Before an effective physical security program can be rolled out, a number of steps must be taken. Which of the following steps c

admin2013-12-19  26

问题 Before an effective physical security program can be rolled out, a number of steps must be taken. Which of the following steps comes first in the process of rolling out a security program?

选项 A、Create countermeasure performance metrics.
B、Conduct a risk analysis.
C、Design the program.
D、Implement countermeasures.

答案B

解析 B正确。在上面所列的这些步骤中,推出一个有效的物理安全方案过程的第一步就是进行风险分析,确定漏洞和威胁,并计算每个威胁对业务造成的影响。在此之前,需要指定一个由内部员工和/或外部顾问组成的小组米拟定这个物理安全方案。这个小组会把这个风险分析结果呈给管理层,并与管理层一起为这个物理安全方案定义一个可按受的风险级别。同时,他们必须制定基准和度量标准以评估和判断所采取的对策是否符合这些基准。一旦该小组确认并实施了对策,也需要不断地对这些对策的绩效进行评估,并用前面制定的度量标准进行表示。这些绩效值会与基准进行对比。如果基准得到了持续的维护,那说明这个安全方案是成功的,因为它没有超出这个公司可接受的风险级别。
A不正确。因为在所列步骤中,创建对策绩效度量标准并不是制定物理安全方案的第一步。然而,它却是很重要的一步。因为如果用基于绩效的方法来监控它的话,这是唯一能够判断此方案的有利性和有效性的步骤。这意味着你应该制定考量所选对策有效性的度量方法和度量标准。这有助于管理层在对组织的物理安全保护进行投资时能够做出明智的商业决策。其目的是以较高的性价比提高物理安全方案的性能和降低公司面临的风险。你应该建立一个性能基准,之后不断对性能进行评估,以确保公司的保护目标得以实现。性能度量标准有成功犯罪的数量、成功破坏的数量和犯罪分子击败一个控制所花费的时间等。
C不正确。因为方案设计应该在风险分析之后进行。一旦确定了风险级别,便可以进入设计阶段,保护组织免受风险分析中所确定的威胁的损害。设计包含了该方案每个类别所需的控制,即拦截、延迟、检测、评估和响应。
D不正确。因为对策实施是出台有效物理安全方案时的最后一步。在确定和实施对策前,实施风险分析,并和管理层一起定义一个可接受的风险级别至关重要。基于这个可接受的风险级别,该小组应该制定出所需的性能基准,然后创建对策性能度量标准。接下来,小组应该根据分析结果制定标准,阐述拦截、延迟、检测、评估与响应所需的性能级别和保护级别。只有在这些步骤完成之后,小组才应该确认并实施这些类别的对策。
转载请注明原文地址:https://kaotiyun.com/show/ZfhZ777K
0

随机试题
最新回复(0)