信息安全管理体系自己整理.docx

第三章 信息安全管理体系一、判断题1.虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难，往往实际评估多采取定性评估，或者定性和定量评估相结合的方法。2.定性安全风险评估结果中，级别较高的安全风险应当优先采取控制措施予以应对。3.通常在风险评估的实践中，综合利用基线评估和详细评估的优点，将二者结合起来。二、单选题1.下列关于风险的说法， 是错误的。A.风险是客观存在的B.导致风险的外因是普遍存在的安全威胁C.导致风险的外因是普遍存在的安全脆弱性D.风险是指一种可能性2.下列关于风险的说法， 是正确的。A.可以采取适当措施，完全清除风险B.任何措施都无法完全清除风险C.风险是对安全事件的确定描述D.风险是固有的，无法被控制3.风险管理的首要任务是 。A.风险识别和评估B.风险转嫁C.风险控制 D.接受风险4.关于资产价值的评估， 说法是正确的。A.资产的价值指采购费用B.资产的价值无法估计C.资产价值的定量评估要比定性评估简单容易D.资产的价值与其重要性密切相关5.采取适当的安全控制措施，可以对风险起到 作用。A.促进B.增加C.减缓D.清楚6.当采取了安全控制措施后，剩余风险 可接受风险的时候，说明风险管理是有效的。A.等于 B.大于C.小于D.不等于7.安全威胁是产生安全事件的 。A.内因B.外因C.根本原因D.不相关因素8.安全脆弱性是产生安全事件的 。A.内因B.外因C.根本原因D.不相关因素9.安全审计是一种很常见的安全控制措施，它在信息安全保障体系中，属于 措施。A.保护B.检测C.响应D.恢复10.根据风险管理的看法，资产 价值， 脆弱性，被安全威胁 ， 风险。A.存在 利用 导致 具有B.具有 存在 利用 导致C.导致 存在 具有 利用D.利用 导致 存在 具有11.根据定量风险评估的方法，下列表达式正确的是 。A.SLE=AVEFB.ALE=AVEFC.ALE=SLEEFD.ALE=SLEAV12.关于安全审计目的描述错误的是 。A.识别和分析未经授权的动作或攻击B.记录用户活动和系统管理C.将动作归结到为其负责的实体D.实现对安全事件的应急响应13.安全审计跟踪是 。A.安全审计系统检测并追踪安全事件的过程B.安全审计系统收集易于安全审计的数据C.人利用日志信息进行安全事件分析和追溯的过程D.对计算机系统中的某种行为的详尽跟踪和观察14.在安全评估过程中，采取 手段，可以模拟黑客入侵过程，检测系统安全脆弱性。A.问卷调查B.人员访谈C.渗透性测试D.手工检查三、多选题1.下列 因素，会对最终的风险评估结果产生影响。A.管理制度B.资产价值C.威胁D.脆弱性E.安全措施2.下列 因素与资产价值评估有关。A.购买资产发生的费用B.软硬件费用C.运行维护资产所需成本D.资产被破坏所造成的损失E.人工费用3.安全控制措施可以分为 。A.管理类B.技术类C.人员类D.操作类E.检测类4.对于计算机系统，由环境因素所产生的安全隐患包括 。A.恶劣的温度、湿度、灰尘、地震、风灾、火灾等B.强电、磁场等C.雷电D.人为的破坏四、问答题1.简述信息安全风险的计算过程。2.一个公司投资50万美元建立一个网络运营中心，经过评估，最大的风险是发生火灾，每次火灾大概造成45的资产损失，经过统计，该地区每5年发生一次火灾，试通过定量分析的方法，计算风险造成的损失。3.简述信息安全脆弱性的分类及其内容。答案一、判 断 题1.对 2.对 3.对 二、单 选 题1.C 2.B 3.A 4.D 5.C 6.C 7.B 8.A 9.B 10.B 11.A 12.D 13.A 14.C 三、多 选 题1.BCDE 2.ACD 3.ABD 4.ABCD四、问 答 题1.简述信息安全风险的计算过程。答：风险计算的过程是：（1）对信息资产进行识别，并对资产赋值；（2）对威胁进行分析，并对威胁发生的可能性赋值；（3）识别信息资产的脆弱性，并对脆弱性的严重程度赋值；（4）根据威胁和脆弱性计算安全事件发生的可能性；（5）结合信息资产的重要性和该资产发生安全事件的可能性计算信息资产的风险值。2.一个公司投资50万美元建立一个网络运营中心，经过评估，最大的风险是发生火灾，每次火灾大概造成45的资产损失，经过统计，该地区每5年发生一次火灾，试通过定量分析的方法，计算风险造成的损失。答：资产价值AV=50万美元暴露因子EF=45%单一损失期望SLE=AVEF=22.5万美元年度发生率ARO=20%年度损失期望ALE=SLEARO=4.5万美元3.简述信息安全脆弱性的分类及其内容。答：信息安全脆弱性的分类及其内容如下表所示：脆弱性分类 名称包含内容 技术 脆弱性 物理安全物理设备的访问控制、电力供应等 网络安全基础网络架构、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全等 系统安全系统软件安全漏洞、系