A、残余风险应受到密切监视,它会随着时间的推移而发生变化,可能会存在将来诱发新的安全事件
B、实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果
C、信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小残余风险值作为风险管理效果评估指标
D、残余风险是采取安全措施后,仍然可能存在的风险;一般来说,是在综合考虑了安全成本与效益后不去控制的风险
第1题
A、内部控制包含风险管理
B、风险管理包括内部控制
C、内部控制与风险管理是一对既互相联系又互相差别的概念
D、内部控制与风险管理没有关系
第2题
第4题
A、损失融资是损失事件管理中最有共性,最重要的部分
B、应急资本是风险资本的表现形式之一
C、应急资本不涉及风险的转移,是企业风险补偿策略的一种方式
D、专业自保公司也可以在保险市场上开展业务
第5题
是
否
第7题
A、风险管理框架下的内部控制是站在企业战略层面分析、评估和管理风险
B、内部控制比风险管理的范围要广泛得多
C、在风险管理框架下的内部控制既包括提前预测和评估各种现存和潜在风险,又包括在问题或事件发生后采取后动反应
D、依照风险管理的整体控制思维,扩展内部控制的内涵和外延,将治理、风险和控制作为一个整体为组织目标的实现提供保证
第9题
A、诉讼管理
B、报告
C、工作流程自动化
D、财务协议
第10题
A、确定重要资产和风险,实施针对风险的防护措施是信息安全应急响应规划过程中最关键的步骤
B、在检测阶段,首先要进行监测、报告及信息收集
C、遏制措施可能会因为事件的类别和级别不同而完全不同。常见的遏制措施有完全关闭所有系统、拔掉网线等
D、应按照应急响应计划中事先制定的业务恢复优先顺序和恢复步骤,顺次恢复相关的系统
第11题
A、在组织中使用行业标准最佳实践进行安全控制。
B、对所有风险管理信息进行尽职调查,以调整适当的控制。
C、查看所有当地和国际标准,并根据地点选择最严格的标准。
D、进行风险评估并选择解决现有差距的标准。