信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估與管控考核試卷

信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估與管控考核試卷考生姓名：__________答題日期：__________得分：__________判卷人：__________

一、單項(xiàng)選擇題（本題共20小題，每小題1分，共20分，在每小題給出的四個(gè)選項(xiàng)中，只有一項(xiàng)是符合題目要求的）

1.信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的首要步驟是（）

A.識(shí)別信息系統(tǒng)的資產(chǎn)

B.識(shí)別信息系統(tǒng)的威脅

C.評(píng)估信息系統(tǒng)脆弱性

D.實(shí)施控制措施

2.下列哪項(xiàng)不是信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的目的（）

A.識(shí)別潛在的風(fēng)險(xiǎn)

B.量化風(fēng)險(xiǎn)影響程度

C.提供絕對(duì)的安全保障

D.支持風(fēng)險(xiǎn)管控決策

3.在識(shí)別信息系統(tǒng)的資產(chǎn)時(shí)，以下哪項(xiàng)資產(chǎn)最重要（）

A.硬件設(shè)施

B.軟件程序

C.數(shù)據(jù)信息

D.網(wǎng)絡(luò)設(shè)備

4.以下哪個(gè)不屬于威脅類型（）

A.惡意軟件

B.硬件故障

C.數(shù)據(jù)泄露

D.安全意識(shí)不足

5.在評(píng)估信息系統(tǒng)的脆弱性時(shí)，以下哪個(gè)因素不需要考慮（）

A.系統(tǒng)配置

B.網(wǎng)絡(luò)架構(gòu)

C.用戶行為

D.市場(chǎng)競(jìng)爭(zhēng)

6.以下哪個(gè)不是風(fēng)險(xiǎn)量化分析的方法（）

A.故障樹分析

B.概率樹分析

C.敏感性分析

D.主觀評(píng)分法

7.在制定風(fēng)險(xiǎn)應(yīng)對(duì)措施時(shí)，以下哪個(gè)策略屬于轉(zhuǎn)移風(fēng)險(xiǎn)（）

A.風(fēng)險(xiǎn)避免

B.風(fēng)險(xiǎn)降低

C.風(fēng)險(xiǎn)接受

D.風(fēng)險(xiǎn)保險(xiǎn)

8.以下哪個(gè)措施不屬于技術(shù)層面的風(fēng)險(xiǎn)控制（）

A.防火墻設(shè)置

B.訪問(wèn)控制

C.數(shù)據(jù)加密

D.安全培訓(xùn)

9.在信息系統(tǒng)風(fēng)險(xiǎn)管控中，以下哪個(gè)環(huán)節(jié)最重要（）

A.風(fēng)險(xiǎn)評(píng)估

B.風(fēng)險(xiǎn)控制

C.風(fēng)險(xiǎn)監(jiān)控

D.風(fēng)險(xiǎn)溝通

10.以下哪個(gè)不是風(fēng)險(xiǎn)監(jiān)控的主要任務(wù)（）

A.監(jiān)控風(fēng)險(xiǎn)變化

B.評(píng)估控制措施有效性

C.制定風(fēng)險(xiǎn)應(yīng)對(duì)策略

D.更新風(fēng)險(xiǎn)評(píng)估

11.在進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)管控時(shí)，以下哪個(gè)原則最重要（）

A.整體性原則

B.動(dòng)態(tài)性原則

C.實(shí)用性原則

D.權(quán)衡性原則

12.以下哪個(gè)組織負(fù)責(zé)制定我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)（）

A.國(guó)家互聯(lián)網(wǎng)應(yīng)急中心

B.中國(guó)信息安全測(cè)評(píng)中心

C.國(guó)家信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

D.公安部網(wǎng)絡(luò)安全保衛(wèi)局

13.以下哪個(gè)法規(guī)與信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估與管控?zé)o關(guān)（）

A.《網(wǎng)絡(luò)安全法》

B.《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》

C.《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

D.《中華人民共和國(guó)合同法》

14.在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，以下哪個(gè)方法適用于定性分析（）

A.故障樹分析

B.概率樹分析

C.情景分析

D.仿真模擬

15.以下哪個(gè)因素可能導(dǎo)致信息系統(tǒng)風(fēng)險(xiǎn)增加（）

A.提高系統(tǒng)安全性

B.增加系統(tǒng)冗余

C.縮短系統(tǒng)維護(hù)周期

D.加強(qiáng)員工培訓(xùn)

