注冊(cè)信息安全專業(yè)人員考試章節(jié)練習(xí)題-06 信息安全評(píng)估

注冊(cè)信息安全專業(yè)人員考試章節(jié)練習(xí)題-06信息安全評(píng)估1、小陳自學(xué)了風(fēng)評(píng)的相關(guān)國(guó)家準(zhǔn)則后，將風(fēng)險(xiǎn)的公式用圖形來(lái)表示，下面F1，F(xiàn)2，F(xiàn)3，F(xiàn)4分別代表某種計(jì)算函數(shù)，四張圖中，那個(gè)計(jì)算關(guān)系正確？（C）

答案選C答案選C(正確答案)2、陳工學(xué)習(xí)了信息安全風(fēng)險(xiǎn)的有關(guān)知識(shí)，了解到信息安全風(fēng)險(xiǎn)的構(gòu)成過(guò)程，有五個(gè)方面：起源、方式、途徑、受體和后果，他畫了下面這張圖來(lái)描述信息安全風(fēng)險(xiǎn)的構(gòu)成過(guò)程，圖中空白處應(yīng)填寫？（）

A、信息載體B、措施C、脆弱性(正確答案)D、風(fēng)險(xiǎn)評(píng)估3、風(fēng)險(xiǎn)分析是風(fēng)險(xiǎn)評(píng)估工作的一個(gè)重要內(nèi)容，GB/T20984-2007在資料性附錄中給出了一種矩陣法來(lái)計(jì)算信息安全風(fēng)險(xiǎn)大小，如下圖所示，圖中括號(hào)應(yīng)填哪個(gè)？（）

A、安全資產(chǎn)價(jià)值大小等級(jí)B、脆弱性嚴(yán)重程度等級(jí)C、安全風(fēng)險(xiǎn)隱患嚴(yán)重等級(jí)D、安全事件造成損失大小(正確答案)4、定量風(fēng)險(xiǎn)分析是從財(cái)務(wù)數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，得出可以量化的風(fēng)險(xiǎn)分析結(jié)果，準(zhǔn)確度量風(fēng)險(xiǎn)的可以性和損失量。小王采用該方法來(lái)為單位機(jī)房計(jì)算火災(zāi)風(fēng)險(xiǎn)大小，假設(shè)單位機(jī)房的總價(jià)值為200萬(wàn)元人民幣，暴露系數(shù)（ExposureFactor,EF）是X,年度發(fā)生率（AnnualizedRateofOccurrence,ARO）為0.1，而小王計(jì)算的年度預(yù)期損失（AnnualizedLossExpectancy,ALE）值為5萬(wàn)元人民幣，由此，X值應(yīng)該是（）A、2.5%B、25%(正確答案)C、5%D、50%5、某單位的信息安全主管部門在學(xué)習(xí)我國(guó)有關(guān)信息安全的政策和文件后，認(rèn)識(shí)到信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式。該部門將有關(guān)檢查評(píng)估的特點(diǎn)和要求整理成如下四條報(bào)告給單位領(lǐng)導(dǎo)，其中描述錯(cuò)誤的是（）A、檢查評(píng)估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評(píng)估過(guò)程；也可在自評(píng)估的基礎(chǔ)上，對(duì)關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評(píng)估B、檢查評(píng)估可以由上級(jí)管理部門組織，也可以由本級(jí)單位發(fā)起，其重點(diǎn)是針對(duì)存在的問(wèn)題進(jìn)行檢查和評(píng)測(cè)(正確答案)C、檢查評(píng)估可以由上級(jí)管理部門組織，并委托有資質(zhì)的第三方技術(shù)機(jī)構(gòu)實(shí)施D、檢查評(píng)估是通過(guò)行政手段加強(qiáng)信息安全管理的重要措施，具有強(qiáng)制性的特點(diǎn)6、關(guān)于風(fēng)險(xiǎn)要素識(shí)別階段工作內(nèi)容敘述錯(cuò)誤的是（）A、資產(chǎn)識(shí)別是指對(duì)需要保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識(shí)別和分類B、威脅識(shí)別是指識(shí)別與每項(xiàng)資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C、脆弱性識(shí)別以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)，識(shí)別可能被威脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估D、確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)(正確答案)7、風(fēng)險(xiǎn)要素識(shí)別是風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中的一個(gè)重要步驟，小李將風(fēng)險(xiǎn)要素識(shí)別的主要過(guò)程使用圖形來(lái)表示，如下圖所示，請(qǐng)為圖中空白框處選擇一個(gè)最合適的選項(xiàng)（）

