北京邮电大学第2章 信息安全风险评估-习题.doc

第2章 信息安全风险评估 选择题 随着系统中（）的增加，系统信息安全风险将会降低 （A）威胁；（B）安全措施；（C）脆弱点；（D）资产价值。 下面哪项是风险评估过程中的预防性控制措施（） （A）强制访问控制；（B）告警；（C）审核活动；（D）入侵监测方法。 风险分析的类型不包括（） （A）定性分析；（B）定量分析；（C）半定性分析；（D）半定量分析。 下面关于风险评价的描述，那一项是不正确的（ ） （A）风险评价就是将分析过程中发现的风险程度与先前建立的风险准则比较； （B）风险评价的输入是风险分析的结果； （C）风险评价通过组织的要求和对未知条件定量或者定性来对输入进行分析和评价； （D）风险评价的输出是一份有助于确定风险处理措施的风险清单。 ISO27000系列国际标准与英国BS7799系列标准有密切联系，（）的描述是不正确的 （A）BS7799-2: 2002由BS7799-2: 1999发展而来； （B）ISO27001:2005由BS7799-1: 1999发展而来； （C）ISO27002:2005由BS7799-1: 2000发展而来； （D）ISO27002:2005由ISO17799:2002发展而来。 简答题 列举信息安全风险评估相关要素，并进一步阐述他们之间的关系。 简述信息安全风险评估完整流程。 什么是信息安全风险，如何计算信息安全风险？ 什么是ISMS，并列举ISMS相关的国际标准？ ISO13335的主题内容是什么，它与ISO27001:2005是什么关系？ 思考题 信息安全风险评估过程、ISMS建立运维过程都需要对应的文档支持，试分析这些文档在信息安全管理中的价值。 PDCA是ISMS的核心理念，结合ISMS标准，试分析PDCA在信息安全管理中的意义。  第2章 信息安全风险评估—参考答案 一、选择题： 1、B；2、D；3、C；4、C；5、B。 二、简答题： 列举信息安全风险评估相关要素，并进一步阐述他们之间的关系。 答案要点：参照下图描述 图1 风险评估要素及关系图 简述信息安全风险评估完整流程。 答案要点：参照下图描述 什么是信息安全风险，如何计算信息安全风险？ 答案要点： 根据ISO/IEC 13335-1，信息安全风险是指威胁利用一个或一组资产的脆弱点导致组织受损的潜在性，并以威胁利用脆弱点造成的一系列不期望发生的事件（或称为安全事件）来体现。 资产、威胁、脆弱点是信息安全风险的基本要素，是信息安全风险存在的基本条件，缺一不可。没有资产，威胁就没有攻击或损害的对象；没有威胁，尽管资产很有价值，脆弱点很严重，安全事件也不会发生；系统没有脆弱点，威胁就没有可利用的环节，安全事件也不会发生。 风险可以形式化的表示为：R=(A,T,V)，其中R表示风险、A表示资产、T表示威胁、V表示脆弱点。 什么是ISMS，并列举ISMS相关的国际标准？ 答案要点：是整个管理体系的一部分，建立在业务风险的方法上，以：建立、实施、运作、监控、评审、维护、改进、信息安全为目的。 ISO13335的主题内容是什么，它与ISO27001:2005是什么关系？ 答案要点：风险管理方法论、提供如何识别风险到风险处置、对ISO27001的风险评估方法的细化和补充。 三、思考题： 信息安全风险评估过程、ISMS建立运维过程都需要对应的文档支持，试分析这些文档在信息安全管理中的价值。 答案要点：文档是过程控制手段、文档风险评估依据、文档是成果表现形式。 PDCA是ISMS的核心理念，结合ISMS标准，试分析PDCA在信息安全管理中的意义。 答案要点：PDCA是ISMS中管理特性的体现，ISMS各层面活动都可融入PDCA理念，PDCA体现安全的持续改善。 知识点索引 BS7799 信息安全风险评估要素、理论与流程 GAO/AIMD-99-139 NIST SP 800-30 AS-NZS 4360 信息安全风险评估实践