風(fēng)險(xiǎn)評(píng)估與iso27001測(cè)試題目

1、測(cè)試題（總分值100,時(shí)間一小時(shí)）信息平安管理體系（ISMS）實(shí)行了一種叫做PDCA的管理模式，請(qǐng)簡(jiǎn)述其內(nèi)容。（5分）PDCA是一種循環(huán)過程，所以我們通常把它叫做PDCA循環(huán)，并把這個(gè)循環(huán)圖叫做“戴明環(huán)”簡(jiǎn)述確定ISMS的范圍和邊界時(shí)需要考慮的方面？ （5分）依據(jù)公司所從事的業(yè)務(wù)、性質(zhì)、辦公地點(diǎn)、各種信息資產(chǎn)（見資產(chǎn)清單）、擁 有技術(shù)的特點(diǎn)確定信息平安管理體系的范圍。列舉ISMS的11個(gè)掌握領(lǐng)域？ （5分）信息方針、信息平安組織、資產(chǎn)管理、人力資源平安、物理和環(huán)境平 安、通信和操作管理、訪問掌握、信息系統(tǒng)平安要求、信息平安大事 管理、業(yè)務(wù)連續(xù)性管理、符合性信息平安管理體系文件的層次？ （5分）

2、信息平安管理體系文件由四個(gè)層次的文件組成，它們分別是：手冊(cè)、程序文件、作業(yè)指 導(dǎo)書、紀(jì)錄建立信息平安方針應(yīng)考慮那些方面？ （5分）依據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性和信息平安在公司業(yè)務(wù)中 的重要程度確定信息平安管理體系的方針。風(fēng)險(xiǎn)管理包括哪些過程？（5分）資產(chǎn)識(shí)別與估價(jià)、威逼評(píng)估、脆弱性評(píng)估、對(duì)現(xiàn)有平安掌握的識(shí)別、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處理、 剩余風(fēng)險(xiǎn)、風(fēng)險(xiǎn)掌握風(fēng)險(xiǎn)處置措施有哪些？ （5分）規(guī)避風(fēng)險(xiǎn)，實(shí)行有效的掌握措施避開風(fēng)險(xiǎn)的發(fā)生；接受風(fēng)險(xiǎn)，在肯定程度上有意識(shí)、有目的地接受風(fēng)險(xiǎn)；風(fēng)險(xiǎn)轉(zhuǎn)移，轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面。信息平安具有那幾種性質(zhì)？ （5分）脆弱性、連續(xù)性、牢靠性、威逼性資產(chǎn)有哪些

3、類別？（5分）人員資產(chǎn)、物理資產(chǎn)、軟件資產(chǎn)、文件資產(chǎn)、服務(wù)資產(chǎn)、形象資產(chǎn)10,實(shí)施風(fēng)險(xiǎn)評(píng)估需要哪些步驟？ （5分）資產(chǎn)識(shí)別與估價(jià)、威逼評(píng)估、脆弱性評(píng)估、對(duì)現(xiàn)有平安掌握的識(shí)別、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處理、 剩余風(fēng)險(xiǎn)、風(fēng)險(xiǎn)掌握11,資產(chǎn)賦值應(yīng)包含哪幾方面的賦值？（5分）機(jī)密性、完整性、可用性12,資產(chǎn)各個(gè)等級(jí)分值如何劃分？資產(chǎn)評(píng)價(jià)準(zhǔn)那么是什么？（5分）依據(jù)資產(chǎn)賦值結(jié)果，確定重要資產(chǎn)的范圍，圍繞重要資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估。等級(jí)標(biāo)識(shí)描述5很高特別重要，其平安屬性破壞后可能對(duì)組織造成特別嚴(yán)峻的損失4高重要，其平安屬性破壞后可能對(duì)組織造成比擬嚴(yán)峻的損失3中等比擬重要，其平安屬性破壞后可能對(duì)組織造成中等程度的損失2低不太

4、重要，其平安屬性破壞后可能對(duì)組織造成較低 的損失1很低不重要，其平安屬性破壞后對(duì)組織造成導(dǎo)很小的損失，甚至忽視不計(jì)13、脆弱性的有哪些類型？識(shí)別脆弱性時(shí)主要應(yīng)關(guān)注哪些對(duì)象？并列舉1、技術(shù)脆弱性、管理脆弱性2、物理環(huán)境從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接 地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī) 房設(shè)施管理等方面進(jìn)行識(shí)別網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問掌握策略、內(nèi)部訪問 掌握策略、網(wǎng)絡(luò)設(shè)施平安配置等方面進(jìn)行識(shí)別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、 大事審計(jì)、訪問掌握、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)平安、 系統(tǒng)管理等方面進(jìn)行識(shí)別應(yīng)用中間件

5、從合同平安、交易完整性、數(shù)據(jù)完整性等方面進(jìn)行識(shí)別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問掌握策略、數(shù)據(jù)完整性、通信、 鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別技術(shù)管理從物理和環(huán)境平安、通信與操作管理、訪問掌握、系統(tǒng)開發(fā) 與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識(shí)別組織管理從平安策略、組織平安、資產(chǎn)分類與掌握、人員平安、符合 性等方面進(jìn)行識(shí)別14,出幾個(gè)關(guān)于資產(chǎn)脆弱性例子。（10分）設(shè)施維護(hù)措施不完善、物理訪問掌握不健全、口令不當(dāng)，權(quán)限安排不合理15,資產(chǎn)值和風(fēng)險(xiǎn)值的計(jì)算函數(shù)各是什么？其中各個(gè)字母的含義是什么？ （15分）計(jì)算資產(chǎn)值假如資產(chǎn)值為A保密性為c完整性為i可用性為a那么A=c+i+a計(jì)算風(fēng)險(xiǎn)值假設(shè)資產(chǎn)價(jià)值=慶威逼頻率=T脆弱性嚴(yán)峻度=V那么平安大事發(fā)生可能性F=平安大事的損失L= JJTjZ風(fēng)險(xiǎn)值R= L X F16,威逼怎樣分類？不同類型劃分法各有哪些類別？列舉出幾個(gè)威逼的例子。（15分）1、基于表現(xiàn)形式的威逼分類表分類威逼子類軟硬件故障設(shè)施硬件故障、傳輸設(shè)施故障、存儲(chǔ) 媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、 數(shù)據(jù)庫(kù)軟件故障、開發(fā)環(huán)境故障等物理 環(huán)境影響斷電、靜電、灰塵、潮濕、溫度、鼠 蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等無作 為或操作 失誤維護(hù)錯(cuò)誤、操作失誤等管理不到位管理制度和策略不完善、管理規(guī)程