信息安全管理體系-自己整理

1、第三章信息安全管理體系一、判斷題1 .雖然在安全評(píng)估過(guò)程中采取定量評(píng)估能獲得準(zhǔn)確的分析結(jié)果，但是由于參數(shù)確定較為困難，往往實(shí)際評(píng)估多采取定性評(píng)估，或者定性和定量評(píng)估相結(jié)合的方法。2 .定性安全風(fēng)險(xiǎn)評(píng)估結(jié)果中，級(jí)別較高的安全風(fēng)險(xiǎn)應(yīng)當(dāng)優(yōu)先采取控制措施予以應(yīng)對(duì)。3 .通常在風(fēng)險(xiǎn)評(píng)估的實(shí)踐中，綜合利用基線(xiàn)評(píng)估和詳細(xì)評(píng)估的優(yōu)點(diǎn)，將二者結(jié)合起來(lái)。二、單選題1 .下列關(guān)于風(fēng)險(xiǎn)的說(shuō)法，是錯(cuò)誤的。A.風(fēng)險(xiǎn)是客觀存在的B.導(dǎo)致風(fēng)險(xiǎn)的外因是普遍存在的安全威脅C.導(dǎo)致風(fēng)險(xiǎn)的外因是普遍存在的安全脆弱性D.風(fēng)險(xiǎn)是指一種可能性2 .下列關(guān)于風(fēng)險(xiǎn)的說(shuō)法，是正確的。A.可以采取適當(dāng)措施，完全清除風(fēng)險(xiǎn)B.任何措施都無(wú)法完全清除風(fēng)

2、險(xiǎn)C.風(fēng)險(xiǎn)是對(duì)安全事件的確定描述D.風(fēng)險(xiǎn)是固有的，無(wú)法被控制3 .風(fēng)險(xiǎn)管理的首要任務(wù)是。A.風(fēng)險(xiǎn)識(shí)別和評(píng)估B.風(fēng)險(xiǎn)轉(zhuǎn)嫁C.風(fēng)險(xiǎn)控制D.接受風(fēng)險(xiǎn)4 .關(guān)于資產(chǎn)價(jià)值的評(píng)估，說(shuō)法是正確的。A.資產(chǎn)的價(jià)值指采購(gòu)費(fèi)用B.資產(chǎn)的價(jià)值無(wú)法估計(jì)C.資產(chǎn)價(jià)值的定量評(píng)估要比定性評(píng)估簡(jiǎn)單容易D.資產(chǎn)的價(jià)值與其重要性密切相關(guān)5 .采取適當(dāng)?shù)陌踩刂拼胧?，可以?duì)風(fēng)險(xiǎn)起到作用。A.促進(jìn)B.增加C.減緩D.清楚6 .當(dāng)采取了安全控制措施后，剩余風(fēng)險(xiǎn)可接受風(fēng)險(xiǎn)的時(shí)候,說(shuō)明風(fēng)險(xiǎn)管理是有效的。A.等于B.大于C.小于D.不等于7 .安全威脅是產(chǎn)生安全事件的。A.內(nèi)因8 .外因C.根本原因D.不相關(guān)因素8 .安全脆弱性是產(chǎn)生安全事

3、件的A.內(nèi)因B.外因C.根本原因D.不相關(guān)因素9 .安全審計(jì)是一種很常見(jiàn)的安全控制措施，它在信息安全保障體系中，屬于措施。A.保護(hù)B.檢測(cè)C.響應(yīng)D.恢復(fù)10 .根據(jù)風(fēng)險(xiǎn)管理的看法，資產(chǎn)價(jià)值，脆弱性，被安全威脅,風(fēng)險(xiǎn)。A.存在利用導(dǎo)致具有B.具有存在利用導(dǎo)致C.導(dǎo)致存在具有利用D.利用導(dǎo)致存在具有11 .根據(jù)定量風(fēng)險(xiǎn)評(píng)估的方法，下列表達(dá)式正確的是A.SLE=AWEFB.ALE=AWEFC.ALE=SLEEFD.ALE=SLEAV12 .關(guān)于安全審計(jì)目的描述錯(cuò)誤的是。A.識(shí)別和分析未經(jīng)授權(quán)的動(dòng)作或攻擊B.記錄用戶(hù)活動(dòng)和系統(tǒng)管理C.將動(dòng)作歸結(jié)到為其負(fù)責(zé)的實(shí)體D.實(shí)現(xiàn)對(duì)安全事件的應(yīng)急響應(yīng)13 .安全

