更多"[单选题]残余风险是风险管理中的一个重要概念。在信息安全风险管理中,关"的相关试题:
[单选题]残余风险是风险管理中的一个重要概念。在信息安全风险管理中,关于残余风险描述错误的是 ( )
A.残余风险是采取了安全措施后,仍然可能存在的风险:一般来说,是在综合考虑了安全成本与效益后不去控制的风险
B.残余风险应受到密切监视,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件
C.实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果
D.信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小残余风险值作为风险管理效果评估指标
[单选题]在风险管理中,残余风险是指在实施了新的或增强的安全措施后还剩下的风险,关于残余风险,下面描述错误的是 ( )
A.风险处理措施确定以后,应编制详细的残余风险清单,并获得管理层对残余风险的书面批准,这也是风险管理中的一个重要过程
B.管理层确认接受残余风险,是对风险评估工作的一种肯定,表示管理层已经全面了解了组织
所面临的风险,并理解在风险一旦变为现实后,组织能够且必须承担引发的后果
C.接受残余风险,则表明没有必要防范和加固所有的安全漏洞,也没有必要无限制地提高安全保护措施的强度,对安全保护措施的选择要考虑到成本和技术的等因素的限制
D.如果残余风险没有降低到可接受的级别,则只能被动地选择接受风险,即对风险不采取进一步的处理措施,接受风险可能带来的结果
[判断题]根据《风险管理制度》,当残余风险为重大安全风险的,应制定专项管控方案。
A.正确
B.错误
[多选题]商业银行应当根据风险敞口制定()等应对策略。依据防范或控制风险的可行性和残余风险的可接受程度,确定风险防范和控制的原则与措施。
A.降低
B.规避
C.缓释
D.转移
[单选题]在信息安全管理体系的实施过程中,管理者的作用对于信息安全管理体系能否成功
实施非常重要,但是以下选项中不属于管理者应有职责的是()。
A.确保组织的信息安全管理体系目标和相应的计划得以制定,目标应明确、可度量,计划
应具体、可实施
B.制定并颁布信息安全方针,为组织的信息安全管理体系建设指明方向并提供总体纲领,
明确总体要求
C.建立健全信息安全制度,明确安全风险管理作用,实施信息安全风险评估过程,确保信
息安全风险评估技术选择合理、计算正确
D.向组织传达满足信息安全的重要性,传达满足信息安全要求、达成信息安全目标、符合
信息安全方针、履行法律责任和持续改进的重要性
[单选题]在控制措施实施后,如果每个风险的残余风险均无法接受,进行作业前准备。作业应得到JHA小组的一致同意,若残余风险不可以接受,则应制定附加控制措施。
A.正确
B.错误
[单选题]信息安全风险评估是信息安全风险管理工作中的重要环节。在〈关于开展信息安全风险评估工作的意见》(国信办[2006]5号)中,指出了风险评估分为自评估和检查评估两种形式,并对两种工作形式提出了有关工作原则和要求。下面选项中描述错误的是 ( )
A.自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估
B.检查评估是指信息系统上级管理部门组织的国家有关职能部门依法开展的风险评估
C.信息安全风险评估应以自评估为主,自评估和检査评估相互结合、互为补充
D.自评估和检査评估是相互排斥的,单位应慎重地从两种工作形式选择一个,并坚持
[单选题]信息安全标准化工作是我国信息安全保障工作的重要组成部分之一,也是政府进行
宏观管理的重要依据,同时也是保护国家利益,促进产业发展的重要手段之一,关于我国标
准化工作,下面选项中描述错误的是()
A.我国是在国家质量监督检验疫总局管理下,由国家标准化管理委员会统一管理全国标准化
工作,下设有专业技术委员会
B.事关国家安全利益,信息安全因此不能和国际标准相同,而是要通过本国组织和专家制定
标准,切实有效地保护国家利益和安全
C.我国归口信息安全方面标准是“全国信息安全标准化技术委员会”,为加强有关工作,2016
在其下设立“大数据安全特别工作组”
D.信息安全标准化工作是解决信息安全问题的重要技术支撑,其主要作业突出体现在能够确
保有关产品、设施的技术先进性、可靠性和一致性
[单选题]信息安全风险评估是信息安全风险管理工作中的重要环节,在国家网络与信息安全
协调小组发布的《关于开展信息安全风险评估工作的意见》(国信办(2006)5 号)中,风险评
估分为自评估和检查评估两种形式,并对两种工作形式提出了有关工作原则和要求,下面选
项中描述正确的是( )。
A.信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充
B.信息安全风险评估应以检查评估为主,自评估和检查评估相互结合、互为补充
C.自评估和检查评估是相互排斥的,单位应慎重地从两种工作形式选择一个,并长期使用
D.自评估和检查评估是相互排斥的,无特殊理由单位均应选择检查评估,以保证安全效果
[单选题]某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重要,计划编制本单位信息安全应急响应预案,在向主管领导写报告时,他列举了编制信息安全应急响应预案的好处和重要性,在他罗列的四条理由中,其中不适合作为理由的一条是()。
A.应急预案是明确关键业务系统信息安全应急响应只会体系和工作机制的重要方式
B.应急预案是提高应对网络和信息系统突发事件能力,减少突发事件造成的损失和危害,保障信息系统运行平稳、安全、有序、高效的手段
C.编制应急预案是国家网络安全法对所有单位的强制要求,因此必须建设
D.应急预案是保障单位业务系统信息安全的重要措施
