第2天 - 第1.2.3课风险评估风险识别(资产识别、威胁识别、脆弱性识别)

2020年11月ISMS信息安全管理体系审核员考试试题（网友回忆版）[单选题]1.关于GB/T22（江南博哥）080-2016/ISO/IEC27001:2013标准，下列说法错误的是()A.标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求B.标准中所表述要求的顺序反映了这些要求要实现的顺序C.信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中D.信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性参考答案：B参考解析：引言中明确表述，标准中所表述要求的顺序不反映各要求的重要性或暗示这些要求要予以实现的顺序[单选题]5.《中华人民共和国密码法》规定了国家秘密的范围和密级，国家秘密的密级分为()。

A.普密、商密两个级别B.低级和高级两个级别C.绝密、机密、秘密三个级别D.—密、二密、三密、四密四个级别参考答案：C参考解析：《中华人民共和国保守国家秘密法》第十条，国家秘密的密级分为绝密，机密，秘密三级[单选题]6.创建和更新文件化信息时，组织应确保适当的()A.对适宜性和有效性的评审和批准B.对充分性和有效性的测量和批准C.对适宜性和充分性的测量和批准D.对适宜性和充分性的评审和批准参考答案：D参考解析：27001,7,5,2创建和更新，创建和更新文件化信息时，组织应确保适当的标识和描述；格式和介质；对适宜性和充分性的评审和批准[单选题]7.根据GB/T22080-2016/ISO/IEC27001:2013标准，以下做法不正确的是()A.保留含有敏感信息的介质的处置记录B.离职人员自主删除敏感信息的即可C.必要时采用多路线路供电D.应定期检查机房空调的有效性参考答案：B[单选题]8.下面哪一种属于网络上的被动攻击()A.消息篡改B.伪装C.拒绝服务D.流量分析参考答案：D参考解析：主动攻击会导致某些数据流的篡改和虚假数据流的产生，这类攻击分篡改，伪造消息数据和终端（拒绝服务）。

《风险评估基本流程和技术方法》一、风险评估的基本实施流程是什么？风险评估的实施流程主要包括风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析和风险评估文档记录七个阶段（如图所示）。

二、开展风险评估需要做哪些准备？风险评估准备是整个风险评估过程有效性的保证。

因此，在风险评估实施前，应：（1）确定风险评估的目标；（2）确定风险评估的范围；（3）组建适当的评估管理与实施团队；（4）进行系统调研；（5）确定评估依据和方法；（6）制定风险评估方案；（7）获得最高管理者对风险评估工作的支持。

三、如何进行资产识别？保密性、完整性和可用性是评价资产的三个安全属性。

风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。

资产识别过程主要包括以下具体活动：（1）回顾评估范围内的业务。

回顾这些信息的主要目的是让资产识别人员对所评估的业务和应用系统有一个大致的了解，为后续的资产识别活动做准备。

（2）识别信息资产，进行合理分类。

资产分类的目的是降低后续分析和赋值活动的工作量。

（3）确定每类信息资产的安全需求。

可以从保密性、完整性和可用性三个方面对每个资产类别进行安全需求分析。

（4）为每类信息资产的重要性赋值。

在上述安全需求分析的基础上，按照一定的方法确定资产的价值或重要程度等级。

四、如何进行威胁识别？威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。

造成威胁的因素可分为人为因素和环境因素。

根据威胁的动机，人为因素又可分为恶意和非恶意两种。

环境因素包括自然界不可抗的因素和其它物理因素。

威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害；也可能是偶发的、或蓄意的事件。

在对威胁进行分类前，应考虑威胁的来源。

威胁识别主要包括以下具体活动：（1）威胁识别。

威胁识别包括实际威胁识别和潜在威胁识别。

信息安全风险评估三级
摘要：
一、信息安全风险评估概述
1.信息安全风险评估定义
2.信息安全风险评估的目的和意义
二、信息安全风险评估三级
1.第一级：资产识别与评估
2.第二级：威胁识别与评估
3.第三级：脆弱性识别与评估
三、信息安全风险评估的应用
1.风险管理
2.信息安全策略制定
3.安全防护措施的实施
四、信息安全风险评估的挑战与未来发展
1.面临的挑战
2.未来发展趋势
正文：
信息安全风险评估是指对信息系统的资产、威胁和脆弱性进行全面识别、分析和评估，以评估信息系统安全风险的过程。

