A是业主单位，B是承建单位，安全风险评估报告的内容如下：

（1)确定数据中心纳入信息安全保护的资产名称

（2)对数据中心开展全方位风险评估

(3)根据经验对已识别的风险优先级排序

（4)建立与数据中心建设项目章程相一致的安全规划，以及总体安全方针

(5）安全规划、安全方针得到A单位的项目经理以及B单位的最高管理者的认可

【问题一】作为监理单位，请指出风险评估的不足之处（5分）

【问题二】作为监理单位，请说明总体安全设计方案的内容 （4分）

【问题三】对下列内容进行选择（6分）

【问题一】作为监理单位，请指出风险评估的不足之处（5分）

【参考答案】

（1）不正确，应改为：确定预期信息系统的资产，并明确资产的价值

（2）不正确，应改为：对预期的信息系统展开全方位的风险评估

（3）不正确，应改为：对风险进行优先级排序，并形成安全措施需求清单

（4）不正确，应改为：建立与业务战略相一致的安全规划，制定总体的安全方针

（5）不正确，应改为：安全规划、安全方针得到B单位的最高管理者的认可

【问题二】作为监理单位，请说明总体安全设计方案的内容 （4分）

【参考答案】

（1）等级保护对象概述；

（2）总体安全策略；

（3）等级保护对象安全技术体系结构；

（4）等级保护对象安全管理体系结构。

【问题三】对下列内容进行选择（6分）

【参考答案】

（1）总体方针、安全策略，

（2）网络安全管理制度

（3）安全技术标准、操作规程

（4）记录、表单

【解析】来源于《信息监理师教程》第2版 P547页

24.2.2 监理内容

3. 网络安全等级保护方案的审核

整体安全管理体系结构设计。

等级保护对象安全管理体系框架分为四层，如图24-1所示。

第一层为总体方针、安全策略，通过网络安全总体方针、安全策略明确机构网络安全工作的总体目标、范围、原则等。

第二层为网络安全管理制度，通过对网络安全活动中的各类内容建立管理制度，约束网络安全相关行为。

第三层为安全技术标准、操作规程，通过对管理人员或操作人员执行的日常管理行为建立操作规程，规范网络安全管理制度的具体技术实现细节。

第四层为记录、表单，包括网络安全管理制度、操作规程实施时需填写和需保留的表单、操作记录。