2. 从业资格
  3. 某公司系统安全管理员在建立公司的“安全管理体系”时,根据GB/T20269-20

某公司系统安全管理员在建立公司的“安全管理体系”时,根据GB/T20269-20

题库2022-08-02  104
问题 某公司系统安全管理员在建立公司的“安全管理体系”时,根据GB/T20269-2006《信息安全技术 信息系统安全管理要求》,对当前公司的安全风险进行了分析和评估,他分析了常见病毒对计算机系统、数据文件等的破坏程度及感染特点,制定了相应的防病毒措施。这一做法符合(  )的要求。A.资产识别和评估B.威胁识别和分析C.脆弱性识别和分析D.等保识别和分析
选项 A.资产识别和评估
B.威胁识别和分析
C.脆弱性识别和分析
D.等保识别和分析
答案 B
解析 根据GB/T20269-2006《信息安全技术 信息系统安全管理要求》,风险分析和评估包括有资产识别和分析、威胁识别和分析、脆弱性识别和分析;
对威胁的识别和分析, 不同安全等级应有选择地满足以下要求的一项:
a ) 威胁的基本分析: 应根据以往发生的安全事件、外部提供的资料和积累的经验等, 对威胁进行粗略的分析。题目中提到,分析了常见病毒计算机系统、数据文件的破坏程度及感染特点进行了分析,并制定相应的措施,这是属于威胁的基本分析。
b ) 威胁列表: 在 a )的基础上, 结合业务应用、 系统结构特点以及访问流程等因素, 建立并维护威胁列表; 由于不同业务系统面临的威胁是不同的, 应针对每个或者每类资产有一个威胁列表。
c ) 威胁的详细分析: 在 b )的基础上, 考虑威胁源在保密性、 完整性或可用性等方面造成损害, 对威胁的可能性和影响等属性进行分析, 从而得到威胁的等级; 威胁等级也可通过综合威胁的可能性和强度的评价获得。
d ) 使用检测工具捕捉攻击: 在 c ) 的基础上,对关键区域或部位进行威胁分析和评估, 在业务应用许可并得到批准的条件下,可使用检测工具在特定时间捕捉攻击信息进行威胁分析。
转载请注明原文地址:http://tihaiku.com/congyezige/2302682.html
本试题收录于: 中级 系统集成项目管理工程师题库软件水平考试初中高级分类

中级 系统集成项目管理工程师

软件水平考试初中高级

相关试题推荐
随机试题
最新回复(0)