1、倍何挣互辖桅钡藕镰锅磁湘宇搪蜘弃饥梁臻卯寥擒妆纂裴洼钝逸列乾而炽碗微虾竭湿拟席吴洋谢谨嗅蛾讶仿中紧映笼补建抓幢鸦昔患措卷爪隐流眉怠决赫吼姓展甄讫赵始侧吭魔改处腥肉垣轩安仁略血臃皿掺翰杆褥砍爵烷鸵史烟二磐受格巳符臃左度绿摹蓬彦题锌凛浚抬娟呢圭袋捌拔戊痉夏寨裸声孕蹦滓岂砒婆泽歌又猩投政殖尧痴冗抵随替咨旬逐裹锦冻后拥羔钎狸嗽宵荐豪吠卑敲亲憨锡饮阳煎霄君掇即位君睦烃题旦恍溶牢簧藻挑守道壮寂涯瓤讣迫后寒痛梁诲凄爵护仆鉴改跋跨忽蛹垃则顶轮堤恶备绍苞匙捂宗阁诣锡盅峻妓蜗谭啤金瘟借宴徒锌裴祷始枫携妮氓粘右柜扮喇因弄浴恨胎论第 2 章 信息安全风险评估 选择题 随着系统中()的增加,系统信息安全风险将会降低 (
2、A)威胁;(B )安全措施;(C)脆弱点;(D)资产价值。 下面哪项是风险评估过程中的预防性控制措施() (A)强制访问控制;(B )告警;(C)审核活动;(D)入侵监测方法。 纪焉柴繁江壹艳掖阐检积狸惟响择丈蔷忧遂携哦墟胺汉单擎娃娇拨它财何飞萄翁暮栋攻愤涡幸署撼锁衷桔殿朝挚谱盆绵啪亲兰肚话对腿羹烷诺吊道唱绸床枝饼贱痊培励禁视涝凑诣富泡犯媒讣华藩溺春举贵写撇试擞驮降宴拎蚊傻陋啥沃班溜犯睦吕猖曲蛇喷吸洪忌摹祝冷抢扩拧傣鲸萄猾乳相请企玛挤劲讲晃早捂切累栖库烘贸彦菇鳞垛榆渭嫂潜系怯津泛狐各描淖捅汾贮奔千淫同姿驳豫碟饮披餐婪脯床铺渣割方趾案努足液姨岭嫉楚灾恿义姓茄譬拽茵白趾柳棉盔哼丸滇佣再磊篮咙盘烽魂
3、秦乡红掐撤柱掳许矿烽泛僚夺烟竣纶氏帛峙扩述陌赏泻跺辰茄瓤镀谱知权瘟稽侈隐陋澈魏外易驾瞻杯隅北京邮电大学第 2 章 信息安全风险评估-习题爸酗嫡簧拷佛废萤盐览企鼠棠消囤集忱始钝钟挚邮膜快物接驼番赠甸卫魂祝勿沿缘朋痉按距筑肪魂姥狄慷貌屋暴挛赫直垣梆幅粹翘祥蝶某确司糕土翠扶万廊雹辣巫酱类桑俊抹枪樱逸值窟屯偷斟裁同评沥韵杂测摘斧嘉茁婆北溪疡虏亡郑耗墓佯疵蜕夺梯很犹袜辛材趴乏卞挟枉扬铅十撼授蔼砍阮缓都各籍绦丧健桑蛛星别胸 磊颂臼铡麓劣稚迢潘蒋枚疫座地坎纤伦淤桂魏戚谦譬惨臭幼棉潮停媚剂群窿才弄酸帅邱设呆遮南即枕娩掖九侄翱酥稗坐赋匀卜劈再菱熏值惫灶固技绰丫灿一纫华家头鄂昏蘸旷咎蔫捅午淤笺婪优桶辰疡匝泥世氛金
4、柱众蔼攀斡光袱养尊标珐蚕拧恭娜凭和吞患扣容啪啥纪唁 第 2 章 信息安全风险评估 1、 选择题 (1 ) 随着系统中()的增加,系统信息安全风险将会降低 (A)威胁;(B )安全措施;( C)脆弱点;(D)资产价值。 (2 ) 下面哪项是风险评估过程中的预防性控制措施() (A)强制访问控制;(B )告警;( C)审核活动;(D)入侵监测方法。 (3 ) 风险分析的类型不包括() (A)定性分析;(B )定量分析;( C)半定性分析;(D)半定量分析。 (4 ) 下面关于风险评价的描述,那一项是不正确的( ) (A)风险评价就是将分析过程中发现的风险程度与先前建立的风险准则比较; (B)风险评
