A、风险处理措施确定以后,应编制详细的残余风险清单,并获得管理层对残余风险的书面批准,这也是风险管理中的一个重要过程
B、管理层确认接受残余风险,是对风险评估工作的一种肯定,表示管理层已经全面了解了组织所面临的风险,并理解在风险一旦变为现实后,组织能够且必须承担引发的后果
C、接受残余风险,则表明没有必要防范和加固所有的安全漏洞,也没有必要无限制地提高安全保护措施的强度,对安全保护措施的选择要考虑到成本和技术的等因素的限制
D、如果残余风险没有降低到可接受的级别,则只能被动地选择接受风险,即对风险不采取进一步的处理措施,接受风险可能带来的结果 (残余风险应当处理到可接受,不能被动接收)
答案:D
A、风险处理措施确定以后,应编制详细的残余风险清单,并获得管理层对残余风险的书面批准,这也是风险管理中的一个重要过程
B、管理层确认接受残余风险,是对风险评估工作的一种肯定,表示管理层已经全面了解了组织所面临的风险,并理解在风险一旦变为现实后,组织能够且必须承担引发的后果
C、接受残余风险,则表明没有必要防范和加固所有的安全漏洞,也没有必要无限制地提高安全保护措施的强度,对安全保护措施的选择要考虑到成本和技术的等因素的限制
D、如果残余风险没有降低到可接受的级别,则只能被动地选择接受风险,即对风险不采取进一步的处理措施,接受风险可能带来的结果 (残余风险应当处理到可接受,不能被动接收)
答案:D
A. 删除存在注入点的网页
B. 对数据库系统的管理
C. 对权限进行严格的控制,对web用户输入的数据进行严格的过滤
D. 通过网络防火墙严格限制Internet用户对web服务器的访问
A. 风险评估准备
B. 风险要素识别
C. 风险分析
D. 风险结果判定
A. 由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取日志进行分析
B. 为配合总部的安全策略,会带来一定的安全问题,但不影响系统使用,因此接受此风险
C. 日志的存在就是安全风险,最好的办法就是取消日志,通过设置让前置机不记录日志
D. 只允许特定的IP地址从前置机提取日志,对日志共享设置,对日志共享设置访问密码且限定访问的时间
A. 正确
B. 错误
A. 四年
B. 两年
C. 每年
D. 三年
A. 可通过无线共享等方式接入内网
B. 可在使用移动上网卡的同时,接入内网
C. 互联网出口应实现公司统一,严禁另行开通互联网出口
D. 可让外来人员电脑随意接入公司网络
A. TEST文件的所有者具有执行读写权限,文件所属的组合其它用户有读的权限
B. TEST文件的所有者具有执行读写和执行权限,文件所属的组和其它用户有读的权限
C. TEST文件的所有者具有执行读和执行权限,文件所属的组和其它用户有读的权限
D. TEST文件的所有者具有执行读写和执行权限,文件所属的组和其它用户有读和写的权限
A. 评估对象(TOE)
B. 保护轮廊(PP)
C. 安全目标(ST)
D. 评估保证级(EAL)
A. 国际标准化组织(International Organization for Standardization,ISO)
B. 国际电工委员会(International Electrotechnical Commission,IEC)
C. 国际电信联盟远程通信标准化组织(ITU Telecommunication Standardization Secctor,ITU-T)
D. Internet工程任务组(Internet Engineering Task Force,IETF)
A. 正确
B. 错误