【文章內(nèi)容簡(jiǎn)介】 ）計(jì)劃階段：制定具體工作計(jì)劃，提出總的目標(biāo)。具體來(lái)講又分為以下4個(gè)步驟：分析目前現(xiàn)狀，找出存在的問(wèn)題；分析產(chǎn)生問(wèn)題的各種原因以及影響因素；分析并找出管理中的主要問(wèn)題；制定管理計(jì)劃，確定管理要點(diǎn)。 本階段的任務(wù)是根據(jù)管理中出現(xiàn)的主要問(wèn)題，制定管理的措施和方案，明確管理的重點(diǎn)。 （2）實(shí)施階段：按照制定的方案去執(zhí)行。本階段的任務(wù)是在管理工作中全面執(zhí)行制定的方案。 （3）檢查階段：檢查實(shí)施計(jì)劃的結(jié)果。本階段的任務(wù)是檢查工作，調(diào)查效果。 （4）行動(dòng)階段：根據(jù)調(diào)查效果進(jìn)行處理。對(duì)已解決的問(wèn)題，加以標(biāo)準(zhǔn)化；找出尚未解決的問(wèn)題，轉(zhuǎn)入下一個(gè)循環(huán)中去，以便解決。 、規(guī)劃與設(shè)計(jì)階段和實(shí)施、等級(jí)評(píng)估與改進(jìn)階段。 （1）定級(jí)階段，包括兩個(gè)步驟：系統(tǒng)識(shí)別與描述；等級(jí)確定 （2）規(guī)劃與設(shè)計(jì)階段，包括三個(gè)步驟：a）系統(tǒng)分域保護(hù)框架建立b）選擇和調(diào)整安全措施c）安全規(guī)劃和方案設(shè)計(jì) （3）實(shí)施、等級(jí)評(píng)估與改進(jìn)階段，包括三個(gè)步驟：a）安全措施的實(shí)施b）評(píng)估與驗(yàn)收c）運(yùn)行監(jiān)控與改進(jìn) 、信息安全組織、信息資產(chǎn)分類與管理、人員信息安全、物理和環(huán)境安全、通信和運(yùn)營(yíng)管理、訪問(wèn)控制、信息系統(tǒng)的開(kāi)發(fā)與維護(hù)、業(yè)務(wù)持續(xù)性管理、信息安全事件管理和符合性管理十一個(gè)方面。第三章一、填空題 分類標(biāo)識(shí) 操作脆弱性 管理脆弱性 詳細(xì)風(fēng)險(xiǎn)評(píng)估 聯(lián)合風(fēng)險(xiǎn)評(píng)估 資產(chǎn) 漏洞評(píng)估 風(fēng)險(xiǎn)平衡 評(píng)價(jià)二、名詞解釋 （1）資產(chǎn)的價(jià)值：為了明確對(duì)資產(chǎn)的保護(hù)，所對(duì)資產(chǎn)進(jìn)行的估價(jià)。 （2）威脅：威脅是指可能對(duì)資產(chǎn)或組織造成損害的事故的潛在原因。 （3）脆弱性：所謂脆弱性就是資產(chǎn)的弱點(diǎn)或薄弱點(diǎn)，這些弱點(diǎn)可能被威脅利用造成安全事件的發(fā)生，從而對(duì)資產(chǎn)造成損害。 （4）安全風(fēng)險(xiǎn)：所謂安全風(fēng)險(xiǎn)，就是特定的威脅利用資產(chǎn)的一種或多種脆弱性，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。 （5）風(fēng)險(xiǎn)評(píng)估：即對(duì)信息和信息處理設(shè)施的威脅、影響（Impact，指安全事件所帶來(lái)的直接和間接損失）和脆弱性及三者發(fā)生的可能性的評(píng)估。 （6）風(fēng)險(xiǎn)管理：所謂風(fēng)險(xiǎn)管理就是以可接受的費(fèi)用識(shí)別、控制、降低或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過(guò)程。 （7）安全控制：安全控制就是保護(hù)組織資產(chǎn)、防止威脅、減少脆弱性、限制安全事件影響的一系列安全實(shí)踐、過(guò)程和機(jī)制。 （8）適用性聲明：所謂適用性聲明，是指對(duì)適用于組織需要的目標(biāo)和控制的評(píng)述。三、簡(jiǎn)答 1.