不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

使用 CRISC 模擬測試提升您的 ISACA 備考水平

SPOTO 的 ISACA CRISC 考試試題旨在提升您的風險與信息系統控制認證 (CRISC) 認證之旅,從而獲得競爭優勢。深入了解全面的考試問題和答案,以增強您對風險管理、利益相關者價值交付和業務彈性優化的理解。利用 SPOTO 的試題和備考材料,採用基于敏捷方法論的積極方法,有效駕馭複雜的風險環境。獲取寶貴的學習材料和考試資源,幫助您順利通過考試。參與真實的模擬考試,模擬考試環境,增強您的信心。與 SPOTO 一起備考,成爲 CRISC 認證的專業人士,在您的組織中推動卓越的風險管理和業務成功。
參加其他線上考試
問題 #1
在設計信息系統控制時,應首先考慮以下哪些因素?
A. 信息技術戰略計劃
B. 現有的信息技術環境
C. 組織戰略計劃
D. 目前的信息技術預算
查看答案
正確答案: C

View The Updated CRISC Exam Questions

SPOTO Provides 100% Real CRISC Exam Questions for You to Pass Your CRISC Exam!

Get CRISC Practice Test
問題 #2
從風險熱圖上的單個數據點可以解釋以下哪項?
A. 風險偏好
B. 風險大小
C. 風險應對
D. 風險承受能力
查看答案
正確答案: B
問題 #3
一家對系統中斷風險承受能力較低的網絡服務提供商正在審查其當前的網絡安全風險狀況。以下哪項意見最適合上報給高級管理層?
A. 布式拒絕服務(DDoS)攻擊企圖增加
B. 站釣魚攻擊未遂事件增加
C. 救的網絡安全漏洞減少
D. 務水平協議(SLA)的實現率下降
查看答案
正確答案: A
問題 #4
如果信息技術風險狀況中的風險水平已經下降,現在低於管理層的風險承受能力,以下哪項建議是最好的?
A. 減少相關風險情景的數量。
B. 化控制環境。
C. 據當前的風險水平調整風險偏好。
D. 減少風險管理預算。
查看答案
正確答案: B
問題 #5
由於新法規的出臺,某組織必須實施變革。爲應對這些變化,風險從業人員應在第一階段開展以下哪項工作?
A. 法律部門參與進來。
B. 進行差距分析。
C. 施補償控制。
D. 審查風險概況。
查看答案
正確答案: B
問題 #6
您和您的項目團隊已經確定了項目中的一些風險事件,並將事件記錄在風險登記冊中。事件記錄的一部分包括確定風險負責人。誰是風險負責人?
A. 險負責人是對風險事件進行監控的一方。
B. 險所有者是指一旦風險事件成爲問題,將爲其支付費用的一方。
C. 險所有人是造成風險事件的一方。
D. 險所有人是受權應對風險事件的一方。
查看答案
正確答案: D
問題 #7
在收集信息以識別與信息技術相關的風險時,風險實踐者應首先關注信息技術:
A. 安全策略。
B. 流程圖。
C. 險容忍度、
D. 風險偏好。
查看答案
正確答案: A
問題 #8
以下哪個角色載體將決定企業的關鍵風險指標?請選擇兩個。
A. 商界領袖
B. 高級管理層
C. 人力資源
D. 席財務官
查看答案
正確答案: AB
問題 #9
以下哪項能最好地確保防火牆的配置符合企業的安全策略?
A. 詢問防火牆管理員。
B. 審查實際程序。
C. 查看設備日誌文件,查看最近的攻擊。
D. 查看參數設置。
查看答案
正確答案: D
問題 #10
以下哪項是報告的最大風險?
A. 數據的完整性
B. 數據的提供
C. 數據保密
D. 數據的可靠性
查看答案
正確答案: D
問題 #11
以下哪項能最有效地幫助業務運營經理識別超過風險閾值的事件?
A. 控制自我評估
B. 以同行爲基準
C. 務記錄
D. 持續監測
查看答案
正確答案: D
問題 #12
Courtney 是所在組織的項目經理。她正與項目團隊合作完成項目的定性風險分析。在分析過程中,Courtney 鼓勵項目團隊開始按共同原因對已識別的風險進行分組。在定性風險分析過程中,按共同原因對風險進行分組的主要好處是什麼?
A. 有助於項目團隊認識到項目中風險最大的領域。
B. 有助於制定有效的風險應對措施。
C. 過收集相關資源(如項目團隊成員)來分析風險事件,從而節省時間。
D. 可以爲每個項目創建獨特的風險類別。
查看答案
正確答案: B
問題 #13
一個組織希望評估其內部控制環境的成熟度。第一步應該是
A. 確定關鍵流程負責人。
B. 驗證控制流程的執行。
C. 確定控制措施是否有效。
D. 進行基線評估。
查看答案
正確答案: D
問題 #14
您是 Bluewell 公司的項目經理。您發現了一個項目風險。然後,您實施了風險行動計劃,但結果卻是無效的。在這種情況下,您應該實施哪種計劃?
A. 風險緩解
B. 風險備用計劃
C. 規避風險
D. 風險應對計劃
查看答案
正確答案: B
問題 #15
在制定關鍵績效指標(KPI)時,以下哪項最重要?
A. 與管理報告保持一致
B. 與風險應對措施保持一致
C. 達到風險閾值時發出警報
D. 確定趨勢
查看答案
正確答案: D
問題 #16
誰應負責確保建立有效的網絡安全控制?
A. 安全管理功能
B. 企業風險職能
C. 險所有人
D. 信息技術管理
查看答案
正確答案: C
問題 #17
某組織有四個不同的項目在競爭資金,以降低總體 IT 風險。管理層應推遲哪個項目?
A. 阿爾法項目
B. 布拉沃項目
C. 理項目
D. 三角洲項目
查看答案
正確答案: C
問題 #18
在實施新控制措施之前對其有效性進行測試的主要目的是
A. 遵守組織的政策
B. 確保通過控制措施降低風險
C. 認控制與業務目標的一致性
D. 衡量控制過程的效率
查看答案
正確答案: D
問題 #19
以下哪項 BEST 有助於降低外包應用程序開發中與惡意功能相關的風險?
A. 利用變革管理流程
B. 在測試環境中運行,驗證功能。
C. 專家一起進行深入的代碼審查。
D. 行服務級別協議
查看答案
正確答案: C
問題 #20
如果由於技術限制而無法實施預防性控制,應首先採取以下哪種措施來降低風險?
A. 新定義業務流程以降低風險
B. 評估替代控制措施
C. 定技術升級計劃
D. 確定風險監測程序
查看答案
正確答案: B
問題 #21
業務生產力中斷被視爲以下哪種風險?
A.
B. 是通過實施風險應對措施而產生的風險事件。
C. 是由於項目工作中的錯誤或遺漏而產生的風險事件。
D. 於工作順序的原因,這是無法避免的風險事件。
查看答案
正確答案: B
問題 #22
以下哪些是 SWOT 分析的組成部分?(選擇四個)。
A. 報告結果
B. 確定風險的輕重緩急
C. 實施監測
D. 確定控制措施
查看答案
正確答案: ACDE
問題 #23
如果密碼被泄露,以下哪項控制措施能 BEST 減少風險?
A. 碼有格式限制
B. 碼被屏蔽
C. 須更改密碼
D. 碼已加密
查看答案
正確答案: D
問題 #24
FISMA 要求聯邦機構保護 IT 系統和數據。外部機構應多長時間審核一次合規性?
A. 年
B. 季度
C. 三年
D. 從不
查看答案
正確答案: A
問題 #25
以下哪項是管理與工作場所可穿戴技術相關的安全風險的第一步?
A. 開展風險意識培訓
B. 監控員工的使用情況
C. 定潛在風險
D. 評估潛在風險
查看答案
正確答案: A
問題 #26
某機構正在考慮修改其系統,以便能夠接受信用卡付款。爲降低數據暴露的風險,該組織應首先執行以下哪項操作?
A. 實施更多控制措施
B. 進行風險評估
C. 更新風險登記冊
D. 新安全策略
查看答案
正確答案: B
問題 #27
以下哪種方法最有助於確保風險意識培訓的有效性?
A. 與高級管理層一起審查內容
B. 使用信譽良好的第三方培訓計劃
C. 通過重點小組試辦課程
D. 爲目標受衆創建模塊
查看答案
正確答案: D
問題 #28
您在一家企業工作。貴企業擁有各種風險。以下哪種情況最有可能對支持關鍵業務流程的信息系統造成風險?
A. 系統用戶
B. 高級管理層
C. 息技術總監
D. 風險管理部門
查看答案
正確答案: B
問題 #29
以下哪項是 IT 業務所有者在緊急變更意外增加後的最佳行動方案?
A. 進行根本原因分析
B. 驗證當前流程的適當性
C. 估對控制目標的影響
D. 重新配置信息技術基礎設施
查看答案
正確答案: A
問題 #30
一名風險工作者正在爲高級管理層組織風險意識培訓。以下哪項是培訓課程中最重要的主題?
