我
- A.机构内部人员
- B.外部专业机构
- C.独立第三方机构
- D.以上皆可
- A.对风险评估发现的漏洞进行确认
- B.针对风险评估的过程文档和结果报告进行监控和审查
- C.对风险评估的信息系统进行安全调查
- D.对风险控制测措施有有效性进行测试
- A.系统维护部门
- B.系统开发部门
- C.财务部门
- D.业务部门
- A.明确安全总体方针
- B.明确系统安全架构
- C.风险评价准则达成一致
- D.安全需求分析
- A.安全测试
- B.检查与配置
- C.配置变更
- D.人员培训
- A.安全技术选择
- B.软件设计风险控制
- C.安全产品选择
- D.安全需求分析
- A.安全运行和管理
- B.安全测试
- C.变更管理
- D.风险再次评估
- A.企业信息安全风险管理就是要做到零风险
- B.在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性
- C.风险管理(RiskManagement)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程
- D.风险评估(RiskAssessment)就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估
- A.依据资产分类分级的标准
- B.依据资产调查的结果
- C.依据人员访谈的结果
- D.依据技术人员提供的资产清单
- A.主机操作系统安全配置检查
- B.网络设备安全配置检查
- C.系统软件安全漏洞检查
- D.数据库安全配置检查
- A.安全测试
- B.对废弃对象的风险评估
- C.防止敏感信息泄漏
- D.人员培训
- A.网络硬件资产
- B.数据资产
- C.软件资产
- D.以上都包括
- A.软件开发漏洞
- B.网站应用漏洞
- C.主机系统漏洞
- D.技术漏洞与管理漏洞
- A.人员访谈
- B.技术工具检测
- C.信息资产核查
- D.安全专家人工分析
- A.通过将资产价值和风险等量化为财务价值和方式来进行计算的一种方法
- B.采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性
- C.在后果和可能性分析中采用数值,并采用从各种各样的来源中得到的数据
- D.定性风险分析提供了较好的成本效益分析
- A.自然灾害
- B.系统故障
- C.内部人员操作失误
- D.以上都包括
- A.定性风险评估比较主观,而定量风险评估更客观
- B.定性风险评估容易实施,定量风险评估往往数据准确性很难保证
- C.定性风险评估更成熟,定量风险评估还停留在理论阶段
- D.定性风险评估和定量风险评估没有本质区别,可以通用
- A.易于操作,可以对风险进行排序并能够对那些需要立即改善的环节进行标识
- B.主观性强,分析结果的质量取决于风险评估小组成员的经验和素质
- C."耗时短、成本低、可控性高"
- D.能够提供量化的数据支持,易被管理层所理解和接受
- A.ALE=ARO*AV
- B.ALE=AV*SLE
- C."ALE=ARO*SLE"
- D.ALE=AV*EF
- A.易于操作,可以对风险进行排序并能够对那些需要立即改善的环节进行标识
- B.能够通过成本效益分析控制成本
- C."耗时短、成本低、可控性高"
- D.主观性强,分析结果的质量取决于风险评估小组成员的经验和素质
- A.调查问卷
- B.检查列表
- C.访谈提纲
- D.漏洞扫描
- A.漏洞扫描工具
- B.入侵检测系统
- C.安全审计工具
- D.安全评估流程管理工具
- A.定性风险评估
- B.定量分析评估
- C.安全漏洞评估
- D.安全管理评估
- A.信息资产被过度保护
- B.不考虑资产的价值,基本水平的保护都会被实施
- C.对信息资产实施适当水平的保护
- D.对所有信息资产保护都投入相同的资源
- A.漏洞扫描工具
- B.入侵检测系统