信息安全风险评估旨在帮助企业和组织了解信息安全威胁，提高信息安全防护能力，确保信息系统的安全和稳定运行。

信息安全风险评估分为三个级别，分别是资产识别与评估、威胁识别与评估以及脆弱性识别与评估。

在第一级资产识别与评估中，主要是对信息系统的资产进行识别和价值评估，确定保护这些资产的重要性和优先级。

第二级威胁识别与评估主要是分析潜在的威胁，评估威胁发生的概率和影响程度。

在第三级脆弱性识别与评估中，主要是对信息系统的脆弱性进行识别和分析，评估系统存在的安全漏洞和风险。

信息安全风险评估在风险管理、信息安全策略制定和安全防护措施的实施等方面具有广泛的应用。

通过风险评估，企业和组织可以更好地了解信息系统的安全风险，制定相应的安全策略和防护措施，提高信息安全防护能力。

然而，信息安全风险评估面临着一些挑战，如评估方法的不统一、评估标准的多样性以及评估过程中可能存在的偏见等。

在未来，随着信息技术的不断发展，信息安全风险评估将朝着更加标准化、自动化和智能化的方向发展。

数据隐私与安全教学大纲一、课程概述随着信息技术的飞速发展，数据隐私与安全问题日益凸显，成为了当今社会关注的焦点。

本课程旨在为学生提供全面的、深入的数据隐私与安全知识，培养学生的数据保护意识和应对数据安全挑战的能力。

二、课程目标1、使学生了解数据隐私与安全的基本概念、原理和重要性。

2、帮助学生掌握数据隐私保护的法律法规和政策要求。

3、培养学生识别和评估数据安全风险的能力。

4、教导学生掌握常见的数据安全技术和防护措施。

5、培养学生在实际工作和生活中遵守数据隐私和安全规范的意识和习惯。

三、课程内容（一）数据隐私与安全基础1、数据的定义、类型和价值2、数据隐私与安全的概念和内涵3、数据隐私与安全的重要性和影响（二）数据隐私法律法规1、国内外数据隐私法律法规概述《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》欧盟《通用数据保护条例》（GDPR）2、法律法规对数据处理的要求和限制数据收集的合法性、正当性和必要性数据存储和传输的安全要求数据主体的权利和数据控制者的义务（三）数据安全风险评估1、数据安全风险的类型和来源内部威胁（如员工疏忽、恶意行为）外部威胁（如黑客攻击、网络钓鱼）技术漏洞（如软件缺陷、系统配置错误）2、数据安全风险评估的方法和工具风险识别技术（如资产识别、威胁识别、脆弱性识别）风险评估模型（如定性评估、定量评估）风险评估工具的使用（四）数据加密技术1、加密的基本原理和算法对称加密算法（如 AES）非对称加密算法（如 RSA）哈希函数（如 SHA-256）2、加密技术在数据保护中的应用数据传输加密（如 SSL/TLS）数据存储加密（如全盘加密、文件加密）（五）访问控制与身份认证1、访问控制的模型和策略自主访问控制（DAC）强制访问控制（MAC）基于角色的访问控制（RBAC）2、身份认证的方法和技术用户名/密码认证多因素认证（如密码+令牌、指纹+密码）生物识别技术（如指纹识别、人脸识别）（六）网络安全与数据保护1、网络安全的基本概念和技术防火墙技术入侵检测与防御系统（IDS/IPS）虚拟专用网络（VPN）2、无线网络安全与移动设备数据保护WiFi 安全设置移动设备的加密和锁屏应用程序的权限管理（七）数据库安全1、数据库安全的威胁和防护措施SQL 注入攻击的防范数据库加密和访问控制数据库备份与恢复2、数据脱敏技术数据脱敏的方法和场景数据脱敏工具的使用（八）隐私保护技术1、匿名化和假名化技术匿名化的原理和方法假名化的实现和应用2、差分隐私技术差分隐私的概念和原理差分隐私在数据发布中的应用（九）数据隐私与安全管理1、数据隐私与安全策略的制定和实施2、数据隐私与安全培训和教育3、数据隐私与安全事件的应急响应和处理四、教学方法1、课堂讲授通过讲解理论知识，使学生掌握数据隐私与安全的基本概念、原理和技术。

