更多"不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当"的相关试题:
[单项选择]组织选择信息安全风险评估方法,应考虑()
A. 适合于组织的ISMS、已识别的安全要求和法律法规要求
B. 只有采用准确性高的概率模型才能得出可信的结果
C. 必须采用易学易用的定性评估方法才能提高效率
D. 必须采用国家标准规定的相加法或相乘法
[单项选择]信息安全风险评估包括资产评估、()、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容。
A. 安全评估
B. 威胁评估
C. 漏洞评估
D. 攻击评估
[判断题]国家建立食品安全风险评估制度,运用科学方法,根据食品安全风险监测信息、科学数据以及有关信息,对食品、食品添加剂、食品相关产品中生物性、化学性和物理性危害因素进行风险评估。
[单项选择]信息安全风险评估报告应当包括()
A. 评估范围
B. 评估依据
C. 评估结论和整改建议
D. 以上全部
[单项选择]信息安全风险评估报告不当包括()
A. 评估范围
B. 评估经费
C. 评估依据
D. 评估结论和整改建议
[单项选择]营销安全风险评估,主要参照生产系统风险评估方法,主要考虑三个因素:危害造成可能事故的后果、暴露于危害的频率、()。
A. 造成风险的原因
B. 风险的管控措施
C. 发生后果的可能性
[单项选择]某单位在实施信息安全风险评估后,形成了若干文挡,下面()中的文挡不应属于风险评估中“风险评估准备”阶段输出的文档。
A. 《风险评估工作计划》,主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色及职责、经费预算和进度安排等内容
B. 《风险评估方法和工具列表》。主要包括拟用的风险评估方法和测试评估工具等内容
C. 《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容
D. 《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、资产分类标准、资产分类准则等内容
[填空题]公司相关企业在开展企业安全风险管理时,应结合实际编制本企业安全风险评估标准、()、检查评估方法,针对人身安全、()、供电安全等,开展周期性、即时性危险源辨识和风险评估
[单项选择]某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后,认识到信息安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导,其中描述错误的是()。
A. 检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估
B. 检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测
C. 检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施
D. 检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点
[单项选择]《信息安全技术信息安全风险评估规范GB/T20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是:()
A. 规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等。
B. 设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求。
C. 实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证。
D. 运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面。
[单项选择]《国家电网公司信息安全风险评估管理暂行办法》中规定,风险评估工作的周期是()。
A. 1-2年
B. 2-3年
C. 3-4年
D. 4-5年
[单项选择]国家建立食品安全风险评估制度,由国务院()负责组织食品安全风险评估工作。
A. 质量监督部门
B. 国家食品药品监督管理部门
C. 工商行政管理部门
D. 卫生行政部门
[单项选择]信息安全风险评估是信息安全管理体系建立的基础,以下说法错误的是()
A. 信息安全管理体系的建立需要确定信息安全需求,而信息安全需求获取的主要手段就是信息安全风险评估
B. 风险评估可以对信息资产进行鉴定和评估,然后对信息资产面对的各种威胁和脆弱性进行评估
C. 风险评估可以确定需要实施的具体安全控制措施
D. 风险评估的结果应进行相应的风险处置,本质上,风险处置的最佳集合就是信息安全管理体系的控制措施集合
[单项选择]对信息安全风险评估要素理解正确的是()
A. 资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构
B. 应针对构成信息系统的每个资产做风险评价
C. 脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项
D. 信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁
[单项选择]信息安全风险评估实施步骤分为()个阶段。
A. 3
B. 4
C. 5
D. 6
[单项选择]信息安全风险评估分为自评估和检查评估两种形式。下列描述不正确的是:()
A. 信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。
B. 检查评估可在自评估实施的基础上,对关键环节或重点内容实施抽样评估。
C. 检查评估也可委托风险评估服务技术支持方实施,但评估结果仅对检查评估的发起单位负责。
D. 检查评估是指信息系统上级管理部门组织有关职能部门开展的风险评估。
[多项选择]下列属于信息安全风险评估实施阶段的是()。
A. 启动培训
B. 风险要素评估
C. 风险计算分析建议
D. 安全整改
[判断题]制定食品安全国家标准,应当依据食品安全风险评估结果并充分考虑食用农产品安全风险评估结果,参照相关的国际标准和国际食品安全风险评估结果。
[判断题]制定食品安全国家标准,不需依据食品安全风险评估结果并充分考虑食用农产品安全风险评估结果,并参照相关的国际标准和国际食品安全风险评估结果。