（1）按照組織業(yè)務(wù)運(yùn)作流程進(jìn)行資產(chǎn)識(shí)別，并根據(jù)估價(jià)原則對(duì)資產(chǎn)進(jìn)行估價(jià)； （2）根據(jù)資產(chǎn)所處的環(huán)境進(jìn)行威脅評(píng)估； （3）對(duì)應(yīng)每一威脅，對(duì)資產(chǎn)或組織存在的脆弱性進(jìn)行評(píng)估； （4）對(duì)已采取的安全機(jī)制進(jìn)行識(shí)別和確認(rèn)； （5）建立風(fēng)險(xiǎn)測(cè)量的方法及風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)原則，確定風(fēng)險(xiǎn)的大小與等級(jí)。 、威脅與脆弱性之間的對(duì)應(yīng)關(guān)系包括：l 一項(xiàng)資產(chǎn)可能存在多個(gè)威脅；l 威脅的來(lái)源可能不只一個(gè)，應(yīng)從人員、環(huán)境、資產(chǎn)本身等方面加以考慮；l 每一威脅可能利用一個(gè)或數(shù)個(gè)脆弱性。 。 技術(shù)脆弱性：系統(tǒng)、程序和設(shè)備中存在的漏洞或缺陷，如結(jié)構(gòu)設(shè)計(jì)問(wèn)題和編程漏洞等； 操作脆弱性：軟件和系統(tǒng)在配置、操作及使用中的缺陷，包括人員日常工作中的不良習(xí)慣、審計(jì)或備份的缺乏等； 管理脆弱性：策略、程序和規(guī)章制度等方面的弱點(diǎn)。 ，主要是：l 風(fēng)險(xiǎn)評(píng)估所需資源最少，簡(jiǎn)便易實(shí)施；l 同樣或類似的控制能被許多信息安全管理體系所采用?；撅L(fēng)險(xiǎn)評(píng)估的缺點(diǎn)包括：l 安全基線水平難以設(shè)置；l 管理與安全相關(guān)的變更可能有困難。詳細(xì)風(fēng)險(xiǎn)評(píng)估的優(yōu)點(diǎn)主要包括：l 可以獲得一個(gè)更精確的對(duì)安全風(fēng)險(xiǎn)的認(rèn)識(shí)，從而可以更為精確地識(shí)別出反映組織安全要求的安全水平；l 可以從詳細(xì)的風(fēng)險(xiǎn)評(píng)估中獲得額外信息，使與組織變革相關(guān)的安全管理受益。 詳細(xì)風(fēng)險(xiǎn)評(píng)估的缺點(diǎn)主要是，需要花費(fèi)相當(dāng)?shù)臅r(shí)間、精力和技術(shù)去獲得可行的結(jié)果。第四章一、填空題 人員安全教育 人員安全保密管理 法律意識(shí) 安全技能三、簡(jiǎn)答，信息安全管理組織有4個(gè)層次：各部委信息安全管理部門、各省信息安全管理部門、各基層信息安全管理部門以及經(jīng)營(yíng)單位。其中，直接負(fù)責(zé)信息系統(tǒng)應(yīng)用和系統(tǒng)運(yùn)行業(yè)務(wù)的單位為系統(tǒng)經(jīng)營(yíng)單位，其上級(jí)單位為系統(tǒng)管理部門。，由與系統(tǒng)有關(guān)的各方面專家，定期或適時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)本單位的實(shí)際情況和需要，確定信息系統(tǒng)的安全等級(jí)和管理總體目標(biāo)，提出相應(yīng)的對(duì)策并監(jiān)督實(shí)施，使得本單位信息系統(tǒng)的安全保護(hù)工作能夠與信息系統(tǒng)的建設(shè)、應(yīng)用和發(fā)展同步前進(jìn)。 ，主要包括法規(guī)教育、安全技術(shù)教育和安全意識(shí)教育等。除了以上教育和培訓(xùn)，組織管理者應(yīng)根據(jù)工作人員所從事的安全崗位不同，提供必要的專業(yè)技能培訓(xùn)第五章一、填空題 基礎(chǔ)設(shè)施（設(shè)備） 業(yè)務(wù)信息 物理 傳導(dǎo)泄漏 距離因素 屏蔽狀況 非法竊取 非法使用 欺騙性 泄漏 誤用 B C 身份認(rèn)證 防火墻。二、名詞解釋 ，例如門禁系統(tǒng)等。三、簡(jiǎn)答 ：信息系統(tǒng)安全界線的劃分和執(zhí)行應(yīng)考慮如下的原則和管理措施： (1)必須明確界定安全范圍； (2)信息處理設(shè)施所在的建筑物或場(chǎng)所的周邊應(yīng)當(dāng)?shù)玫酵咨频谋Ｗo(hù)，所有入口都應(yīng)該實(shí)施適當(dāng)?shù)谋Ｗo(hù)，以防止未經(jīng)授權(quán)者進(jìn)入； (3)實(shí)體和環(huán)境保護(hù)的范圍應(yīng)當(dāng)盡可能涵蓋信息系統(tǒng)所在