2025年信息安全风险评估与控制真题.docxVIP

2025年信息安全风险评估与控制真题

考试时间：______分钟总分：______分姓名：______

一、选择题（每题2分，共20分）

1.根据ISO27005标准，组织进行信息安全风险评估的起点通常是（）。

A.识别风险控制措施

B.确定风险接受准则

C.识别信息资产

D.选择风险评估方法

2.在信息安全风险评估中，对组织信息资产具有潜在威胁的个体或群体，通常被称为（）。

A.脆弱性

B.威胁源

C.资产价值

D.风险敞口

3.以下哪种风险评估方法主要依赖于专家判断、经验和直觉，并对风险发生的可能性和影响进行定性描述？（）

A.故障树分析（FTA）

B.定量风险分析（QRA）

C.定性风险分析（QRA）

D.敏感性分析

4.风险评价阶段的主要目的是（）。

A.识别所有可能的安全威胁

B.计算风险发生的概率和影响的具体数值

C.确定已识别风险是否在组织可接受的水平内

D.选择具体的安全控制措施

5.以下哪项不属于信息安全控制措施的类型？（）

A.物理访问控制

B.应用程序防火墙

C.业务连续性计划

D.软件许可证管理

6.选择风险