注冊信息安全專業(yè)人員考試章節(jié)練習(xí)題-06 信息安全評估

注冊信息安全專業(yè)人員考試章節(jié)練習(xí)題-06信息安全評估1、小陳自學(xué)了風(fēng)評的相關(guān)國家準(zhǔn)則后，將風(fēng)險的公式用圖形來表示，下面F1，F(xiàn)2，F(xiàn)3，F(xiàn)4分別代表某種計算函數(shù)，四張圖中，那個計算關(guān)系正確？（C）

答案選C答案選C(正確答案)2、陳工學(xué)習(xí)了信息安全風(fēng)險的有關(guān)知識，了解到信息安全風(fēng)險的構(gòu)成過程，有五個方面：起源、方式、途徑、受體和后果，他畫了下面這張圖來描述信息安全風(fēng)險的構(gòu)成過程，圖中空白處應(yīng)填寫？（）

A、信息載體B、措施C、脆弱性(正確答案)D、風(fēng)險評估3、風(fēng)險分析是風(fēng)險評估工作的一個重要內(nèi)容，GB/T20984-2007在資料性附錄中給出了一種矩陣法來計算信息安全風(fēng)險大小，如下圖所示，圖中括號應(yīng)填哪個？（）

A、安全資產(chǎn)價值大小等級B、脆弱性嚴(yán)重程度等級C、安全風(fēng)險隱患嚴(yán)重等級D、安全事件造成損失大小(正確答案)4、定量風(fēng)險分析是從財務(wù)數(shù)字上對安全風(fēng)險進(jìn)行評估，得出可以量化的風(fēng)險分析結(jié)果，準(zhǔn)確度量風(fēng)險的可以性和損失量。小王采用該方法來為單位機房計算火災(zāi)風(fēng)險大小，假設(shè)單位機房的總價值為200萬元人民幣，暴露系數(shù)（ExposureFactor,EF）是X,年度發(fā)生率（AnnualizedRateofOccurrence,ARO）為0.1，而小王計算的年度預(yù)期損失（AnnualizedLossExpectancy,ALE）值為5萬元人民幣，由此，X值應(yīng)該是（）A、2.5%B、25%(正確答案)C、5%D、50%5、某單位的信息安全主管部門在學(xué)習(xí)我國有關(guān)信息安全的政策和文件后，認(rèn)識到信息安全風(fēng)險評估分為自評估和檢查評估兩種形式。該部門將有關(guān)檢查評估的特點和要求整理成如下四條報告給單位領(lǐng)導(dǎo)，其中描述錯誤的是（）A、檢查評估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實施完整的風(fēng)險評估過程；也可在自評估的基礎(chǔ)上，對關(guān)鍵環(huán)節(jié)或重點內(nèi)容實施抽樣評估B、檢查評估可以由上級管理部門組織，也可以由本級單位發(fā)起，其重點是針對存在的問題進(jìn)行檢查和評測(正確答案)C、檢查評估可以由上級管理部門組織，并委托有資質(zhì)的第三方技術(shù)機構(gòu)實施D、檢查評估是通過行政手段加強信息安全管理的重要措施，具有強制性的特點6、關(guān)于風(fēng)險要素識別階段工作內(nèi)容敘述錯誤的是（）A、資產(chǎn)識別是指對需要保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識別和分類B、威脅識別是指識別與每項資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C、脆弱性識別以資產(chǎn)為核心，針對每一項需要保護(hù)的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴(yán)重程度進(jìn)行評估D、確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺(正確答案)7、風(fēng)險要素識別是風(fēng)險評估實施過程中的一個重要步驟，小李將風(fēng)險要素識別的主要過程使用圖形來表示，如下圖所示，請為圖中空白框處選擇一個最合適的選項（）

