一个组织正在设置一个安全评估范围,目标是开发一个安全管理程序(SMP)。下一步是选择进行风险评估的方法。以下哪种方法对SMP最有效()。
A.以控制管理为重点的安全控制驱动评估。
B.基于业务流程的风险评估,重点关注业务目标。
C.以资产为重点的资产驱动风险评估。
D.以数据为重点的数据驱动风险评估。
A.以控制管理为重点的安全控制驱动评估。
B.基于业务流程的风险评估,重点关注业务目标。
C.以资产为重点的资产驱动风险评估。
D.以数据为重点的数据驱动风险评估。
A.资源利用率。这是一个强大的度量指标,帮助人员以技术的形式标识数据管理的成本
B.风险敞口。对风险情景做出反应的能力,反映了组织相对于其DMMA评级的能力
C.数据管理成熟度。包括数据质量,数据管理能力的评估
D.DMMA的输入。核心输入包括:计数、覆盖范围、可用性、系统数量、数据量、涉及的团队
A.自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估
B.检查评估是指信息系统上级管理部门组织的国家有关职能部门依法开展的风险评估
C.信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充
D.自评估和检查评估是相互排斥的,单位应慎重地从两种工作形式选择一个,并坚持使用
B.管理层确认接收残余风险,是对风险评估工作的一种肯定,表示管理层已经全面了解了组织所面临的风险,并理解在风险一旦变为现实后,组织能够且承担引发的后果
C.接收残余风险,则表明没有必要防范和加固所有的安全漏洞,也没有必要无限制的提高安全保护措施的强度,对安全保护措施的选择要考虑到成本和技术等因素的限制
D.如果残余风险没有降低到可接受的级别,则只能被动的选择接受风险,即对风险不进行下一步的处理措施,接受风险可能带来的结果
解释:如果残余风险没有降低到可接受的级别,则会被动的选择接受残余风险,但需要对残余风险进行进一步的关注、监测和跟踪
A.设施提供可接受的风险水平。
B.设施提供灾难恢复(DR)服务。
C.设施有物理访问保护措施。
D.设施提供最具成本效益的解决方案。
A.灾难恢复(DR)。
B.可用性。
C.冗余。
D.业务连续性(BC)。
A.更新风险登记册
B.修订项目管理计划
C.确定适当的风险应对
D.通知相关方
A.回顾过去的安全评估。
B.定义组织关于安全和风险缓解的目标。
C.将组织当前的安全实践映射到行业标准和框架。
D.从安全最佳实践中进行选择。
A.同意包含该需求
B.按照新的变更请求更新项目管理计划
C.评估变更影响并启动变更管理程序
D.根据客户的要求告知发起人
A.收集度量、评估和报告所需的安全相关信息。
B.建立一个ISCM计划来确定指标、状态监控频率和控制评估频率。
C.根据风险承受能力定义ISCM策略。
D.建立ISCM技术架构。