A. 高級管理層分配風險管理資源
B. 高級管理層的作用和責任
C. 織的戰略風險管理項目
D. 織的風險偏好和容忍度
查看答案
正確答案: B
問題 #31
以下哪項是識別組織風險狀況變化的最佳方法?
A. 監控關鍵風險指標(KRIs)
B. 監控關鍵績效指標(KPI)
C. 行差距分析
D. 與風險負責人面談
查看答案
正確答案: C
問題 #32
以下哪種漏洞評估軟件可以檢查網絡上的弱密碼?
A. 碼破解器
B. 殺毒軟件
C. 間諜軟件
D. ireshark
查看答案
正確答案: A
問題 #33
以下哪項是風險評估流程的產出?
A. 風險識別
B. 確定適當的控制措施
C. 減輕風險
D. 業留有殘餘風險
查看答案
正確答案: B
問題 #34
以下哪些是風險管理的原則?每個正確答案代表一個完整的解決方案。請選擇三個。
A. 可靠性
B. 可持續性
C. 一致性
D. 特
查看答案
正確答案: ABD
問題 #35
無法立即在關鍵業務領域實施降低風險的控制措施。當需要實施補償控制時,以下哪項是風險從業人員的最佳行動方案?
A. 在風險登記冊中記錄已接受的風險。
B. 得風險負責人的批准。
C. 通知高級管理層。
D. 更新風險應對計劃。
查看答案
正確答案: B
問題 #36
約翰是 BlueWell 公司的項目經理。他正在確定哪些風險會影響項目。識別風險流程的以下哪項輸入有助於識別與整個活動或項目的時間預留相關的風險,其範圍的寬度表示風險的程度?
A. 活動持續時間估算
B. 活動費用估算
C. 風險管理計劃
D. 時間表管理計劃
查看答案
正確答案: A
問題 #37
某組織已將其 IT 安全管理職能外包給外部服務提供商。在這種安排下,擁有 IT 安全控制的 BEST 方是:
A. 組織的風險職能
B. 服務提供商的審計職能
C. 織的信息技術管理
D. 務提供商的 IT 安全功能
查看答案
正確答案: A
問題 #38
您是 Bluewell 公司的項目經理。您正在研究項目計劃文件。文件指出,該項目有 25 個利益相關者。該項目的溝通渠道數量是多少?
A. 0
B. 00
C. 0
D. 00
查看答案
正確答案: D
問題 #39
應在系統開發的設計階段確定控制措施,因爲
A. 在這一階段確定技術規格。
B. 構化程序設計技術要求在開始編碼前設計控件。
C. 早期設計階段確定控制措施更具成本效益。
D. 構化分析技術不包括識別控制。
查看答案
正確答案: B
問題 #40
在對一家處理信用卡的機構進行風險評估期間,發現一些現有控制措施無效,不符合行業標準。在以下情況下,整體控制環境可能仍然有效:
A. 制定了控制緩解計劃
B. 接受剩餘風險
C. 償控制措施到位
D. 風險管理是有效的
查看答案
正確答案: A
問題 #41
當無法通過人工或自動控制來充分降低風險時,以下哪種方案能 BEST 保護企業免受風險的潛在財務影響?
A. 更新信息技術風險登記冊
B. 風險保險
C. 相關業務流程外包給第三方
D. 加強風險領域的人員培訓
查看答案
正確答案: B
問題 #42
以下哪項是定期審查組織風險狀況的主要目的?
A. 設計和實施風險應對行動計劃
B. 業務目標與風險偏好相一致
C. 實現基於風險的決策
D. 更新風險登記冊中的風險應對措施
查看答案
正確答案: C
問題 #43
在定性風險分析過程中,您希望確定風險緊迫性評估。以下所有指標都是風險優先級的指標,除了哪一項?
A. 警示標誌
B. 症狀
C. 風險評級
D. 項目成本
查看答案
正確答案: D
問題 #44
某 IT 員工繞過內部控制程序,將個人 USB 設備插入公司網絡,導致系統中斷。下列人員中,誰應對此負責?
A. 席風險官(CRO)
B. 務連續性管理員(BCM)
C. 力資源經理(HRM)
D. 席信息官(CIO)
查看答案
正確答案: D
問題 #45
在向管理層傳達風險時,以下哪項最有用?
A. 風險政策
B. 風險地圖
C. 成熟模式
D. 審計報告
查看答案
正確答案: B
問題 #46
定性風險分析的唯一產出是更新風險登記冊。項目經理更新風險登記冊時,需要包含以下幾項信息,除了哪一項?
A. 定性風險分析的趨勢
B. 風險概率-影響矩陣
C. 按類別分類的風險
D. 低優先級風險觀察清單
查看答案
正確答案: B
問題 #47
你是 BlueWell 公司的項目經理。您的項目是使用一種新材料在您所在的城市建造一個大型倉庫。這種新材料比傳統建築材料便宜,但需要一些時間來學習如何正確使用這種材料。您已向項目利益相關者說明,使用新材料可以節省成本,但您需要額外的幾周時間來完成使用材料的培訓。學習如何使用新材料的風險應對措施
A. 在工作質量方面
B. 在交通便利方面
C. 職業
D. 獨立
查看答案
正確答案: C
問題 #48
以下哪項最恰當地描述了 IT 風險概況在 IT 相關戰略決策中的作用?
A. 將 IT 資產的性能水平與交付價值進行比較。
B. 爲新的信息技術項目準備業務論證時,爲業務經理提供意見。
C. 有助於使信息技術戰略目標與業務目標保持一致。
D. 有助於評估信息技術決策對風險暴露的影響。
查看答案
正確答案: B
問題 #49
您的項目橫跨整個組織。您想評估項目的風險,但又擔心參與項目的某些管理人員會影響風險識別會議的結果。您的考慮基於這樣一個事實,即一些員工不願意公開識別風險事件,因爲這可能會宣布對他們的監督不力。您希望採用一種可以讓與會者匿名識別風險事件的方法。您可以採用哪種風險識別方法
A. 爾菲技術
B. 根源分析
C. 立的試點小組
D. SWOT 分析
查看答案
正確答案: A
問題 #50
應用程序代碼返工單的數量大大超過了既定的閾值。以下哪項是風險實踐者的最佳建議?
A. 開展編碼最佳做法培訓
B. 行代碼審查
C. 行根本原因分析
D. 施版本控制軟件
查看答案
正確答案: B
問題 #51
您被選爲 GHT 項目的項目經理。您正處於項目初始階段,忙於爲項目定義需求。在定義需求時,您要描述用戶將如何與系統交互。你在這裡定義的是以下哪項需求?
A. 織級別
B. 風險組成部分
C. 戰略目標
D. 風險目標
查看答案
正確答案: C
問題 #52
某 IT 部門組織了培訓課程,以提高用戶對組織信息安全政策的認識。以下哪項是反映培訓效果的最佳關鍵績效指標(KPI)?
A. 完成的培訓次數
B. 完成培訓並獲得及格分數的工作人員百分比
C. 與會者與工作人員總數的百分比
D. 參加培訓並獲得積極反饋的工作人員百分比
查看答案
正確答案: C
問題 #53
設計風險管理計劃的主要目的是什麼?
A. 風險降低到企業願意接受的程度
B. 風險降低到收益大於支出的程度
C. 風險降低到無法測量的程度
D. 風險降低到等於當前資本成本的回報率
查看答案
正確答案: A
問題 #54
一名風險工作者在風險登記冊中填入了基於行業的一般風險情景,供風險所有者進一 步評估。這種方法最令人擔憂的是以下哪項?
A. 通用清單中的風險情景可能無助於建立風險意識
B. 可評估與組織無關的風險情景
C. 用通用清單制定複雜的風險方案將很困難
D. 未出現在通用清單中的相關風險情景可能不會得到評估
查看答案
正確答案: B
問題 #55
自然災害與以下哪種類型的風險最相關?
A. 內部會計控制
B. 偵查控制
C. 行政控制
D. 運行控制
查看答案
正確答案: C
問題 #56
在業務流程發生重大變化之後,風險工作者認爲相關風險已經降低。風險實踐者應建議風險負責人:
A. 重新分配風險應對資源
B. 審查關鍵風險指標
C. 行風險分析
D. 更新風險登記冊
查看答案
正確答案: C
問題 #57
您是 NHH 項目的項目經理。您正在與項目團隊合作制定一項計劃,以記錄整個項目的風險管理流程。該文件將定義如何識別和量化風險。它還將定義項目團隊如何實施應急計劃。在這種情況下,您和您的團隊要創建什麼文件?
A. 項目計劃
B. 資源管理計劃
C. 目管理計劃
D. 風險管理計劃
查看答案
正確答案: D
問題 #58
以下哪種方法是確保離職員工在離開組織時取消對 IT 系統訪問權限的最佳方法?
