- 简答题
题干:甲公司是一家国有全资电力公司,主要为国内企事业单位和个人提供生产、生活用电。甲公司成立于一百多年前,一直采用煤炭发电。甲公司承担着保持社会稳定发展及民生的责任,为居民提供合理或较低价格水平的电力服务,政府对甲公司产生的亏损提供补贴。为鼓励甲公司提高营运效率,建立符合市场竞争需求的运行模式,政府于2010年决定将甲公司改制为股份有限公司,通过公开招股筹集资金并将其股票上市交易。2011年,甲公司股票上市后,政府持有甲公司股票的比率由原有的100%降至51%。甲公司上市后,开始着手研究并实行低成本、低碳排放的发电模式,如研究用风力发电、地热发电、天然气发电取代煤炭发电的可能性。同时,甲公司还着手对上市前咨询机构提交的多个境外投资方案进行评估。但当甲公司管理层要求信息技术部提供评估需要的相关数据时,信息技术部告知有关信息系统的一些月度数据被人删除,无法提供。甲公司经调查发现,一名已被甲公司辞退的后勤部职员,在退职后未经允许进人系统删除了有关信息。为此甲公司进行了信息系统安全风险评估。
题目:简述信息系统安全风险评估常用的模式及其特点,并指出甲公司为防止信息被删除应采取的一般控制措施。
扫码下载亿题库
精准题库快速提分
①信息系统安全风险评估常用的模式有基线评估、详细评估和组合评估。
1)基线评估。采用基线风险评估,企业根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。
这种评估模式需要的资源少,评估周期短,操作简单,是最经济有效的风险评估模式。但是,基线水平的高低确定困难。
2)详细评估。详细评估要求对信息系统中的所有资源都进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。
这种评估模式集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。但这种评估模式需要相当多的财力、物力、时间、精力和专业能力的投入,最后获得的结果有可能有一定的时间滞后。
3)组合评估。组合评估是上述两种模式的结合。它首先对所有信息系统进行一次较高级别的安全分析,并关注每一个实际分析对整个业务的价值以及它所面临的风险的程度。然后对业务非常重要或面临严重风险的部分进行详细评估分析,对其他部分进行基线评估分析。这种评估模式注意了耗费与效率之间的平衡,还注意了高风险系统的安全防范。
②建议可实施的一般控制以防止上述数据被删掉的事件再次发生:
第一、设定适当的权限范围,以配合个别的职务。以防止不相关的职员(如后勤部职员)能够获得或删掉重要的分析数据。
第二、制定相关守则或政策,立即终止有关离职雇员对重要信息系统(如载有重要内部数据的系统)的所有访问权限。
- 1 【单选题】 下列不属于信息系统安全风险评估准则的是( )。
- A 、 规范性原则
- B 、 最小影响原则
- C 、 保密性原则
- D 、 完整性原则
- 2 【多选题】通过信息系统安全风险评估,组织可以达到的目的有( )。
- A 、了解组织信息系统的管理和安全现状
- B 、确定资产威胁源的分布
- C 、了解系统的脆弱性分布
- D 、指导建立安全管理框架
- 3 【多选题】下列属于信息系统安全风险评估的准则的有( )。
- A 、规范性原则
- B 、整体性原则
- C 、最小影响原则
- D 、成本效益原则
- 4 【多选题】信息系统安全风险评估应采用恰当的模式。下列属于信息系统安全风险评估模式的有( )。
- A 、基线评估
- B 、详细评估
- C 、组合评估
- D 、综合评估
- 5 【单选题】 下列不属于信息系统安全风险评估准则的是( )。
- A 、
规范性原则 - B 、
最小影响原则 - C 、
保密性原则 - D 、
完整性原则
- 6 【单选题】下列属于信息系统风险评估的基线评估模式的特点是( )。
- A 、评估周期短
- B 、基线水平的高低容易确定
- C 、评估需要投入的资源多
- D 、评估结果有可能有一定的时间滞后
- 7 【多选题】通过信息系统安全风险评估,组织可以达到的目的有( )。
- A 、了解组织信息系统的管理和安全现状
- B 、确定资产威胁源的分布
- C 、了解系统的脆弱性分布
- D 、指导建立安全管理框架
- 8 【多选题】下列属于信息系统安全风险评估的准则的有( )。
- A 、规范性原则
- B 、整体性原则
- C 、最小影响原则
- D 、成本效益原则
- 9 【多选题】信息系统安全风险评估应采用恰当的模式。下列属于信息系统安全风险评估模式的有( )。
- A 、基线评估
- B 、详细评估
- C 、组合评估
- D 、综合评估
- 10 【简答题】简述信息系统安全风险评估常用的模式及其特点,并指出甲公司为防止信息被删除应采取的一般控制措施。
- 2011年1月1日,A公司以1000万元取得B公司40%股份,能够对B公司施加重大影响,投资日B公司可辨认净资产账面价值与公允价值均为2400万元。2011年,B公司实现净利润200万元,B公司持有可供出售金融资产公允价值增加计入其他综合收益的金额为50万元,无其他所有者权益变动。2012年1月1日,A公司将对B公司投资的1/4对外出售,售价为300万元,出售部分投资后,A公司对B公司仍具有重大影响,2012年B公司实现净利润300万元,无其他所有者权益变动。假定不考虑其他因素。2012年度A公司因对B公司投资应确认的投资收益为( )万元。
- 2012年1月1日,A公司向其200名管理人员每人授予100份股份期权,这些人员从2012年1月1日起必须在该公司连续服务3年,服务期满时才能以每股5元购买100股A公司股票。该权益工具在授予日的公允价值为15元。2012年有20名管理人员离开A公司,A公司估计三年中离开的管理人员比例将达到20%;2013年又有10名管理人员离开公司,A公司估计第三年将不会再有人离开,将离开比例调整为15%,2013年年末A公司应确认当期管理费用为( )万元。
- A注册会计师了解的下列内部控制中,属于检查性控制的是( )。
- 下列各项中,属于公司战略范畴的有()。
- 新华股份有限公司2014年开始推行风险管理,成立了风险管理小组,其中小王在风险管理小组中负责分析市场风险,下列属于其应该收集的信息有()。
- 下列各项中,属于企业长期借款合同一般性保护条款的有( )。
- 按照《企业会计准则第4号——固定资产》规定,下列会计处理方法中,正确的有( )。
- 该企业当月应向税务机关缴纳的消费税。
- 下列税费中,应计入进口货物关税完税价格的是()。
- 计算直接材料的价格差异、数量差异和成本差异。
亿题库—让考试变得更简单
已有600万用户下载