信息安全管理体系-自己整理.docx

第三章 信息安全管理体系 一、判断题 1虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法 2.定性安全风险评估结果中，级别较高的安全风险应当优先采取控制措施予以应对通常在风险评估的实践中，综合利用基线评估和详细评估的优点,将二者结合起来. 二、单选题  1.下列关于风险的说法,        是错误的. A风险是客观存在的 B.导致风险的外因是普遍存在的安全威胁 C导致风险的外因是普遍存在的安全脆弱性 D风险是指一种可能性 2下列关于风险的说法,        是正确的. A.可以采取适当措施，完全清除风险 B任何措施都无法完全清除风险 C风险是对安全事件的确定描述 D风险是固有的，无法被控制 3.风险管理的首要任务是        风险识别和评估 B风险转嫁 C风险控制  D接受风险 4.关于资产价值的评估，        说法是正确的 A.资产的价值指采购费用 B资产的价值无法估计 C.资产价值的定量评估要比定性评估简单容易 D.资产的价值与其重要性密切相关 5采取适当的安全控制措施,可以对风险起到        作用。

 A促进 B增加 C.减缓 D.清楚 6当采取了安全控制措施后，剩余风险        可接受风险的时候，说明风险管理是有效的. A.等于  B大于 C小于 D不等于 7安全威胁是产生安全事件的         A.内因 B.外因 C根本原因 D不相关因素8安全脆弱性是产生安全事件的        . A内因 B.外因 C根本原因 D.不相关因素 9安全审计是一种很常见的安全控制措施,它在信息安全保障体系中，属于        措施 A.保护 B检测 C响应 D恢复   10.根据风险管理的看法，资产        价值，        脆弱性,被安全威胁        ，        风险. A.存在  利用  导致  具有 B.具有  存在  利用  导致 C导致  存在  具有  利用 D.利用  导致  存在  具有 11根据定量风险评估的方法,下列表达式正确的是        SLE=AV×EF B.ALE=AV×EF C.ALE=SLE×EF D.ALE=SLE×AV 12关于安全审计目的描述错误的是        . A.识别和分析未经授权的动作或攻击 B记录用户活动和系统管理 C。

将动作归结到为其负责的实体 D.实现对安全事件的应急响应 13安全审计跟踪是         A.安全审计系统检测并追踪安全事件的过程 B安全审计系统收集易于安全审计的数据 C人利用日志信息进行安全事件分析和追溯的过程 D对计算机系统中的某种行为的详尽跟踪和观察 14.在安全评估过程中,采取        手段，可以模拟黑客入侵过程,检测系统安全脆弱性 A.问卷调查 B人员访谈 C.渗透性测试 D.手工检查  三、多选题  1.下列        因素，会对最终的风险评估结果产生影响管理制度 B.资产价值 C威胁 D.脆弱性 E.安全措施 2下列        因素与资产价值评估有关 A.购买资产发生的费用 B.软硬件费用 C运行维护资产所需成本 D资产被破坏所造成的损失 E.人工费用 3安全控制措施可以分为         A.管理类 B技术类 C人员类 D.操作类 E.检测类 4.对于计算机系统，由环境因素所产生的安全隐患包括        . A.恶劣的温度、湿度、灰尘、地震、风灾、火灾等 B强电、磁场等 C雷电 D人为的破坏 四、问答题  1简述信息安全风险的计算过程一个公司投资50万美元建立一个网络运营中心，经过评估,最大的风险是发生火灾，每次火灾大概造成45%的资产损失，经过统计，该地区每5年发生一次火灾，试通过定量分析的方法，计算风险造成的损失. 3.简述信息安全脆弱性的分类及其内容。

 答案 一、判 断 题1对        2.对        3.对      二、单 选 题1.C      2.B      3.A      4D      5.C      6C      7B    8.A      9.B      10B     11.A     12D     13.A     14C      三、多 选 题1.BCDE     2.ACD     3ABD     4.ABCD 四、问 答 题1简述信息安全风险的计算过程答：风险计算的过程是：（1）对信息资产进行识别，并对资产赋值；（2)对威胁进行分析，并对威胁发生的可能性赋值；(3)识别信息资产的脆弱性，并对脆弱性的严重程度赋值;（4）根据威胁和脆弱性计算安全事件发生的可能性；（5）结合信息资产的重要性和该资产发生安全事件的可能性计算信息资产的风险值 2.一个公司投资50万美元建立一个网络运营中心，经过评估，最大的风险是发生火灾，每次火灾大概造成45％的资产损失，经过统计，该地区每5年发生一次火灾，试通过定量分析的方法，计算风险造成的损失答:资产价值AV=50万美元    暴露因子EF=45%    单一损失期望SLE=AV×EF=22。

5万美元    年度发生率ARO=20％    年度损失期望ALE=SLE×ARO=4.5万美元 3简述信息安全脆弱性的分类及其内容答：信息安全脆弱性的分类及其内容如下表所示：脆弱性分类  名称包含内容    技术    脆弱性    物理安全物理设备的访问控制、电力供应等    网络安全基础网络架构、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全等    系统安全系统软件安全漏洞、系统软件配置安全等    应用安全应用软件安全漏洞、软件安全功能、数据防护等    管理    脆弱性    安全管理安全策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性、符合性  。