2022年CCAA信息安全风险管理考题和答案

2022年CCAA信息安全风险治理考题和答案〔连续教育考试试题）1、以下关于“风险治理过程”描述最准确的是（C）OA.风险治理过程由风险评估、风险处置、以及监测与评审等子过程构成；B.风险治理过程由建立环境、风险评估、风险处置、以及监测与评审等子过程构成；C风险治理过程由沟通与询问、建立环境、风险评估、风险处置、以及监测与评审等子过程构成；D.风险治理过程是一个完整的过程，独立与组织的其他过程。2以下关于信息安全目的描述错误的选项是（D）。A.保护信息B.以争取不出事C让信息拥有者没有出事的感觉D.消退导致出事的所不确定性3、对风险术语的理解不准确的是（C）。A.风险是患病损害或损失的可能性B.风险是对目标产生影响的某种大事发生的时机C.风险可以用后果和可能性来衡量D.风险是由偏离期望的结果或大事的可能性引起的4、以下关于风险治理说法错误的选项是（A）。A.风险治理是指如何在一个确定有风险的环境里把风险消退的治理过程B风险治理包括了风险的量度、评估和应变策略C.抱负的风险治理，正是期望能够花最少的资源去尽可能化解最大的危机D.抱负的风险治理，是一连串排好优先次序的过程，使当中的可以引致最大损失及最大可能发生的事情优先处理、而相对风险较低的事情则压后处理。5、以下哪项不在风险评估之列（D）A.风险识别B.风险分析C.风险评价D.风险处置6、对风险治理与组织其它活动的关系，以下陈述正确的选项是（B）。A.风险治理与组织的其它活动可以分别B.风险治理构成组织全部过程整体所必需的一局部D.相对于组织的其它活动，风险治理是附加的一项活动7、对于“利益相关方”的概念，以下陈述错误的选项是（D）。A.对于一项决策活动，可以影响它的个人或组织B.对于一项决策活动，可以被它影响的个人或组织C.对于一项决策活动，可以感知被它影响的个人或组织D.决策者自己不属于利益相关方8、一个风险的大小，可以由(A)的结合来表示。A.风险的后果和发生可能性B.风险后果和风险源C风险发生可能性和风险源D.风险源和风险缘由9、以下哪项不属于组织的风险治理方针必需包括(C)内容。A.风险治理的依据、组织的目标、方针与风险治理方针的联系B.风险治理的责任、职责、资源C如何确定风险等级、风险的重要性D.报告风险治理绩效的方式、定期评审风险治理的方针和框架10、信息安全风险评估应当(B)oA.只需要实施一次就可以B.依据变化的状况定期或不定期的适时地进展C.不需要形成文件化评估结果报告D.仅对网络做定期的扫描就行11、选择信息安全掌握措施应当(D)。A.建立在风险评估的结果至上B.针对每一种风险，掌握措施并非唯一C反映组织风险治理战略D.以上各项都对12、信息安全风险治理应当(C)。A.将全部的信息安全风险都消退B.在风险评估之前实施C.基于可承受的本钱实行相应的方法和措施D.以上说法都不对13、以下有关剩余风险的说法错误的选项是(A)。A.剩余风险不包含未识别的风险B.剩余风险还可被称为“保存风险”C.剩余风险是风险处置后剩余的风险D.治理者应对建议的剩余风险进展批准14、ISOJEC27001从（B）的角度，建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。A.客户安全要求B.组织整体业务风险C.信息安全法律法规D.以上都不对15、治理者应（D）oA.制定ISMS目标和打算B.实施ISMS治理评审C打算承受风险的准则和风险的可承受级别D.以上都对16、以下哪个不是风险治理相关标准（A）A.ISO/IECTR13335B.ISO/IEC27002C.ISO/IEC27005D.GB/T2098417、以下关于“风险评价准则”描述不准确的是（A）A.风险评价准则是评价风险主要程度的依据，不能被转变B.风险评价准则应尽可能在风险治理过程开头时制定C.风险评价准则应当与组织的风险治理方针全都D.风险评价准则需表达组织的风险承受度，应反映组织的价值观、目标和资源18、以下哪个标准对风险相关的概念作出了描述（C）A.AS/NZS4360B.ISO/IECTR13335-1C.ISOGuide73D.以上都是19、风险评估方法可以是（B）A.必需使用标准要求的B.组织可以随便选择C.组织自己选择，但要求是可再现的D.以上都不对20、风险治理开头引入我国的时间是20世纪（D）A.70年月B.60年月C.90年月D.80年月21、风险治理的过程依挨次为（B）A.风险识别、风险评价、风险分析、风险处置B.风险识别、风险分析、风险评价、风险处置C.风险评价、风险识别、风险处置、风险分析D.风险处置、风险识别、风险评价、风险分析22、信息安全是保证信息的保密性、完整性和（C）A.充分性B.适宜性C.可用性D.有效性23、ISO/IECTR13335提到的4种风险分析方法不包括（B）A.基线方法B.正式方法C.具体风险分析D.组合方法24、风险评价是指（B）A.系统地有用信息来识别风险来源和估量风险B.将估量的风险与给定的风险准则加以比较以确定风险严峻性的过程C.指导和掌握一个组织相关风险的协调活动D.以上都不对25、风险评估的三个要素（D）A.组织、资产和人B.组织、技术和信息C.软件、硬件和人D.资产、威逼和脆弱性26、保险这种措施属于（OA.风险承受B.风险躲避C.风险转移D.风险减缓27、信息安全风险主要有哪些（D）A.信息存储风险B.信息传输风险C.信息访问风险D.以上都正确28、业务连续性打算框架应包含（）A.应急规程B.意识、教育活动C.人员职责D.以上都包括推断题1、信息资产的价值可通过定性和定量的方法来描述。正确2、风险评价准则需表达组织的风险承受度，应反映组织的价值观、目标和资源。正确3、起不到应有作用的或没有正确实施的安全保护措施本身就可能是脆弱性。正确4、风险评价是指导和掌握一个组织相关风险的协调活动。错误5、风险识别是觉察、列举和描述风险要