CCAA信息安全风险管理考题和答案(最新最全版)
CCAAg安全风险管理考题和答案(最新最全版)2014年CCAA信息安全风险管理考题和答案(继续教育考试试题)1、下列关于风险管理过程描述最准确的是(C)。A. 风险管理过程由风险评估、风险处置、以及监测与评审等子过 程构成;B. 风险管理过程由建立环境、风险评估、风险处置、以及监测与 评审等子过程构成;C. 风险管理过程由沟通与咨询、建立环境、风险评估、风险处置、 以及监测与评审等子过程构成;D. 风险管理过程是一个完整的过程,独立与组织的其他过程。2以下关于信息安全目的描述错误的是(D)。A. 保护信息B. 以争取不出事C. 让信息拥有者没有出事的感觉。.消除导致出事的所不确定性3、对风险术语的理解不准确的是(C)。A. 风险是遭受损害或损失的可能性B. 风险是对目标产生影响的某种事件发生的机会C. 风险可以用后果和可能性来衡量D风险是由偏离期望的结果或事件的可能性弓|起的4、以下关于风险管理说法错误的是(A )。A. 风险管理是指如何在一个肯定有风险的环境里把风险消除的管 理过程B. 风险管理包括了风险的量度、评估和应变策略C. 理想的风险管理,正是希望能够花最少的资源去尽可能化解最 大的危机D理想的风险管理,是一连串排好优先次序的过程,使当中的可 以引致最大损失及最大可能发生的事情优先处理、而相对风险较低的事情则压后处理。5、下列哪项不在风险评估之列(D )A. 风险识别B. 风险分析C. 风险评价D风险处置6、对风险管理与组织其它活动的关系,以下陈述正确的是(B)。A. 风险管理与组织的其它活动可以分离B. 风险管理构成组织所有过程整体所必需的一部分D相对于组织的其它活动,风险管理是附加的一项活动7、对于“利益相关方”的概念,以下陈述错误的是(D)。A. 对于一项决策活动,可以影响它的个人或组织B. 对于一项决策活动,可以被它影响的个人或组织C. 对于一项决策活动,可以感知被它影响的个人或组织 。决策者自己不属于利益相关方8、一个风险的大小,可以由(A)的结合来表示。A. 风险的后果和发生可能性B. 风险后果和风险源C. 风险发生可能性和风险源D. 风险源和风险原因9、下列哪项不属于组织的风险管理方针必须包括(C)内容。A. 风险管理的依据、组织的目标、方针与风险管理方针的联系B. 风险管理的责任、职责、资源C. 如何确定风险等级、风险的重要性D. 报告风险管理绩效的方式、定期评审风险管理的方针和框架10、信息安全风险评估应该(B)。A. 只需要实施一次就可以B. 根据变化的情况定期或不定期的适时地进行C. 不需要形成文件化评估结果报告D. 仅对网络做定期的扫描就行11、选择信息安全控制措施应该(D )。A. 建立在风险评估的结果至上B. 针对每一种风险,控制措施并非唯一C. 反映组织风险管理战略D. 以上各项都对12、信息安全风险管理应该(C)。A. 将所有的信息安全风险都消除B. 在风险评估之前实施C. 基于可接受的成本米取相应的方法和措施D. 以上说法都不对13、以下有关残余风险的说法错误的是(A)。A. 残余风险不包含未识别的风险B. 残余风险还可被称为保留风险”C. 残余风险是风险处置后剩余的风险D. 管理者应对建议的残余风险进行批准14、ISO/IEC 27001从(B)的角度,建立、实施、运行、监视、 评审、保持和改进文件化的ISMS规定了要求。A. 客户安全要求B. 组织整体业务风险C. 信息安全法律法规D. 以上都不对15、管理者应(D)。A. 制定ISMS目标和计划B. 实施ISMS管理评审C. 决定接受风险的准则和风险的可接受级别D. 以上都对16、以下哪个不是风险管理相关标准(A)A. ISO/IEC TR 13335B. ISO/IEC 27002C. ISO/IEC 27005D. GB/T 2098417、下列关于“风险评价准则”描述不准确的是(A )A. 风险评价准则是评价风险主要程度的依据,不能被改变B. 风险评价准则应尽可能在风险管理过程开始时制定C. 风险评价准则应当与组织的风险管理方针一致D. 风险评价准则需体现组织的风险承受度,应反映组织的价值观、 目标和资源18、以下哪个标准对风险相关的概念作出了描述(C)A. AS/NZS 4360B. ISO/IEC TR 13335-1C. ISO Guide 73D. 以上都是19、风险评估方法可以是(B)A. 必须使用标准要求的B. 组织可以随意选择C. 组织自己选择,但要求是可再现的D以上都不对20、风险管理开始引入我国的时间是20世纪(D)A. 70年代B. 60年代C. 90年代D. 8 0年代21、风险管理的过程依顺序为(B)A. 风险识别、风险评价、风险分析、风险处置B. 风险识别、风险分析、风险评价、风险处置C. 风险评价、风险识别、风险处置、风险分析D. 风险处置、风险识别、风险评价、风险分析22、信息安全是保证信息的保密性、完整性和(C)A. 充分性B. 适宜性C. 可用性。有效性23、ISO/IEC TR 13335提到的4种风险分析方法不包括(B )A. 基线方法B. 正式方法C. 详细风险分析D. 