发布时间 : 星期六 文章CISP信息安全管理习题更新完毕开始阅读aee140b4f56527d3240c844769eae009581ba29e
1.根据相关标准,信息安全风险管理可以分为背景建立、风险评估,风险处理,批准监督、监控审查和沟通咨询等阶段。模拟该流程。文档《风险分析报告》应属于哪个阶段的输出成果()。 A 风险评估 B 风险处理 C 批准监督 D 监控审查
2.
某单位在实施信息安全风险评估后,形成了若干文档,下面()中的文档不应属于风险评估“准备”阶段输出的文档。
A 《风险评估工作计划》,主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色进度安排等内容
B 《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容
C 《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容
D 《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等内容
专业资料
3.规范的实施流程和文档管理,是信息安全风险评估结果取得成果的重要基础,的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果 ( ) A 《风险评估方案》 B 《重要保护的资产清单》 C 《风险计算报告》 D 《风险程度等级列表》
4. 定量风险分析是从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,准确度量风险的可能性和损失量,小王采用该方法来为单位机房计算火灾的风险大小,假设单位机房的总价值为200万元人民币,暴露系数(ErpomireFactor,EF)是x,年度发生率(AnnuaIixed Rato of
Occurrence,ARO)为0.1,而小王计算的年度预期损失(AnnuaIixed Loss Rrpectancy,ALE)值为5万元人民币。由此x值应该是 ( )
5.不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选择适当的风险评估方法,下面的描述中,错误的是 ( ) A 定量风险分析是用从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和损失量
专业资料
B 定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析
C 定性风险分析过程中,往往需要凭借分析者的经验直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关
D 定性风险分析更具有主观性,而定量风险分析更具客观性
6.某单位在一次信息安全风险管理活动中,风险评估报告提出服务器A的PTP服务存在高风险的漏洞,随后该单位在风险处理时选择了关闭PTP服务的处理措施,请问该措施属于哪种风险处理方式 ( ) A 风险降低 B 风险规避 C 风险转移 D 风险接受
7.残余风险是风险管理中的一个重要概念,在信息安全风险管理中,关于残余风险描述错误的是 ( )
A 残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成本与效益后不去控制的风险
B 残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件
专业资料
C 实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果
D 信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作为风险管理效果评估指标
9.某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任? A:部门经理 B:高级管理层 C:信息资产所有者 D:最终用户
10.以下对信息安全风险管理理解最准确的说法是: A:了解风险 B:转移风险
C:了解风险并控制风险 D:了解风险并转移风险
专业资料