在风险评估中进行定量的后果分析时,如果采用年度风险损失值(ALE,annualized-lossexpectancy)的方法进行计算,应当使用以下哪个公式()。
A.SLE(单词损失预期值)*ARO(年度发生率);
B.ARO(年度发生率)*EF(暴漏因子);
C.SLE(单次损失预期值)*EF(暴漏因子)*AR0(年度发生率);
D.AR0(年度发生率)*SLE(单次损失预期值)-EF(暴漏因子);
A.SLE(单词损失预期值)*ARO(年度发生率);
B.ARO(年度发生率)*EF(暴漏因子);
C.SLE(单次损失预期值)*EF(暴漏因子)*AR0(年度发生率);
D.AR0(年度发生率)*SLE(单次损失预期值)-EF(暴漏因子);
第2题
A.如果注册会计师将某一认定的可接受审计风险设定为10%,评估的重大错报风险为35%,则可接受的检查风险为25%
B.在审计风险模型中,重大错报风险独立于财务报表审计而存在
C.实务中,注册会计师不一定用绝对数量表达审计风险水平,可选用文字进行定性表述
D.审计风险并不是指注册会计师执行业务的法律后果
第4题
A.定性风险分析
B.定量风险分析
C.规划风险管理
D.规划风险应对
第5题
A.残余风险是采取了安全措施后,仍然可能存在的风险;一般来说,是在综合考虑了安全成本与效益后不去控制的风险
B.残余风险应受到密切监视,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件
C.实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果
D.信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小残余风险值作为风险管理效果评估指标
第6题
A.如果一个失效模式会导致多个失效后果,则严重度要根据最严重的失效模式来确定
B.潜在失效原因是对如何会发生的过程的说明,应当采用5why方法对潜在失效原因进行分析,并最终描述为可以纠正,控制的问题
C.现行控制包含预防和控制两种,在可能的情况下应优先选择探测控制
D.潜在失效原因会导致潜在失效后果出现
第7题
A.流程化的风险评估可以帮助建立合适的控制机制
B.预测未来不利事件、威胁的可能性必须要联系系统的潜在漏洞
C.在系统特性分析环节,需要识别系统中的各种有效资源和信息的组成,从而确认系统边界
D.黑客是进行漏洞分析时需要分析的威胁源
第8题
B.管理层确认接收残余风险,是对风险评估工作的一种肯定,表示管理层已经全面了解了组织所面临的风险,并理解在风险一旦变为现实后,组织能够且承担引发的后果
C.接收残余风险,则表明没有必要防范和加固所有的安全漏洞,也没有必要无限制的提高安全保护措施的强度,对安全保护措施的选择要考虑到成本和技术等因素的限制
D.如果残余风险没有降低到可接受的级别,则只能被动的选择接受风险,即对风险不进行下一步的处理措施,接受风险可能带来的结果
解释:如果残余风险没有降低到可接受的级别,则会被动的选择接受残余风险,但需要对残余风险进行进一步的关注、监测和跟踪
第9题
在IT风险的管理流程中,后果分析是度量一个风险大小的重要步骤,关于后果分析以下描述错误的是()。
A.在开始后果分析之前,还需要再回顾一些先前的信息:系统任务、系统和数据的重要性、系统和数据的敏感性
B.定量分析比较容易分析出风险漏洞所隐含风险的大小,使得管理人员能迅速对漏洞按照优先级顺序迅速处理
C.定量的后果分析中可以将不良后果量化,并且在成本效益分析中使得决策过程更加准确
D.定量分析的缺点在于,根据数值范围来表示测量,对于后果的定量影响分析可能不明确,产生的结果还需要解释和说明
第11题
A.用概率分布图表示
B.用概率分支来表示
C.不需要在模型中表示它
D.用龙卷风图表示