信息安全管理与评估复习题 2015.docVIP

信息系统：计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 信息安全：保护信息系统的硬件、软件及相关数据，使之不因为偶然或恶意侵犯而遭到破坏、更改及泄露，保证信息系统能够连续、可靠、正常的运行。 信息安全管理体系（Information Security Management System，ISMS）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 信息安全风险评估：从风险管理角度，运用定性、定量的科学分析方法和手段，系统地分析信息和信息系统等资产所面临的、人为的和自然的威胁，以及威胁事件一旦发生可能遭受的危害程度，有针对性地提出抵御威胁的安全等级防护对策和整改措施，从而最大限度地减少经济损失和负面影响。 风险评估的意义 风险评估是了解信息系统安全风险的重要手段。风险评估的最终目的是指导信息系统的安全建设，安全建设的实质是控制信息安全风险。风险评估结果是后续安全建设的依据。 信息安全管理与风险评估的关系 信息安全风险评估是信息安全风险管理的一个阶段。信息安全风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动。风险评估使得组织能够准确定位风险管理的