信息系统的安全风险，是指由于系统存在的脆弱性、人为或自然威胁导致安全事件发生所造成的影响。()

第1题：

以下说法哪一个不是系统安全工程能力成熟度模型（SSE-CMM）中风险的事件的组成部分。（）

• A、系统脆弱性
• B、安全事件发生的时间
• C、事件造成的影响
• D、威胁

第2题：

下列对安全风险的描述是准确的是？（）

• A、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实。
• B、安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性。
• C、安全风险是指资产的脆弱性被威胁利用的情形
• D、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性

第3题：

随着信息技术的不断发展，信息系统的重要性也越来越突出，而与此同时，发生的信息安全事件也越来越多。综合分析信息安全问题产生的根源，下面描述正确的是（）。

• A、信息系统自身存在脆弱性是根本原因。信息系统越来越重要，同时自身在开发、部署和使用过程中存在的脆弱性，导致了诸多的信息安全事件发生。因此，杜绝脆弱性的存在是解决信息安全问题的根本所在
• B、信息系统面临诸多黑客的威胁，包括恶意攻击者和恶作剧攻击者。信息系统应用越来越广泛，接触信息系统的人越多，信息系统越可能遭受攻击。因此，避免有恶意攻击可能的人接触信息系统就可以解决信息安全问题
• C、信息安全问题产生的根源要从内因和外因两个方面两个方面分析，因为信息系统自身存在脆弱性，同时外部又有威胁源，从而导致信息系统可能发生安全事件。因此，要防范信息安全风险，需从内外因同时着手
• D、信息安全问题的根本原因是内因、外因和人三个因素的综合作用，内因和外因都可能导致安全事件的发生，但最重要的还是人的因素，外部攻击者和内部工作人员通过远程攻击、本地破坏和内外勾结等手段导致安全事件发生。因此，对人这个因素的防范应是安全工作重点

第4题：

以下哪一项对安全风险的描述是准确的（）。

• A、安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性
• B、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实
• C、安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性
• D、安全风险是指资产的脆弱性被威胁利用的情形

第5题：

风险评估的内容包括（）。

• A、识别网络和信息系统等信息资产的价值
• B、发现信息资产在技术、管理等方面存在的脆弱性、威胁
• C、评估威胁发生概率、安全事件影响，计算安全风险
• D、有针对性地提出改进措施、技术方案和管理要求

第6题：

第7题：

第8题：

第9题：

第10题：

第11题：

第12题：

第13题：

根据ISO 13335-1标准列举的关于安全要素的定义，可能引起不希望事故，导致系统或组织及其资产损害的行为事件，是指（）。

• A、风险
• B、脆弱性
• C、威胁
• D、影响

第14题：

信息系统的安全威胁分成七类，其中不包括（）。

• A、自然事件风险和人为事件风险
• B、软件系统风险和软件过程风险
• C、项目管理风险和应用风险
• D、功能风险和效率风险

第15题：

关于信息安全事件和应急响应的描述不正确的是（）。

• A、信息安全事件，是指由于自然或人为以及软、硬件本身缺陷或故障的原因，对信息系统造成危害，或者在信息系统内发生对社会造成负面影响的事件。
• B、至今，已有一种信息安全策略或防护措施，能够对信息及信息系统提供绝对的保护，这就使得信息安全事件的发生是不可能的。
• C、应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施。
• D、应急响应工作与其他信息安全管理工作相比有其鲜明的特点：具有高技术复杂性与专业性、强突发性、对知识经验的高依赖性，以及需要广泛的协调与合作

第16题：

就是要考虑由于人为的或自然的威胁因素可能对信息系统造成的危害及由此可能带来的损失（）

• A、信息安全分析
• B、运行安全分析
• C、风险分析
• D、安全管理分析

第17题：

第18题：

第19题：

第20题：

第21题：

第22题：

第23题：