第 2 章 信息安全风险评估1、 选择题(1)伴随系统中()的增长,系统信息安全风险将会减少(A)威胁;(B)安全措施;(C)脆弱点;(D)资产价值。(2)下面哪项是风险评估过程中的防止性控制措施()(A)强制访问控制;(B)告警;(C)审核活动;(D)入侵监测措施。(3)风险分析的类型不包括()(A)定性分析;(B)定量分析;(C)半定性分析;(D)半定量分析。(4)下面有关风险评价的描述,那一项是不对的的( )(A)风险评价就是将分析过程中发现的风险程度与先前建立的风险准则比较;(B)风险评价的输入是风险分析的成果;(C)风险评价通过组织的规定和对未知条件定量或者定性来对输入进行分析和评价;(D)风险评价的输出是一份有助于确定风险处理措施的风险清单。(5)ISO27000 系列国际原则与英国 BS7799 系列原则有亲密联络,()的描述是不对的的(A)BS7799-2: 由 BS7799-2: 1999 发展而来;(B)ISO27001:由 BS7799-1: 1999 发展而来;(C)ISO27002:由 BS7799-1: 发展而来;(D)ISO27002:由 ISO17799:发展而来。2、 简答题(1)列举信息安全风险评估有关要素,并深入论述他们之间的关系。(2)简述信息安全风险评估完整流程。(3)什么是信息安全风险,怎样计算信息安全风险?(4)什么是 ISMS,并列举 ISMS 有关的国际原则?(5)ISO13335 的主题内容是什么,它与 ISO27001:是什么关系?3、 思考题(1)信息安全风险评估过程、ISMS 建立运维过程都需要对应的文档支持,试分析这些文档在信息安全管理中的价值。(2)PDCA 是 ISMS 的关键理念,结合 ISMS 原则,试分析 PDCA 在信息安全管理中的意义。第 2 章 信息安全风险评估—参照答案一、选择题:1、B;2、D;3、C;4、C;5、B。二、简答题:1.列举信息安全风险评估有关要素,并深入论述他们之间的关系。答案要点:参照下图描述图 1 风险评估要素及关系图2.简述信息安全风险评估完整流程。答案要点:参照下图描述3.什么是信息安全风险,怎样计算信息安全风险?答案要点:根据 ISO/IEC 13335-1,信息安全风险是指威胁运用一种或一组资产的脆弱点导致组织受损的潜在性,并以威胁运用脆弱点导致的一系列不期望发生的事件(或称为安全事件)来体现。资产、威胁、脆弱点是信息安全风险的基本要素,是信息安全风险存在的基本条件,缺一不可。没有资产,威胁就没有袭击或损害的对象;没有威胁,尽管资产很有价值,脆弱点很严重,安全...
