A.風險的4種控制方法有:降低風險/轉嫁風險/規(guī)避風險/接受風險
B.信息安全風險管理是否成功在于風險是否被切實消除了
C.組織應依據(jù)信息安全方針和組織要求的安全保證程度來確定需要處理的信息安全風險
D.信息安全風險管理是基于可接受的成本,對影響信息系統(tǒng)的安全風險進行識別、控制、降低或轉移的過程
您可能感興趣的試卷
你可能感興趣的試題
A.當必須的安全對策的成本高出實際風險的可能造成的潛在費用時
B.當風險減輕方法提高業(yè)務生產(chǎn)力時
C.當引起風險發(fā)生的情況不在部門控制范圍之內(nèi)時
D.不可接受
A.確定軟件的攻擊面,根據(jù)攻擊面制定軟件安全防護策略
B.確定軟件在計劃運行環(huán)境中運行的最低安全要求
C.確定安全質量標準,實施安全和隱私風險評估
D.確定開發(fā)團隊關鍵里程碑和交付成果
A.緩沖區(qū)溢出
B.設計錯誤
C.信息泄露
D.代碼注入
A.反跟蹤技術
B.加密技術
C.模糊變換技術
D.自動解壓縮技術
A.緩沖區(qū)溢出
B.sql注入
C.設計錯誤
D.跨站腳本
最新試題
信息安全方面的業(yè)務連續(xù)性管理包含2個()和4個控制措施。組織應確定在業(yè)務連續(xù)性管理過程或災難恢復管理過程中是否包含了()。應在計劃業(yè)務連續(xù)性和災難恢復時確定()。組織應建立、記錄、實施并維持過程、規(guī)程和控制措施以確保在不利情況下信息安全連續(xù)性處于要求級別。在業(yè)務連續(xù)性或災難恢復內(nèi)容中,可能已定義特定的()。應保護在這些過程和規(guī)程或支持它們的特性信息系統(tǒng)中處理的額信息。在不利情況下,已實施的信息安全控制措施應繼續(xù)實行。若安全控制措施不能保持信息安全,應建立、實施和維持其他控制措施以保持信息安全在()。
與PDR模型相比,P2DR模型則更強調(),即強調系統(tǒng)安全的(),并且以安全檢測、()和自適應填充“安全間隙“為循環(huán)來提高()。
下列信息安全評估標準中,哪一個是我國信息安全評估的國家標準?()
分析針對Web的攻擊前,先要明白http協(xié)議本身是不存在安全性的問題的,就是說攻擊者不會把它當作攻擊的對象。而是應用了http協(xié)議的服務器或則客戶端、以及運行的服務器的wed應用資源才是攻擊的目標。針對Web應用的攻擊,我們歸納出了12種,小陳列舉了其中的4種,在這四種當中錯誤的是()。
歐美六國和美國商務部國家標準與技術局共同制定了一個供歐美各國通用的信息安全評估標準,簡稱CC標準,該安全評估標準的全稱為()。
災備指標是指信息安全系統(tǒng)的容災抗毀能力,主要包括四個具體指標:恢復時間目標(Recovery Time Ohjective,RTO).恢復點目標(Recovery Point Objective,RPO)降級操作目標(Degraded Operations Objective-DOO)和網(wǎng)絡恢復目標(NeLwork Recovery Ob jective-NRO),小華準備為其工作的信息系統(tǒng)擬定恢復點目標 RPO-O,以下描述中,正確的是()。
在設計信息系統(tǒng)安全保障方案時,以下哪個做法是錯誤的?()
保護-檢測-響應(Protection-Detection-Response,PDR)模型是()工作中常用的模型,七思想是承認()中漏洞的存在,正視系統(tǒng)面臨的(),通過采取適度防護、加強()、落實對安全事件的響應、建立對威脅的防護來保障系統(tǒng)的安全。
組織應定期監(jiān)控、審查、審計()服務,確保協(xié)議中的信息安全條款和條件被遵守,信息安全事件和問題得到妥善管理。應將管理供應商關系的責任分配給指定的個人或()團隊。另外,組織應確保落實供應商符合性審查和相關協(xié)議要求強制執(zhí)行的責任。應保存足夠的技術技能和資源的可用性以監(jiān)視協(xié)議要求尤其是()要求的實現(xiàn)。當發(fā)現(xiàn)服務交付的不足時,宜采?。ǎ?。當供應商提供的服務,包括對()方針、規(guī)程和控制措施的維持和改進等發(fā)生變更時,應在考慮到其對業(yè)務信息、系統(tǒng)、過程的重要性和重新評估風險的基礎上管理。
計算機漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)。在病毒肆意的信息不安全時代,某公司為減少計算機系統(tǒng)漏洞,對公司計算機系統(tǒng)進行了如下措施,其中錯誤的是()。