16.在風(fēng)險(xiǎn)溝通中，以下哪個(gè)環(huán)節(jié)最重要（）

A.確定溝通對(duì)象

B.制定溝通計(jì)劃

C.傳遞風(fēng)險(xiǎn)信息

D.收集反饋意見(jiàn)

17.以下哪個(gè)措施不屬于物理層面的風(fēng)險(xiǎn)控制（）

A.安保人員巡邏

B.視頻監(jiān)控系統(tǒng)

C.防火設(shè)施

D.數(shù)據(jù)備份

18.在信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中，以下哪個(gè)階段需要考慮殘余風(fēng)險(xiǎn)（）

A.風(fēng)險(xiǎn)識(shí)別

B.風(fēng)險(xiǎn)評(píng)估

C.風(fēng)險(xiǎn)控制

D.風(fēng)險(xiǎn)監(jiān)控

19.以下哪個(gè)方法不適用于風(fēng)險(xiǎn)識(shí)別（）

A.問(wèn)卷調(diào)查

B.安全審計(jì)

C.情景分析

D.數(shù)學(xué)建模

20.在信息系統(tǒng)風(fēng)險(xiǎn)管控過(guò)程中，以下哪個(gè)角色負(fù)責(zé)制定風(fēng)險(xiǎn)應(yīng)對(duì)措施（）

A.風(fēng)險(xiǎn)管理人員

B.技術(shù)支持人員

C.業(yè)務(wù)部門負(fù)責(zé)人

D.高級(jí)管理層

二、多選題（本題共20小題，每小題1.5分，共30分，在每小題給出的四個(gè)選項(xiàng)中，至少有一項(xiàng)是符合題目要求的）

1.信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估包括以下哪些基本環(huán)節(jié)（）

A.風(fēng)險(xiǎn)識(shí)別

B.風(fēng)險(xiǎn)分析

C.風(fēng)險(xiǎn)評(píng)估

D.風(fēng)險(xiǎn)控制

E.風(fēng)險(xiǎn)監(jiān)控

2.以下哪些屬于內(nèi)部威脅（）

A.員工失誤

B.黑客攻擊

C.內(nèi)部泄密

D.硬件故障

E.管理層疏忽

3.以下哪些是風(fēng)險(xiǎn)管控的主要目標(biāo)（）

A.保障信息安全

B.提高系統(tǒng)可靠性

C.降低運(yùn)營(yíng)成本

D.提高企業(yè)競(jìng)爭(zhēng)力

E.滿足法律法規(guī)要求

4.以下哪些方法可用于風(fēng)險(xiǎn)識(shí)別（）

A.問(wèn)卷調(diào)查

B.安全審計(jì)

C.情景分析

D.邏輯分析

E.數(shù)據(jù)挖掘

5.以下哪些措施屬于風(fēng)險(xiǎn)避免的策略（）

A.停止使用存在安全風(fēng)險(xiǎn)的系統(tǒng)

B.加強(qiáng)對(duì)員工的權(quán)限管理

C.定期進(jìn)行系統(tǒng)備份

D.降低系統(tǒng)的復(fù)雜性

E.提高系統(tǒng)的安全性

6.以下哪些是風(fēng)險(xiǎn)量化的關(guān)鍵參數(shù)（）

A.風(fēng)險(xiǎn)概率

B.風(fēng)險(xiǎn)影響

C.風(fēng)險(xiǎn)嚴(yán)重性

D.風(fēng)險(xiǎn)可能性

E.風(fēng)險(xiǎn)持續(xù)時(shí)間

7.以下哪些措施屬于風(fēng)險(xiǎn)降低的策略（）

A.安裝防火墻

B.數(shù)據(jù)加密

C.制定應(yīng)急預(yù)案

D.購(gòu)買保險(xiǎn)

E.定期進(jìn)行安全培訓(xùn)

8.在風(fēng)險(xiǎn)監(jiān)控過(guò)程中，以下哪些是監(jiān)控的內(nèi)容（）

A.風(fēng)險(xiǎn)變化

B.控制措施的有效性

C.風(fēng)險(xiǎn)應(yīng)對(duì)策略的實(shí)施

D.風(fēng)險(xiǎn)評(píng)估模型的準(zhǔn)確性

E.外部環(huán)境變化

9.以下哪些因素可能導(dǎo)致信息系統(tǒng)風(fēng)險(xiǎn)增加（）

A.系統(tǒng)復(fù)雜性提高

B.技術(shù)更新迅速

C.用戶數(shù)量增加

D.安全意識(shí)提高

E.法律法規(guī)變更

10.以下哪些是有效的風(fēng)險(xiǎn)溝通原則（）

A.及時(shí)性

B.完整性

C.清晰性

D.權(quán)威性

E.雙向性

11.在進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估時(shí)，以下哪些人員應(yīng)參與（）

