网络安全风险评估方法实战模拟题集答案.docxVIP

第PAGE页共NUMPAGES页

网络安全风险评估方法实战模拟题集答案

一、单选题（每题2分，共10题）

1.某企业采用定性与定量相结合的风险评估方法，以下哪项属于定性评估的关键步骤？

A.使用概率分布模型计算损失期望值

B.通过专家打分法评估资产重要性和威胁可能性

C.运用蒙特卡洛模拟分析风险敞口

D.基于财务报表计算直接损失金额

答案：B

解析：定性评估主要依赖专家经验和主观判断，如风险矩阵法中的高低级评估，而定量评估涉及数学模型计算。选项B符合定性评估特征。

2.ISO27005风险评估中，风险接受准则的主要作用是？

A.确定威胁事件的频率

B.设定组织可容忍的风险水平

C.计算风险敞口系数

D.评估控制措施的有效性

答案：B

解析：风险接受准则是组织根据业务需求定义的风险阈值，用于判断风险是否可接受，直接影响后续控制措施的选择。

3.某银行采用风险地图法评估支付系统风险，若资产重要性为高，威胁可能性为中，则该风险等级属于？

A.低风险

B.中风险

C.高风险

D.极高风险

答案：C

解析：根据典型风险矩阵，高重要性×中可能性通常对应高风险，需优先处理。

4.在资产价值评估中，某政府机构的非结构化数据（如文档）因泄露可能引发声誉损失，其重置成本为0，但潜在损失达500万元，应如何评估？

A.按重置成本计提50万元

B.直接计入潜在损失500万元

C.根据重要性比例折算为10万元

D.不予评估

答案：B

解析：对于无形资产，重置成本不可衡量时，应基于潜在影响评估价值，声誉损失属于典型无形风险。

5.某电商企业发现其云存储服务存在未授权访问漏洞，威胁发生概率为30%，潜在损失为1000万元，若控制措施成本为200万元，则该风险是否值得投资？

A.值得投资（损失远超成本）

B.不值得投资（概率低）

C.需进一步验证控制效果

D.建议提高威胁概率至50%

答案：A

解析：风险投资回报率=（1000-200）/200=4，远超行业基准（通常为2），应优先整改。

二、多选题（每题3分，共5题）

6.以下哪些属于定量风险评估的输入要素？

A.资产价值（美元）

B.威胁发生频率（年）

C.控制措施有效性（百分比）

D.风险发生概率（百分比）

答案：ABCD

解析：定量评估需量化参数，包括资产价值、威胁频率、控制效果及概率，缺一不可。

7.某医疗机构采用L?氏矩阵法评估电子病历系统风险，以下哪些因素会影响风险值？

A.资产敏感性（如患者隐私级别）

B.威胁来源（如黑客组织）

C.控制措施（如加密传输）

D.组织业务依赖度

答案：ABCD

解析：L?氏矩阵综合考虑威胁、脆弱性、资产属性和控制措施，所有选项均属评估维度。

8.企业选择风险评估方法时需考虑哪些因素？

A.行业监管要求（如金融业需符合JR/T0199）

B.组织资源限制（如预算、人力）

C.风险复杂度（如跨国业务需地域差异化分析）

D.业务连续性要求（如关键业务需零容忍）

答案：ABCD

解析：方法选择需结合合规性、资源、业务特性及风险偏好，需全面权衡。

9.某制造企业评估供应链风险时，以下哪些属于潜在威胁源？

A.供应商系统漏洞

B.内部员工离职窃取数据

C.运输环节物理入侵

D.第三方软件恶意代码

答案：ABCD

解析：供应链风险需覆盖技术、人员、物流及第三方风险，所有选项均属典型威胁。

10.定性评估中常用的专家咨询方法包括？

A.德尔菲法

B.访谈法

C.风险研讨会

D.模糊综合评价法

答案：ABC

解析：定性评估依赖专家经验，德尔菲法、访谈法、研讨会是主流方法，模糊综合评价法偏向定量。

三、简答题（每题5分，共4题）

11.简述ISO27005风险评估的五大步骤及其核心内容。

答案：

1.确定范围与目标：明确评估对象（如某系统或业务域）、边界及合规要求。

2.资产识别与评估：列出关键资产（如服务器、数据），按重要性分级。

3.威胁与脆弱性分析：识别潜在威胁（如勒索软件）及漏洞（如未补丁系统），分析发生条件。

4.风险分析与评价：结合风险矩阵计算风险值，区分高、中、低等级。

5.风险处置与监控：制定控制措施，制定残余风险评估机制。

12.某零售企业需评估POS系统数据泄露风险，请列出评估流程的关键节点。

答案：

1.资产确认：POS系统、交易数据、终端设备。

2.威胁识别：POS数据窃取工具、钓鱼攻击、员工操作失误。

3.脆弱性分析：系统未加密、弱口令、物理接触漏洞。

4.风险计算：如威胁概率30%×资产价值500万×脆弱性系数0.8=120万。

5.处置建议：强制加密传输、双因素认证、定期渗透测试。

13.在评估第三方服务风险