风险评估-考试内容（考核）.docx

XXX公司 风险评估考试内容 编号 编制 审核 批准 密级 发布日期 一、单选题（20） 1.以下对“威胁”描述正确的哪一项？ A.可能导致对系统或组织损害的事故的潜在的原因 B.可被一个或多个漏洞利用的一项资产的或一组资产的弱点 C.风险管理的一种手段 D.对组织有价值的东西 答案：A 解析： 考点：风险的要素；第6章 第1节 难易程度：2 题目质量：2 2.以下哪一项是对“风险”的定义？ A. 遭受损失、伤害、毁灭的可能性 B. 对组织有价值的东西 C.可被利用的弱点 D. 可能导致对系统或组织损害的事故的潜在的原因 答案：A 解析： 考点：风险的定义；第6章 第1节 难易程度：2 题目质量：2 3.风险评估过程的第一个阶段是 。 A.资产识别 B.安全威胁评估 C.确定评估范围 D.脆弱性评估 答案：C 解析：风险评估分七个阶段，一：确定评估范围；二：资产识别与评估；三：安全威胁评估；四：脆弱性评估；五：安全措施评估；六：风险计算与分析；七：风险处置与应对。 考点：风险评估；第6章 第1节 难易程度：2 题目质量：2 4. 造成信息安全事件发生的原因有以下哪些？ A.信息系统的脆弱性 B.人为破坏 C.自然威胁 D.以上全部 答案：D 解析： 考点：风险的定义；第6章 第1节 难易程度：2 题目质量：2 5.对组织开展风险评估时需进行资产调研，对于“资产”的说法正确的是哪一项？ A.对组织有价值的任何东西 B.金钱 C.网络设备 D.信息资产 答案：A 解析： 考点：风险的定义；第6章 第1节 难易程度：2 题目质量：2 6. 信息安全风险评估，则是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的__________、完整性和可用性等安全属性进行科学评价的过程。 A.不可否认性 B.不可破解性 C.机密性 D.依赖性 答案：C 解析： 考点：风险评估的定义；第6章 第1节 难易程度：2 题目质量：2 7. 信息安全风险评估，则是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的机密性、_________和可用性等安全属性进行科学评价的过程。 A.不可否认性 B.不可破解性 C.完整性 D.依赖性 答案：C 解析： 考点：风险评估的定义；第6章 第1节 难易程度：2 题目质量：2 8. 信息安全风险评估，则是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和__________等安全属性进行科学评价的过程。 A.不可否认性 B.不可破解性 C.可用性 D.依赖性 答案：C 解析： 考点：风险评估的定义；第6章 第1节 难易程度：2 题目质量：2 9.风险管理的首要目标是保护_____________。 A.信息资产 B.硬件资产 C.软件资产 D. 组织机构及其履行正常使命的能力 答案：D 解析：风险管理首要的目标是保护组织机构及其履行正常使命的能力，而不仅仅是信息资产 考点：风险评估的重要性；第6章 第2节 难易程度：3 题目质量：2 10.以下哪个是进行风险评估的意义？ A.找出问题根源，对症下药 B.信息安全管理的利器 C.寻求适度安全和建设成本的最佳平衡点 D.以上全部都是 答案：D 解析： 考点：风险评估的意义；第6章 第2节 难易程度：3 题目质量：3 11.关于风险管理，以下说法正确的是？ A.管理是组织机构信息安全得到保证的重要组成部分 B.信息安全风险评估是信息安全建设的起点和基础，体现了信息安全建设需求主导和突出重点的原则 C.信息安全就是所承担的安全风险与安全建设管理代价之间的动态平衡 D.以上全部都是 答案：D 解析： 考点：建立以风险管理为基础的安全管理；第6章 第2节 难易程度：3 题目质量：3 12.风险评估成功实施的基本要素是_________。 A.得到高层管理者的支持 B.组建精干的风险评估小组 C.全员参与 D.以上全部包括 答案：D 解析： 考点：风险评估成功实施的基本要素；第6章 第2节 难易程度：3 题目质量：3 13.以下关于风险的描述，正确的是___________。 A.卡内基梅隆大学软件工程研究所的OCTAVE风险评估方法中定义风险为：“遭受破坏或损失的可能性。” B. 在ISO 13335-1中，风险是指一定条件下和一定时期内可能发生的不利事件发生的可能性，即强调风险发