itgle.com
回顾组织的风险评估流程时应首先A、鉴别对于信息资产威胁的合理性B、分析技术和组织弱点C、鉴别并对信息资产进行分级D、对潜在的安全漏洞效果进行评价
题目
回顾组织的风险评估流程时应首先
A、鉴别对于信息资产威胁的合理性
B、分析技术和组织弱点
C、鉴别并对信息资产进行分级
D、对潜在的安全漏洞效果进行评价
相似考题
参考答案和解析
答案:C
更多“回顾组织的风险评估流程时应首先A、鉴别对于信息资产威胁的合理性B、分析技术和组织弱点C、鉴别 ”相关问题
-
第1题:
要很好的评估信息安全风险,可以通过:
A、评估IT资产和IT项目的威胁
B、用公司的以前的真的损失经验来决定现在的弱点和威胁
C、审查可比较的组织公开的损失统计
D、审查在审计报告中的可识别的IT控制缺陷
答案:A
-
第2题:
内部审计活动应通过确认和评价风险的重大不利影响,并促进风险管理和控制体系的改进来帮助组织。关于对风险管理流程充分性的评估,内部审计师应该最有可能:A.认识到组织应该采用相似的技术来管理风险。
B.确认风险管理流程关键目标是否实现。
C.确定组织可接受的风险水平。
D.将对风险管理流程的评价以相同的方式用于计划业务时的风险分析。答案:B解析:A,不正确,风险管理流程随组织的业务活动的规模和复杂性而变化。B,正确,内部审计师应该有责任就组织的风险管理流程的充分性向董事会与管理层提供确认。这种责任要求他们对风险管理流程是否充分到足以保护组织的资产、声誉与持续的经营形成意见。为了上述目标,内部审计师必须确信组织的风险管理流程是否着眼于5个关键目标,即:(1)找出业务战略与活动领域的风险并进行优先排序;(2)管理层和董事会已经确定了组织可以接受的风险水平,包括为实现组织的战略计划而接受的风险;(3)设计并开展了风险减轻活动,将风险降低、管理在管理层和董事会可以接受的水平上;(4)开展持续的监督活动,定期对风险和控制的有效性进行再评估,以便管理风险;(5)董事会和管理层定期收到风险管理流程的结果报告。组织的公司治理过程应该包括定期向利益关系方传达风险、风险战略和控制情况(实务公告2110-1)。C,不正确,管理层和董事会确定组织可接受的风险水平。D,不正确,评价管理层的风险过程要区别于内部审计师在计划业务时所采用的风险评估,但在做业务计划时所取得的综合性风险管理流程的信息是有用的。 -
第3题:
信息系统审计师在对组织的风险评估流程进行审查时,首先应该:( )A.确定那些对信息资产来说较为合理的威胁
B.分析技术和组织方面的弱点
C.确定信息资产
D.评估潜在的安全漏洞所带来的影响答案:C解析:C正确。通过确定信息资产并对其分级,可以按照资产在组织中的价值来确定风险评估的基调或范围。其次,应根据资产对组织的价值来分析各种组织资产所面临的威胁。第三,应确定弱点,以便对控制措施进行评估,从而确定这些措施是否能减少弱点所面临的威胁。第四,分析这些弱点在缺少给定控制措施的情况下,将会对组织信息资产造成何种影响。 -
第4题:
风险评估的三个要素是()A.政策,结构和技术
B.组织,技术和信息
C.硬件,软件和人
D.资产,威胁和脆弱性
参考答案:D
-
第5题:
内部审计活动应通过确认和评价风险的重大不利影响,并促进风险管理和控制体系的改进来帮助组织。关于对风险管理流程充分性的评估,内部审计师应该最有可能:( )A.认识到组织应该采用相似的技术来管理风险
B.确认风险管理流程的关键目标是否实现
C.确定组织可接受的风险水平
D.将对风险管理流程的评价以相同的方式用于计划业务时的风险分析答案:B解析:A不正确,风险管理流程随组织业务活动的规模和复杂性而变化。B正确。内部审计师应该有责任就组织的风险管理流程的充分性向董事会与管理层提供确认。这种责任要求他们对风险管理流程是否充分到足以保护组织的资产、声誉与持续的经营形成意见。为了上述目标,内部审计师必须确信组织的风险管理流程是否着眼于五个关键目标,即:(1)找出业务战略与活动领域的风险并进行优先排序;(2)管理层和董事会已经确定了组织可以接受的风险水平,包括为实现组织的战略计划而接受的风险;(3)设计并开展了风险减轻活动,将风险降低、管理在管理层和董事会可以接受的水平;(4)开展持续的监督活动,定期对风险和控制的有效性进行再评估,以便管理风险;(5)董事会和管理层定期收到风险管理流程的结果报告。组织的公司治理过程应该包括定期向利益关系方传达风险、风险战略和控制情况。C不正确,管理层和董事会确定组织可接受的风险水平。D不正确,评价管理层的风险过程要区别于内部审计师在计划业务时所采用的风险评估,但在制订业务计划时所取得的综合性风险管理流程的信息是有用的。