A.部门经理
B.高级管理层
C.信息资产所有者
D.最终用户

A.ISO27002的前身是ISO17799-1
B.ISO27002给出了通常意义的信息安全管理最佳实践供组织机构选用，但不是全部
C.ISO27002对于每个控制措施的表述分“控制措施”、“实施指南”和“其它信息”三个部分来进行描述
D.ISO27002提出了十一大类的安全管理措施，其中风险评估和处置是出于核心地位的一类安全措施

A.部署综合安全审计系统
B.对网络行为进行实时监控
C.制订完善的制度体系
D.聘用第三方专业公司提供维护外包服务

A.定量分析对比定性分析方法使用的工具更多
B.定性分析比定量分析方法使用的工具更多
C.同一组织只使用使用一种方法进行评估
D.符合组织要求的风险评估方法就是最优方法

A.访问控制
B.入侵检测
C.灾难恢复
D.防病毒系统

A.当必须的安全对策的成本高出实际风险的可能造成的潜在费用时
B.当风险减轻方法提高业务生产力时
C.当引起风险发生的情况不在部门控制范围之内时
D.不可接受

A.脆弱性增加了威胁，威胁利用了风险并导致了影响
B.风险引起了脆弱性并导致了影响，影响又引起了威胁
C.风险允许威胁利用脆弱性，并导致了影响
D.威胁利用脆弱性并产生影响的可能性称为风险，影响是威胁已造成损害的实例

A.风险管理是知道和控制一个组织相关风险的协调活动，它通常包括风险评估、风险处置、风险接受和风险沟通
B.风险管理的目的是了解风险并采取措施处置风险并将风险消除
C.风险管理是信息安全工作的重要基础，因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期
D.在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全需求和安全目标

A.建立环境
B.实施风险处理计划
C.持续的监视与评审风险
D.持续改进信息安全管理过程

A.确定团队负责人和安全顾问
B.威胁建模
C.定义安全和隐私需求（质量标准）
D.设立最低安全标准/Bug栏