley模型”的成功构建, 推动了动态分析在信息安全管理中的应用和推广。在“Endsley模型”基础上, 美国提出了“JDL模型”。该模型在优化控制与管理功能等方面进行有效优化与调整, 进而提高了模型的应用性及实用价值。如图1所示, 是“JDL模型”的应用图。
从图1可以知道, 基于数据采集、预处理及事件关联性识别等功能模块的实现, 进一步提高了动态分析的实效性。 通过模型的不断优化与调整, 强调模型在功能构建上更好地满足于信息安全管理的现实需求。与此同时, 在模型不断优化、技术不断发展的大环境下, 微观动态分析技术已逐步成熟, 并在信息安全管理平台中得到有效应用。无论是在应用效果还是应用价值上, 都表现出微观动态分析在信息安全管理中应用的重要性, 对推进信息安全管理现代化发展起到重要的推动作用。因此, 这也是大力发展动态分析技术, 拓展其在信息安全管理领域应用发展的重要基础。
微观动态分析的应用在很大程度上推动了动态分析技术的发展, 也深化其在信息安全管理领域中的应用价值。当前, 随着信息技术的不断发展、模型的不断优化, 其在应用中的性能也在逐步提升, 尤其是在风险分析、应急响应处理等方面。这些功能的优化与完善, 有助于信息安全管理系统的构建, 满足现代信息安全管理的现实需求。
3结语
综上所述, 信息安全管理是一项技术性强、系统性复杂的工作, 强调技术性发展的完备性, 更强调动态分析在其中的有效应用。当前, 随着动态分析技术的不断发展, 它在信息安全管理中的应用日益广泛。尤其是微观动态分析在信息安全管理平台的应用, 进一步提高了动态分析的实际应用价值。本文阐述的立足面在于两点:一是基于宏观层面的动态分析, 为企业战略性构建及发展环境的分析起到重要的指导性意义;二是基于微观层面的动态分析, 依托各种模型的建立与优化 (如“Endsley模型”“JDL模型”) , 强化动态分析的实际应用价值。此外, 随着微观分析技术的不断发展, 它在信息安全管理平台中的应用对推动微观动态分析技术应用及发展, 具有十分重要的意义。
参考文献
[1]李汉巨, 梁万龙, 刘俊华.信息安全管理现状分析[J].信息与电脑, 2013 (11) .
[2]高鹏.电力企业信息安全问题探讨[J].行政事业资产与财务, 2013 (8) :131.
[3]王伟.资源视角的电力企业信息系统运维风险分析[J].西安邮电大学学报, 2013 (1) :121-124.
[4]毕海英.信息安全产品的现状及态势分析[J].现代信息技术, 2013 (7) .
[5]梁晶晶, 黄河涛.局域网安全问题的现状及技术分析[J].科技信息, 2010 (26) .
3.关于信息安全管理体系的研究 篇三
关键词:信息安全管理;风险评估;监控
中图分类号:TP393.08
信息是现代社会中不可缺少的一项重要元素,尤其是在商业活动中,信息已经成为市场竞争的重要手段,因此对信息安全的管理在商业活动中显得尤为重要。信息安全管理体系(Information Security Management System,简称为ISMS),是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
1 信息安全的风险评估与策略
1.1 信息安全的风险评估
信息安全管理属于风险管理,即如何在一个确定有风险的环境里把风险减至最低的管理过程。因此,管理的核心要素就是对风险进行准确识别和有效的评估,通过对信息安全进行风险评估可以获得安全管理的需求,帮助组织制定出最佳的信息安全管理策略,并且将风险控制在可承受的范围之内。一个科学、合理的信息安全风险评估策略应该具有形影的标准体系、技术措施、组织框架以及法律法规。
1.2 信息安全策略
信息安全策略(Information Security Policy)是一个组织机构中解决信息安全问题的重要组成部分。在一个组织内部,通常是由技术管理者指定信息安全策略,如果是一个较为庞大的组织,制定信息安全策略的则可能是一个技术团队。信息安全策略是基于风险评估结果以保护组织的信息资产。信息安全策略对访问组织的不同资产进行权限设定,它是组织管理人员在建立、使用和审计信息系统时的信息来源。
信息安全策略具有非常广泛的应用范围,在其基础上做出的安全决定需要提供一个较高层次的原则性观点。一个组织的信息安全策略能够反映出一个组织对现实和未来安全风险的认识水平,对于组织内部业务人员和技术人员安全风险的处理。信息俺去那策略的制定同时还需要参考相关标准文本和安全管理的经验。
1.3 信息安全管理措施