A、識(shí)別面臨的風(fēng)險(xiǎn)并賦值B、識(shí)別存在的脆弱性并賦值(正確答案)C、制定安全措施實(shí)施計(jì)劃D、檢查安全措施有效性8、以下關(guān)于可信計(jì)算說(shuō)法錯(cuò)誤的是（）A、可信的主要目的是要建立起主動(dòng)防御的信息安全保障體系B、可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)(TCSEC)中第一次提出了可信計(jì)算機(jī)和可信計(jì)算基的概念C、可信的整體框架包含終端可信、終端應(yīng)用可信、操作系統(tǒng)可信、網(wǎng)絡(luò)互聯(lián)可信、互聯(lián)網(wǎng)交易等應(yīng)用系統(tǒng)可信D、可信計(jì)算平臺(tái)出現(xiàn)后會(huì)取代傳統(tǒng)的安全防護(hù)體系和方法(正確答案)9、以下哪一項(xiàng)不屬于常見的風(fēng)險(xiǎn)評(píng)估與管理工具（）A、基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估與管理工具B、基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具C、基于模型的風(fēng)險(xiǎn)評(píng)估與管理工具D、基于經(jīng)驗(yàn)的風(fēng)險(xiǎn)評(píng)估與管理工具(正確答案)10、小張?jiān)谀硢挝皇秦?fù)責(zé)事信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對(duì)所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)。一次培訓(xùn)的時(shí)候，小張主要負(fù)責(zé)講解風(fēng)險(xiǎn)評(píng)估工作形式，小張認(rèn)為：1．風(fēng)險(xiǎn)評(píng)估工作形式包括：自評(píng)估和檢查評(píng)估；2.自評(píng)估是指信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估；3.檢查評(píng)估是信息系統(tǒng)上級(jí)管理部門組織或者國(guó)家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評(píng)估；4.對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估方式只能是“自評(píng)估”和“檢查評(píng)估”中的一個(gè)，非此即彼。請(qǐng)問(wèn)小張的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)（）A、第一個(gè)觀點(diǎn)B、第二個(gè)觀點(diǎn)C、第三個(gè)觀點(diǎn)D、第四個(gè)觀點(diǎn)(正確答案)11、小李在某單位是負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對(duì)所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)，一次培訓(xùn)的時(shí)候，小李主要負(fù)責(zé)講解風(fēng)險(xiǎn)評(píng)估方法。請(qǐng)問(wèn)小李的所述論點(diǎn)中錯(cuò)誤的是哪項(xiàng)（）A、風(fēng)險(xiǎn)評(píng)估方法包括：定性風(fēng)險(xiǎn)分析、定量風(fēng)險(xiǎn)分析以及半定量風(fēng)險(xiǎn)分析B、定性風(fēng)險(xiǎn)分析需要憑借分析者的經(jīng)驗(yàn)和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性(正確答案)C、定量風(fēng)險(xiǎn)分析試圖在計(jì)算風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分的具體數(shù)字值，因此更具客觀性D、半定量風(fēng)險(xiǎn)分析技術(shù)主要指在風(fēng)險(xiǎn)分析過(guò)程中綜合使用定性和定量風(fēng)險(xiǎn)分析技術(shù)對(duì)風(fēng)險(xiǎn)要素的賦值方式，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)各要素的度量數(shù)值化12、風(fēng)險(xiǎn)評(píng)估工具的使用在一定程度上解決了手動(dòng)評(píng)估的局限性，最主要的是它能夠?qū)＜抑R(shí)進(jìn)行集中，使專家的經(jīng)驗(yàn)知識(shí)被廣泛使用，根據(jù)在風(fēng)險(xiǎn)評(píng)估過(guò)程中的主要任務(wù)和作用原理，風(fēng)險(xiǎn)評(píng)估工具可以為以下幾類，其中錯(cuò)誤的是（）A、風(fēng)險(xiǎn)評(píng)估與管理工具B、系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具C、風(fēng)險(xiǎn)評(píng)估輔助工具D、環(huán)境風(fēng)險(xiǎn)評(píng)估工具(正確答案)13、為了解風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)，應(yīng)當(dāng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估活動(dòng)，我國(guó)有關(guān)文件指出：風(fēng)險(xiǎn)評(píng)估的工作形式可分為自評(píng)估和檢查評(píng)估兩種，關(guān)于自評(píng)估，下面選項(xiàng)中描述錯(cuò)誤的是（）A、自評(píng)估是由信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估B、自評(píng)估應(yīng)參照相應(yīng)標(biāo)準(zhǔn)、依據(jù)制定的評(píng)估方案和評(píng)估準(zhǔn)則，結(jié)合系統(tǒng)特定的安全要求實(shí)施C、自評(píng)估應(yīng)當(dāng)是由發(fā)起單位自行組織力量完成，而不應(yīng)委托社會(huì)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)來(lái)實(shí)施(正確答案)D、周期性的自評(píng)估可以在評(píng)估流程上適當(dāng)簡(jiǎn)化，如重點(diǎn)針對(duì)上次評(píng)估后系統(tǒng)變化部分進(jìn)行14、信息安全風(fēng)險(xiǎn)評(píng)估是信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)，在國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)布的《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》(國(guó)信辦(2006)5號(hào))中，風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式，并對(duì)兩種工作形式提出了有關(guān)工作原則和要求，下面選項(xiàng)中描述正確的是（）A、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充(正確答案)B、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充C、自評(píng)估和檢查評(píng)估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并長(zhǎng)期使用D、自評(píng)估和檢查評(píng)估是相互排斥的，無(wú)特殊理由的單位均應(yīng)選擇檢查評(píng)估，以保證安全效果15、規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成果的重要基礎(chǔ)，某單位在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，形成了《風(fēng)險(xiǎn)評(píng)估方案》并得到了管理決策層的認(rèn)可，在風(fēng)險(xiǎn)評(píng)估實(shí)施的各個(gè)階段中，該《風(fēng)險(xiǎn)評(píng)估方案》應(yīng)是如下()中的輸出結(jié)果。（）A、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段(正確答案)B、風(fēng)險(xiǎn)要素識(shí)別階段C、風(fēng)險(xiǎn)分析階段D、風(fēng)險(xiǎn)結(jié)果判定階段16、規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成功的重要基礎(chǔ)。某單位在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)，形成了《待評(píng)估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險(xiǎn)評(píng)估實(shí)施的各個(gè)階段中，該《待評(píng)估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下（）A、風(fēng)險(xiǎn)評(píng)估準(zhǔn)備B、風(fēng)險(xiǎn)要素識(shí)別(正確答案)C、風(fēng)險(xiǎn)分析D、風(fēng)險(xiǎn)結(jié)果判定17、風(fēng)險(xiǎn)要素識(shí)別是風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中的一個(gè)重要步驟，有關(guān)安全要素，請(qǐng)選擇一個(gè)最合適的選項(xiàng)（）A、識(shí)別面臨的風(fēng)險(xiǎn)并賦值B、識(shí)別存在的脆弱性并賦值(正確答案)C、制定安全措施實(shí)施計(jì)劃D、檢查安全措施有效性18、某單位在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估后，形成了若干文擋，下面()中的文擋不應(yīng)屬于風(fēng)險(xiǎn)評(píng)估中“風(fēng)險(xiǎn)評(píng)估準(zhǔn)備”階段輸出的文檔。