风险评估是标识信息系统的资产价值，识别信息系统面临的自然和人为的威胁，识别信息系统的脆弱性，分析各种威胁发生的可能性

第1题：

第2题：

国家电网公司信息系统风险评估的主要内容包括（）。

• A、资产评估、威胁评估、脆弱性评估和现有安全设备配置评估。
• B、资产评估、应用评估、脆弱性评估和现有安全措施评估。
• C、资产评估、威胁评估、脆弱性评估和现有安全措施评估。
• D、资产评估、性能评估、威胁评估、脆弱性评估。

第3题：

第4题：

对信息安全风险评估要素理解正确的是（）

• A、资产识别的粒度随着评估范围、评估目的的不同而不同，既可以是硬件设备，也可以是业务系统，也可以是组织机构
• B、应针对构成信息系统的每个资产做风险评价
• C、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项
• D、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁

第5题：

信息系统威胁识别主要有（）工作。

• A、识别被评估组织机构关键资产直接面临的威胁
• B、构建信息系统威胁的场景
• C、信息系统威胁分类
• D、信息系统威胁赋值

第6题：

风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程，关于这些过程，以下的说法哪一个是正确的？（）

• A、风险分析准备的内容是识别风险的影响和可能性
• B、风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度
• C、风险分析的内容是识别风险的影响和可能性
• D、风险结果判定的内容是发生系统存在的威胁、脆弱性和控制措施

第7题：

关于信息系统脆弱性识别以下哪个说法是错误的？（）

• A、完成信息系统识别和威胁识别之后，需要进行信息系统脆弱性识别。
• B、以上答案都不对。
• C、可以根据对信息资产损害程度、技术实现的难易程度、弱点流行程度，采用等级方式对已识别的信息系统脆弱性的严重程度进行赋值。
• D、通过扫描工具或人工等不同方式，识别当前信息系统中存在的脆弱性。

第8题：

第9题：

信息系统威胁识别主要是（）。

• A、识别被评估组织机构关键资产直接或间接面临的威胁
• B、以上答案都不对
• C、对信息系统威胁进行赋值
• D、识别被评估组织机构关键资产直接或间接面临的威胁，以及相应的分类和赋值等活动

第10题：

在信息系统安全风险评估中，以下哪些说法是正确的（）。

• A、资产价值越大风险越大
• B、威胁越大风险越大
• C、脆弱性越大风险越大
• D、脆弱性使资产暴露