信息加密技术是网络安全管理的核心问题,通过对网络传输的信息资源进行加密,以确保传递过程中的安全性和可靠性。用户通过互联网进行网络访问时,应该能够控制访问属于自己的数据的访问者身份,并且可以对访问者的访问情况进行审核。这种访问权限的控制,需要开发相应的权限控制程度,以作为安全防范措施使用。
用户在对云计算网络的数据进行存储时,其他用户及云服务提供商在未被所有者允许的情况下不得对数据进行查看及更改。这需要将数据在网络存储时,对其他用户实行存储隔离措施,同时对服务提供商实行存储加密和文件系统的加密措施。鉴于云平台的搭建多数基于商业方面,因此用户的数据在基于云计算的网络上进行传输时要具有极高的保密性,包括在计算中心的内部网络和开放互联网络上。所以,应该对所传输的数据信息在传输层进行加密(HTTPS、VPN和SSL等),对服务提供商进行网络加密。由于基于云计算的网络的数据重要性,为了防止各种数据毁灭性灾难和突发性事件,进行按期定时的数据备份,使用数据库镜像策略和分布式存储策略等,是确保网络信息安全的一系列防范措施。
病毒对互联网的安全威胁最为严重,主要可以通过病毒防御技术提升信息管理安全性。病毒是利用计算机软硬件系统的缺陷,在原本正常运行的程序中插入的一段能够破坏计算机或数据的指令或代码段,从而在执行时影响计算机系统的正常运作而不易被人察觉,对计算机及信息安全的威胁最大。针对日益猖獗的计算机病毒,选择一款适合系统使用环境的反病毒软件显得尤为重要,发现病毒侵入应该及时查杀,同时要注意按时地更新病毒库,并升级反病毒软件版本。在杀毒的同时做好预防工作是最为行之有效的措施。防火墙是设置在不同类型网络间的一系列硬件和软件的集合,旨在控制不同网络间的访问、拒绝外部网络对内部网络或网络资源的非法访问,保证通过防火墙的数据包符合预设的安全策略,从而确保了网络信息的服务安全。
入侵检测作为防火墙技术的补充手段,是对成功绕过防火墙限制而入侵内部网络系统的行为进行技术攻防的策略。其实质是在不损耗网络性能的前提下进行监听分析用户系统活动和违反安全策略的行为,对已威胁网络安全的入侵行为识别并发出警报,同时生成异常行为分析,评估入侵行为带来的损害程度。
目前,利用防火墙和入侵检测相结合的方式,是防护网络、拒绝外部网络攻击的最有效手段之一。任何一个系统都会存在安全漏洞,这包含已知的和未知的在应用软件和操作系统两方面上的安全漏洞。在进行漏洞扫描时,可以及时系统和网络存在的安全漏洞,并打上漏洞补丁,进行主动防御。在使用时可以将漏洞扫描与防火墙技术、入侵检测技术三者相结合,形成网络安全防范和防御的“黄金三角”。数据加密分为对称性和非对称性加密两种,是在发送端以某种算法将数据明文转换成密文,在接收端以密钥进行解密,从而保证信息在网络存储和传输的过程中都是保密的,并且对网络环境没有任何特别的要求和限制。数据加密技术与防火墙技术相比较,对于信息安全的防护作用是全局性的,也是最后一道防线。
系统备份和数据恢复,是指对系统的重要核心数据和资料进行备份,当切防范和防御技术都失效并且计算机网络遭到黑客攻击时,能够对系统实施立即恢复的手段,这也是保证信息安全的挽救措施。除了以上所提及的技术性手段之外,大力开展信息安全教育和完善相关法律法规作为人为防范措施也不容被忽视。近年来,信息安全威胁之一的网络欺骗就是因为当事人的信息安全意识淡薄和相关的调查取证困难造成的。因此,有必要做出改善措施,与技术手段相结合对信息安全发挥行之有效的影响。
2 结束语
综上所述,随着计算机技术、网络通信技术和高密度存储技术的发展,电子信息化进程在各个领域中得到了广泛推广和不断深入研究。结合当今社会的信息量爆炸式的增长情况,以及现阶段的研究成果得出结论,当今电子信息工程的安全问题和信息的有效利用问题仍将为研究的重点。本文重点研究了信息安全管理体系,根据信息安全管理的标准以及信息安全风险的特征,提出了一些具有针对性的信息安全管理措施,以实现对信息安全风险的有效评估和准确预测,危险性安全管理体系的实施提供重要保证。
参考文献:
[1]张健.电子文件信息安全管理评估体系研究[J].档案学通讯,2011,4.
[2]马晓珺,赵哲.电子商务信息安全管理体系研究[J].安阳市师范学院学报,2008,2.
[3]刘晓红.信息安全管理体系认证及认可[J].认证技术,2011,5.
[4]乔甜.基于全员参与的信息安全管理体系研究[J].科技致富向导,2013,6.
[5]王新辉,张建,李伟涛.基于生命周期分析信息安全管理体系[J].计算机技术与发展,2012,3.
