信息系统安全风险评估与管控考试试卷.pdfVIP

信息系统安全风险评估与管控考试试卷

考试时间：______分钟总分：______分姓名：______

一、选择题（每题2分，共20分）

1.在信息安全风险评估中，识别信息系统的核心价值所在的阶段是（）。

A.风险分析

B.风险评估

C.风险识别

D.风险处理

2.以下哪一项不属于信息安全风险评估的主要目标？（）

A.确定安全事件发生的可能性和影响程度

B.建立信息系统的安全基线

C.为安全管理决策提供依据

D.完全消除信息系统面临的所有安全风险

3.通常用于评估信息资产价值时，考虑资产对其拥有者或使用者所具有的货

币价值的评估方法是（）。

A.历史成本法

B.重置成本法

C.税收评估法

D.市场价值法

4.在风险评估中，对系统组件、软件或配置的弱点或缺陷进行识别的过程称

为（）。

A.威胁识别

B.脆弱性分析

C.风险估计

D.概率分析

5.以下哪项不属于威胁源的类型？（）

A.内部员工

B.自然灾害

C.安全策略

D.黑客组织

6.在风险矩阵中，通常将风险发生的可能性划分为几个等级？（）

A.1个

B.2个

C.3个

D.4个或更多

7.根据NISTSP800-30，风险评估报告通常不需要包含的内容是（）。

A.风险评估方法

B.风险处置建议

C.系统架构图

D.组织安全政策

8.风险处理策略中，选择接受风险意味着（）。

A.采取措施消除风险

B.将风险转移给第三方

C.不采取行动，愿意承担风险可能带来的后果

D.采取措施降低风险

9.基于CIA安全目标，以下哪项控制措施主要目的是防止未经授权的访问

（保密性）？（）

A.数据备份与恢复

B.访问控制列表（ACL）

C.安全审计

D.数据加密

10.在信息安全治理框架中，风险评估是哪一级别的核心活动？（）

A.战略层面

B.职能层面

C.操作层面

D.所有层面

二、填空题（每空2分，共20分）

1.信息安全风险评估是一个系统化的过程，通常包括风险______、风险分析

和风险______三个主要阶段。

2.识别信息系统的硬件、软件、数据、人员、设施、服务等组成部分及其相

关属性是进行风险评估的______阶段。

3.威胁是指对信息系统的资产可能造成损害的______、事件或条件。

4.脆弱性是指信息系统资产或安全防护措施中存在的、可能被威胁利用的

______。

5.风险通常被定义为特定威胁利用特定脆弱性导致资产遭受______的可能性。

6.常用的风险处理策略包括风险规避、风险______、风险______和风险接受。

7.安全控制措施可以从技术、管理和物理三个方面进行分类，它们分别对应

信息安全的______、______和可用性目标。

8.风险评估结果应形成正式的______，作为后续安全决策和资源配置的依据。

9.进行风险评估时，需要考虑资产的价值、威胁发生的可能性和脆弱性被利

用的可能性。

10.对信息系统进行分类分级是实施______管理的基础，也影响着风险评估的

范围和深度。

三、名词解释（每题3分，共15分）

1.风险评估

2.资产价值

3.风险矩阵

4.风险处理

5.控制措施

四、简答题（每题5分，共20分）

1.简述信息安全风险评估的主要流程。

2.简述威胁和脆弱性之间的关系。

3.简述选择安全控制措施时应