单选题 The following scenario applies to questions 27 and 28.Sam is the security manager of a company that makes most of its revenue from its intellectual property. Sam has implemented a process improvement program that has been certified by an outside entity. His company received a Level 2 during an appraisal process, and he is putting in steps to increase this to a Level 3. A year ago when Sam carried out a risk analysis, he determined that the company was at too much of a risk when it came to potentially losing trade secrets. The countermeasure his team implemented reduced this risk, and Sam determined that the annualized loss expectancy of the risk of a trade secret being stolen once in a hundred-year period is now $400.

单选题 Which of the following is the criteria Sam's company was most likely certified under?

A、 SABSA
B、 Capability Maturity Model Integration
C、 Information Technology Infrastructure Library
D、 Prince2

【正确答案】 C

【答案解析】解析：B正确。软件能力成熟度模型集成(CMMI)是一种帮助组织提高性能的过程改进方法。CMMI模型也可以用作评估组织的过程成熟度框架。CMMI中使用的等级有等级1-初始级，等级2-已管理级，等级3-已定义级，等级4-量化管理级以及等级5-优化管理级。 A不正确。因为Sherwood应用的商业安全体系结构(SABSA)是信息安全企业体系结构的开发模型和方法。由于它是一个框架，这意味着它提供的是供独立体系结构构建的结构。也正是因为它是一种方法，所以意味着它提供了构建和维护这种体系结构所需要遵循的流程。 C不正确。因为信息技术基础构架库(ITIL)是IT服务管理最佳行为的实际标准。之所以创建ITIL是因为业务需求对信息技术的依赖性逐渐增加。尽管ITIL包含了一个处理安全的组件，但它的重心更多地集中在IT部门和它所服务的“客户”之间的内部服务级别协议。这些客户通常是内部部门。ITIL并不适用该情景中描述的等级。 D不正确。因为PRINCE2(受控环境中的项目)是为了实现高效项目管理的一种基于过程的方法。它主要是UK政府使用，而不是CISSP考试所涉及的主题。

单选题 What is the associated single loss expectancy value in this scenario?

A、 $65,000
B、 $400,000
C、 40000
D、 4000

【正确答案】 D

【答案解析】解析：C正确。计算年度损失期望值(ALE)的公式为单一损失期望(SLE)×年度发生率(ARO)=ALE。在这个情景中，如果ALE是$400且ARO为0．01，则SLE为$40 000。 A不正确。因为得到SLE的公式为资产价值×曝光因子=SLE，而ALE是单一损失期望(SLE)×年度发生率(ARO)=ALE。如果某个交易秘密在一百年的时间内被偷一次的风险的ALE为$400，则你只能反向计算得到SLE的值。如果ALE是$400，ARO为0．01，则得到的SLE值为$40 000。 B不正确。因为得到SLE的公式为资产价值×曝光因子=SLE，而ALE是单一损失期望×年度发生率(ARO)=ALE。在这个场景中，某个交易秘密在一百年的时间内被偷一次的风险的ALE为$400，如果ALE是$400，ARO为0．01，则得到的SLE值为$40 000。 D不正确。因为得到SLE的公式为资产价值×曝光因子=SLE，而ALE是单一损失期望×年度发生率(ARO)=ALE。完成这些计算的目的是为了全面理解特定风险的急迫性，并了解实施一种成本有效的对策可以花费多少。