（）A、《風(fēng)險(xiǎn)評(píng)估工作計(jì)劃》，主要包括本次風(fēng)險(xiǎn)評(píng)估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、角色及職責(zé)、經(jīng)費(fèi)預(yù)算和進(jìn)度安排等內(nèi)容B、《風(fēng)險(xiǎn)評(píng)估方法和工具列表》，主要包括擬用的風(fēng)險(xiǎn)評(píng)估方法和測(cè)試評(píng)估工具等內(nèi)容C、《已有安全措施列表》，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容(正確答案)D、《風(fēng)險(xiǎn)評(píng)估準(zhǔn)則要求》，主要包括風(fēng)險(xiǎn)評(píng)估參考標(biāo)準(zhǔn)、采用的風(fēng)險(xiǎn)分析方法、風(fēng)險(xiǎn)計(jì)算方法、資產(chǎn)分類標(biāo)準(zhǔn)、資產(chǎn)分類準(zhǔn)則等內(nèi)容19、規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險(xiǎn)評(píng)估能否取得成果的重要基礎(chǔ)。按照規(guī)范的風(fēng)險(xiǎn)評(píng)估實(shí)施流程，下面哪個(gè)文檔應(yīng)當(dāng)是風(fēng)險(xiǎn)要素識(shí)別階段的輸出成果（）A、《風(fēng)險(xiǎn)評(píng)估方案》B、《需要保護(hù)的資產(chǎn)清單》(正確答案)C、《風(fēng)險(xiǎn)計(jì)算報(bào)告》D、《風(fēng)險(xiǎn)程度等級(jí)列表》20、GB/T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》是測(cè)評(píng)標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了保護(hù)輪廊（ProtectionProfile，PP）和安全目標(biāo)（SecurityTarget，ST）的評(píng)估準(zhǔn)則，提出了評(píng)估保證級(jí)（EvaluationAssuranceLevel，EAL），其評(píng)估保證級(jí)共分為（）個(gè)遞增的評(píng)估保證等級(jí)。（）A、4B、5C、6D、7(正確答案)21、下列哪一些對(duì)信息安全漏洞的描述是錯(cuò)誤的?（）A、漏洞是存在于信息系統(tǒng)的某種缺陷。B、漏洞存在于一定的環(huán)境中，寄生在一定的客體上(如TOE中、過(guò)程中等)。C、具有可利用性和違規(guī)性，它本身的存在雖不會(huì)造成破壞，但是可以被攻擊者利用，從而給信息系統(tǒng)安全帶來(lái)威脅和損失。D、漏洞都是人為故意引入的一種信息系統(tǒng)的弱點(diǎn)(正確答案)22、以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的?（）A、是否己經(jīng)通過(guò)部署安全控制措施消滅了風(fēng)險(xiǎn)B、是否可以抵抗大部分風(fēng)險(xiǎn)C、是否建立了具有自適應(yīng)能力的信息安全模型D、是否已經(jīng)將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)(正確答案)23、小張是信息安全風(fēng)險(xiǎn)管理方面的專家，被某單位邀請(qǐng)過(guò)去對(duì)其核心機(jī)房經(jīng)受某種災(zāi)害的風(fēng)險(xiǎn)進(jìn)行評(píng)估，已知：核心機(jī)房的總價(jià)價(jià)值一百萬(wàn)，災(zāi)害將導(dǎo)致資產(chǎn)總價(jià)值損失二成四(24%)，歷史數(shù)據(jù)統(tǒng)計(jì)告知該災(zāi)害發(fā)生的可能性為八年發(fā)生三次，請(qǐng)問(wèn)小張最后得到的年度預(yù)期損失為多少？