信息安全风险评估学院：商学院专业：信息管理与信息系统姓名：徐彬学号：0812104613目录一、信息安全风险评估简介 (3)二、信息安全风险评估流程 (3)1.风险评估准备 (3)2.资产识别 (3)3.威胁识别 (3)4.脆弱性识别 (4)5.风险分析 (4)三、信息安全风险评估策略方法 (5)1）定量分析方法 (5)2）定性分析方法 (5)3）综合分析方法 (6)四、信息安全风险评估的注意事项 (6)1、各级领导对评估工作的重视 (6)2、加强评估工作的组织和管理 (6)3、注意评估过程中的风险控制。

(6)4、做好各方的协调配合工作。

(7)5、提供评估所必须的保障条件。

(7)信息安全风险评估一、信息安全风险评估简介信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。

信息安全风险评估就是从管理的角度，运用科学的方法和手段，系统分析网络与信息系统所面临的威胁及存在的脆弱性。

评估安全事件一旦发生可能造成的危害程度，提出有针对性地抵御安全威胁的防护措施，为防范和化解信息安全风险，将风险控制在可以接受的水平，最大限度地保障网络正常运行和信息安全提供科学依据。

二、信息安全风险评估流程信息安全风险评估的典型过程主要分为风险评估准备、资产识别、威胁识别、脆弱性识别和风险分析5个阶段。

1.风险评估准备该阶段的主要任务是制订评估工作计划，包括评估目标、评估范围、制订信息安全风险评估工作方案，并根据评估工作需要，组建评估团队，明确各方职责。

在风险评估准备阶段，需要多次与被评估方磋商，了解被评估方关注的重点，明确风险评估的范围和目标，为整个风险评估工作提供向导。

在确定评估范围和目标之后，根据被评估对象的网络规模、复杂度、特殊性，成立评估工作小组，明确各方人员组成及职责分工。

建立评估团队后，由评估工作人员进行现场调研，由被评估方介绍网络构建情况，安全管理制度和采取的安全防护措施以及业务运行情况。

评估工作小组根据调研情况撰写信息安全风险评估工作方案。

2022年第三期CCAA国家注册审核员模拟试题—ISMS信息安全管理体系一、单项选择题1、风险识别过程中需要识别的方面包括：资产识别、识别威胁、识别现有控制措施、（）。

A、识别可能性和影响B、识别脆弱性和识别后果C、识别脆弱性和可能性D、识别脆弱性和影响2、为确保采用一致和有效的方法对信息安全事件进行管理，下列控制措施哪个不是必须的？（）A、建立信息安全事件管理的责任B、建立信息安全事件管理规程C、对信息安全事件进行响应D、在组织内通报信息安全事件3、访问控制是确保对资产的访问，是基于（）要求进行授权和限制的手段。

A、用户权限B、可被用户访问的资料C、系统是否遭受入侵D、可给予哪些主体访问4、()是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态A、信息安全事态B、信息安全事件C、信息安全事故D、信息安全故障5、为了达到组织灾难恢复的要求，备份时间间隔不能超过（）。

A、服务水平目标（SLO)B、恢复点目标（RPO)C、恢复时间目标（RTO)D、最长可接受终端时间（MAO)6、组织应在相关（）上建立信息安全目标A、组织环境和相关方要求B、战略和意思C、战略和方针D、职能和层次7、经过风险处理后遗留的风险是（）A、重大风险B、有条件的接受风险C、不可接受的风险D、残余风险8、组织确定的信息安全管理体系范围应（）A、形成文件化信息并可用B、形成记录并可用C、形成文件和记录并可用D、形成程字化信息并可用9、《中华人民共和国认证认可条例》规定,认证人员自被撤销职业资格之日起（）内，认可机构不再接受其注册申请A、2年B、3年C、4年D、5年10、对于较大范围的网络，网络隔离是（）A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对11、对全国密码工作实行统一领导的机构是(）A、中央密码工作领导机构B、国家密码管理部门C、中央国家机关D、全国人大委员会12、ISO/IEC27701是（）A、是一份基于27002的指南性标准B、是27001和27002的隐私保护方面的扩展C、是ISMS族以外的标准D、在隐私保护方面扩展了270001的要求13、根据GB/T22080-2016/ISO/IEC27001:2013标准，以下做法不正确的是（）A、保留含有敏感信息的介质的处置记录B、离职人员自主删除敏感信息的即可C、必要时采用多路线路供电D、应定期检查机房空调的有效性14、最高管理层应（），以确保信息安全管理体系符合本标准要求。