A、識別面臨的風(fēng)險并賦值B、識別存在的脆弱性并賦值(正確答案)C、制定安全措施實施計劃D、檢查安全措施有效性8、以下關(guān)于可信計算說法錯誤的是（）A、可信的主要目的是要建立起主動防御的信息安全保障體系B、可信計算機安全評價標(biāo)準(zhǔn)(TCSEC)中第一次提出了可信計算機和可信計算基的概念C、可信的整體框架包含終端可信、終端應(yīng)用可信、操作系統(tǒng)可信、網(wǎng)絡(luò)互聯(lián)可信、互聯(lián)網(wǎng)交易等應(yīng)用系統(tǒng)可信D、可信計算平臺出現(xiàn)后會取代傳統(tǒng)的安全防護(hù)體系和方法(正確答案)9、以下哪一項不屬于常見的風(fēng)險評估與管理工具（）A、基于信息安全標(biāo)準(zhǔn)的風(fēng)險評估與管理工具B、基于知識的風(fēng)險評估與管理工具C、基于模型的風(fēng)險評估與管理工具D、基于經(jīng)驗的風(fēng)險評估與管理工具(正確答案)10、小張在某單位是負(fù)責(zé)事信息安全風(fēng)險管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)。一次培訓(xùn)的時候，小張主要負(fù)責(zé)講解風(fēng)險評估工作形式，小張認(rèn)為：1．風(fēng)險評估工作形式包括：自評估和檢查評估；2.自評估是指信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行風(fēng)險評估；3.檢查評估是信息系統(tǒng)上級管理部門組織或者國家有關(guān)職能部門依法開展的風(fēng)險評估；4.對信息系統(tǒng)的風(fēng)險評估方式只能是“自評估”和“檢查評估”中的一個，非此即彼。請問小張的所述論點中錯誤的是哪項（）A、第一個觀點B、第二個觀點C、第三個觀點D、第四個觀點(正確答案)11、小李在某單位是負(fù)責(zé)信息安全風(fēng)險管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)的時候，小李主要負(fù)責(zé)講解風(fēng)險評估方法。請問小李的所述論點中錯誤的是哪項（）A、風(fēng)險評估方法包括：定性風(fēng)險分析、定量風(fēng)險分析以及半定量風(fēng)險分析B、定性風(fēng)險分析需要憑借分析者的經(jīng)驗和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性(正確答案)C、定量風(fēng)險分析試圖在計算風(fēng)險評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值，因此更具客觀性D、半定量風(fēng)險分析技術(shù)主要指在風(fēng)險分析過程中綜合使用定性和定量風(fēng)險分析技術(shù)對風(fēng)險要素的賦值方式，實現(xiàn)對風(fēng)險各要素的度量數(shù)值化12、風(fēng)險評估工具的使用在一定程度上解決了手動評估的局限性，最主要的是它能夠?qū)＜抑R進(jìn)行集中，使專家的經(jīng)驗知識被廣泛使用，根據(jù)在風(fēng)險評估過程中的主要任務(wù)和作用原理，風(fēng)險評估工具可以為以下幾類，其中錯誤的是（）A、風(fēng)險評估與管理工具B、系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具C、風(fēng)險評估輔助工具D、環(huán)境風(fēng)險評估工具(正確答案)13、為了解風(fēng)險和控制風(fēng)險，應(yīng)當(dāng)及時進(jìn)行風(fēng)險評估活動，我國有關(guān)文件指出：風(fēng)險評估的工作形式可分為自評估和檢查評估兩種，關(guān)于自評估，下面選項中描述錯誤的是（）A、自評估是由信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險評估B、自評估應(yīng)參照相應(yīng)標(biāo)準(zhǔn)、依據(jù)制定的評估方案和評估準(zhǔn)則，結(jié)合系統(tǒng)特定的安全要求實施C、自評估應(yīng)當(dāng)是由發(fā)起單位自行組織力量完成，而不應(yīng)委托社會風(fēng)險評估服務(wù)機構(gòu)來實施(正確答案)D、周期性的自評估可以在評估流程上適當(dāng)簡化，如重點針對上次評估后系統(tǒng)變化部分進(jìn)行14、信息安全風(fēng)險評估是信息安全風(fēng)險管理工作中的重要環(huán)節(jié)，在國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)布的《關(guān)于開展信息安全風(fēng)險評估工作的意見》(國信辦(2006)5號)中，風(fēng)險評估分為自評估和檢查評估兩種形式，并對兩種工作形式提出了有關(guān)工作原則和要求，下面選項中描述正確的是（）A、信息安全風(fēng)險評估應(yīng)以自評估為主，自評估和檢查評估相互結(jié)合、互為補充(正確答案)B、信息安全風(fēng)險評估應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補充C、自評估和檢查評估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個，并長期使用D、自評估和檢查評估是相互排斥的，無特殊理由的單位均應(yīng)選擇檢查評估，以保證安全效果15、規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估能否取得成果的重要基礎(chǔ)，某單位在實施風(fēng)險評估時，形成了《風(fēng)險評估方案》并得到了管理決策層的認(rèn)可，在風(fēng)險評估實施的各個階段中，該《風(fēng)險評估方案》應(yīng)是如下()中的輸出結(jié)果。（）A、風(fēng)險評估準(zhǔn)備階段(正確答案)B、風(fēng)險要素識別階段C、風(fēng)險分析階段D、風(fēng)險結(jié)果判定階段16、規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估能否取得成功的重要基礎(chǔ)。某單位在實施風(fēng)險評估時，形成了《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險評估實施的各個階段中，該《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下（）A、風(fēng)險評估準(zhǔn)備B、風(fēng)險要素識別(正確答案)C、風(fēng)險分析D、風(fēng)險結(jié)果判定17、風(fēng)險要素識別是風(fēng)險評估實施過程中的一個重要步驟，有關(guān)安全要素，請選擇一個最合適的選項（）A、識別面臨的風(fēng)險并賦值B、識別存在的脆弱性并賦值(正確答案)C、制定安全措施實施計劃D、檢查安全措施有效性18、某單位在實施信息安全風(fēng)險評估后，形成了若干文擋，下面()中的文擋不應(yīng)屬于風(fēng)險評估中“風(fēng)險評估準(zhǔn)備”階段輸出的文檔。（）A、《風(fēng)險評估工作計劃》，主要包括本次風(fēng)險評估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、角色及職責(zé)、經(jīng)費預(yù)算和進(jìn)度安排等內(nèi)容B、《風(fēng)險評估方法和工具列表》，主要包括擬用的風(fēng)險評估方法和測試評估工具等內(nèi)容C、《已有安全措施列表》，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容(正確答案)D、《風(fēng)險評估準(zhǔn)則要求》，主要包括風(fēng)險評估參考標(biāo)準(zhǔn)、采用的風(fēng)險分析方法、風(fēng)險計算方法、資產(chǎn)分類標(biāo)準(zhǔn)、資產(chǎn)分類準(zhǔn)則等內(nèi)容19、規(guī)范的實施流程和文檔管理，是信息安全風(fēng)險評估能否取得成果的重要基礎(chǔ)。按照規(guī)范的風(fēng)險評估實施流程，下面哪個文檔應(yīng)當(dāng)是風(fēng)險要素識別階段的輸出成果（）A、《風(fēng)險評估方案》B、《需要保護(hù)的資產(chǎn)清單》(正確答案)C、《風(fēng)險計算報告》D、《風(fēng)險程度等級列表》20、GB/T18336《信息技術(shù)安全性評估準(zhǔn)則》是測評標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了保護(hù)輪廊（ProtectionProfile，PP）和安全目標(biāo)（SecurityTarget，ST）的評估準(zhǔn)則，提出了評估保證級（EvaluationAssuranceLevel，EAL），其評估保證級共分為（）個遞增的評估保證等級。（）A、4B、5C、6D、7(正確答案)21、下列哪一些對信息安全漏洞的描述是錯誤的?（）A、漏洞是存在于信息系統(tǒng)的某種缺陷。B、漏洞存在于一定的環(huán)境中，寄生在一定的客體上(如TOE中、過程中等)。C、具有可利用性和違規(guī)性，它本身的存在雖不會造成破壞，但是可以被攻擊者利用，從而給信息系統(tǒng)安全帶來威脅和損失。