A.背景建立的依據(jù)是國家、地區(qū)或行業(yè)的相關(guān)政策、法律、法規(guī)和標準,以及機構(gòu)的使命、信息系統(tǒng)的業(yè)務(wù)目標和特性
B.背景建立階段應(yīng)識別需要保護的資產(chǎn)、面臨的威脅以及存在的脆弱性,并分別賦值,同時確認已有的安全措施,形成需要保護的資產(chǎn)清單
C.背景建立階段應(yīng)調(diào)查信息系統(tǒng)的業(yè)務(wù)目標、業(yè)務(wù)特性、管理特性和技術(shù)特性,形成信息系統(tǒng)的描述報告
D.背景建立階段應(yīng)分析信息系統(tǒng)的體系結(jié)構(gòu)和關(guān)鍵要素,分析信息系統(tǒng)的安全環(huán)境和要求,形成信息系統(tǒng)的安全要求報告
您可能感興趣的試卷
你可能感興趣的試題
A.測量單位是基本實施(BasePractices,BP)
B.測量單位是通用實施(GenericPractices,GP)
C.測量單位是過程區(qū)域(ProcessAreas,PA)
D.測量單位是公共特征(CommonFeatures,CF)
S027002(Information technology-Security techniques-Code ofpractice for information securitmanagement)是重要的信息安全管理標準之一,下面是關(guān)于其演進變化,括號空白處應(yīng)填寫()。
BS7799→BS7799.1→()→ISO27002
A.BS7799.1.3
B.ISO17799
C.AS/NZS4630
D.NISTSP800-37
A.加強信息安全意識培訓(xùn),提高安全防范能力,了解各種社會工程學(xué)攻擊方法,防止受到此類攻擊
B.建立相應(yīng)的安全相應(yīng)應(yīng)對措施,當員工受到社會工程學(xué)的攻擊,應(yīng)當及時報告
C.教育員工注重個人隱私保護
D.減少系統(tǒng)對外服務(wù)的端口數(shù)量,修改服務(wù)旗標
A.減少威脅源。采用法律的手段制裁計算機犯罪,發(fā)揮法律的威懾作用,從而有效遏制威脅源的動機
B.簽訂外包服務(wù)合同。將有技術(shù)難點、存在實現(xiàn)風(fēng)險的任務(wù)通過簽訂外部合同的方式交予第三方公司完成,通過合同責(zé)任條款來應(yīng)對風(fēng)險
C.減低威脅能力。采取身份認證措施,從而抵制身份假冒這種威脅行為的能力
D.減少脆弱性。及時給系統(tǒng)打補丁,關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口,從而減少系統(tǒng)的脆弱性,降低被利用的可能性
A.靜態(tài)分配地址
B.動態(tài)分配地址
C.靜態(tài)NAT分配地址
D.端口NAT分配地址
最新試題
災(zāi)備指標是指信息安全系統(tǒng)的容災(zāi)抗毀能力,主要包括四個具體指標:恢復(fù)時間目標(Recovery Time Ohjective,RTO).恢復(fù)點目標(Recovery Point Objective,RPO)降級操作目標(Degraded Operations Objective-DOO)和網(wǎng)絡(luò)恢復(fù)目標(NeLwork Recovery Ob jective-NRO),小華準備為其工作的信息系統(tǒng)擬定恢復(fù)點目標 RPO-O,以下描述中,正確的是()。
終端訪問控制器訪問控制系統(tǒng)(TERMINAL Access Controller Access-Control System,TACACS),在認證過程中,客戶機發(fā)送一個START包給服務(wù)器,包的內(nèi)容包括執(zhí)行的認證類型、用戶名等信息。START包只在一個認證會話開始時使用一個,序列號永遠為()。服務(wù)器收到START包以后,回送一個REPLY包,表示認證繼續(xù)還是結(jié)束。
某單位在進行內(nèi)部安全評估時,安全員小張使用了單位采購的漏洞掃描軟件進行單位內(nèi)的信息系統(tǒng)漏洞掃描。漏洞掃描報告的結(jié)論為信息系統(tǒng)基本不存在明顯的安全漏洞,然而此報告在內(nèi)部審計時被質(zhì)疑,原因在于小張使用的漏洞掃描軟件采購于三年前,服務(wù)已經(jīng)過期,漏洞庫是半年前最后一次更新的。關(guān)于內(nèi)部審計人員對這份報告的說法正確的是()。
現(xiàn)如今的時代是信息的時代,每天都會有大量的信息流通或交互,但自從斯諾登曝光美國政府的“棱鏡”計劃之后,信息安全問題也成為了每個人乃至整個國家所不得不重視的問題,而網(wǎng)絡(luò)信息對抗技術(shù)與電子信息對抗技術(shù)也成為了這個問題的核心。某公司為有效對抗信息收集和分析,讓該公司一位網(wǎng)絡(luò)工程師提出可行的參考建議,在改網(wǎng)絡(luò)工程師的建議中錯誤的是()。
下列信息安全評估標準中,哪一個是我國信息安全評估的國家標準?()
在某信息系統(tǒng)采用的訪問控制策略中,如果可以選擇值得信任的人擔(dān)任各級領(lǐng)導(dǎo)對客體實施控制,且各級領(lǐng)導(dǎo)可以同時修改它的訪問控制表,那么該系統(tǒng)的訪問控制模型采用的自主訪問控制機制的訪問許可模式是()。
保護-檢測-響應(yīng)(Protection-Detection-Response,PDR)模型是()工作中常用的模型,七思想是承認()中漏洞的存在,正視系統(tǒng)面臨的(),通過采取適度防護、加強()、落實對安全事件的響應(yīng)、建立對威脅的防護來保障系統(tǒng)的安全。
以下哪個組織所屬的行業(yè)的信息系統(tǒng)不屬于關(guān)鍵信息基礎(chǔ)設(shè)施?()
()在實施攻擊之前,需要盡量收集偽裝身份(),這些信息是攻擊者偽裝成功的()。例如攻擊者要偽裝成某個大型集團公司總部的()。那么他需要了解這個大型集團公司所處行業(yè)的一些行規(guī)或者()、公司規(guī)則制度、組織架構(gòu)等信息,甚至包括集團公司相關(guān)人員的綽號等等。
某項目組進行風(fēng)險評估時由于時間有限,決定采用基于知識的分析方法,使用基于知識的分析方法進行風(fēng)險評估,最重要的在于評估信息的采集,該項目組對信息源進行了討論,以下說法中不可行的是()。