首页
外语
计算机
考研
公务员
职业资格
财经
工程
司法
医学
专升本
自考
实用职业技能
登录
计算机
某公司系统安全管理员在建立公司的“安全管理体系”时,根据GB/T20269-2006《信息安全技术信息系统安全管理要求》,对当前公司的安全风险进行了分析和评估,他分析了常见病毒对计算机系统、数据文件等的破坏程度及感染特点,制定了相应的防病毒措施。这一做法符
某公司系统安全管理员在建立公司的“安全管理体系”时,根据GB/T20269-2006《信息安全技术信息系统安全管理要求》,对当前公司的安全风险进行了分析和评估,他分析了常见病毒对计算机系统、数据文件等的破坏程度及感染特点,制定了相应的防病毒措施。这一做法符
admin
2014-05-21
30
问题
某公司系统安全管理员在建立公司的“安全管理体系”时,根据GB/T20269-2006《信息安全技术信息系统安全管理要求》,对当前公司的安全风险进行了分析和评估,他分析了常见病毒对计算机系统、数据文件等的破坏程度及感染特点,制定了相应的防病毒措施。这一做法符合(24)的要求。
选项
A、资产识别和评估
B、威胁识别和分析
C、脆弱性识别和分析
D、等保识别和分析
答案
B
解析
按照GB/T20269-2006《信息安全技术信息系统安全管理要求》,风险分析和评估包括:
资产识别和分析对资产识别和分析,不同安全等级应有选择地满足以下要求的一项:
①信息系统的资产统计和分类:确定信息系统的资产范围,进行统计和编制资产清单,并进行资产分类和重要性标识。
②信息系统的体系特征描述:在①的基础上,根据对信息系统的硬件、软件、系统接口、数据和信息、人员等方面的分析和识别,对信息系统的体系特征进行描述,至少应阐明信息系统的使命、边界、功能,以及系统和数据的关键性、敏感性等内容。
威胁识别和分析对威胁识别和分析,不同安全等级应有选择地满足以下要求的一项:
①威胁的基本分析:应根据以往发生的安全事件、外部提供的资料和积累的经验等,对威胁进行粗略的分析。
②威胁列表:在①的基础上,结合业务应用、系统结构特点以及访问流程等因素,建立并维护威胁列表;由于不同业务系统面临的威胁是不同的,应针对每个或者每类资产有一个威胁列表。
③威胁的详细分析:在②的基础上,考虑威胁源在保密性、完整性或可用性等方面造成损害,对威胁的可能性和影响等属性进行分析,从而得到威胁的等级;威胁等级也可通过综合威胁GB/T20269—200611的可能性和强度的评价获得。
④使用检测工具捕捉攻击:在③的基础上,对关键区域或部位进行威胁分析和评估,在业务应用许可并得到批准的条件下,可使用检测工具在特定时间捕捉攻击信息进行威胁分析。
脆弱性识别和分析对脆弱性识别和分析,不同安全等级应有选择地满足以下要求的一项:
①脆弱性工具扫描:应通过扫描器等工具来获得对系统脆弱性的认识,包括对网络设备、主机设备、安全设备的脆弱性扫描,并编制脆弱性列表,作为系统加固、改进和安全项目建设的依据;可以针对资产组合、资产分类编制脆弱性列表和脆弱性检查表。
②脆弱性分析和渗透测试:在①的基础上,脆弱性的人工分析至少应进行网络设备、安全设备以及主机系统配置检查、用户管理检查、系统日志和审计检查等;使用渗透测试应根据需要分别从组织机构的网络内部和网络外部选择不同的接入点进行;应了解测试可能带来的后果,并做好充分准备;针对不同的资产和资产组合,综合应用人工评估、工具扫描、渗透性测试等方法对系统的脆弱性进行分析和评估;对不同的方法和工具所得出的评估结果,应进行综合分析,从而得到脆弱性的等级。
③制度化脆弱性评估:在②的基础上,坚持制度化脆弱性评估,应明确规定进行脆弱性评估的时间和系统范围、人员和责任、评估结果的分析和报告程序,以及报告中包括新发现的漏洞、已修补的漏洞、漏洞趋势分析等。
转载请注明原文地址:https://jikaoti.com/ti/QYS7FFFM
本试题收录于:
系统集成项目管理工程师上午基础知识考试题库软考中级分类
0
系统集成项目管理工程师上午基础知识考试
软考中级
相关试题推荐
某企业通过对风险进行了识别和评估后,采用买保险来_______。
IT系统管理的通用体系架构分为三个部分,分别为IT部门管理、业务部门IT支持和IT基础架构管理。其中业务部门IT支持_______。
在某企业的信息综合管理系统设计阶段,如果员工实体在质量管理子系统中被称为“质检员”,而在人事管理子系统中被称为“员工”,这类冲突被称之为________。
系统开发的特点中“质量要求高”的含义是_______。
某系统的进程状态转换如下图所示,图中1、2、3和4分别表示引起状态转换时的不同原因,原因4表示(9);一个进程状态转换会引起另一个进程状态转换的是(10)。(2007年5月试题9~10)(9)
下面关于可视化编程技术的说法错误的是(36)。(2008年5月试题36)
影响系统可维护性的因素不包括(53)。(2006年5月试题53)
试述事务并发调度的正确性准则及其内容。采用何种加锁策略能够保证事务调度的正确性,简述其内容。
随机试题
交通运输业适用的营业税税率为_____。
食物特殊动力作用
玩具制造商所处的环境是()。
患者,男性,32岁,因左上牙痛3日就诊。若患者诊断为急性牙髓炎,最好进行哪种治疗
保荐人应当在发行人向交易所报送信息披露文件及其他文件之前,或者履行信息披露义务后5个交易日内,完成对有关文件的审阅工作,督促发行人及时更正审阅中发现的问题,并向交易所报告。()
食品安全事故应急预案体系主要包括()、应急保障措施等内容。
“明显微小错报临界值”可能是财务报表整体重要性水平的(),一般不超过财务报表整体重要性的()。
毛泽东在《目前形势和我们的任务》一文中指出的土改必须注意的基本原则是()。
一般来讲,一份问卷的作答时间以()分钟为宜。
WhattheHeckDoesVincentvanGoghHaveToDoWithInternetMarketing?[A]Nothingandeverything!Tuckeddiscreetlyawayon
最新回复
(
0
)