信息系统安全评测与风险评估试题姓名分数http://www
com/p-41729651
htmlGB/T19716-2005GB/T20269信息系统安全管理要求GB/T20270网络基础安全技术要求GB/T20271信息系统通用安全技术要求资产赋值风险赋值一:填空题(36分)1
信息安全评测实际上蕴含着丰富的思想内涵,严肃的(),严谨的(),严格的()以及极具魅力的评测技巧,是一个科学和艺术圆满结合的领域
在评测一个信息系统的数据安全时,国家标准要求从数据完整性,数据(保密性)和数据的(备份)与恢复三个环节来考虑
资产分类的方法较多,大体归纳为2种,一种是“自然形态”,即按照系统组成成分和服务内容来分类,如分成“数据,软件(硬件),服务(人员),其他”六大类,还可以按照“信息形态”将资产分为“信息,(信息载体)和(信息环境)三大类
资产识别包括资产分类和(资产赋值)两个环节
威胁的识别可以分为重点识别和(全面识别)6.脆弱性识别分为脆弱性发现(脆弱性分类)脆弱性验证和(脆弱性赋值)7
风险的三个要素是资产(脆弱性)和(威胁)8
应急响应计划应包含准则,()预防和预警机制()()和附件6个基本要素
信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则10
信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程,它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响11
信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的一个阶段12
信息安全风险评估的分类基线风险评估、详细风险评