单选题信息系统安全风险评估是通过数字化的资产评估准则完成的，它通常会覆盖人员安全、人员信息、公共秩序等方面的各个要素，以下不会被覆盖的要素是（）。A 立法及规章未确定的定义B 金融损失或对业务活动的干扰C 信誉的损害D 商业及经济的利益

第1题：

以下关于信息系统安全保障是主观和客观的结合说法错误的是（）。

• A、通过在技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心
• B、信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障信息系统安全
• C、是一种通过客观证据向信息系统所有者提供主观信心的活动
• D、是主观和客观综合评估的结果

第2题：

信息安全测评是指依据相关标准，从安全功能等角度对信息技术产品、信息系统、服务提供商以及人员进行测试和评估，以下关于信息安全测评说法不正确的是（）

• A、信息产品安全评估是测评机构对产品的安全性做出的独立评价，增强用户对己评估产品安全的信任
• B、目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两种类型
• C、信息安全工程能力评估是对信息安全服务提供者的资格状况、技术实力和实施服务过程质量保证能力的具体衡量和评价
• D、信息系统风险评估是系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件可能造成的危害程度，提出有针对性的安全防护策略和整改措施

第3题：

国家电网公司信息系统风险评估的主要内容包括（）评估、威胁评估、脆弱性评估和现有安全措施评估。

• A、资产
• B、人员
• C、管理
• D、技术

第4题：

信息系统安全风险评估是通过数字化的资产评估准则完成的，它通常会覆盖人员安全、人员信息、公共秩序等方面的各个要素，以下不会被覆盖的要素是（）。

• A、立法及规章未确定的定义
• B、金融损失或对业务活动的干扰
• C、信誉的损害
• D、商业及经济的利益

第5题：

在信息安全风险中，以下哪个说法是正确的（）

• A、风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，需要充分考虑与这些基本要素相关的各类属性。
• B、风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，不需要充分考虑与这些基本要素相关的各类属性。
• C、安全需求可通过安全措施得以满足，不需要结合资产价值考虑实施成本。
• D、信息系统的风险在实施了安全措施后可以降为零。

第6题：

对信息安全风险评估工作成果理解正确的是：（）

• A、信息安全风险评估工作的最重要成果是按高中低级排列的风险列表。
• B、通过信息安全风险评估工作，不仅能够明确系统安全风险，还能够获得如何控制风险的详细建议。
• C、信息安全风险评估工作最终成果是信息系统安全问题（脆弱点）列表。
• D、信息安全风险评估工作最终成果是信息系统安全威胁列表。

第7题：

《信息安全技术信息安全风险评估规范GB/T20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是：（）

• A、规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等。
• B、设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性，提出安全功能需求。
• C、实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别，并对系统建成后的安全功能进行验证。
• D、运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面。

第8题：

对信息安全风险评估要素理解正确的是（）

• A、资产识别的粒度随着评估范围、评估目的的不同而不同，既可以是硬件设备，也可以是业务系统，也可以是组织机构
• B、应针对构成信息系统的每个资产做风险评价
• C、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项
• D、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁

第9题：

根据《国家电网公司信息系统安全风险评估实施细则（试行）》，在风险评估中，资产评估包含信息资产（）、资产赋值等内容。

• A、识别
• B、安全要求识别
• C、安全
• D、实体

第10题：

第11题：

第12题：

第13题：

以下哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模型具备的特点？（）

• A、强调信息系统安全保障持续发展的动态性，即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程
• B、强调信息系统安全保障的概念，通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标
• C、以安全概念和关系为基础，将安全威胁和风险控制措施作为信息系统安全保障的基础和核心
• D、通过以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素，从而使信息系统安全保障实现信息安全的安全特征

第14题：

以下关于信息系统安全保障是主观和客观的结合说法最准确的是（）

• A、信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障信息系统安全
• B、通过技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心
• C、是一种通过客观证据向信息系统评估者提供主观信心的活动
• D、是主观和客观综合评估的结果

第15题：

风险评估能够对信息安全事故防患于未然，为信息系统的安全保障提供最可靠的科学依据。风险评估的基本要素不包括（）

• A、要保护的信息资产
• B、信息资产的脆弱性
• C、信息资产面临的威胁
• D、运维风险

第16题：

风险评估能够对信息安全事故防患于未然，为信息系统的安全保障提供最可靠的科学依据。风险评估的基本要素主要包括（）

• A、要保护的信息资产
• B、信息资产的脆弱性
• C、信息资产面临的威胁
• D、存在的可能风险
• E、安全防护措施

第17题：

以下关于信息系统安全保证是主观和客观的结合说法最准确的是（）

• A、信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障信息系统安全
• B、通过在技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信息
• C、是一种通过客观证据向信息系统评估组提供主观信息的活动
• D、是主观和客观综合评估的结果

第18题：

信息安全风险评估是信息安全管理体系建立的基础，以下说法错误的是（）

• A、信息安全管理体系的建立需要确定信息安全需求，而信息安全需求获取的主要手段就是信息安全风险评估
• B、风险评估可以对信息资产进行鉴定和评估，然后对信息资产面对的各种威胁和脆弱性进行评估
• C、风险评估可以确定需要实施的具体安全控制措施
• D、风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合

第19题：

依据国家标准GB/T20274《信息系统安全保障评估框架》，信息系统安全目标是开发者、评估者和用户在（）之间达成的一致。

• A、信息系统规划和实施
• B、信息系统安全特性和评估范围
• C、信息安全要求和安全目的
• D、风险和使命

第20题：

在信息系统安全风险评估中，以下哪些说法是正确的（）。

• A、资产价值越大风险越大
• B、威胁越大风险越大
• C、脆弱性越大风险越大
• D、脆弱性使资产暴露

第21题：

第22题：

第23题：

第24题：