风险评估考试题及答案.docVIP

风险评估考试题及答案

一、单项选择题（共10题，每题2分，共20分）

1.风险的核心组成是（）

A.威胁+漏洞B.可能性+影响C.资产+威胁D.漏洞+资产

2.风险评估的首要步骤是（）

A.资产识别B.威胁分析C.漏洞排查D.风险计算

3.以下属于定性风险评估方法的是（）

A.矩阵法B.蒙特卡洛法C.损失期望法D.统计分析法

4.资产价值不包括（）

A.经济价值B.使用价值C.心理价值D.安全价值

5.下列属于人为威胁的是（）

A.地震B.火灾C.黑客攻击D.洪水

6.风险处置中，转移风险的方式是（）

A.安装防火墙B.购买保险C.停用系统D.定期备份

7.漏洞评估的主要目的是（）

A.找到资产B.识别可被利用的弱点C.计算风险值D.制定应对方案

8.以下哪个不是风险评估的标准（）

A.NISTSP800-30B.ISO27005C.GB/T20984D.ISO9001

9.风险接受的适用场景是（）

A.风险极高B.风险可忽略C.风险中等D.所有风险

10.以下属于信息资产的是（）

A.办公楼B.服务器C.员工D.生产设备

答案：1.B2.A3.A4.C5.C6.B7.B8.D9.B10.B

二、多项选择题（共10题，每题2分，共20分）

1.风险评估的基本要素包括（）

A.资产B.威胁C.漏洞D.控制措施

2.常见的风险处置方式有（）

A.规避B.转移C.缓解D.接受

3.定量风险评估的优点包括（）

A.数据客观B.便于对比C.结果直观D.无需大量数据

4.自然威胁包括（）

A.暴雨B.雷击C.盗窃D.泥石流

5.资产识别需要确定的内容有（）

A.资产类型B.资产位置C.资产价值D.资产责任人

6.以下属于技术漏洞的是（）

A.系统未打补丁B.员工密码简单C.防火墙配置错误D.管理制度缺失

7.风险评估报告应包含的内容有（）

A.评估范围B.资产清单C.风险清单D.处置建议

8.适合定性评估的场景有（）

A.数据不足B.紧急评估C.初步评估D.精确计算风险

9.下列属于物理资产的是（）

A.网络设备B.纸质文档C.知识产权D.办公家具

10.控制措施的有效性评估应考虑（）

A.覆盖率B.响应速度C.成本D.兼容性

答案：1.ABCD2.ABCD3.ABC4.ABD5.ABCD6.AC7.ABCD8.ABC9.ABD10.ABCD

三、判断题（共10题，每题2分，共20分）

1.风险评估是一次性工作，完成后无需更新。（）

2.资产价值越高，对应的风险等级一定越高。（）

3.漏洞是资产本身存在的弱点，不一定被威胁利用。（）

4.转移风险可以完全消除风险。（）

5.定量评估比定性评估更准确，应优先使用。（）

6.自然威胁无法通过人为控制完全避免。（）

7.所有风险都必须采取处置措施，不能接受。（）

8.风险评估的范围越大，评估结果越准确。（）

9.人为威胁的可能性通常比自然威胁更难预测。（）

10.资产识别只需要关注有形资产。（）

答案：1.×2.×3.√4.×5.×6.√7.×8.×9.√10.×

四、简答题（共4题，每题5分，共20分）

1.简述风险评估的基本步骤。

答案：①资产识别：梳理核心资产与价值；②威胁分析：识别影响资产的各类风险源；③漏洞评估：排查资产弱点；④风险计算：结合可能性与影响定级；⑤风险处置：制定规避、转移等方案。

2.定性与定量风险评估的核心区别是什么？

答案：核心在数据处理：定性依赖专家经验，用描述性语言判断；定量通过数据建模、统计计算量化风险，结果直观但需足够数据支撑。

3.资产价值评估的主要维度有哪些？

答案：主要包括经济价值（购置/维护成本）、业务价值（对运营的支撑）、安全价值（合规与声誉保障）、使用价值（日常运作依赖度）。

4.风险接受的前提条件是什么？

答案：前提为：①风险等级极低，无实质业务影响；②处置成本远高于风险损失；③无有效处置措施，且风险在组织承受范围内。

五、讨论题（共4题，每题5分，共20分）

1.结合企业实际，说明如何确保风险评估结果的实用性。

答案：①紧扣业务目标，明确评估范围；②组织业务、技术、安全多方参与，保障全面性；③定期更新评估结果，适配业务变化；④将结论转化为可落地的处置方案，而非仅停留在报告。

2.分析不同行业开展风险评估的重点差异。

答案：