信息安全风险评估(检查评估)服务备案机构

信息安全风险评估管理办法第一章总则第一条为规范信息安全风险评估（以下简称“风险评估”）及其管理活动，保障信息系统安全，依据国家有关规定,结合本省实际，制定本办法。

第二条本省行政区域内信息系统风险评估及其管理活动，适用本办法。

第三条本办法所称信息系统，是指由计算机、信息网络及其配套的设施、设备构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。

本办法所称重要信息系统，是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。

本办法所称风险评估，是指依据有关信息安全技术与管理标准，对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。

第四条县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查.跨省或者全国统一联网运行的重要信息系统的风险评估，可以由其行业管理部门统一组织实施.涉密信息系统的风险评估，由国家保密部门按照有关法律、法规规定实施。

第五条风险评估分为自评估和检查评估两种形式。

自评估由信息系统的建设、运营或者使用单位自主开展。

检查评估由县以上信息化主管部门在本行政区域内依法开展,也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行，双方实行互备案制度。

第二章组织与实施第六条信息化主管部门应当定期发布本行政区域内重要信息系统目录,制定检查评估年度实施计划，并对重要信息系统管理技术人员开展相关培训。

第七条江苏省信息安全测评中心为本省从事信息安全测评的专门机构,受省信息化主管部门委托，具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训,组织开展全省重要信息系统的外部安全测试.第八条信息系统的建设、运营或者使用单位可以依托本单位技术力量，或者委托符合条件的风险评估服务机构进行自评估。

第九条重要信息系统新建、扩建或者改建的，在设计、验收、运行维护阶段，均应当进行自评估。

重要信息系统废弃、发生重大变更或者安全状况发生重大变化的，应当及时进行自评估。

国家发展和改革委员会、公安部、国家保密局关于加强国家电子政务工程建设项目信息安全风险评估工作的通知文章属性•【制定机关】国家发展和改革委员会,公安部,国家保密局•【公布日期】2008.08.06•【文号】发改高技[2008]2071号•【施行日期】2008.08.06•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】基础研究与科研基地正文国家发展和改革委员会、公安部、国家保密局关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技[2008]2071号）中央和国家机关各部委，国务院各直属机构、办事机构、事业单位，各省、自治区、直辖市及计划单列市、新疆生产建设兵团发展改革委、公安厅、保密局：为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号），加强基础信息网络和重要信息系统安全保障，按照《国家电子政务工程建设项目管理暂行办法》（国家发展和改革委员会令[2007]第55号）的有关规定，加强和规范国家电子政务工程建设项目信息安全风险评估工作，现就有关事项通知如下：一、国家的电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目（以下简称电子政务项目），应开展信息安全风险评估工作。

二、电子政务项目信息安全风险评估的主要内容包括：分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等。

三、电子政务项目信息安全风险评估工作按照涉及国家秘密的信息系统（以下简称涉密信息系统）和非涉密信息系统两部分组织开展。

四、涉密信息系统的信息安全风险评估应按照《涉及国家秘密的信息系统分级保护管理办法》、《涉及国家秘密的信息系统审批管理规定》、《涉及国家秘密的信息系统分级保护测评指南》等国家有关保密规定和标准，进行系统测评并履行审批手续。

五、非涉密信息系统的信息安全风险评估应按照《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》和《信息安全风险评估规范》等有关要求，可委托同一专业测评机构完成等级测评和风险评估工作，并形成等级测评报告和风险评估报告。

CISE考试练习(习题卷3)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]根据《关于开展信息安全风险评估工作的意见》的规定，错误的是（）。

A)信息安全风险评估分自评估、检查评估两形式。

应以检查评估为主，自评估和检查评估相互结合、互为补充B)信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效”的原则开展C)信息安全风险评估应贯穿于网络和信息系统建设运行的全过程D)开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导答案:A解析:2.[单选题]小张新购入了一台安装了Windows操作系统的笔记本电脑，为了提升操作系统的安全性，小张在Window系统中的“本地安全策略”中，配置了四类安全策略：账号策略、本地策略、公钥策略和IP安全策略。

