要很好的评估信息安全风险,可以通过()。
A、评估IT资产和IT项目的威胁
B、用公司的以前的真的损失经验来决定现在的弱点和威胁
C、审查可比较的组织公开的损失统计
D、审查在审计报告中的可识别的IT控制缺陷
A、评估IT资产和IT项目的威胁
B、用公司的以前的真的损失经验来决定现在的弱点和威胁
C、审查可比较的组织公开的损失统计
D、审查在审计报告中的可识别的IT控制缺陷
A、信息安全管理体系的建立需要确定信息安全需求,而信息安全需求获取的主要手段就是信息安全风险评估 B、风险评估可以对信息资产进行鉴定和评估,然后对信息资产面对的各种威胁和脆弱性进行评估 C、风险评估可以确定需要实施的具体安全控制措施 D、风险评估的结果应进行相应的风险处置,本质上,风险处置的最佳集合就是信息安全管理体系的控制措施集合
A、检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估 B、检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测 C、检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施 D、检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点
A、风险管理是知道和控制一个组织相关风险的协调活动,它通常包括风险评估、风险处置、风险接受和风险沟通 B、风险管理的目的是了解风险并采取措施处置风险并将风险消除 C、风险管理是信息安全工作的重要基础,因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期 D、在网络与信息系统规划设计阶段,应通过信息安全风险评估进一步明确安全需求和安全目标
A、资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构 B、应针对构成信息系统的每个资产做风险评价 C、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项 D、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