信息安全管理课后习题答案.pdf

发布时间：2022-06-17 发布人：admin 分类：说明书资料大小：0.42M 资料格式：pdf 举报版权申诉

0f7b7a40-e3d7-4e31-b556-fa69b528cf19.pdf-第1页.png

第1页 / 共20页

0f7b7a40-e3d7-4e31-b556-fa69b528cf19.pdf-第2页.png

第2页 / 共20页

0f7b7a40-e3d7-4e31-b556-fa69b528cf19.pdf-第3页.png

第3页 / 共20页

0f7b7a40-e3d7-4e31-b556-fa69b528cf19.pdf-第4页.png

第4页 / 共20页

0f7b7a40-e3d7-4e31-b556-fa69b528cf19.pdf-第5页.png

第5页 / 共20页

0f7b7a40-e3d7-4e31-b556-fa69b528cf19.pdf-第6页.png

第6页 / 共20页

0f7b7a40-e3d7-4e31-b556-fa69b528cf19.pdf-第7页.png

第7页 / 共20页

0f7b7a40-e3d7-4e31-b556-fa69b528cf19.pdf-第8页.png

第8页 / 共20页

第一章

第二章

第三章

第四章

第五章

第六章

第七章

第八章

第一章 2．什么是信息？什么是信息安全？信息安全的内容包括哪些？答：信息可以理解为消息、情报、数据或知识，它可以以多种形式存在，可以是信息设施中存储与处理的数据、程序，可以是打印或书写出来的论文、电子邮件、设计图纸、业务方案，也可以是显示在胶片等载体或表达在会话中的消息。国际公认的 ISO/IEC IT 安全管理指南（GMITS）对信息（Information）给出如下解释：信息是通过施加于数据上的某些约定而赋予这些数据的特定含义。信息安全是保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。在商业和经济领域，信息安全主要强调的是消减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降低到最低程度。信息安全一般包括实体安全、运行安全、信息安全和管理安全四个方面的内容。在信息保障的概念中，信息安全的内容还包括：机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、真实性（Authenticity）和有效性（Utility）。 3．什么是信息安全管理？为什么要引入信息安全管理？答：信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。信息安全管理是信息安全保障体系建设的重要组成部分，对于保护信息资产、降低信息系统安全风险、指导信息安全体系建设具有重要作用。由于信息安全已扩展到了信息的可靠性、可用性、可控性、完整性及不可抵赖性等更新、更深层次的领域。这些领域内的相关技术和理论都是信息安全所要研究的领域。实际上，对安全技术和产品的选择运用，只是信息安全实践活动中的一部分，只是实现安全需求的手段而已。信息安全更广泛的内容，还包括制定完备的安全策略，通过风险评估来确定需求，根据需求选择安全技术和产品，并按照既定的安全策略和流程规范来实施、维护和审查安全控制措施。归根到底，信息安全并不是技术过程，而是管理过程。随着信息安全理论与技术的发展，信息保障的概念得以提出并得到一致认可，而在信息保障的三大要素（人员、技术和管理）中，管理要素的作用和地位越来越得到重视。 4．叙述信息安全管理的内容。答：信息安全管理应当涉及信息安全的各个方面，包括制定信息安全政策、风险评估、控制目标与方式选择、制定规范的操作流程、对人员进行安全意识培训等一系列工作。按照信息安全管理国际标准 ISO/IEC 17799 的最新版本 ISO/IEC 17799：2005，一般通过在以下十一个领域内建立管理控制措施。（1）安全方针和策略（2）组织安全（3）资产分类与控制（（4）人员安全（5）物理与环境安全（6）通信、运行与操作安全（7）访问控制（8）系统获取、开发与维护（9）安全事故管理（10）业务持续性（11）符合性。 5．我国信息安全管理现状如何？对此你有什么思考和建议？答：在威胁多样化的信息化时代，我国信息安全管理的现状不容乐观，这可以从国家宏观管理与组织微观管理两方面来加以简单论述。

