信息安全管理与评估复习题2015..docVIP

信息系统：计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 信息安全：保护信息系统的硬件、软件及相关数据，使之不因为偶然或恶意侵犯而遭到破坏、更改及泄露，保证信息系统能够连续、可靠、正常的运行。 信息安全管理体系（Information Security Management System，ISMS）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 信息安全风险评估：从风险管理角度，运用定性、定量的科学分析方法和手段，系统地分析信息和信息系统等资产所面临的、人为的和自然的威胁，以及威胁事件一旦发生可能遭受的危害程度，有针对性地提出抵御威胁的安全等级防护对策和整改措施，从而最大限度地减少经济损失和负面影响。 风险评估的意义 风险评估是了解信息系统安全风险的重要手段。风险评估的最终目的是指导信息系统的安全建设，安全建设的实质是控制信息安全风险。风险评估结果是后续安全建设的依据。 信息安全管理与风险评估的关系 信息安全风险评估是信息安全风险管理的一个阶段。信息安全风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动。风险评估使得组织能够准确定位风险管理的策略、实践和工具，能够将信息安全活动的重点放在重要的问题上，能够选择成本效益合理的和适用的安全对策。基于风险评估的风险管理方法被实践证明是有效的和实用的，己被广泛应用于各个领域。因此，风险评估是信息安全管理体系和信息安全风险管理的基础，是对现有网络的安全性进行分析的第一手资料，也是网络安全领域内最重要的内容之一，它为实施风险管理和风险控制提供了直接的依据。 建立信息安全管理体系6个基本步骤： （1）信息安全管理体系的策划与准备； （2）信息安全管理体系文件的编制； （3）建立信息安全管理框架； （4）信息安全管理体系的运行； （5）信息安全管理体系的审核； （6）信息安全管理体系的管理评审。 信息安全风险评估依据 1. 政策法规 2. 国际标准 3. 国家标准 4. 行业标准 信息安全风险评估原则 1. 可控性原则 2. 完整性原则 3. 最小影响原则 4. 保密原则 TCSEC：可信计算机系统评估标准（Trusted Computer System Evaluation Criteria, TCSEC），将安全分为4个方面（安全政策、可说明性、安全保障和文档）和7个安全级别（从低到高依次为D、C1、C2、B1、B2、B3和A级）。 IT治理是组织根据自身文化和信息化水平构建适合组织发展的架构并实施的一种管理过程，是平衡IT资源和组织利益相关者之间IT决策权力归属与责任分配的一种管理模式，旨在规避IT风险和增加IT收益，实现IT目标与组织业务目标的融合。 2．PRINCE2，结构化的项目管理方法，其过程模型由8个管理过程组成。 3．ITIL：信息技术基础架构库(Information Technology Infrastructure Library, ITIL)由英国政府部门CCTA(Central Computing and Telecommunications Agency)在20世纪80年代末制订，现由英国商务部OGC(Office of Government Commerce)负责管理，主要适用于IT服务管理(ITSM)。 4. COBIT模型：COBIT(Control Objectives for Information and related Technology)是目前国际上通用的信息系统审计的标准，由ISACA（The Information System Audit and Control Association，美国信息系统审计与控制协会）在1996年公布。 2012年4月，ISACA官方正式发布COBIT5.0。COBIT5.0提出了能使组织在一套包含7个驱动因素整体方法下、建立有效治理和管理框架的5个原则，以优化信息和技术的投资及使用以满足相关者的利益。 标准间的相互关系： COBIT、ITIL、ISO/IEC 27001和PRINCE2在管理IT上各有优势， 如COBIT重点在于IT控制和IT度量评价； ITIL重点在于IT过程管理，强调IT支持和IT交付：ISO/IEC 27001重点在于IT安全控制； PRINCE2重点在于项目管理，强调项目的可控性，明确项目管理中人员角色的具体职责，同时实现项目管理质量的不断改进。 资产识别工作内容 1. 回顾评估范围内的业务 2. 识别信息资产，进行合理分类 3. 确定每