作者简介:刘斌(1981-),男,本科,助教,从事计算机科学与技术研究。
4.本科管理信息系统复习题 篇四
选择题40题40分,简答题6题30分,综合题2题30分
第八、九章 医学信息系统概论及医院信息系统 1.医学信息系统的概念
医学信息系统是涵盖整个与医疗、卫生有关的信息加工、传递、存贮以及利用等相关的信息系统,包括公共卫生信息系统、医疗服务信息系统和卫生行政管理信息系统。2.住院信息系统的组成
住院信息系统包括住院医生工作站、护士工作站、入院工作站、病房药房、手术室信息系统、院内感染申报子系统、电子病历、临床路径、检验科信息系统(LIS)、医学图像存储与传输系统(PACS)、电生理信息系统、病理信息系统、合理用药咨询系统、出院工作站等组成。3.临床路径
4.医院信息系统的体系结构
5.医院信息系统的组成
医院信息系统由门诊信息系统、住院信息系统、药品管理信息系统、实验室信息系统、医学影像系统、电子病历 等组成。
6.医学影像系统的概念
7.我国“十二五”卫生信息化规划。
卫生部已完成了“十二五”卫生信息化建设工程规划编制工作,初步确定了我国卫生信息化建设路线图,简称“3521工程”,即建设国家级、省级和地市级三级卫生信息平台,加强公共卫生、医疗服务、新农合、基本药物制度、综合管理5项业务应用,建设健康档案和电子病历2个基础数据库和1个专用网络建设。
第十章 公共卫生信息系统 1.公共卫生信息系统的组成
SARS疫情专报和分析预警系统.疫情和突发公共卫生事件监测系统.医疗救治与卫生监督执法系统.突发公共卫生事件指挥决策系统
2.我国医疗救治活动根据救治规模和灾害影响程度划分的三个级别
3.国家PHIS建设的原则
统一规划、分步实施.突出重点、纵横联网.规范标准、资源共享.平战结合、预警预报.多方投资、分级负责.明确职能、分层装备.4.公共卫生信息内容
5.疾病监测系统的内容
传染病性疾病监测:
法定传染病监测、疾病监测点、专病报告系统
非传染病性疾病监测:
职业病、恶性肿瘤、心血管病、围生期、流产、出生缺陷、药物不良反应、吸烟与健康、食品卫生、环境因素、水质、健康教育情况等。6.国家PHIS基本网络构架 纵向到底—五级网络、三级平台 横向到边—区域公共卫生信息网 7.我国公共卫生信息系统建设的指导思想
依托国家公用数据网,建立覆盖各级卫生行政部门、疾病预防控制中心、卫生监督中心、各级各类医疗机构的高效、快速、通畅的信息网络系统,触角延伸到城乡社区和农村卫生室; 加强法制和标准化建设,规范和完善公共卫生信息的收集、整理、分析,提高信息质量; 建立中央、省、市三级疫情和突发公共卫生事件预警和应急指挥系统平台,提高公共卫生管理、医疗救治、科学决策、以及应急指挥能力。
第十一章 社区卫生信息系统
1.以六位一体为主线的社区卫生信息系统的组成。
一、预防保健子系统
二、全科诊疗子系统
三、计划免疫子系统
四、健康教育子系统
五、康复子系统
六、计划生育技术服务子系统 2.社区卫生服务信息化的三维数据管理。
卫生行政数据(管理功能)健康数据(健康功能)医生工作数据(医疗功能)3.我国医药卫生体制改革中提出的“实现人人享有基本医疗卫生服务”中的医疗服务包括哪些?
采用基本药物,使用适宜技 术,按照规范诊疗程序提供的急慢性疾病的诊断、治疗和康复等。
4.我国医药卫生体制改革中提出的“实现人人享有基本医疗卫生服务”中的公共卫生服务包括哪些?
疾病预防控制、计划免疫、健康教育、卫生监督、妇幼保健、精神卫生、卫生应急、急救、采供血服务以及食品安全、职业病防治和安全饮用水等; 5.社区卫生信息系统的构成。
6.社区卫生信息。
社区卫生信息是指国家为了保护和促进社区居民身心健康,有效地提高居民素质,而收集、传输、处理、存贮、分配和利用开发的各种信息,主要包括卫生服务活动信息、卫生资源的配置和利用信息、健康教育与预防疾病信息、影响健康的各种因素、疾病诊断、治疗和处置信息等。
社区卫生信息主要包括居民个人健康档案、家庭健康档案、社区健康档案、情报资料管理、药品管理、收费划价管理、基本医疗管理、社区卫生服务统计等。7.CHIS与HIS的关系。
HIS以事务管理为主要内容,它的功能明确,数据易于结构化。CHIS以终生服务过程为丰富内容,健康管理过程是一个基于卫生保健和医疗经验的推理、决策的智能化过程,面对的患者个体性强而重复性差,数据不易结构化。
CHIS与HIS既有区别,又相互依存、相互关联,CHIS为HIS提供基础数据,CHIS包含HIS基本内容,外延却更加广泛。
第十二章 新型农村合作医疗信息系统
1.一个完整的新农合县级平台业务管理系统的组成。
一)中心管理(二)定点医疗机构接口(三)财务管理(四)各种辅助平台 2.新农合信息系统中的决策辅助系统。