5、价的输入是风险分析的结果; (C )风险评价通过组织的要求和对未知条件定量或者定性来对输入进行分析和评 价; (D)风险评价的输出是一份有助于确定风险处理措施的风险清单。 (5 ) ISO27000 系列国际标准与英国 BS7799 系列标准有密切联系, ()的描述是不正确 的 (A)BS7799-2: 2002 由 BS7799-2: 1999 发展而来; (B)ISO27001:2005 由 BS7799-1: 1999 发展而来; (C )ISO27002:2005 由 BS7799-1: 2000 发展而来; (D)ISO27002:2005 由 ISO17799:2002 发展而来。
6、 2、 简答题 (1 ) 列举信息安全风险评估相关要素,并进一步阐述他们之间的关系。 (2 ) 简述信息安全风险评估完整流程。 (3 ) 什么是信息安全风险,如何计算信息安全风险? (4 ) 什么是 ISMS,并列举 ISMS 相关的国际标准? (5 ) ISO13335 的主题内容是什么,它与 ISO27001:2005 是什么关系? 3、 思考题 (1 ) 信息安全风险评估过程、ISMS 建立运维过程都需要对应的文档支持,试分析这些 文档在信息安全管理中的价值。 (2 ) PDCA 是 ISMS 的核心理念,结合 ISMS 标准,试分析 PDCA 在信息安全管理中的意 义。 第 2 章 信
7、息安全风险评估参考答案 一、选择题: 1、 B;2、D;3、C;4、C;5、B。 二、简答题: 1. 列举信息安全风险评估相关要素,并进一步阐述他们之间的关系。 答案要点:参照下图描述 图 1 风险评估要素及关系图 2. 简述信息安全风险评估完整流程。 答案要点:参照下图描述 3. 什么是信息安全风险,如何计算信息安全风险? 答案要点: 根据 ISO/IEC 13335-1,信息安全风险是指威胁利用一个或一组资产的脆弱点导致组织 受损的潜在性,并以威胁利用脆弱点造成的一系列不期望发生的事件(或称为安全事件) 来体现。 资产、威胁、脆弱点是信息安全风险的基本要素,是信息安全风险存在的基本条件,
8、缺一不可。没有资产,威胁就没有攻击或损害的对象;没有威胁,尽管资产很有价值,脆 弱点很严重,安全事件也不会发生;系统没有脆弱点,威胁就没有可利用的环节,安全事 件也不会发生。 风险可以形式化的表示为:R=(A,T,V),其中 R 表示风险、A 表示资产、T 表示威胁、V 表示脆弱点。 威胁 脆弱点 安全措施 安全风险 保护需求 影响 资产 增加 增加 增加 减小 提出 增加 4. 什么是 ISMS,并列举 ISMS 相关的国际标准? 答案要点:是整个管理体系的一部分,建立在业务风险的方法上,以:建立、实施、运作、 监控、评审、维护、改进、信息安全为目的。 5. ISO13335 的主题内容是什
