关于风险管理的基本要求描述错误的是()。
A.风险评估是风险管理的一部分
B.如果自身可控,实验室不需要建立风险评估和风险控制程序
C.风险管理的目标是鼓励创新、提高实验室性能和确保实验室安全有序运行
D.风险评估报告应是建立安全管理体系和制定安全操作规程的依据
E.实验室应建立并维持风险评估和风险控制程序
A.风险评估是风险管理的一部分
B.如果自身可控,实验室不需要建立风险评估和风险控制程序
C.风险管理的目标是鼓励创新、提高实验室性能和确保实验室安全有序运行
D.风险评估报告应是建立安全管理体系和制定安全操作规程的依据
E.实验室应建立并维持风险评估和风险控制程序
A.安全计算环境的内容包括身份鉴别、访问控制,入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复。
B.全区域边界内容包括边界防护、访问控制、可信验证。
C.安全运维管理内容包括环境管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理,备份与恢复管理、安全事件处理。
D.安全管理机构的主要内容包括人员录用、人员高岗、安全意识教育和培训、外部人员访问管理。
A.风险贯穿于项目全生命周期,风险管理是一个持续的过程
B.风险管理是注意高层管理中认为关键的风险
C.风险管理过程的实施越早越好
D.风险管理的目标是实现最大的安全保障
关于IT风险的关键参与者,以下描述错误的是()。
A.IT风险专门委员会在IT风险管理中应承担主要责任
B.董事会和高级管理层不仅要为企业构建信息科技管理本身,还要构建信息科技风险管理和信息科技风险审计,从而形成IT风险管理的整体架构
C.首席信息官(CIO)的职责是组建信息科技部门,承担企业信息科技和IT风险管理职责等
D.审计部门或IT风险管理专门审计部门负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划等
A.负责监督IT管理的各项职责的落实
B.负责监督IT风险管理的各项职责的落实
C.定期向董事会和高级管理屡汇报包括IT风险管理规划执行情况在内的信息科技工作的整体状况
D.执行IT风险管理规划,规划IT风险管理策略,协调IT风险管理方案执行
A.流程化的风险评估可以帮助建立合适的控制机制
B.预测未来不利事件、威胁的可能性必须要联系系统的潜在漏洞
C.在系统特性分析环节,需要识别系统中的各种有效资源和信息的组成,从而确认系统边界
D.黑客是进行漏洞分析时需要分析的威胁源
A.ISO27002的前身是ISO17799-1
B.ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用,但不是全部
C.ISO27002对于每个控制措施的表述分“控制措施”、“实施指南”和“其他信息”三个部分来进行描述
D.ISO27002提出了十一大类的安全管理措施,其中风险评估和处置是处于核心地位的一类安全措施
A.业务部门、分支机构应当根据业务实际和洗钱风险状况考虑是否配备反洗钱岗位人员
B.从事监测分析工作的人员配备应当与本机构的可疑交易甄别分析工作量相匹配
C.应当从制度建设、业务审核、风险评估、系统建设、监测分析、合规制裁、案件管理等角度细分洗钱风险管理岗位
D.有条件配备专职人员的,不得以兼职人员替代专职人员,兼职人员占全部洗钱风险管理人员的比例不得高于80%
A.残余风险应受到密切监视,它会随着时间的推移而发生变化,可能会存在将来诱发新的安全事件
B.实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果
C.信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小残余风险值作为风险管理效果评估指标
D.残余风险是采取安全措施后,仍然可能存在的风险;一般来说,是在综合考虑了安全成本与效益后不去控制的风险
A.项目生命周期与项目管理过程组涵义相同,即同一事物的两个说法
B.做出变更和纠正错误的成本,随着项目越来越接近完成而显著增高
C.成本与人力投入在项目开始时较低,在执行期间达到最高,在项目快要结束时间快速回落
D.在螺旋模型中,每个周期一般划分为制定计划、风险分析、实施工程和客户评估四个阶段