單項選擇題在風險管理中,殘余風險是指在實施了新的或增強的安全措施后還剩下的風險,關于殘余風險,下面描述錯誤的是()

A.風險處理措施確定以后,應編制詳細的殘余風險清單,并獲得管理層對殘余風險的書面批準,這也是風險管理中的一個重要過程
B.管理層確認接受殘余風險,是對風險評估工作的一種肯定,表示管理層已經(jīng)全面了解了組織所面臨的風險,并理解在風險一旦變?yōu)楝F(xiàn)實后,組織能夠且必須承擔引發(fā)的后果
C.接受殘余風險,則表明沒有必要防范和加固所有的安全漏洞,也沒有必要無限制地提高安全保護措施的強度,對安全保護措施的選擇要考慮到成本和技術的等因素的限制
D.如果殘余風險沒有降低到可接受的級別,則只能被動地選擇接受風險,即對風險不采取進一步的處理措施,接受風險可能帶來的結果


您可能感興趣的試卷

你可能感興趣的試題

1.單項選擇題信息安全風險評估師信息安全風險管理工作中的重要環(huán)節(jié)。在《關于開展信息安全風險評估工作的意見》(國信辦[2006]5號)中,指出了風險評估分為自評估和檢查評估兩種形式,并對兩種工作形式提出了有關工作原則和要求。下面選項中描述錯誤的是()

A.自評估是由信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本*單位信息系統(tǒng)進行的風險評估
B.檢查評估是指信息系統(tǒng)上級管理部門組織的國家有關職能部門依法開展的風險評估
C.信息安全風險評估應以自評估為主,自評估和檢查評估相互結合、互為補充
D.自評估和檢查評估是相互排斥的,單位應慎重地從兩種工作形式選擇一個,并堅持

2.單項選擇題信息安全風險評估是信息安全風險管理工作中的重要環(huán)節(jié)。在國家網(wǎng)絡與信息安全協(xié)調(diào)小組發(fā)布的《關于開展信息安全風險評估工作的意見》(國信辦[2006]5號)中,風險評估分為自評估和檢查評估兩種形式,并對兩種工作形勢提出了有關工作原則和要求。下面選項中描述正確的是()

A.信息安全風險評估應以自評估為主,自評估和檢查評估相互結合、互為補充
B.信息安全風險評估應以檢查評估為主,自評估和檢查評估相互結合、互為補充
C.自評估和檢查評估時相互排斥的,單位應慎重地從兩種工作形式選擇一個,并長期使用
D.自評估和檢查評估是相互排斥的,無特殊理由的單位均應選擇檢查評估,以保證安全效果

3.單項選擇題美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)隸屬美國商務部,NIST發(fā)布的很多關于計算機安全的指南文檔。下面哪個文檔是由NIST發(fā)布的()

A.ISO 27001 《Information technology–Security techniques–Informtion security management systems-Requirements》
B.X.509《Information Technology–Open Systems–The Directory:Authentication Framcwork》
C.SP 800-37《Guide for Applying the Risk Management Framcwork to FederalInformationSystems》
D.RFC 2402《IP Authenticat Header》

4.單項選擇題小王在學習信息安全管理體系相關知識之后,對于建立信息安全管理體系,自己總結了下面四條要求,其中理解不正確的是()

A.信息安全管理體系的建立應參照國際國內(nèi)有關標準實施,因為這些標準是標準化組織在總結研究了很多實際的或潛在的問題后,制定的能共同的和重復使用的規(guī)則
B.信息安全管理體系的建立應基于最新的信息安全技術,因為這是國家有關信息安全的法律和法規(guī)方面的要求,這體現(xiàn)以預防控制為主的思想
C.信息安全管理體系應強調(diào)全過程和動態(tài)控制的思想,因為安全問題是動態(tài)的,系統(tǒng)所處的安全環(huán)境也不會一成不變的,不可能建設永遠安全的系統(tǒng)
D.信息安全管理體系應體現(xiàn)科學性和全面性的特點,因為要對信息安全管理設計的方方面面實施較為均衡的管理,避免遺漏某些方面而導致組織的整體信息安全水平過低

最新試題

對操作系統(tǒng)軟件安裝方面應建立安裝(),運行系統(tǒng)要安裝經(jīng)過批準的可執(zhí)行代碼,不安裝開發(fā)代碼和(),應用和操作系統(tǒng)軟件要在大范圍的、成功的測試之后才能實施。而且要僅由受過培訓的管理員,根據(jù)合適的(),進行運行軟件、應用和程序庫的更新;必要時在管理者批準情況下,僅為了支持目的才授予供應商物理或邏輯訪問權,并且要監(jiān)督供應商的活動。對于用戶能安裝何種類型的軟件,組織宜定義并強制執(zhí)行嚴格的方針,宜使用()。不受控制的計算機設備上的軟件安裝可能導致脆弱性。進行導致信息泄露;整體性損失或其他信息安全事件或違反()