在国家宏观信息安全管理方面，主要有以下几个方面的问题。（1）法律法规问题（2）管理问题（3）国家信息基础设施建设问题我国在微观信息安全管理方面存在的问题主要表现为以下几方面。（1）缺乏信息安全意识与明确的信息安全方针（2）重视安全技术，轻视安全管理（3）安全管理缺乏系统管理的思想。第二章 1．什么是信息安全管理体系 ISMS？建立 ISMS 有什么作用？答：信息安全管理体系（Information Security Management System，ISMS）是组织在整体或特定范围内建立的信息安全方针和目标，以及完整这些目标所用的方法和手段所构成的体系；信息安全管理体系是信息安全管理活动的直接结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 ISMS 的作用组织建立、实施与保持信息安全管理体系将会产生如下作用： 1）.强化员工的信息安全意识，规范组织信息安全行为； 2）.促使管理层贯彻信息安全保障体系； 3）.对组织的关键信息资产进行全面系统的保护，维持竞争优势； 4）.在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度； 5）.使组织的生意伙伴和客户对组织充满信心； 6）.如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，可以提高组织的知名度与信任度。 2．PDCA 分为哪几个阶段？每一个阶段的主要任务是什么？答:PDCA 循环的四个阶段的具体任务和内容如下。（1）计划阶段：制定具体工作计划，提出总的目标。具体来讲又分为以下 4 个步骤：  分析目前现状，找出存在的问题；  分析产生问题的各种原因以及影响因素；  分析并找出管理中的主要问题；  制定管理计划，确定管理要点。本阶段的任务是根据管理中出现的主要问题，制定管理的措施和方案，明确管理的重点。制定管理方案时要注意整体的详尽性、多选性和全面性。（2）实施阶段：按照制定的方案去执行。本阶段的任务是在管理工作中全面执行制定的方案。制定的管理方案在管理工作中执行的情况，直接影响全过程，所以在实施阶段要坚决按照制定的方案去执行。（3）检查阶段：检查实施计划的结果。本阶段的任务是检查工作，调查效果。这一阶段是比较重要的一个阶段，它是对实施方案是否合理、是否可行以及有何不妥的检查。该阶段为下一个阶段工作提供条件，是检验上一阶段工作好坏的检验期。（4）行动阶段：根据调查效果进行处理。  对已解决的问题，加以标准化：即把已成功的可行的条文进行标准化，将这些纳入到制度、规定中，防止以后再发生类似问题；  找出尚未解决的问题，转入下一个循环中去，以便解决。

3．描述 PDCA 模型及其实施过程？答：PDCA 的含义是： 1.P（Plan）——计划，确定方针和目标，确定活动计划； 2.D（Do）——实施，采取实际措施，实现计划中的内容； 3.C（Check）——检查，检查并总结执行计划的结果，评价效果，找出问题； 4.A（Action）——行动，对检查总结的结果进行处理，成功的经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个 PDCA 循环。实施过程：计划和实施计划阶段用来保证 ISMS 的内容和范围被正确地建立，信息安全风险被正确评估，处理这些风险的计划被有效开发。实施阶段用来实施在计划阶段确定的决策和解决方案。检查和行动检查和行动阶段用来加强、修改和改进已识别和实施的信息安全方案。检查评审可以在任何时间、以任何频率实施。 4．叙述 BS7799 的主要内容？可以采用哪些模式引入 BS7799？答：BS7799 基本内容包括信息安全政策、信息安全组织、信息资产分类与管理、人员信息安全、物理和环境安全、通信和运营管理、访问控制、信息系统的开发与维护、业务持续性管理、信息安全事件管理和符合性管理十一个方面。 2）组织在实施 BS7799 时，可以根据需求和实际情况，采用以下几种模式：  按照 BS7799 标准的要求，自我建立和实施组织的安全管理体系，以达到保证信息安全的目的；  按照 BS7799 标准的要求，自我建立和实施组织的安全管理体系，以达到保证信息安全的目的，并且通过 BS7799 体系认证；  通过安全咨询顾问，来建立和实施组织的安全管理体系，以达到保证信 5．叙述信息安全等级保护的含义。我国对于信息和信息系统的安全保护等级是如何划分的？答：信息安全等级保护是指根据信息系统在国家安全、经济安全、社会稳定、和保护公共利益等方面的重要程度，结合系统面临的风险、应对风险的安全保护要求和成本开销等因素，将其划分成不同的安全保护等级，采取相应的安全保护措施，以保障信息和信息系统的安全。息和信息系统的安全保护等级共分为五级：（1）第一级：自主保护级（2）第二级：指导保护级（3）第三级：监督保护级（4）第四级：强制保护级（5）第五级：专控保护级息安全的目的；  通过安全咨询顾问，来建立和实施组织的安全管理体系，以达到保证信息安全的目的，并且通过 BS7799 体系认证。