组合方法24、风险评价是指(B)A. 系统地实用信息来识别风险来源和估计风险B. 将估计的风险与给定的风险准则加以比较以确定风险严重性的 过程C. 指导和控制一个组织相关风险的协调活动D以上都不对25、风险评估的三个要素(D)A. 组织、资产和人B. 组织、技术和信息仁软件、硬件和人D. 资产、威胁和脆弱性26、保险这种措施属于(C)A. 风险接受B. 风险规避C. 风险转移D风险减缓27、信息安全风险主要有哪些(D)A. 信息存储风险B. 信息传输风险C. 信息访问风险D. 以上都正确28、业务连续性计划框架应包含(D)A. 应急规程B. 意识、教育活动C. 人员职责D. 以上都包括判断题1、信息资产的价值可通过定性和定量的方法来描述。正确2、风险评价准则需体现组织的风险承受度,应反映组织的价值观、 目标和资源。正确3、起不到应有作用的或没有正确实施的安全保护措施本身就可能 是脆弱性。正确4、风险评价是指导和控制一个组织相关风险的协调活动。错误5、风险识别是发现、列举和描述风险要素的过程。正确6、风险管理是可定性的。正确7、风险评价就是将分析过程中发现的风险程度与先前建立的风险 准则比较。正确8、风险处置必须采取措施,将风险降低到可接受级别。正确9、风险分析要确定风险发生后其影响的大小正确10、风险评价准则应当与组织的风险管理方针一致正确2013年CCAA信息安全风险管理95分试卷i. FNW干-UftWdff4 «rFlnlU)f £jA HHEnifalllliFE. RMt- <Uk5«RU-B«?EK" t LS.dNil*空牛. IWJ- H «!b3. HlS4RArf-F-l«Rq£Q|* ! sujBadEtBi *£« 也算 nw ah< 1-d. UE43IEI -上I he 4 «>-以蚌丰qc xaiiAHB «t-=;FnB*t*!-. &!再"丈nS n R4il FKF* 尊比虫 trni匚si kUHresi.ctf :FWftmmt心,rt 0-at»*Wli!l.flma'?J|i?rt1irid« Sreiij-nfc?FW«oi«-山首勉曜r.-1 rrwf?S:jWJ5 彳叮日 H.叱 IIBJIr由占的给央集davit/d:牌胃注耕i晚叫部书家nruMM右虬尊. irU&MRflFKEHJSl电U,,F辱tH!骸早: k 5UjK4 &BfnaQ4iiinJB<R。6 翩星区佃*eeeuu妍云晚龄绐 gil终3H楠由, 布cc莎凝心呻, 涉亦。 "v»*&沁 &sus利四蹴手次"*泮亨。,必的彳 59 I »T r »HG&M殉R9F£ nilK rU»4I* ( < 诰,e*攻ngwrgtuic j c.r牛njwx if-三点ui j *4,斗 WRytMiM rNgMBOKsg、gir; goasn,ar F!RJPZWWdB;i!fl>iil¥< I a*/T场Bl加1,栏*疝WH叫r*“G:"WDl' g',询疫山9纽。Kltx也龄B T 您3*gX:fiSH voawiwirnu一-单项选择题(每小题札。分,共75分)l.ISO/IEC ZTW1从()的角度,为建立、实施、运行、监视、评审、保持和改进交件4。A.客户安全要求句B.组织整体业蓉风险O C.信息安全怯律法规O D.以上都不对2. 以下关于信息安全目的描述错误的是)O妃保护信息。艮以争取不出事O匚让信息拥有者没有要出事的感觉® D.消除导致出事的所有不确定性3. 信息安全风险评估应该EO妃只需要实施一次就可以® B.根据变化了的情况定期或不定期的适时地进行O C.不需要形成艾件化评估结果报告O D.仅对网诫定期的扫描就行4. 信息安全风险首理应该EO妃徭所有的信息安全风险都消除O B.在风险评估之前实施履)C.基于可接受的成本采取相应的方法和措施O D.以上说法都不对5. 选择信息安全控制措施应该(JO A.建立在风险评估的结果之上O B.针对猛一毋风降,棒制措施并韭唯一正确答案是C应该是正确的信息支全 试一单顼逸择叛(每小题5.。分,共75分)l .iso/nc 2700LU( J的角度'为建立、戏丽、运行' 监视、评虱 保:呼砌逐只件化的I渊8戒定了:Qa.客户安空要求G) 土短祝整体业冬 gQc,信息安竺法津渤C】以上都不对z.以下关于信息安全目的也述错误的是()保护信息。3.以争取不出事Oc-让信息拥有若世有要出醐诡克G) D.泠隆导地出事的所有不酣定性3信信.安全风险评估座该)Oa.只霁要实匝一冷眈可以<5 B.根悟登化了的皆况定翊或不定期的活的地洗行Q C.不需要形成文件化评估结果报告。】.攸对网终做定唳)扫挂就行4信息安全风险管芸应该()O A*所有的苫息安全风险者瑚除Ql在风险评估之前实施<s)c.戛于可接至:的成本采B?相应的方注和措施Ou.以上说法葡不对5选择信息安全控制措施应该ECa建苴在雌浒仁的结果之上O上针对抵一种团隘,控御龄话并非唯一T对于“乾芬相关方”的瓶2以下队述倚谡网()0人对于一攻决策该活动 > 可以影响诳I个人础取Ob对于一攻决策我治动可以被乞故曲个人砌偎Oc对于T5决筮亥活动可财5如屹静B的个人或也织®B袂第W目己不属于利益戡方
