参考答案: 【问题1】
措施一：严控计算机外设端口，监控、审计所有计算机的操作行为，封锁信息外泄途径。
措施二：所有重要信息集中存储，终端不留密，信息使用权限细分。
措施三：通过移动介质泄密往往是信息泄漏的主要方式。需要严格控制移动介质使用，划分介质使用范围与责任人。
措施四：监控本地上网行为，监控员工的上网行为，避免信息从本地被转移。
措施五：建立基于硬件级别的防护体系，避免众多安全防护产品基于操作系统的脆弱性。
措施六：制定合适的制度，对违反企业规定的行为进行奖惩。对员工进行教育并严格执行制度，从头脑中杜绝信息泄漏。
主动控制风险而不是被动地响应事件，以提高整个信息安全系统的有效性和可管理性。
以上仅供参考，不同的人对信息系统安全的理解会不相同，只要从信息系统如下四个方面作答，即可：
（1）风险识别、评估、控制
（2）法规、机构、人员安全管理
（3）技术管理
（4）网络及场地管理

【问题2】
黑客可以通过在软件程序中增加木马和病毒程序或者潜在威胁的网站链接，当用户安装该软件时，同时也就安装了木马和病毒或者访问存在安全威胁的网站。
可以采用PKI 中数字签名的方式
1：密钥成对出现，分为：公钥和私钥，公钥对外公开，私钥只有持有者拥有。
2：私钥加密必须用公钥解密。
3：软件发布者用自己的私钥加密，然后将软件发布，用户可以用过其公开的公钥来验证软件的完整性，由于私钥只有持有者拥有，其签名是无法伪造的。
【问题3】
新修订的《消费者权益保护法》

收集、使用信息必须合法、必要
公开相关收集使用规定，收集、使用信息及发送商业信息必须取得消费者同意
不得泄露、出售或非法向他人提供消费者个人信息
保障个人信息安全、受损时及时采取补救措施

详细解析:

【问题1】
信息安全的风险管理首先是信息安全的风险识别、评估，进而采取有效的整改措施。
对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。
在具体实施中要进一步明确信息安全管理机构职能，完善信息安全制度。同时要加强信息安全的培训工作，提高管理人员职业道德水平和技术素质。落实信息系统的日志管理，采用入侵检测、数据加密、数据备份、网络安全审计、隔离等技术手段确保重要数据的安全管理。建立标准化机房，实施重点区域的人员进出登记制度等方面。
从信息系统如下四个方面作答，即可：
（1）风险识别、评估、控制
（2）法规、机构、人员安全管理
（3）技术管理
（4）网络及场地管理

措施一：严控计算机外设端口，监控、审计所有计算机的操作行为，封锁信息外泄途径。
措施二：所有重要信息集中存储，终端不留密，信息使用权限细分。
措施三：通过移动介质泄密往往是信息泄漏的主要方式。需要严格控制移动介质使用，划分介质使用范围与责任人。
措施四：监控本地上网行为，监控员工的上网行为，避免信息从本地被转移。
措施五：建立基于硬件级别的防护体系，避免众多安全防护产品基于操作系统的脆弱性。
措施六：制定合适的制度，对违反企业规定的行为进行奖惩。对员工进行教育并严格执行制度，从头脑中杜绝信息泄漏。
主动控制风险而不是被动地响应事件，以提高整个信息安全系统的有效性和可管理性。
【问题2】
黑客可以通过在软件程序中增加木马和病毒程序或者潜在威胁的网站链接，当用户安装该软件时，同时也就安装了木马和病毒或者访问存在安全威胁的网站。
可以采用PKI 中数字签名的方式
1：密钥成对出现，分为：公钥和私钥，公钥对外公开，私钥只有持有者拥有。
2：私钥加密必须用公钥解密。
3：软件发布者用自己的私钥加密，然后将软件发布，用户可以用过其公开的公钥来验证软件的完整性，由于私钥只有持有者拥有，其签名是无法伪造的。
【问题3】
新修订的《消费者权益保护法》
根据修改后的《消费者权益保护法》第二十九条：“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。
 “经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。
 “经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。”