1、管理评审的输出应包括屯持续改进机会相关的决定以及变更信息安全管理体系的任何需求,业务需求,合同义务,安全要求都会引发安全规程的变更
2、定期评审ISMS的有效性(包括安全方针和目标的符合性,对安全控制措施的评审)考虑安全审核,安全事件,有效性测量的结果,以及所有相关方的建议和反馈
3、对一段时间内发生的信息安全事件类型,频次,处理成本的统计分析不属于事件管理的范畴,而是属于问题管理的范畴
4、访问控制应先确定哪些敏感信息是需要保护的(可给予哪些主体访问权利)第二步确定谁可以访问什么信息(用户权限)
5、对于所有拟定的纠正和预防措施,在实施前应先通过 风险分析
6、加强网络安全性的蕞重要的基础措施是设计有效的网络安全策略
7、信息安全管理体系中资产指的是:硬件,软件,文档资料,关键人员,信息服务
8、信息安全方针一般是不可测量的,是战略性,方向性的指导,但信息安全目标一般需要分解,量化的
9、信息安全事态的定义:已识别的一种系统,服务或网络状态的发生,指出可能违反信息安全方针或控制措施失效,或者一种可能与安全相关但以前不为人知的情况
10、信息安全事件:一个或一系列意外或不期望的信息安全事态,它/它们极有可能损害业务运行并威胁信息安全
11、保密性是指:信息不被未授权的个人,实体或过程利用或知悉的和特性
12、管理者应制定ISMS方针,确保制定ISMS目标和计划,确保实施ISMS内部审核,实施ISMS管理评审的执行
13、文件化信息创建和更新时,组织应确保适当的标识和描述,组织应确保行当的格式和介质,组织应确保适当的对适应性和充分性进行评审和批准
14、在ISO/IEC27005《信息安全风险管理是》中风险管理过程包括确定环境,风险评估,风险处置,风险接受,风险沟通和风险监视和评审
15、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为 技术要求和管理要求
16、密码技术可以保护信息的 保密性和完整性不受损失
17、审核发现是指:审核中收集到的审核证据对照审核准则评价的结果
18、安全标签是一种访问控制机制,它适用于强制性访问控制策略。基于安全标签的强制访问访问控制是指由系统强制实行的主客体访问控制机制,即只有基于系统的主客体的这全级标签之间的关系而确定的主客体之间的访问控制机制,也称为多级安全模型。