信息安全服务高级工程师知识重点1培训课件Word下载.docx
- 文档编号:13757759
- 上传时间:2022-10-13
- 格式:DOCX
- 页数:16
- 大小:82.23KB
信息安全服务高级工程师知识重点1培训课件Word下载.docx
《信息安全服务高级工程师知识重点1培训课件Word下载.docx》由会员分享,可在线阅读,更多相关《信息安全服务高级工程师知识重点1培训课件Word下载.docx(16页珍藏版)》请在冰豆网上搜索。
6类,分别是硬件、软件、数据、文档、人员、服务性设施,也叫有形资产。
无形资产例如企业文化,企业形象客户关系等。
8、如何才算是信息安全?
保护信息的保密性、完整性、可用性不受破坏。
9、信息安全服务体系主要包括哪三类服务?
信息安全咨询服务、信息安全实施服务、信息安全培训服务。
10、服务类别、组件和实例之间的关系是什么?
将相对独立的服务尽量细分为服务组件,将具有相同或相近服务界面的服务组件归并为统一服务类别。
11、信息安全服务分类?
服务类别
服务组件
目标对象
代码
名称
组织的信息系统及其所有支持的业务系统和管理
A
信息安全咨询服务
A01
信息安全规划
A02
信息安全管理体系咨询
A03
信息安全风险评估
A04
信息安全应急管理咨询
A05
业务连续性管理咨询
A99
其他信息安全咨询服务
B
信息安全实施服务
B01
信息安全设计
组织的信息系统个人的信息设备
B02
信息安全产品部署
B03
信息安全开发
B04
信息安全加固和优化
B05
信息安全检查和测试
B06
信息安全监控
B07
信息安全应急处理
B08
信息安全通告
B09
备份和恢复
B10
数据修复
B11
电子认证服务
B12
信息安全监理
B13
信息安全审计
B99
其他信息安全实施服务
C
信息安全培训服务
C01
信息安全培训
信息安全相关人员
Z
其他信息安全服务
12、信息安全咨询服务的服务界面分为哪五个方面?
服务对象、服务供需、服务特性、服务质量、服务组件。
13、信息安全管理体系分为哪几个步骤?
面向组织建立、实施、运行、监视、评审、保持和改进信息安全的体系。
14、什么是信息安全规划?
信息安全规划主要是从组织核心业务、核心价值出发,根据组织的发展战略,通过风险评估等方式提取组织的安全需求,对相应的安全保障目标、任务、措施和步骤进行规划。
15、信息安全风险评估应贯穿哪几个阶段?
信息安全风险评估应贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段。
16、什么是渗透性测试?
渗透性测试是指信息安全服务提供者的专业人员模拟攻击行为,对目标系统实施渗透,意图找到“非法”进入目标系统并获得相关权限的途径,从而测试目标系统安全控制措施的有效性。
17、信息安全监控主要通过哪些方式对各系统进行监控?
监控工具或平台。
18、信息安全应急管理体系是什么?
针对各类突发信息安全事件,提供实施层面的应急响应和应急演练。
响应方式可以按事件特点和级别,分为现场和远程两种。
在设备、系统、业务、组织等不同层面进行测试和演练,演练的方式分为桌面演练、模拟演练和实战演练。
19、信息安全培训服务的服务组件包裹哪些?
针对信息安全专业人员的资质培训、针对服务需求方特定要求的定制培训等。
20、信息安全咨询实施总体计划分为哪几个阶段?
答、项目准备、现状调研、架构设计、总体规划、体系建设、落地实施。
21、信息安全技术架构设计分为哪几个层面?
终端、应用、系统、网络、物理。
22、信息安全技术架构设计分为哪几类?
身份认证、访问控制、内容安全、监控审计、备份恢复。
23、信息安全管理体系基础分为哪些方面?
建立ISMS、实施和运行ISMS、监视和评审ISMS、保持和改进ISMS。
24、建立并管理ISMS的内容有哪些?
①根据组织业务特征、组织、地理位置、资产、技术以及任何删减的细节和合理性来确定ISMS范围;
②根据组织业务特征、组织、地理位置、资产和技术确定ISMS方针;
③确定组织的风险评估方法;
④识别风险;
⑤分析并评价风险;
⑥识别和评价风险处理的选择;
7选择风险处理的控制目标和控制方式;
⑧管理层批准建议的残留风险;
⑨获得管理层对实施和运行ISMS的授权;
10准备适用性声明。
25、信息安全管理体系基础的纠正措施和预防措施有哪些?
纠正措施:
确定不符合的原因;
评价确保不符合不在发生所需的措施;
确定和实施所需的纠正措施;
记录所采取实施的结果;
评审所采取的纠正措施;
预防措施:
识别潜在不符合及其原因;
评价预防不符合发生所需的措施;
确定并实施所需的预防措施;
记录所采取措施的结果;
评审所采取的预防措施;
26、控制域、控制目标、控制措施分别合计为多少项?
控制目标39项,控制措施133项。
27、什么叫资产?
资产(Asset)任何对组织具有价值的东西,包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等,所有这些资产都需要妥善保护。
28、什么是威胁?
威胁(Threat)可能对资产或组织造成损害的某种安全时间发生的潜在原因,通常需要识别出威胁源。
29、什么是弱点?