IT服务工程师知识点（二）单选题1.最有可能促进人与人之间最快最有效的沟通:持有相同的观点Q2. IT服务工程师的专业能力中，不属于核心能力的是IT 服务成本管理能力IT服务工程师的专业能力中，属于核心能力的是:IT服务基本流程和工具,信息安全意识和技术,项目管理基本知识Q3. 服务器通过系统自带监控工具，能够获得自身的配置信息、性能信息和警告信息，相比综合监控工具的最大优势是:获得服务器最准确、完整的各类信息Q4. IT服务的质量模型定义了服务质量的六项特性，即功能性、可靠性、有形性和安全性、响应性、友好性Q5. 以下哪种不是网络型入侵检测系统（IDS）的主要优势很容易检测一些活动（比如对敏感文件、目录、程序或端口的存取），而这些活动很难在基于网络的线索中被发现以下哪种是网络型入侵检测系统（IDS）的主要优势:可以检查到主机型入侵检测系统漏掉的攻击检测速度快，通常能在微妙或秒级发现问题，并做出更快的通知和响应作为安全检测资源，与主机的操作系统无关Q6. 对服务请求的响应速度、服务请求的解决速度、一次故障解决率等达到规定水平的程度，属于哪项IT服务工程师质量指标的考核响应性指标Q7. 根据ITSS的IT服务分类，下列哪一项属于信息化规划服务:企业信息化建设规划和项目可行性研究Q8. IT服务工程师的技能要求可以分为硬技能要求和软技能要求，以下不属于硬技能要求的选项是沟通能力以下属于硬技能要求流程执行能力,IT服务工具操作能力,专业文档撰写和管理能力Q9. 一般而言，以下哪一项功能不能由防火墙实现:漏洞扫描一般而言，以下哪一项功能能由防火墙实现地址转换包过滤代理上网Q10. ITSS是以下哪一个选项的简称IT服务标准Q11. 对于我国信息技术服务业而言，ITSS的价值主要体现在提供体系化的标准库Q12. 威胁识别的过程主要包括威胁源分析、(历史安全事件分析)、实时入侵事件分析几个方面Q13. 以下选项中哪一项不是全面质量管理核心的特征全面审核的质量管理以下选项中哪一项不是全面质量管理核心的特征全面审核的质量管理:全员参加的质量管理.全面方法的质量管理.全面结果的质量管理Q14. 风险评估流程包括系统调研、(资产识别)、威胁识别、脆弱性识别（包括现有控制措施确认）、风险综合分析以及风险控制计划六个阶段Q15. 以下哪种加密算法不属于对称加密算法HASH以下哪种加密算法属于对称加密算法DES,3DES.AESQ16. 下面哪一项属于某个应用系统支持项目的收尾过程组中的内容配合新的应用系统支持团队人员完成过渡及交接工作Q17. 下面哪一项不属于事件管理的处理范围服务器操作系统升级下面哪一项不属于事件管理的处理范围故障处理.服务请求处理.咨询受理Q18. 关于问题发现流程的基本步骤，以下哪一个选项是最正确的问题报告→询问客户→勘察现场→确定问题Q19. 以下有关质量保证的叙述，错误的选项是哪一项质量保证主要任务是识别与项目相关的各种质量标准以下有关质量保证的叙述，正确的选项是哪一项.质量保证应该贯穿整个项目生命周期，质量保证给质量的持续改进过程提供识证，.质量审计是质量保证的有效手段Q20. “将数据作为裸磁盘块（而不是单个文件）集合来进行备份，使用这种方法是为了避免备份的系统开销，用这种方法可以充分利用存储的较大IO吞吐能力”，以上描述的是哪种备份方法映像备份Q21. 在事件录入规范中，不包含的内容是事件原因跟踪在事件录入规范中，不包含的内容是服务规范化执行情况，客户意见反馈及跟踪结果，事件未达成SLA的原因跟踪Q22. 对平级沟通（主要是需求部门）的主要内容包括以下哪几项(3)协调沟通(4)需求满足Q23. 关于优质客户服务的个人特性的具体要求，以下哪一项是不正确的学历关于优质客户服务的个人特性的具体要求，以下哪一项是不正确的.仪表态度操作技能Q24. 团队中的每种技能都是为完成团队的目标所必需的能互济余缺的技能。