admin管理员组文章数量:1530974
2024年5月18日发(作者:)
一、信息安全管理
1、什么是信息安全管理,为什么需要信息安全管理?
国际标准化组织对信息安全的定义是:“在技术上和管理上维数据处理系统建立的安全
保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露"。当
今的信息系统日益复杂,其中必然存在系统设计、实现、内部控制等方面的弱点.如果不采取
适当的措施应对系统运行环境中的安全威胁,信息资产就可能会遭受巨大的损失甚至威胁到
国家安全。
2、系统列举常用的信息安全技术?
密码技术、访问控制和鉴权;物理安全技术;网络安全技术;容灾与数据备份。
3、信息安全管理的主要内容有哪些?
信息安全管理从信息系统的安全需求出发,结合组织的信息系统建设情况,引入适当的技
术控制措施和管理体系,形成了综合的信息安全管理架构。
4、什么是信息安全保障体系,它包含哪些内容?
5、信息安全法规对信息安全管理工作意义如何?
它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面:
1。为人们从事在信息安全方面从事各种活动提供规范性指导;
2。能够预防信息安全事件的发生;
3.保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段。
二、信息安全风险评估
1、什么是信息安全风险评估?它由哪些基本步骤组成?
信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传
输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四
个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段
为风险处理。
2、信息资产可以分为哪几类?请分别举出一两个例子说明.
可以分为数据、软件、硬件、文档、人员、服务.例如:软件有系统软件、应用软件、源程
序、数据库等.服务有办公服务、网络服务、信息服务等。
3、威胁源有哪些?其常见表现形式分别是什么?
4、资产、威胁、脆弱点、风险、影响
资产:资产是指任何对组织有价值的东西,资产包括:物理资产、信息/数据 、软件、
提供产品和服务的能力、人员、无形资产。
威胁:威胁是可能对资产或组织造成损害的潜在原因。威胁有潜力导致不期望发生的事
件发生,该事件可能对系统或组织及其资产造成损害。
脆弱点:脆弱点是一个或一组资产所具有的,可能被威胁利用对资产造成损害的薄弱环
节。
风险:风险是指威胁利用利用一个或一组资产的脆弱点导致组织受损的潜在,并以威胁利
用脆弱点造成的一系列不期望发生的事件(或称为安全事件)来体现。
影响:影响是威胁利用资产的脆弱点导致不期望发生事件的后果。
5、风险评估方法分为哪几种?其优缺点分别是什么?
分为:基本风险评估、详细风险评估、综合风险评估.基本风险评估:优点:(1) 风险分
析和每个防护措施的实施管理只需要最少数量的资源,并且在选择防护措施时花费更少的时
间和努力; (2) 如果组织的大量系统都在普通环境下运行并且如果安全需要类似,那么很
多系统都可以采用相同或相似的基线防护措施而不需要太多的努力。缺点:(1)基线水平难以
设置,(2)风险评估不全面、不透彻,且不易处理变更。详细风险评估:优点: (1) 有可能
为所有系统识别出适当的安全措施; (2) 详细分析的结果可用于安全变更管理。缺点:
需要更多的时间、努力和专业知识。
6、请写出风险计算公式,并解释其中各项所代表的含义。
风险可形式化的表示为R=(A,T,V),其中R表示风险、A表示资产、T表示威胁、V表示脆
弱点.相应的风险值由A、T、V的取值决定,是它们的函数。可以表示为:VR=R(A,T,V)=R(L
(A,T,V),F(A,T,V))。其中,L(A,T,V)、F(A,T,V)分别表示对应安全事件发生的可能性及
影响,它们也都是资产、威胁、脆弱点的函数,但其表达式很难给出。而风险则可表示为可
能性L和影响F的函数,简单的处理就是将安全事件发生的可能性L与安全事件的影响F相乘得
到风险值,实际就是平均损失,即VR=L(A,T,V)×F(A,T,V)
7、风险评估文件由哪些主要文档组成?
包括:(1)风险评估计划; (2)风险评估程序;(3)资产识别清单; (4)重要资产清单;
(5)威胁列表; (6)脆弱点列表;(7)已有安全措施确认表; (8)风险评估报告;(9)风险
版权声明:本文标题:信息安全管理 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1716012344a481633.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论