2025年北京邮电大学信息安全风险评估习题.docVIP

第2章信息安全风险评估

选择题

随着系统中()的增加，系统信息安全风险将会降低

(A)威胁；(B)安全方法;（Ｃ)脆弱点；（Ｄ)资产价值。

下面哪项是风险评估过程中的防止性控制方法()

（A)强制访问控制；（B)告警；（C）审核活动；（D）入侵监测方法。

风险分析的类型不包含()

(A）定性分析；（B）定量分析;（C）半定性分析;（D）半定量分析。

下面关于风险评价的描述，那一项是不对的的（)

（A)风险评价就是将分析过程中发现的风险限度与先前建立的风险准则比较;

（B）风险评价的输入是风险分析的成果;

(Ｃ)风险评价经过组织的规定和对未知条件定量或者定性来对输入进行分析和评价;

(D)风险评价的输出是一份有利于拟定风险解决方法的风险清单。

IＳＯ２7０００系列国际原则与英国ＢS７７99系列原则有密切联络,()的描述是不对的的

(A）BS7799-2:由ＢS７７９9-2：19９9发展而来;

（B)ISO2700１:由BＳ7799－1：1999发展而来；

(C)ＩSO２7002:由BS7７９9-1:发展而来；

（Ｄ）ISO27002：由ISO1７7９9:发展而来。

简答题

列举信息安全风险评估相关要素,并进一步阐述他们之间的关系。

简述信息安全风险评估完整流程。

什么是信息安全风险，如何计算信息安全风险？

什么是ISMＳ，并列举IＳMS相关的国际原则？

ISO1３３３５的主题内容是什么，它与ISＯ2700１:是什么关系?

思考题

信息安全风险评估过程、IＳMＳ建立运维过程都需要相应的文档支持,试分析这些文档在信息安全管理中的价值。

PDCA是ISMS的关键理念，结合ISＭS原则，试分析PDＣA在信息安全管理中的意义。

第2章信息安全风险评估—参考答案

一、选择题：

1、Ｂ;2、D;3、C;4、C;５、Ｂ。

二、简答题：

列举信息安全风险评估相关要素，并进一步阐述他们之间的关系。

答案要点：参考下列图描述

图1风险评估要素及关系图

简述信息安全风险评估完整流程。

答案要点：参考下列图描述

什么是信息安全风险,如何计算信息安全风险?

答案要点：

依照ＩＳO/IEC1３３35-1，信息安全风险是指威胁运用一个或一组资产的脆弱点导致组织受损的潜在性，并以威胁运用脆弱点导致的一系列不盼望发生的事件(或称为安全事件）来体现。

资产、威胁、脆弱点是信息安全风险的基本要素，是信息安全风险存在的基本条件，缺一不可。没有资产，威胁就没有攻击或损害的对象;没有威胁，尽管资产很有价值,脆弱点很严重,安全事件也不会发生；系统没有脆弱点,威胁就没有可运用的环节，安全事件也不会发生。

风险可以形式化的表达为：Ｒ=(A,T,Ｖ),其中R表达风险、A表达资产、T表达威胁、V表达脆弱点。

什么是ISＭS,并列举ISMＳ相关的国际原则？

答案要点:是整个管理体系的一部分，建立在业务风险的方法上,以:建立、实施、运作、监控、评审、维护、改善、信息安全为目标。

ISO１３335的主题内容是什么,它与IＳO２７001:是什么关系?

答案要点:风险管理方法论、提供如何识别风险到风险处置、对ＩSＯ2７０01的风险评估方法的细化和补充。

三、思考题：

信息安全风险评估过程、ISMS建立运维过程都需要相应的文档支持,试分析这些文档在信息安全管理中的价值。

答案要点：文档是过程控制伎俩、文档风险评估依据、文档是成果体现形式。

PDCA是ＩＳＭS的关键理念,结合IＳMＳ原则，试分析PＤCA在信息安全管理中的意义。

答案要点:ＰDCA是ISMS中管理特征的体现，ISMS各层面活动都可融入PＤＣA理念,ＰDCＡ体现安全的连续改善。

知识点索引

ＢＳ７799

信息安全风险评估要素、理论与流程

GAO/AＩMD-99-13９

NIＳTＳP8０0-３0

AS-NＺＳ4360

信息安全风险评估实践