6．等级保护的实施分为哪几个阶段？每一个阶段的主要任务是什么？答：信息安全等级保护的实施过程包括三个阶段，分别为：  定级阶段  规划与设计阶段  实施、等级评估与改进阶段（1）第一阶段：定级。定级阶段主要包括两个步骤： a）系统识别与描述 b）等级确定（2）第二阶段：规划与设计。规划与设计阶段主要包括三个步骤，分别为： a）系统分域保护框架建立 b）选择和调整安全措施 c）安全规划和方案设计（3）第三阶段：实施、等级评估与改进。实施、等级评估与改进阶段主要包括三个步骤，分别为 a）安全措施的实施 b）评估与验收 c）运行监控与改进 8．SSE-CMM 将安全工程划分为哪些基本的过程区域？每一个区域的含义是什么？答：SSE-CMM 将安全工程划分为 3 个基本的过程区域，即风险、工程和保证。风险，安全工程的主要目标是降低风险。风险就是有害事件发生的可能性，—个不确定因素发生的可能性依赖于具体情况，这就意味着这种可能性仅能在某种限制下预测。工程，安全工程与其他项目一样，是一个包括概念、设计、实现、测试、部署、运行、维护和退出的完整过程。保证，是指安全需求得到满足的信任程度，它是安全工程非常重要的产品， SSE-CMM 的信任程度来自于安全工程过程可重复性的结果质量，这种信任的基础是成熟组织比不成熟组织更可能产生出重复结果的事实。 9．建立信息安全管理体系一般要经过哪些基本步骤？答：建立信息安全管理体系一般要经过下列五个基本步骤：  信息安全管理体系的策划与准备  信息安全管理体系文件的编制  建立信息安全管理框架  信息安全管理体系的运行  信息安全管理体系的审核与评审 10．什么是信息安全管理体系认证？信息安全管理体系认证的过程是怎样的？答：认证（Certification），是第三方依据程序对产品、过程和服务等符合规定的要求给予书面保证（如合格证书）。认证的基础是标准，认证的方法包括对产品特性的抽样检验和对组织体系的审核与评定，认证的证明方式是认证证书与认证标志。目前，世界上普遍采用的信息安全管理体系认证的标准是在英国标准协会的信息安全管理委员会指导下制定的 B57799-2:《信息安全管理体系规范》。信息安全管理体系认证的过程是 1）认证的准备 2）认证的实施 3）证书与标志 4）维持认证

