免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2024年上半年 信息系统项目管理师 上午试卷 综合知识 (第二批)
  第67题      
  知识点:   信息系统安全风险评估
  章/节:   信息系统安全管理       

 
Security vulnerability are considered a type of ()
 
 
  A.  technical risk
 
  B.  management risk
 
  C.  organizational risk
 
  D.  commercial risk
 
 
 

 
  第12题    2019年下半年  
   31%
( )可以对预先定义好的策略中涉及的网络访问行为实施有效管理,而对策略之外的网络访问行为则无法控制。
  第8题    2008年下半年  
   30%
(8)指对主体访问和使用客体的情况进行记录和审查,以保证安全规则被正确执行,并帮助分析安全事故产生的原因。
  第15题    2010年下半年  
   58%
在Windows操作系统平台上采用通用硬件设备和软件开发工具搭建的电子商务信息系统宜采用(15)作为信息安全系统架构。
   知识点讲解    
   · 信息系统安全风险评估
 
       信息系统安全风险评估
        信息安全与安全风险
        建立安全保障系统的步骤如下:
        (1)拟定新系统的功能——目标。
        (2)现有系统分析——风险识别。
        (3)对识别出的风险预估可能造成的后果——风险评估。
        (4)按照风险大小和主次设计风险应对策略——控制风险。
        (5)对设计对策进行投入产出评估。
        (6)判断可行性。
        (7)设计。
        (8)实施。
        安全风险识别
        简单来说,安全风险识别就是把“安全威胁”找出来。“安全威胁”是指对业务应用信息系统正常运行的“威胁”。在考虑业务应用信息系统的安全时,需要考虑企业的有形资产和无形资产,信息安全保障系统首先要考虑有形资产的保护,无形资产是在有形资产被破坏之后才引发的结果。
        1.安全威胁的分类
        安全威胁也叫安全风险,风险是指特定的威胁或因企业资产的脆弱性而导致企业资产损失或伤害的可能性。风险包含3个方面的含义:
        .对信息或资产产生的威胁。
        .威胁的发生会对资产产生影响。
        .威胁具有发生的可能性(概率)。
        业务应用信息系统的安全威胁(风险)分类如下。
        按风险的性质划分为:
        .静态风险:自然力的不规则作用和人们的错误判断和错误行为导致的风险。
        .动态风险:由于人们欲望的变化、生产方式和生产技术的变化以及企业组织的变化导致的风险。
        按风险的结果划分为:
        .纯粹风险:当风险发生时,仅仅会造成损害的风险。
        .投机风险:当风险发生时,可能产生利润也可能造成损失的风险。
        按风险源的角度划分为:
        .自然事件风险:不以人的意志为转移的不可抗拒的天灾人祸。
        .人为事件风险:人为事件造成损失的概率远远大于自然事件威胁造成的损失。人为事件风险可分为意外的人为事件风险和有意的人为事件风险。
        .软件风险:指由于软件体系结构的合理程度及其对于外界变化的适应能力而产生的风险。软件系统风险的大小影响软件的质量,主要表现在兼容风险、维护风险和使用风险上。
        .软件过程风险:指在软件开发周期过程中可能出现的风险以及软件实施过程中外部环境的变化可能引起的风险。
        .项目管理风险:主要源于应用软件产品的不可预见性、软件生产过程不存在绝对正确的过程形式以及信息系统应用项目的独特性。
        .应用风险:指在应用系统或软件过程中尤其是在网络环境下,由于网络连接或操作而产生的风险。包括安全性、未授权远程访问、不精确信息、不完整处理等。
        .用户使用风险:指终端用户进行开发和应用过程中产生的风险,包括不充分地使用资源、不兼容的系统、无效应用、职责不分等。
        2.安全威胁的对象及资产评估鉴定
        安全威胁的对象是一个企业中的有形资产和无形资产,主要是有形资产。
        从安全角度来讲,一个信息系统内的资产在没有被评估鉴定之前,是不可能成功实施安全管理并进行维护的。
        资产评估鉴定的步骤如下:
        (1)根据企业的业务逐级划分资产的界限。
        (2)确定各个级别的资产隶属部门的岗位和责任人、相关干系人,并核实各自的责任、权限和落实的情况,以及监督、监管的制度和措施。
        (3)确定各个级别资产的价值和重要性,以及受到可能威胁的强弱程度。
        (4)确定获取及维护各个级别资产的费用(包括人力和财力)。
        3.信息系统安全薄弱环节鉴定评估
        可以用威胁、脆弱性(弱点)、影响来计量风险。威胁、脆弱性、影响三者关系如下:
        .威胁可看成从系统外部对系统产生的作用,而导致系统功能及目标受阻的所有现象。脆弱性可以看成是系统内部的薄弱点。脆弱性是客观存在的,脆弱性本身没有实际的伤害,但威胁可以利用脆弱性发挥作用。影响可以看作是威胁与脆弱性的特殊组合。
        .风险=威胁×弱点×影响。
        对安全薄弱环节的鉴定评估包括鉴定物理环境、组织机构、业务流程、人员、管理、硬件、软件和通信设施等的弱点,这些都可能被各种安全威胁利用。
        一些典型的安全薄弱环节如下:
        .未报告的新的网络连接。
        .未受过相应培训的业务人员。
        .错误的选择和使用密码。
        .没有正确的访问控制措施。
        .没有对信息或软件进行定期备份。
        .备份介质无人管理或管理混乱。
        .绕过安全防范设备,进行拨号接入专用网络。
        .安全岗位、安全制度不落实。
        .密码和授权长期不变。
        .内外网没有有效信息隔离。
        .使用非正版的软件和硬件。
        .施工和维护人员没有合法的资质证件。
        .所处的地方易遭到自然威胁(如雷击、洪水等)的破坏。
        风险识别与风险评估的方法
        风险识别的常用方法有:
        .问询法(头脑风暴法、面谈法和德尔菲法等)
        .财务报表法(各种财务报表和记录)
        .流程图法(网络图或WBS法)
        .现场观察法
        .历史资料(索赔记录及其他风险信息)
        .环境分析法(相关方和社会环境变化趋势,可能变更的法律法规等)
        .类比法
        .专家咨询
        风险评估的常用方法有:
        .概率分布(专家预测)
        .外推法(使用历史数据)
        .定性评估
        .矩阵图分析
        .风险发展趋势评价方法
        .项目假设前提评价及数据准确度评估
   题号导航      2024年上半年 信息系统项目管理师 上午试卷 综合知识 (第二批)   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第67题    在手机中做本题