以下对信息安全风险评估描述不正确的是()。

A.ISMS是一个遵循PDCA模式的动态发展的体系

B.ISMS是一个文件化、系统化的体系

C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定

D.ISMS应该是一步到位的，应该解决所有的信息安全问题

A.企业信息安全风险管理就是要做到零风险

B.在信息安全领域，风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性

C.风险管理(RiskManagement)就是以可接受的代价，识别控制减少或消除可能影响信息系统的安全风险的过程。

D.风险评估(RiskAssessment)就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。

A.企业信息安全风险管理就是要做到零风险

B.在信息安全领域，风险（RISK）就是之信息资产遭受损坏并给企业带来负面影响及其潜在可能性

C.风险管理（RISKManagement）就是以可接受的代价，识别控制减少或消除可能影响信息系统的安全风险的过程

D.风险评估（RISKAssessment）及时对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估

● 小张的U盘中存储有企业的核心数据。针对该U盘，以下有关信息安全风险评估的描述中，不正确的是__(15)__。

（15）

A．风险评估首先要确定资产的重要性，由于该U盘中存储有核心数据，安全性要求高，因此该U盘重要性赋值就高

B．如果公司制定了U盘的安全使用制度，小张的U盘就不具有脆弱性

C．如果小张的计算机在接入U盘时没断网线，木马病毒就构成对该U盘的威胁

D．风险分析要同时考虑资产的重要性、威胁概率和脆弱性严重程度

A.应考虑组织架构与业务目标的变化对风险评估结果进行在评审

B.应考虑以往未充分识别的威胁对风险评估结果进行再评审

C.生产部增加的新的生产流水线对信息安全风险无影响

D.安全计划应适时更新

A.信息安全评估是建立安全防护体系的起点，任何企业在构建安全防护体系的时候，第一步就必须要进行信息安全评估

B.信息安全评估是建立安全防护体系的关键，它连接着安全防护重点和商业需求

C.安全评估就是对网络现状的分析，仅利用一些漏洞评估工具就可以实现了

D.进行风险评估，有助于制订消除、减轻或转移风险的安防控制措施并加以实施

A.目标是为企业、单位和组织提供最终的决策支持

B.主要内容是对组织内外部的信息进行有效的管理

C.主要内容是评估突发的信息系统中的安全事件可能造成的危害等级

D.目标是将信息安全事故防患于未然

A.规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等

B.设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性，提出安全功能需求

C.实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别，并对系统建成后的安全功能进行验证

D.运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面

A.风险评估首先要确定资产的重要性，由于该U盘中存储有核心数据，安全性要求高，因此该U盘重要性赋值就高

B.如果公司制定了U盘的安全使用制度，小张的U盘就不具有脆弱性

C.如果小张的计算机在接入U盘时没断网线，木马病毒就构成对该U盘的威胁

D.风险分析要同时考虑资产的重要性、威胁概率和脆弱性严重程度

A.是一个组织整体管理体系的组成部分

B.是有范围和边界的

C.是风险评估的手段

D.其基本过程应遵循PDCA循环