首页
外语
计算机
考研
公务员
职业资格
财经
工程
司法
医学
专升本
自考
实用职业技能
登录
计算机
某公司系统安全管理员在建立公司的“安全管理体系”时,根据GB/T20269-2006《信息安全技术信息系统安全管理要求》,对当前公司的安全风险进行了分析和评估,他分析了常见病毒对计算机系统、数据文件等的破坏程度及感染特点,制定了相应的防病毒措施。这一做法符
某公司系统安全管理员在建立公司的“安全管理体系”时,根据GB/T20269-2006《信息安全技术信息系统安全管理要求》,对当前公司的安全风险进行了分析和评估,他分析了常见病毒对计算机系统、数据文件等的破坏程度及感染特点,制定了相应的防病毒措施。这一做法符
admin
2021-01-13
68
问题
某公司系统安全管理员在建立公司的“安全管理体系”时,根据GB/T20269-2006《信息安全技术信息系统安全管理要求》,对当前公司的安全风险进行了分析和评估,他分析了常见病毒对计算机系统、数据文件等的破坏程度及感染特点,制定了相应的防病毒措施。这一做法符合(24)的要求。
选项
A、资产识别和评估
B、威胁识别和分析
C、脆弱性识别和分析
D、等保识别和分析
答案
B
解析
按照GB/T20269-2006《信息安全技术信息系统安全管理要求》,风险分析和评估包括:
资产识别和分析对资产识别和分析,不同安全等级应有选择地满足以下要求的一项:
①信息系统的资产统计和分类:确定信息系统的资产范围,进行统计和编制资产清单,并进行资产分类和重要性标识。
②信息系统的体系特征描述:在①的基础上,根据对信息系统的硬件、软件、系统接口、数据和信息、人员等方面的分析和识别,对信息系统的体系特征进行描述,至少应阐明信息系统的使命、边界、功能,以及系统和数据的关键性、敏感性等内容。
威胁识别和分析对威胁识别和分析,不同安全等级应有选择地满足以下要求的一项:
①威胁的基本分析:应根据以往发生的安全事件、外部提供的资料和积累的经验等,对威胁进行粗略的分析。
②威胁列表:在①的基础上,结合业务应用、系统结构特点以及访问流程等因素,建立并维护威胁列表;由于不同业务系统面临的威胁是不同的,应针对每个或者每类资产有一个威胁列表。
③威胁的详细分析:在②的基础上,考虑威胁源在保密性、完整性或可用性等方面造成损害,对威胁的可能性和影响等属性进行分析,从而得到威胁的等级;威胁等级也可通过综合威胁GB/T20269—200611的可能性和强度的评价获得。
④使用检测工具捕捉攻击:在③的基础上,对关键区域或部位进行威胁分析和评估,在业务应用许可并得到批准的条件下,可使用检测工具在特定时间捕捉攻击信息进行威胁分析。
脆弱性识别和分析对脆弱性识别和分析,不同安全等级应有选择地满足以下要求的一项:
①脆弱性工具扫描:应通过扫描器等工具来获得对系统脆弱性的认识,包括对网络设备、主机设备、安全设备的脆弱性扫描,并编制脆弱性列表,作为系统加固、改进和安全项目建设的依据;可以针对资产组合、资产分类编制脆弱性列表和脆弱性检查表。
②脆弱性分析和渗透测试:在①的基础上,脆弱性的人工分析至少应进行网络设备、安全设备以及主机系统配置检查、用户管理检查、系统日志和审计检查等;使用渗透测试应根据需要分别从组织机构的网络内部和网络外部选择不同的接入点进行;应了解测试可能带来的后果,并做好充分准备;针对不同的资产和资产组合,综合应用人工评估、工具扫描、渗透性测试等方法对系统的脆弱性进行分析和评估;对不同的方法和工具所得出的评估结果,应进行综合分析,从而得到脆弱性的等级。
③制度化脆弱性评估:在②的基础上,坚持制度化脆弱性评估,应明确规定进行脆弱性评估的时间和系统范围、人员和责任、评估结果的分析和报告程序,以及报告中包括新发现的漏洞、已修补的漏洞、漏洞趋势分析等。
转载请注明原文地址:https://kaotiyun.com/show/e8XZ777K
本试题收录于:
系统集成项目管理工程师上午基础知识考试题库软考中级分类
0
系统集成项目管理工程师上午基础知识考试
软考中级
相关试题推荐
根据问题描述,依照下面给出的处理序列,给出可能出现的所有序列。(1)R1------W1------R2------W2现假设航班MU2211只剩一张2007年2月25日的机票,并有两位顾客同时到达一号和二号售票窗口购买该票,请问在进行系统设计
根据上述说明,由SQL定义的“职工”和“部门”的关系模式,以及统计各部门的人数C、工资总数Totals、平均工资Averages的D_S视图如下所示,请在空缺处填入正确的内容。CreateTable部门(部门号Char(1)(a)
若某计算机系统是由500个元器件构成的串联系统,且每个元器件的失效率均为10-7/H,在不考虑其他因素对可靠性的影响时,该计算机系统的平均故障间隔时间为(2)小时。
在软件开发过程中常用图来作为描述的工具。DFD就是面向(1)分析方法的描述工具。在一整套分层DFD中,如果某一张图中有N个加工(Process),则这张图允许有(2)张子图。在一张DFD图中,任意两个加工之间(3)。在画分层DFD的时候,应注意保持(4)之
设关系R和S的元数分别为r和s。那么,由属于R但不属于S的元组组成的集合运算称为(1)。在一个关系中找出所有满足某个条件的元组的运算称为(2)运算。对R和S进行(3)运算可得到一个r+s元的元组集合,其每个元组的前r个分量来自R的一个元组,后s个分量来自S
关于ERP,下列说法不正确的是______。
1.数据流图10-22中有两条数据流是错误的,请指出这两条数据流的起点和终点。2.数据流图10-23中缺少3条数据流,请指出这3条数据流的起点和终点。
关于程序语言的叙述,错误的是(25)。
我国制定的关于无线局域网安全的强制性标准是__________________。
随机试题
2009年4月2日,13岁的张某被公安局传唤,当晚被放回。此后张某报名参军,参加招工、招干都因政审不合格而被拒绝。后了解到,当年县公安局在传唤后,因工作失误错误地将张某列为“监控对象”进行监控达17年。张某提出国家赔偿请求,对于张某的赔偿请求,下列哪些说法
下列有关货物采购合同管理的描述,正确的是()。
改性沥青混合料通常比普通沥青混合料施工温度高( )。
某工程合同价为1000万元,合同中约定采用调值公式法进行工程价款动态结算,其中固定要素比重为0.2,调价要素A、B、C在合同总价中所占比重分别为0.15、0.35、0.3,结算时,三项要素的价格指数分别增长了10%、15%、25%,则该工程的实际结算款是
“出租人应按合同规定的时间和标准,将出租的财产交付承租人使用”属于出租人的()。
圆舞曲又称“华尔兹”,是起源于()的民间舞曲。
李某性格怿癖,因受单位领导批评而发泄不满,驾车冲向闹市区人群,当场撞伤5人。李某的行为构成()。
在数据库表中,可以唯一标识一条记录的字段叫做(65)。
InthenewmillenniumIwanttoseedisabledpeopleacquiringthesamedegreeofcontrolovertheirlivesthatotherpeoplehave
Ofallthegoalsoftheeducationreformmovement,noneismoredifficultthandevelopinganobjectivemethodtoassessteachers
最新回复
(
0
)