A、资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构
B、应针对构成信息系统的每个资产做风险评价
C、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项
D、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁
更多“对信息安全风险评估要素理解正确的是()”相关的问题
A、信息安全管理体系的建立需要确定信息安全需求,而信息安全需求获取的主要手段就是信息安全风险评估 B、风险评估可以对信息资产进行鉴定和评估,然后对信息资产面对的各种威胁和脆弱性进行评估 C、风险评估可以确定需要实施的具体安全控制措施 D、风险评估的结果应进行相应的风险处置,本质上,风险处置的最佳集合就是信息安全管理体系的控制措施集合
A、信息产品安全评估是测评机构对产品的安全性做出的独立评价,增强用户对己评估产品安全的信任 B、目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两种类型 C、信息安全工程能力评估是对信息安全服务提供者的资格状况、技术实力和实施服务过程质量保证能力的具体衡量和评价 D、信息系统风险评估是系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件可能造成的危害程度,提出有针对性的安全防护策略和整改措施
A、信息安全风险评估分自评估、检查评估两形式。应以检查评估为主,自评估和检查评估相互结合、互为补充 B、信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效”的原则开展 C、信息安全风险评估应贯穿于网络和信息系统建设运行的全过程 D、开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导
A、应考虑组织架构与业务目标的变化对风险评估结果进行在评审 B、应考虑以往未充分识别的威胁对风险评估结果进行再评审 C、生产部增加的新的生产流水线对信息安全风险无影响 D、安全计划应适时更新
A、企业信息安全风险管理就是要做到零风险 B、在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性 C、风险管理(Risk Management)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程 D、风险评估(Risk Assessment)就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估
A、信息系统的安全保护等级是信息系统的客观属性 B、确定信息系统的安全保护等级时应考虑已采取或将采取的安全保护措施 C、确定信息系统的安全保护等级时应考虑风险评估的结果 D、确定信息系统的安全保护等级时应仅考虑业务信息的安全性
A、应识别风险、并努力消除所有的风险 B、应评估风险,充分理解存在的风险和机会 C、识别和评估风险的基础,在于对组织内外部环境因素的充分理解 D、相关方的需求和期望将影响风险评估的结果
客服
TOP
查看正确答案
