2012-2-6 下午一题
[每日一题] +信息安全 Management according to ISO/IEC 27001   风险评估应贯穿于信息系统生命周期的各阶段中，在信息安全风险评估规范中，讲述了信息系统生命周期中的哪几个阶段的风险评估？ A.  规划-设计-实施-运行维护 B.  规划-设计-实施-运行维护-废弃 C.  启动-规划-设计-实施-运行维护-废弃 D.  都不是  答案：B
解释：详见《GBT20984信息安全风险评估规范》-6信息系统生命周期各阶段的风险评估。

2012-2-7 上午一题
[每日一题] +[T Service Management according to ITIL v3   
以下属于服务转换生命周期的阶段的是：
A. 获得并测试输入配置项和组件
B. 构建和测试
C. 服务发布测试
D. 服务运营就绪测试
E. 部署
F. 早期生命支持
G. 审查和结束服务转换
答案：ABCDEFG
解析：今天出题者偷懒了，没给解析啊，呵呵

2012-2-7 下午一题
[每日一题] +信息安全 Management according to ISO/IEC 27001   
信息系统生命周期各阶段的风险评估中，提出安全功能需求应该在哪个阶段？
A.  规划阶段的风险评估
B.  设计阶段的风险评估
C.  实施阶段的风险评估
D.  运行维护阶段的风险评估  
答案：B
解释：设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性，提出安全功能需求。
详见《GBT20984信息安全风险评估规范》6.3设计阶段的风险评估。

2012-2-8 上午一题
[每日一题] +[T Service Management according to ITIL v3   
变更管理过程中我们需要考虑以下哪些问题：
A. 谁提出的变更？
B. 变更的原因是什么？
C. 变更可以带来哪些回报？
D. 变更涉及到哪些风险？
E. 交付变更需要哪些资源

答案：ABCDE
许多组织都开发了特定的影响评估的方式，来支持影响评估人员对特定类型的变更进行评估），在变更管理过程中需要考虑7R因素： 谁提出的变更？（raised） 变更的原因是什么？（Reason） 变更可以带来哪些回报？（Return） 变更涉及到哪些风险？(Risk) 交付变更需要哪些资源？(Resource) 谁负责变更的构建、测试与实施?(Responsible) 这一变更与其他变更之间有何关系？(Relationship)

2012-2-8 下午一题
[每日一题] +信息安全 Management according to ISO/IEC 27001

（单选）信息安全风险评估规范中，风险等级划分表所描述的“一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程序不大”，其风险等级应属于：
A.  5   很高
B.  4   高
C.  3   中等
D.  2   低
E.  1   很低  
答案：C
解释：
5 很高：一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣；
4 高   ：一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害；
3 中等：一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大；
2 低   ：一旦发生造成的影响程度较低一般仅限于组织内部，通过一定手段很快能解决；
1 很低：一旦发生造成的影响几乎不存在，通过简单的措施就能弥补。 详见《GBT20984信息安全风险评估规范》5.6.2风险结果判定。