安全风险评估培训试卷(答案)

信息系统安全评测与风险评估试题姓名分数19716-200520269 信息系统安全管理要求20270 网络基础安全技术要求20271 信息系统通用安全技术要求资产赋值风险赋值一：填空题（36分）1.信息安全评测实际上蕴含着丰富的思想内涵，严肃的（），严谨的（），严格的（）以及极具魅力的评测技巧，是一个科学和艺术圆满结合的领域。

2.在评测一个信息系统的数据安全时，国家标准要求从数据完整性，数据（保密性）和数据的（备份）与恢复三个环节来考虑。

3.资产分类的方法较多，大体归纳为2种，一种是“自然形态”，即按照系统组成成分和服务内容来分类，如分成“数据，软件（硬件），服务（人员），其他”六大类，还可以按照“信息形态”将资产分为“信息，（信息载体）和（信息环境）三大类。

4.资产识别包括资产分类和（资产赋值）两个环节。

5.威胁的识别可以分为重点识别和（全面识别）6．脆弱性识别分为脆弱性发现（脆弱性分类）脆弱性验证和（脆弱性赋值）7.风险的三个要素是资产（脆弱性）和（威胁）8.应急响应计划应包含准则，（）预防和预警机制（）（）和附件6个基本要素。

9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程，它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.二：问答题：（64分）1.什么是安全域？目前中国划分安全域的方法大致有哪些？（10分）1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。

危险源辨识和风险评估培训考试试卷部门：姓名：分数：一、选择题（本题为不定项选择题，漏选得1分，错选不得分，每题3分，共45分）1、管理对象是管理对象单元的一种划分，是对（）的总结和提炼，是通过管住（）实现对（）的控制或消除。

A、隐患B、危险源C、管理对象D、风险2、下列属于人员不安全因素的是（）A、操作不安全性B、现场指挥的不安全性C、失职(不认真履行本职工作任务)D、决策失误E、身体状况不佳的情况下工作3、下列属于机器的不安全因素的是（）A、没有按规定配备必需的设备B、设备选型不符合要求C、设备安装不符合规定D、设备维护保养不到位E、设备警示标识不齐全、清晰、正确，设置位置不合理4、按危险源隶属的系统分类可分为（）A、人B、机C、环D、管5、危险源辨识的范围涉及所有的系统，包括（）A、生产系统B、非生产系统C、所有工作任务D、生产工艺E、紧急与意外情况6、危险源辨识的依据包括（）A、事故发生机理B、相关的法律、法规、规程、条例C、相关的技术标准D、企业内部信息7、（）是企业本质安全管理的前提和基础，只有找到（）才能确定管理对象，进而建立本质安全体系、管理标准体系，并制定相应的管理措施、政策和程序。

A、危险源B、危险源辨识C、风险D、风险预控8、按照风险来源分类可分为：（）。

A、来自人员的风险B、来自机(物)的风险C、来自环境的风险D、来自管理的风险E、其他9、制定标准和措施的目的（）A、控制或消除风险，遏制事故发生B、指导员工按照标准规范作业C、管理者按照措施监督落实D、《风险管理手册》中要求的10、风险矩阵法是根据事件或事故发生的可能性及其可能造成的后果的乘积来衡量风险的大小，若风险值为16，属于（）。

A、特别重大风险B、重大风险C、中等风险D、一般风险E、低风险11、以下不属于人员方面危险源的是（）A、违章操作B、违章指挥C、失职D、工作地点照明不足E、酒后工作12、根据风险等级的划分及实际需要，可将风险预警等级设置为5级，其中中警信号灯的颜色为（）A、红色B、黄色C、橙色D、绿色E、蓝色13、管理标准与管理措施的制定包括（）A、提炼管理对象B、制定管理标准C、确定责任人/管理人员/监管部门/监管人员D、制定管理措施14、机械方面的危险源主要包括：（）A、没有按规定配备必需的机器、设备、装置、工具等B、机器、设备、装置、工具的选型不符合实际需求C、机器、设备、装置、工具的安装不符合规定或实际要求D、机器、设备、装置维护(修)不到位E、机器、设备空间不满足作业条件15、危险源辨识前准备工作包括（）源。