D、漏洞都是人為故意引入的一種信息系統(tǒng)的弱點(正確答案)22、以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的?（）A、是否己經(jīng)通過部署安全控制措施消滅了風(fēng)險B、是否可以抵抗大部分風(fēng)險C、是否建立了具有自適應(yīng)能力的信息安全模型D、是否已經(jīng)將風(fēng)險控制在可接受的范圍內(nèi)(正確答案)23、小張是信息安全風(fēng)險管理方面的專家，被某單位邀請過去對其核心機房經(jīng)受某種災(zāi)害的風(fēng)險進(jìn)行評估，已知：核心機房的總價價值一百萬，災(zāi)害將導(dǎo)致資產(chǎn)總價值損失二成四(24%)，歷史數(shù)據(jù)統(tǒng)計告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次，請問小張最后得到的年度預(yù)期損失為多少？（）A、24萬B、0.09萬C、37.5萬D、9萬(正確答案)24、《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GB/T20984-2007》中關(guān)于信息系統(tǒng)生命周期各階段的風(fēng)險評估描述不正確的是（）A、規(guī)劃階段風(fēng)險評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B、設(shè)計階段的風(fēng)險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運行環(huán)境、資產(chǎn)重要性，提出安全功能需求C、實施階段風(fēng)險評估的目的是根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進(jìn)行風(fēng)險識別，并對系統(tǒng)建成后的安全功能進(jìn)行驗證D、運行維護(hù)階段風(fēng)險評估的目的是了解和控制運行過程中的安全風(fēng)險，是一種全面的風(fēng)險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面(正確答案)25、對信息安全風(fēng)險評估要素理解正確的是（）A、資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機構(gòu)(正確答案)B、應(yīng)針對構(gòu)成信息系統(tǒng)的每個資產(chǎn)做風(fēng)險評價C、脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項D、信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅26、根據(jù)《關(guān)于開展信息安全風(fēng)險評估工作的意見》的規(guī)定，錯誤的是（）A、信息安全風(fēng)險評估分自評估、檢查評估兩形式。應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補充(正確答案)B、信息安全風(fēng)險評估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實效”的原則開展C、信息安全風(fēng)險評估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程D、開展信息安全風(fēng)險評估工作應(yīng)加強信息安全風(fēng)險評估工作的組織領(lǐng)導(dǎo)27、風(fēng)險計算原理可以用下面的范式形式化地加以說明：風(fēng)險值=R（A，T，V)=R(L(T，V)，F(xiàn)(Ia，Va))以下關(guān)于上式各項說明錯誤的是（）A、R表示安全風(fēng)險計算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性B、L表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C、F表示安全事件發(fā)生后造成的損失D、Ia，Va分別表示安全事件作用全部資產(chǎn)的價值與其對應(yīng)資產(chǎn)的嚴(yán)重程度(正確答案)28、在實施信息安全風(fēng)險評估時，需要對資產(chǎn)的價值進(jìn)行識別、分類和賦值，關(guān)于資產(chǎn)價值的評估，以下選項中正確的是（）A、資產(chǎn)的價值指采購費用B、資產(chǎn)的價值指維護(hù)費用C、資產(chǎn)的價值與其重要性密切相關(guān)(正確答案)D、資產(chǎn)的價值無法估計29、不同的信息安全風(fēng)險評估方法可能得到不同的風(fēng)險評估結(jié)果，所以組織機構(gòu)應(yīng)當(dāng)根據(jù)各自的實際情況選擇適當(dāng)?shù)娘L(fēng)險評估方法。