信息系统安全评测与风险评估试题及答案.pdfVIP

-

信息系统平安评测与风险评估试题

**分数

.docin./phtmlGB/T19716-2005

GB/T20269信息系统平安管理要求

GB/T20270网络根底平安技术要求

GB/T20271信息系统通用平安技术要求

资产赋值风险赋值

一：填空题〔36分〕

1.信息平安评测实际上蕴含着丰富的思想涵，肃的〔〕，谨

的〔〕，格的〔〕以及极具魅力的评测技巧，是一个科学

和艺术圆满结合的领域。

2.在评测一个信息系统的数据平安时，标准要求从数据完整性，数据

〔**性〕和数据的〔备份〕与恢复三个环节来考虑。

3.资产分类的法较多，大体归纳为2种，一种是“自然形态〞，即按

照系统组成成分和效劳容来分类，如分成“数据，软件〔硬件〕，效

劳〔人员〕，其他〞六大类，还可以按照“信息形态〞将资产分为“信

息，〔信息载体〕和〔信息环境〕三大类。

4.资产识别包括资产分类和〔资产赋值〕两个环节。

5.威胁的识别可以分为重点识别和〔全面识别〕

6．脆弱性识别分为脆弱性发现〔脆弱性分类〕脆弱性验证和〔脆弱

性赋值〕

7.风险的三个要素是资产〔脆弱性〕和〔威胁〕

.z.

-

8.应急响应方案应包含准则，〔〕预防和预警机制

〔〕〔〕和6个根本要素。

9.信息平安风险评估的原则包括

可控性原则、完整性原则、最小影响原则、**原则

10.信息平安风险评估概念

信息平安风险评估是依据有关信息平安技术与管理标准，对信息

系统及由其处理、传输和存储的信息的**性、完整性和可用性等

平安属性进展评价的过程，它要评估资产面临的威胁以及威胁利

用脆弱性导致平安事件的可能性，并结合平安事件所涉及的资产

价值来判断平安事件一旦发生对组织造成的影响

11.信息平安风险评估和风险管理的关系

信息平安风险评估是信息平安风险管理的一个阶段，只是在更大

的风险管理流程中的一个评估风险的一个阶段

12.信息平安风险评估的分类

基线风险评估、详细风险评估、联合风险评估

13.

二：问答题：〔64分〕

1.什么是平安域.目前中国划分平安域的法大致有哪些.〔10分〕

1.平安域是将一个大型信息系统中具有*种相似性的子系统聚集在

一起。目前，中国划分平安域的法大致归纳有资产价值相似性平

安域，业务应用相似性平安域，平安需求相似性平安域和平安威

胁相似性平安域。

.z.

-

2.数据平安评测是主要应用哪三种法进展评测.你如理解.〔10分〕

标准中要求信息平安评测工程师使用访谈、检查、测试三种法进

展测评

访谈：指测评人员通过与信息系统有关人员进展交流，讨论等活

动，获取证据以证明信息系统平安等级保护措施是否有效的一种

法

检查：指测评人员通过对测评对对象进展观察，检查和分析等活

动，获取证据证明信息系统平安等级保护措施是否有效的一种法

测试：指测评人员通过对测评对象按照预定的法/工具使其产生特

定的行为等活动，然后查看，分析输出结果，获取证据以证明信

息系统平安等级保护措施是否有效的一种访求

3.标准中把主机评测分为哪八个环节.你如理解.〔10分〕

身份鉴别自主访问控制强制访问控制平安审计剩于信息保护

入侵防恶意代码防

4.什么是资产和资产价值.什么是威胁和威胁识别.什么是脆弱性.

〔14分〕

资产