信息安全管理体系-自己整理

第三章信息安全管理体系一、判断题1。虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难，往往实际评估多采取定性评估,或者定性和定量评估相结合的方法。定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对。3。通常在风险评估的实践中,综合利用基线评估和详细评估的优点，将二者结合起来。二、单选题1。下列关于风险的说法,是错误的。风险是客观存在的导致风险的外因是普遍存在的安全威胁导致风险的外因是普遍存在的安全脆弱性风险是指一种可能性2。下列关于风险的说法，是正确的.A。可以采取适当措施，完全清除风险B。任何措施都无法完全清除风险C。风险是对安全事件的确定描述D。风险是固有的，无法被控制3。风险管理的首要任务是。A。风险识别和评估风险转嫁C。风险控制接受风险4。关于资产价值的评估，说法是正确的。A。资产的价值指采购费用B。资产的价值无法估计C。资产价值的定量评估要比定性评估简单容易D。资产的价值与其重要性密切相关5。采取适当的安全控制措施，可以对风险起到作用。A。促进B。增加减缓清楚6。当采取了安全控制措施后，剩余风险可接受风险的时候,说明风险管理是有效的。等于大于小于不等于7。安全威胁是产生安全事件的。A。内因B。外因C•根本原因D。不相关因素8。安全脆弱性是产生安全事件的。内因B。外因C。根本原因不相关因素9。安全审计是一种很常见的安全控制措施，它在信息安全保障体系中，属于措施。保护检测响应恢复根据风险管理的看法，资产价值,脆弱性，被安全威胁,风险。存在利用导致具有B。具有存在利用导致导致存在具有利用D。利用导致存在具有11。根据定量风险评估的方法，下列表达式正确的是.SLE=AVXEFALE=AVXEFALE=SLEXEFALE=SLEXAV关于安全审计目的描述错误的是。A。识别和分析未经授权的动作或攻击B。记录用户活动和系统管理C。将动作归结到为其负责的实体D。实现对安全事件的应急响应安全审计跟踪是。安全审计系统检测并追踪安全事件的过程安全审计系统收集易于安全审计的数据人利用日志信息进行安全事件分析和追溯的过程对计算机系统中的某种行为的详尽跟踪和观察14。在安全评估过程中，采手段，可以模拟黑客入侵过程，检测系统安全脆弱性.问卷调查B。人员访谈C。渗透性测试手工检查三、多选题1。下列因素，会对最终的风险评估结果产生影响。A。管理制度B。资产价值C。威胁D。脆弱性E。安全措施2。下列因素与资产价值评估有关。A。购买资产发生的费用B。软硬件费用C。运行维护资产所需成本D。资产被破坏所造成的损失E。人工费用安全控制措施可以分为。管理类技术类人员类操作类检测类对于计算机系统，由环境因素所产生的安全隐患包括。恶劣的温度、湿度、灰尘、地震、风灾、火灾等强电、磁场等C。雷电D。人为的破坏四、问答题1。简述信息安全风险的计算过程。2。一个公司投资50万美元建立一个网络运营中心，经过评估，最大的风险是发生火灾，每次火灾大概造成45％的资产损失,经过统计，该地区每5年发生一次火灾,试通过定量分析的方法，计算风险造成的损失。3。简述信息安全脆弱性的分类及其内容.答案一、判断题1。对2.对3。对二、单选题1oC2.B3。A4.D5。7.B6.C7.B9.B10。B11.A12。D13。A14。C三、多选题1。BCDE2°ACD3.ABD4。ABCD四、问答题1。简述信息安全风险的计算过程。答：风险计算的过程是:（1）对信息资产进行识别，并对资产赋值；（2）对威胁进行分析，并对威胁发生的可能性赋值；（3）识别信息资产的脆弱性,并对脆弱性的严重程度赋值；（4）根据威胁和脆弱性计算安全事件发生的可能性；（5）结合信息资产的重要性和该资产发生安全事件的可能性计算信息资产的风险值。一个公司投资50万美元建立一个网络运营中心，经过评估，最大的风险是发生火灾,每次火灾大概造成45％的资产损失,经过统计，该地区每5年发生一次火灾，试通过定量分析的方法，计算风险造成的损失.答：资产价值AV=50万美元暴露因子EF=45%单一损失期望SLE=AVXEF=22。5万美元年度发生率AR0=20%年度损失期望ALE=SLEXAR0=4。5万美元3。简述信息安全脆弱性的分类及其内容。答:信息安全脆弱性的分类及其内容如下表所示脆弱性分类名称包含内容技术物理安全物理设备的访问控制、电力供应等

脆弱性网络安全基础网络架构、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全等系统安全系统软件安全漏洞、系统软件配