CISP信息安全管理风险课堂例题.docVIP

以下关于风险评估的描述不正确的是？ 作为风险评估的要素之一，威胁发生的可能需要被评估 作为风险评估的要素之一，威胁发生后产生的影响需要被评估 风险评估是风险管理的第一步 风险评估是风险管理的最终结果 以下哪个选项是缺乏适当的安全控制的表现 威胁 脆弱性 资产 影响 下面那个不是信息安全风险的要素？ 资产及其价值 数据安全 威胁 控制措施 信息安全风险管理的对象不包括如下哪项 信息自身 信息载体 信息网络 信息环境 信息安全风险管理的最终责任人是？ 决策层 管理层 执行层 支持层 信息安全风险评估对象确立的主要依据是什么 系统设备的类型 系统的业务目标和特性 系统的技术架构 系统的网络环境 下面哪一项不是风险评估的过程？ 风险因素识别 风险程度分析 风险控制选择 风险等级评价 风险控制是依据风险评估的结果，选择和实施合适的安全措施。下面哪个不是风险控制的方式？ 规避风险 转移风险 接受风险 降低风险 如何对信息安全风险评估的过程进行质量监控和管理？ 对风险评估发现的漏洞进行确认 针对风险评估的过程文档和结果报告进行监控和审查 对风险评估的信息系统进行安全调查 对风险控制测措施有有效性进行测试 信息系统的价值确定需要与哪个部门进行有效沟通确定？ 系统维护部门 系统开发部门 财务部门 业务部门 系统上线前应当对系统安全配置进行检查，不包括下列哪种安全检查？ 主机操作系统安全配置检查 网络设备安全配置检查 系统软件安全漏洞检查 数据库安全配置检查 风险评估实施过程中资产识别的依据是什么？ 依据资产分类分级的标准 依据资产调查的结果 依据人员访谈的结果 依据技术人员提供的资产清单 风险评估实施过程中资产识别的范围主要包括什么类别？ 网络硬件资产 数据资产 软件资产 以上都包括 风险评估实施过程中脆弱性识别主要包括什么方面 软件开发漏洞 网站应用漏洞 主机系统漏洞 技术漏洞与管理漏洞 下面哪一个不是脆弱性识别的手段？ 人员访谈 技术工具检测 信息资产核查 安全专家人工分析 年度损失值（ALE）的计算方法是什么？ ALE=ARO*AV ALE=AV*SLE ALE=ARO*SLE ALE=AV*EF 合适的信息资产存放的安全措施维护是谁的责任？ 安全管理员 系统管理员 数据和系统所有者 系统运行组 要很好的评估信息安全风险，可以通过： 评估IT资产和IT项目的威胁 用公司的以前的真的损失经验来决定现在的弱点和威胁 审查可比较的组织公开的损失统计 审查在审计报告中的可识别IT控制缺陷 在制定控制前，管理层首先应该保证控制： 满足控制一个风险问题的要求 不减少生产力 基于成本效益的分析 检测行或改正性的 对一项应用的控制进行了检查,将会评估 该应用在满足业务流程上的效率 任何被发现风险影响 业务流程服务的应用 应用程序的优化 在评估逻辑访问控制时，应该首先做什么？ 把应用在潜在访问路径上的控制项记录下来 在访问路径上测试控制来检测是否他们具功能化 按照写明的策略和实践评估安全环境 对信息流程的安全风险进行了解 在检查IT安全风险管理程序，安全风险的测量应该 列举所有的网络风险 对应IT战略计划持续跟踪 考虑整个IT环境 识别对(信息系统)的弱点的容忍度的结果 一个组织的网络设备的资产价值为100000元，一场意外火灾使其损坏了价值的25%,按照经验统计，这种火灾一般每5年发生一次，年预期损失ALE为： 5000元 10000元 25000元 15000元 一个个人经济上存在问题的公司职员有权独立访问高敏感度的信息，他可能窃取这些信息卖给公司的竞争对手，如何控制这个风险？ 开除这名职员 限制这名职员访问敏感信息 删除敏感信息 将此职员送公安部门