第三章 1．解释以下概念：（1）资产：所谓资产就是被组织赋予了价值、需要保护的有用资源。（2）资产的价值：为了明确对资产的保护，所对资产进行的估价。（3）威胁：威胁是指可能对资产或组织造成损害的事故的潜在原因。（4）脆弱性：所谓脆弱性就是资产的弱点或薄弱点，这些弱点可能被威胁利用造成安全事件的发生，从而对资产造成损害。（5）安全风险：所谓安全风险，就是特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。（6）风险评估：即对信息和信息处理设施的威胁、影响（Impact，指安全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估。（7）风险管理：所谓风险管理就是以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。（8）安全需求：（9）安全控制：安全控制就是保护组织资产、防止威胁、减少脆弱性、限制安全事件影响的一系列安全实践、过程和机制。（10）剩余风险：即实施安全控制后，仍然存在的安全风险。（11）适用性声明：所谓适用性声明，是指对适用于组织需要的目标和控制的评述。 2．叙述风险评估的基本步骤。（1）按照组织业务运作流程进行资产识别，并根据估价原则对资产进行估价；（2）根据资产所处的环境进行威胁评估；（3）对应每一威胁，对资产或组织存在的脆弱性进行评估；（4）对已采取的安全机制进行识别和确认；（5）建立风险测量的方法及风险等级评价原则，确定风险的大小与等级。 3．资产、威胁与脆弱性之间的关系如何？资产、威胁与脆弱性之间的对应关系包括：  一项资产可能存在多个威胁；  威胁的来源可能不只一个，应从人员（包括内部与外部）、环境（如自然灾害）、资产本身（如设备故障）等方面加以考虑；  每一威胁可能利用一个或数个脆弱性。 4．信息系统的脆弱性一般包括哪几类？大体可以分为以下几类。  技术脆弱性––––系统、程序和设备中存在的漏洞或缺陷，如结构设计问题和编程漏洞等；  操作脆弱性––––软件和系统在配置、操作及使用中的缺陷，包括人员日常工作中的不良习惯、审计或备份的缺乏等；  管理脆弱性––––策略、程序和规章制度等方面的弱点。

5．叙述风险评价方法中定性分析法的原理。根据风险定义可知，风险是资产所受到的威胁、存在的脆弱性（薄弱点）及威胁利用薄弱点所造成的潜在影响三方面共同作用的结果。风险是威胁发生的可能性、脆弱性被威胁利用的可能性和威胁的潜在影响的函数，记为： R = R（PT，PV，I）其中 R——资产受到某一威胁时所具有的风险； PT——威胁发生的可能性； PV——脆弱性被利用的可能性； I——威胁的潜在影响，I = 资产相对价值V × 价值损失程度CL；根据前面所述，威胁的潜在影响 I 可以用资产的相对价值 V 来代替，上面的函数可改写为： R = R（PT，PV，V）上面是考虑三个变量的风险的计算函数，如果将威胁发生的可能性PT和脆弱性被利用的可能性PV综合为一个变量（因素）——威胁真实发生的可能性PTV = PT × PV，此时PT可以看成是威胁发生的平均可能性，这样风险函数可以改写为： R = R（PTV，V） 6．比较基本风险评估与详细风险评估的优缺点。基本风险评估有许多优点，主要是：  风险评估所需资源最少，简便易实施；  同样或类似的控制能被许多信息安全管理体系所采用，不需要耗费很大的精力。如果一个组织的多个信息安全管理体系在相同的环境里运作，并且业务要求类似，这些控制可以提供一个经济有效的解决方案。基本风险评估的缺点包括：  安全基线水平难以设置，如果安全水平被设置的太高，就可能需要过多的费用，或产生控制过度的问题；如果水平设置太低，一些系统可能不会得到充分的安全；  管理与安全相关的变更可能有困难。例如，如果一个信息安全管理体系被升级，评估最初的控制是否仍然充分就有一定困难。详细风险评估的优点主要包括：  可以获得一个更精确的对安全风险的认识，从而可以更为精确地识别出反映组织安全要求的安全水平；  可以从详细的风险评估中获得额外信息，使与组织变革相关的安全管理受益。详细风险评估的缺点主要是，需要花费相当的时间、精力和技术去获得可行的结果。 7．某企业有三个网络系统：研发、生产与销售；系统的保密性、完整性、可用性均定性划分为低（1）、中（2）、高（3）三个等级；PO、PD均划分为 5 级，并赋予以下数值：很低（0.1）、低（0.3）、中（0.5）、高（0.7）、很高（0.9）。请完成该企业网络系统的风险计算结果表。统名称保密性C 完整性网络系风险 R 风险排序可用性 A 防止系统性能网络系统重要防止威胁发生 IN

