信息安全管理体系-自己整理

6/6信息安全管理体系-自己整理第三章信息安全管理体系

一、判断题

1.虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难，往往实际评估多采取定性评估，或者定性和定量评估相结合的方法。

2.定性安全风险评估结果中，级别较高的安全风险应当优先采取控制措施予以应对。

3.通常在风险评估的实践中，综合利用基线评估和详细评估的优点，将二者结合起来。

二、单选题

1.下列关于风险的说法，是错误的。

A.风险是客观存在的

B.导致风险的外因是普遍存在的安全威胁

C.导致风险的外因是普遍存在的安全脆弱性

D.风险是指一种可能性

2.下列关于风险的说法，是正确的。

A.可以采取适当措施，完全清除风险

B.任何措施都无法完全清除风险

C.风险是对安全事件的确定描述

D.风险是固有的，无法被控制

3.风险管理的首要任务是。

A.风险识别和评估

B.风险转嫁

C.风险控制

D.接受风险

4.关于资产价值的评估，说法是正确的。

A.资产的价值指采购费用

B.资产的价值无法估计

C.资产价值的定量评估要比定性评估简单容易

D.资产的价值与其重要性密切相关

5.采取适当的安全控制措施，可以对风险起到作用。

A.促进

B.增加

C.减缓

D.清楚

6.当采取了安全控制措施后，剩余风险可接受风险的时候，说明风险管理是有效的。

A.等于

B.大于

C.小于

D.不等于

7.安全威胁是产生安全事件的。

A.内因

B.外因

C.根本原因

D.不相关因素

8.安全脆弱性是产生安全事件的。

A.内因

B.外因

C.根本原因

D.不相关因素

9.安全审计是一种很常见的安全控制措施，它在信息安全保障体系中，属于措施。

A.保护

B.检测

C.响应

D.恢复

10.根据风险管理的看法，资产价值，脆弱性，被安全威胁，风险。

A.存在利用导致具有

B.具有存在利用导致

C.导致存在具有利用

D.利用导致存在具有

11.根据定量风险评估的方法，下列表达式正确的是。

A.SLE=AV×EF

B.ALE=AV×EF

C.ALE=SLE×EF

D.ALE=SLE×AV

12.关于安全审计目的描述错误的是。

A.识别和分析未经授权的动作或攻击

B.记录用户活动和系统管理

C.将动作归结到为其负责的实体

D.实现对安全事件的应急响应

13.安全审计跟踪是。

A.安全审计系统检测并追踪安全事件的过程

B.安全审计系统收集易于安全审计的数据

C.人利用日志信息进行安全事件分析和追溯的过程

D.对计算机系统中的某种行为的详尽跟踪和观察

14.在安全评估过程中，采取手段，可以模拟黑客入侵过程，检测系统安全脆弱性。

A.问卷调查

B.人员访谈

C.渗透性测试

D.手工检查

三、多选题

1.下列因素，会对最终的风险评估结果产生影响。

A.管理制度

B.资产价值

C.威胁

D.脆弱性

E.安全措施

2.下列因素与资产价值评估有关。

A.购买资产发生的费用

B.软硬件费用

C.运行维护资产所需成本

D.资产被破坏所造成的损失

E.人工费用

3.安全控制措施可以分为。

A.管理类

B.技术类

C.人员类

D.操作类

E.检测类

4.对于计算机系统，由环境因素所产生的安全隐患包括。

A.恶劣的温度、湿度、灰尘、地震、风灾、火灾等

B.强电、磁场等

C.雷电

D.人为的破坏

四、问答题

1.简述信息安全风险的计算过程。

2.一个公司投资50万美元建立一个网络运营中心，经过评估，最大的风险是发生火灾，每次火灾大概造成45％的资产损失，经过统计，该地区每5年发生一次火灾，试通过定量分析的方法，计算风险造成的损失。

3.简述信息安全脆弱性的分类及其内容。

答案

一、判断题

1.对

2.对

3.对

二、单选题

1.C

2.B

3.A

4.D

5.C

6.C

7.B

8.A9.B10.B11.A12.D

13.A14.C

三、多选题

1.BCDE

2.ACD

3.ABD

4.ABCD

四、问答题

1.简述信息安全风险的计算过程。

答：风险计算的过程是：

（1）对信息资产进行识别，并对资产赋值；

（2）对威胁进行分析，并对威胁发生的可能性赋值；

（3）识别信息资产的脆弱性，并对脆弱性的严重程度赋值；

（4）根据威胁和脆弱性计算安全事件发生的可能性；

（5）结合信息资产的重要性和该资产发生安全事件的可能性计算信息资产的风险值。

2.一个公司投资50万美元建立一个网络运营中心，经过评估，最大的风险是发生火灾，每次火灾大概造成45％的资产损失，经过统计，该地区每5年发生一次火灾，试通过定量分析的方法，计算风险造成的损失。