那么该操作属于操作系统安全配置内容中的（）A)关闭不必要的服务B)制定操作系统安全策略C)关闭不必要的端口D)开启审核策略答案:B解析:3.[单选题]攻击者可以使用ping，或某一个系统命令获得目标网络的信息，攻击者利用此命令，能收集到目标之间经过的路由设备IP地址，选择其中存在安全防护相对薄弱的路由设备实施攻击，或者控制路由设备，对目标网络实现嗅探等其他攻击。

这个命令为（）A)ipconfigB)Ipconfig/allC)showD)tracert答案:D解析:4.[单选题]用户在访问应用系统时必须要能控制；访问者是谁，能访问哪些资源，这两项控制检查措施必须在用户进行应用系统时进行检查，其中，后一项-“能访问哪些资源”对应的是授权的权限问题，能够采用pmi特权（特权管理基础设施）解决，下列选项中，对pmi主要功能和体系结构理解错误的是：A)PMI首先进行身份认证，然后建立起对用户身份到应用授权的映射。

*B)PMI采用基于属性证书的授权模式C)SOA是pmi的信任源点，是整个授权系统最高的管理机构D)在pmi和pki一起建设时，可以直接使用PKI的LDAP作为PMI的证书/crl库答案:A解析:5.[单选题]为推动和规范我国信息安全等级保护工作，我国制定和发布了信息安全等级保护工作所需要的一系列标准，这些标准可以依照等级保护工作的工作阶段分级.下面四个标准中，（）规定了等级保护定级阶段的依据、对象、流程、方法及登记变更等内容：D)GB/T《信息系统安全管理要求》答案:B解析:6.[单选题]2003年以来，我国高度重视信息安全保障工作，先后制定并发布了多个文件，从政策层面为开展并推进信息安全保障工作进行了规划。

国家电网公司信息系统安全管理办法第一章总则第一条为加强和规范国家电网公司（以下简称公司）信息系统安全工作，提高公司信息系统整体安全防护水平，实现信息系统安全的可控、能控、在控，依据国家有关法律、法规、规定及公司有关制度，制定本办法。

第二条本办法所称信息系统指公司一体化企业级信息系统，主要包括一体化企业级信息集成平台（以下简称“一体化平台”）和八大业务应用。

“一体化平台”包含信息网络、数据交换、数据中心、应用集成和企业门户；“业务应用”包含财务（资金）管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。

电力二次系统安全防护遵照国家电力监管委员会5号令《电力二次系统安全防护规定》及其配套文件《电力二次系统安全防护总体方案》执行。

第三条信息系统安全主要任务是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃，抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的电力系统运行事故。

第四条公司信息系统安全坚持“分区、分级、分域”总体防护策略，执行信息系统安全等级保护制度.管理信息网络分为信息内网和信息外网,实现“双机双网"，信息内网定位为公司信息化“SG186”工程业务应用承载网络和内部办公网络，信息外网定位为对外业务网络和访问互联网用户终端网络。

信息内、外网之间实施强逻辑隔离的措施.电力二次系统实行“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略。

第五条在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则，与信息系统建设同步规划、同步建设、同步投入运行。

第六条本办法适用于公司总部，各区域电网、省（自治区、直辖市）电力公司和公司直属单位（以下简称各单位）的信息系统安全管理工作。

信息安全风险评估调查表基本信息调查1.单位基本情况单位名称：（公章）联系人：Email：信息安全主管领导（签字）：检查工作负责人（签字）：联系填表时间：职务：单位地址：2.硬件资产情况2.1.网络设备情况网络设备名称型号物理位置所属网络区域 IP地址/掩码/网关系统软件及版本端口类型及数量主要用途是否热备重要程度2.2.安全设备情况安全设备名称型号(软件/硬件) 物理位置所属网络区域 IP 地址/掩码/网关系统及运行平台端口类型及数量主要用途是否热备重要程度2.3.服务器设备情况设备名称型号物理位置所属网络区域 IP地址/掩码/网关操作系统版本/补丁安装应用系统软件名称主要业务应用涉及数据是否热备终端设备名称型号物理位置所属网络区域设备数量 IP 地址/掩码/网关操作系统安装应用系统软件名称2.4.终端设备情况涉及数据主要用途填写说明网络设备包括路由器、网关、交换机等。

安全设备包括防火墙、入侵检测系统、身份鉴别等。

服务器设备包括大型机、小型机、服务器、工作站、台式计算机、便携计算机等。

终端设备包括办公计算机、移动存储设备。

重要程度：根据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。

3.软件资产情况3.1.系统软件情况系统软件名称版本软件厂商硬件平台涉及应用系统3.2.应用软件情况应用系统软件名称开发商硬件/软件平台 C/S或B/S模式填写说明系统软件包括操作系统、系统服务、中间件、数据库管理系统、开发系统等。

应用软件包括项目管理软件、网管软件、办公软件等。

涉及数据现有用户数量主要用户角色4.服务资产情况4.1.本年度信息安全服务情况服务类型服务方单位名称服务内容服务方式(现场、非现场) 填写说明服务类型包括：1.网络服务；2.安全工程；3.灾难恢复；4.安全运维服务；5.安全应急响应；6.安全培训；7.安全咨询；8.安全风险评估；9.安全审计；10.安全研发。

5.人员资产情况5.1.信息系统人员情况岗位名称岗位描述人数兼任人数填写说明岗位名称：1、数据录入员；2、软件开发员；3、桌面管理员；4、系统管理员；5、安全管理员；6、数据库管理员；7、网络管理员；8、质量管理员。

表1：基本信息调查1.单位基本情况2.硬件资产情况网络设备：路由器、网关、交换机等。

安全设备：防火墙、入侵检测系统、身份鉴别等。

服务器设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等。

终端设备：办公计算机、移动存储设备。

重要程度：依据被检查机构数据所有者认为资产对业务影响的重要性填写非常重要、重要、一般。

3.软件资产情况填写说明系统软件：操作系统、系统服务、中间件、数据库管理系统、开发系统等。

应用软件：项目管理软件、网管软件、办公软件等。

4.服务资产情况服务类型包括：1.网络服务；2.安全工程；3.灾难恢复；4.安全运维服务；5.安全应急响应；6.安全培训；7.安全咨询；8.安全风险评估；9.安全审计；10.安全研发。

5.人员资产情况岗位名称：1、数据录入员；2、软件开发员；3、桌面管理员；4、系统管理员；5、安全管理员；6、数据库管理员；7、网络管理员；8、质量管理员。

6.文档资产情况填写说明信息系统文档类别：信息系统组织机构及管理制度、信息系统安全设计、实施、运维文档；系统开发程序文件、资料等。

7.信息系统情况1、用户分布范围栏填写全国、全省、本地区、本单位2、业务处理信息类别一栏填写：a) 国家秘密信息；b) 非密敏感信息(机构或公民的专有信息) ；c) 可公开信息3、重要程度栏填写非常重要、重要、一般4、如通过测评，请填写时间和测评机构名称。

1、网络区域主要包括：服务器域、数据存储域、网管域、数据中心域、核心交换域、涉密终端域、办公域、接入域和外联域等；2、重要程度填写非常重要、重要、一般。

注：安全事件的类别和级别定义请参照GB/Z20986-2007《信息安全事件分类分级指南》表2：安全状况调查1. 安全管理机构安全组织体系是否健全，管理职责是否明确，安全管理机构岗位设置、人员配备是否充分合理。

安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。

中国保险监督管理委员会关于印发《保险公司信息系统安全管理指引(试行)》的通知文章属性•【制定机关】中国保险监督管理委员会(已撤销)•【公布日期】2011.11.16•【文号】保监发[2011]68号•【施行日期】2011.11.16•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保险正文中国保险监督管理委员会关于印发《保险公司信息系统安全管理指引（试行）》的通知（保监发〔2011〕68号）各保险公司、保险资产管理公司：为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，中国保险监督管理委员会制定了《保险公司信息系统安全管理指引（试行）》。

现印发给你们，请遵照执行。

中国保险监督管理委员会二〇一一年十一月十六日保险公司信息系统安全管理指引（试行）一、总则第一条为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。

