CCAA信息安全风险管理考题和答案(最新最全版).doc

2014年CCAA信息安全风险管理考题和答案（继续教育考试试题）1、下列关于“风险管理过程”描述最准确的是（C）。A.风险管理过程由风险评估、风险处置、以及监测与评审等子过程构成；B.风险管理过程由建立环境、风险评估、风险处置、以及监测与评审等子过程构成；C.风险管理过程由沟通与咨询、建立环境、风险评估、风险处置、以及监测与评审等子过程构成；D.风险管理过程是一个完整的过程，独立与组织的其他过程。2以下关于信息安全目的描述错误的是（D）。A.保护信息B.以争取不出事C.让信息拥有者没有出事的感觉D.消除导致出事的所不确定性3、对风险术语的理解不准确的是（C）。A.风险是遭受损害或损失的可能性B.风险是对目标产生影响的某种事件发生的机会C.风险可以用后果和可能性来衡量D.风险是由偏离期望的结果或事件的可能性引起的4、以下关于风险管理说法错误的是（A）。A.风险管理是指如何在一个肯定有风险的环境里把风险消除的管理过程B.风险管理包括了风险的量度、评估和应变策略C.理想的风险管理，正是希望能够花最少的资源去尽可能化解最大的危机D.理想的风险管理，是一连串排好优先次序的过程，使当中的可以引致最大损失及最大可能发生的事情优先处理、而相对风险较低的事情则压后处理。5、下列哪项不在风险评估之列（D）A.风险识别B.风险分析C.风险评价D.风险处置6、对风险管理与组织其它活动的关系，以下陈述正确的是（B）。A.风险管理与组织的其它活动可以分离B.风险管理构成组织所有过程整体所必需的一部分D.相对于组织的其它活动，风险管理是附加的一项活动7、对于“利益相关方”的概念，以下陈述错误的是（D）。A.对于一项决策活动，可以影响它的个人或组织B.对于一项决策活动，可以被它影响的个人或组织C.对于一项决策活动，可以感知被它影响的个人或组织D.决策者自己不属于利益相关方8、一个风险的大小，可以由（A）的结合来表示。A.风险的后果和发生可能性B.风险后果和风险源C.风险发生可能性和风险源D.风险源和风险原因9、下列哪项不属于组织的风险管理方针必须包括（C）内容。A.风险管理的依据、组织的目标、方针与风险管理方针的联系B.风险管理的责任、职责、资源C.如何确定风险等级、风险的重要性D.报告风险管理绩效的方式、定期评审风险管理的方针和框架10、信息安全风险评估应该（B）。A.只需要实施一次就可以B.根据变化的情况定期或不定期的适时地进行C.不需要形成文件化评估结果报告D.仅对网络做定期的扫描就行11、选择信息安全控制措施应该（D）。A.建立在风险评估的结果至上B.针对每一种风险，控制措施并非唯一C.反映组织风险管理战略D.以上各项都对12、信息安全风险管理应该（C）。A.将所有的信息安全风险都消除B.在风险评估之前实施C.基于可接受的成本采取相应的方法和措施D.以上说法都不对13、以下有关残余风险的说法错误的是（A）。A.残余风险不包含未识别的风险B.残余风险还可被称为“保留风险”C.残余风险是风险处置后剩余的风险D.管理者应对建议的残余风险进行批准14、ISO/IEC27001从（B）的角度，建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。A.客户安全要求B.组织整体业务风险C.信息安全法律法规D.以上都不对15、管理者应（D）。A.制定ISMS目标和计划B.实施ISMS管理评审C.决定接受风险的准则和风险的可接受级别D.以上都对16、以下哪个不是风险管理相关标准（A）A.ISO/IECTR13335B.ISO/IEC27002C.ISO/IEC27005D.GB/T2098417、下列关于“风险评价准则”描述不准确的是（A）A.风险评价准则是评价风险主要程度的依据，不能被改变B.风险评价准则应尽可能在风险管理过程开始时制定C.风险评价准则应当与组织的风险管理方针一致D.风险评价准则需体现组织的风险承受度，应反映组织的价值观、目标和资源18、以下哪个标准对风险相关的概念作出了描述（C）A.AS/NZS4360B.ISO/IECTR13335-1C.ISOGuide73D.以上都是19、风险评估方法可以是（B）A.必须使用标准要求的B.组织可以随意选择C.组织自己选择，但要求是可再现的D.以上都不对20、风险管理开始引入我国的时间是20世纪（D）A.70年代B.60年代C.90年代D.80年代21、风险管理的过程依顺序为（B）A.风险识别、风险评价、风险分析、风险处置B.风险识别、风险分析、风险评价、风险处置C.风险评价、风险识别、风险处置、风险分析D.风险处置、风险识别、风险评价、风险分析22、信息安全是保证信息的保密性、完整性和（C）A.充分性B.适宜性C.可用性D.有效性23、ISO/IECTR13335提到的4种风险分析方法不包括（B）A.基线方法B.正式方法C.详细风险分析D.组合方法24、风险评价是指（B）A.系统地实用信息来识别风险来源和估计风险B.将估计的风险与给定的风险准则加以比较以确定风险严重性的过程C.指导和控制一个组织相关风险的协调活动D.以上都不对25、风险评估的三个要素（D）A.组织、资产和人B.组织、技术和信息C.软件、硬件和人D.资产、威胁和脆弱性26、保险这种措施属于（C）A.风险接受B.风险规避C.风险转移D.风险减缓27、信息安全风险主要有哪些（D）A.信息存储风险B.信息传输风险C.信息访问风险D.以上都正确28、业务连续性计划框架应包含（D）A.应急规程B.意识、教育活动C.人员职责D.以上都包括判断题1、信息资产的价值可通过定性和定量的方法来描述。正确2、风险评价准则需体现组织的风险承受度，应反映组织的价值观、目标和资源。正确3、起不到应有作用的或没有正确实施的安全保护措施本身就可能是脆弱性。正确4、风险评价是指导和控制一个组织相关风险的协调活动。错误5、风险识别是发现、列举和描述风险要素的过程。正确6、风险管理是可定性的。正确7、风险评价就是将分析过程中发现的风险程度与先前建立的风险准则比较。