A.風(fēng)險(xiǎn)管理人員

B.技術(shù)支持人員

C.業(yè)務(wù)部門負(fù)責(zé)人

D.外部審計(jì)人員

E.所有系統(tǒng)用戶

12.以下哪些是信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)（）

A.ISO27001

B.ISO31000

C.GB/T31722

D.GB/T20984

E.COBIT

13.以下哪些是信息系統(tǒng)安全等級(jí)保護(hù)的基本要求（）

A.技術(shù)手段保護(hù)

B.管理手段保護(hù)

C.法律手段保護(hù)

D.物理手段保護(hù)

E.人員手段保護(hù)

14.以下哪些措施屬于技術(shù)層面的風(fēng)險(xiǎn)控制（）

A.訪問(wèn)控制

B.數(shù)據(jù)加密

C.安全審計(jì)

D.防火墻設(shè)置

E.安全協(xié)議

15.以下哪些是風(fēng)險(xiǎn)評(píng)估過(guò)程中常見(jiàn)的信息來(lái)源（）

A.內(nèi)部審計(jì)報(bào)告

B.安全事件記錄

C.業(yè)務(wù)流程描述

D.市場(chǎng)調(diào)研報(bào)告

E.法律法規(guī)要求

16.以下哪些方法可用于風(fēng)險(xiǎn)分析（）

A.故障樹分析

B.概率樹分析

C.敏感性分析

D.影響圖分析

E.問(wèn)卷調(diào)查

17.在風(fēng)險(xiǎn)應(yīng)對(duì)措施中，以下哪些屬于應(yīng)急響應(yīng)計(jì)劃的內(nèi)容（）

A.風(fēng)險(xiǎn)識(shí)別

B.風(fēng)險(xiǎn)評(píng)估

C.應(yīng)急預(yù)案

D.演練計(jì)劃

E.事故調(diào)查

18.以下哪些是企業(yè)在進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估時(shí)面臨的挑戰(zhàn)（）

A.資源有限

B.技術(shù)復(fù)雜性

C.風(fēng)險(xiǎn)量化困難

D.法規(guī)遵循壓力

E.員工抵抗

19.以下哪些是風(fēng)險(xiǎn)接受的條件（）

A.風(fēng)險(xiǎn)處于可接受的范圍內(nèi)

B.風(fēng)險(xiǎn)降低措施成本過(guò)高

C.風(fēng)險(xiǎn)轉(zhuǎn)移不可行

D.風(fēng)險(xiǎn)無(wú)法避免

E.風(fēng)險(xiǎn)發(fā)生后有應(yīng)急預(yù)案

20.以下哪些是風(fēng)險(xiǎn)管理人員應(yīng)具備的技能（）

A.風(fēng)險(xiǎn)評(píng)估知識(shí)

B.技術(shù)背景

C.溝通協(xié)調(diào)能力

D.法律法規(guī)知識(shí)

E.項(xiàng)目管理能力

三、填空題（本題共10小題，每小題2分，共20分，請(qǐng)將正確答案填到題目空白處）

1.信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的目的是為了識(shí)別、分析和應(yīng)對(duì)潛在的______，以保障信息系統(tǒng)的安全。

2.在進(jìn)行風(fēng)險(xiǎn)識(shí)別時(shí)，應(yīng)首先對(duì)信息系統(tǒng)的______進(jìn)行識(shí)別和分類。

3.風(fēng)險(xiǎn)分析主要包括對(duì)風(fēng)險(xiǎn)的______和影響程度進(jìn)行評(píng)估。

4.風(fēng)險(xiǎn)量化的目的是為了將風(fēng)險(xiǎn)轉(zhuǎn)化為可以______的數(shù)值，以便于比較和決策。

5.風(fēng)險(xiǎn)應(yīng)對(duì)措施包括風(fēng)險(xiǎn)避免、風(fēng)險(xiǎn)降低、風(fēng)險(xiǎn)轉(zhuǎn)移和______。

