更多"[单选题]信息安全风险管理是基于( )的信息安全管理,也就是,始终以("的相关试题:
[单选题]我国标准《信息安全风险管理指南》 (GB/Z 24364)给出了信息安全风险管理的内 容和过程,可以用下图来表示。图中空白处应该填写() 。
A.风险评价
B.风险计算
C.风险预测
D.风险处理
[单选题]信息安全风险管理过程的模型如图所示。按照流程,请问,信息安全风险管理包括
()六个方面的内容 。( ) 是信息安全风险管理的四个基本步骤,()则贯穿于这四个基
本步骤中.
;
A. 背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评估、 风险处理和批准监督;监控审查和沟通咨询;
B. 背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评估、 风险处理和监控审查;批准监督和沟通咨询;
C. 背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评估、 风险处理和沟通咨询;监控审查和批准监督;
D. 背景建立、风险评估、风险外理、批准监督、监控审查和沟通咨询;背景建立、风险评
估、监控审查和批准监督;风险处理和沟通咨询。
[单选题]信息安全风险评估是信息安全风险管理工作中的重要环节,在国家网络与信息安全 协调小组发布的《关于开展信息安全风险评估工作的意见》 (国信办(2006)5 号)中,风险评 估分为自评估和检查评估两种形式,并对两种工作形式提出了有关工作原则和要求,下面选 项中描述正确的是( )。
A.信息安全风险评估应以自评估为主, 自评估和检查评估相互结合、互为补充
B.信息安全风险评估应以检查评估为主, 自评估和检查评估相互结合、互为补充
C. 自评估和检查评估是相互排斥的,单位应慎重地从两种工作形式选择一个,并长期使用
D. 自评估和检查评估是相互排斥的,无特殊理由单位均应选择检查评估,以保证安全效果
[单选题]残余风险是风险管理中的一个重要概念。在信息安全风险管理中,关于残余风险描 述错误的是()
A.残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成 本与效益后不去控制的风险
B.残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全 事件
C.实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的 存在和可能造成的后果
D.信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作 为风险管理效果评估指标
[单选题]某单位在一次信息安全风险管理活动中,风险评估报告提出服务器 A 的 FTP 服务存在高风险漏洞,随后该单位在风险处理时选择了关闭 FTP 服务的处理 措施,请问该措施属于哪种风险处理方式()
A.风险降低
B.风险规避
C.风险转移
D.风险接受
[单选题]某单位在一次信息安全风险管理活动中,风险评估报告提出服务器 A 的 FTP 服务 存在高风险漏洞。随后该单位在风险处理时选择了安装 FTP 服务漏洞补丁程序并加固 FTP 服务安全措施,请问该措施属于哪种风险处理方式( )
A.风险转移
B.风险接受
C.风险规避
D.风险降低
[单选题]风险评估的过程包括 ( )、 ( )、 ( )和( )四个阶段。在信息安全风险管理过 程中,风险评估建立阶段的输出,形成本阶段的最终输出《风险评估报告》,此文档为风险处 理活动提供输入。 ( )风险评估的四个阶段。
A.风险评估准备; 风险要素识别; 风险分析; 监控审查; 风险结果判定; 沟通咨询
B.风险评估准备; 风险要素识别; 监控审查 ;风险分析; 风险结果判定; 沟通咨询
C.风险评估准备; 监控审查 ;风险要素识别; 风险分析 ;风险结果判定; 沟通咨询
D.风险评估准备; 风险要素识别: 风险分析: 风险结果判定 监控审查, 沟通咨询
[单选题]安全生产风险管理体系以风险控制为主线,以( )闭环管理为原则,系统地提出了安全生产管理的具体内容。
A.ABCD
B.PDCA
C.123456
D.SMART
[单选题]小张是信息安全风险管理方面的专家,被某单位邀请过去对其核心机房经受某种灾 害的风险进行评估,已知:核心机房的总价价值一百万,灾害将导致资产总价值损失二成四 (24%) ,历史数据统计告知该灾害发生的可能性为八年发生三次,请问小张最后得到的年度 预期损失为多少:
A.24 万
B.0 . 09 万
C.37 . 5 万
D.9 万
[单选题]《电力行业网络与信息安全管理办法》中要求,电力企业应当按照国家有关规定开展信息安全风险评估工作,建立健全信息安全风险评估的自评估和检查评估制度,完善信息安全( )管理机制。
A.A、评估
B.风险
C.预警
D.应急
[单选题]信息安全风险管理过程中,背景建立是实施工作的第一步,下面哪项是 错误的()
A.背景建立的依据是国家,地区行业的相关政策、法律、法规和标准,以及机构 的使命,信息系统的业务目标和特性
B.背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性,并分别 赋值,同时确认已有的安全措施,形成需要保护的资产清单
C.前景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性、 形成信息系统的描述报告
D.背景建立阶段应分析信息系统的体系结构和关键要素,分析信息系统的安全环 境和要求,形成信息系统的安全需求报告
[单选题]信息安全风险是指人为或自然的( )利用信息系统及其管理体系中存在的()导致安全事件的发生及其对组织造成的影响。
A.脆弱性、威胁
B.威胁、弱点
C.威胁、脆弱性
D.弱点、威胁
[单选题]小李在某单位是负责信息安全风险管理方面工作的部门领导,主要负责对所在行业 的新人进行基本业务素质培训。一次培训的时候,小李主要负责讲解风险评估方法。请问小 李的所述论点中错误的是哪项()
A.定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例,因此具有随意性
B.定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数 字值,因此更具客观性
C.风险评估方法包括:定性风险分析、定量风险分析以及半定量风险分析
D.半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风 险要素的赋值方式,实现对风险各要素的度量数值化
[单选题]小张在某单位是负责事信息安全风险管理方面工作的部门领导,主要负责对所在行 业的新人进行基本业务素质培训。一次培训的时候,小张主要负责讲解风险评估工作形式, 小张认为:1. 风险评估工作形式包括: 自评估和检查评估;2. 自评估是指信息系统拥有、 运营或使用单位发起的对本单位信息系统进行风险评估;3. 检查评估是信息系统上级管理 部门组织或者国家有关职能部门依法开展的风险评估;4. 对信息系统的风险评估方式只能 是“自评估”和“检查评估”中的一个,非此即彼.请问小张的所述论点中错误的是哪项:
A.第一个观点
B.第二个观点
C.第三个观点
D.第四个观点
[判断题]年度风险库须经审核后,在每年年初行文公布,并录入《铁路安全风险管理信息系统》。
A.正确
B.错误
[单选题]在信息安全风险管理过程中,背景建立是实施工作的第一步。下面哪项理解是错误 的() 。
A.背景建立阶段应分析信息系统的体系结构和关键要素,分析信息系统的安全环境和要 求,形成信息系统的安全要求报告
B.背景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性,形成信息 系统的描述报告
C.背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性,并分别赋值,同 时确认已有的安全措施,形成需要保护的资产清单
D.背景建立的依据是国家、地区或行业的相关政策、法律、法规和标准,以及机构的使命、 信息系统的业务目标和特性