答：资产价值AV=50万美元

暴露因子EF=45%

单一损失期望SLE=AV×EF=22.5万美元

年度发生率ARO=20%

年度损失期望ALE=SLE×ARO=4.5万美元

3.简述信息安全脆弱性的分类及其内容。

答：信息安全脆弱性的分类及其内容如下表所示：

爱人者，人恒爱之；敬人者，人恒敬之；宽以济猛，猛以济宽，政是以和。将军额上能跑马，宰相肚里能撑船。

最高贵的复仇是宽容。有时宽容引起的道德震动比惩罚更强烈。

君子贤而能容罢，知而能容愚，博而能容浅，粹而能容杂。

宽容就是忘却，人人都有痛苦，都有伤疤，动辄去揭，便添新创，旧痕新伤难愈合，忘记昨日的是非，忘记别人先前对自己的指责和谩骂，时间是良好的止痛剂，学会忘却，生活才有阳光，才有欢乐。

不要轻易放弃感情，谁都会心疼；不要冲动下做决定，会后悔一生。也许只一句分手，就再也不见；也许只一次主动，就能挽回遗憾。

世界上没有不争吵的感情，只有不肯包容的心灵；生活中没有不会生气的人，只有不知原谅的心。

感情不是游戏，谁也伤不起；人心不是钢铁，谁也疼不起。好缘分，凭的就是真心真意；真感情，要的就是不离不弃。

爱你的人，舍不得伤你；伤你的人，并不爱你。你在别人心里重不重要，自己可以感觉到。所谓华丽的转身，都有旁人看不懂的情深。

人在旅途，肯陪你一程的人很多，能陪你一生的人却很少。谁在默默的等待，谁又从未走远，谁能为你一直都在？

这世上，别指望人人都对你好，对你好的人一辈子也不会遇到几个。人心只有一颗，能放在心上的人毕竟不多；感情就那么一块，心里一直装着你其实是难得。

动了真情，情才会最难割；付出真心，心才会最难舍。

你在谁面前最蠢，就是最爱谁。其实恋爱就这么简单，会让你智商下降，完全变了性格，越来越不果断。

所以啊，不管你有多聪明，多有手段，多富有攻击性，真的爱上人时，就一点也用不上。

这件事情告诉我们。谁在你面前很聪明，很有手段，谁就真的不爱你呀。

遇到你之前，我以为爱是惊天动地，爱是轰轰烈烈抵死缠绵；我以为爱是荡气回肠，爱是热血沸腾幸福满满。

我以为爱是窒息疯狂，爱是炙热的火炭。婚姻生活牵手走过酸甜苦辣温馨与艰难，我开始懂得爱是经得起平淡。

爱人者，人恒爱之；敬人者，人恒敬之；宽以济猛，猛以济宽，政是以和。将军额上能跑马，宰相肚里能撑船。

最高贵的复仇是宽容。有时宽容引起的道德震动比惩罚更强烈。

君子贤而能容罢，知而能容愚，博而能容浅，粹而能容杂。

宽容就是忘却，人人都有痛苦，都有伤疤，动辄去揭，便添新创，旧痕新伤难愈合，忘记昨日的是非，忘记别人先前对自己的指责和谩骂，时间是良好的止痛剂，学会忘却，生活才有阳光，才有欢乐。

不要轻易放弃感情，谁都会心疼；不要冲动下做决定，会后悔一生。也许只一句分手，就再也不见；也许只一次主动，就能挽回遗憾。

世界上没有不争吵的感情，只有不肯包容的心灵；生活中没有不会生气的人，只有不知原谅的心。

感情不是游戏，谁也伤不起；人心不是钢铁，谁也疼不起。好缘分，凭的就是真心真意；真感情，要的就是不离不弃。

爱你的人，舍不得伤你；伤你的人，并不爱你。你在别人心里重不重要，自己可以感觉到。所谓华丽的转身，都有旁人看不懂的情深。

人在旅途，肯陪你一程的人很多，能陪你一生的人却很少。谁在默默的等待，谁又从未走远，谁能为你一直都在？

这世上，别指望人人都对你好，对你好的人一辈子也不会遇到几个。人心只有一颗，能放在心上的人毕竟不多；感情就那么一块，心里一直装着你其实是难得。

动了真情，情才会最难割；付出真心，心才会最难舍。

你在谁面前最蠢，就是最爱谁。其实恋爱就这么简单，会让你智