决策辅助系统一般设立在省级。决策辅助系统以数据仓库为基础,以联机分析处理和数据挖掘为工具,对大量原始信息进行汇总、整理、交换和分析处理,形成宏观决策数据库,建立新农合决策分析系统,对政策执行情况进行监测,为政策的制定提供支持。3.新型农村合作医疗信息系统的三级平台。
三级平台:县(市、区)级平台和省级平台是实物平台,市(州)级平台是虚拟平台 4.新型农村合作医疗信息系统的组成。
(1).业务系统:由县(市、区)级业务管理、市(州)级管理、省级管理(含辅助决策)、医院信息系统(HIS)接口四个部分组成;
(2).服务系统:即“四川省新型农村合作医疗信息网”(门户网站),统一发布信息,集中提供数据查询服务;
(3).两级中心:县(市、区)级建立业务处理和数据中心,省级建立数据备份和技术支持中心;
(4).三级平台:县(市、区)级平台和省级平台是实物平台,市(州)级平台是虚拟平台 5.新型农村合作医疗信息系统的两级中心。
两级中心:县(市、区)级建立业务处理和数据中心,省级建立数据备份和技术支持中心; 6.新型农村合作医疗信息系统建设中存在的问题。
地区差异和资金投入
(二)管理人才缺乏 7.新型农村合作医疗信息系统的结构。
第十三章 妇幼保健信息系统 1.妇幼保健信息组织机构管理。
妇幼卫生信息管理是以国家、省、市、区(县)4级为组织架构建立的信息管理体系,包括各级行政辖区范围内的所有妇幼保健机构及提供妇幼保健技术服务的相关医疗保健机构。妇幼卫生信息管理遵循分级管理原则,采用逐级上报,逐级审核,逐级反馈的组织管理模式。以区(县)级妇幼保健机构为基本数据管理单位,建立和管理本辖区的各项妇幼卫生统计数据,并逐级上报。2.妇幼卫生保健工作中的“三网监测”。
3.妇幼保健信息系统的构成。
妇幼保健信息系统划分为妇女儿童基础档案管理系统、妇女保健信息系统、儿童保健信息系统、妇幼卫生统计报表系统等四个基本组成部分
4.儿童健康体检管理分系统的主要任务。
儿童健康体检管理分系统是记录和管理七岁以下儿童的健康信息,对儿童各期生长发育进行动态评价的计算机应用系统。主要任务记录儿童从零到七岁健康体检、营养指导、生长发育监测、眼保健、口腔保健、听力保健、心理保健等信息,建立完整的儿童系统管理档案,实现对七岁以下儿童健康的动态连续追踪管理。
第十四章 医疗保险信息系统 1.医疗保险信息系统的组成。
医疗保险信息系统分为医保中心端子系统和定点医疗机构端子系统。2.医疗保险信息系统医保中心端子系统的主要的功能。
主要的功能包括人员参保、待遇核定、基金征集、基金管理、医疗保险IC卡的管理(卡和医疗证的发放)、审核报销以及与定点医疗机构结算等 3.医疗保险信息系统医保中心端子系统的组成。
医保中心端子系统应包括:单位及人员管理子系统,基金管理子系统,中心报销子系统,卡管理子系统以及统计查询子系统。
4.医疗保险信息系统医院端子系统的组成。
医保中心端子系统应包括:单位及人员管理子系统,基金管理子系统,中心报销子系统,卡管理子系统以及统计查询子系统
第十五章 远程医学信息系统 1.远程医疗信息系统的定义。
广义的远程医学信息系统是与医学相关的各种远程通信技术和计算机多媒体技术的交叉应用的总和,包括远程医学信息服务、远程医学教育、军事远程医学系统、远程医疗信息系统等;狭义的远程医学信息系统就是远程医疗信息系统 2.远程医学教育的定义。
远程医学教育是医学教育和通信两大技术领域相互结合的一门交叉学科,它利用远程教育网络建立医学专业知识培训教育网站,对医务人员进行专业知识和技能培训,对大众进行医学知识普及性教育,对各类卫生技术人员进行继续医学教育。3.广西远程会诊系统的组成。
远程会诊系统包括远程会诊管理子系统、病历资料采集子系统、远程专科诊断子系统、远程监护子系统、视频会议子系统、远程教育子系统、远程数字资源共享子系统、双向转诊及远程预约子系统八个子系统。4.广西远程会诊系统建设项目中的远程会诊管理系统所包含的功能模块。会诊申请,会诊管理,专家会诊,专家管理,统计分析,系统管理 5.国家远程会诊系统建设项目的目标。
1建设以国家级综合医院和中西部省级综合医院为核心,连接基层医院的远程会诊系统2实现远程会诊、远程预约、远程监护、远程手术指导、远程教育和远程信息共享等远程医学活动3有效提高中西部省(区、市)基层医院医疗服务能力,提高疑难重症救治水平,缓解群众看病就医问题
第十六章 区域卫生信息系统 1.区域卫生信息系统的定义。
2.《卫生部办公厅关于加强卫生统计与信息化人才队伍建设的意见》中的实用型卫生信息技术人才、复合型卫生信息化人才的含义。
3.《基于健康档案的区域卫生信息平台建设指南》中居民健康档案信息架构组成。4.《基于健康档案的区域卫生信息平台建设技术解决方案》所涉及的系统。