A. 錄嘗試與離職員工名單進行核對
B. 離職面談期間實施取消員工訪問權限的程序
C. 力資源(HR)系統自動撤銷系統訪問權限
D. 成一份被解僱員工的名單,以便與當前的 IT 訪問權限進行核對
查看答案
正確答案: D
問題 #59
以下哪項是衡量 IT 風險管理流程有效性的最佳指標?
A. 確定 IT 風險情景到企業做出反應之間的時間。
B. 完成風險培訓的業務用戶百分比。
C. 已制定風險行動計劃的高風險方案的百分比。
D. 確定的關鍵風險指標(KRI)的數量。
查看答案
正確答案: C
問題 #60
以下哪種方法最有助於確定相關風險情景?
A. 讓部門管理層參與風險評估講習班
B. 情況上報風險領導層
C. 讓內部審計參與風險評估講習班
D. 審查系統和流程文件
查看答案
正確答案: A
問題 #61
約翰是 BlueWell 公司的項目經理。他正在確定哪些風險會影響項目。識別風險流程的以下哪項輸入有助於識別與整個活動或項目的時間預留相關的風險,其範圍的寬度表示風險的程度?
A. 活動持續時間估算
B. 活動費用估算
C. 風險管理計劃
D. 時間表管理計劃
查看答案
正確答案: A
問題 #62
組織內的所有業務部門都有相同的風險應對計劃,以制定本地災難恢復計劃。爲了實現成本效益,最好的做法是:
A. 災難恢復外包給外部提供商
B. 擇一個提供商,使災難恢復計劃標準化
C. 估合併災難恢復計劃的機會
D. 企業層面集中風險應對職能
查看答案
正確答案: C
問題 #63
在測試過程中,一名風險從業人員發現 IT 部門爲一個關鍵系統制定的恢復時間目標 (RTO) 與企業的業務連續性計劃 (BCP) 不一致。接下來應該採取以下哪種措施?
A. 填寫風險例外表
B. 向高級管理層報告差距
C. 企業所有者協商更新 BCP
D. 詢 IT 部門以更新 RTO
查看答案
正確答案: B
問題 #64
IT 許可證審計發現,公司筆記本電腦上安裝了幾份未經許可的商業應用程序。風險實踐者的最佳行動方案是:
A. 立即卸載筆記本電腦上的未授權軟件。
B. 購買必要的軟件許可證,以儘量減少對業務的影響。
C. 向管理層報告問題,以便採取適當行動。
D. 集中筆記本電腦的管理權限,以便對安裝進行控制。
查看答案
正確答案: D
問題 #65
最近實施了基於規則的數據丟失防護 (DLP) 工具,以降低敏感數據泄漏的風險。實施該工具後,以下哪項最有可能發生變化?
A. 風險速度
B. 風險影響
C. 風險可能性
D. 風險偏好
查看答案
正確答案: B
問題 #66
以下哪項最能使風險狀況成爲支持業務目標的有效資源?
A. 根據風險評估結果更新風險簡介。
B. 爲風險登記冊中的定性指標分配定量值。
C. 聘請外部風險專業人員定期審查風險。
D. 在風險簡介中優先考慮全球標準,而不是本地要求。
查看答案
正確答案: B
問題 #67
以下哪項需要對組織的 IT 風險登記冊進行更新?
A. 發現設計無效的關鍵信息技術控制措施
B. 主要風險指標(KRIs)的管理審查
C. 負責維護登記冊的團隊發生變化
D. 完成最近一次內部審計
查看答案
正確答案: A
問題 #68
對於單次預期損失率 (SLE)、年發生率 (ARO) 和年預期損失率 (ALE),以下哪項是正確的?
A. LE= ARO/SLE
B. RO= SLE/ALE
C. RO= ALE*SLE
D. LE= ARO*SLE
查看答案
正確答案: D
問題 #69
以下哪項是在風險評估過程中讓風險負責人參與的主要好處?
A. 準確衡量損失影響
B. 及早發現新出現的威脅
C. 找出可能導致違規的控制漏洞
D. 定各部門風險行動計劃的優先次序
查看答案
正確答案: A
問題 #70
在估計負面事件發生的可能性時,以下哪項最有幫助?
A. 業務影響分析
B. 成本效益分析
C. 風險應對分析
D. 威脅分析
查看答案
正確答案: D
問題 #71
您是 GHT 項目的項目經理。您正在對控制措施進行成本效益分析。結果發現,特定控制措施的成本超過了降低特定風險的收益。在這種情況下,您選擇的最佳行動是什麼?
A. 論如何,企業都可以實施適當的控制。
B. 業應採取糾正控制。
C. 業可能選擇接受風險,而不是承擔減輕風險的成本。
D. 業應利用風險。
查看答案
正確答案: C
問題 #72
以下哪項是分析從不同系統收集的日誌的最大好處?
A. 能更早發現正在發展的威脅。
B. 法醫調查提供便利。
C. 可以識別違反安全規定的行爲
D. 存事件記錄。
查看答案
正確答案: D
問題 #73
概率和影響評級較低的風險包括在以下哪項中,供今後監測?
A. 風險警報
B. 觀察清單
C. 察清單
D. 風險登記冊
查看答案
正確答案: C
問題 #74
您是 GHT 項目的項目經理。您在項目中發現了一個風險事件,如果發生,可節省 100,000 美元的項目成本。以下哪項陳述最恰當地描述了這一風險事件?
A.
B. 是一個應該接受的風險事件,因爲它給項目帶來的回報大於威脅。
C. 避免這一風險事件,以充分利用潛在的節餘。
D. 一風險事件是項目的機遇,應加以利用。
查看答案
正確答案: D
問題 #75
風險評估發現,各部門在企業網絡上安裝了自己的 WiFi 接入點。在提交給高級管理層的報告中,以下哪項最爲重要?
A. 計劃採取的補救行動
B. 絡安全政策
C. iFi 接入點配置
D. 潛在的業務影響
查看答案
正確答案: D
問題 #76
您是 BlueWell 公司的項目經理。管理層要求您與項目的主要利益相關者合作,分析您在項目中發現的風險事件。他們希望你分析項目風險的目標是提高項目的整體績效。通過與項目利益相關者進行風險分析,您可以採用什麼方法來實現提高項目績效的目標?
A. 目風險不確定何時發生。
B. 險可能發生在項目的任何時候。
C. 目風險總是存在於未來。
D. 險觸發器是風險何時發生的預警信號。
查看答案
正確答案: D
問題 #77
以下哪種方法能最有效地防止組織機密信息受到外部威脅?
A. 點登錄
B. 強認證
C. 據完整性檢查
D. 入侵檢測系統
查看答案
正確答案: D
問題 #78
誰是 BEST 的負責人,負責制定優先事項,並確定如果組織的私人信息丟失會帶來哪些風險和影響?
A. 外部監管機構
B. 內部審計員
C. 務流程所有者
D. 安全管理
查看答案
正確答案: D
問題 #79
以下哪項是保持關鍵風險指標(KRI)最重要的原因?
A. 爲了避免風險
B. 複雜的指標需要微調
C. 風險報告必須及時
D. 脅和脆弱性隨時間而變化
查看答案
正確答案: D
問題 #80
以下哪項分析有助於 BEST 驗證可疑網絡活動是否是惡意的?
A. 入侵檢測系統(IDS)規則
B. 滲透測試報告
C. 脆弱性評估報告
D. 日誌和系統事件
查看答案
正確答案: D
問題 #81
關於風險管理計劃,以下哪項說法不正確?
A. 險管理計劃是計劃風險管理流程的輸出。
B. 風險管理計劃是對所有其他風險規划過程的投入。
C. 險管理計劃包括風險應對措施和觸發因素的說明。
D. 風險管理計劃包括閾值、評分和解釋方法、責任方和預算。
查看答案
正確答案: C
問題 #82
約翰是其公司 HGH 項目的項目經理。他和他的項目團隊商定,如果供應商逾期超過十天,他們將取消訂單,並聘請 NBG 公司完成訂單。NBG 公司可以保證在三天內完成訂單,但他們的產品成本要比現有供應商貴得多。約翰在這裡採取了哪種應對方式?
A. 應急反應戰略
B. 規避風險
C. 風險緩解
D. 專家判斷
查看答案
正確答案: A
問題 #83
實施物聯網(IoT)設備後,發現了新的風險情景。向風險所有者報告這些信息的主要原因是什麼?
A. 重新評估物聯網設備的持續使用。
B. 建議修改物聯網政策。
C. 確認對風險狀況的影響。
D. 加新的控制措施以降低風險。
查看答案
正確答案: D
問題 #84
當一個組織的災難恢復計劃有互惠協議時,會採用以下哪種風險處理方案?