安全风险分级管控与隐患排查治理体系培训题库及答案（A卷）姓名车间岗位日期成绩一、填空题（20×1分）1、风险是指生产安全事故发生的可能性,与随之引发的（人身伤害）和（或）（健康损害）和（或）（财产损失）的组合.2、风险辨识是识别（企业整个范围内）所有存在的风险并确定其特性的过程.3、常用的风险评价方法有（作业条件危险性分析法或者LEC法）、（作业危害分析法或者JHA法）、（危险与可操作性分析方法或者HAZOP法、风险程度分析方法或者MES法、事故树方法或者FTA法、道化学公司法或者DOW法).备注：能够写出任意三个风险评价方法即可.4、风险分级是指通过采用科学、合理方法对危险源所伴随的风险进行定量或定性评价,根据（评价结果）划分等级.风险分级的目的是为（确定风险管控的优先顺序）.5、省风险暂定为“红、橙、黄、蓝”四级,（红色）级别最高,企业原5级划分标准可参照进行调整.6、企业在选择风险控制措施时应考虑：⑴可行性；⑵（安全性）；⑶（可靠性）.7、事故隐患是指生产经营单位违反安全生产法律、法规、规章、标准、规程和安全生产管理制度的规定,或者因其他因素在生产经营活动中存在可能导致事故发生的物的危险状态、（人的不安全行为）和（管理上的缺陷）.8、隐患的分级是根据隐患的(整改)、治理和(排除的难度)及其导致事故后果和影响范围为标准而进行的级别划分.可一般分为一般事故隐患和重大事故隐患.9、隐患信息是指包括隐患名称、位置、状态描述、（可能导致后果及其严重程度）、治理目标、（治理措施）、（职责划分）、治理期限等信息的总称.企业对事故隐患信息应建档管理.10、根据山东省生产经营单位安全生产主体责任规定（省政府令第303号）第三十五条规定,生产经营单位未按规定报告重大事故隐患治理方案的,由负有安全生产监督管理职责的部门责令限期改正,可处以5000元以上2万元以下的罚款,对其主要负责人处以（1000元以上1万元以下）的罚款；逾期不改正的,责令限期整顿,可处以2万元以上3万元以下的罚款,对其主要负责人处以1万元以上2万元以下的罚款.二、单项选择题（10×2分）1、（）是风险管控的基础.（C）（A）风险分析（B）风险评价（C）排查风险点（D）风险分级2、危险和有害因素分为以下几种.（B）（A）人的因素、物的因素（B）人的因素、物的因素、环境因素、管理因素（C）人的因素、物的因素、管理因素（D）人的因素、物的因素、环境因素3、（）承担建立和实施安全生产风险管控和隐患排查治理的主体责任.（A）（A）企业（B）中介机构（C）安监部门（D）主要负责人4、1级风险（红色风险）：不可容许的,巨大风险,极其危险,（）.（D）（A）无需立即整改,可以继续作业. （B）必须立即整改,可以继续作业.（C）制定整改计划后,可以继续作业. （D）必须立即整改,不能继续作业.5、各企业的风险评价准则具体内容应.（D）（A）统一（B）同行业应统一（C）由各部门自己确定,无需统一（D）与企业实际情况及相关法律法规要求有关6、山东省省风险分级暂定为“（A）”四级A、红、橙、黄、蓝B、红、橙、黄、绿C、红、黄、蓝、绿D、红、黄、蓝、绿7、（）是企业安全管理的核心.（B）（A）事故控制（B）风险管理（C）隐患排查（D）安全培训8、工作危害分析法能够全面地分析出（）所有可能的风险,并针对可能风险采取相应的控制措施.（ A ）（A）作业活动（B）设备设施（C）安全设施（D）工艺操作9、当通过作业条件危险性评价法得出企业风险的危险性分值大于（）时,属于显着危险,需要整改.（A）（A）70 （B）160（C）320 （D）5010、风险管控和隐患排查治理属于（B）机制.（A）职业健康安全管理（B）双重预防（C）标准化运行（D）安全管理三、多项选择题（10×4分,答不全者得2分,答错全扣,无倒扣分）1、各市、县（市、区）政府组织有关部门广泛发动企业,全方位、全过程排查本单位可能导致事故发生的风险点,包括生产系统、设备设施、输送管线、操作行为、矿山采空区、施工场所、（）等方面存在的风险.（ABCD）A、城市垃圾堆场B、安全管理C、环境条件 D职业健康2、风险分级管控程序包括以下几个阶段（ ABC）.A、危险源识别B、风险评价C、风险管控D、风险培训.3、进行工作危害分析（JHA法）应按照以下步骤实施.（ABCD）A、确定工作危害分析的生产场所和区域 ,进行工序（包括辅助设施作业活动分析）划分.B、对每个工序进行工作内容分析,确定每进行一项工作内容可能存在的危害类型.C、确认已采取的风险控制措施中还存在的缺陷和还未采取的控制措施,并提出相应的补偿措施.D、针对工作危害分析结果中属于重大风险的项目,或者存在重大控制措施缺陷的,制定企业的目标和管理方案,并加以实施,从而实现保障安全生产的目的.4、以下各种措施哪几种属于管理措施（AB）A、安全培训B、制定操作规程C、对产生或导致危害的设施或场所进行密闭 D 设置危险及有毒企业的排放口5、目前,针对企业开展事故隐患排查治理的途径包括.（ABCD）A、政府聘请安全专家B、政府购买社会服务C、规模以上企业自主实施 D当地安监站6、隐患排查依据主要有（ ABC）.A、有关法律、法规要求B、技术标准C、事故教训经验总结 D企业的安全生产目标7、隐患排查方式主要有（ABCDE）.A、综合检查 B专业检查 C节假日检查 D四季检查 E 日常检查8、发生事故的根本症结是（ABCDE ）.A、企业主体责任不落实 B安全过程管理不系统 C不执行规章制度 D企业缺乏安全管理专业人才 E企业自主安全培训薄弱9、企业隐患排查的范围应包括所有与生产经营相关的（）场所、环境、人员、设备设施和活动.（ABCDE）A、场所B、环境C、人员D、设备设施E、活动10、企业通过“两体系”建设应完成以下成果.（ ABCDE ）A编制两体系实施指南 B、制定“两体系”创建工作实施方案C、风险评价及控制措施汇总表D、危险源辨识清单三、判断题（10×2分）1、事故发生的可能性小,而后果严重,则风险很小.（×）.2、危险源一定会演变成事故隐患.（×）3、企业应对存在安全生产风险的岗位设置告知卡,标明本岗位主要危险危害因素、后果、事故预防及应急措施、报告等内容.（√）4、建立风险管控和隐患排查治理双重预防机制,是由以风险为重点向以事故为重点的转变.（×）5、企业了解自身存在的风险即可,无须将风险点的有关信息及应急处置措施告知相邻企业单位.（×）6、属地监管部门要将企业备案的“一企一册”中的1、2级风险点作为重大风险点进行管控（√）7、5级风险（蓝色风险）：绝对安全.（×）8、3级风险（黄色风险）：中度（显着）危险,无需控制整改,公司、部室（车间上级单位）应引起关注. （×）9、企业通过采取风险控制措施将风险降低到自认为可以,无需验证.（×）10、“两体系”建设属于企业安环部的职责,与企业其他人员无关.（×）安全风险分级管控与隐患排查治理体系培训题库及答案（B卷）一、填空题（每空3分,共36分,不填或填错不得分）1.风险点是指伴随风险的部位、（设施）、场所、（区域）,以及在特定部位、设施、场所、区域实施的伴随风险的（过程）、作业等的总称.2.风险分级是指通过采用科学、合理方法对危险源所伴随的风险进行（定量）或（定性）评价,根据评价结果划分等级,进而实现分级管理.3.危险有害因素分为四类,分别是(人的因素)、（物的因素）、（环境因素）和(管理因素).4.危险源是指可能导致（人身伤害）和（或）健康损害和（或）财产损失的（根源）、状态或行为,或它们的（组合）.二、判断题（每题3分,共30分,在括号中用√或×标出,错误的要予以纠正,未纠正或纠正错误扣2分,判断错误不得分）1.工作危害分析法（JHA）是一种定量的风险分析辨识方法.（×, 定性）2.安全检查表（SCL）的编制依据包括国内外行业、企业事故统计案例,经验教训.（√）3.风险矩阵分析法（LS）和作业条件危险性分析法（LEC）均是半定量的风险评价方法.（√）4.作业条件危险性分析法中的D值越小,说明被评价系统的危险性越大.（×）5.风险控制措施是指为将风险降低至可接受程度,企业针对风险而采取的相应控制方法和手段.（√）6.风险辨识是识别企业整个范围内所有存在的风险的过程.（×,应为并确定其特性的过程）7.风险评价是对危险源导致的风险进行评估、对现有控制措施的充分性加以考虑的过程.（×, 以及对风险是否可接受予以确定的过程）8.风险与危险源之间既有联系又有本质区别.风险是危险源的载体,没有风险就没有危险源.（×）9.风险分级的目的是实现对风险的有效管控.（√）10.风险分级管控的基本原则是：风险越大,管控级别越高；上级负责管控的风险,下级不必管控,但必须落实具体措施.（×）三、单选题（每题3分,共18分,答错或多答不得分,将正确的答案序号填入括号中）1.企业在选择风险控制措施时应考虑：（A）A.可行性、安全性、可靠性B.必要性、实用性、安全性C.安全性、必要性、可靠性D.经济性、安全性、实用性2.（ C ）是风险管控的基础.A.风险分析B.风险评价C.排查风险点D.风险分级3.风险信息包括危险源名称、类型、存在位置、当前状态、伴随风险大小、等级、所需管控措施和（C）等一系列信息的综合.A.基层单位、责任人B.所在单位、责任人C.责任单位、责任人D.各级单位、责任人4.风险分级管控程序四个阶段包括危险源识别、危险源分级、风险控制、（B）.A.效果验证B.效果验证与更新C.效果评价D.效果验证与评价5.（ A ）承担建立和实施安全生产风险管控和隐患排查治理的主体责任.A.企业B.中介机构C.安监部门D.主要负责人6.各企业的风险评价准则具体内容（ D ）A.应统一B.同行业应统一C.由各部门自己确定,无需统一D.与企业实际情况及相关法律法规要求有关四、简答题（第一题6分,第二题10分,共16分）1.工作危害分析法的定义答：工作危害分析法将作业活动分解为若干工作步骤,识别每个工作步骤的潜在危险有害因素,对其进行风险评价和判定风险等级,并针对不同等级风险制定实施有效控制措施的全过程.该方法是一种定性风险分析方法.2.