信息安全管理体系自己整理.docx

信息安全管理体系自己整理.docx

《信息安全管理体系自己整理.docx》由会员分享，可在线阅读，更多相关《信息安全管理体系自己整理.docx（9页珍藏版）》请在冰豆网上搜索。

信息安全管理体系自己整理

第三章信息安全管理体系

一、判断题

1.虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难，往往实际评估多采取定性评估，或者定性和定量评估相结合的方法。

2.定性安全风险评估结果中，级别较高的安全风险应当优先采取控制措施予以应对。

3.通常在风险评估的实践中，综合利用基线评估和详细评估的优点，将二者结合起来。

二、单选题

1.下列关于风险的说法，       是错误的。

 A.风险是客观存在的

 B.导致风险的外因是普遍存在的安全威胁

 C.导致风险的外因是普遍存在的安全脆弱性

 D.风险是指一种可能性

2.下列关于风险的说法，       是正确的。

 A.可以采取适当措施，完全清除风险

 B.任何措施都无法完全清除风险

 C.风险是对安全事件的确定描述

 D.风险是固有的，无法被控制

3.风险管理的首要任务是       。

 A.风险识别和评估

 B.风险转嫁

 C.风险控制

 D.接受风险

4.关于资产价值的评估，       说法是正确的。

 A.资产的价值指采购费用

 B.资产的价值无法估计

 C.资产价值的定量评估要比定性评估简单容易

 D.资产的价值与其重要性密切相关

5.采取适当的安全控制措施，可以对风险起到       作用。

 A.促进

 B.增加

 C.减缓

 D.清楚

6.当采取了安全控制措施后，剩余风险       可接受风险的时候，说明风险管理是有效的。

 A.等于

 B.大于

 C.小于

 D.不等于

7.安全威胁是产生安全事件的       。

 A.内因

 B.外因

 C.根本原因

 D.不相关因素

8.安全脆弱性是产生安全事件的       。

 A.内因

 B.外因

 C.根本原因

 D.不相关因素

9.安全审计是一种很常见的安全控制措施，它在信息安全保障体系中，属于       措施。

 A.保护

 B.检测

 C.响应

 D.恢复

10.根据风险管理的看法，资产       价值，       脆弱性，被安全威胁       ，       风险。

 A.存在 利用 导致 具有

 B.具有 存在 利用 导致

 C.导致 存在 具有 利用

 D.利用 导致 存在 具有

11.根据定量风险评估的方法，下列表达式正确的是       。

 A.SLE=AV×EF

 B.ALE=AV×EF

 C.ALE=SLE×EF

 D.ALE=SLE×AV

12.关于安全审计目的描述错误的是       。

 A.识别和分析XX的动作或攻击

 B.记录用户活动和系统管理

 C.将动作归结到为其负责的实体

 D.实现对安全事件的应急响应

13.安全审计跟踪是       。

 A.安全审计系统检测并追踪安全事件的过程

 B.安全审计系统收集易于安全审计的数据

 C.人利用日志信息进行安全事件分析和追溯的过程

 D.对计算机系统中的某种行为的详尽跟踪和观察

14.在安全评估过程中，采取       手段，可以模拟黑客入侵过程，检测系统安全脆弱性。

 A.问卷调查

 B.人员访谈

 C.渗透性测试

 D.手工检查

三、多选题

1.下列       因素，会对最终的风险评估结果产生影响。

 A.管理制度

 B.资产价值

 C.威胁

 D.脆弱性

 E.安全措施

2.下列       因素与资产价值评估有关。

 A.购买资产发生的费用

 B.软硬件费用

 C.运行维护资产所需成本

 D.资产被破坏所造成的损失

 E.人工费用

3.安全控制措施可以分为       。

 A.管理类

 B.技术类

 C.人员类

 D.操作类

 E.检测类

4.对于计算机系统，由环境因素所产生的安全隐患包括       。

 A.恶劣的温度、湿度、灰尘、地震、风灾、火灾等

 B.强电、磁场等

 C.雷电

 D.人为的破坏

四、问答题

1.简述信息安全风险的计算过程。

2.一个公司投资50万美元建立一个网络运营中心，经过评估，最大的风险是发生火灾，每次火灾大概造成45％的资产损失，经过统计，该地区每5年发生一次火灾，试通过定量分析的方法，计算风险造成的损失。

3.简述信息安全脆弱性的分类及其内容。

答案

一、判断题

1.对       2.对       3.对     

二、单选题

1.C     2.B     3.A     4.D     5.C     6.C     7.B   

8.A     9.B     10.B    11.A    12.D    13.A    14.C    

三、多选题

1.BCDE    2.ACD    3.ABD    4.ABCD

四、问答题

1.简述信息安全风险的计算过程。

答：

风险计算的过程是：

（1）对信息资产进行识别，并对资产赋值；

（2）对威胁进行分析，并对威胁发生的可能性赋值；

（3）识别信息资产的脆弱性，并对脆弱性的严重程度赋值；

（4）根据威胁和脆弱性计算安全事件发生的可能性；

（5）结合信息资产的重要性和该资产发生安全事件的可能性计算信息资产的风险值。

2.一个公司投资50万美元建立一个网络运营中心，经过评估，最大的风险是发生火灾，每次火灾大概造成45％的资产损失，经过统计，该地区每5年发生一次火灾，试通过定量分析的方法，计算风险造成的损失。

答：

资产价值AV=50万美元

    暴露因子EF=45%

    单一损失期望SLE=AV×EF=22.5万美元

    年度发生率ARO=20%

    年度损失期望ALE=SLE×ARO=4.5万美元

3.简述信息安全脆弱性的分类及其内容。

答：

信息安全脆弱性的分类及其内容如下表所示：

脆弱性分类

 名称

包含内容

   技术

   脆弱性

   物理安全

物理设备的访问控制、电力供应等

   网络安全

基础网络架构、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全等

   系统安全

系统软件安全漏洞、系统软件配置安全等

   应用安全

应用软件安全漏洞、软件安全功能、数据防护等

   管理

   脆弱性

   安全管理

安全策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性、符合性