2014年CCAA信息安全风险管理考题和答案.docxVIP

2014年CCAA信息安全风险管理考题和答案（继续教育考试试题）?1、下列关于“风险管理过程”描述最准确的是（C?）。?A.?风险管理过程由风险评估、风险处置、以及监测与评审等子过程构成；?B.风险管理过程由建立环境、风险评估、风险处置、以及监测与评审等子过程构成；?C.风险管理过程由沟通与咨询、建立环境、风险评估、风险处置、以及监测与评审等子过程构成；?D.风险管理过程是一个完整的过程，独立与组织的其他过程。?2以下关于信息安全目的描述错误的是（D?）。?A.保护信息?B.以争取不出事?C.让信息拥有者没有出事的感觉?D.消除导致出事的所不确定性?3、对风险术语的理解不准确的是（?C?）。?A.风险是遭受损害或损失的可能性?B.风险是对目标产生影响的某种事件发生的机会?C.风险可以用后果和可能性来衡量?D.风险是由偏离期望的结果或事件的可能性引起的?4、以下关于风险管理说法错误的是（?A?）。??A.风险管理是指如何在一个肯定有风险的环境里把风险消除的管理过程?B.风险管理包括了风险的量度、评估和应变策略?C.理想的风险管理，正是希望能够花最少的资源去尽可能化解最大的危机?D.理想的风险管理，是一连串排好优先次序的过程，使当中的可以引致最大损失及最大可能发生的事情优先处理、而相对风险较低的事情则压后处理。?5、下列哪项不在风险评估之列（?D?）?A.风险识别?B.风险分析?C.风险评价?D.风险处置?6、对风险管理与组织其它活动的关系，以下陈述正确的是（B?）。?A.风险管理与组织的其它活动可以分离?B.风险管理构成组织所有过程整体所必需的一部分?D.相对于组织的其它活动，风险管理是附加的一项活动?7、对于“利益相关方”的概念，以下陈述错误的是（D?）。?A.对于一项决策活动，可以影响它的个人或组织?B.?对于一项决策活动，可以被它影响的个人或组织?C.?对于一项决策活动，可以感知被它影响的个人或组织?D.决策者自己不属于利益相关方8、一个风险的大小，可以由（?A?）的结合来表示。?A.风险的后果和发生可能性?B.风险后果和风险源?C.风险发生可能性和风险源?D.风险源和风险原因?9、下列哪项不属于组织的风险管理方针必须包括（C?）内容。?A.风险管理的依据、组织的目标、方针与风险管理方针的联系?B.风险管理的责任、职责、资源?C.如何确定风险等级、风险的重要性?D.报告风险管理绩效的方式、定期评审风险管理的方针和框架?10、信息安全风险评估应该（B?）。?A.只需要实施一次就可以?B.根据变化的情况定期或不定期的适时地进行?C.不需要形成文件化评估结果报告?D.仅对网络做定期的扫描就行?11、选择信息安全控制措施应该（D?）。?A.建立在风险评估的结果至上?B.针对每一种风险，控制措施并非唯一?C.反映组织风险管理战略?D.以上各项都对?12、信息安全风险管理应该（C?）。?A.将所有的信息安全风险都消除?B.在风险评估之前实施?C.基于可接受的成本采取相应的方法和措施?D.以上说法都不对?13、以下有关残余风险的说法错误的是（A?）。?A.残余风险不包含未识别的风险?B.残余风险还可被称为“保留风险”?C.残余风险是风险处置后剩余的风险?D.管理者应对建议的残余风险进行批准?14、ISO/IEC?27001从（?B?）的角度，建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。?A.客户安全要求?B.组织整体业务风险?C.信息安全法律法规?D.以上都不对?15、管理者应（D?）。?A.制定ISMS目标和计划?B.实施ISMS管理评审?C.决定接受风险的准则和风险的可接受级别?D.以上都对?16、以下哪个不是风险管理相关标准（A?）?A.ISO/IEC?TR?13335?B.ISO/IEC?27002??C.ISO/IEC??27005??D.GB/T?20984?17、下列关于“风险评价准则”描述不准确的是（A?）?A.风险评价准则是评价风险主要程度的依据，不能被改变B.风险评价准则应尽可能在风险管理过程开始时制定?C.风险评价准则应当与组织的风险管理方针一致?D.风险评价准则需体现组织的风险承受度，应反映组织的价值观、目标和资源??18、以下哪个标准对风险相关的概念作出了描述（C ）A.AS/NZS 4360B.ISO/IEC TR 13335-1C.ISO Guide 73D.以上都是19、风险评估方法可以是（B）A.必须使用标准要求的B.组织可以随意选择C.组织自己选择，但要求是可再现的D.以上都不对20、风险管理开始引入我国的时间是20世纪（D）A.70年代B.60年代C.90年代D.80年代21、风险管理的过程依顺序为（B）A.风险识别、风险评价、风险分析、风险处置B.风险识别、风险分析、风险评