企业选择风险控制措施时应包括哪些措施答：应包括：⑴工程技术措施；⑵管理措施；⑶培训教育措施；⑷个体防护措施；(5)应急处置措施等.安全风险分级管控与隐患排查治理体系培训题库及答案（C卷）一、填空题：（每题2分,共50分）1、建立完善安全生产风险分级管控体系、隐患排查治理体系和安全生产信息化系统,实现（关口前移）、精准监管、（源头治理）、科学预防.2、风险是指生产安全事故或健康损害事件发生的（可能性）和（严重性）的组合.3、危险源是可能导致人身伤害和（或）健康损害和（或）财产损失的（根源、状态或行为）,或它们的组合.4、隐患的分级是根据隐患的整改、治理和排除的难度及其导致事故后果和影响范围为标准而进行的级别划分.可分为（一般隐患）和（重大隐患）.5、生产过程中的危险源辨识宜采用（工作危害分析法（JHA））.即：针对每个作业活动中的每个作业步骤或作业内容,识别出与此步骤或内容有关的（危险源）,建立作业活动清单.6、风险点划分应当遵循“大小适中、便于分类、功能独立、易于管理、范围清晰”的原则,工贸企业风险点划分可按照（原料、产品储存区域）、（生产车间或装置）、（公辅设施）等功能分区进行划分.7、制定风险控制措施时应从（工程技术措施）、（管理措施）、培训教育措施、（个体防护措施）、（应急处置措施）这五类中进行选择.8、企业应建立安全风险公告制度,在醒目位置和重点区域分别设置安全风险公告栏,制作岗位安全风险告知卡,标明（主要安全风险）、（可能引发事故隐患类别）、事故后果、（管控措施）、（应急措施）及报告方式等内容.9、在作业活动划分时,应以（生产工艺、工作流程）的阶段划分为主,也可以采取按（地理区域、作业任务）划分的方法,或几种方法的有机结合.10、危险源辨识时应充分考虑（人的因素）、物的因素、（环境因素）（管理因素）等四方面的不安全因素.二、选择题：（每题2分,共20分）1、工贸企业应按照风险点划分原则,在本单位生产活动区域内对生产经营全过程进行风险点排查,确定包括风险点名称、类型、区域位置、可能发生的事故类型及后果等内容的基本信息,建立（ A ）A风险统计表 B作业活动清单 C危险源统计表 D设备设施清单2、我公司3级风险相对应的管控层级为（ B ）A公司级 B车间级 C班组级 D部门级3、采用安全检查表法（SCL法）进行危险源辨识,一般多是针对（ B ）A作业活动 B设备设施 C环境因素 D管理因素4、对排查出来的风险点进行分级,按照危险程度及可能造成后果的严重性,将风险分为（）级,其中（）级最危险.（ A ）A 5、1 B4、 1 C5、 5 D4、 45、以下哪些风险分析方法不属于工贸企业宜选用的分析方法（ D ）A风险矩阵分析法（LS） B作业条件危险性分析法（LEC）C风险程度分析法（MES） D可操作性分析法（HAZOP）6、在风险程度分析法（MES）中,“每天工作时间内暴露”应赋予的分值是（ C ）A 1B 3C 6D 107、风险管控措施中,以下哪些不属于工程控制措施（ D ）A 消除或减弱危害 B隔离 C移开或改变方向 D减少暴露时间8、应急救援预案演练属于风险管控措施中的哪一类（ C ）A救援控制措施 B管理控制措施 C应急控制措施 D演练控制措施9、以下隐患排查类型组织级别为班组级的是（ A ）A日常隐患排查 B综合性隐患排查 C专业性隐患排查 D节假日隐患排查10、综合性隐患排查应由公司级至少（）组织一次；车间结合岗位责任制排查,至少（）组织一次.（ C ）A 每月、每周B 每月、每日C 每季度、每月 D每季度、每周三、判断题：（每题2分,共10分）1、生产经营单位应当建立安全生产风险管控机制,定期进行安全生产风险排查,对排查出的风险点按照危险性确定风险等级,并采取相应的风险管控措施,对风险点进行公告警示. （√）2、将识别的危险源按照风险矩阵法或作业条件危险性评价法进行分级,将所有危险源按风险度分为I、II、III级. （×）3、风险分级管控基本原则是：风险越大,管控级别越高；上级负责管控的风险,下级可以不负责管控. （×）4、应急控制通过应急演练、培训等措施,确认和提高相关人员的应急能力,以防止和减少安全不良后果. （√）5、风险分级是指重大风险、较大风险、一般风险和低风险,分别用“红、橙、黄、绿”标识. （×）四、简答题：（每题10分,共20分）1、请简述你在本次双体系建设过程中的职责双体系建设实施方案中的“附件一关于成立风险分级管控和隐患排查治理双重预防体系建设小组的通知”,根据其中的职责进行填写.2、安全生产风险分级管控体系建设的工作程序和内容主要分哪几步答：风险点划分、风险点排查、危险源辨识、风险评价、确定重大风险、风险点级别确定、风险控制措施的制定与实施、风险分级管控、风险告知安全风险分级管控与隐患排查治理体系培训考试卷（D卷）姓名车间岗位日期成绩一、填空题（每题4分,共40分）1、企业组织安全生产管理人员、工程技术人员、岗位员工以及其他相关人员依据国家法律法规、标准和企业管理制度,采取一定的方式和方法,对照的有效落实情况,对本单位的事故隐患进行排查的工作过程.2、企业应建立隐患排查治理组织领导机构,明确责任部门和责任人,对本单位事故隐患排查治理工作全面负责,其他负责人对所分管部门和单位的隐患排查治理工作负责,各职能部门和单位负责组织职责范围内的隐患排查治理工作.3、根据隐患整改、治理和排除的难度及其可能导致事故后果和影响范围,分为事故隐患和事故隐患.4、事故隐患分为类隐患和类隐患.5、隐患治理是指或隐患的活动或过程.6、隐患治理应符合DB37/T 2883—、、和预案“五到位”.7、企业应根据自身组织架构确定不同的排查组织级别,一般包括公司级、、、班组级.8、企业应根据安全生产法律法规要求和企业风险管控情况,结合企业生产工艺特点开展隐患排查工作,隐患排查应做到全面覆盖、责任到人, 和相结合,定期排查与日常管理相结合,专业排查与综合排查相结合.9、隐患排查应根据季节性特点及本单位的生产实际,至少每季度开展一次；10、隐患排查应在重大活动及节假日前进行一次隐患排查；二、选择题（每题2分,共20分）1、基础管理类隐患排查清单应依据基础管理相关内容要求,逐项编制排查清单.至少应包括（）a.基础管理名称；b.排查内容；c排查标准；d排查方法;2、生产现场类隐患排查清单应以各类风险点为基本单元,依据风险分级管控体系中各风险点的控制措施和标准、规程要求,编制该排查单元的排查清单.至少应包括（）a.与风险点对应的设备设施和作业名称；b.排查内容；c.排查标准；d.排查方法；3、隐患治理应做到方法科学、（）按时完成.能立即整改的隐患必须立即整改,无法立即整改的隐患,治理前要研究制定防范措施,落实监控责任,防止隐患发展为事故.a.资金到位b.治理及时有效c.制定整改方案d.责任到人4、企业应根据评估报告书制定重大隐患治理方案报告给当地县（市、区）人民政府负有安全生产监督管理职责的部门.治理方案应当包括下列主要内容（）a.治理的目标和任务;b.采取的方法和措施;c.经费和物资的落实;防止整改期间发生事故的安全措施；d.治理的时限和要求;负责治理的机构和人员;5、重大事故隐患的判定,要把握“危害较大”和“整改难度较大”两个要点.企业的现场有（）情形之一的,可按重大事故隐患进行治理.a.仓库与员工宿舍在同一座建筑物内；b.物料管道跑、冒、滴、漏；c.爆炸和火灾危险区域内的电气设备（电机、灯具、开关等）不防爆；d.在生产区域饮水；6、以各类风险点为基本单元,依据风险分级管控体系中各风险点的控制措施和标准、规程要求,编制该排查单元的排查清单.至少应包括与风险点对应的（）a.设备设施b.排查内容c.排查标准d.作业活动7、排查内容应包括（）应急处置等全部控制措施.a.工程技术b.管理措施c.培训教育d.个体防护8、事故隐患治理流程包括：通报隐患信息、（）验收等环节.a..整改材料购进计划;b.下发隐患整改通知;c.实施隐患治理;d治理情况反馈;9、对于一般事故隐患,根据隐患治理的分级,由企业各级（）负责人或者有关人员负责组织整改,整改情况要安排专人进行确认.a.公司b.车间c.部门d.班组10、事故隐患排查方式主要包括日常隐患排查（）专家诊断性检查和企业各级负责人履职检查等.a.综合性隐患排查b.专业性隐患排查、节假日c. 政府部门执法检查d.季节性隐患排查三、简答题（共40分）1、GB/T2883中的事故隐患定义是什么（10分）答：2、事故隐患的排查方式包括哪些内容（10分）答：3、简述事故隐患治理要求.（10分）答：4、根据生产安全风险分级管控,简述你所在岗位的事故隐患排查治理内容.（10分）答：安全风险分级管控与隐患排查治理体系培训考试卷答案（D卷）一、填空题1、风险分级管控措施2、企业主要负责人3、一般事故和重大事故4、基础管理类隐患和生产现场类隐患.5、消除；控制；6、责任、资金、时限7、部门级、车间级8、日常巡查和专业排查9、季节性10、节假日二、选择题1、abcd2、abcd3、abd4、abcd5、ac6、abcd7、abcd8、bcd 9、abcd 10、abd三、简答题1、企业违反安全生产、职业卫生法律、法规、规章、标准、规程和管理制度的规定,或者因其他因素在生产经营活动中存在可能导致事故发生或导致事故后果扩大的物的危险状态、人的不安全行为和管理上的缺陷.2、排查方式主要包括日常隐患排查、综合性隐患排查、专业性隐患排查、节假日及季节性隐患排查、专家诊断性检查和企业各级负责人履职检查等.其中专业性隐患排查包括工艺、设备、电气、自控仪表、建筑结构、消防、公用及辅助工程等.企业应根据自身组织架构确定不同的排查组织级别,一般包括公司级、部门级、车间级、班组级.3、隐患治理实行分级治理、分类实施的原则.主要包括岗位纠正、班组治理、车间治理、部门治理、公司治理等.隐患治理应做到方法科学、资金到位、治理及时有效、责任到人、按时完成.并保证整改措施、责任、资金、时限和预案“五到位”.能立即整改的隐患必须立即整改,无法立即整改的隐患,治理前要研究制定防范措施,落实监控责任,防止隐患发展为事故.。

