1. 资产-用于业务流程或任务的任何事物
威胁-任何可能对组织或特定资产造成不良影响或非预期后果的潜在事件
脆弱性-资产中的弱点,或防护措施的弱点或缺失
暴露-因威胁而容易遭受资产损失,存在可以或将要被利用脆弱性的可能性
风险-威胁利用脆弱性对资产造成损害的可能性或概率以及可能造成损害的严重程度
2. 安全会议的重点是定义资产价值、列出威胁清单、预测破坏所造成的具体危害程度以及确定威胁每年可能对公司造成破坏的次数。这是什么:
A 定性风险评估
B Delphi技术
C 风险规避
D 定量风险评估
3. 以下哪些是有效的风险定义:
A 对概率、可能性或机会的评估
B 任何能消除脆弱性或能抵御一个或多个特定威胁的事物
C 风险=威胁*脆弱性
D 每一个暴露实例
E 存在相关威胁时脆弱性的存在
4. 公司在公用网络服务器上安装了一个新的网络应用程序。黑客利用新代码并获取系统上托管数据文件的访问权限。说明:
A 固有风险
B 风险矩阵
C 定性评估
D 残余风险
正确答案:A
在执行任何风险管理工作之前存在的风险
5. 组织在寻找新的业务伙伴,对方定义了在签署SLA和业务合作伙伴协议BPA之前必须满足的若干组织安全要求。其中一项要求组织展示风险成熟度模型的实现级别。具体说,需要采用通用或标准化的风险框架。此级别属于:
A 预备级
B 集成级
C 定义级
D 优化级
正确答案:C
初始级-混乱
预备级-初步尝试,每个部门可能不同
定义级-通用的、标准的风险框架
集成级-风险管理操作集成到业务流程中,风险被视为业务战略决策中的一个要素
优化级-风险管理侧重于实现目标,而不仅仅对威胁做出响应,为了业务成功,而不是避免事故,能吸取经验纳入风险管理过程
6. 风险管理框架(RMF)为安全和隐私风险的管理提供了规范、结村包括信息安全分类、控制选择、实施和评估、系统和通用控制授权,以及排有七个步骤或盼段。RMF 的哪个阶段侧重于根据组织运营和资产、个人其地区的风险是否合理来确定系统或通用控制是否合理?
A.分类
B.授权
C.评估
D.监控
正确答案:B
RME 阶段(0)是在确定组织运营和资产、个人、其他组织和国家/地区的风险是可接受(或合理)的基础上,授权系统或共同控制。RMF 的阶段包括:(1)准备、(2)分类、(3)选择、(4)实施、(5)评估、(6)投权和(7)监控。(A)是 RMF 阶段(2),指根据对损失影响的分析,对系统以及系统处理、存储和传输的信息进行分类。(C)是 RMF 阶段(5),评估控制以确定控制是杏正确实施、是杳按预期运行以区是香产生满足安全和隐私要求的预期结果。①D)是 RMF阶段(⑦,持续监控系统和相关控制,包括评估控制有效性、记录系统和操作环境的变化、进行风险评估和影响分析,以及报告系统的安全和隐私状况。
7. 以下哪些选项可以归类为社会工程攻击?(选择所有行合的选项。)
A 一个用户登录他们的工作站后,洪定从楼梯间的自动售货机里买一杯苏打水。当该用户离开他们的工作站时,另一个人坐到他们的办公桌旁,将本地文件夹中的所有文件复制到网络共享上。
B 你收到一封电子邮件,警告说有一种危险的新病街正在互联网上传播。这条消息建议你在硬盘上寻找一个特定的文件并将其利除,因为它表明病毒的存在。
C 网站声称可对其产品和服务进行 免费临时访问,但要求你更改 Wb浏览器和/或防火墙的配置,然后才可以下载访问软件。
D 秘书接到一个来电,来电者自称是客户,他要晚点才可以去见 CEO。来电人员素要CEO 的私人手机号码,以便其给 CEO 打电话。
正确答案:BCD
选项A 中描达的活动只是利用受害者走开的机会,是一种机会性援权的访问攻古,并不是一种社会工程攻古,因为没有与受害者互动。选项B(恶作剧)、C(网络钓鱼、恶作剧、水坑攻击)和 D(语音网络钓鱼)中描述的活动都是社会工程攻击的何
8. 通常,__是团队中的一员,他决定(或树指派)负责将安全概念运用和集成到团队
的工作活动中。__通常是非安全人员,他们承担鼓动他人支持和采用更多的安全实践和
行为的职责。
A.首席信息安全官
B. 安全带头人
C.安全車计员
D.托管员
正确答案:B
正确答案是安全带头人。安全带头人通常是团队中的一员,他决定(或被站將安全概念运用和集成到团队的工作活动中。安全带头人通常是非安全人员,他什励他人支持和采用更多的安全实践和行为的职责。其他选项都不正确。CISO 或首席全官定义并文施整个组织的安全。安全审计员管理安全日志记录并检查审计轨迹以道或违规迹象。托管员是安全角色,从所有者那里接受资产,然后根据所有者指定的分资产放置在提供了适当安全保护的 I T容器中。
