2026年CISP考试风险评估专题题库

2026年CISP考试风险评估专题题库一、单项选择题1.信息安全风险评估的起点和基础是（）。A.脆弱性识别B.威胁识别C..资产识别D.风险分析答案：C解析：资产是组织需要保护的对象，是风险管理的核心。风险评估应首先识别并评价资产的价值，资产的价值决定了其需要受到保护的程度，进而影响对威胁和脆弱性的识别，以及后续风险分析的依据。因此，资产识别是风险评估的起点和基础。2.在定量风险评估中，年度预期损失（ALE）的计算公式是（）。A.ALE=SLE×AROB.ALE=AV×EFC.ALE=SLE/AROD.ALE=AV×EF×ARO答案：A解析：在定量风险评估中，单次预期损失（SLE）是资产价值（AV）与暴露因子（EF）的乘积，即SLE=AV×EF。年度预期损失（ALE）则是单次预期损失与年度发生率（ARO）的乘积，即ALE=SLE×ARO=AV×EF×ARO。该公式用于量化风险可能造成的年度财务损失。3.某核心业务服务器资产价值（AV）为200万元，其面临一种特定威胁，该威胁若成功利用相关脆弱性，将导致资产40%的损失（EF=40%），且该威胁每年预计发生0.1次（ARO=0.1）。则该风险的年度预期损失（ALE）为（）。A.8万元B.80万元C.20万元D.2万元答案：A解析：首先计算单次预期损失SLE=AV×EF=200万元×40%=80万元。然后计算年度预期损失ALE=SLE×ARO=80万元×0.1=8万元。4.风险评估过程中，对威胁进行赋值时，通常不需要考虑以下哪个因素？（）A.威胁主体的动机B.威胁主体的能力C.威胁发生的可能性D.资产的价值答案：D解析：威胁赋值主要关注威胁本身的属性，包括威胁来源（主体）、动机、能力以及威胁事件发生的频率或可能性。资产的价值是资产自身的属性，在资产识别和赋值阶段确定，虽然它会影响风险的严重性，但不直接用于威胁赋值。威胁赋值应独立于具体资产，结合行业经验和历史数据进行分析。5.残余风险是指（）。A.未识别的风险B.采取了安全措施后仍然存在的风险C.被接受的风险D.无法控制的风险答案：B解析：残余风险是指在实施了所选的安全控制措施后，仍然残留的风险。任何安全措施都无法将风险降为零，总会有一部分风险被留存下来。这部分风险需要被评估、监控，并决定是接受、转移还是进一步处理。未识别的风险是未知风险，不属于残余风险范畴。6.以下哪项不属于脆弱性识别的范畴？（）A.操作系统存在未修补的高危漏洞B.机房防火措施不完善C.黑客组织发起网络攻击D.员工安全意识薄弱，容易遭受钓鱼攻击答案：C解析：脆弱性是指资产自身存在的、可能被威胁利用的弱点或缺陷。选项A是技术脆弱性，选项B是物理环境脆弱性，选项D是管理脆弱性。选项C“黑客组织发起网络攻击”描述的是威胁（威胁事件或威胁源），而非资产本身的脆弱性。7.在风险处理计划中，通过购买网络安全保险来应对数据泄露风险，这属于（）策略。A.风险规避B.风险降低C.风险转移D.风险接受答案：C解析：风险转移是指将风险带来的财务损失后果部分或全部转移给第三方。购买保险是典型的风险转移方式，组织通过支付保费，将潜在损失的经济赔偿责任转移给保险公司。风险规避是放弃可能带来风险的活动；风险降低是采取控制措施减少可能性或影响；风险接受是明知风险存在但不采取专门措施。8.风险评估报告的核心内容不应包括（）。A.详细的网络拓扑图B.风险评估方法概述C.识别的风险清单及等级D.风险处理建议答案：A解析：风险评估报告的核心是呈现评估过程、结果及建议。主要包括：评估范围、方法、资产/威胁/脆弱性识别结果、风险分析计算结果（风险清单及等级）、风险处理建议等。