A.风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中
B.风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作
C.由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低
D.在系统正式运行后,应注重残余风险的管理,以提高快速反应能力
A.建立一个管理框架,让好的安全策略可重复实施,并不断得到修正,就会拥有持续安全
B.产品和技术,要通过管理的组织职能才能发挥最佳作用
C.技术和产品是基础,管理才是关键
D.信息安全是个管理过程,而不是技术过程
A.来自高级管理层的明确的支持和承诺
B.有一种与组织文化保持一致的实施、维护、监督和改进信息安全的途径
C.向所有管理者和员工有效地推广安全意识
D.安全策略、目标和活动应该反映业务目标
A.点状防御有面对日志数量庞大、安全告警信息彼此割裂、处理效率低的缺点
B.SOC是一个运维和服务的结合,没有相关的产品,所以需要配合安全产品实施
C.SOC能够做到统一收集、存储、处理企业各类与安全相关的监测告警信息
D.SOC能够解决点状防御在运行过程中产生的大量安全日志和事件造成的信息相对孤立的问题
A.强调信息系统安全保障持续发展的动态性,即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程
B.强调信息系统安全保障的概念,通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标
C.以安全概念和关系为基础,将安全威胁和风险控制措施作为信息系统安全保障的基础和核心
D.通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征
A.ISO27002的前身是ISO17799-1
B.ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用,但不是全部
C.ISO27002对于每个控制措施的表述分“控制措施”、“实施指南”和“其他信息”三个部分来进行描述
D.ISO27002提出了十一大类的安全管理措施,其中风险评估和处置是处于核心地位的一类安全措施
A.中国信息安全产品测评认证中心
B.公安部公共信息网络安全监察局
C.互联网安全协会
D.信息安全产业商会