网络安全风险评估与应对考试（答案见尾页）一、选择题1. 网络安全风险评估的主要步骤包括哪些？A. 识别资产和威胁B. 评估资产价值和潜在损失C. 分析安全事件可能性D. 制定风险处理策略2. 在进行网络安全风险评估时，以下哪个因素不是需要考虑的？A. 技术因素B. 组织因素C. 法律法规因素D. 人为错误因素3. 以下哪种网络安全威胁属于恶意软件？A. 病毒B. 蠕虫C. 木马D. 驱动程序4. 网络安全风险评估报告通常包含哪些内容？A. 风险等级B. 风险趋势C. 建议的改进措施D. 安全控制列表5. 在网络安全应急响应中，以下哪个环节是“恢复受影响系统和数据”？A. 初始响应B. 恢复阶段C. 响应后期D. 整改阶段6. 以下哪个网络安全防御措施可以减少对重要数据的访问？A. 入侵检测系统B. 防火墙C. 强制访问控制D. 数据加密7. 网络安全风险评估的重要性体现在哪些方面？A. 保护公司声誉B. 遵守法律法规要求C. 减少经济损失D. 提高员工安全意识8. 在网络安全风险评估过程中，如何确定资产的价值？A. 根据资产的成本来估算B. 根据资产的重要性和影响力来估算C. 根据资产的用途来估算D. 根据资产的历史价值来估算9. 以下哪种网络安全攻击手段是利用网络协议的漏洞？A. SQL注入B. 跨站脚本攻击（XSS）C. 中间人攻击（MITM）D. DNS劫持10. 网络安全风险评估的目的是什么？A. 识别网络系统中的潜在威胁B. 评估网络系统的安全性C. 预防和减少网络安全事件的影响D. 提高网络系统的可用性11. 在进行网络安全风险评估时，以下哪个因素不是需要考虑的？A. 受影响的系统类型B. 威胁的可能性和严重性C. 安全措施的可行性D. 网络系统的正常运行时间12. 风险评估矩阵通常用于哪种情况？A. 量化风险级别B. 制定安全策略C. 分析漏洞和威胁D. 选择合适的安全控制措施13. 以下哪个选项不是网络安全风险评估的三个阶段？A. 风险识别B. 风险评估C. 风险监控D. 风险处理14. 哪种类型的攻击通常被称为“拒绝服务攻击”？A. SQL注入B. 分布式拒绝服务（DDoS）C. 跨站脚本（XSS）D. 中间人攻击15. 在网络安全风险评估中，以下哪个因素通常被低估？A. 潜在威胁的数量B. 潜在漏洞的严重性C. 安全措施的效力D. 安全意识的水平16. 以下哪个选项不是风险处理策略？A. 风险接受B. 风险转移C. 风险避免D. 风险减缓17. 网络安全风险评估应该多久进行一次？A. 每月B. 每季度C. 每半年D. 每年18. 以下哪个因素不是导致网络安全事件的因素？A. 人为错误B. 不安全的配置C. 恶意软件D. 自然灾害19. 在网络安全风险评估中，以下哪个步骤是最后一步？A. 风险评估报告编写B. 风险处理计划制定C. 风险处理实施D. 风险监控和改进20. 网络安全风险评估的主要步骤包括哪些？A. 识别资产和威胁B. 评估资产价值和潜在损失C. 分析安全漏洞D. 制定风险处理策略21. 在进行网络安全风险评估时，以下哪个因素不是需要考虑的？A. 组织的资源和能力B. 法律法规的要求C. 风险处理策略的复杂性D. 威胁情报的时效性22. 以下哪种方法不是网络安全风险评估的方法？A. 定量风险评估B. 定性风险评估C. 基于角色的风险评估D. 基于场景的风险评估23. 以下哪个选项是网络安全风险评估的三个层次？A. 基础设施层B. 网络层C. 应用层D. 数据层24. 在网络安全风险评估中，以下哪个因素可能导致严重的后果？A. 未识别的威胁B. 低风险的漏洞C. 未修补的软件D. 不充分的备份策略25. 在网络安全风险评估中，以下哪个选项是风险矩阵的一部分？A. 资产价值B. 风险等级C. 漏洞优先级D. 风险处理计划26. 以下哪个因素可能增加网络安全风险？A. 新兴技术的应用B. 网络安全意识的提高C. 安全措施的加强D. 网络安全设备的更新27. 在网络安全风险评估中，以下哪个选项是风险分析的过程？A. 识别资产和威胁B. 评估资产价值和潜在损失C. 分析安全漏洞D. 制定风险处理策略28. 以下哪个选项是网络安全风险评估的目的？A. 识别潜在的安全威胁B. 评估风险并制定相应的风险处理策略C. 预防和减少网络安全事件的发生D. 提高组织的网络安全水平29. 网络安全风险评估的主要步骤包括哪些？A. 识别资产和威胁B. 评估资产价值和脆弱性C. 分析安全事件可能性D. 制定风险处理策略30. 在进行网络安全风险评估时，以下哪个因素不是需要考虑的？A. 法律法规要求B. 组织的安全政策C. 风险处理成本D. 安全事件的后果31. 以下哪种方法不是网络安全风险评估的常用方法？A. 定量风险评估B. 定性风险评估C. 基于角色的风险评估D. 基于场景的风险评估32. 以下哪个选项是网络安全风险评估的四个阶段？A. 风险识别B. 风险评估C. 风险监控D. 风险处理33. 在网络安全风险评估中，以下哪个因素通常被低估？A. 资产价值B. 脆弱性C. 安全事件可能性D. 风险处理成本34. 以下哪个选项不是网络安全风险处理策略？A. 风险避免B. 风险转移C. 风险接受D. 风险减缓35. 在网络安全风险评估中，以下哪个选项是风险分析的常见工具？A. 概率论B. 因果关系图C. 支持向量机D. 贝叶斯定理36. 以下哪个因素不是影响网络安全风险评估结果的重要因素？A. 技术因素B. 组织因素C. 外部环境因素D. 人为因素37. 在网络安全风险评估中，以下哪个选项是风险等级划分的标准？A. 资产价值B. 脆弱性C. 风险处理成本D. 风险事件可能性38. 以下哪个选项不是网络安全风险评估的目的？A. 提高组织的安全意识B. 降低安全事件发生的概率C. 减少安全事件造成的损失D. 提供对潜在安全威胁的预警39. 网络安全风险评估的主要步骤包括哪些？A. 识别资产和威胁B. 评估资产价值和潜在损失C. 分析安全事件可能性D. 制定并实施相应的安全措施40. 在进行网络安全风险评估时，以下哪个因素不是需要考虑的？A. 组织的规模和业务类型B. 风险管理计划C. 法律法规和行业标准D. 历史攻击数据41. 以下哪种方法不能有效减少网络攻击的可能性？A. 定期更新操作系统和软件补丁B. 使用强密码策略C. 配置防火墙和入侵检测系统D. 关闭不需要的服务和端口42. 以下哪个选项是网络安全风险评估中常用的概率统计方法？A. 概率分布B. 蒙特卡洛模拟C. 逻辑回归分析D. 数据挖掘技术43. 在网络安全风险评估报告中的风险等级是如何划分的？A. 低风险、中等风险和高风险B. 可接受的风险、修复后风险和不缓解风险C. 严重程度、发生概率和影响范围D. A和B44. 以下哪个因素可能增加网络安全风险？A. 采用新的网络技术B. 增加员工对网络安全的意识C. 定期进行网络安全培训和演练D. 部署防病毒软件并保持更新45. 在制定网络安全应对策略时，以下哪个因素不是需要考虑的？A. 潜在威胁的技术特点B. 组织的资源和能力C. 法律法规和行业标准的要求D. 安全事件的后果46. 以下哪种网络安全威胁属于被动攻击？A. 病毒和蠕虫B. 拒绝服务攻击（DoS/DDoS）C. 伪造和篡改D. 社交工程47. 以下哪个网络安全防御措施可以降低网络攻击的成功率？A. 实施访问控制列表（ACL）B. 应用层防火墙C. 入侵检测和防御系统（IDS/IPS）D. 定期备份数据48. 在网络安全风险评估过程中，以下哪个步骤是用于评估风险的可能性和影响？A. 识别资产和威胁B. 评估资产价值和潜在损失C. 分析安全事件可能性D. 制定并实施相应的安全措施二、问答题1. 什么是网络安全风险评估？请简要介绍其目的和过程。

