2022年CCAA信息安全風(fēng)險管理考題和答案

2022年CCAA信息安全風(fēng)險治理考題和答案〔連續(xù)教育考試試題）1、以下關(guān)于“風(fēng)險治理過程”描述最準(zhǔn)確的是（C）OA.風(fēng)險治理過程由風(fēng)險評估、風(fēng)險處置、以及監(jiān)測與評審等子過程構(gòu)成；B.風(fēng)險治理過程由建立環(huán)境、風(fēng)險評估、風(fēng)險處置、以及監(jiān)測與評審等子過程構(gòu)成；C風(fēng)險治理過程由溝通與詢問、建立環(huán)境、風(fēng)險評估、風(fēng)險處置、以及監(jiān)測與評審等子過程構(gòu)成；D.風(fēng)險治理過程是一個完整的過程，獨立與組織的其他過程。2以下關(guān)于信息安全目的描述錯誤的選項是（D）。A.保護信息B.以爭取不出事C讓信息擁有者沒有出事的感覺D.消退導(dǎo)致出事的所不確定性3、對風(fēng)險術(shù)語的理解不準(zhǔn)確的是（C）。A.風(fēng)險是患病損害或損失的可能性B.風(fēng)險是對目標(biāo)產(chǎn)生影響的某種大事發(fā)生的時機C.風(fēng)險可以用后果和可能性來衡量D.風(fēng)險是由偏離期望的結(jié)果或大事的可能性引起的4、以下關(guān)于風(fēng)險治理說法錯誤的選項是（A）。A.風(fēng)險治理是指如何在一個確定有風(fēng)險的環(huán)境里把風(fēng)險消退的治理過程B風(fēng)險治理包括了風(fēng)險的量度、評估和應(yīng)變策略C.抱負的風(fēng)險治理，正是期望能夠花最少的資源去盡可能化解最大的危機D.抱負的風(fēng)險治理，是一連串排好優(yōu)先次序的過程，使當(dāng)中的可以引致最大損失及最大可能發(fā)生的事情優(yōu)先處理、而相對風(fēng)險較低的事情則壓后處理。5、以下哪項不在風(fēng)險評估之列（D）A.風(fēng)險識別B.風(fēng)險分析C.風(fēng)險評價D.風(fēng)險處置6、對風(fēng)險治理與組織其它活動的關(guān)系，以下陳述正確的選項是（B）。A.風(fēng)險治理與組織的其它活動可以分別B.風(fēng)險治理構(gòu)成組織全部過程整體所必需的一局部D.相對于組織的其它活動，風(fēng)險治理是附加的一項活動7、對于“利益相關(guān)方”的概念，以下陳述錯誤的選項是（D）。A.對于一項決策活動，可以影響它的個人或組織B.對于一項決策活動，可以被它影響的個人或組織C.對于一項決策活動，可以感知被它影響的個人或組織D.決策者自己不屬于利益相關(guān)方8、一個風(fēng)險的大小，可以由(A)的結(jié)合來表示。A.風(fēng)險的后果和發(fā)生可能性B.風(fēng)險后果和風(fēng)險源C風(fēng)險發(fā)生可能性和風(fēng)險源D.風(fēng)險源和風(fēng)險緣由9、以下哪項不屬于組織的風(fēng)險治理方針必需包括(C)內(nèi)容。A.風(fēng)險治理的依據(jù)、組織的目標(biāo)、方針與風(fēng)險治理方針的聯(lián)系B.風(fēng)險治理的責(zé)任、職責(zé)、資源C如何確定風(fēng)險等級、風(fēng)險的重要性D.報告風(fēng)險治理績效的方式、定期評審風(fēng)險治理的方針和框架10、信息安全風(fēng)險評估應(yīng)當(dāng)(B)oA.只需要實施一次就可以B.依據(jù)變化的狀況定期或不定期的適時地進展C.不需要形成文件化評估結(jié)果報告D.僅對網(wǎng)絡(luò)做定期的掃描就行11、選擇信息安全掌握措施應(yīng)當(dāng)(D)。A.建立在風(fēng)險評估的結(jié)果至上B.針對每一種風(fēng)險，掌握措施并非唯一C反映組織風(fēng)險治理戰(zhàn)略D.以上各項都對12、信息安全風(fēng)險治理應(yīng)當(dāng)(C)。A.將全部的信息安全風(fēng)險都消退B.在風(fēng)險評估之前實施C.基于可承受的本錢實行相應(yīng)的方法和措施D.以上說法都不對13、以下有關(guān)剩余風(fēng)險的說法錯誤的選項是(A)。A.剩余風(fēng)險不包含未識別的風(fēng)險B.剩余風(fēng)險還可被稱為“保存風(fēng)險”C.