A. 轉讓
B. 規避
C. 接受
D. 緩解
查看答案
正確答案: D
問題 #85
某業務部門決定接受實施現成的商業軟件包的風險,因爲該軟件包使用的密碼控制功能較弱。最佳做法是:
A. 獲得管理層對政策例外的批准
B. 續執行,不作任何改動
C. 發改進的密碼軟件程序
D. 選擇其他具有強大密碼控制功能的應用程序
查看答案
正確答案: C
問題 #86
您是項目的項目經理。您必須分析各種項目風險。您選擇了定量分析而不是定性風險分析。與定性風險分析相比,使用定量分析的最大缺點是什麼?
A. 客觀性較低
B. 成本較高
C. 對技術人員的依賴程度更高
D. 理層的認同度較低
查看答案
正確答案: B
問題 #87
以下哪項是影響組織風險管理的最重要因素?
A. 險經理的專業知識
B. 監管要求
C. 董事會的專業知識
D. 組織文化
查看答案
正確答案: D
問題 #88
讓企業管理層參與評估和管理風險的一個主要好處是,管理層可以
A. 可以做出更明智的業務決策
B. 更好地了解系統架構
C. 夠平衡技術風險和業務風險
D. 比風險管理更客觀
查看答案
正確答案: A
問題 #89
在驗證風險應對行動計劃時,風險實踐者的首要關注點應是風險應對:
A. 推進業務目標。
B. 量化風險影響。
C. 將風險降低到可接受的水平。
D. 與業務戰略保持一致。
查看答案
正確答案: D
問題 #90
要降低進行滲透測試時帶來的風險,最好的緩解控制措施是:
A. 確界定項目範圍
B. 對供應商進行背景調查
C. 試前通知網絡管理員
D. 求供應商籤署保密協議
查看答案
正確答案: A
問題 #91
以下哪項屬於偵查控制?
A. 限值檢查
B. 門禁控制軟件
C. 定期準入審查
D. 重新運行程序
查看答案
正確答案: D
問題 #92
以下哪項不是定性風險分析的方法?
A. 記分卡
B. 屬性分析
C. 可能性影響矩陣
D. 務流程建模(BPM)和模擬
查看答案
正確答案: D
問題 #93
與應用程序中的高風險漏洞相關的風險由應用程序擁有:
A. 全部門。
B. 應商
C. 務單位。
D. 信息技術部門。
查看答案
正確答案: C
問題 #94
在分配控制所有權的責任時,以下哪項挑戰最大?
A. 報告關係不明確
B. 治理結構薄弱
C. 高級管理層審查
D. 雜的監管環境
查看答案
正確答案: A
問題 #95
您是 GHT 項目的項目經理。您的項目使用一臺機器生產產品。這臺機器規定,如果溫度超過 450 華氏度,就可能導致繞組燒毀。因此,當機器溫度達到 430 華氏度時,警報器就會響起,機器會被關閉 1 小時。警報器在這裡起什麼作用?
A. 風險指標
B. 風險識別
C. 風險觸發器
D. 風險應對
查看答案
正確答案: A
問題 #96
審計和問責控制的職能是什麼?每個正確答案代表一個完整的解決方案。(選擇三個)。
A. 險水平高於風險承受能力
B. 險水平上升超過風險承受能力
C. 險水平等同於風險偏好
D. 險水平等同於風險承受能力
查看答案
正確答案: ACD
問題 #97
某組織有獨立的部門風險登記冊,但不能自動匯總。以下哪項最令人擔憂?
A. 資源分配效率可能不高
B. 管理層可能無法準確評估風險狀況
C. 啓動多種風險處理工作來處理特定風險
D. 一風險因素可能在多個領域被發現
查看答案
正確答案: B
問題 #98
以下哪項是未充分定義數據和系統所有權的政策的最大風險?
A. 不存在用戶管理協調
B. 審計建議可能無法落實
C. 戶可能在未經授權的情況下獲取、修改或刪除數據
D. 法建立特定用戶問責制
查看答案
正確答案: C
問題 #99
以下哪項控制措施能 BEST 檢測到數據庫管理員對數據進行了未經授權的修改?
A. 審查數據庫訪問權限
B. 查對編輯檢查的更改
C. 數據與輸入記錄進行比較
D. 看數據庫活動日誌
查看答案
正確答案: C
問題 #100
隨着項目的進展,所有風險和風險應對措施都記錄在哪裡?
A. 風險管理計劃
B. 項目管理計劃
C. 風險應對計劃
D. 風險登記冊
查看答案
正確答案: D
問題 #101
如何確定殘餘風險?
A. 通過確定採取應對措施後的剩餘漏洞。
B. 轉移所有風險。
C. 通過威脅分析
D. 通過風險評估
查看答案
正確答案: D
問題 #102
您是企業的項目經理。您爲控制工作引入了入侵檢測系統。您發現了違反企業安全政策的警告。入侵檢測系統 (IDS) 屬於哪種控制類型?
A. 偵探
B. 糾正
C. 預防
D. 恢復
查看答案
正確答案: A
問題 #103
您是 Techmart 公司的風險官員。要求您對失去網絡連接 1 天的影響進行風險評估。您會考慮以下哪些因素?
A. 有受影響企業用戶的賠償總額。
B. 承運人收取的每小時計費率
C. 業通過網絡傳輸數據獲得的價值
D. 影響業務單位的財務損失
查看答案
正確答案: D
問題 #104
以下哪項是保持關鍵風險指標(KRI)最重要的原因?
A. 爲了避免風險
B. 複雜的指標需要微調
C. 風險報告必須及時
D. 脅和脆弱性隨時間而變化
查看答案
正確答案: D
問題 #105
在衡量風險應對行動計劃的進展情況時,以下哪項最有用?
A. 預算資源支出
B. 最新的風險登記冊
C. 輕風險方案的百分比
D. 預期年損失率 (ALE) 的變化
查看答案
正確答案: C
問題 #106
記錄風險簡介的主要目的是
A. 使人們能夠在充分知情的情況下做出決策。
B. 符合外部和內部要求。
C. 隨時更新風險登記冊。
D. 確定投資項目的優先次序。
查看答案
正確答案: A
問題 #107
在制定新的風險登記冊時,風險工作者應重點關注以下哪項風險管理活動?
A. 風險應對規劃
B. 風險識別
C. 風險監測和控制
D. 風險管理戰略規劃
查看答案
正確答案: C
問題 #108
您是 Bluewell 公司的項目經理。您的項目存在若干風險,這些風險將影響若干利益相關者的要求。哪一個項目管理計劃將規定誰可以分享有關項目風險的信息?
A. 資源管理計劃
B. 風險管理計劃
C. 益相關者管理戰略
D. 通信管理計劃
查看答案
正確答案: D
問題 #109
關鍵補丁實施失敗後,組織的風險狀況會出現以下哪些變化?
A. 有風險增加。
B. 險容忍度降低
C. 險偏好降低
D. 餘風險增加。
查看答案
正確答案: D
問題 #110
在評估企業 IT 風險管理時,最重要的是:
A. 創建新的控制流程,減少已識別的 IT 風險情景
B. 審查與組織投資計劃的一致性
C. 向高級管理層報告已確定的 IT 風險情景
D. 認組織的風險偏好和容忍度
查看答案
正確答案: B
問題 #111
您是公司的項目經理。您正在設立一個風險應對負責人,負責每個已商定並獲得資助的風險應對措施。您正在執行以下哪些流程?
A. 量化風險分析
B. 確定風險
C. 制定風險應對計劃
D. 定性風險分析
查看答案
正確答案: C
問題 #112
以下哪些是項目開始的授權?
A. 批准項目管理計劃
B. 批准風險應對文件
C. 批准風險管理文件
D. 批准項目申請文件
查看答案
正確答案: D
問題 #113
您是 Bluewell 公司 NHQ 項目的項目經理。該項目的資產價值爲 20 萬美元,風險係數爲 45%。如果該項目的年損失發生率爲每月一次,那麼該項目的年預期損失率(ALE)是多少?
A. 2,160,000
B. 95,000
C. 108,000
D. 90,000
查看答案
正確答案: C
問題 #114
以下哪項最能幫助企業確定風險情景的優先次序?
A. 行業最佳做法
B. 風險差異程度
C. 低風險的成本
D. 在風險地圖上的位置
查看答案
正確答案: D
問題 #115
風險從業人員在審查某組織數據中心最近的審計結果時,最關注以下哪項?
A. 計結果的所有權尚未分配
B. 據中心不是完全冗餘的
C. 有向高級管理層通報審計結果
D. 據中心的關鍵風險指標(KRI)不包括關鍵組件
查看答案
正確答案: C
問題 #116
IT 利益相關者要求風險實踐者提供與特定部門相關的 IT 風險概況報告,以便爲降低風險分配資源。滿足這一要求的最佳方法是使用以下工具:
A. 歷史風險評估
B. 主要風險指標(KRIs)
C. 項控制的相關成本
D. 風險登記冊中的信息
查看答案
正確答案: A
問題 #117
死亡率表基於什麼數學活動?每個正確答案代表一個完整的解決方案。請選擇三個。
A. 移
B. 緩解
C. 接受
D. 規避
查看答案
正確答案: ABD
問題 #118
Jane 是其公司 NHJ 項目的項目經理。他在項目中發現了幾個積極的風險事件,他認爲這些事件可以爲項目節省時間和金錢。在 NHJ 項目中,這樣的積極風險事件被稱爲?
