企业信息系统安全评测与风险评估试题.pdfVIP

【必威体育精装版资料，WORD文档，可编辑修改】

信息系统安全评测与风险评估试题

姓名分数

GB/T20269信息系统安全管理要求

GB/T20270网络基础安全技术要求

GB/T20271信息系统通用安全技术要求

资产赋值风险赋值

一：填空题（36分）

1.信息安全评测实际上蕴含着丰富的思想内涵，严肃的（），严

谨的（），严格的（）以及极具魅力的评测技巧，是一个

科学和艺术圆满结合的领域。

2.在评测一个信息系统的数据安全时，国家标准要求从数据完整性，数据

（必威体育官网网址性）和数据的（备份）与恢复三个环节来考虑。

3.资产分类的方法较多，大体归纳为2种，一种是“自然形态”，即按照

系统组成成分和服务内容来分类，如分成“数据，软件（硬件），服务（人

员），其他”六大类，还可以按照“信息形态”将资产分为“信息，（信

息载体）和（信息环境）三大类。

4.资产识别包括资产分类和（资产赋值）两个环节。

5.威胁的识别可以分为重点识别和（全面识别）

6．脆弱性识别分为脆弱性发现（脆弱性分类）脆弱性验证和（脆弱性赋

值）

7.风险的三个要素是资产（脆弱性）和（威胁）

8.应急响应计划应包含准则，（）预防和预警机制（）

（）和附件6个基本要素。

9.信息安全风险评估的原则包括

可控性原则、完整性原则、最小影响原则、必威体育官网网址原则

10.信息安全风险评估概念

信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由

其处理、传输和存储的信息的必威体育官网网址性、完整性和可用性等安全属性进行评

价的过程，它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的

可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组

织造成的影响

11.信息安全风险评估和风险管理的关系

信息安全风险评估是信息安全风险管理的一个阶段，只是在更大的风险管

理流程中的一个评估风险的一个阶段

12.信息安全风险评估的分类

基线风险评估、详细风险评估、联合风险评估

13.

二：问答题：（64分）

1.什么是安全域？目前中国划分安全域的方法大致有哪些？（10分）

1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。

目前，中国划分安全域的方法大致归纳有资产价值相似性安全域，业务

应用相似性安全域，安全需求相似性安全域和安全威胁相似性安全域。

2.数据安全评测是主要应用哪三种方法进行评测？你如何理解？（10

分）

国家标准中要求信息安全评测工程师使用访谈、检查、测试三种方法进

行测评

访谈：指测评人员通过与信息系统有关人员进行交流，讨论等活动，获

取证据以证明信息系统安全等级保护措施是否有效的一种方法

检查：指测评人员通过对测评对对象进行观察，检查和分析等活动，获

取证据证明信息系统安全等级保护措施是否有效的一种方法

测试：指测评人员通过对测评对象按照预定的方法/工具使其产生特定

的行为等活动，然后查看，分析输出结果，获取证据以证明信息系统安

全等级保护措施是否有效的一种访求

3.国家标准中把主机评测分为哪八个环节？你如何理解？（10分）

身份鉴别自主访问控制强制访问控制安全审计剩于信息保护入

侵防范恶意代码防范

4.什么是资产和资产价值？什么是威胁和威胁识别？什么是脆弱性？

（14分）

资产是对组织具有价值的信息或资源，是安全策略保护的对象

资产价值是资产的重要程度或敏感程度的表征。资产价值是资产的属

性，也是进行资产识别的租用内容。

威胁指可能导致对系统或组织危害的事故潜在的起因。

脆弱性指可能被威胁利用的资产或若干资产的薄弱环节。

脆弱性识别，指分析和度量可能被威胁利用的资产薄弱环节的过

5.什么是风险评估？如何进行风险计算？（20分）

2.风险评估指，依照国家有关标准对信息系统及由其处理，传输和存储