危险源辨识和风险评估培训考试试卷姓名：单位：分数：一、选择题（本题为不定项选择题，漏选得 1 分，错选不得分，每题 4 分，共 60 分）1、管理对象是管理对象单元的一种划分，是对危险源的总结和提炼，是通过管住管理对象实现对（）的控制或消除。

A、隐患 B 、危险源 C 、管理对象 D 、风险2、下列属于人员不安全因素的是（）A、操作不安全性B、现场指挥的不安全性C、失职(不认真履行本职工作任务)D、决策失误E、身体状况不佳的情况下工作3、下列属于机器的不安全因素的是（）A、没有按规定配备必需的设备B、设备选型不符合要求C、设备安装不符合规定D、设备维护保养不到位E、设备警示标识不齐全、清晰、正确，设置位置不合理4、按危险源隶属的系统分类可分为（）A、人B、机C、环D、管5、危险源辨识的范围涉及所有的系统，包括（）A、生产系统 B 、非生产系统 C 、所有工作任务 D 、生产工艺 E 、紧急与意外情况6、危险源辨识的依据包括（）。

A、事故发生机理 B 、相关的法律、法规、规程、条例 C 、相关的技术标准 D 、企业内部信息7、（）是企业本质安全管理的前提和基础，只有找到危险源才能确定管理对象，进而建立本质安全体系、管理标准体系，并制定相应的管理措施、政策和程序。

A、危险源 B 、危险源辨识 C 、风险 D 、风险预控8、按照风险来源分类可分为：（）。

A、来自人员的风险 B 、来自机( 物) 的风险 C 、来自环境的风险 D 、来自管理的风险 E 、其他9、制定标准和措施的目的（）A、控制或消除风险，遏制事故发生C、管理者按照措施监督落实D B、指导员工按照标准规范作业、《风险管理手册》中要求的10、风险矩阵法是根据事件或事故发生的可能性及其可能造成的后果的乘积来衡量风险的大小，若风险值为16，属于（）。

A、特别重大风险 B 、重大风险 C 、中等风险 D 、一般风险 E 、低风险11、以下不属于人员方面危险源的是（）A、违章操作 B 、违章指挥 C 、失职 D 、工作地点照明不足12、根据风险等级的划分及实际需要，可将风险预警等级设置为E 、酒后工作5级，其中中警信号灯的颜色为（）A B C D E13、管理标准与管理措施的制定包括（）A、提炼管理对象 B 、制定管理标准 C 、确定责任人 / 管理人员 / 监管部门 / 监管人员 D 、制定管理措施14、机械方面的危险源主要包括：（）A、没有按规定配备必需的机器、设备、装置、工具等B、机器、设备、装置、工具的选型不符合实际需求C、机器、设备、装置、工具的安装不符合规定或实际要求D、机器、设备、装置维护( 修) 不到位E、机器、设备空间不满足作业条件15、危险源辨识前准备工作包括（）A、成立风险管理小组 B 、对风险管理小组进行培训 C 、收集危险源辨识依据 D 、危险源辨识工作二、判断题（本题共每题2分，共 10分）1、危险源可以导致或诱发事故的发生。

SA8000基础知识考试试卷部门: 姓名: 成绩:一、单选题（共25分，每题2.5分，共10道题）1、下列属于人员不安全因素的就是 ( A )A、操作不安全性B、现场指挥的不安全性C、失职 ( 不认真履行本职工作任务) D 、决策失误2、目前本公司主要使用的危险源风险等级的划分的方法是（）A、风险矩阵法B、LEC法C、安全检查表法D、事故树分析法3、以下哪一项是属于第一类危险源（ B ）A、违规操作B、机械能C、违章指挥D、不安全的行为4、风险矩阵法就是根据事件或事故发生的可能性及其可能造成的后果的乘积来衡量风险的大小, 若风险值为16, 属于 ( E ) 。

