cisp信息安全管理风件险课堂例题.docx

以下关于风险评估的描述不正确的是？作为风险评估的要素之一，威胁发生的可能需要被评估作为风险评估的要素之一，威胁发生后产生的影响需要被评估风险评估是风险管理的第一步风险评估是风险管理的最终结果以下哪个选项是缺乏适当的安全控制的表现威胁脆弱性资产影响下面那个不是信息安全风险的要素？资产及其价值数据安全威胁控制措施信息安全风险管理的对象不包括如下哪项信息自身信息载体信息网络信息环境信息安全风险管理的最终责任人是？决策层管理层执行层支持层信息安全风险评估对象确立的主要依据是什么系统设备的类型系统的业务目标和特性系统的技术架构系统的网络环境下面哪一项不是风险评估的过程？风险因素识别风险程度分析风险控制选择风险等级评价风险控制是依据风险评估的结果，选择和实施合适的安全措施。下面哪个不是风险控制的方式？规避风险转移风险接受风险降低风险如何对信息安全风险评估的过程进行质量监控和管理？对风险评估发现的漏洞进行确认针对风险评估的过程文档和结果报告进行监控和审查对风险评估的信息系统进行安全调查对风险控制测措施有有效性进行测试信息系统的价值确定需要与哪个部门进行有效沟通确定？系统维护部门系统开发部门财务部门业务部门系统上线前应当对系统安全配置进行检查，不包括下列哪种安全检查？主机操作系统安全配置检查网络设备安全配置检查系统软件安全漏洞检查数据库安全配置检查风险评估实施过程中资产识别的依据是什么？依据资产分类分级的标准依据资产调查的结果依据人员访谈的结果依据技术人员提供的资产清单风险评估实施过程中资产识别的范围主要包括什么类别？网络硬件资产数据资产软件资产以上都包括风险评估实施过程中脆弱性识别主要包括什么方面软件开发漏洞网站应用漏洞主机系统漏洞技术漏洞与管理漏洞下面哪一个不是脆弱性识别的手段？人员访谈技术工具检测信息资产核查安全专家人工分析年度损失值（ALE）的计算方法是什么？ALE=ARO*AVALE=AV*SLEALE=ARO*SLEALE=AV*EF合适的信息资产存放的安全措施维护是谁的责任？安全管理员系统管理员数据和系统所有者系统运行组要很好的评估信息安全风险，可以通过：评估IT资产和IT项目的威胁用公司的以前的真的损失经验来决定现在的弱点和威胁审查可比较的组织公开的损失统计审查在审计报告中的可识别IT控制缺陷在制定控制前，管理层首先应该保证控制：满足控制一个风险问题的要求不减少生产力基于成本效益的分析检测行或改正性的对一项应用的控制进行了检查,将会评估该应用在满足业务流程上的效率任何被发现风险影响业务流程服务的应用应用程序的优化在评估逻辑访问控制时，应该首先做什么？把应用在潜在访问路径上的控制项记录下来在访问路径上测试控制来检测是否他们具功能化按照写明的策略和实践评估安全环境对信息流程的安全风险进行了解在检查IT安全风险管理程序，安全风险的测量应该列举所有的网络风险对应IT战略计划持续跟踪考虑整个IT环境识别对(信息系统)的弱点的容忍度的结果一个组织的网络设备的资产价值为100000元，一场意外火灾使其损坏了价值的25%,按照经验统计，这种火灾一般每5年发生一次，年预期损失ALE为：5000元10000元25000元15000元一个个人经济上存在问题的公司职员有权独立访问高敏感度的信息，他可能窃取这些信息卖给公司的竞争对手，如何控制这个风险？开除这名职员限制这名职员访问敏感信息删除敏感信息将此职员送公安部门下面是“十个小故事大道理”不需要的朋友可以下载后编辑删除！！！谢谢！！！小故事1、《扁鹊的医术》　魏文王问名医扁鹊说：“你们家兄弟三人，都精于医术，到底哪一位最好呢?　扁鹊答：“长兄最好，中兄次之，我最差。　文王再问：“那么为什么你最出名呢?　扁鹊答：“长兄治病，是治病于病情发作之前。由于一般人不知道他事先能铲除病因，所以他的名气无法传出去;中兄治病，是治病于病情初起时。一般人以为他只 能治轻微的小病，所以他的名气只及本乡里。而我是治病于病情严重之时。一般人都看到我在经脉上穿针管放血、在皮肤上敷药等大手术，所以以为我的医术高明， 名气因此响遍全国。　大道理：事后控制不如事中控制，事中控制不如事前控制。　小故事2、危险的森林里　一个人在森林中漫游时，突然遇见了一只饥饿的老虎，老虎大吼一声就扑了上来。他立刻用最快的速度逃开，但是老虎紧追不舍，他一直跑一直跑，最后被老虎逼到了断崖边。　站在悬崖边上，他想：“与其被老虎捉到，活活被咬死，还不如跳入悬崖，说不定还有一线生机。”　他纵身跳入悬崖，非常幸运地卡在一棵树上。那是长在断崖边的梅树，树上结满了梅子。　正在庆幸之时，他听到断崖深处传来巨大的吼声，往崖底望去，原来有一只凶猛的狮子正抬头看着他，狮子的声音使他心颤，但转念一想：“狮子与老虎是相同的猛兽，被什么吃掉，都是一样的。”　刚一放下心，又听见了一