性 V PO 降低 PD 0.3 0.5 0.2 3 2 2 3 3 3 2 3 2 研发生产销售 8．降低风险的主要途径有哪些？分别叙述。组织根据控制费用与风险平衡的原则识别并选择了安全控制措施后，对所选择的安全控制应当严格实施并保持，通过以下途径达到降低风险的目的： 10.08 5.4 8.64 0.2 0.4 0.1 18 18 12 1 3 2  避免风险：例如，将重要的计算机与 Internet 隔离，使之免受外部网  转移风险：例如，通过购买商业保险将风险转移，或将高风险的信息  减少威胁：例如，建立并实施恶意软件控制程序，减少信息系统受恶  减少脆弱性：例如，经常性地为系统安装补丁，修补系统漏洞，以防  减少威胁可能的影响：例如，建立业务持续性计划，把灾难造成的损络的攻击；处理业务外包给第三方；意软件攻击的机会；止系统脆弱性被利用；失降到最低；  检测意外事件，并做出响应和恢复：例如，使用网络管理系统对网络性能与故障进行监测，及时发现问题并做出反应。第四章 1．在我国，信息安全管理组织包含哪些层次？在我国，信息安全管理组织有 4 个层次：各部委信息安全管理部门、各省信息安全管理部门、各基层信息安全管理部门以及经营单位。其中，直接负责信息系统应用和系统运行业务的单位为系统经营单位，其上级单位为系统管理部门。 2．信息安全组织的基本任务是什么？信息安全组织的基本任务是在政府主管部门的管理指导下，由与系统有关的各方面专家，定期或适时进行风险评估，根据本单位的实际情况和需要，确定信息系统的安全等级和管理总体目标，提出相应的对策并监督实施，使得本单位信息系统的安全保护工作能够与信息系统的建设、应用和发展同步前进。 3．企业信息安全组织由哪些机构组成？各个机构的基本任务是什么？企业信息安全组织由信息安全决策机构，信息安全管理机构，信息安全执行机构组成。信息安全决策机构的任务包括：（1）评审和审批信息安全方针；（2）分配信息安全管理职责；（3）确认风险评估的结果；信息安全管理机构的任务包括：

（1）对安全事件进行评估，确定应采取的安全响应级别；（2）确定对安全事件的响应策略及技术手段；（3）管理信息安全相关的日常工作；（4）管理信息安全相关的人力资源；（5）管理信息安全组织内部和外部的相关信息；（6）管理信息安全组织的资产。信息安全管理机构的任务：信息安全执行机构在安全事件发生后，根据事件的具体情况和决策机构的决策，在管理机构的管理下采取不同的安全响应策略，组成不同的响应小组，提供优质的响应服务。 4．信息安全人员的审查应当从哪几个方面进行？人员安全审查应从人员的安全意识、法律意识和安全技能等几方面进行审查。 5．信息安全教育包括哪些方面的内容？教育和培训的具体内容和要求会因培训对象的不同而不同，主要包括法规教育、安全技术教育和安全意识教育等。（1）法规教育法规教育是信息安全教育的核心，只要与信息系统相关的人员（包括技术人员、管理人员和领导）都应该接受信息安全的法规教育。（2）安全技术教育信息及信息安全技术，是信息安全的技术保证，常用的信息安全技术包括：加密技术、防火墙技术、入侵检测技术、漏洞扫描技术、备份技术、计算机病毒防御技术和反垃圾邮件技术等。为了防止信息安全相关人员在操作信息系统时，由于误操作等引入安全威胁，对信息安全造成影响，应当对相关人员进行安全技术教育和培训。此外，作为安全技术教育的一部分，还必须了解信息系统的脆弱点和风险，以及与此有关的风险防范措施和技术。（3）安全意识教育所有信息系统相关人员都应当接受安全意识教育，安全意识教育的主要内容包括：  组织信息安全方针与控制目标；  安全职责、安全程序及安全管理规章制度；  适用的法律法规；  防范恶意软件；  与安全有关的其他内容。除了以上教育和培训，组织管理者应根据工作人员所从事的安全岗位不同，提供必要的专业技能培训。第五章 1．什么是物理安全边界？信息系统安全界线的划分和执行应考虑哪些原则和管理措施？答：所谓物理安全边界是指在信息系统的实体和环境这一层次上建立某种屏障，例如门禁系统等。

分享到：

赞收藏

资料库

信息安全管理课后习题答案.pdf

相关推荐

网络技术

热门标签

最新资料