课后练习-信息安全评估.pdf

保密注册信息安全专业人员考试章节练习题

注册信息安全专业人员考试

章节练习题

（信息安全评估）

1.小陈自学了风评的相关国家准则后，将风险的公式用图形来表示，下面F1，F2，F3，F4

分别代表某种计算函数，四张图中，那个计算关系正确？

2.陈工学习了信息安全风险的有关知识，了解到信息安全风险的构成过程，有五个方面：起

源、方式、途径、受体和后果，他画了下面这张图来描述信息安全风险的构成过程，图中空白

处应填写？

A.信息载体

B.措施

C.脆弱性

D.风险评估

3.风险分析是风险评估工作的一个重要内容，GB/T20984-2007在资料性附录中给出了一种

矩阵法来计算信息安全风险大小，如下图所示，图中括号应填哪个？

-1-

保密注册信息安全专业人员考试章节练习题

A.安全资产价值大小等级

B.脆弱性严重程度等级

C.安全风险隐患严重等级

D.安全事件造成损失大小

4.定量风险分析是从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，准确

度量风险的可以性和损失量。小王采用该方法来为单位机房计算火灾风险大小，假设单位机房

的总价值为200万元人民币，暴露系数（ExposureFactor,EF）是X,年度发生率（Annualized

RateofOccurrence,ARO）为0.1，而小王计算的年度预期损失（AnnualizedLossExpectancy,

ALE）值为5万元人民币，由此，X值应该是（）

A．2.5%

B．25%

C．5%

D．50%

5.某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后，认识到信息安全风

险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条

报告给单位领导，其中描述错误的是（）

A.检查评估可依据相关标准的要求，实施完整的风险评估过程；也可在自评估的基础上，对关

键环节或重点内容实施抽样评估

B.检查评估可以由上级管理部门组织，也可以由本级单位发起，其重点是针对存在的问题进行

检查和评测

C.检查评估可以由上级管理部门组织，并委托有资质的第三方技术机构实施

D.检查评估是通过行政手段加强信息安全管理的重要措施，具有强制性的特点

6.关于风险要素识别阶段工作内容叙述错误的是：

A.资产识别是指对需要保护的资产和系统等进行识别和分类

B.威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性

C.脆弱性识别以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对

脆弱性的严重程度进行评估

D.确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系统平台、

网络平台和应用平台

7.风险要素识别是风险评估实施过程中的一个重要步骤，小李将风险要素识别的主要过程使

用图形来表示，如下图所示，请为图中空白框处选择一个最合适的选项()

-2-

保密注册信息安全专业人员考试章节练习题

A．识别面临的风险并赋值

B．识别存在的脆弱性并赋值

C．制定安全措施实施计划

D．检查安全措施有效性

8.以下关于可信计算说法错误的是：

A．可信的主要目的是要建立起主动防御的信息安全保障体系

B．可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算基的概念

C．可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可信、互联网交

易等应用系统可信

D．可信计算平台出现后会取代传统的安全防护体系和方法

9.以下哪一项不属于常见的风险评估与管理工具：

A．基于信息安全标准的风险评估与管理工具

B．基于知识的风险评估与管理工具

C.基于模型的风险评估与管理工具

D．基于经验的风险评估与管理工具

10.小张在某单位是负责事信息安全风险管理方面工作的部门领导，主要负责对所在行业的新

人进行基本业务素质培训。一次培训的时候，小张主要负责讲解风险评估工作形式，小张认为：

1．风险评估工作形式包括：自评估和检查评估；

2．自评估是指信息系统拥有、运营或使用