4、審計(jì)跟蹤是。A.安全審計(jì)系統(tǒng)檢測(cè)并追蹤安全事件的過(guò)程B.安全審計(jì)系統(tǒng)收集易于安全審計(jì)的數(shù)據(jù)C.人利用日志信息進(jìn)行安全事件分析和追溯的過(guò)程D.對(duì)計(jì)算機(jī)系統(tǒng)中的某種行為的詳盡跟蹤和觀察14 .在安全評(píng)估過(guò)程中，采取手段，可以模擬黑客入侵過(guò)程，檢測(cè)系統(tǒng)安全脆弱性。A.問(wèn)卷調(diào)查B.人員訪(fǎng)談C.滲透性測(cè)試D.手工檢查三、多選題1 .下列因素，會(huì)對(duì)最終的風(fēng)險(xiǎn)評(píng)估結(jié)果產(chǎn)生影響。A.管理制度B.資產(chǎn)價(jià)值C.威脅D.脆弱性E.安全措施2 .下列因素與資產(chǎn)價(jià)值評(píng)估有關(guān)。A.購(gòu)買(mǎi)資產(chǎn)發(fā)生的費(fèi)用B.軟硬件費(fèi)用C.運(yùn)行維護(hù)資產(chǎn)所需成本D.資產(chǎn)被破壞所造成的損失E.人工費(fèi)用3 .安全控制措施可以分為。A.管理類(lèi)B.技術(shù)類(lèi)

5、C.人員類(lèi)D.操作類(lèi)E.檢測(cè)類(lèi)4 .對(duì)于計(jì)算機(jī)系統(tǒng)，由環(huán)境因素所產(chǎn)生的安全隱患包括。A.惡劣的溫度、濕度、灰塵、地震、風(fēng)災(zāi)、火災(zāi)等B.強(qiáng)電、磁場(chǎng)等C.雷電D.人為的破壞四、問(wèn)答題1 .簡(jiǎn)述信息安全風(fēng)險(xiǎn)的計(jì)算過(guò)程。2 .一個(gè)公司投資50萬(wàn)美元建立一個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)中心，經(jīng)過(guò)評(píng)估，最大的風(fēng)險(xiǎn)是發(fā)生火災(zāi)，每次火災(zāi)大概造成45%的資產(chǎn)損失，經(jīng)過(guò)統(tǒng)計(jì)，該地區(qū)每5年發(fā)生一次火災(zāi)，試通過(guò)定量分析的方法，計(jì)算風(fēng)險(xiǎn)造成的損失。3 .簡(jiǎn)述信息安全脆弱性的分類(lèi)及其內(nèi)容。答案一、判斷題1.對(duì)2.對(duì)3.對(duì)二、單選題1.C2.B3.A4.D5.C6.C7.B8.A9.B10.B11.A12.D13.A14.C三、多選題1.BC

6、DE2.ACD3.ABD4.ABCD四、問(wèn)答題1. 簡(jiǎn)述信息安全風(fēng)險(xiǎn)的計(jì)算過(guò)程。答：風(fēng)險(xiǎn)計(jì)算的過(guò)程是：（ 1）對(duì)信息資產(chǎn)進(jìn)行識(shí)別，并對(duì)資產(chǎn)賦值；（ 2）對(duì)威脅進(jìn)行分析，并對(duì)威脅發(fā)生的可能性賦值；（ 3）識(shí)別信息資產(chǎn)的脆弱性，并對(duì)脆弱性的嚴(yán)重程度賦值；（ 4）根據(jù)威脅和脆弱性計(jì)算安全事件發(fā)生的可能性；（ 5）結(jié)合信息資產(chǎn)的重要性和該資產(chǎn)發(fā)生安全事件的可能性計(jì)算信息資產(chǎn)的風(fēng)險(xiǎn)值。2. 一個(gè)公司投資50萬(wàn)美元建立一個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)中心，經(jīng)過(guò)評(píng)估，最大的風(fēng)險(xiǎn)是發(fā)生火災(zāi)，每次火災(zāi)大概造成45的資產(chǎn)損失，經(jīng)過(guò)統(tǒng)計(jì)，該地區(qū)每年發(fā)生一次火災(zāi)，試通過(guò)定量分析的方法，計(jì)算風(fēng)險(xiǎn)造成的損失。答：資產(chǎn)價(jià)值A(chǔ)V=50萬(wàn)美元暴露因子EF=45%單一損失期望SLE=AAEF=22.5萬(wàn)美元年度發(fā)生率ARO=20%年度損失期望ALE=SLEARO=4.5萬(wàn)美元3. 簡(jiǎn)述信息安全脆弱性的分類(lèi)及其內(nèi)容。答：信息安全脆弱性的分類(lèi)及其內(nèi)容如下表所示:脆弱性分類(lèi)名稱(chēng)包含內(nèi)容技木脆弱性物理安全物理設(shè)備的訪(fǎng)問(wèn)控制、電力供應(yīng)等網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)傳輸加密、訪(fǎng)問(wèn)控制、網(wǎng)絡(luò)設(shè)備安全漏洞、設(shè)備配置安全等系統(tǒng)安全系統(tǒng)軟件安全漏洞、