更多"[单选题]信息安全风险管理是基于()的信息安全管理,也就是,始终以()"的相关试题:
[单选题]我国标准《信息安全风险管理指南》(GB/Z24364)给出了信息安全风险管理的内容和过程,可以用下图来表示。图中空白处应该填写()。
A.风险评价
B.风险计算
C.风险预测
D.风险处理
[单选题]信息安全风险管理过程的模型如图所示。按照流程,请问,信息安全风险管理包括
()六个方面的内容。()是信息安全风险管理的四个基本步骤,()则贯穿于这四个基
本步骤中.
;
A.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险处理和批准监督;监控审查和沟通咨询;
B.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评估、
风险处理和监控审查;批准监督和沟通咨询;
C.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评估、风险处理和沟通咨询;监控审查和批准监督;
D.背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评估、监控审查和批准监督;风险处理和沟通咨询。
[单选题]信息安全风险评估是信息安全风险管理工作中的重要环节,在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》(国信办(2006)5号)中,风险评估分为自评估和检查评估两种形式,并对两种工作形式提出了有关工作原则和要求,下面选项中描述正确的是()。
A.信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充
B.信息安全风险评估应以检查评估为主,自评估和检查评估相互结合、互为补充
C.自评估和检查评估是相互排斥的,单位应慎重地从两种工作形式选择一个,并长期使用
D.自评估和检查评估是相互排斥的,无特殊理由单位均应选择检查评估,以保证安全效果
[单选题]残余风险是风险管理中的一个重要概念。在信息安全风险管理中,关于残余风险描述错误的是()
A.残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成本与效益后不去控制的风险
B.残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件
C.实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果
D.信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作为风险管理效果评估指标
[单选题]某单位在一次信息安全风险管理活动中,风险评估报告提出服务器A的FTP服务存在高风险漏洞。随后该单位在风险处理时选择了安装FTP服务漏洞补丁程序并加固FTP服务安全措施,请问该措施属于哪种风险处理方式()
A.风险转移
B.风险接受
C.风险规避
D.风险降低
[单选题]风险评估的过程包括()、()、()和()四个阶段。在信息安全风险管理过程中,风险评估建立阶段的输出,形成本阶段的最终输出《风险评估报告》,此文档为风险处
理活动提供输入。
A.
风险评估准备; 风险要素识别; 风险分析; 监控审查; 风险结果判定; 沟通咨询
B.
风险评估准备; 风险要素识别; 监控审查 ;风险分析; 风险结果判定; 沟通咨询
C.
风险评估准备; 监控审查 ;风险要素识别; 风险分析 ;风险结果判定; 沟通咨询
D.
风险评估准备; 风险要素识别: 风险分析: 风险结果判定 监控审查, 沟通咨询
[单选题]小张是信息安全风险管理方面的专家,被某单位邀请过去对其核心机房经受某种灾害的风险进行评估,已知:核心机房的总价价值一百万,灾害将导致资产总价值损失二成四(24%),历史数据统计告知该灾害发生的可能性为八年发生三次,请问小张最后得到的年度
预期损失为多少:
A.24万
B.0.09万
C.37.5万
D.9万
[单选题]信息安全风险管理过程中,背景建立是实施工作的第一步,下面哪项是错误的()
A.背景建立的依据是国家,地区行业的相关政策、法律、法规和标准,以及机构的使命,信息系统的业务目标和特性
B.背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性,并分别赋值,同时确认已有的安全措施,形成需要保护的资产清单
C.前景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性、形成信息系统的描述报告
D.背景建立阶段应分析信息系统的体系结构和关键要素,分析信息系统的安全环境和要求,形成信息系统的安全需求报告
[判断题]开展网络安全风险监控预警,互联网部组织开展管理信息大区网络安全风险监控,调控部门开展生产控制大区网络安全风险监控,互联网部组织发布预警和落实风险管控措施,并开展过程监督和督办。( )
A.正确
B.错误
[单选题]小李在某单位是负责信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候,小李主要负责讲解风险评估方法。请问小李的所述论点中错误的是哪项()
A.定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例,因此具有随意性
B.定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值,因此更具客观性
C.风险评估方法包括:定性风险分析、定量风险分析以及半定量风险分析
D.半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值方式,实现对风险各要素的度量数值化
[单选题]小张在某单位是负责事信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候,小张主要负责讲解风险评估工作形式,小张认为:1.风险评估工作形式包括:自评估和检查评估;2.自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估;3.检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估;4.对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个,非此即彼.请问小张的所述论点中错误的是哪项:
A.第一个观点
B.第二个观点
C.第三个观点
D.第四个观点
[单选题]在信息安全风险管理过程中,背景建立是实施工作的第一步。下面哪项理解是错误的()。
A.背景建立阶段应分析信息系统的体系结构和关键要素,分析信息系统的安全环境和要求,形成信息系统的安全要求报告
B.背景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性,形成信息系统的描述报告
C.背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性,并分别赋值,同时确认已有的安全措施,形成需要保护的资产清单
D.背景建立的依据是国家、地区或行业的相关政策、法律、法规和标准,以及机构的使命、信息系统的业务目标和特性
[单选题]在安全与风险管理中,与信息相关的四大安全原则是()
A.鉴别、授权、不可抵赖性、可用性
B.鉴别、授权、访问控制、可用性
C.保密性、鉴别、完整性、不可抵赖性
D.保密性、访问控制、完整性、不可抵赖性
[单选题]将安全信息风险、人员管理风险等纳入管控范畴,重点关注人为因素风险的严重危害,推进风险防范标准和管控措施统一化、规范化,实现( )管理;
A.风险
B.系统
C.企业
D.闭环
[单选题]将安全信息风险、人员管理风险等纳入管控范畴,重点关注( )因素风险的严重危害,推进风险防范标准和管控措施统一化、规范化,实现闭环管理;
A.员工
B.人为
C.企业
D.管理
[单选题]陈工学习了信息安全风险的有关知识,了解到信息安全风险的构成过程,有五个方
面:起源、方式、途径、受体和后果,他画了下面这张图来描述信息安全风险的构成过程,图中空白处应填写?()
A.信息载体
B.措施
C.脆弱性
D.风险评估
[多选题]采用信息化管理手段,实现对安全风险记录、( )等全过程的信息化管理。
A.跟踪
B.统计
C.分析
D.上报