（）A、24萬(wàn)B、0.09萬(wàn)C、37.5萬(wàn)D、9萬(wàn)(正確答案)24、《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T20984-2007》中關(guān)于信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估描述不正確的是（）A、規(guī)劃階段風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等B、設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求C、實(shí)施階段風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對(duì)系統(tǒng)開發(fā)、實(shí)施過(guò)程進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對(duì)系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證D、運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過(guò)程中的安全風(fēng)險(xiǎn)，是一種全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面(正確答案)25、對(duì)信息安全風(fēng)險(xiǎn)評(píng)估要素理解正確的是（）A、資產(chǎn)識(shí)別的粒度隨著評(píng)估范圍、評(píng)估目的的不同而不同，既可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機(jī)構(gòu)(正確答案)B、應(yīng)針對(duì)構(gòu)成信息系統(tǒng)的每個(gè)資產(chǎn)做風(fēng)險(xiǎn)評(píng)價(jià)C、脆弱性識(shí)別是將信息系統(tǒng)安全現(xiàn)狀與國(guó)家或行業(yè)的安全要求做符合性比對(duì)而找出的差距項(xiàng)D、信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅26、根據(jù)《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》的規(guī)定，錯(cuò)誤的是（）A、信息安全風(fēng)險(xiǎn)評(píng)估分自評(píng)估、檢查評(píng)估兩形式。應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充(正確答案)B、信息安全風(fēng)險(xiǎn)評(píng)估工作要按照“嚴(yán)密組織、規(guī)范操作、講求科學(xué)、注重實(shí)效”的原則開展C、信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程D、開展信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的組織領(lǐng)導(dǎo)27、風(fēng)險(xiǎn)計(jì)算原理可以用下面的范式形式化地加以說(shuō)明：風(fēng)險(xiǎn)值=R（A，T，V)=R(L(T，V)，F(xiàn)(Ia，Va))以下關(guān)于上式各項(xiàng)說(shuō)明錯(cuò)誤的是（）A、R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性B、L表示威脅利資產(chǎn)脆弱性導(dǎo)致安全事件的可能性C、F表示安全事件發(fā)生后造成的損失D、Ia，Va分別表示安全事件作用全部資產(chǎn)的價(jià)值與其對(duì)應(yīng)資產(chǎn)的嚴(yán)重程度(正確答案)28、在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估時(shí)，需要對(duì)資產(chǎn)的價(jià)值進(jìn)行識(shí)別、分類和賦值，關(guān)于資產(chǎn)價(jià)值的評(píng)估，以下選項(xiàng)中正確的是（）A、資產(chǎn)的價(jià)值指采購(gòu)費(fèi)用B、資產(chǎn)的價(jià)值指維護(hù)費(fèi)用C、資產(chǎn)的價(jià)值與其重要性密切相關(guān)(正確答案)D、資產(chǎn)的價(jià)值無(wú)法估計(jì)29、不同的信息安全風(fēng)險(xiǎn)評(píng)估方法可能得到不同的風(fēng)險(xiǎn)評(píng)估結(jié)果，所以組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)各自的實(shí)際情況選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估方法。