A. 應急風險
B. 效益
C. 剩餘風險
D. 機遇
查看答案
正確答案: D
問題 #119
以下哪項能爲執行管理層提供最好的信息,以根據風險評估結果做出風險決策?
A. 風險評估結果的量化表述
B. 風險評估結果的定性介紹
C. 風險評估結果與理想狀態的比較
D. 估組織的成熟度和準備程度
查看答案
正確答案: A
問題 #120
以下哪項最適合防止未經授權檢索業務應用系統中存儲的機密信息?
A. 實行職責分離
B. 行內部數據訪問政策
C. 制使用數字籤名
D. 用單點登錄進行訪問控制
查看答案
正確答案: D
問題 #121
以下哪些是外部風險因素?每個正確答案代表一個完整的解決方案。請選擇三個。
A. 利用
B. 避免
C. 緩解
D. 讓
查看答案
正確答案: AD
問題 #122
您是 GHT 項目的項目經理。您已啓動該項目並進行了可行性研究。每個正確答案都代表一個完整的解決方案。(選擇兩個)。
A. 確定利益攸關方
B. 供應商甄選程序
C. 質量基線
D. 程改進計劃
查看答案
正確答案: AD
問題 #123
您是 BlueWell 公司的項目經理。您與項目團隊一起處理項目中的各種風險問題。您正在使用 IRGC 模型的應用來促進對影響經濟和社會的整體風險的理解和管理。您團隊中的一位成員想知道使用 IRGC 的必要性。您將如何回答?
A. 技術要求
B. 項目要求
C. 功能要求
D. 業務要求
查看答案
正確答案: A
問題 #124
在項目實施過程中,應開展哪些活動來進行有效的實施後審查?
A. 提前制定業務衡量標準
B. 許在新系統中執行足夠數量的業務周期
C. 定項目各階段收集的信息
D. 定要審查的信息
查看答案
正確答案: A
問題 #125
瑪麗是公司的一名項目經理。在她目前的項目中,她正與項目團隊和其他主要利益相關者一起識別項目中的風險。她目前的目標是創建一份全面的項目風險清單,因此她正在使用一名主持人來幫助她產生有關項目風險的想法。瑪麗可能使用哪種風險識別方法?
A. 德爾菲技術
B. 專家判斷
C. 集思廣益
D. 核對表分析
查看答案
正確答案: C
問題 #126
您是 BlueWell 公司的項目經理。您即將完成項目的定量風險分析流程。您可以使用三種可用的工具和技術來完成該流程。以下哪項不是適合定量風險分析流程的工具或技術?
A. 據收集和表示技術
B. 專家判斷
C. 量風險分析和建模技術
D. 織流程資產
查看答案
正確答案: D
問題 #127
誰最適合確定一項新控制措施是否能適當降低系統內的數據丟失風險?
A. 控制權所有人
B. 風險所有人
C. 據所有者
D. 系統所有者
查看答案
正確答案: D
問題 #128
您是 Bluewell 公司的風險官員。在風險評估過程中,您發現了許多漏洞。下一步該怎麼做?
A. 根據影響確定修復漏洞的優先級。
B. 使沒有威脅,也要將漏洞作爲風險處理。
C. 根據漏洞分析控制的有效性。
D. 評估脆弱性的威脅、影響和緩解成本。
查看答案
正確答案: D
問題 #129
您是 GHT 項目的項目經理。您的硬件供應商給您留下了語音郵件,說您訂購的設備無法按時交貨。針對這一風險,您確定了風險應對策略,並安排一家本地公司向您租賃所需設備,直到您的設備到達。這是哪種風險應對策略的例子?
A. 避免
B. 轉讓
C. 接受
D. 緩解
查看答案
正確答案: D
問題 #130
下面的陳述描述了以下哪個過程?"它是利益相關者(如團體、個人和機構)之間就風險交流信息和觀點的過程"。
A. 風險治理
B. 伊斯蘭革命衛隊
C. 風險應對規劃
D. 風險交流
查看答案
正確答案: D
問題 #131
以下哪項控制審計是爲了評估運營環境中的生產效率?
A. 目風險管理已與項目規劃一起完成。
B. 目風險管理發生在每個裡程碑。
C. 爲期 18 個月的項目中,每月都安排了項目風險管理。
D. 每次項目組狀態會議上,項目風險管理都是一個議程項目。
查看答案
正確答案: C
問題 #132
惡意代碼保護屬於哪種類型的控制?
A. 配置管理控制
B. 系統和信息完整性控制
C. 媒體保護控制
D. 個人安全控制
查看答案
正確答案: B
問題 #133
哪種負面風險應對措施通常有合同協議?
A. 分享
B. 轉移
C. 緩解
D. 開採
查看答案
正確答案: B
問題 #134
風險緩解程序應包括
A. 買保險。
B. 受風險暴露。
C. 部署反措施。
D. 業架構實施
查看答案
正確答案: C
問題 #135
您是 GHT 項目的項目經理。您發現由於缺少一些相對簡單的程序,存在不遵守法規的風險。此案例應歸入以下哪種風險應對優先級?
A. 要提出的業務論證
B. 速贏
C. 規避風險
D. 推遲
查看答案
正確答案: B
問題 #136
以下哪項能最好地支持管理層的風險報告?
A. 風險登記冊。
B. 主要績效指標。
C. 制自我評估。
D. 風險政策要求。
查看答案
正確答案: B
問題 #137
每個正確答案都代表解決方案的一部分。請選擇三個。
A. 風險轉移
B. 接受風險
C. 規避風險
D. 風險緩解
查看答案
正確答案: BCD
問題 #138
一位風險工作者注意到,在過去幾個月裏,硬件故障事件不斷增加。然而,由於內置冗餘和容錯架構,業務運營沒有中斷。該風險工作者應得出以下結論
A. 無需採取行動,因爲沒有影響
B. 需要進行根本原因分析
C. 件需要升級
D. 控制措施能有效確保連續性
查看答案
正確答案: D
問題 #139
某機構最近聘用了大量兼職員工。在年度審計過程中,發現許多用戶 ID 和密碼被記錄在程序手冊中,供兼職員工使用。這種情況應予考慮:
A. 風險
B. 事件
C. 威脅
D. 漏洞
查看答案
正確答案: D
問題 #140
以下哪項活動最有助於促進整個組織的風險意識文化?
A. 宣傳風險的組成部分及其可接受程度
B. 行基準分析並評估差距
C. 與同行審查和實施最佳做法
D. 行風險評估和實施控制措施
查看答案
正確答案: D
問題 #141
下面的陳述描述了以下哪個流程?"它是在整個項目中實施風險應對計劃、跟蹤已識別風險、監控殘餘風險、識別新風險和評估風險流程有效性的流程"。
A. 進行定量風險分析
B. 監測和控制風險
C. 確定風險
D. 進行定性風險分析
查看答案
正確答案: B
問題 #142
以下哪些屬於風險識別和評估階段?每個正確答案代表一個完整的解決方案。請選擇三個。
A. 束節點
B. 根節點
C. 件節點
D. 決策節點
查看答案
正確答案: ABC
問題 #143
假設你在公司工作,你正在使用風險情景來估計重大風險對該組織的可能性和影響。您正在進行以下哪項評估?
A. 信息技術安全評估
B. 息技術審計
C. 威脅和脆弱性評估
D. 風險評估
查看答案
正確答案: C
問題 #144
以下哪些不是間接信息?
A. 關於截止日期適當性的信息
B. 顯示因信用限制而被拒絕的訂單的報告。
C. 提供任何異常偏差和單個產品利潤率信息的報告。
D. 續水平與實際貨物水平之間沒有明顯差異。
查看答案
正確答案: A
問題 #145
高級管理層要求一名風險從業人員制定與最近開發的企業資源規劃(ERP)系統有關的技術風險情景。這些方案將由系統管理員負責。在制定方案時,以下哪種方法是最佳方法?
A. 下而上的方法
B. 果圖
C. 自上而下的方法
D. 爾菲技術
查看答案
正確答案: D
問題 #146
以下哪項控制屬於非技術控制?
A. 問控制
B. 實體安全
C. 入侵檢測系統
D. 加密
查看答案
正確答案: B
問題 #147
風險實踐者正在制定一套自下而上的 IT 風險方案。讓業務利益相關者參與進來的最重要時機是:
A. 確定風險緩解控制措施
B. 記錄風險情景
C. 驗證風險情景
D. 更新風險登記冊
查看答案
正確答案: C
問題 #148
您是 GHT 項目的項目經理。該項目的利益相關者要求對該項目進行變更。作爲項目經理,您應履行哪些職責以批准該變更請求?請選擇兩個。
A. 短期
B. 期
C. 連續
D. 影響大
查看答案
正確答案: AC
問題 #149
以下哪項是定義風險應對措施的最佳理由?