5.卫生部、国家中医药管理局《关于加强卫生信息化建设的指导意见》中的卫生信息化建设的总体框架。
第十七章 医学知识管理
1.医学知识根据知识的表现形式划分。1.显性知识.2.隐性知识 2.医学知识管理的意义。
1.提高医疗机构的创新能力2.提高医疗机构的反应能力3.提高医疗机构的效率 4.提高医务人员的技能 5.实现医疗机构知识资产的价值 3.医学知识管理的职能
1.医学知识管理的学习职能 2.医学知识管理的中介职能 3.医学知识管理的认知职能 4.医学知识管理的创新职能 4.医学知识管理中的知识库
1.临床医学知识库 2.医疗专家知识库3.临床护理知识库 4.药学知识库 5.辅助学科知识库 6.医学文献知识库
第十八章 医学决策支持系统 1.决策支持系统的定义。
决策支持系统是指为了辅助决策人员作出最佳决策,以管理学、运筹学、控制论和行为科学为基础,以计算机技术、仿真技术和信息技术为手段,针对半结构化的决策问题,支持决策活动的具有智能作用的人机系统。2.医院信息系统中的决策支持系统。
医院信息系统中的决策支持系统包括临床决策支持和管理决策支持两个方面。临床决策支持主要讨论在临床工作中的计算机辅助决策支持的问题,指将医学知识应用到某一患者的特定问题,提出具有最佳费用与效果比的解决方案的计算机系统。管理决策支持主要讨论计算机辅助管理决策问题。在技术应用上临床决策支持侧重于人工智能技术,而管理决策侧重于统计学和数据仓库技术。
3.决策支持系统的发展过程。
1.初阶决策支持系统,2.智能决策支持系统阶段,3.新决策支持系统阶段,4.综合决策支持系统阶段,5.网络环境的决策支持系统。4.临床决策支持系统的种类。
1.被动系统:大多数的决策支持系统是被动型的,医生必须向系统明确提出问题,描述病人的情况,然后等待系统的建议。根据系统所提供的信息和用户的要求,被动系统还可以进一步分成两类:(1)咨询系统(2)评议系统
2.半自动系统 :半自动系统一般自动激活,提供信息、广泛接受的知识和操作规程。该类系统包括:(1)自动提示系统(2)报警系统
3.主动系统 :自动激活,可以对特定病人提出相应的建议,可以不通过医生干预而自动决策。
论述题:
1.试述我国社会保障信息化建设现状,并谈谈你对社会保障信息系统的认识。
2.现有论文和作者两个实体, 论文实体的属性包括题目、期刊号、期刊名称、年份; 每个论文用题目进行标示。作者实体的属性包括姓名, 单位, 地址; 一篇论文可以有多个作者, 且每一位作者写过多篇论文, 论文发表后, 每一篇论文中有作者的顺序号.请完成以下操作:(1)画出E-R图
5.信息安全管理体系习题 篇五
4.2.4.3 职业安全健康管理体系的流程和运用
一、单项选择题来源:
1.在职业健康安全管理体系的建立流程中,内审及管理评审工作应在( )阶段完成。
a.策划与准备阶段 b.体系文件编写阶段
c.体系文件试运行阶段 d.第三方审核认证阶段
2.大模板不按规范正确存放易导致( )事故。
a.高处坠落 b.起重伤害
c.坍塌 d.物体打击
二、多项选择题
1.下列要素中,( )属于职业健康安全管理体系的核心要素。 来源:考试大
a.文件 b.目标
c.运行控制 d.沟通和协调
e.结构和职责
三、案例题 来源:
[案例1]
某建筑公司承接了旧城区市政排水管网的更新改造工程。9月19,在给管沟进行人工清槽时,由于未执行安全技术规范,造成长约lom的沟壁坍塌,5名在沟底作业的民工被埋压,经抢救4人脱险,1人死亡。经事故调查,在该项目工程施工中,严重违反《施工现场安全防护基本标准》的有关规定,对开挖的沟槽没有严格执行安全技术规范,进行放坡或支护;制定的安全技术措施没有实用性,导致施工人员在具体施工中无章可循,冒险蛮干;在监督检查工作中失察,未能及时发现和制止施工人员的违章行为,造成事故发生。
问题:
(1)试分析这起事故发生的原因。
(2)请说明职业健康安全管理体系的建立流程。
(3)职业健康安全事故分为哪几类?
(4)何谓职业伤害事故?按事故后果严重程度可分为哪几类?
[案例2]
某大厦建筑面积约26700m2,框架—剪力墙结构箱形基础,地上12层,地下2层。民工甲和两名电焊工在10层进行钢筋对焊埋弧焊作业时,甲右手拿起焊把钳正要往钢筋对接处连接电焊机的二次电源时,不慎触及到焊钳的裸露部分致使触电倒地。焊工乙见此情景,立即拉开了民工甲手中握着的焊把钳,使甲脱离带电体,但由于甲中午喝过酒,加剧了心脏承受力,送医院后经抢救无效死亡。
问题:
(1)请简要分析这起事故发生的原因。
(2)职业健康安全管理体系的核心要素和辅助性要素分别包括哪些内容?
