更多"[单选题]信息系统安全风险评估的形式分为( )"的相关试题:
[判断题] 持续风险评估应用了比基准风险评估和基于问题风险评估更为复杂的风险评估技术,所以它更为重要些。()
A.正确
B.错误
[单选题]依据《中国南方电网有限责任公司设备风险评估管理办法》,设备风险评估的等级从高到低分为:( )级。
A.三
B.Ⅰ/Ⅱ
C.Ⅰ/Ⅱ/Ⅲ/Ⅳ
D.五
[单选题]信息系统安全保障评估概念和关系如图所示。信息系统安全保障评 估,就是在信息系统所处的运行环境中对信息系统安全保障的具体工作和活动进 行客观的评估。通过信息系统安全保障评估所搜集的(客观证据),向信息系统 的所有相关方提供信息系统的(安全保障工作)能够实现其安全保障策略,能够 将其所面临的风险降低到其可接受的程度的主观信心。信息系统安全保障评估的 评估对象是(信息系统),信息系统不仅包含了仅讨论技术的信息技术系统,还 包括同信息系统所处的运行环境相关的人和管理等领域。信息系统安全保障是一 个动态持续的过程,涉及信息系统整个(生命周期),因此信息系统安全保障的 评估也应该提供一种(动态持续)的信心。
A.客观证据;安全保障工作;动态持续;信息系统;生命周期
B.安全保障工作;客观证据;信息系统;生命周期;动态持续
C.客观证据;安全保障工作;信息系统;生命周期;动态持续
D.客观证据;安全保障工作;生命周期;信息系统;动态持续
[多选题] 《南方电网公司作业危害辨识与风险评估技术标准》中将“风险范畴”分为()。
A. 人身、电网、设备
B. 社会责任
C. 涉电公共安全
D. 环境与职业健康
[单选题]依据国家 GB/T 20274 《信息系统安全保障评估框架》,信息系统安全目标(ISST)中, 安全保障目的指的是:
A.信息系统安全保障目的
B.环境安全保障目的
C.信息系统安全保障目的和环境安全保障目的
D.信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的
[单选题]. (单选题) 《中国石化安全风险评估指导意见》规定:中国石化安全风险矩阵中风险级别分为()级别。 (1.0分)
A. 5
B. 4
C. 3
D. 2
[单选题]为了解风险和控制风险,应当及时进行风险评估活动,我国有关文件指出:风险评 估的工作形式可分为自评估和检查评估两种,关于自评估,下面选项中描述错误的是()。
A. 自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估
B. 自评估应参照相应标准、依据制定的评估方案和准则,结合系统特定的安全要求实施
C. 自评估应当是由发起单位自行组织力量完成,而不应委托社会风险评估服务机构来实施
D.周期性的自评估可以在评估流程上适当简化,如重点针对上次评估后系统变化部分进行
[单选题]在国家标准 GB/T 20274. 1-2006 《信息安全技术信息系统安全保障评估框架第一部
分:简介和一般模型》中,信息系统安全保障模型包含哪几个方面? ()
A.保障要素、生命周期和运行维护
B.保障要素、生命周期和安全特征
C.规划组织、生命周期和安全特征
D.规划组织、生命周期和运行维护
[单选题]风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估 结果文档,其中,明确评估的目的、职责、过程、相关的文档要求,以及实施本 次评估所需要的各种资产、威胁、脆弱性识别和判断依据的文档是()
A.《风险评估方案》
B.《风险评估程序》
C. 《资产识别清单》
D.《风险评估报告》
练习题第二卷
[多选题]组织安全风险评估的单位,应当根据安全风险评估报告确定的风险等级,对安全风险( )进行管理。
A.分级
B.分层
C.分类
D.分专业
[单选题]信息系统安全保护等级分为( )。
A.三级
B.四级
C.五级
D.六级
[单选题]在设备风险评估中,基准风险评估不包括()
A.安全性评价
B.运行环境评价
C.EA
D.设备状态评价
[判断题]《中国南方电网有限责任公司设备风险评估管理办法》5.4.1 风险评估包括风险识别、风险分析、风险评价三个基本内容。在状态评价之后进行,通过风险评估,确定设备面临的和可能导致的风险,为设备检修运维策略提供依据。
A.正确
B.错误
[单选题]某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后,认识到信息 安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成 如下四条报告给单位领导,其中描述错误的是()
A.检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对 关键环节或重点内容实施抽样评估
B.检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进 行检查和评测
C.检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施
D.检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点
[多选题] 组织安全风险评估的单位,应当根据安全风险评估报告确定的风险等级,对安全风险()进行管理,从组织、制度、技术、应对措施等方面加强管控,采取隔离危险源、运用技术手段、实施个体防护、设置监控设施等措施,规避或者降低风险,确保安全风险始终处于受控范围内。
A.分级
B.分层
C.分类
D.分专业
E.分项目
[单选题]某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后,认识到信息安全风险评估分为自评估和检查评估两种形式,该部门将有检查评估的特点和要求整理成如下四条报告给单位领导,其中描述错误的是
A.检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估
B.检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测
C.检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施
D.检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点
解释:检查评估由上级管理部门组织发起;本级单位发起的为自评估。
[单选题]信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析, 制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确 保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现 组织机构的业务。信息系统保障工作如图所示。从该图不难得出,信息系统是() 。信息系 统安全风险的因素主要有()
A.用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组 件的总和;信息系统自身存在的漏洞
B.用于采集、处理整个基础设施、组织结构、人员和组件的总和;信息系统自身存在的漏 洞、来自系统外部的威胁和人为操作引入的安全风险
C.用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组 件的总和;信息系统来自系统外部的威胁和人为操作引入的安全风险
D.用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组 件的总和;信息系统自身存在的漏洞和来自系统外部的威胁
