信息安全管理体系自己整理Word格式.docx

1、B.任何措施都无法完全清除风险C.风险是对安全事件的确定描述D.风险是固有的，无法被控制3.风险管理的首要任务是 。A.风险识别和评估B.风险转嫁C.风险控制 D.接受风险4.关于资产价值的评估， 说法是正确的。A.资产的价值指采购费用B.资产的价值无法估计C.资产价值的定量评估要比定性评估简单容易D.资产的价值与其重要性密切相关5.采取适当的安全控制措施，可以对风险起到 作用。A.促进B.增加C.减缓D.清楚6.当采取了安全控制措施后，剩余风险 可接受风险的时候，说明风险管理是有效的。A.等于 B.大于C.小于D.不等于7.安全威胁是产生安全事件的A.内因B.外因C.根本原因D.不相关因素8

2、.安全脆弱性是产生安全事件的9.安全审计是一种很常见的安全控制措施，它在信息安全保障体系中，属于 措施。A.保护B.检测C.响应D.恢复10.根据风险管理的看法，资产 价值， 脆弱性，被安全威胁 ， 风险。A.存在 利用 导致 具有B.具有 存在 导致C.导致 具有 利用D.利用11.根据定量风险评估的方法，下列表达式正确的是A.SLE=AVEFB.ALE=AVC.ALE=SLED.ALE=SLEAV12.关于安全审计目的描述错误的是A.识别和分析XX的动作或攻击B.记录用户活动和系统管理C.将动作归结到为其负责的实体D.实现对安全事件的应急响应13.安全审计跟踪是A.安全审计系统检测并追踪安

3、全事件的过程B.安全审计系统收集易于安全审计的数据C.人利用日志信息进行安全事件分析和追溯的过程D.对计算机系统中的某种行为的详尽跟踪和观察14.在安全评估过程中，采取 手段，可以模拟黑客入侵过程，检测系统安全脆弱性。A.问卷调查B.人员访谈C.渗透性测试D.手工检查三、多选题1.下列 因素，会对最终的风险评估结果产生影响。A.管理制度B.资产价值C.威胁D.脆弱性E.安全措施2.下列 因素与资产价值评估有关。A.购买资产发生的费用B.软硬件费用C.运行维护资产所需成本D.资产被破坏所造成的损失E.人工费用3.安全控制措施可以分为 。A.管理类B.技术类C.人员类D.操作类E.检测类4.对于计

4、算机系统，由环境因素所产生的安全隐患包括A.恶劣的温度、湿度、灰尘、地震、风灾、火灾等B.强电、磁场等C.雷电D.人为的破坏四、问答题1.简述信息安全风险的计算过程。2.一个公司投资50万美元建立一个网络运营中心，经过评估，最大的风险是发生火灾，每次火灾大概造成45的资产损失，经过统计，该地区每5年发生一次火灾，试通过定量分析的方法，计算风险造成的损失。3.简述信息安全脆弱性的分类及其内容。答案一、判 断 题1.对2.对 3.对 二、单 选 题1.C2.B3.A4.D5.C6.C7.B 8.A9.B10.B 11.A 12.D 13.A 14.C三、多 选 题1.BCDE2.ACD 3.ABD

5、4.ABCD四、问 答 题答：风险计算的过程是：（1）对信息资产进行识别，并对资产赋值；（2）对威胁进行分析，并对威胁发生的可能性赋值；（3）识别信息资产的脆弱性，并对脆弱性的严重程度赋值；（4）根据威胁和脆弱性计算安全事件发生的可能性；（5）结合信息资产的重要性和该资产发生安全事件的可能性计算信息资产的风险值。资产价值AV=50万美元暴露因子EF=45%单一损失期望SLE=AVEF=22.5万美元年度发生率ARO=20%年度损失期望ALE=SLEARO=4.5万美元信息安全脆弱性的分类及其内容如下表所示：脆弱性分类 名称包含内容 技术 脆弱性 物理安全物理设备的访问控制、电力供应等 网络安全基础网络架构、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全等 系统安全系统软件安全漏洞、系统软件配置安全等 应用安全应用软件安全漏洞、软件安全功能、数据防护等 管理 安全管理安全策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性、符合性