A、极风险B、高度风险C、显著风险D、一般风险E、稍有风险5、以下不属于人员方面危险源的就是 ( D )A、违章操作B、违章指挥C、失职D、工作地点照明不足E、酒后工作6、危险源辨识与风险评价应覆盖 ( D )A、公司的常规和非常规的活动B、公司所有进入作业场所人员的活动C、公司作业场所内的所有设施D、所有上述答案7、可能造成人员伤亡或疾病、财产损失、工作环境破坏的根源或状态的解释 (B)A . 风险 B. 危险源 C . 隐患 D. 不安全行为8、事故隐患是指人的不安全行为、物的不安全状态、管理上的缺陷，它是引发事故发生的（ A ）A.直接原因B.间接原因C.次要原因D．其他原因9、生产经营单位应当向从业人员如实告知作业场所和工作岗位存在的及事故应急措施。

( A )A、危险因素B、事故隐患C、设备缺陷D、重大危险源10、危险源辨识是为了明确所有可能产生或诱发事故的不安全因素了对危险源进行 ( B )A.事故后辨识B.预先控制即采取预防措施C.了解D.消除二、多选题（共25分，每题5分，共5道题）1、危险源辨识前准备工作包括( ABC )源A、成立风险管理小组B、对风险管理小组进行培训C、收集危险源辨识依据D、危险源辨识工作2、按照风险来源分类可分为:( ABCD )。

姓名：单位：分数：一、选择题（本题为不定项选择题，漏选得1分，错选不得分，每题4分，共60分）1、管理对象是管理对象单元的一种划分，是对危险源的总结和提炼，是通过管住管理对象实现对（）的控制或消除。

A、隐患B、危险源C、管理对象D、风险2、下列属于人员不安全因素的是（）A、操作不安全性B、现场指挥的不安全性C、失职(不认真履行本职工作任务)D、决策失误E、身体状况不佳的情况下工作3、下列属于机器的不安全因素的是（）A、没有按规定配备必需的设备B、设备选型不符合要求C、设备安装不符合规定D、设备维护保养不到位E、设备警示标识不齐全、清晰、正确，设置位置不合理4、按危险源隶属的系统分类可分为（）A、人B、机C、环D、管5、危险源辨识的范围涉及所有的系统，包括（）A、生产系统B、非生产系统C、所有工作任务D、生产工艺E、紧急与意外情况6、危险源辨识的依据包括（）。

A、事故发生机理B、相关的法律、法规、规程、条例C、相关的技术标准D、企业内部信息7、（）是企业本质安全管理的前提和基础，只有找到危险源才能确定管理对象，进而建立本质安全体系、管理标准体系，并制定相应的管理措施、政策和程序。

A、危险源B、危险源辨识C、风险D、风险预控8、按照风险来源分类可分为：（）。

A、来自人员的风险B、来自机(物)的风险C、来自环境的风险D、来自管理的风险E、其他9、制定标准和措施的目的（）A、控制或消除风险，遏制事故发生B、指导员工按照标准规范作业C、管理者按照措施监督落实D、《风险管理手册》中要求的10、风险矩阵法是根据事件或事故发生的可能性及其可能造成的后果的乘积来衡量风险的大小，若风险值为16，属于（）。

A、特别重大风险B、重大风险C、中等风险D、一般风险E、低风险11、以下不属于人员方面危险源的是（）A、违章操作B、违章指挥C、失职D、工作地点照明不足E、酒后工作12、根据风险等级的划分及实际需要，可将风险预警等级设置为5级，其中中警信号灯的颜色为（）A、红色B、黄色C、橙色D、绿色E、蓝色13、管理标准与管理措施的制定包括（）A、提炼管理对象B、制定管理标准C、确定责任人/管理人员/监管部门/监管人员D、制定管理措施14、机械方面的危险源主要包括：（）A、没有按规定配备必需的机器、设备、装置、工具等C、机器、设备、装置、工具的安装不符合规定或实际要求D、机器、设备、装置维护(修)不到位E、机器、设备空间不满足作业条件15、危险源辨识前准备工作包括（）A、成立风险管理小组B、对风险管理小组进行培训C、收集危险源辨识依据D、危险源辨识工作二、判断题（本题共每题2分，共10分）1、危险源可以导致或诱发事故的发生。

风险辨识、评估、公示及铁建公司安全管理制度考试题姓名：岗位：项目：一、单项选择题（每题2分，共40分）1.“可能造成人员伤亡或疾病、财产损失、工作环境破坏的根源或状态”是以下哪个名词的解释（）A 危险源B 风险C 隐患D 不安全行为2．LEC风险评价法中E代表的是（）A 事故发生的可能性B 人体暴露在危险环境中的频繁程度C 发生事故可能造成的后果D 危险性3.在LECD风险评价法中，E的取值范围是（）A 0-5B 0-10C 0-20D 0-1004.下列不属于第一类危险源的是（）A 塔吊B 挖掘机C 电缆表皮破损D 钢筋切断机5.组织机构不合理属于下列哪类风险（）A 人B 机C 环D 管6. 下列风险评价等级错误的是（）A I级≥320B Ⅱ级160~320C Ⅲ级70~160D Ⅳ级30~707.“(暴露的危险源)导致损失、伤害或其它不利影响的可能性和后果的结合”是以下哪个名词的解释( )A 风险B 隐患C 不安全行为D 危险源8.风险按大小分类可分为:重大风险;较大风险;( )风险;低风险。

A 普通B 一般C 平常D 较低9.事故隐患是指物的不安全状态、人的不安全行为、( )、管理缺陷A 环境因素B 风险因素C 环境状态D 制度因素10.下列哪项不属于风险管理中“事前预控”过程内容( )A 危险源辨识B 风险分级C 事故调查D 风险预控11.下面哪一种风险属于第二类风险?( )A 有毒物质B 压力容器C 高速路上浓雾茫茫D 电箱12. 公示内容主要包括( )、风险类别、风险等级、管控措施和应急措施等。

A 危险源B 风险级别C 风险定量 D风险点13.危险源定义:可能导致人身伤害和健康损害的( )A 根源B 状态C 行为D 根源、状态或行为，或其组合14.以下不属于安全风险辨识主要方法的是( )A 工作任务分析法B 故障模式与影响分析C 安全检查表分析法D 风险矩阵法15.安全管理的核心是风险管理，( )是风险分级管控的基础A 员工不安全行为管理B 风险管理C 生产系统安全要素管理D 危险源辨识16.根据财资136号文，下列说法正确的是A 铁路工程、城市轨道交通工程3.5%B 房屋建筑、机电安装、通信工程2.5%C 市政公用、公路工程 1.5%D 水利水电、电力工程 2%17、危大工程专项施工方案实施前，( )应当向施工现场管理人员进行方案交底。

内蒙古棋盘井矿业有限责任公司荣兴西来峰煤矿安全风险辨识评估培训试题姓名：工种得分一、判断题：（每题6分，共计30分）1、每年底矿长组织开展年度风险辨识，重点对容易导致工伤事故的危险因素进行安全风险辨识评估。

（×）2、安全风险辨识要及时编制年度评估报告，建立可能引发重特大事故的重大安全风险清单，并制定相应的管控措施。

（√）3、矿井坑口或存在重大安全风险区域的显著位置，要公告存在的重大安全风险、管控责任人和措施。

（√）4、每年至少组织参与安全风险辨识评估工作的人员学习1次安全风险辨识评估技术。

（√）5、分管负责人半月组织对分管范围内月度安全风险管控重点实施情况进行一次检查分析，检查管控措施落实情况，改进完善管控措施。

（√）二、单选题（每题5分、共计50分）1、安全风险分级管控工作责任体系，由（A）全面负责，分管负责人负责分管范围内的安全风险分级管控工作。

A、矿长B、总经理C、副矿长2、新水平、新采（盘）区、新工作面设计前，开展1次专项辨识，专项辨识由（D）组织有关业务科室进行。

A、矿长B、副矿长C、总工程师3、新水平设计前组织开展安全风险专项辨识评估，其结果用于完善设计方案，指导生产工艺选择、生产系统布置、设备选型、（B）确定等。

A、生产科B、劳动组织C、劳动者4、启封火区开展安全风险专项辨识，其结果作为编制（C）依据。

A、操作规程B、作业规程C、安全技术措施5、本矿发生死亡事故或涉险事故、出现重大事故隐患或所在省份发生重特大事故后，开展1次针对性的专项辨识，专项辨识由（B）组织分管负责人和业务科室进行。