下面的描述中錯(cuò)誤的是（）A、定量風(fēng)險(xiǎn)分析試圖從財(cái)務(wù)數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，得出可以量化的風(fēng)險(xiǎn)分析結(jié)果，以度量風(fēng)險(xiǎn)的可能性和缺失量B、定量風(fēng)險(xiǎn)分析相比定性風(fēng)險(xiǎn)分析能得到準(zhǔn)確的數(shù)值，所以在實(shí)際工作中應(yīng)使用定量風(fēng)險(xiǎn)分析，而不應(yīng)選擇定性風(fēng)險(xiǎn)分析(正確答案)C、定性風(fēng)險(xiǎn)分析過(guò)程中，往往需要憑借分析者的經(jīng)驗(yàn)和直接進(jìn)行，所以分析結(jié)果和風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)的素質(zhì)、經(jīng)驗(yàn)和知識(shí)技能密切相關(guān)D、定性風(fēng)險(xiǎn)分析更具主觀性，而定量風(fēng)險(xiǎn)分析更具客觀性30、降低風(fēng)險(xiǎn)（或減低風(fēng)險(xiǎn)）指通過(guò)對(duì)面的風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施的方式來(lái)降低風(fēng)險(xiǎn)，下面那個(gè)措施不屬于降低風(fēng)險(xiǎn)的措施（）A、減少威脅源，采用法律的手段制裁計(jì)算機(jī)的犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動(dòng)機(jī)B、簽訂外包服務(wù)合同，將有計(jì)算難點(diǎn)，存在實(shí)現(xiàn)風(fēng)險(xiǎn)的任務(wù)通過(guò)簽訂外部合同的方式交予第三方公司完成，通過(guò)合同責(zé)任條款來(lái)應(yīng)對(duì)風(fēng)險(xiǎn)(正確答案)C、減低威脅能力，采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力D、減少脆弱性，及時(shí)給系統(tǒng)打補(bǔ)丁，關(guān)閉無(wú)用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性31、在風(fēng)險(xiǎn)管理中，殘余風(fēng)險(xiǎn)是指實(shí)施了新的或增強(qiáng)的安全措施后還剩下的風(fēng)險(xiǎn)，關(guān)于殘余風(fēng)險(xiǎn)，下面描述錯(cuò)誤的是（）A、風(fēng)險(xiǎn)處理措施確定以后，應(yīng)編制詳細(xì)的殘余風(fēng)險(xiǎn)清單，并獲得管理層對(duì)殘余風(fēng)險(xiǎn)的書面批準(zhǔn)，這也是風(fēng)險(xiǎn)管理中的一個(gè)重要過(guò)程B、管理層確認(rèn)接收殘余風(fēng)險(xiǎn)，是對(duì)風(fēng)險(xiǎn)評(píng)估工作的一種肯定，表示管理層已經(jīng)全面了解了組織所面臨的風(fēng)險(xiǎn)，并理解在風(fēng)險(xiǎn)一旦變?yōu)楝F(xiàn)實(shí)后，組織能夠且承擔(dān)引發(fā)的后果C、接收殘余風(fēng)險(xiǎn)，則表明沒(méi)有必要防范和加固所有的安全漏洞，也沒(méi)有必要無(wú)限制的提高安全保護(hù)措施的強(qiáng)度，對(duì)安全保護(hù)措施的選擇要考慮到成本和技術(shù)等因素的限制D、如果殘余風(fēng)險(xiǎn)沒(méi)有降低到可接受的級(jí)別，則只能被動(dòng)的選擇接受風(fēng)險(xiǎn)，即對(duì)風(fēng)險(xiǎn)不進(jìn)行下一步的處理措施，接受風(fēng)險(xiǎn)可能帶來(lái)的結(jié)果。(正確答案)32、CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的而標(biāo)準(zhǔn)，以下那一項(xiàng)不是體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性？（）A、結(jié)構(gòu)的開放性，即功能和保證要求可以“保護(hù)輪廓”和“安全目標(biāo)”中進(jìn)行一步細(xì)化和擴(kuò)展B、表達(dá)方式的通用性，即給出通用的表達(dá)方式C、獨(dú)立性，它強(qiáng)調(diào)將安全的功能和保證分離(正確答案)D、實(shí)用性，將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測(cè)試和評(píng)估過(guò)程中33、對(duì)于數(shù)字證書而言，一般采用的是哪個(gè)標(biāo)準(zhǔn)？（）A、ISO/IEC15408B、802.11C、GB/T20984D、X.509(正確答案)34、在可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）中，下列哪一項(xiàng)是滿足強(qiáng)制保護(hù)要求的最低級(jí)別？