剩余風(fēng)險是風(fēng)險處置后剩余的風(fēng)險D.治理者應(yīng)對建議的剩余風(fēng)險進展批準(zhǔn)14、ISOJEC27001從（B）的角度，建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS規(guī)定了要求。A.客戶安全要求B.組織整體業(yè)務(wù)風(fēng)險C.信息安全法律法規(guī)D.以上都不對15、治理者應(yīng)（D）oA.制定ISMS目標(biāo)和打算B.實施ISMS治理評審C打算承受風(fēng)險的準(zhǔn)則和風(fēng)險的可承受級別D.以上都對16、以下哪個不是風(fēng)險治理相關(guān)標(biāo)準(zhǔn)（A）A.ISO/IECTR13335B.ISO/IEC27002C.ISO/IEC27005D.GB/T2098417、以下關(guān)于“風(fēng)險評價準(zhǔn)則”描述不準(zhǔn)確的是（A）A.風(fēng)險評價準(zhǔn)則是評價風(fēng)險主要程度的依據(jù)，不能被轉(zhuǎn)變B.風(fēng)險評價準(zhǔn)則應(yīng)盡可能在風(fēng)險治理過程開頭時制定C.風(fēng)險評價準(zhǔn)則應(yīng)當(dāng)與組織的風(fēng)險治理方針全都D.風(fēng)險評價準(zhǔn)則需表達組織的風(fēng)險承受度，應(yīng)反映組織的價值觀、目標(biāo)和資源18、以下哪個標(biāo)準(zhǔn)對風(fēng)險相關(guān)的概念作出了描述（C）A.AS/NZS4360B.ISO/IECTR13335-1C.ISOGuide73D.以上都是19、風(fēng)險評估方法可以是（B）A.必需使用標(biāo)準(zhǔn)要求的B.組織可以隨便選擇C.組織自己選擇，但要求是可再現(xiàn)的D.以上都不對20、風(fēng)險治理開頭引入我國的時間是20世紀(jì)（D）A.70年月B.60年月C.90年月D.80年月21、風(fēng)險治理的過程依挨次為（B）A.風(fēng)險識別、風(fēng)險評價、風(fēng)險分析、風(fēng)險處置B.風(fēng)險識別、風(fēng)險分析、風(fēng)險評價、風(fēng)險處置C.風(fēng)險評價、風(fēng)險識別、風(fēng)險處置、風(fēng)險分析D.風(fēng)險處置、風(fēng)險識別、風(fēng)險評價、風(fēng)險分析22、信息安全是保證信息的保密性、完整性和（C）A.充分性B.適宜性C.可用性D.有效性23、ISO/IECTR13335提到的4種風(fēng)險分析方法不包括（B）A.基線方法B.正式方法C.具體風(fēng)險分析D.組合方法24、風(fēng)險評價是指（B）A.系統(tǒng)地有用信息來識別風(fēng)險來源和估量風(fēng)險B.將估量的風(fēng)險與給定的風(fēng)險準(zhǔn)則加以比較以確定風(fēng)險嚴峻性的過程C.指導(dǎo)和掌握一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動D.以上都不對25、風(fēng)險評估的三個要素（D）A.組織、資產(chǎn)和人B.組織、技術(shù)和信息C.軟件、硬件和人D.資產(chǎn)、威逼和脆弱性26、保險這種措施屬于（OA.風(fēng)險承受B.風(fēng)險躲避C.風(fēng)險轉(zhuǎn)移D.風(fēng)險減緩27、信息安全風(fēng)險主要有哪些（D）A.信息存儲風(fēng)險B.信息傳輸風(fēng)險C.信息訪問風(fēng)險D.以上都正確28、業(yè)務(wù)連續(xù)性打算框架應(yīng)包含（）A.應(yīng)急規(guī)程B.意識、教育活動C.人員職責(zé)D.以上都包括推斷題1、信息資產(chǎn)的價值可通過定性和定量的方法來描述。正確2、風(fēng)險評價準(zhǔn)則需表達組織的風(fēng)險承受度，應(yīng)反映組織的價值觀、目標(biāo)和資源。正確3、起不到應(yīng)有作用的或沒有正確實施的安全保護措施本身就可能是脆弱性。正確4、風(fēng)險評價是指導(dǎo)和掌握一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動。錯誤5、風(fēng)險識別是覺察、列舉和描述風(fēng)險要