信息安全测评与风险评估考试资料_信息安全风险评估试题

信息安全测评与风险评估考试资料由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“信息安全风险评估试题”。

《信息安全测评与风险评估》

（本科目闭卷考试，考试题型：填空56分，解答18分，案例分析26）

P4安全测评工具：系统科学/系统工程

P6贯标：测评人员在测评活动中严格遵循相关标准的行为

P19安全域：将一个大型信息系统中具有某种相似性的子系统“聚集”在一起

P43数据安全三个属性：完整性、保密性、可用性数据安全三个测评：数据完整性、数据保密性、数据备份与恢复数据安全三个手段：访谈、检查、测试

P75主机安全测评：身份鉴别、自主访问控制、强制访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制

P119网络安全测评：结构安全与网段划分、网络访问控制、拨号访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护

P169应用安全测评：身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制

P217风险：不确定性对目标的影响

信息安全风险：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件发生及其对组织造成的影响

PP259威胁：可能导致对系统或组织危害的事故潜在起因

威胁识别分为：重点识别和全面识别 重点识别：是按照资产重要性进行排序，从而决定威胁识别的巨细程度和投入多少识别资源全面识别：对每一个资产可能面临的所有威胁都要进行详细分析，而不管资产本身重要程度的高低

P283脆弱性：可能被威胁所利用的资产或若干资产的薄弱环节

P313风险分析：依据国家有关标准对信息系统及由其处理、传输和存储的信息的保密性、完整性喝可用性等安全属性进行分析和评价的过程

风险分析与威胁识别、脆弱性识别之间的关系？

风险分析将在威胁识别、脆弱性识别基础上进行风险计算，对风险进行定级，提出相应的风险控制措施，最后再次评估残余风险，从而使得人们对信息系统所面临的风险从模糊的感觉上升到更为科学、理性的认识上面来。