（）A、C2B、C1C、B2D、B1(正確答案)35、GB/T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》（）是測(cè)評(píng)標(biāo)準(zhǔn)類中的重要標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了保護(hù)輪廓（ProtectionProfile，PP）和安全目標(biāo)（SecurityTarget，ST）的評(píng)估準(zhǔn)則，提出了評(píng)估保證級(jí)（EvaluationAssuranceLevel，EAL）,其評(píng)估保證級(jí)共分為（）個(gè)遞增的評(píng)估保證等級(jí)（D）A、4B、5C、6D、7(正確答案)36、在GB/T18336《信息技術(shù)安全性評(píng)估準(zhǔn)則》（CC標(biāo)準(zhǔn)）中，有關(guān)保護(hù)輪廓(ProtectionProfile，PP)和安全目標(biāo)(SecurityTarget，ST)，錯(cuò)誤的是（）A、PP是描述一類產(chǎn)品或系統(tǒng)的安全要求B、PP描述的安全要求與具體實(shí)現(xiàn)無(wú)關(guān)C、兩份不同的ST不可能滿足同一份PP的要求(正確答案)D、ST與具體的實(shí)現(xiàn)有關(guān)37、某公司在討論如何確認(rèn)已有的安全措施，對(duì)于確認(rèn)已有這全措施，下列選項(xiàng)中描述不正確的是（）A、對(duì)有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施B、安全措施主要有預(yù)防性、檢測(cè)性和糾正性三種C、安全措施的確認(rèn)應(yīng)評(píng)估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅D、對(duì)確認(rèn)為不適當(dāng)?shù)陌踩胧┛梢灾弥活?正確答案)38、風(fēng)險(xiǎn)處理是依據(jù)（），選擇和實(shí)施合適的安全措施，風(fēng)險(xiǎn)處理的目的是為了將（）始終控制在可接愛的范圍內(nèi)風(fēng)險(xiǎn)處理的方式主要有（）、（）、（）和（）四種方式（）A、風(fēng)險(xiǎn):風(fēng)險(xiǎn)評(píng)估的結(jié)果:降低:規(guī)避:轉(zhuǎn)移:接受B、風(fēng)險(xiǎn)評(píng)估的結(jié)果:風(fēng)險(xiǎn):降低:規(guī)避:轉(zhuǎn)移:接受(正確答案)C、風(fēng)險(xiǎn)評(píng)估:風(fēng)險(xiǎn);降低:規(guī)避:轉(zhuǎn)移:接受D、風(fēng)險(xiǎn):風(fēng)險(xiǎn)評(píng)估:降低:規(guī)避:轉(zhuǎn)移:接受39、信息安全風(fēng)險(xiǎn)值應(yīng)該是以下哪些因素的函數(shù)?（）A、信息資產(chǎn)的價(jià)值、面臨的威脅以及自身存在的脆弱性(正確答案)B、病毒、黑客、漏洞等C、保密信息如國(guó)家秘密，商業(yè)秘密等D、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的復(fù)雜程度40、下列選項(xiàng)中對(duì)信息系統(tǒng)審計(jì)概念的描述中不正確的是（）A、信息系統(tǒng)審計(jì)，也可稱作IT審計(jì)或信息系統(tǒng)控制審計(jì)B、信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)的過(guò)程，審計(jì)對(duì)象是信息系統(tǒng)相關(guān)控制，審計(jì)目標(biāo)則是判斷信息系統(tǒng)是否能夠保證其安全性、可靠性、經(jīng)濟(jì)性以及數(shù)據(jù)的真實(shí)性、完整性等相關(guān)屬性C、信息系統(tǒng)審計(jì)是單一的概念，是對(duì)會(huì)計(jì)信息系統(tǒng)的安全性、有效性進(jìn)行檢查(正確答案)D、從信息系統(tǒng)審計(jì)內(nèi)容上看，可以將信息系統(tǒng)審計(jì)分為不同專項(xiàng)審計(jì)，例如安全審計(jì)、項(xiàng)目合規(guī)審計(jì)、績(jī)效審計(jì)等41、信息安全風(fēng)險(xiǎn)管理是基于（）的信息安全管理，也就是，始終以（）為主線進(jìn)行信息安全的管理，應(yīng)根據(jù)實(shí)際（）的不同來(lái)理解信息安全風(fēng)險(xiǎn)管理的側(cè)重點(diǎn)即（）選擇的范圍和對(duì)象重點(diǎn)應(yīng)有所不同（）A、風(fēng)險(xiǎn):風(fēng)險(xiǎn);信息系統(tǒng):風(fēng)險(xiǎn)管理(正確答案)B、風(fēng)險(xiǎn):風(fēng)險(xiǎn):風(fēng)險(xiǎn)管理:信息系統(tǒng)C、風(fēng)險(xiǎn)管理:信息系統(tǒng):風(fēng)險(xiǎn):風(fēng)險(xiǎn)D、風(fēng)險(xiǎn)管理:風(fēng)險(xiǎn):風(fēng)險(xiǎn):信息系統(tǒng)42、安全評(píng)估技術(shù)采用（）這一工具，它是一種能夠自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)和網(wǎng)絡(luò)安全性弱點(diǎn)的程序。（）A、安全掃描器(正確答案)B、安全掃描儀C、自動(dòng)掃描器D、自動(dòng)掃描儀43、目前，很多行業(yè)用戶在進(jìn)行信息安全產(chǎn)品選項(xiàng)時(shí)，均要求產(chǎn)品通過(guò)安全測(cè)評(píng)。關(guān)于信