風(fēng)險評估與iso27001測試題目

測試題（滿分100，時間一小時）信息安全管理體系（ISMS）采取了一種叫做PDCA的管理模式，請簡述其內(nèi)容。（5分）PDCA是一種循環(huán)過程，所以我們通常把它叫做PDCA循環(huán)，并把這個循環(huán)圖叫做“戴明環(huán)”簡述確定ISMS的范圍和邊界時需要考慮的方面？（5分）根據(jù)公司所從事的業(yè)務(wù)、性質(zhì)、辦公地點(diǎn)、各種信息資產(chǎn)（見資產(chǎn)清單）、擁有技術(shù)的特點(diǎn)確定信息安全管理體系的范圍。列舉ISMS的11個控制領(lǐng)域？（5分）信息方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息系統(tǒng)安全要求、信息安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性信息安全管理體系文件的層次？（5分）信息安全管理體系文件由四個層次的文件組成，它們分別是：手冊、程序文件、作業(yè)指導(dǎo)書、記錄建立信息安全方針應(yīng)考慮那些方面？（5分）根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性和信息安全在公司業(yè)務(wù)中的重要程度確定信息安全管理體系的方針。風(fēng)險管理包括哪些過程？（5分）資產(chǎn)識別與估價、威脅評估、脆弱性評估、對現(xiàn)有安全控制的識別、風(fēng)險評價、風(fēng)險處理、殘余風(fēng)險、風(fēng)險控制風(fēng)險處置措施有哪些？（5分）規(guī)避風(fēng)險，采取有效的控制措施避免風(fēng)險的發(fā)生；接受風(fēng)險，在一定程度上有意識、有目的地接受風(fēng)險；風(fēng)險轉(zhuǎn)移，轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險到其他方面。信息安全具有那幾種性質(zhì)？（5分）脆弱性、連續(xù)性、可靠性、威脅性資產(chǎn)有哪些類別？（5分）人員資產(chǎn)、物理資產(chǎn)、軟件資產(chǎn)、文件資產(chǎn)、服務(wù)資產(chǎn)、形象資產(chǎn)實(shí)施風(fēng)險評估需要哪些步驟？（5分）資產(chǎn)識別與估價、威脅評估、脆弱性評估、對現(xiàn)有安全控制的識別、風(fēng)險評價、風(fēng)險處理、殘余風(fēng)險、風(fēng)險控制資產(chǎn)賦值應(yīng)包含哪幾方面的賦值？（5分）機(jī)密性、完整性、可用性資產(chǎn)各個等級分值如何劃分？資產(chǎn)評價準(zhǔn)則是什么？（5分）根據(jù)資產(chǎn)賦值結(jié)果，確定重要資產(chǎn)的范圍，圍繞重要資產(chǎn)進(jìn)行風(fēng)險評估。等級標(biāo)識描述5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴(yán)重的損失4高重要，其安全屬性破壞后可能對組織造成比較嚴(yán)重的損失3中等比較重要，其安全屬性破壞后可能對組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對組織造成較低的損失1很低不重要，其安全屬性破壞后對組織造成導(dǎo)很小的損失，甚至忽略不計(jì)13、脆弱性的有哪些類型？識別脆弱性時主要應(yīng)關(guān)注哪些對象？并列舉技術(shù)脆弱性、管理脆弱性物理環(huán)境從機(jī)房場地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識別網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、用戶帳號、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識別技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識別組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識別出幾個關(guān)于資產(chǎn)脆弱性例子。（10分）設(shè)備維護(hù)措施不完善、物理訪問控制不健全、口令不當(dāng)，權(quán)限分配不合理資產(chǎn)值和風(fēng)險值的計(jì)算函數(shù)各是什么？其中各個字母的含義是什么？（15分）計(jì)算資產(chǎn)值假如資產(chǎn)值為A保密性為c完整性為i可用性為a則A=c+i+a計(jì)算風(fēng)險值若資產(chǎn)價值=A威脅頻率=T脆弱性嚴(yán)重度=V則安全事件發(fā)生可能性F=安全事件的損失L=風(fēng)險值R=LXF威脅怎樣分類？不同類型劃分法各有哪些類別？列舉出幾個威脅的例子。（15分）1、基于表現(xiàn)形式的威脅分類表分類威脅子類軟硬件故障設(shè)備硬件故障、傳輸設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障等物理環(huán)境影響斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等無作為或操作失誤維護(hù)錯誤、操作失誤等管理不到位管理制度和策略不完