2014 年 CCAA 信息安全风险管理考题和答案（继续教育考试试题）

1、下列关于“风险管理过程”描述最准确的是（C ）。

A. 风险管理过程由风险评估、风险处置、以及监测与评审等子过程构成；

B.风险管理过程由建立环境、风险评估、风险处置、以及监测与评审等子过程构成；

C.风险管理过程由沟通与咨询、建立环境、风险评估、风险处置、以及监测与评审等子过程构成；

D.风险管理过程是一个完整的过程，独立与组织的其他过程。

2 以下关于信息安全目的描述错误的是（D ）。

A.保护信息 B.以争取不出事

C.让信息拥有者没有出事的感觉 D.消除导致出事的所不确定性

3、对风险术语的理解不准确的是（ C ）。

A.风险是遭受损害或损失的可能性 B.风险是对目标产生影响的某种事件发生的机会

C.风险可以用后果和可能性来衡量 D.风险是由偏离期望的结果或事件的可能性引起的

4、以下关于风险管理说法错误的是（ A ）。

A.风险管理是指如何在一个肯定有风险的环境里把风险消除的管理过程

B.风险管理包括了风险的量度、评估和应变策略

C.理想的风险管理，正是希望能够花最少的资源去尽可能化解最大的危机

D.理想的风险管理，是一连串排好优先次序的过程，使当中的可以引致最大损失及最大可能发生的事 情优先处理、而相对风险较低的事情则压后处理。

5、下列哪项不在风险评估之列（ D ）

A.风险识别 B.风险分析 C.风险评价 D.风险处置

6、对风险管理与组织其它活动的关系，以下陈述正确的是（B ）。

A.风险管理与组织的其它活动可以分离

B.风险管理构成组织所有过程整体所必需的一部分

D.相对于组织的其它活动，风险管理是附加的一项活动

7、对于“利益相关方”的概念，以下陈述错误的是（D ）。

A.对于一项决策活动，可以影响它的个人或组织

B. 对于一项决策活动，可以被它影响的个人或组织

C. 对于一项决策活动，可以感知被它影响的个人或组织

D.决策者自己不属于利益相关方

8、一个风险的大小，可以由（ A ）的结合来表示。

A.风险的后果和发生可能性 B.风险后果和风险源

C.风险发生可能性和风险源 D.风险源和风险原因

9、下列哪项不属于组织的风险管理方针必须包括（C ）内容。

A.风险管理的依据、组织的目标、方针与风险管理方针的联系

B.风险管理的责任、职责、资源

C.如何确定风险等级、风险的重要性

D.报告风险管理绩效的方式、定期评审风险管理的方针和框架

10、信息安全风险评估应该（B ）。

A.只需要实施一次就可以 B.根据变化的情况定期或不定期的适时地进行

C.不需要形成文件化评估结果报告 D.仅对网络做定期的扫描就行

11、选择信息安全控制措施应该（D ）。

A.建立在风险评估的结果至上 B.针对每一种风险，控制措施并非唯一

C.反映组织风险管理战略 D.以上各项都对

12、信息安全风险管理应该（C ）。

A.将所有的信息安全风险都消除 B.在风险评估之前实施

C.基于可接受的成本采取相应的方法和措施 D.以上说法都不对

13、以下有关残余风险的说法错误的是（A ）。

A.残余风险不包含未识别的风险 B.残余风险还可被称为“保留风险”

C.残余风险是风险处置后剩余的风险 D.管理者应对建议的残余风险进行批准

14、ISO/IEC 27001 从（ B ）的角度，建立、实施、运行、监视、评审、保持和改进文件化的 ISMS 规定了要求。

A.客户安全要求 B.组织整体业务风险 C.信息安全法律法规 D.以上都不对

15、管理者应（D ）。

A.制定 ISMS 目标和计划 B.实施 ISMS 管理评审

C.决定接受风险的准则和风险的可接受级别 D.以上都对

16、以下哪个不是风险管理相关标准（A ）

A.ISO/IEC TR 13335 B.ISO/IEC 27002 C.ISO/IEC 27005 D.GB/T 20984

17、下列关于“风险评价准则”描述不准确的是（A ）

A.风险评价准则是评价风险主要程度的依据，不能被改变

B.风险评价准则应尽可能在风险管理过程开始时制定

C.风险评价准则应当与组织的风险管理方针一致

D.风险评价准则需体现组织的风险承受度，应反映组织的价值观、目标和资源

18、以下哪个标准对风险相关的概念作出了描述（ C ）

A.AS/NZS 4360 B.ISO/IEC TR 13335-1 C.ISO Guide 73 D.以上都是

19、风险评估方法可以是（B）

A.必须使用标准要求的 B.组织可以随意选择

C.组织自己选择，但要求是可再现的 D.以上都不对

20、风险管理开始引入我国的时间是 20 世纪（D）

A.70 年代 B.60 年代 C.90 年代 D.80 年代

21、风险管理的过程依顺序为（B）

A.风险识别、风险评价、风险分析、风险处置

B.风险识别、风险分析、风险评价、风险处置

C.风险评价、风险识别、风险处置、风险分析

D.风险处置、风险识别、风险评价、风险分析

22、信息安全是保证信息的保密性、完整性和（C）

A.充分性 B.适宜性 C.可用性 D.有效性

23、ISO/IEC TR 13335 提到的 4 种风险分析方法不包括（B）

A.基线方法 B.正式方法 C.详细风险分析 D.组合方法

24、风险评价是指（B）

A.系统地实用信息来识别风险来源和估计风险

B.将估计的风险与给定的风险准则加以比较以确定风险严重性的过程

C.指导和控制一个组织相关风险的协调活动

D.以上都不对

25、风险评估的三个要素（D）

A.组织、资产和人 B.组织、技术和信息 C.软件、硬件和人 D.资产、威胁和脆弱性

26、保险这种措施属于（C）

A.风险接受 B.风险规避 C.风险转移 D.风险减缓

27、信息安全风险主要有哪些（D）

A.信息存储风险 B.信息传输风险 C.信息访问风险 D.以上都正确

28、业务连续性计划框架应包含（D）

A.应急规程 B.意识、教育活动 C.人员职责 D.以上都包括

判断题

1、信息资产的价值可通过定性和定量的方法来描述。 正确

2、风险评价准则需体现组织的风险承受度，应反映组织的价值观、目标和资源。正确

3、起不到应有作用的或没有正确实施的安全保护措施本身就可能是脆弱性。 正确

4、风险评价是指导和控制一个组织相关风险的协调活动。 错误

5、风险识别是发现、列举和描述风险要素的过程。 正确

6、风险管理是可定性的。 正确

7、风险评价就是将分析过程中发现的风险程度与先前建立的风险准则比较。 正确

8、风险处置必须采取措施，将风险降低到可接受级别。 正确

9、风险分析要确定风险发生后其影响的大小 正确

10、风险评价准则应当与组织的风险管理方针一致 正确

 

第二篇：CCAA网络继续教育信息安全风险管理课件1