详细的网络拓扑图属于技术细节文档，可能包含敏感信息，通常作为附录或支撑材料，而非报告核心正文的必备内容。9.定性风险评估与定量风险评估的主要区别在于（）。A.是否识别资产B.是否使用数学模型C.是否分析威胁D.是否提出建议答案：B解析：定性风险评估主要依靠专家的知识和经验，使用描述性语言（如高、中、低）来评估风险的可能性与影响，不追求精确的数值结果。定量风险评估则试图为资产价值、威胁频率、损失程度等要素赋予具体的数值，并运用数学模型（如ALE计算）得出量化的风险值。两者在识别资产、分析威胁、提出建议等流程上相似，区别主要在于分析评价的方法和结果的呈现形式。10.关于PDCA循环在风险管理中的应用，以下描述正确的是（）。A.“P”（Plan）阶段仅指制定风险评估计划B.“D”（Do）阶段是实施风险处理措施C.“C”（Check）阶段是检查残余风险是否为零D.“A”（Act）阶段是接受所有风险答案：B解析：PDCA循环是持续改进的模型。在风险管理中，“P”阶段包括建立环境、风险评估（识别、分析、评价）和制定风险处理计划；“D”阶段是执行和实施所选择的风险处理措施；“C”阶段是监视和评审风险处理措施的有效性及残余风险的变化；“A”阶段是采取改进措施，以完善风险管理体系。风险不可能为零，检查的目的不是看是否为零，而是看是否在可接受范围内及控制是否有效。二、多项选择题1.信息安全风险的基本要素包括（）。A.资产B.威胁C.脆弱性D.安全事件E.影响答案：A、B、C、E解析：根据经典的风险模型，风险是威胁利用资产脆弱性，从而对资产造成潜在负面影响的可能性。其核心要素包括：资产（价值）、威胁（可能性和来源）、脆弱性（弱点）、以及风险一旦发生所造成的影响（后果）。安全事件是风险实际发生后的具体表现，是风险要素相互作用的结果，其本身不是风险的基本构成要素。2.以下哪些属于风险分析的方法？（）A.头脑风暴B.故障树分析（FTA）C.德尔菲法D.渗透测试E.事件树分析（ETA）答案：A、B、C、E解析：风险分析是对风险的可能性与影响进行估算或评价的过程。头脑风暴和德尔菲法是常用的专家定性分析方法。故障树分析（FTA）和事件树分析（ETA）是两种重要的系统安全工程定量或半定量分析方法，用于分析复杂系统中事件发生的逻辑关系和概率。渗透测试是一种技术手段，主要用于发现和验证技术脆弱性，属于风险识别（特别是脆弱性识别）阶段的技术方法，而非纯粹的风险“分析”方法。3.在制定风险处理计划时，选择风险处理措施应考虑的因素有（）。A.措施的成本B.措施的预期效果（降低风险的程度）C.法律法规和合同要求D.组织的风险偏好E.措施实施的技术复杂度答案：A、B、C、D、E解析：选择风险处理措施是一个综合决策过程。需要考虑：成本效益（A、B），即投入与风险降低效果的平衡；合规性（C），必须满足法律、法规及合同义务；组织的风险偏好（D），即组织愿意承担多大的风险；以及可行性（E），包括技术实现的难度、对业务的影响、运营维护的复杂性等。所有这些都是决策的重要依据。4.关于威胁建模，以下说法正确的有（）。A.STRIDE模型是从攻击者视角的威胁分类模型B.数据流图（DFD）是威胁建模常用的工具C.威胁建模只在系统设计阶段进行D.它有助于在开发早期识别潜在的安全问题E.PASTA模型是一种以风险为中心的威胁建模方法答案：A、B、D、E解析：STRIDE模型是微软提出的，从攻击者目标（欺骗、篡改、抵赖等）角度对威胁进行分类的模型。数据流图（DFD）是描述系统组件和数据流动的常用工具，是进行威胁建模（如使用STRIDE）的基础。威胁建模虽然提倡“左移”即在系统设计开发早期进行（D），但在系统运维阶段，对现有系统进行威胁建模以发现新威胁也同样重要（C错误）。