一、名词解释:1、资产:被组织赋予了价值、需要保护的有用资源。2、资产的价值:资产对一个机构的业务的重要程度3、威胁:可能对资产或组织造成损害的事故的潜在原因。4、脆弱性:资产的弱点或薄弱点,这些弱点可能被威胁利用造成安全事件的发生,从而对资产造成损害。5、安全风险:特定的威胁利用资产的一种或多种脆弱性,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。6、风险评估:对信息和信息处理设施的威胁、影响和脆弱性及三者发生的可能性的评估。7、风险管理:通过风险评估来识别风险大小,通过制定信息安全方针、采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。8、安全需求:组织对信息系统安全的要求。9、安全控制:保护组织资产、防止威胁、减少脆弱性、限制安全事件影响的一系列安全实践、过程和机制。10、剩余风险:采取了安全措施,提高了信息安全保障能力后,仍然可能存在的风险。11、适用性声明:指对适用于组织需要的目标和控制的描述。12、安全的信息系统:并不是指“万无一失”的信息系统,而是指残余风险可以被接受的安全系统。13、信息安全策略:本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护的一个计划。14、应急响应:通常是指人们为了应对各种紧急事件的发生所做的准备以及在事件发生后所采取的措施。15、基本风险评估:指应用直接和简易的方法达到基本的安全水平,就能满足组织及其业务环境的所有要求。二、填空题1、根据目标、系统类型以及系统服务对象的不同,信息系统主要分为业务处理系统、职能系统、组织系统、决策支持系统。2、系统的整个开发过程可以划分为规划、分析、设计、实现和运行5个阶段。3、系统面临的技术安全问题包括网络安全性、系统安全性、用户安全性、应用程序安全性、数据安全性、4、信息安全策略分为信息安全方针和具体的信息安全策略两个层次。5、系统安全管理的目标是确保系统运行过程中的安全性,主要包括可靠性、可用性、保密性、完整性、不可抵赖性、可控性等几个方面。6、信息安全事件分类分级指南把信息安全划分为四个级别:特别重大事件,重大事件,较大事件和一般事件三.简答题1、等级保护的含义信息安全等级保护是根据信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险,应对风险的安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。等级划分:自我保护级;指导保护级;监督保护剂;强制保护级;专控保护级实施阶段:定级阶段:a系统识别与描述b等级确定规划与设计阶段a系统分域保护框架建立b选择和调整安全措施c安全规划和方案设计实施、等级评估与改进阶段:a安全措施的实施b评估与验收c运行监控与改进2、信息安全管理体系信息安全管理的内涵信息安全管理是通过维护信息的机密性、完整性和可用性等,来管理和保护信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。信息安全管理是信息安全保障体系建设的重要组成部分。信息安全管理的内容:安全方针和策略;组织安全;资产分类与控制;人员安全;物理与环境安全;通信、运行与操作安全;访问控制;系统获取、开发与维护;安全事故管理;业务持续性;符合性。3、信息安全管理体系信息安全管理体系概念:是组织在整体或特定范围内建立的信息安全方针和目标,以及完整这些目标所用的方法和手段所构成的体系。信息安全管理体系的特点:以预防控制为主的思想;强调合规性;强调全过程和动态控制;关注关键性信息资产。建立ISMS的步骤:信息安全管理体系的策划与准备;信息安全管理体系文件的编制;建立信息安全管理框架;信息安全管理体系的运行;信息安全管理体系的审核与评审ISMS的作用:强化员工的信息安全意识,规范组织信息安全行为;促使管理层贯彻信息安全保障体系;对关键信息资产进行全面系统的保护,维持竞争优势;确保业务持续开展并将损失降到最低程度;使组织的生意伙伴和客户对组织充满信心;如果通过体系认证,可...
