以下哪个选项是缺乏适当的安全控制的表现（）A、威胁B、脆弱性C、资产D、影响

第1题：

衡量残余风险应当考虑的因素为（）

• A、威胁，风险，资产价值
• B、威胁，资产价值，脆弱性
• C、单次损失，年度发生率
• D、威胁，脆弱性，资产价值，控制措施效果

第2题：

剩余风险应该如何计算？（）

• A、威胁×风险×资产价值
• B、（威胁×资产价值×脆弱性）×风险
• C、单次损失值×频率
• D、（威胁×脆弱性×资产价值）×控制空隙

第3题：

下列哪一项代表缺乏充分的安全控制？（）

• A、威胁
• B、资产
• C、影响
• D、漏洞

第4题：

国家电网公司信息系统风险评估的主要内容包括（）。

• A、资产评估、威胁评估、脆弱性评估和现有安全设备配置评估。
• B、资产评估、应用评估、脆弱性评估和现有安全措施评估。
• C、资产评估、威胁评估、脆弱性评估和现有安全措施评估。
• D、资产评估、性能评估、威胁评估、脆弱性评估。

第5题：

安全风险的基本概念包括（）。

• A、资产
• B、脆弱性
• C、威胁
• D、控制措施

第6题：

SSE-CMM工程过程区域中的风险过程包含哪些过程区域（）

• A、评估威胁、评估脆弱性、评估影响
• B、评估威胁、评估脆弱性、评估安全风险
• C、评估威胁、评估脆弱性、评估影响、评估安全风险
• D、评估威胁、评估脆弱性、评估影响、验证和证实安全

第7题：

信息安全管理中，关于脆弱性，以下说法正确的是（）

• A、组织使用的开源软件不须考虑其技术脆弱性
• B、软件开发人员为方便维护留的后门是脆弱性的一种
• C、识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施使信息系
• D、统与网络物理隔离可社绝其脆弱性被威胁利用的机会

第8题：

信息安全风险的三要素是指（）

• A、资产/威胁/脆弱性
• B、资产/使命/威胁
• C、使命/威胁/脆弱性
• D、威胁/脆弱性/使命

第9题：

以下哪个不是风险分析的主要内容（）

• A、对信息资产进行识别并对资产的价值进行赋值。
• B、根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响
• C、根据威胁的属性判断安全事件发生的可能性。
• D、对资产的脆弱性进行识别并对具体资产脆弱性的严重程度赋值

第10题：

以下哪个不是风险分析的主要内容？（）

• A、根据威胁的属性判断安全事件发生的可能性。
• B、对信息资产进行识别并对资产的价值进行赋值。
• C、根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。
• D、对资产的脆弱性进行识别并对具体资产脆弱性的严重程度赋值。