下面的描述中錯誤的是（）A、定量風(fēng)險分析試圖從財務(wù)數(shù)字上對安全風(fēng)險進(jìn)行評估，得出可以量化的風(fēng)險分析結(jié)果，以度量風(fēng)險的可能性和缺失量B、定量風(fēng)險分析相比定性風(fēng)險分析能得到準(zhǔn)確的數(shù)值，所以在實際工作中應(yīng)使用定量風(fēng)險分析，而不應(yīng)選擇定性風(fēng)險分析(正確答案)C、定性風(fēng)險分析過程中，往往需要憑借分析者的經(jīng)驗和直接進(jìn)行，所以分析結(jié)果和風(fēng)險評估團(tuán)隊的素質(zhì)、經(jīng)驗和知識技能密切相關(guān)D、定性風(fēng)險分析更具主觀性，而定量風(fēng)險分析更具客觀性30、降低風(fēng)險（或減低風(fēng)險）指通過對面的風(fēng)險的資產(chǎn)采取保護(hù)措施的方式來降低風(fēng)險，下面那個措施不屬于降低風(fēng)險的措施（）A、減少威脅源，采用法律的手段制裁計算機的犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機B、簽訂外包服務(wù)合同，將有計算難點，存在實現(xiàn)風(fēng)險的任務(wù)通過簽訂外部合同的方式交予第三方公司完成，通過合同責(zé)任條款來應(yīng)對風(fēng)險(正確答案)C、減低威脅能力，采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力D、減少脆弱性，及時給系統(tǒng)打補丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性31、在風(fēng)險管理中，殘余風(fēng)險是指實施了新的或增強的安全措施后還剩下的風(fēng)險，關(guān)于殘余風(fēng)險，下面描述錯誤的是（）A、風(fēng)險處理措施確定以后，應(yīng)編制詳細(xì)的殘余風(fēng)險清單，并獲得管理層對殘余風(fēng)險的書面批準(zhǔn)，這也是風(fēng)險管理中的一個重要過程B、管理層確認(rèn)接收殘余風(fēng)險，是對風(fēng)險評估工作的一種肯定，表示管理層已經(jīng)全面了解了組織所面臨的風(fēng)險，并理解在風(fēng)險一旦變?yōu)楝F(xiàn)實后，組織能夠且承擔(dān)引發(fā)的后果C、接收殘余風(fēng)險，則表明沒有必要防范和加固所有的安全漏洞，也沒有必要無限制的提高安全保護(hù)措施的強度，對安全保護(hù)措施的選擇要考慮到成本和技術(shù)等因素的限制D、如果殘余風(fēng)險沒有降低到可接受的級別，則只能被動的選擇接受風(fēng)險，即對風(fēng)險不進(jìn)行下一步的處理措施，接受風(fēng)險可能帶來的結(jié)果。(正確答案)32、CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的而標(biāo)準(zhǔn)，以下那一項不是體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性？（）A、結(jié)構(gòu)的開放性，即功能和保證要求可以“保護(hù)輪廓”和“安全目標(biāo)”中進(jìn)行一步細(xì)化和擴(kuò)展B、表達(dá)方式的通用性，即給出通用的表達(dá)方式C、獨立性，它強調(diào)將安全的功能和保證分離(正確答案)D、實用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中33、對于數(shù)字證書而言，一般采用的是哪個標(biāo)準(zhǔn)？（）A、ISO/IEC15408B、802.11C、GB/T20984D、X.509(正確答案)34、在可信計算機系統(tǒng)評估準(zhǔn)則（TCSEC）中，下列哪一項是滿足強制保護(hù)要求的最低級別？