第三条本指引所称信息系统安全，是指利用信息安全技术及管理手段，保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性，保障信息系统的安全、稳定运行。

第四条信息系统安全是公司持续稳定发展的重要基础。

各公司应通过管理机制和技术手段，加强信息安全保障工作，保障业务活动的连续性。

实现信息化工作集中管理的保险集团（控股）公司，可以集团（控股）公司为单位对信息系统安全工作统筹规划执行。

第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。

二、安全管理总体要求第六条信息系统安全工作应按照“积极防御、综合防范”的原则，与自身业务及信息系统同步规划、同步建设、同步运行，构建完备的信息系统安全保障体系。

第七条各公司是信息系统安全的责任主体。

欢迎阅读江苏省信息安全风险评估管理办法（试行）第一章 总 则施。

第五条 风险评估分为自评估和检查评估两种形式。

自评估由信息系统的建设、运营或者使用单位自主开展。

检查评估由县以上信息化主管部门在本行政区域内依法开展，也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行，双方实行互备案制度。

第二章 组织与实施第六条 信息化主管部门应当定期发布本行政区域内重要信息系统目录，制定检查评估年度实江苏信息安全风险评估管理办法（试行）【最新资料，WORD 文档，可编辑修改】施计划，并对重要信息系统管理技术人员开展相关培训。

第七条江苏省信息安全测评中心为本省从事信息安全测评的专门机构，受省信息化主管部门委托，具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训，组织开展全省重要信息系统的外部安全测试。

第八条信息系统的建设、运营或者使用单位可以依托本单位技术力量，或者委托符合条件的风险评估服务机构进行自评估。

估。

并改建议等。

风险评估服务机构出具的自评估报告，应当经被评估单位认可，并经双方部门负责人签署后生效。

风险评估服务机构出具的检查评估报告，应当报委托其开展评估的主管部门审定；主管部门应当自收到评估报告之日起10个工作日内，将审定结果和整改意见告知被评估单位。

第十四条自评估单位应当根据自评估报告进行整改，并自报告生效之日起30日内，将自评估情况和整改方案报本级信息化主管部门备案。

接受检查评估的单位应当自收到检查评估报告之日起30日内，根据整改建议提出整改方案、明确整改时限，报本级信息化主管部门备案。

受委托进行风险评估的服务机构应当指导被评估单位开展整改，并对整改措施的有效性进行验证。

第十五条信息化主管部门应当定期公布已开展自评估、检查评估单位备案名单，督促未备案单位开展自评估。

重资；（三）专业评估人员不少于10人且均为中国公民，接受并通过相关培训考核，无违法记录；其中主要评估人员2人以上，具有由国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格，具备独立实施风险评估的技术能力;（四）评估使用的技术装备、设施符合国家信息安全产品要求；（五）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度；（六）法律法规规定的其它条件。

国家电网公司信息系统安全管理办法第一章总则第一条为加强和规范国家电网公司（以下简称公司）信息系统安全工作，提高公司信息系统整体安全防护水平，实现信息系统安全的可控、能控、在控，依据国家有关法律、法规、规定及公司有关制度，制定本办法。

第二条本办法所称信息系统指公司一体化企业级信息系统，主要包括一体化企业级信息集成平台（以下简称“一体化平台”）和八大业务应用。

“一体化平台”包含信息网络、数据交换、数据中心、应用集成和企业门户；“业务应用”包含财务（资金）管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。

电力二次系统安全防护遵照国家电力监管委员会5号令《电力二次系统安全防护规定》及其配套文件《电力二次系统安全防护总体方案》执行。

第三条信息系统安全主要任务是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性，防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃，抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏，防止信息内容及数据丢失和失密，防止有害信息在网上传播，防止公司对外服务中断和由此造成的电力系统运行事故。

第四条公司信息系统安全坚持“分区、分级、分域”总体防护策略，执行信息系统安全等级保护制度。

管理信息网络分为信息内网和信息外网，实现“双机双网”，信息内网定位为公司信息化“SG186”工程业务应用承载网络和内部办公网络，信息外网定位为对外业务网络和访问互联网用户终端网络。

