网络安全风险评估与管理手册及案例解析答案集.docxVIP

第PAGE页共NUMPAGES页

网络安全风险评估与管理手册及案例解析答案集

一、单选题（每题2分，共20题）

1.在网络安全风险评估中，以下哪项属于第一级评估（初步评估）的主要目的？

A.详细分析资产价值

B.识别关键信息资产

C.量化剩余风险

D.制定详细的风险处置计划

2.ISO/IEC27005标准中，风险评估的哪个阶段涉及收集和分析与风险相关的威胁、脆弱性及现有控制措施信息？

A.风险识别

B.风险分析

C.风险评价

D.风险处置

3.某企业发现其数据库系统存在SQL注入漏洞，但尚未遭受攻击。根据风险矩阵法，该风险应被评估为：

A.低风险

B.中风险

C.高风险

D.极高风险

4.在网络安全风险评估中，“资产价值”通常根据以下哪个因素进行评估？

A.市场价格

B.业务影响

C.财务报表记录

D.技术参数

5.某银行采用风险接受准则，允许关键业务系统存在5%的年化风险。若评估发现某系统风险为8%，则应采取的措施是：

A.忽略该风险

B.临时加固控制措施

C.提交管理层审批

D.立即中断业务

6.以下哪项不属于网络安全风险评估中的“脆弱性”要素？

A.软件漏洞

B.人员疏忽

C.业务流程缺陷

D.应急响应计划

7.根据NISTSP800-30，风险评估报告应包含的内容不包括：

A.风险评估范围