2.阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
GB/T 20984-2007 规定了风险评估的实施流程,根据流程中的各项工作内容,一般将风险评估实施划分为评估准备、风险要素识别、风险分析与风险处置四个阶段。其中,评估准备阶段工作是对评估实施有效性的保证,是评估工作的开始:风险要素识别阶段工作主要是对评估活动中的各类关键要素资产、成胁、脆弱性、安全措施进行识别与赋值;风险分析阶段工作主要是对识别阶段中获得的各类信息进行关联分析,并计算风险值;风险处置建议工作主要针对评估出的风险,提出相应的处置建议,以及按照处置建议实施安全加固后进行残余风险处置等内容。
【问题1】(2分)
网络安全风险评估的基本原则有哪些?
【问题2】(3分)
识别阶段是风险评估工作的重要工作阶段,是对组织和信息系统中的哪些要素进行识别?
【问题3】(6分)
(1)依据《信息安全技术信息安全风险评估规范)) CGB/T 20984-2007) 所确定的风险分析方法,如下图所示。