信息内、外网之间实施强逻辑隔离的措施。

电力二次系统实行“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略。

第五条在规划和建设信息系统时，信息系统安全防护措施应按照“三同步”原则，与信息系统建设同步规划、同步建设、同步投入运行。

第六条本办法适用于公司总部，各区域电网、省（自治区、直辖市）电力公司和公司直属单位（以下简称各单位）的信息系统安全管理工作。

第二章信息系统安全管理职责第七条公司信息系统安全管理实行统一领导、分级管理。

信息安全风险评估管理办法第一章总则第一条为规范信息安全风险评估（以下简称“风险评估”）及其管理活动，保障信息系统安全，依据国家有关规定，结合本省实际，制定本办法。

第二条本省行政区域内信息系统风险评估及其管理活动，适用本办法。

第三条本办法所称信息系统，是指由计算机、信息网络及其配套的设施、设备构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。

本办法所称重要信息系统，是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。

本办法所称风险评估，是指依据有关信息安全技术与管理标准，对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。

第四条县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。

跨省或者全国统一联网运行的重要信息系统的风险评估，可以由其行业管理部门统一组织实施。

涉密信息系统的风险评估，由国家保密部门按照有关法律、法规规定实施。

第五条风险评估分为自评估和检查评估两种形式。

自评估由信息系统的建设、运营或者使用单位自主开展。

检查评估由县以上信息化主管部门在本行政区域内依法开展，也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行，双方实行互备案制度。

第二章组织与实施第六条信息化主管部门应当定期发布本行政区域内重要信息系统目录，制定检查评估年度实施计划，并对重要信息系统管理技术人员开展相关培训。

第七条江苏省信息安全测评中心为本省从事信息安全测评的专门机构，受省信息化主管部门委托，具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训，组织开展全省重要信息系统的外部安全测试。

第八条信息系统的建设、运营或者使用单位可以依托本单位技术力量，或者委托符合条件的风险评估服务机构进行自评估。

第九条重要信息系统新建、扩建或者改建的，在设计、验收、运行维护阶段，均应当进行自评估。

重要信息系统废弃、发生重大变更或者安全状况发生重大变化的，应当及时进行自评估。

附件:江苏省信息安全风险评估管理办法（试行）第一章 总 则第一条为规范信息安全风险评估（以下简称“风险评估”）及其管理活动，保障信息系统安全，依据国家有关规定，结合本省实际，制定本办法。

第二条本省行政区域内信息系统风险评估及其管理活动，适用本办法。

第三条 本办法所称信息系统，是指由计算机、信息网络及其配套的设施、设备构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。

本办法所称重要信息系统，是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。

本办法所称风险评估，是指依据有关信息安全技术与管理标准，对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。

第四条县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。

跨省或者全国统一联网运行的重要信息系统的风险评估，可以由其行业管理部门统一组织实施。

涉密信息系统的风险评估，由国家保密部门按照有关法律、法规规定实施。

第五条风险评估分为自评估和检查评估两种形式。

自评估由信息系统的建设、运营或者使用单位自主开展。

检查评估由县以上信息化主管部门在本行政区域内依法开展，也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行，双方实行互备案制度。

第二章 组织与实施第六条信息化主管部门应当定期发布本行政区域内重要信息系统目录，制定检查评估年度实施计划，并对重要信息系统管理技术人员开展相关培训。

第七条江苏省信息安全测评中心为本省从事信息安全测评的专门机构，受省信息化主管部门委托，具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训，组织开展全省重要信息系统的外部安全测试。

第八条 信息系统的建设、运营或者使用单位可以依托本单位技术力量，或者委托符合条件的风险评估服务机构进行自评估。

第九条 重要信息系统新建、扩建或者改建的，在设计、验收、运行维护阶段，均应当进行自评估。

考试时间： 150分钟考生：总分：100分考生考试时间： 18:35 - 19:31 得分：90分通过情况：通过信息技术与信息安全公需科目考试考试结果1.(2分)网页恶意代码通常利用（）来实现植入并进行攻击。