弱点(Vulnerability)也称作漏洞或脆弱性,即资产或资产组中存在的可被威胁利用的缺点,弱点一旦被利用,就可能对资产造成损害。
30、什么是风险?
风险(Risk)特定威胁利用资产的弱点,导致资产受损或破坏的潜在可能。
31、什么是严重性?
答、严重性(Impact)弱点一旦被威胁利用儿造成的意外事件可能给组织带来的冲击,包括直接或间接的损失或伤害。
32、什么是控制措施?
控制措施(Control)也称为安全措施或对策,即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。
33、什么是残余风险?
在实施安全措施之后仍然存在的风险。
34、风险评估要素关系图
35、风险分析原理
36、风险评估前应采取哪些措施?
确定风险评估的目标;
确定风险评估的范围;
组建适当的评估管理与实施团队;
进行系统调研;
确定评估依据和方法;
制定风险评估方案;
获得最高管理者对风险评估工作的支持。
37、风险评估实施流程图(略)
38、风险评估实施应分为几级?
5级,分别是很高、高、中等、低、很低。
39、威胁如何分类?
威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。
造成威胁的因素可分为人为因素和环境因素。
40、详细描述风险计算的方法?
风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))。
R表示安全风险计算函数
A表示资产
T表示威胁
V表示脆弱性
Ia表示安全事件所作用的资产价值
Va表示脆弱性严重程度
L表示威胁利用资产的脆弱性导致安全事件的可能性
F表示安全事件发生后造成的损失
41、什么是ITSS?
ITSS的来源是?
ITSS是InformaitonTechonlogyServiceStandards,即信息技术服务标准,是一套体系化的信息技术服务标准库.ITSS是在工业和信息化部软件服务业司的指导下,由国家信息技术服务标准工作组组织研究指定的。
42、信息技术服务的核心要素是什么?
是人员、过程、技术和资源。
人员是IT服务的载体,是IT服务发展的主导力量。
43、IT服务的生命周期包括哪些?
包括规划设计、部署实施、服务运营、持续改进和监督管理。
44、CMMI的成熟度分几级,分别是什么?
分5级,第一级完成级,第二级管理级,第三级定义级,第四级量化管理级,第五级持续优化级。
45、ISO20000分为哪两部分?
第一部分管理规范,IT服务管理标准介绍,定义了服务提供者交付管理服务的需求。
第二部分实施准则,实践指导,描述了服务管理流程的最佳实践,描述了IT服务管理流程质量标准。
46、COBIT5的过程参考模型
(1)规划过程域:
调整(Align)、规划(Plan)、组织(Organize)
(2)建立过程域:
建立(Build)、获取(Acquier)、实施(Implement)
(3)执行过程域:
交付(Deliver)、服务(Service)、支持(Support)
(4)监视过程域:
监视(Monitor)、评价(Evaluate)、评估(Assess)
47、信息安全运维实施过程管理主要分为哪几个方面?
(1)策划(Plan)
(2)实施(Do)
(3)检查(Check)
(4)改进(Act)
48、ITSS实施原理分为哪五个阶段?
需求分析阶段、规划设计阶段、部署实施阶段、优化改进阶段、实施过程管控。
49、实施ITSS的成果及成功要素包括哪些方面?
政策法规、标准规范、业务需求、意识意愿、团队人员、管理体系、工具平台、相关资源、测量评价。
50、什么是信息安全工程?
信息安全工程ISSE,它解决用户的信息保障需求,是系统工程学、系统采购、风险管理、认证和认可以及生命期支持的一部分。
51、信息安全工程的意义?
开放和安全的矛盾突出;
弱点使其易于受到各种攻击;
安全专业人员将发开人员、系统集成人员、用户有更加紧密的合作的前提条件。
52、工程实施阶段的主要监理目标有哪些?
加强工程实施方案的合法性、合理性、与设计方案的符合性;
促使工程中所使用的产品和服务符合承建合同及国家相关法律、法规和标准;
明确工程实施计划,对于计划的调整必须合理、受控;
促使工程实施过程满足承建合同的要求,并与工程设计方案、工程计划相符。
53、什么是应急响应?
应急响应也叫紧急响应,是安全事件发生后迅速采取的措施和行动,它是安全事件响应的一种快速实现方式。
54、应急响应的目的?
目的是快速恢复系统的保密性、完整性、和可用性,阻止和减小安全事件带来的影响。
55、应急响应服务的特点有哪些?
技术复杂性与专业性;
知识经验的依赖性;
突发性强;
需要广泛的协调与合作。
56、应急响应服务的形式有哪些?
远程应急响应服务和本地应急响应服务。
57、我国信息安全事件分级方法
特别重大事件(1级)、重大事件(2级)、较大事件(3级)、一般事件(4级)
58、应急响应预案的主要内容有哪些?
具体的组织体系结构及人员职责
应急响应计划各小组成员的联络信息
供应商联络信息,包括离站存储和备用站点的外部联系点
系统恢复或处理的标准操作规程和检查列表
支持系统运行所需的硬件、软件、固件和其他资源的设备和系统需求清单
供应商服务水平协议(SLA)、与其他机构的互惠协议和其他关键记录
备
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 服务 高级工程师 知识 重点 培训 课件