规范的实施流程和文档管理，是信息安全风险评估能否取得成功的重要基础。某单位在实施风险评估时，形成了《待评估信息系统相关设

第1题：

简述安全风险评估实施流程？

第2题：

信息系统审计师正在评估管理层对信息系统的风险评估工作。审计师应该首先检查：（）

• A、已经实施的控制
• B、已经实施的控制的有效性
• C、对相关风险的监控机制
• D、与资产相关的威胁和脆弱性

第3题：

第4题：

根据国家风险评估有关标准，采取以委托评估和检查评估为主的方式，在信息系统方案设计、建设投产和运行维护各个阶段实施必要的风险评估，加强对信息系统投产运行和重大应用变更前的风险评估。

第5题：

为了解风险和控制风险，应当及时进行风险评估活动，我国有关文件指出：风险评估的工作形式可分为自评估和检查评估两种，关于自评估，下面选项中描述错误的是（）。

• A、自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估
• B、自评估应参照相应标准、依据制定的评估方案和评估准则，结合系统特定的安全要求实施
• C、自评估应当是由发起单位自行组织力量完成，而不应委托社会风险评估服务机构来实施
• D、周期性的自评估可以在评估流程上适当简化，如重点针对上次评估后系统变化部分进行

第6题：

GB/Z 20986-2007标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。此标准适用于规范组织开展的风险评估工作。

第7题：

某单位在实施信息安全风险评估后，形成了若干文档，下面（）中的文挡不应属于风险评估中“风险评估准备”阶段输出的文档。

• A、《风险评估工作计划》，主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色及职责、经费预算和进度安排等内容
• B、《风险评估方法和工具列表》。主要包括拟用的风险评估方法和测试评估工具等内容
• C、《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安全措施等内容
• D、《风险评估准则要求》，主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、资产分类标准、资产分类准则等内容

第8题：

规范的实施流程和文档管理，是信息安全风险评估能否取得成功的重要基础。某单位在实施风险评估时，形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中，该《待评估信息系统相关设备及资产清单》应是如下（）中的输出结果。

• A、风险评估准备
• B、风险要素识别
• C、风险分析
• D、风险结果判定

第9题：

某单位在实施风险评估时，按照规范形成了若干文档，其中，（）中的文档应属于风险评估中“风险要素识别”阶段输出的文档。

• A、《风险评估方法》，主要包括本次风险评估的目的、范围、目标，评估步骤，经费预算和进度安排等内容
• B、《风险评估方法和工具列表》，主要包括拟用的风险评估方法和测试评估工具等内容
• C、《风险评估准则要求》，主要包括现有风险评估参考标准、采用的风险分析方法，资产分类标准等内容
• D、《已有安全措施列表》，主要经验检查确认后的已有技术和管理方面安全措施等内容

第10题：

如何对信息安全风险评估的过程进行质量监控和管理？（）

• A、对风险评估发现的漏洞进行确认
• B、针对风险评估的过程文档和结果报告进行监控和审查
• C、对风险评估的信息系统进行安全调查
• D、对风险控制测措施有有效性进行测试