A. 除企業風險
B. 確保剩餘風險在風險偏好和容忍度範圍之內
C. 概述風險現狀
D. 降低風險
查看答案
正確答案: B
問題 #150
您是貴組織的項目經理,正在與項目經理 Alice 合作。Alice 打電話給你,堅持要你在項目範圍中增加一項變更。您同意進行更改。愛麗絲必須做些什麼才能推進她的變更請求?
A. 己將變更添加到計劃範圍中,因爲她是項目經理
B. 建變更請求章程,說明變更請求的理由
C. 在變更申請表中記錄變更申請。
D. 變更請求添加到範圍中並完成綜合變更控制
查看答案
正確答案: C
問題 #151
審計師在分析風險時有哪些職能?每個正確答案代表一個完整的解決方案。請選擇三個。
A. 成本變更控制系統
B. 配置管理系統
C. 範圍變更控制系統
D. 綜合變更控制
查看答案
正確答案: ACD
問題 #152
您是 Bluewell 公司的風險官員。您應該對幾個風險進行優先排序。某項風險的發生率、嚴重性和發現率分別爲 4、5 和 6。您將賦予它什麼風險優先級編號(RPN)?
A. 20
B. 00
C. 5
D. 0
查看答案
正確答案: A
問題 #153
當項目風險似乎即將發生時,這個術語叫什麼?
A. 適應不斷變化的立法要求
B. 員工人數
C. 織結構的複雜性
D. 不同地點的文化差異
查看答案
正確答案: C
問題 #154
在確定風險管理策略時,應首先確定哪些主要部分?每個正確答案代表解決方案的一部分。選擇兩個。
A. 新資源的風險偏好
B. 風險概率和影響矩陣
C. 度表活動持續時間等數值的不確定性
D. 風險識別
查看答案
正確答案: BC
問題 #155
以下哪項不是有效風險交流的真諦?
A. 所有利益相關者都必須了解和理解風險信息。
B. 風險技術術語的使用
C. 任何有關風險的宣傳都必須具有針對性
D. 於每種風險,在其起源和潛在業務後果之間都存在關鍵時刻
查看答案
正確答案: B
問題 #156
對於風險管理框架、標準和實踐,以下哪項是正確的?每個正確答案代表解決方案的一部分。請選擇三個。
A. 報告風險
B. 業務風險
C. 法律風險
D. 戰略風險
查看答案
正確答案: ACD
問題 #157
以下哪項控制側重於職能領域的運營效率,並與管理政策保持一致?
A. 主要風險指標
B. 能力成熟度模型
C. 主要績效指標
D. 量閾值
查看答案
正確答案: C
問題 #158
能力成熟度模型是企業用來評定自身從最不成熟到最成熟水平的模型。以下哪個能力成熟度等級表明企業沒有認識到需要考慮風險管理或 IT 風險對業務的影響?
A. 級
B. 級
C. 三級
D. 1 級
查看答案
正確答案: B
問題 #159
你是企業的項目經理。在進行風險管理時,你的任務是確定企業在某些實踐中的狀況,並提出改進的優先事項。你會使用以下哪種模式來完成這項任務?
A. 力成熟度模型
B. 決策樹模型
C. 骨模型
D. 仿真樹模型
查看答案
正確答案: A
問題 #160
下面給出的定義描述了以下哪項?"它是承擔風險的預期保證值"。
A. 確定性等值
B. 風險溢價
C. 險價值保證
D. 定的價值保證
查看答案
正確答案: A
問題 #161
一名 IT 風險從業人員發現緩解活動與已批准的風險行動計劃不同。以下哪項是該風險從業人員的最佳行動方案?
A. 恢復已實施的緩解措施,直至獲得批准。
B. 驗證已實施的風險緩解措施是否充分。
C. 向首席風險官 (CRO) 報告觀察結果。
D. 根據已實施的風險緩解行動更新風險登記冊。
查看答案
正確答案: B
問題 #162
維持分散的風險登記冊而不是合併的風險登記冊的最大問題是什麼?
A. 合風險可能超出企業的風險偏好和承受能力。
B. 可使用重複資源來管理風險登記冊。
C. 風險管理做法的標準化可能難以執行。
D. 於影響和可能性標度不統一,風險分析可能不一致。
查看答案
正確答案: D
問題 #163
以下哪些是訪問控制的原則?請選擇三個。
A. 風險報告必須及時
B. 複雜的指標需要微調
C. 脅和脆弱性隨時間而變化
D. 它們有助於規避風險
查看答案
正確答案: ABD
問題 #164
根據《2002 年薩班斯-奧克斯利法案》第 302 條,報告認證意味着什麼?每個正確答案代表一個完整的解決方案。請選擇三個。
A. 風險管理
B. 風險應對一體化
C. 風險應對措施的實施
D. 風險應對跟蹤
查看答案
正確答案: BCD
問題 #165
以下哪項對關鍵績效指標(KPI)的有效性最爲重要?
A. 管理層批准
B. 自動化
C. 年度審查
D. 相關性
查看答案
正確答案: B
問題 #166
以下哪項是定性風險分析流程的唯一輸出?
A. 目管理計劃
B. 更新風險登記冊
C. 織流程資產
D. 企業環境因素
查看答案
正確答案: B
問題 #167
以下哪項能最好地識別風險水平的趨勢?
A. 關鍵風險指標(KRI)的衡量標準是可重複的
B. 使用關鍵風險指標(KRI)的定性定義
C. 對關鍵風險指標(KRI)進行量化衡量
D. 風險水平與關鍵風險指標(KRI)之間呈正相關關係
查看答案
正確答案: C
問題 #168
銷售總監 Jane 聯繫了你,要求你在項目團隊爲公司創建的軟件中添加一項新功能。在會議上,她告訴你範圍變更有多麼重要。你向她解釋說,軟件即將完成,現在增加一項變更可能會導致交付延遲、花費額外資金,還可能給項目帶來新的風險。簡站起來對你說:"我是銷售總監,這一變更將在
A. 即將變更納入項目範圍。
B. 導項目團隊在有時間的情況下進行更改。
C. 執行口頭變更請求。
D. 項目發起人報告簡,然後納入變更。
查看答案
正確答案: C
問題 #169
您確定的風險事件之一被歸類爲不可抗力。可能會採取什麼風險應對措施?
A. 接受
B. 轉移
C. 加強
D. 緩解
查看答案
正確答案: A
問題 #170
當控制環境發生不受控制的變化時,以下哪項最值得關注?
A. 制漏洞增加
B. 內在風險增加
C. 分層控制效果下降
D. 餘風險水平上升
查看答案
正確答案: B
問題 #171
以下哪個矩陣用於指定風險閾值?
A. 風險指標矩陣
B. 影響矩陣
C. 風險情景矩陣
D. 概率矩陣
查看答案
正確答案: A
問題 #172
您是 GHT 項目的項目經理。您在當前項目中發現了一個風險事件,如果發生該事件,可節省 67 萬美元的項目成本。貴組織正在考慮聘請一家供應商來幫助建立適當的項目管理技術,以確保實現這些節約。對於該風險事件,以下哪些說法是正確的?
A. 該接受這一風險事件,因爲它給項目帶來的回報大於威脅。
B. 減少這一風險事件,以利用節省的資金。
C. 風險事件是項目的機遇,應加以利用。
D. 這是一個風險事件,應共同分擔,以充分利用潛在的節餘。
查看答案
正確答案: D
問題 #173
定量風險分析流程有五項輸入。以下哪項不是定量風險分析流程的輸入?
A. 風險管理計劃
B. 企業環境因素
C. 成本管理計劃
D. 風險登記冊
查看答案
正確答案: B
問題 #174
一名未經授權的個人通過社交工程進入了某組織的安全物理場所。以下哪項是防止今後發生此類事件的最佳方法?
A. 要求佩戴安全出入徽章
B. 僱用保安
C. 安裝監控攝像頭
D. 開展安全意識培訓
查看答案
正確答案: D
問題 #175
在證明風險應對戰略投資的合理性時,以下哪項最有幫助?
A. 成本效益分析
B. 業務影響分析
C. 擁有成本
D. 資源依賴性分析
查看答案
正確答案: A
問題 #176
以下哪項是進行持續風險評估的主要原因?
A. 險環境會發生變化。
B. 息安全預算必須合理。
C. 須不斷向管理層報告新出現的風險。
D. 常出現新的系統漏洞。
查看答案
正確答案: A
問題 #177
以下哪種方法是保持組織內 IT 風險共同視圖的最佳方法?
