2012-1-10 下午一题
[每日一题] +信息安全 Management according to ISO/IEC 27001
以下风险评估中各部分活动的前后顺序是：
1.  风险评估准备
2.  已有措施确认
3.  资产、威胁及脆弱性识别
4.  风险处理
5.  风险计算
6.  实施风险管理
A.   1、2、3、4、5、6
B.   1、2、3、5、6、4
C.   1、3、2、5、6、4
D.   1、3、2、5、4、6  
答案：D
解释：详见《GBT20984信息安全风险评估规范》4.3实施流程。

2012-1-11 上午一题
[每日一题] +[T Service Management according to ITIL v3   
多选：基础的基础合同或服务协议包括以下哪些内容呢?
A. 基本条款
B. 服务描述和范围
C. 服务标准
D. 工作负载范围
E. 管理信息  
答案：ABCDE
A. 基本条款---合同期限，相关方、地点、范围、定义和商业基础
B. 服务描述和范围---提供的服务的功能及其程度，以及服务交付的约束条件，例如性能可用性等可以明确定义服务功能，或者在完全确定服务的情况下，将其通过其他确定的文档包含进去，例如服务组合和服务目录。
C. 服务标准---构成可接受性能和质量的服务测量和最低级别，例如IT对新桌面的请求在24小时内需要达到相应的性能要求，只要95%的情况满足了这个性能的要求，就认为服务是可接受的。服务级别必须现实、可测量，服务组织的业务优先级，并支持SLR和SLA中达成的目标。
D. 工作负载范围---服务标准应用的数量范围，或者特定定价制度采用的数量范围。
E. 管理信息---供应商必须报告的有关运营性能的数据，注意确保MI关注评估关系所用的最重要或关键报告测量。关键性能绩效KPI和平衡计分卡BSC可以构成报告的性能数据的核心。
F. 责任和依赖性----描述组织（在支持供应商提供服务活动过程中）和供应商（在提供服务中）的义务高扩沟通、联系和升级。
G. 服务借贷制度（奖励和惩罚） H. 附加的性能标准

2012-1-12 上午一题
s[每日一题] +[T Service Management according to ITIL v3  
供应管理流程的输出信息一般包括：  
A.财务信息
B.供应商与合同数据库
C.供应商与合同履行的信息和报告
D.供应商与合同审查会议记录
答案：BCD
A．供应商管理流程的一个输入信息，为供应商管理的决策提供参考信息。
B.供应商与合同数据库—保存供应商管理的所有子流程需要的信息
C.供应商与合同履行的信息和报告—供应商和合同审查会议的输入，以便管理供应商和合作伙伴所提供服务的质量。
D.供应商与合同审查会议记录—用于记录与供应商召开的素有审查会议的内容和活动
PS： 供应商服务改进计划—用于记录服务提供商与其供应商之间达成的所有改进活动和计划，在需要时，用于达成的改进活动的进度，包括风险减轻措施。 供应商调查报告—通常，供应商组织内的许多人都与供应商往来。为了确保供应商为所有领域提供始终如一的优质服务，应收集这些人的反馈意见。

2012-1-12 下午一题
信息安全风险评估规范中，讲述风险评估的形式有：
A.  一种
B.   两种
C.  三种
D.  四种

答案：B
解释：信息安全风险评估分为自评估和检查评估两种形式。信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充。
详见《GBT20984信息安全风险评估规范》7风险评估的工作形式。

不错不错