題型:單項選擇題

了解社會工程學攻擊是應對和防御()的關鍵,對于信息系統(tǒng)的管理人員和用戶,都應該了解社會學的攻擊的概念和攻擊的()。組織機構可采取對相關人員實施社會工程學培訓來幫助員工了解什么是社會工程學攻擊,如何判斷是否存在社會工程學攻擊,這樣才能更好的保護信息系統(tǒng)和()。因為如果對攻擊方式有所了解那么用戶識破攻擊者的偽裝就()。因此組織機構應持續(xù)不斷的向員工提供安全意識的培訓和教育,向員工灌輸(),人機降低社會工程學攻擊的風險。

題型:單項選擇題

組織應依照已確定的訪問控制策略限制對信息和()功能的訪問。對訪問的限制要基于各個業(yè)務應用要求。訪問控制策略還要與組織的訪問策略一致。應建立安全登錄規(guī)程控制實現(xiàn)對系統(tǒng)和應用的訪問。宜選擇合適的身份驗證技術以驗證用戶身份。在需要強認證和()時,宜使用如加密、智能卡、令牌或生物手段等著代密碼的身份驗證方法。應建立交互式的口令苦理系統(tǒng)并確僅使用優(yōu)質的口令。對千可能覆蓋系統(tǒng)和應用的控制措施的實用工具和程序的使用,應加以限制并()。對程序源代碼和相關事項(例如設計、說明書、驗證計劃和確認計劃)的訪問宜嚴格控制,以防引入非授權功能、避免無意識的變更和維持有價值的知識產(chǎn)權的()。對于程序源代碼的保存,可以通過這種代碼的中央存儲控制來實現(xiàn)更好的是放在()中。

題型:單項選擇題

風險評估的過程包括()、()、()和()四個階段。在信息安全風險管理過程中,風險評估建立階段的輸出,形成本階段的最終輸出《風險評估報告》,此文檔為風險處理活動提供輸入。還包括()和()兩個貫穿。

題型:單項選擇題

某網(wǎng)站的爬蟲總抓取量、停留時間及訪問次數(shù)這三個基礎信息日志數(shù)據(jù)的統(tǒng)計結果,通過對日志數(shù)據(jù)進行審計檢查,可以分析系統(tǒng)當前的運行狀況、發(fā)現(xiàn)其潛在威脅等。那么對日志數(shù)據(jù)進行審計檢查,屬于哪類控制措施()

題型:單項選擇題

某公司一名員工在瀏覽網(wǎng)頁時電腦遭到攻擊,同公司的技術顧問立即判斷這是網(wǎng)站腳本引起的,并告訴該員工跨站腳本分為三種類型,該員工在這三種類型中又添一種,打算考考公司的小張,你能找到該員工新增的錯誤答案嗎?()

題型:單項選擇題

《網(wǎng)絡安全法》共計(),(),主要內(nèi)容包括:網(wǎng)絡空間主權原則、網(wǎng)絡運行安全制度()、網(wǎng)絡信息保護制度()、等級保護制度()等。

題型:單項選擇題

風險評估的工具中,()是根據(jù)脆弱性掃描工具掃描的結果進行模擬攻擊測試,判斷被非法訪問者利用的可能性。這類工具通常包括黑客工具、腳本文件。

題型:單項選擇題

某公司在討論如何確認已有的安全措施,對于確認已有安全措施,下列選項中描述不正確的是()

題型:單項選擇題

組織開發(fā)和實施使用()來保護信息的策略,基于風險評估,宜確定需要的保護級別,并考慮需要的加擊算法的類型、強度和質量。當實施組織的()時,宜考慮我國應用密碼技術的規(guī)定和限制,以及()跨越國界時的問題。組織應開發(fā)和頭施在密鑰生命周期中使用和保護密鑰的方針。方針應包括密鑰在其全部生命周期中的苦理要求,包括密鑰的生成、存儲、歸檔、檢索、分配、卸任和銷毀過程中的安全。宜保護所有的密鑰免遭修改和丟失。另外,秘鑰和私有密鑰需要防范非授權的婦盡。用來生成、存儲和歸檔密鑰的設備宜進行()

題型:單項選擇題