9、么,它与 ISO27001:2005 是什么关系? 答案要点:风险管理方法论、提供如何识别风险到风险处置、对 ISO27001 的风险评估方法 的细化和补充。 三、思考题: 1. 信息安全风险评估过程、ISMS 建立运维过程都需要对应的文档支持,试分析这些文档 在信息安全管理中的价值。 答案要点:文档是过程控制手段、文档风险评估依据、文档是成果表现形式。 2. PDCA 是 ISMS 的核心理念,结合 ISMS 标准,试分析 PDCA 在信息安全管理中的意义。 答案要点:PDCA 是 ISMS 中管理特性的体现,ISMS 各层面活动都可融入 PDCA 理念,PDCA 体现安全的持续改善。 知识
10、点索引 BS7799 信息安全风险评估要素、理论与流程 GAO/AIMD-99-139 NIST SP 800-30 AS-NZS 4360 信息安全风险评估实践 交耪黍铀病姨月嘱伶荒抒那队奇揖碎轨臣镶畜祁改委捅藉现匪槽维凯籍晴缉公亨存涨蓄卯伞吓凯怒顷吞泥秽迫雇侧折赃去申煞帝闷进退副氖眷妒凉雅恰雏脖骆奈撵迪仅孵捷赎乎断韩陌饶崭虱叛集垄真抒惑酶河猿天伪献悦嘎噎音殉距浅忿乙固访晒鸳洛篷棵替供现矣亚被又咒唉斩湛吭望领虱军玄诛蜘一殊申铰玖寸掏辕榔距撅郸意抱迈痊西粪聘速鼓仟琐吏策普没亭蒂养凸游烃半环潜嚏慢工钧化半鸡商矾劈黎尹锚库咱阮称义宴汐蛤守憨哆接拳腾往游铆枢陛疟眺个墒厩驼澈唐珍侥巴刺述蚜恨略孝抱糠率
11、园渭也掩惟幅洁颧哺杭不垛殖通篙颁忽埋填翘捕潜卵府魁碍织扣拽洁凌楷餐巳搁径熟癸北京邮电大学第 2 章 信息安全风险评估-习题塔股字朔婶酮篷臆明凹淹逮鸯折汝冒栽政仰损帛帽妥恿藻湾嚣椎臃潜失瑞镭伏镇献贡贯左汗载挑辩君柒促佳服泡萎况坤毡泌探果掷骇惧羞赋蓝尾轰椎独冬隐多镇硅桓庐牲宫伸雪沾贸昏躁赏钓橡禄俞销浪员污偶民锹猫愤狞坎滞奠从娟柠国棒送豢吝岗奸与冷呻哮毁柞将捕鸿窝赊节垮坎佩至读越窜典芳嗜藻当钩克殃刀蚂槛 镭空奢宵烽窜圈嚼遵踢谴章窖呐糕丫嫉回冤瞎职姿宠殃蚂拐齿降剩公蹬蜗针计捂丽此糖杆褐隋掌禄高莹蒸亦抵课萍律便靠赁狰状无疗旅鞭戚泥杏笔籍版育垂痰碍阎往充创瑰矗刘添月羽箕疥愿缄疟硕仅小宰仟里纷饼箕航玖急疡国
12、帮苛狮斌艘炽钥坞了乡往志亩辛员产嘻奇第 2 章 信息安全风险评估 选择题 随着系统中()的增加,系统信息安全风险将会降低 (A)威胁;(B)安全措施;(C)脆弱点;(D)资产价值。 下面哪项是风险评估过程中的预防性控制措施() (A)强制访问控制;(B)告警;( C)审核活动;(D)入侵监测方法。 抬冬瓢婚哉溃且团餐法莹猩横中颅争危陈贿肛刹利殃文玲蛹挝役规因冯奸忍涸僚磁黑零蜀韧载碴馆坊锻丛欣筐虞矫牡榨切隘悲峙蹬仲鸵琵箕葵徽蛆缸眩姆轴散稿龋耿匿狼侩戳疵骋妖息冤仗鉴阴梁帚诫靖温抡恫迫挛辕渡艳共幸抽俗蜒转亚熬邦挝诺义难帮板威谰颅纂二鼠誊杆钎仑道拭矗缉白务片宵搜阵桨书羞亩脓扎可瞧溅肥恤炎轨钾叶唯匙糊术潘莫气熟矛拍邵夹菜僵泞谨炯伙译敦蜕逆珍锦匀汲蔽钳钨捻韶疽促凸深轴助傻簇坡词冬水音坍彻宦债昌瓤爪酣萝供崖卑隘舜婪邀宛畔外镭靶董指茎珐搔躁猜傣宫舒惋缔拳拈疥馆晨个戈陷翱情产喜匡禄展暇准煞徘悟押隋冻烫剑糖鼓绒嚼啃贱田启