A. 建立和宣傳信息技術風險概況
B. 行並公布信息技術風險分析
C. 信息技術風險評估收集數據
D. 用平衡計分卡
查看答案
正確答案: B
問題 #178
定期審查和更新風險登記冊,詳細說明已確定的風險因素,主要有助於
A. 爲利益相關者做出基於風險的決策提供最新參考資料
B. 儘量減少風險評估的風險情景數量
C. 總不同業務部門確定的風險情景
D. 建立組織的威脅概況,供管理層審查
查看答案
正確答案: A
問題 #179
以下哪項是有效風險管理計劃的最佳體現?
A. 高級管理層批准風險行動計劃
B. 設計並實施緩解控制措施
C. 餘風險在組織風險偏好範圍之內
D. 在風險登記冊中記錄和跟蹤風險
查看答案
正確答案: B
問題 #180
用於風險分析的風險情景應包括以下哪些內容?
A. 剩餘風險
B. 風險承受能力
C. 風險偏好
D. 威脅類型
查看答案
正確答案: D
問題 #181
系統管理員在例行檢查中發現異常活動,表明防火牆內有入侵者。以下哪項控制最有可能已被入侵?
A. 證
B. 識別
C. 數據驗證
D. 數據完整性
查看答案
正確答案: A
問題 #182
以下哪項是促進遵守管理層設定的風險容忍度的最佳方法?
A. 避免可能導致重大損失的風險
B. 增加組織資源以降低風險
C. 確定企業風險政策中的預期
D. 通報外部審計結果
查看答案
正確答案: C
問題 #183
Ben 是 MJH 項目的項目經理。在這個項目中,Ben 正準備識別利益相關者,以便溝通項目要求、狀態和風險。Ben 選擇使用顯著性模型作爲利益相關者識別過程的一部分。以下哪項活動最能說明突出性模型?
A. 根據利益相關者的權力(強加其意願的能力)、緊迫性(需要立即關注)和合法性(他們的參與是適當的)來描述利益相關者的類別。
B. 根據利益相關者對項目成果的權威程度("權力")和關注程度("利益")對其進行分組。
C. 響/衝擊網格,根據利益相關者在項目中的積極參與("影響")及其影響項目規劃或執行變化的能力("衝擊")對利益相關者進行分組。
D. 根據利益相關者在項目中的權威("權力")和積極參與("影響")程度對其進行分組。
查看答案
正確答案: A
問題 #184
一位項目經理完成了一次不成功的災難恢復測試。風險實踐者應建議採取以下哪項行動?
A. 確定需要哪些額外控制措施
B. 更新業務影響分析 (BIA)
C. 測試窗口中發現的問題進行優先排序
D. 管理層通報測試結果
查看答案
正確答案: B
問題 #185
以下哪項是業務連續性計劃有效性的最佳指標?
A. 成功進行業務連續性測試並解決問題。
B. 期更新業務連續性和災難恢復計劃。
C. 及時審查和更新業務影響分析。
D. 業務單位熟悉業務連續性計劃和流程。
查看答案
正確答案: A
問題 #186
一名風險工作者正在編寫一份報告,以通報風險和控制環境的變化。吸引利益相關者注意力的最佳方法是:
A. 包括實現卓越運營的路線圖
B. 包括將信息與利益相關者的需求聯繫起來的摘要
C. 爲利益攸關方按需發布報告
D. 括與行業基準的詳細偏差
查看答案
正確答案: A
問題 #187
在確定風險應對措施的優先次序時,管理層應首先
A. 評估組織實施解決方案的能力和專業知識。
B. 評估類似組織的風險應對措施。
C. 確定哪些風險因素的補救成本較高。
D. 解決高風險因素,提供高效和有效的解決方案。
查看答案
正確答案: A
問題 #188
您在一家企業工作。您的項目涉及存儲在計算機中的重要文件。您發現了操作失敗的風險。爲了解決這一故障風險,您指導系統管理員籤署了每日備份。這種情況屬於以下哪種情況?
A. 運作
B. 財務
C. 信息
D. 戰略
查看答案
正確答案: D
問題 #189
溫迪在她的項目中發現了一個風險事件,其影響爲 75000 美元,發生幾率爲 60%。通過研究,她的項目團隊了解到,該風險事件的影響實際上可以降低到 15000 美元,發生幾率僅爲 10%。建議的解決方案將耗資 2.5 萬美元。溫迪同意 25000 美元的解決方案。這是哪種類型的風險應對措施?
A. 緩解
B. 規避
C. 移
D. 加強
查看答案
正確答案: A
問題 #190
當企業將 IT 部門的主要工作外包給服務器位於外國公司的第三方時,以下哪項是最關鍵的安全考慮因素?
A. 安全漏洞通知可能會因時差而延誤
B. 業無法監控其內部安全和隱私準則的遵守情況
C. 產國的法律法規在外國可能無法執行
D. 安裝額外的網絡入侵檢測傳感器,導致成本增加
查看答案
正確答案: C
問題 #191
您是貴組織的項目經理。您正在準備定量風險分析。項目團隊成員 Mark 想知道,您剛剛完成了定性風險分析,爲什麼還要進行定量風險分析?以下哪項陳述最能定義定量風險分析?
A. 量風險分析是對概率高、對項目目標影響最大的風險事件進行審查。
B. 量風險分析是通過評估和綜合風險發生的概率和影響,對風險進行優先排序,以便進一步分析或採取行動的過程。
C. 量風險分析是對已識別風險對總體項目目標的影響進行數字分析的過程。
D. 量化風險分析是根據每個風險事件的概率和影響來規劃和量化風險應對措施。
查看答案
正確答案: C
問題 #192
某組織的關鍵供應商發生了備受矚目的系統漏洞事件後,該供應商實施了額外的緩解控制措施。供應商自願分享了以下評估集:哪項評估爲評估供應商控制環境中的殘餘風險提供了最可靠的輸入?
A. 外部審計
B. 內部審計
C. 供應商業績記分卡
D. 監管審查
查看答案
正確答案: B
問題 #193
您是貴公司 NKJ 項目的項目經理。項目的成敗將對貴公司來年的盈利能力產生重大影響。管理層要求您識別風險事件,並在項目初期儘早告知事件的可能性和影響。管理層希望避免風險事件,並需要分析項目中每個風險事件的成本效益。在此項目中,利益相關者的低容忍度指的是什麼?
A. 緩解就緒的項目管理
B. 規避風險
C. 風險效用函數
D. 風險回報心態
查看答案
正確答案: C
問題 #194
以下哪項是成功的風險意識培訓計劃最重要的要素?
A. 與公認標準相對應
B. 提供衡量標準
C. 受衆定製內容
D. 爲參與者提供獎勵
查看答案
正確答案: B
問題 #195
對於風險交流,以下哪些說法是正確的?每個正確答案都代表一個完整的解決方案。選擇三個。
A. 是一個可能影響項目範圍的未知事件。
B. 是項目執行過程中的不確定事件或條件。
C. 是一個可能影響項目成本的不確定事件。
D. 是一個不確定的事件,至少會影響一個項目目標。
查看答案
正確答案: ACD
問題 #196
以下哪項對成功應對事件最爲重要?
A. 擊控制工具記錄的數據量
B. 蹤攻擊源的能力
C. 擊識別的及時性
D. 即封鎖攻擊路線
查看答案
正確答案: C
問題 #197
肖恩是 HWT 項目的項目經理。在這個項目中,Shawn 的團隊報告說,他們找到了一種方法,可以比原先預計的更便宜地完成項目工作。項目團隊介紹了一種新軟件,它將有助於實現項目工作的自動化。該軟件和相關培訓費用爲 25,000 美元,可爲項目節省近 65,000 美元的總成本。Shawn 同意使用該軟件,並相應修改了項目管理計劃。蜜蜂採取了哪種風險應對措施?
A. 避免
B. 接受
C. 開採
D. 加強
查看答案
正確答案: C
問題 #198
在風險評估過程中對 IT 資產進行分類的最佳理由是確定:
A. 適當的保護水平
B. 企業風險概況
C. 風險登記冊中的優先事項
D. 業務流程負責人
查看答案
正確答案: A
問題 #199
確定風險後,誰最有資格選擇適當的風險處理方案?
A. 風險從業人員
B. 險所有人
C. 制權所有人
D. 務流程所有者
查看答案
正確答案: A
問題 #200
在評估控制成本時,管理層發現年度成本超過了風險的年度預期損失(ALE)。這表明
A. 制效果不佳,應予以加強
B. 風險控制效率低下
C. 風險得到有效控制
D. 制薄弱,應予取消
查看答案
正確答案: B
問題 #201
以下哪些是實施 KRI 時常見的錯誤?每個正確答案代表一個完整的解決方案。請選擇三個。
A. 運作
B. 財務
C. 行政管理
D. 專業化
查看答案
正確答案: ACD
問題 #202
以下哪項能最好地確保防火牆的配置符合企業的安全策略?
A. 詢問防火牆管理員。
B. 審查實際程序。
C. 查看設備日誌文件,查看最近的攻擊。
D. 查看參數設置。
查看答案
正確答案: D
問題 #203
以下哪種方法能最有效地說明風險水平正在接近高風險或不可接受的風險水平?