PASTA（攻击模拟与威胁分析）是一种七阶段的、以风险为中心的威胁建模方法论（E）。5.风险评估的输入信息通常包括（）。A.组织的业务战略和流程B.信息系统架构和资产清单C.相关的法律法规和标准D.历史安全事件记录E.行业威胁情报答案：A、B、C、D、E解析：全面、准确的信息输入是有效风险评估的前提。组织的业务战略和流程（A）决定了资产的业务价值和保护需求。信息系统架构和资产清单（B）是评估的直接对象。法律法规和标准（C）是合规性要求的来源，也是评估的基准之一。历史安全事件记录（D）能反映组织面临的真实威胁和薄弱环节。行业威胁情报（E）有助于了解外部威胁环境的变化和趋势。所有这些信息共同构成了风险评估的上下文和依据。三、判断题1.风险值（Risk）=威胁可能性（Likelihood）×脆弱性严重程度（Vulnerability）。（）答案：错误解析：经典的风险计算公式是：风险值=威胁发生的可能性×威胁成功利用脆弱性后对资产造成的影响（或损失）。脆弱性严重程度是影响“可能性”或“影响”的一个因素，但通常不直接作为乘数。更常见的表述是：风险=可能性×影响。其中，可能性受威胁频率和脆弱性被利用的难易程度影响；影响受资产价值和脆弱性被利用后造成的后果严重性影响。2.信息安全风险评估是一个一次性的项目，在信息系统建设完成后进行即可。（）答案：错误解析：信息安全风险评估应是一个持续的、周期性的过程。由于组织的业务、资产、技术、威胁环境、法律法规等都在不断变化，风险也随之动态变化。因此，风险评估需要定期进行，并在发生重大变更（如系统升级、业务调整）时及时启动，以确保持续有效地管理风险。它应融入信息安全的生命周期管理。3.在定性风险评估矩阵中，风险等级通常通过将“可能性”和“影响”的等级相结合来确定。（）答案：正确解析：定性风险评估中，通常分别对风险发生的可能性和一旦发生造成的影响（或后果）进行分级（如分为“高、中、低”三级或“1至5”五级）。然后使用一个二维矩阵，将可能性和影响的等级进行组合，交叉定位出最终的风险等级（如“极高、高、中、低”）。4.残余风险必须被降低到零，否则风险管理就是失败的。（）答案：错误解析：由于成本、技术或业务可行性的限制，将风险完全消除（降为零）通常是不现实或不经济的。风险管理的目标是将风险降低到组织可接受的水平，而不是零风险。只要残余风险经过评估，在组织的风险承受能力（风险偏好）范围内，并且得到了管理层的明确批准（接受），风险管理就是成功的。5.漏洞扫描工具发现的漏洞都属于必须立即修复的高风险脆弱性。（）答案：错误解析：漏洞扫描工具发现的漏洞是技术脆弱性，但其风险高低需要结合具体环境进行评估。评估因素包括：该漏洞所在资产的重要性（资产价值）、该漏洞被利用的难易程度和可能性、以及利用后可能造成的影响。只有那些在关键资产上、易被利用、且可能造成严重影响的漏洞，才属于高风险脆弱性，需要优先处理。一些低危漏洞或在非关键资产上的漏洞，其风险可能较低，处理优先级也相应较低。四、简答题1.简述在风险评估的“资产识别与赋值”阶段，对资产进行赋值时主要应考虑哪些方面？答案：对资产赋值时，主要应从以下三个方面综合考虑：（1）保密性（Confidentiality）价值：资产所含信息一旦被未授权泄露，对组织造成的损害程度。例如，核心客户数据、商业秘密、源代码的泄露价值。（2）完整性（Integrity）价值：资产及其信息一旦被未授权篡改、破坏，对组织造成的损害程度。例如，财务数据、交易记录被篡改的后果。（3）可用性（Availability）价值：资产一旦中断服务或无法访问，对组织业务运营造成的损害程度。例如，核心业务系统停机一小时造成的损失。赋值时通常采用定性分级（如高、中、低）或半定量赋值（如赋予1-5的分值）。