- C.调查问卷
- D.渗透测试工具
- A.检查基础设施并探测脆弱性,然而穿透性测试目的在于通过脆弱性检测其可能带来的损失
- B.和渗透测试为不同的名称但是同一活动
- C.是通过自动化工具执行,而渗透测试是一种完全的手动过程
- D.是通过商业工具执行,而渗透测试是执行公共进程
- A.安全管理员
- B.系统管理员
- C.数据和系统所有者
- D.系统运行组
- A.评估IT资产和IT项目的威胁
- B.用公司的以前的真的损失经验来决定现在的弱点和威胁
- C.审查可比较的组织公开的损失统计
- D.审查在审计报告中的可识别的IT控制缺陷
- A.通过良好的系统设计、及时更新系统补丁,降低或减少信息系统自身的缺陷
- B.通过数据备份、双机热备等冗余手段来提升信息系统的可靠性;
- C.建立必要的安全制度和部署必要的技术手段,防范黑客和恶意软件的攻击
- D.通过业务外包的方式,转嫁所有的安全风险
- A.安全和控制实践
- B.财产和责任保险
- C.审计与认证
- D.合同和服务水平协议
- A.鉴别对于信息资产威胁的合理性
- B.分析技术和组织弱点
- C.鉴别并对信息资产进行分级
- D.对潜在的安全漏洞效果进行评价
- A.识别和评定管理层使用的风险评估方法
- B.识别信息资产和基本系统
- C.揭示对管理的威胁和影响
- D.识别和评价现有控制
- A.满足控制一个风险问题的要求
- B.不减少生产力
- C.基于成本效益的分析
- D.检测行或改正性的
- A.弱点
- B.威胁
- C.可能性
- D.影响
- A.识别需要获得相关信息的用户
- B.确保信息的完整性
- C.对信息系统的访问进行拒绝或授权
- D.监控逻辑访问
- A.把应用在潜在访问路径上的控制项记录下来
- B.在访问路径上测试控制来检测是否他们具功能化
- C.按照写明的策略和实践评估安全环境
- D.对信息流程的安全风险进行了解
- A.该应用在满足业务流程上的效率
- B.任何被发现风险影响
- C.业务流程服务的应用
- D.应用程序的优化
- A.威胁评估
- B.数据分类
- C.资产清单
- D.关键程度分析
- A.控制措施已经适当
- B.控制的有效性适当
- C.监测资产有关风险的机制
- D.影响资产的漏洞和威胁
- A.识别并评估重要的信息资产,识别各种可能的威胁和严重的弱点,最终确定风险
- B.通过以往发生的信息安全事件,找到风险所在
- C.风险评估就是对照安全检查单,查看相关的管理和技术措施是否到位
- D.风险评估并没有规律可循,完全取决于评估者的经验所在
- A.列举所有的网络风险
- B.对应IT战略计划持续跟踪
- C.考虑整个IT环境
- D.识别对(信息系统)的弱点的容忍度的结果
- A.组织的威胁,弱点和风险概貌的理解
- B.揭露风险的理解和妥协的潜在后果
- C.基于潜在结果的风险管理优先级的决心
- D.风险缓解战略足够使风险的结果保持在一个可以接受的水平上
- A.提供保证所有弱点都被发现
- B.在不需要警告所有组织的管理层的情况下执行
- C.找到存在的能够获得未授权访问的漏洞
- D.在网络边界上执行不会破坏信息资产
- A.资产保管员
- B.安全管理员
- C.资产所有人
- D.安全主管
- A.5000元
- B.10000元
- C.25000元
- D.15000元
- A.开除这名职员
- B.限制这名职员访问敏感信息
- C.删除敏感信息
- D.将此职员送公安部门
- A.信息系统安全专家
- B.业务主管
- C.安全主管
- D.系统审查员
- A.数据维护管理员
- B.系统故障处理员
- C.系统维护管理员
- D.系统程序员
- A.临时工
- B.当前员工
- C.以前员工
- D.咨询人员
- 50
-
职责分离的主要目的是?
- A.防止一个人从头到尾整个控制某一交易或者活动
- B.不同部门的雇员不可以在一起工作
- C.对于所有的资源都必须有保护措施
- D.对于所有的设备都必须有操作控制措施