(3)职业健康安全管理体系的策划内容包括哪些?
[案例3]
某建筑公司承建某住宅工程。砌筑a组在东北墙角10m高处砌外墙,砌筑b组在东墙南侧砌自行车存放棚。上料井架设在楼南墙侧。a组工人张某运砖时,将高出车帮的一车砖推到砌筑b组上空拐弯处,车轮被脚手板缝隙卡住,手推车前倾,几块砖连续坠落下来,击中下面工作的砌筑工王某头部,将安全帽打掉后,又击伤左前额,人院抢救无效死亡。
问题:
(1)试简要分析这起事故发生的原因。
(2)企业职业健康安全方针的内容要满足一个框架和三个承诺的要求,分别指什么?
(3)建筑企业常见的主要危险因素有哪些?可导致何种事故?
(4)企业职业健康安全初始状态评审报告的内容有哪些?
[案例4]
某建筑物为5a智能型写字楼,总建筑面积86520.6m2,框筒结构桩箱复合基础,基坑深约12m。5名建筑工人在做地下防水时,由于通风不良,导致作业面苯和汽油浓度急剧增高而发生中毒。较重的出现意识模糊、呼吸困难,呈现出明显的躁动不安,经紧急抢救后,逐渐恢复健康。
问题:
(1)本次事故是由于中毒引起的安全事故,那么《企业职工伤亡事故分类》中所划分的16类事故是哪些?
(2)职工发生职业健康安全事故后,哪些情况可以认定为工伤?哪些情况可以视同工伤?
6.信息安全管理体系习题 篇六
信息安全保障本质上是风险管理的工作,信息安全风险和事件不可能完全避免,关键在于如何控制、化解和规避风险。信息安全保障是高技术的对抗,有别于传统安全,呈现扩散速度快、难控制等特点,必须采取符合信息安全规律的科学方法和手段来保障信息安全。信息安全风险评估,是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。防范和化解信息安全风险,或者将风险控制在可接受的水平,从而为最大限度地保障网络和信息安全提供科学依据。
因此,我们必须重视信息安全风险评估工作。对于信息安全风险评估工作,可以从以下几个方面加以认识和理解。
2. 开展信息安全风险评估的必要性
2.1 信息安全风险评估工作已成为我国推进信息安全保障体系建设的一项重要基础性工作
中办发[2003]27号文件明确提出“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估”。国家信息化领导小组关于印发《国家电子政务总体框架》(国信[2006]2号)提出了要求统筹建设信息安全基础设施,并明确提出要把信息安全基础设施建设与完善信息安全保障体系结合起来,搞好风险评估,推动不同信息安全域的安全互联。《关于开展信息安全风险评估工作的意见》(国信办[2006]5号)对此提出了的具体实施要求,明确了应当其贯穿信息系统全生命周期。在信息系统规划设计阶段,通过信息安全风险评估工作,可以明确信息系统的安全需求及其安全目标,有针对性地制定和部署安全措施,从而避免产生欠保护或过保护的情况。在信息系统建设完成验收时,通过风险评估工作可以检验信息系统是否实现了所设计的安全功能,是否满足了信息系统的安全需求并达到预期的安全目标。在信息系统的运行阶段,应当定期进行信息安全风险评估,以检验安全措施的有效性以及对安全环境的适应性。当安全形势发生重大变化或信息系统使命有重大变更时,应及时进行信息安全风险评估。
2.2 信息安全风险大量存在
各类计算机犯罪及“黑客”攻击网络事件屡有发生,手段也越来越高技术化,各单位被黑客攻击的现象时有发生;病毒、木马肆虐,大量的网络和信息系统中存在一定的木马、病毒;通讯与信息网络上失密、泄密及窃密事件时有发生。网络和信息系统存在的风险漏洞,给一些黑客和不法分子以可乘之机。这些威胁如果不加以消除,将会继续严重影响系统的正常运行。
在信息化建设中,建设与运营的网络与信息系统可能存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成时带来的缺陷,以及可能存在的某些管理薄弱环节,尤其当网络与信息系统中拥有极为重要的信息资产时,都将使得面临复杂环境的网络与信息系统潜在着若干不同程度的安全风险。这些风险系统的安全运行带来安全隐患。对正在运行的网络和信息系统,由于缺少对已有信息系统定期进行风险评估,不清楚系统存在那些风险隐患,同样存在大量安全威胁。
2.3 普遍对信息安全的重要性认识不足
信息安全由于其专业性,目前信息安全管理人员在数量和技能的缺乏等给全网的安全管理带来了很大的难度。企业、政府机关等组织的信息安全工作基本由其网络运维管理人员兼顾,信息安全专业技术人员和管理人员严重不足,一些员工自身对信息安全工作的重要性认识不足,认为计算机信息安全是安全管理员的工作,与己无关,各单位的各项安全防范措施基本集中在中心服务器端,个人桌面电脑则因数量多、范围广等原因,系统管理员难以全面管理,且由于使用者大多不是专业人员,存在许多安全隐患和漏洞,信息安全防范水平亟待加强。
