2022年CCAA信息安全風險管理考題和答案

2022CCAA信息安全風險治理考題和答案〔連續(xù)教育考試試題〕1、以下關于“風險治理過程”描述最準確的是〔C〕。風險治理過程由風險評估、風險處置、以及監(jiān)測與評審等子過程構成；風險治理過程由建立環(huán)境、風險評估、風險處置、以及監(jiān)測與評審等子過程構成；風險治理過程由溝通與詢問、建立環(huán)境、風險評估、風險處置、以及監(jiān)測與評審等子過程構成；D.風險治理過程是一個完整的過程，獨立與組織的其他過程。2以下關于信息安全目的描述錯誤的選項是〔D〕。保護信息以爭取不出事讓信息擁有者沒有出事的感覺D.消退導致出事的所不確定性3、對風險術語的理解不準確的是〔C〕。風險是患病損害或損失的可能性風險是對目標產生影響的某種大事發(fā)生的時機C.風險可以用后果和可能性來衡量D.風險是由偏離期望的結果或大事的可能性引起的4、以下關于風險治理說法錯誤的選項是〔A〕。A.風險治理是指如何在一個確定有風險的環(huán)境里把風險消退的治理過程B.風險治理包括了風險的量度、評估和應變策略C.抱負的風險治理，正是期望能夠花最少的資源去盡可能化解最大的危機D.抱負的風險治理，是一連串排好優(yōu)先次序的過程，使當中的可以引致最大損失及最大可能發(fā)生的事情優(yōu)先處理、而相對風險較低的事情則壓后處理。5、以下哪項不在風險評估之列〔D〕A.風險識別B.風險分析C.風險評價D.風險處置6、對風險治理與組織其它活動的關系，以下陳述正確的選項是〔B〕。風險治理與組織的其它活動可以分別風險治理構成組織全部過程整體所必需的一局部D.相對于組織的其它活動，風險治理是附加的一項活動7、對于“利益相關方”的概念，以下陳述錯誤的選項是〔D〕。對于一項決策活動，可以影響它的個人或組織對于一項決策活動，可以被它影響的個人或組織對于一項決策活動，可以感知被它影響的個人或組織決策者自己不屬于利益相關方8、一個風險的大小，可以由〔A〕的結合來表示。A.風險的后果和發(fā)生可能性B.風險后果和風險源C.風險發(fā)生可能性和風險源D.風險源和風險緣由9、以下哪項不屬于組織的風險治理方針必需包括〔C〕內容。A.風險治理的依據、組織的目標、方針與風險治理方針的聯系B.風險治理的責任、職責、資源C.如何確定風險等級、風險的重要性D.報告風險治理績效的方式、定期評審風險治理的方針和框架10、信息安全風險評估應當〔B〕。只需要實施一次就可以依據變化的狀況定期或不定期的適時地進展C.不需要形成文件化評估結果報告D.僅對網絡做定期的掃描就行11、選擇信息安全掌握措施應當〔D〕。建立在風險評估的結果至上針對每一種風險，掌握措施并非唯一C.反映組織風險治理戰(zhàn)略D.以上各項都對12、信息安全風險治理應當〔C〕。A.將全部的信息安全風險都消退B.在風險評估之前實施C.基于可承受的本錢實行相應的方法和措施D.以上說法都不對13、以下有關剩余風險的說法錯誤的選項是〔A〕。剩余風險不包含未識別的風險剩余風險還可被稱為“保存風險”C.剩余風險是風險處置后剩余的風險D.治理者應對建議的剩余風險進展批準14、ISO/IEC2700114、ISO/IEC27001從〔B〕的角度，建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS規(guī)定了要求。客戶安全要求組織整體業(yè)務風險C.信息安全法律法規(guī)D.以上都不對15、治理者應〔D〕。制定ISMS目標和打算實施ISMS治理評審打算承受風險的準則和風險的可承受級別D.以上都對16、以下哪個不是風險治理相關標準〔A〕ISO/IECTR13335ISO/IEC27002ISO/IEC27005D.GB/T2098417、以下關于“風險評價準則”描述不準確的是〔A〕A.風險評價準則是評價風險主要程度的依據，不能被轉變D.風險評價準則需表達組織的風險承受度，應反映組織的價值觀、目標和資源18、以下哪個標準對風險相關的概念作出了描述〔C〕A.AS/NZS4360B.ISO/IECTR13335-1C.ISOGuide73D.以上都是19、風險評估方法可以是〔B〕A.必需使用標準要求的B.組織可以隨便選擇C.組織自己選擇，但要求是可再現的D.以上都不對2020〔D〕A.70年月B.60年月C.90年月D.80年月21、風險治理的過程依挨次為〔B〕A.風險識別、風險評價、風險分析、風險處置B.風險識別、風險分析、風險評價、風險處置C.風險評價、風險識別、風險處置、風險分析D.風險處置、風險識別、風險評價、風險分析22、信息安全是保證信息的保密性、完整性和〔C〕A.充分性B.適宜性C.可用性D.有效性23、ISO/IECTR133354種風險分析方法不包括〔B〕A.基線方法B.正式方法C.具體風險分析D.組合方法24、風險評價是指〔B〕系統地有用信息來識別風險來源和估量風險將估量的風險與給定的風險準則加以比較以確定風險嚴峻性的過程C.指導和掌握一個組織相關風險的協調活動D.以上都不對25、風險評估的三個要素〔D〕A.組織、資產和人B.組織、技術和信息C.軟件、硬件和人D.資產、威逼和脆弱性26、保險這種措施屬于〔C〕A.風險承受B.風險躲避C.風險轉移D.風險減緩27、信息安全風險主要有哪些〔D〕A.信息存儲風險B.信息傳輸風險C.信息訪問風險D.以上都正確28、業(yè)務連續(xù)性打算框架應包含〔〕應急規(guī)程意識、教育活動C.人員職責D.以上都包括推斷題1、信息資產的價值可通過定性和定量的方法來描述。正確2、風險評價準則需表達組織的風險承受度，應反映組織的價值觀、目標和資源。正確3、起不到應有作用的或沒有正確實施的安全保護措施本身就可能是脆弱性。正確4、風險評價是指導和掌握一個組織相關風險的協調活動。錯誤5、風險識別是覺察、列舉和描述風險要素的過程。