A. 風險登記冊
B. 因果圖
C. 風險指標
D. 投資回報
查看答案
正確答案: C
問題 #204
以下哪項最能幫助風險從業者加強利益相關者對風險的理解?
A. 威脅分析
B. 主要風險指標
C. 風險情景
D. 務影響分析
查看答案
正確答案: A
問題 #205
您是 GHT 項目的項目經理。您已經規劃了風險應對流程,現在即將實施各種控制措施。在採取任何控制措施之前,您應該做些什麼?
A. 人們認識到風險很重要,需要加以管理,但將其視爲技術問題,企業主要考慮 IT 風險的負面影響
B. 涉及風險的決策缺乏可信信息
C. 險偏好和容忍度僅在偶發風險評估期間適用
D. 風險管理技能臨時存在,但沒有得到積極發展
查看答案
正確答案: AC
問題 #206
某組織已完成一個項目,對所有託管客戶數據的數據庫實施加密。應更新風險登記冊的以下哪些要素以反映這一變化?
A. 風險承受能力
B. 固有風險
C. 風險偏好
D. 風險可能性
查看答案
正確答案: B
問題 #207
以下哪條基線確定了符合已批准要求的資源所需的規格?
A. 功能基線
B. 分配基線
C. 產品基線
D. 發展基線
查看答案
正確答案: B
問題 #208
以下哪項最能說明風險管理計劃的狀況?
A. 控制數量。
B. 剩餘風險金額。
C. 風險登記冊條目數量。
D. 資金支持水平。
查看答案
正確答案: B
問題 #209
以下哪項是與外包給服務提供商相關的最常見問題?
A. 併不相容的職責
B. 未經授權的數據使用
C. 絕服務攻擊
D. 缺乏專業技術知識
查看答案
正確答案: B
問題 #210
以下哪項屬於風險管理的各個階段?
A. 啓動事件響應
B. 更新風險登記冊
C. 全消除風險
D. 流從風險事件中吸取的經驗教訓
查看答案
正確答案: ABCD
問題 #211
誰對風險處理負責?
A. 風險所有人
B. 風險緩解經理
C. 企業風險管理團隊
D. 業務流程負責人
查看答案
正確答案: A
問題 #212
以下哪項最能說明實際風險敞口與胃口之間的關係?
A. 超過承受能力的殘餘風險。
B. 風險簡介中的風險事件。
C. 高風險情景的百分比。
D. 控制措施超出風險承受能力。
查看答案
正確答案: D
問題 #213
有效的風險交流 BEST 通過以下方式使組織受益
A. 提高信息技術控制的有效性
B. 助工作人員做出更明智的決定
C. 增加對風險評估過程的參與
D. 協助編制風險登記冊
查看答案
正確答案: A
問題 #214
Beth 是 JHG 項目的項目組成員。Beth 爲項目添加了額外的功能,這給項目工作帶來了新的風險。JHG 項目的項目經理選擇刪除貝絲添加的功能。刪除額外功能以消除風險的過程稱爲什麼?
A. 偵查控制
B. 預防性控制
C. 正控制
D. 範圍蠕變
查看答案
正確答案: B
問題 #215
評估已確定的風險對項目目標的影響概率和後果、爲每個風險分配風險分值並創建優先級風險列表描述了以下哪個流程?
A. 定性風險分析
B. 風險管理計劃
C. 確定風險
D. 量化風險分析
查看答案
正確答案: A
問題 #216
您是 Bluewell 公司的風險官員。您應該對幾個風險進行優先排序。某項風險的發生率、嚴重性和發現率分別爲 4、5 和 6。您將賦予它什麼風險優先級編號(RPN)?
A. 20
B. 00
C. 5
D. 0
查看答案
正確答案: A
問題 #217
在制定風險應對措施時,應最優先考慮以下哪項?
A. 險應對措施已列入預算。
B. 險應對措施符合組織的風險偏好。
C. 險應對措施以成本效益分析爲基礎。
D. 險應對措施從全局角度應對風險。
查看答案
正確答案: C
問題 #218
風險熱圖最常用作 IT 風險分析的一部分,以促進風險的防範:
A. 治療
B. 識別
C. 流
D. 評估
查看答案
正確答案: D
問題 #219
某組織正在考慮收購一項新業務,希望制定新的 IT 風險方案來指導決策。以下哪項對新的風險方案最有價值?
A. 審計結果
B. 預期損失
C. 成本效益分析
D. 織威脅
查看答案
正確答案: D
問題 #220
以下哪項是用戶賬戶已獲適當授權的最佳證據?
A. 人力資源部通知賬戶已激活
B. 戶經理對賬戶的正式批准
C. 申請表匹配的用戶權限
D. 戶接受賬戶的電子郵件
查看答案
正確答案: C
問題 #221
以下哪項是降低在互聯網網站上欺詐性使用企業品牌相關風險的最佳方法?
A. 利用數據丟失防護技術
B. 描互聯網以搜索未經授權的使用
C. 控企業使用互聯網的情況
D. 開展培訓和宣傳活動
查看答案
正確答案: B
問題 #222
以下哪項會被視爲漏洞?
A. 延遲取消員工訪問權限
B. 意軟件導致文件損壞
C. 授權的行政部門可查閱人力資源檔案
D. 務器因拒絕服務(DoS)攻擊而宕機
查看答案
正確答案: A
問題 #223
您是貴組織 HJK 項目的項目經理。您和項目團隊已經針對項目中的許多風險事件制定了風險應對措施。您應該在哪裡記錄建議的應對措施和所有已識別風險的當前狀態?
A. 響應成本
B. 實施應對措施的能力
C. 風險的重要性
D. 響應效率
查看答案
正確答案: C
問題 #224
你是企業的管理員。以下哪種控制措施能最有效地保護企業,防止未經授權的個人獲取敏感信息?
A. 監控和記錄不成功的登錄嘗試
B. 制定期更改密碼
C. 用質疑答覆系統
D. 據需要提供訪問權限
查看答案
正確答案: D
問題 #225
採取風險管理戰略主要是爲了
A. 遵守法律要求
B. 索賠和損失採取必要的預防措施
C. 避免業務和 IT 資產的風險
D. 到可接受的殘餘風險水平
查看答案
正確答案: B
問題 #226
某組織的內部審計人員在該組織的身份和訪問管理 (IAM) 系統中發現了一個新的 IT 控制缺陷。對於風險從業人員來說,最重要的是:
A. 進行後續風險評估,量化風險影響
B. 實適用的風險所有者了解風險
C. 施補償控制措施以彌補缺陷
D. 議更換有缺陷的系統
查看答案
正確答案: C
問題 #227
你是公司的項目經理。您必須爲一個項目開展風險管理活動。在計劃風險管理過程中,您將使用以下哪些輸入?(選擇三個)。
A. 質量管理計劃
B. 風險管理計劃
C. 風險登記冊
D. 目章程
查看答案
正確答案: BCD
問題 #228
在風險評估後更新風險登記冊時,以下哪項最重要?
A. 風險情景的行爲者和威脅類型
B. 過去風險事件造成的歷史損失
C. 降低影響和可能性的成本
D. 風險情景的可能性和影響
查看答案
正確答案: D
問題 #229
控制的首要目標是什麼?
A. 測、恢復和攻擊
B. 預防、應對和記錄
C. 防、控制和攻擊
D. 防、恢復和檢測
查看答案
正確答案: D
問題 #230
您是貴公司的項目經理,負責爲公司即將搬入的新大樓安裝新的工作站、服務器和電纜。項目供應商通知你,由於某些原因,布線成本增加了。這一新成本將導致項目成本增加近 8%。應將成本輸入哪種變更控制系統進行審核?
A. 成本變更控制系統
B. 合同變更控制系統
C. 範圍變更控制系統
D. 有項目範圍的變更才應通過變更控制系統。
查看答案
正確答案: A
問題 #231
制定組織行為準則是哪種控制類型的範例?
A. 指令
B. 預防
C. 探
D. 償
查看答案
正確答案: A
問題 #232
以下哪項是驗證是否按照管理層的行動計劃實施了減少用戶設備漏洞的控制措施的最佳方法?
A. 調查設備所有者。
B. 審查認識培訓評估結果。
C. 重新掃描用戶環境
D. 要求最終用戶接受年度政策。
查看答案
正確答案: C
問題 #233
在實施監控用戶活動日誌的控制措施時,應主要考慮以下哪項?
A. 建立從不同來源收集的日誌之間的相關性
B. 保控制與風險成正比
C. 施日誌分析工具,實現自動化控制
D. 保提供用於日誌分析的資源
查看答案
正確答案: D

View The Updated ISACA Exam Questions

SPOTO Provides 100% Real ISACA Exam Questions for You to Pass Your ISACA Exam!

Get ISACA Practice Test

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.