最终资产价值是综合三性价值后的一个整体评价，而非简单相加。同时，赋值需与资产所有者（业务部门）充分沟通，确保反映资产的真实业务重要性。2.说明威胁识别与脆弱性识别之间的区别与联系。答案：区别：（1）识别对象不同：威胁识别关注的是可能对资产造成损害的潜在外部或内部原因，即“谁”或“什么”可能带来危害（如黑客、恶意软件、员工失误、自然灾害）。脆弱性识别关注的是资产自身存在的、可被威胁利用的弱点，即“缺陷在哪里”（如系统漏洞、弱口令、管理制度缺失）。（2）视角不同：威胁识别更多是从外部环境或潜在攻击者视角出发。脆弱性识别则是从被保护资产自身的防御状态视角出发。联系：（1）相互依存：威胁和脆弱性是风险构成的一对关键要素。没有威胁，脆弱性本身不会造成损害；没有脆弱性，威胁难以成功实施。风险是威胁利用脆弱性的可能性。（2）识别过程关联：在实际评估中，识别威胁有助于思考哪些脆弱性可能被利用（例如，识别到“网络攻击”威胁，会引导去查找系统网络层面的脆弱性）。反之，识别到关键脆弱性也会促使去思考可能利用它的威胁源。（3）共同决定风险：两者共同决定了风险发生的可能性。威胁发生的频率高，且存在易于被利用的脆弱性，则风险可能性就高。五、综合应用题1.某电子商务公司计划对其在线支付系统进行风险评估。该系统处理所有用户的交易支付，日均交易额巨大。系统由Web服务器、应用服务器、数据库服务器组成，部署在云上。已知行业情报显示，针对金融支付系统的网络攻击（如Web入侵、DDoS）频繁。公司内部曾发生过多起员工误点击钓鱼邮件的事件。请结合上述场景，回答以下问题：（1）列出至少三种该在线支付系统可能面临的主要威胁。（2）针对“Web服务器遭受SQL注入攻击”这一威胁场景，分析其可能利用的脆弱性有哪些？（至少列出两点）（3）如果采用“购买DDoS云防护服务”作为风险处理措施，这主要应对了哪种威胁？并说明该措施属于哪种风险处理策略。答案：（1）该在线支付系统可能面临的主要威胁包括：a.网络攻击威胁：如黑客发起的SQL注入、跨站脚本（XSS）等Web应用攻击，旨在窃取支付数据或篡改交易。b.拒绝服务攻击威胁：如分布式拒绝服务（DDoS）攻击，旨在使支付系统瘫痪，中断服务，造成业务损失和声誉损害。c.内部人员威胁：如员工（无意或恶意）误操作、滥用权限，导致数据泄露或系统故障。题干中提到的员工误点击钓鱼邮件即是此类威胁的入口。d.数据泄露威胁：攻击者通过漏洞或内部途径窃取用户支付信息（如信用卡号）、个人身份信息等敏感数据。（答出其中任意三种即可）（2）针对“Web服务器遭受SQL注入攻击”威胁场景，可能利用的脆弱性包括：a.应用程序脆弱性：Web应用程序在开发时，对用户输入（如表单、URL参数）未进行充分的过滤、验证或转义，存在SQL注入漏洞。b.安全配置脆弱性：数据库服务器的权限配置不当，例如，Web应用使用的数据库账户拥有过高的权限（如DROP、DELETE等），一旦注入成功，危害被放大。c.防护措施脆弱性：缺乏有效的Web应用防火墙（WAF）或WAF规则未及时更新，未能有效拦截SQL注入攻击流量。（答出其中任意两点即可）（3）购买DDoS云防护服务主要应对“拒绝服务攻击（DDoS）威胁”。该措施属于风险降低（缓解）策略。因为DDoS云防护服务通过流量清洗、攻击流量过滤等技术手段，旨在降低DDoS攻击成功的可能性，或者减少攻击成功时对系统可用性造成的影响（缩短中断时间），从而将相关风险降低到可接受的水平。它并非转移财务损失（如保险），也非放弃业务（规避），更不是不作为（接受）。2.假设你是风险评估项目的负责人，需要向高级管理层汇报评估结果并争取资源以处理高风险项。请阐述你的汇报应包含哪些关键内容，以有效说服管理层。答案：向