A、矿长B、副矿长C、总工程师6、重大安全风险管控措施由（B）组织实施，有具体工作方案，人员、技术、资金有保障。

A、总经理B、矿长C、副矿长7、矿长（B）组织对重大安全风险管控措施落实情况和管控效果进行一次检查分析，针对管控过程中出现的问题调整完善管控措施，并结合年度和专项安全风险辨识评估结果，布置月度安全风险管控重点，明确责任分工。

信息系统安全评测与风险评估试题## 分数GB/T19716-2005GB/T20269 信息系统安全管理要求GB/T20270 网络基础安全技术要求GB/T20271 信息系统通用安全技术要求资产赋值风险赋值一：填空题〔36分〕1.信息安全评测实际上蕴含着丰富的思想内涵,严肃的〔〕,严谨的〔〕,严格的〔〕以与极具魅力的评测技巧,是一个科学和艺术圆满结合的领域.2.在评测一个信息系统的数据安全时,国家标准要求从数据完整性,数据〔##性〕和数据的〔备份〕与恢复三个环节来考虑.3.资产分类的方法较多,大体归纳为2种,一种是"自然形态",即按照系统组成成分和服务内容来分类,如分成"数据,软件〔硬件〕,服务〔人员〕,其他"六大类,还可以按照"信息形态"将资产分为"信息,〔信息载体〕和〔信息环境〕三大类.4.资产识别包括资产分类和〔资产赋值〕两个环节.5.威胁的识别可以分为重点识别和〔全面识别〕6．脆弱性识别分为脆弱性发现〔脆弱性分类〕脆弱性验证和〔脆弱性赋值〕7.风险的三个要素是资产〔脆弱性〕和〔威胁〕8.应急响应计划应包含准则,〔〕预防和预警机制〔〕〔〕和附件6个基本要素.9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、##原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统与由其处理、传输和存储的信息的##性、完整性和可用性等安全属性进行评价的过程,它要评估资产面临的威胁以与威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉与的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.二：问答题：〔64分〕1.什么是安全域？目前中国划分安全域的方法大致有哪些？〔10分〕1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起.目前,中国划分安全域的方法大致归纳有资产价值相似性安全域,业务应用相似性安全域,安全需求相似性安全域和安全威胁相似性安全域.2.数据安全评测是主要应用哪三种方法进行评测？你如何理解？〔10分〕国家标准中要求信息安全评测工程师使用访谈、检查、测试三种方法进行测评访谈：指测评人员通过与信息系统有关人员进行交流,讨论等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法检查：指测评人员通过对测评对对象进行观察,检查和分析等活动,获取证据证明信息系统安全等级保护措施是否有效的一种方法测试：指测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动,然后查看,分析输出结果,获取证据以证明信息系统安全等级保护措施是否有效的一种访求3.国家标准中把主机评测分为哪八个环节？你如何理解？〔10分〕身份鉴别自主访问控制强制访问控制安全审计剩于信息保护入侵防范恶意代码防范4.什么是资产和资产价值？什么是威胁和威胁识别？什么是脆弱性？〔14分〕资产是对组织具有价值的信息或资源,是安全策略保护的对象资产价值是资产的重要程度或敏感程度的表征.资产价值是资产的属性,也是进行资产识别的租用内容.威胁指可能导致对系统或组织危害的事故潜在的起因.脆弱性指可能被威胁利用的资产或若干资产的薄弱环节.脆弱性识别,指分析和度量可能被威胁利用的资产薄弱环节的过5.什么是风险评估？如何进行风险计算？〔20分〕2.风险评估指,依照国家有关标准对信息系统与由其处理,传输和存储的信息的##性,完整性和可用性等安全属性进行分析和评价的过程.它要分析资产面临的威胁与威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉与的资产价值来判断安全事件一但发生对组织造成的影响.风险计算的形式化表示为：风险值=R<A,T,V>=R<L<T,V>,F<Ia,Va>>R表示风险计算函数T表示威胁V表示脆弱性计算事件发生的可能性=L〔威胁出现的频率,脆弱性〕=L <T,V> 安全事件造成的损失=F <资产价值,脆弱性严重程度>=F<Ia,Va> 风评考试1.信息安全：是指信息网络的硬件、软件与其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常运行,信息服务不中断.信息安全的属性,##性、完整性、可用性、〔CIA〕可控性、不可否认性2.信息安全管理：是其于风险的信息安全管理,即始终以风险为主线进行信息安全的管理3.BS7799已成为国际公认的信息安全管理权威标准.4.在AS/NZS 4360:1999中风险管理分为建立环境、风险识别、风险分析、风险评估、风险处置5个基本步聚和风险沟通和咨询、监控和评审2个附加环节5.信息安全管理体系〔ISMS〕采取了一种叫做PDCA的管理模式,请简述其内容答：PDCA是一种循环过程,所以我们通常把它叫做PDCA循环,并把这个循环图叫做"戴明环"6.简述确定ISMS的范围和边界时需要考虑的方面？答：根据公司所从事的业务、性质、办公地点、各种信息资产、拥有技术的特点确定信息安全管理体系的范围7.列举ISMS的11个控制领域？答：信息方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统安全要求、信息安全事件管理、业务连续性管理、符合性8、信息安全管理体系文件的层次？答：手册、程序文件、作业指导书、记录9、建立信息安全方针应考虑哪些方面？答：根据业务、组织、位置、资产和技术等方面的特性和信息安全在公司业务中的重要程度确定信息安全管理体系的方针10、风险管理包括哪些过程？答：资产识别与做人、威胁评估、脆弱性评估、对现有安全控制的识别、风险评价、风险处理、残余风险、风险控制11、风险处置措施有哪些？答：规避风险,采取有效的控制措施避免风险的发生接受风险,在一定程度上有意识、有目的地接受风险风险转移,转移相关业务风险到其他方面12、信息安全具有哪几种性质？答：脆弱性、连续性、可靠性、威胁性13、资产有哪些类别？答：物理资产、人员资产、软件资产、文件资产、服务资产、形象资产14、实施风险评估需要哪些步骤？答：资产识别与估价、威胁评估、脆弱性评估、对现有安全控制的识别、风险评价、风险处理、残余风险、风险控制15、资产赋值应包含哪几个方面的赋值？答：##性、完整性、可用性16、资产各个等级分值如何划分？资产评价准则是什么？答：等级标识描述5 很高非常重要,其属性破坏后可能对组织造成非常严重的损失4 高重要,其安全属性破坏后可能对组织造成比较严重的损失3 高比较重要,其安全属性破坏后可能对组织造成中等程度的损失2 低不太重要,其安全属性破坏后可能对组织造成较低的损失1 很低不重要,其安全属性破坏后对组织造成很小的损失,甚至忽略不计17、脆弱性的有哪些类型？识别脆弱性时主要应关注哪些对象？并列举答：技术脆弱性、管理脆弱性物理环境从机房场地、机房防火、机房配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户##、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信鉴别机制、密码保护等方面进行识别技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别18、出几个关于资产脆弱性例子答：设备维护措施不完善、物理访问控制不健全、口令不当、权限分配不合理19、资产值和风险值的计算函数各是什么？其中各个字母的含义是什么？资产值计算方式资产值为 A ##性为c<Confidentiality> 完整性为i<Integrity> 可用性为a<Possibility>A=c+i+a风险值计算威胁频率=T 脆弱性严重度=V 则安全事件发生可能性F=根号<T*V>安全事件的损失L=根号<A*V>风险值R=L*F20、风险管理分为建立环境、风险识别、风险分析、风险评价、风险处置5个基本步骤和风险沟通和咨询、监控和评审2个附加环节21、GB/T19715.1——《信息技术安全管理指南第一部分：信息技术安全概念和模型》〔ISO/IEC 13335-1:1996〕GB/T19715.2——《信息技术安全管理指南第二部分：管理和规划信息技术安全》〔ISO/IEC 13335-1:1996〕22、GB/T19716-2005 《信息安全管理实用规则》〔ISO/IEC17799:2000〕23、BS7799信息安全管理标准是一在国际上得到广泛重视的标准。