（）A、C2B、C1C、B2D、B1(正確答案)35、GB/T18336《信息技術(shù)安全性評估準(zhǔn)則》（）是測評標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了保護(hù)輪廓（ProtectionProfile，PP）和安全目標(biāo)（SecurityTarget，ST）的評估準(zhǔn)則，提出了評估保證級（EvaluationAssuranceLevel，EAL）,其評估保證級共分為（）個遞增的評估保證等級（D）A、4B、5C、6D、7(正確答案)36、在GB/T18336《信息技術(shù)安全性評估準(zhǔn)則》（CC標(biāo)準(zhǔn)）中，有關(guān)保護(hù)輪廓(ProtectionProfile，PP)和安全目標(biāo)(SecurityTarget，ST)，錯誤的是（）A、PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B、PP描述的安全要求與具體實現(xiàn)無關(guān)C、兩份不同的ST不可能滿足同一份PP的要求(正確答案)D、ST與具體的實現(xiàn)有關(guān)37、某公司在討論如何確認(rèn)已有的安全措施，對于確認(rèn)已有這全措施，下列選項中描述不正確的是（）A、對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復(fù)實施B、安全措施主要有預(yù)防性、檢測性和糾正性三種C、安全措施的確認(rèn)應(yīng)評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅D、對確認(rèn)為不適當(dāng)?shù)陌踩胧┛梢灾弥活?正確答案)38、風(fēng)險處理是依據(jù)（），選擇和實施合適的安全措施，風(fēng)險處理的目的是為了將（）始終控制在可接愛的范圍內(nèi)風(fēng)險處理的方式主要有（）、（）、（）和（）四種方式（）A、風(fēng)險:風(fēng)險評估的結(jié)果:降低:規(guī)避:轉(zhuǎn)移:接受B、風(fēng)險評估的結(jié)果:風(fēng)險:降低:規(guī)避:轉(zhuǎn)移:接受(正確答案)C、風(fēng)險評估:風(fēng)險;降低:規(guī)避:轉(zhuǎn)移:接受D、風(fēng)險:風(fēng)險評估:降低:規(guī)避:轉(zhuǎn)移:接受39、信息安全風(fēng)險值應(yīng)該是以下哪些因素的函數(shù)?（）A、信息資產(chǎn)的價值、面臨的威脅以及自身存在的脆弱性(正確答案)B、病毒、黑客、漏洞等C、保密信息如國家秘密，商業(yè)秘密等D、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的復(fù)雜程度40、下列選項中對信息系統(tǒng)審計概念的描述中不正確的是（）A、信息系統(tǒng)審計，也可稱作IT審計或信息系統(tǒng)控制審計B、信息系統(tǒng)審計是一個獲取并評價證據(jù)的過程，審計對象是信息系統(tǒng)相關(guān)控制，審計目標(biāo)則是判斷信息系統(tǒng)是否能夠保證其安全性、可靠性、經(jīng)濟(jì)性以及數(shù)據(jù)的真實性、完整性等相關(guān)屬性C、信息系統(tǒng)審計是單一的概念，是對會計信息系統(tǒng)的安全性、有效性進(jìn)行檢查(正確答案)D、從信息系統(tǒng)審計內(nèi)容上看，可以將信息系統(tǒng)審計分為不同專項審計，例如安全審計、項目合規(guī)審計、績效審計等41、信息安全風(fēng)險管理是基于（）的信息安全管理，也就是，始終以（）為主線進(jìn)行信息安全的管理，應(yīng)根據(jù)實際（）的不同來理解信息安全風(fēng)險管理的側(cè)重點即（）選擇的范圍和對象重點應(yīng)有所不同（）A、風(fēng)險:風(fēng)險;信息系統(tǒng):風(fēng)險管理(正確答案)B、風(fēng)險:風(fēng)險:風(fēng)險管理:信息系統(tǒng)C、風(fēng)險管理:信息系統(tǒng):風(fēng)險:風(fēng)險D、風(fēng)險管理:風(fēng)險:風(fēng)險:信息系統(tǒng)42、安全評估技術(shù)采用（）這一工具，它是一種能夠自動檢測遠(yuǎn)程或本地主機和網(wǎng)絡(luò)安全性弱點的程序。（）A、安全掃描器(正確答案)B、安全掃描儀C、自動掃描器D、自動掃描儀43、目前，很多行業(yè)用戶在進(jìn)行信息安全產(chǎn)品選項時，均要求產(chǎn)品通過安全測評。關(guān)于信