您的位置:360文档中心› 信息安全风险管理(考题)

信息安全风险管理(考题)

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

CCAA信息安全风险管理(继续教育考试试题)

1、下列关于“风险管理过程”描述最准确的是(C )。

A. 风险管理过程由风险评估、风险处置、以及监测与评审等子过程构成;

B.风险管理过程由建立环境、风险评估、风险处置、以及监测与评审等子过程构成;

C.风险管理过程由沟通与咨询、建立环境、风险评估、风险处置、以及监测与评审等子过程构成;

D.风险管理过程是一个完整的过程,独立与组织的其他过程。

2以下关于信息安全目的描述错误的是(D )。

A.保护信息

B.以争取不出事

C.让信息拥有者没有出事的感觉

D.消除导致出事的所不确定性

3、对风险术语的理解不准确的是(C )。

A.风险是遭受损害或损失的可能性

B.风险是对目标产生影响的某种事件发生的机会

C.风险可以用后果和可能性来衡量

D.风险是由偏离期望的结果或事件的可能性引起的

4、以下关于风险管理说法错误的是(A )。

A.风险管理是指如何在一个肯定有风险的环境里把风险消除的管理过程

B.风险管理包括了风险的量度、评估和应变策略

C.理想的风险管理,正是希望能够花最少的资源去尽可能化解最大的危机

D.理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最大可能发生的事情优先处理、而相对风险较低的事情则压后处理。

5、下列哪项不在风险评估之列(D )

A.风险识别

B.风险分析

C.风险评价

D.风险处置

6、对风险管理与组织其它活动的关系,以下陈述正确的是(B )。

A.风险管理与组织的其它活动可以分离

B.风险管理构成组织所有过程整体所必需的一部分 D.相对于组织的其它活动,风险管理是附加的一项活动

7、对于“利益相关方”的概念,以下陈述错误的是(D )。

A.对于一项决策活动,可以影响它的个人或组织

B. 对于一项决策活动,可以被它影响的个人或组织

C. 对于一项决策活动,可以感知被它影响的个人或组织

D.决策者自己不属于利益相关方

8、一个风险的大小,可以由(A )的结合来表示。

A.风险的后果和发生可能性

B.风险后果和风险源

C.风险发生可能性和风险源

D.风险源和风险原因

9、下列哪项不属于组织的风险管理方针必须包括(C )内容。

A.风险管理的依据、组织的目标、方针与风险管理方针的联系

B.风险管理的责任、职责、资源

C.如何确定风险等级、风险的重要性

D.报告风险管理绩效的方式、定期评审风险管理的方针和框架

10、信息安全风险评估应该是(B )。

A.只需要实施一次就可以

B.根据变化的情况定期或不定期的适时地进行

C.不需要形成文件化评估结果报告

D.仅对网络做定期的扫描就行

11、选择信息安全控制措施应该(D )。

A.建立在风险评估的结果至上

B.针对每一种风险,控制措施并非唯一

C.反映组织风险管理战略

D.以上各项都对

12、信息安全风险管理应该(C )。

A.将所有的信息安全风险都消除

B.在风险评估之前实施

C.基于可接受的成本采取相应的方法和措施

D.以上说法都不对

13、以下有关残余风险的说法错误的是(A )。

A.残余风险不包含未识别的风险

B.残余风险还可被称为“保留风险”

C.残余风险是风险处置后剩余的风险

D.管理者应对建议的残余风险进行批准

14、ISO/IEC 27001从(B )的角度,建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。

A.客户安全要求

B.组织整体业务风险

C.信息安全法律法规

D.以上都不对

15、管理者应(D )。

A.制定ISMS目标和计划

B.实施ISMS管理评审

C.决定接受风险的准则和风险的可接受级别

D.以上都对

16、以下哪个不是风险管理相关标准(A )

A.ISO/IEC TR 13335

B.ISO/IEC 27002

C.ISO/IEC 27005

D.GB/T 20984

17、下列关于“风险评价准则”描述不准确的是(A )

A.风险评价准则是评价风险主要程度的依据,不能被改变

B.风险评价准则应尽可能在风险管理过程开始时制定

C.风险评价准则应当与组织的风险管理方针一致

D.风险评价准则需体现组织的风险承受度,应反映组织的价值观、目标和资源

判断题

1、信息资产的价值可通过定性和定量的方法来描述。正确

2、风险评价准则需体现组织的风险承受度,应反映组织的价值观、目标和资源。正确

3、起不到应有作用的或没有正确实施的安全保护措施本身就可能是XX性。正确

4、风险评价是指导和控制一个组织相关风险的协调活动。错误

5、风险识别是发现、列举和描述风险要素的过程。正确

6、风险管理是可定性的。正确

7、风险评价就是将分析过程中发现的风险程度与先前建立的风险准则比较。正确

8、风险处置必须采取措施,将风险降低到可接受级别。正确

相关文档
最新文档