试题三（15分）

阅读下列说明，回答问题1至问题3，将解填入纸的对内。

【说明】

在当前数字化时代，信息安全己成为各类信息系统工程建设项目不可忽视的一个重要环节， 信息安全问题关系到系统稳定、数据保密和用户信任等关键因素。某国有企业立项建设集团金融智库，为保障企业金融安全与信息财产安全，提高信息安全保障能力和水平，在此基础上建设了完善了信息安全，对金融智库进行了信息安全等级保护，密码体系采用了国有商用密码标准，建设了网络安全基础设施。

【问题3】（5分）

(1)应参照GB/T22080《信息技术 安全技术 信息安全管理体系 要求》和 GB/T22081《信息技术 安全技术 信息安全控制实践指南》进行信息安全管理体系的建立、实现、维护和持续改进：

(2)应确定信息安全管理体系范围，制定信息安全方针，明确信息安全管理职责；

(3)应以风险评估为基础，选择控制目标和控制措施来建立信息安全管理体系：

(4)应通过信息安全方针、程序文件或制度、操作规程、记录和表单等文件的建立和实施，持续改进信息安全管理体系；

(5)对信息系统工程的业主单位和承建单位，均应要求建立信息安全管理体系。

根据信息安全国家法律法规要求，结合监理实践，信息安全管理体系中的合规性要求包括以下几点：

首先，应参照国家的相关标准如GB/T22080和GB/T22081建立、实施、维护和持续改进信息安全管理体系。这两份标准提供了关于信息安全管理体系的建立和实施的具体指导，是合规性的基础。

其次，需要确定信息安全管理体系的范围，制定明确的信息安全方针，并明确信息安全管理职责。这是确保信息安全管理体系有效运行的关键。

第三，应以风险评估为基础来建立信息安全管理体系，选择适当的控制目标和控制措施。风险评估是识别信息系统潜在风险并决定如何应对这些风险的重要过程。

第四，应通过建立和完善各种文件，如信息安全方针、程序文件、制度、操作规程、记录和表单等，来持续改进信息安全管理体系。

第五，对于信息系统工程的业主单位和承建单位，都应建立信息安全管理体系。这是因为信息安全的保障需要所有相关方的共同参与和努力。

第六，要遵守国家法律法规要求，特别要注意保护信息秘密，防止信息泄露。这是遵守国家法律法规的基本要求，也是保障企业金融安全与信息财产安全的关键。

最后，还需要加强人员资质和教育培训的管理，确保信息安全的实施和效果。