A. 拒绝服务攻击B. 口令攻击C. IE浏览器的漏洞D. U盘工具你的答案:A B C D得分:2分2.(2分)涉密信息系统工程监理工作应由（）的单位或组织自身力量承担。

A. 具有信息系统工程监理资质的单位B. 具有涉密工程监理资质的单位C. 保密行政管理部门D. 涉密信息系统工程建设不需要监理你的答案:A B C D得分:2分3.(2分)全球著名云计算典型应用产品及解决方案中，亚马逊云计算服务名称叫（）。

A. AWSB. SCEC. AzureD. Google App你的答案:A B C D得分:2分4.(2分)在信息安全风险中，以下哪个说法是正确的？（）A. 风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。

在对这些要素的评估过程中，需要充分考虑与这些基本要素相关的各类属性。

B. 安全需求可通过安全措施得以满足，不需要结合资产价值考虑实施成本。

C. 风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。

在对这些要素的评估过程中，不需要充分考虑与这些基本要素相关的各类属性。

D. 信息系统的风险在实施了安全措施后可以降为零。

你的答案:A B C D得分:2分5.(2分)在网络安全体系构成要素中“恢复”指的是（）。

A. A和BB. 恢复数据C. 恢复系统D. 恢复网络你的答案:A B C D得分:2分6.(2分)目前，针对计算机信息系统及网络的恶意程序正逐年成倍增长，其中最为严重的是（）。

A. 木马病毒B. 系统漏洞C. 僵尸网络D. 蠕虫病毒你的答案:A B C D得分:2分7.(2分)政府系统信息安全检查由（）牵头组织对政府信息系统开展的联合检查。

A. 安全部门B. 信息化主管部门C. 公安部门D. 保密部门你的答案:A B C D得分:2分8.(2分)黑客在攻击中进行端口扫描可以完成（）。

公安部61号令标题公安部关于规范公安机关互联网安全监督检查工作的规定发文字号公安部令第61号发布日期2021年9月30日生效日期2021年11月1日正文第一章总则第四条公安部负责全国公安机关互联网安全监督检查工作的统一领导、组织、协调和指导。

省、自治区、直辖市公安厅（局）负责本行政区域内公安机关互联网安全监督检查工作的组织、协调和指导。

县级以上地方人民政府公安机关负责本行政区域内公安机关互联网安全监督检查工作的具体实施。

第二章监督检查方式和程序第五条公安机关对信息服务提供者进行互联网安全监督检查，可以采取现场检查或者非现场检查的方式。

（一）出示《中华人民共和国警官证》和《中华人民共和国公安机关互联网安全监督检查通知书》，并告知被检查单位应当履行的义务和享有的权利；（二）核实被检查单位的基本情况，包括单位名称、地址、联系方式、主要负责人、业务范围等；（四）检查被检查单位是否按照法律法规和国家标准规范要求，采取技术措施和其他必要措施，防止发布或者传播违法违规信息，及时发现并处置违法违规信息，防范和应对网络安全事件；（五）检查被检查单位是否按照法律法规和国家标准规范要求，保存网络日志记录，配合公安机关开展网络安全保护和监督管理工作；（六）检查被检查单位是否按照法律法规和国家标准规范要求，履行网络安全等级保护义务，实施网络安全等级保护制度，定期开展网络安全风险评估和整改，建立健全网络安全事件应急预案和处置机制；（七）检查被检查单位是否按照法律法规和国家标准规范要求，对涉及国家秘密、商业秘密或者个人隐私的网络数据进行加密、脱敏或者其他保护措施，防止泄露、篡改、损毁或者非法使用；（八）检查被检查单位是否按照法律法规和国家标准规范要求，对提供跨境数据传输服务的，履行相关审批、备案、报告等义务，遵守相关限制和禁止规定；（九）根据需要，可以对被检查单位的网络设备、系统、平台、应用等进行检测、测试、抽样等操作，或者要求被检查单位提供相关的技术资料、运行情况、管理记录等材料；（十）根据检查情况，出具《中华人民共和国公安机关互联网安全监督检查记录》，并由检查人员和被检查单位的负责人或者其委托的代理人签字或者盖章确认。