6.風(fēng)險(xiǎn)監(jiān)控的主要任務(wù)是監(jiān)控風(fēng)險(xiǎn)的變化和______的有效性。

7.在風(fēng)險(xiǎn)溝通中，應(yīng)確保信息的______、準(zhǔn)確性和及時(shí)性。

8.信息系統(tǒng)安全等級(jí)保護(hù)的基本要求包括技術(shù)手段保護(hù)、管理手段保護(hù)和______。

9.______是指通過(guò)一定的手段將風(fēng)險(xiǎn)的可能性和影響程度綜合評(píng)估，以確定風(fēng)險(xiǎn)的大小。

10.在風(fēng)險(xiǎn)管理人員應(yīng)具備的技能中，______能力是確保風(fēng)險(xiǎn)管理措施有效實(shí)施的關(guān)鍵。

四、判斷題（本題共10小題，每題1分，共10分，正確的請(qǐng)?jiān)诖痤}括號(hào)中畫√，錯(cuò)誤的畫×）

1.信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估與管控是一個(gè)一次性的活動(dòng)，不需要定期進(jìn)行。（）

2.風(fēng)險(xiǎn)識(shí)別是風(fēng)險(xiǎn)評(píng)估過(guò)程中最關(guān)鍵的一步，因?yàn)樗_定了風(fēng)險(xiǎn)管理的基礎(chǔ)。（）

3.風(fēng)險(xiǎn)量化分析只能采用定量方法，不能使用定性方法。（）

4.風(fēng)險(xiǎn)轉(zhuǎn)移策略意味著將風(fēng)險(xiǎn)完全交給第三方，企業(yè)不再承擔(dān)任何風(fēng)險(xiǎn)。（）

5.風(fēng)險(xiǎn)監(jiān)控是在風(fēng)險(xiǎn)應(yīng)對(duì)措施實(shí)施后進(jìn)行的，目的是評(píng)估措施的有效性。（）

6.在風(fēng)險(xiǎn)溝通中，所有相關(guān)信息都應(yīng)向所有利益相關(guān)者公開，不需要考慮信息的敏感性和影響。（）

7.企業(yè)的所有信息系統(tǒng)都必須達(dá)到相同的安全等級(jí)保護(hù)要求。（）

8.風(fēng)險(xiǎn)管理人員的主要職責(zé)是制定和實(shí)施風(fēng)險(xiǎn)應(yīng)對(duì)措施。（）

9.風(fēng)險(xiǎn)評(píng)估模型的選擇取決于企業(yè)的大小和資源的多少。（）

10.在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，不需要考慮外部環(huán)境的變化，只需關(guān)注內(nèi)部信息系統(tǒng)。（）

五、主觀題（本題共4小題，每題10分，共40分）

1.請(qǐng)簡(jiǎn)述信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的四個(gè)基本步驟，并說(shuō)明每個(gè)步驟的主要任務(wù)。

2.描述風(fēng)險(xiǎn)避免、風(fēng)險(xiǎn)降低、風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)接受這四種風(fēng)險(xiǎn)應(yīng)對(duì)策略的區(qū)別，并給出每種策略的一個(gè)實(shí)際應(yīng)用示例。

3.在進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)管控時(shí)，為什么風(fēng)險(xiǎn)溝通非常重要？請(qǐng)列舉風(fēng)險(xiǎn)溝通的主要內(nèi)容和關(guān)鍵原則。

4.結(jié)合實(shí)際案例，說(shuō)明企業(yè)在進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估時(shí)可能遇到的挑戰(zhàn)，并闡述如何克服這些挑戰(zhàn)。

標(biāo)準(zhǔn)答案

一、單項(xiàng)選擇題

1.A

2.C

3.C

4.D

5.D

6.A

7.D

8.D

9.C

10.B

11.A

12.C

13.D

14.C

15.B

16.C

17.A

18.B

19.E

20.A

二、多選題

1.ABCD

2.ACDE

3.ABDE

4.ABC

5.AD

6.AB

7.BCE

8.ABCD

9.ABCE

10.ABCDE

11.ABCD

12.ABCD

13.ABCD

14.ABCDE

15.ABCDE

16.ABCD

17.BCDE

18.ABCDE

19.ABCD

20.ABCDE

三、填空題

1.風(fēng)險(xiǎn)

2.資產(chǎn)

3.可能性

4.量化

5.風(fēng)險(xiǎn)接受

6.控制措施的有效性

7.完整性

8.物理手段保護(hù)

9.風(fēng)險(xiǎn)評(píng)估

10.溝通協(xié)調(diào)

四、判斷題

1.×

2.√

3.×

4.×

5.√

6.×

7.×

8.×

9.√

10.×

五、主觀題（參考）

1.風(fēng)險(xiǎn)評(píng)估四步：識(shí)別資產(chǎn)、識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、風(fēng)險(xiǎn)應(yīng)