（完整版）危险源辨识和风险评估培训考试试卷（答案）姓名：单位：分数：一、选择题（本题为不定项选择题，漏选得1分，错选不得分，每题4分，共60分）1、管理对象是管理对象单元的一种划分，是对危险源的总结和提炼，是通过管住管理对象实现对（）的控制或消除。

A、隐患B、危险源C、管理对象D、风险2、下列属于人员不安全因素的是（）A、操作不安全性B、现场指挥的不安全性C、失职(不认真履行本职工作任务)D、决策失误E、身体状况不佳的情况下工作3、下列属于机器的不安全因素的是（）A、没有按规定配备必需的设备B、设备选型不符合要求C、设备安装不符合规定D、设备维护保养不到位E、设备警示标识不齐全、清晰、正确，设置位置不合理4、按危险源隶属的系统分类可分为（）A、人B、机C、环D、管5、危险源辨识的范围涉及所有的系统，包括（）A、生产系统B、非生产系统C、所有工作任务D、生产工艺E、紧急与意外情况6、危险源辨识的依据包括（）。

A、事故发生机理B、相关的法律、法规、规程、条例C、相关的技术标准D、企业内部信息7、（）是企业本质安全管理的前提和基础，只有找到危险源才能确定管理对象，进而建立本质安全体系、管理标准体系，并制定相应的管理措施、政策和程序。

A、危险源B、危险源辨识C、风险D、风险预控8、按照风险来源分类可分为：（）。

A、来自人员的风险B、来自机(物)的风险C、来自环境的风险D、来自管理的风险E、其他9、制定标准和措施的目的（）A、控制或消除风险，遏制事故发生B、指导员工按照标准规范作业C、管理者按照措施监督落实D、《风险管理手册》中要求的10、风险矩阵法是根据事件或事故发生的可能性及其可能造成的后果的乘积来衡量风险的大小，若风险值为16，属于（）。

A、特别重大风险B、重大风险C、中等风险D、一般风险E、低风险11、以下不属于人员方面危险源的是（）A、违章操作B、违章指挥C、失职D、工作地点照明不足E、酒后工作12、根据风险等级的划分及实际需要，可将风险预警等级设置为5级，其中中警信号灯的颜色为（）A、红色B、黄色C、橙色D、绿色E、蓝色13、管理标准与管理措施的制定包括（）A、提炼管理对象B、制定管理标准C、确定责任人/管理人员/监管部门/监管人员D、制定管理措施14、机械方面的危险源主要包括：（）A、没有按规定配备必需的机器、设备、装置、工具等C、机器、设备、装置、工具的安装不符合规定或实际要求D、机器、设备、装置维护(修)不到位E、机器、设备空间不满足作业条件15、危险源辨识前准备工作包括（）A、成立风险管理小组B、对风险管理小组进行培训C、收集危险源辨识依据D、危险源辨识工作二、判断题（本题共每题2分，共10分）1、危险源可以导致或诱发事故的发生。

安全培训考试题及参考答案（考试直接用）单位:________ 姓名:________ 时间:________一、单选题(30题)1.通过定量风险评价确定的重大危险源的个人和社会风险值,不得个人和社会可容许风险限值标准;（）。

A.低于B.超过C.等于D.小于等于2.《安全生产法》规定，对生产经营单位有关人员的安全生产违法行为社设定的法律责任分别处以（）的行政处罚，构成犯罪的依法追究刑事责任。

A.降职、撤职、罚款、拘留B.降职、罚款、拘役、拘留C.降职、撤职、拘役、拘留3.人员密集场所装修应当尽量使用（）。

A.不燃材料和难燃材料B.可燃材料C.易燃材料D.易爆材料4.设置消防控制中心的单位，应当安排经过消防安全专门培训合格人员持证在控制中心（）小时值班。

A.12B.24C.85.公安机关消防机构在消防监督检查中发现火灾隐患的，应当通知有关单位或者个人（）；不及时消除隐患可能严重威胁公共安全的，公安机关消防机构应当依照规定对危险部位或者场所采取临时查封措施。

A.限期改正B.停止使用C.立即采取措施消除隐患6.电缆埋地深度不应小于（）m，穿越公路时应加设标志。

电缆埋地深度不应小于（）m，穿越公路时应加设防护套管。

A.0.7 0.7B.0.7 0.7C.0.7 0.7D.1 17.生产性毒物进入人体的途径主要有呼吸道( )和消化道。

A.皮肤B.口腔C.食品8.提高焊接电弧的稳定性，应( )。

A.提高电弧电压B.增大焊接电流C.提高焊接速度9.以下哪项不是安全生产责任制的重要性体现( )A.建立现代企业管理制度的必然要求B.安全生产的保证C.事故责任追究的客观要求D.企业文化的核心内容10.( )应持证上岗。

A.特种作业人员B.新入厂人员C.复岗人员D.转岗人员11.乙炔瓶应与氧气瓶距离至少应保持（）以上。

A.5米B.10米C.15米12.对违反消防法规定行为的处罚，由（）裁决。

A.公安机关B.司法机关C.公安消防机构D.派出所13.所谓缺氧环境，通常是指空气中氧气的体积浓度低于( )。

信息系统安全评测与风险评估试题姓名分数19716-200520269 信息系统安全管理要求20270 网络基础安全技术要求20271 信息系统通用安全技术要求资产赋值风险赋值一：填空题（36分）1.信息安全评测实际上蕴含着丰富的思想内涵，严肃的（），严谨的（），严格的（）以及极具魅力的评测技巧，是一个科学和艺术圆满结合的领域。

2.在评测一个信息系统的数据安全时，国家标准要求从数据完整性，数据（保密性）和数据的（备份）与恢复三个环节来考虑。

3.资产分类的方法较多，大体归纳为2种，一种是“自然形态”，即按照系统组成成分和服务内容来分类，如分成“数据，软件（硬件），服务（人员），其他”六大类，还可以按照“信息形态”将资产分为“信息，（信息载体）和（信息环境）三大类。

4.资产识别包括资产分类和（资产赋值）两个环节。

5.威胁的识别可以分为重点识别和（全面识别）6．脆弱性识别分为脆弱性发现（脆弱性分类）脆弱性验证和（脆弱性赋值）7.风险的三个要素是资产（脆弱性）和（威胁）8.应急响应计划应包含准则，（）预防和预警机制（）（）和附件6个基本要素。

9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程，它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.二：问答题：（64分）1.什么是安全域？目前中国划分安全域的方法大致有哪些？（10分）1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。