3. 风险评估时机选择
在信息系统的生存周期里,有许多种情况必须对信息系统所涉及的人员、技术环境、物理环境进行风险评估:
(1)在设计规划或升级至新的信息系统时;
(2)给目前的信息系统增加新应用时;
(3)在与其它组织(部门)进行网络互联时;
(4)在技术平台进行大规模更新(例如,从Linux系统移植到Solaris系统)时;
(5)在发生计算机安全事件之后,或怀疑可能会发生安全事件时;
(6)关心组织现有的信息安全措施是否充分或是否具有相应的安全效力时;
(7)在组织具有结构变动(例如,组织合并)时;
(8)在需要对信息系统的安全状况进行定期或不定期的评估、以查看是否满足组织持续运营需要时等。
4. 风险评估内容和过程
4.1 风险评估内容
从评估对象这个角度,评估内容要覆盖组织所有节点中的重要信息资产。它包括两个层面的内容:
技术层面:评估和分析在网络和主机上存在的安全技术风险,包括网络设备、主机系统、操作系统、数据库、应用系统等软硬件设备。
管理层面:从组织的人员、组织结构、管理制度、系统运行保障措施,以及其它运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。
评估内容具体又可分为如下几个方面:
(1)通过网络弱点检测,识别信息系统在技术层面存在的安全弱点。
(2)通过采集本地安全信息,获得目前操作系统安全、网络设备、各种安全管理、安全控制、人员、安全策略、应用系统、业务系统等方面的信息,并进行相应的分析。
(3)通过对组织的人员、制度等相关安全管理措施的分析,了解组织现有的信息安全管理状况。
(4)通过对以上各种安全风险的分析和汇总,形成组织安全风险评估报告。
(5)根据组织安全风险评估报告和安全现状,提出相应的安全建议,指导下一步的信息安全建设。
4.2 风险评估过程
风险评估过程划分为四个大的阶段:制定项目计划与培训、收集资料、风险分析、形成评估报告。图1表示了风险评估的过程和步骤。
其中,风险分析又可细分为如下六个步骤:
步骤一:资产识别与赋值
资产识别和赋值的目的就是要对组织的各类资产做潜在价值分析,了解其资产利用、维护和管理现状;明确各类资产具备的保护价值和需要的保护层次,从而使组织能够更合理地利用现有资产,更有效地进行资产管理,更有针对性地进行资产保护,最具策略性地进行新的资产投入。
风险评估范围内的所有资产必须予以确认,包括数据、服务、声誉、硬件和软件、通讯、程序界面、物理资产、支持设施、人员和访问控制措施等有形和无形资产。考虑到应用系统是组织业务信息化的体现,因此将应用系统定义为组织的关键资产。与应用系统有关的信息或服务、组件(包括与组件相关的软硬件)、人员、物理环境等都是组织关键资产——应用系统的子资产,从而使得子资产与应用系统之间更加具有关联性。
步骤二:弱点分析
弱点分析的目的是给出有可能被潜在威胁源利用的系统缺陷或弱点列表。所谓威胁源是指能够通过系统缺陷和弱点对系统安全策略造成危害的主体。弱点分析强调系统化地衡量这些弱点。弱点分析手段包括针对非技术弱点分析的手段和技术弱点分析的手段。非技术弱点分析主要采取调查表、人员访谈、现场勘查、文档查看等手段进行。技术弱点分析可以采取多种手段,主要包括:网络扫描、主机审计、渗透测试、系统分析。其中,需要注意渗透测试的风险较其它几种手段要大得多,在实际评估中需要斟酌使用。
步骤三:威胁分析
威胁分析主要指在明确组织关键资产、描述关键资产的安全需求的情况下,标识关键资产面临的威胁,并界定发生威胁的可能性及破坏系统或资产的潜力。通过鉴别与各业务系统有关的网络,分析各业务系统可能遭受的内部人员和/或外部人员的无意和/或故意威胁;通过鉴别与各业务系统有关的网络以及可能的威胁源,详细分析各业务系统可能通过网络途径可能遭受的威胁。
步骤四:已有控制措施分析
要产生一个总体可能性评价来说明一个潜在弱点在相关威胁环境下被攻击的可能性,就必须要考虑到当前已经实现或计划实现的安全控制。比如,如果威胁源的兴趣或能力级别很低、或如果有有效的安全控制可以消除或减轻危害后果,那么一个弱点(比如业务系统或流程中的薄弱环节)被攻击的可能性就低。
步骤五:可能性及影响分析
可能性分析是对威胁发生频率的估计,即威胁发生的或然率。可能性分析须观察影响风险发生可能性的环境。一般而言,威胁的可能性会随获授权用户人数的增加而提高。可能性是以发生的频率(例如每天一次、每月一次及每年一次)表达。威胁的可能性越高,风险也越高。
影响分析是估计可能发生的整体破坏或损失的程度。评估的影响包括收入、利润、成本、服务水平和政府声誉。此外还须考虑能够承受的风险水平,以及哪些资产会如何和何时受到这些风险影响。威胁的影响越严重,风险也越高。
