在《刃/27000系列标准中,给出了组织、人员、物理和技术方面的控制参考。下列选项中,属于物理控制的是()
P280,信息安全管理涉及信息系统治理、管理、运行、退役等各个方面,其管理内容往往与组织治理与管理水平,以及信息系统在组织中的作用与价值等方面相关,在|SO/|EC27000系列标准中,给出了组织、人员、物理和技术方面的控制参考,这些控制参考是组织需要策划、实施和监测信息安全管理的主要内容。(1)组织控制在组织控制方面,主要包括信息安全策略、信息安全角色与职责、职责分离、管理职责、威胁情报、身份管理、访问控制等。(2)人员控制在人员控制方面,主要包括筛选、雇佣、信息安全意识与教育、保密或保密协议、远程办公、安全纪律等。(3)物理控制在物理控制方面,主要包括物理安全边界、物理入口、物理安全监控、防范物理和环境威胁、设备选址和保护、存储介质、布线安全和设备维护等。(4)技术控制在技术控制方面,主要包括用户终端设备、特殊访问权限、信息访问限制、访问源代码、身份验证、容量管理、恶意代码与软件防范、技术漏洞管理、配置管理、信息删除、数据屏蔽、数据泄露预防、网络安全和信息备份等。
简短答案
ISO 27000系列中哪项属于物理控制,正确答案是 A(机房人员授权门禁系统)。P280,信息安全管理涉及信息系统治理、管理、运行、退役等各个方面,其管理内容往往与组织治理与管理水平,以及信息系统在组织中的作用与价值等方面相关,在|SO/|EC27000系列标准中,给出了组织、人员、物理和技术方面的控制参考,这些控制参考是组织需要策划、实施和监测信息安全管理的主要内容。(1)组织控制在组织控制方面,主要包括信息安全策略、信息安全角色与职责、职责分离、管理职责、威胁情报、身份管理、访问控制等。(2)人员控制在人员控制方面,主要包括筛选、雇佣、信息安全意识与教育、保密或保密协议、远程办公、安全纪律等。(3)物理控制在物理控制方面,主要包括物理安全边界、物理入口、物理安全监控、防范物理和环境威胁、设备选址和保护、存储介质、布线安全和设备维护等。(4)技术控制在技术控制方面,主要包括用户终端设备、特殊访问权限、信息访问限制、访问源代码、身份验证、容量管理、恶意代码与软件防范、技术漏洞管理、配置管理、信息删除、数据屏蔽、数据泄露预防、网络安全和信息备份等。
易混淆概念对比表
| 概念 | 本题判断 | 区别要点 | 记忆提示 |
|---|---|---|---|
| 机房人员授权门禁系统 | 本题正确答案 | P280,信息安全管理涉及信息系统治理、管理、运行、退役等各个方面,其管理内容往往与组织治理与管理水平,以及信息系统在组织中的作用与价值等方面相关,在|SO/|EC27000系列标准中,给出了组织、人员、物理和技术方面的控制参考,这些控制参考是组织需要策划、实施和监测信息安全管理的主要内容。(1)组织控制在组织控制方面,主要包括信息安全策略、信息安全角色与职责、职责分离、管理职责、威胁情报、身份管理、访问控制等。(2)人员控制在人员控制方面,主要包括筛选、雇佣、信息安全意识与教育、保密或保密协议、远程办公、安全纪律等。(3)物理控制在物理控制方面,主要包括物理安全边界、物理入口、物理安全监控、防范物理和环境威胁、设备选址和保护、存储介质、布线安全和设备维护等。(4)技术控制在技术控制方面,主要包括用户终端设备、特殊访问权限、信息访问限制、访问源代码、身份验证、容量管理、恶意代码与软件防范、技术漏洞管理、配置管理、信息删除、数据屏蔽、数据泄露预防、网络安全和信息备份等。 | 看到题干核心场景时优先联想到它 |
| 信息安全保密政策宣贯 | 本题干扰项 | 与题干描述的核心场景不匹配。 | 看到该词不要急着选,先判断是否真正解决题干问题 |
| 库房使用安全管理职责 | 本题干扰项 | 与题干描述的核心场景不匹配。 | 看到该词不要急着选,先判断是否真正解决题干问题 |
| 信息系统访问限制 | 本题干扰项 | 与题干描述的核心场景不匹配。 | 看到该词不要急着选,先判断是否真正解决题干问题 |
本题易混淆选项怎么区分
- 信息安全保密政策宣贯:与题干描述的核心场景不匹配,不能作为本题最佳答案。
- 库房使用安全管理职责:与题干描述的核心场景不匹配,不能作为本题最佳答案。
- 信息系统访问限制:与题干描述的核心场景不匹配,不能作为本题最佳答案。
知识点详解
数据工程是系统集成项目管理工程师考试中需要结合场景理解的考点。围绕“ISO 27000系列中哪项属于物理控制”这类题目,复习时要先看题干描述的是概念定义、适用场景、作用效果,还是与其他选项的区别。本题的题干关键词是“在《刃/27000系列标准中,给出了组织、人员、物理和技术方面的控制参考。下列选项中,属于物理控制的是()”,它指向的核心答案是 A(机房人员授权门禁系统)。
备考速记
备考速记:题干如果强调“数据工程”中的关键目标,就先联想到 数据工程;如果选项里出现 信息安全保密政策宣贯、库房使用安全管理职责、信息系统访问限制,不要只看名称熟悉,要判断它们是否真正对应题干场景。
数据工程在数据工程场景中的作用
数据工程在本题中的核心价值,是解决“在《刃/27000系列标准中,给出了组织、人员、物理和技术方面的控制参考。下列选项中,属于物理控制的是()”这个场景问题。复习时不要只背选项名称,还要理解它为什么适用于该场景,以及它能解决哪类安全、流程或管理问题。
同类题怎么考
- 给出数据工程场景,判断应该选择哪个概念、工具、协议或管理过程。
- 考查数据工程的作用,要求从四个相近选项中找出最符合题干目标的一项。
- 把数据工程和信息安全保密政策宣贯、库房使用安全管理职责、信息系统访问限制放在一起考,重点看适用场景是否一致。
- 题干通常会出现一个关键动作或目标,先定位关键词,再回到选项逐一排除。
数据工程在系统集成项目管理工程师软考中的考法
软考选择题通常不会只考概念定义,还会把数据工程放到数据工程场景中,要求判断它的作用、适用范围或与相近概念的区别。遇到这类题时,先抓住题干中的业务场景,再看哪个选项最能解决该场景下的核心问题。
你可能还想了解
- ISO 27000系列中哪项属于物理控制?
- 数据工程是什么?
- 数据工程在系统集成项目管理工程师考试中怎么考?
- 系统集成项目管理工程师数据工程题怎么理解?
本文小结
本题核心考点是数据工程在数据工程场景中的判断和应用。遇到类似题目时,先看题干描述的目标,再判断哪个选项最符合场景;本题应选择 A(机房人员授权门禁系统)。