组织的信息资产包括业务数据、应用系统、专利及标准、设施和环境、关键人员、文件、图纸、管理规章等等。
风险=影响×可能性
风险处理的方法:减少风险,规避风险,转嫁风险,接受风险。
ISO/IEC 17799:2000的前身是BS7799-1:1999,最新版本是ISO/IEC 27002:2005。
哪个标准描述了PDCA模型?
- ISO/IEC 13335
- TCSEC
- ISO/IEC 27001:2005
- BS7799-1
BS7799建立了一个系统化、程序化、文档化的信息安全管理体系。
信息系统安全工程中,如何应用PDCA模型?(描述各阶段的任务)
P:Plan计划阶段,建立信息安全管理体系
- 划定信息安全管理体系的范围
- 制定安全方针
- 风险评估
- 选择控制目标与措施
- 制定风险处理计划
- 准备适用性声明
D:Do实施阶段,实施和运作信息安全管理体系
- 实施风险处理计划
- 实施特定的管理程序
- 资源、培训、意识
C:Check检查阶段,监控和评审信息安全管理体系
A:Act改进阶段,维护和改进信息安全管理体系
- 测量信息安全管理绩效
- 识别并实施改进措施
- 必要时修改信息安全管理体系,并确保修改达到既定的目标
清除所有答题记录