步骤六:风险识别
风险评估的策略是首先选定某项业务系统(或者资产)、评估业务系统的资产价值、挖掘并评估业务系统/资产面临的威胁、挖掘并评估业务系统/资产存在的弱点、进而评估该业务系统/资产的风险,得出整个评估目标的风险。
风险级别根据风险的大小划分为不同的等级。具体可分为:极度风险、高风险、中等风险、低风险等。
确定风险程度后,便能够为已确认的各项业务系统/资产考虑技术、操作和管理上的解决方案清单。由于不可能完全杜绝风险,有关清单可成为接受、降低、避免或转移风险决策的依据。下表是可采取的风险处理措施。
5. 风险评估的原则
鉴于信息安全风险评估工作敏感性强,涉及系统的关键资产和核心信息,一旦处理不当,反而可能引入新的风险,因此在安全评估中必须遵循以下一些原则:
(1)标准性原则
评估方案的设计和具体实施都依据国内和国外的相关标准及理论模型进行。
(2)可控性原则
评估过程和所使用的工具具有可控性。可控性主要表现在评估项目所采用的网络漏洞扫描软件都是根据评估的具体要求和企业的具体网络特点定制的,具有完全的自主版权。
(3)整体性原则
分单个IP安全性和IP所在段安全威胁分析列出报表;确保涉及到主机和网络设备的各个层面;由单机和网络相结合分析得出风险值;避免由于遗漏造成未来安全隐患;根据主机风险值和网段风险级别得出综合安全风险值。同时,评估服务还应从组织的实际需求出发,从业务角度进行评估,而不是局限于网络、主机等单个的安全层面,涉及到安全管理和业务运营,保障整体性和全面性。
(4)最小影响原则
评估工作应做到充分的计划性,不对现有网络、系统的运行和业务的正常提供产生显著影响,尽可能小地影响系统和网络的正常运行。
(5)保密性原则
从评估方和被评估方、参与评估人员、评估过程三个方面进行保密控制。
评估方和被评估方双方签署保密协议,不得利用评估中的任何数据进行其他有损被评估方利益的用途;对参与评估的人员进行审核,评估方内部签订保密协议;在评估过程中对评估数据严格保密。
6. 结束语
风险评估是实施风险管理的重要环节,提高信息安全保障能力和水平建设的基本方法。经过多年的探索,有关方面已经在信息安全风险评估方面做了大量工作,积累了一些宝贵经验。今后,还应该更加重视信息化带来的新的信息安全风险。做好信息安全风险评估的各项工作。
摘要:计算机网络和信息系统存在大量的安全隐患,通过风险评估及早发现安全隐患并采取相应的加固方案成为信息安全保障建设必不可少的一部分。本文介绍了开展风险评估的必要性、时机的选择,以及风险评估的内容和开展风险评估应遵循的原则。
关键词:信息安全,安全保障,风险隐患,风险评估
参考文献
[1]范红,冯登国.信息安全风险评估方法与应用[M].北京:清华大学出版社,2007.
[2]张建军,孟亚平.信息安全风险评估探索与实践[M].北京:中国标准出版社,2005.
7.信息安全管理体系习题 篇七
本报讯 (记者 谌力)“中国保险行业面临的信息科技风险十分严峻,中国保监会希望保险公司提高对信息安全的重视,加大对信息安全的投入力度,加强对信息安全事件的判断和应急处理,完善信息安全防范体系。”5月15日,在由中国保监会统计信息部主办、中国人民保险集团公司承办,全国各大保险公司代表参加的保险信息化高峰论坛上,中国保监会统计信息部副主任于玫提出了上述看法。
在本次保险行业的高峰论坛上,有8家保险公司的代表进行了信息安全和风险管理的专题发言,信息安全成为大会热议的焦点。中国人保财险公司副总裁王和在会上谈到,“信息安全不是技术工作,而是整个企业的工作,需要企业内的管理层和所有职能部门共同落实。”中国平安保险(集团)公司CIO罗世礼在发言时说: “信息安全工作不局限于IT,业务人员的落实执行同样重要。执行信息安全的工作,人人有责。”中国人寿集团信息部总经理朱宏玲指出:“风险管理是保险企业创新发展的必然需要,对今天的保险业而言,IT与业务应该建立一致性的风险控制模型,从治理控制、管理控制、技术控制三个层面来建立安全体系。”
新闻点评: 信息安全,对于任何一个行业来说都十分重要。而对于保险业,安全标准无疑是实施信息安全、管理科技风险不可或缺的开门钥匙,保险公司需要找准自己信息安全建设的切入点、引入最适合的体系框架和实施步骤。
【信息安全管理体系习题】推荐阅读:
信息安全复习题带答案08-14
技术信息安全管理08-19
信息安全管理体系建设论文09-04
信息安全奖惩管理规定06-10
房屋安全管理信息系统06-10
信息系统安全管理办法07-01
网络信息安全管理制度08-29
企业信息安全管理条例10-30
信息安全文件管理制度11-30
(新)信息安全管理协议12-17