不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

通過真實模擬測試提高您在 ISACA CRISC 考試中的成績

獲得風險與信息系統控制認證(CRISC)是風險管理專業人士的寶貴財富。準備 CRISC 考試可能是一項艱巨的任務,但如果有正確的學習材料和考試資源,您就能增加順利通過考試的機會。SPOTO 根據 CRISC 考試目標提供全面的 CRISC 考試問題和答案、試題、模擬考試和備考資源。這些資源旨在模擬真實的考試環境,爲您提供逼真的體驗並增強您的信心。通過 SPOTO 的 CRISC 考試試題,您可以確定自己需要進一步學習和練習的領域,確保您掌握必要的知識和技能,以提高公司的業務彈性,爲利益相關者創造價值,並優化整個企業的風險管理。通過利用這些考試資源和模擬考試練習,您可以有效地做好準備,並增加成功通過 CRISC 認證考試的機會。
參加其他線上考試
問題 #1
某組織正在考慮將一個關鍵系統的用戶管理控制外包。潛在供應商提出每季度對其控制措施進行一次自我審計,而不是每年進行一次獨立審計。風險從業人員應最關注以下哪項?
A. 供應商無法實現最佳做法
B. 供應商不會確保控制失靈
C. 制措施可能沒有經過適當測試
D. 乏基於風險的訪問控制方法
查看答案
正確答案: B
問題 #2
您是企業的項目經理。您已識別出企業中發生的風險事件。您已預先計劃了風險應對措施。您對已發生的風險進行了監控。在監測過程之後,應對風險事件必須立即採取的步驟是什麼?
A. 實現時間和成本估算的概率
B. 優先風險清單
C. 低優先級風險觀察清單
D. 按類別分類的風險
查看答案
正確答案: A
問題 #3
以下哪項是強有力的內部控制環境的關鍵組成部分?
A. RMIS
B. 職責分離
C. 手動控制
D. 自動化工具
查看答案
正確答案: B
問題 #4
以下哪項是最有效的變革管理關鍵績效指標(KPI)?
A. 成功更改的百分比
B. 已實施的變更數量
C. 有後備計劃的變動百分比
D. 施變革所需的平均時間
查看答案
正確答案: A
問題 #5
以下哪項會促使關鍵風險指標(KRI)閾值發生變化?
A. 風險偏好或容忍度的變化
B. 風險類別的修改
C. 了解新的和正在出現的威脅
D. 風險登記冊的變更
查看答案
正確答案: A
問題 #6
選擇風險應對方案的首要目標是
A. 儘量減少殘餘風險。
B. 減少風險因素。
C. 將風險降低到可接受的水平。
D. 確定補償控制措施。
查看答案
正確答案: C
問題 #7
在制定 IT 風險方案時,必須讓以下人員參與進來:
A. 流程所有者
B. 信息技術管理人員
C. 部審計員
D. 高級管理層
查看答案
正確答案: B
問題 #8
在合同協議中要求源代碼託管的目的在於
A. 確保在供應商不復存在的情況下,源代碼仍然可用。
B. 確保出現錯誤時源代碼可用。
C. 審查源代碼是否有適當的控制措施。
D. 確保源代碼有效且存在。
查看答案
正確答案: A
問題 #9
以下哪項說明缺乏適當的控制?
A. 脆弱性
B. 威脅
C. 資產
D. 影響
查看答案
正確答案: A
問題 #10
您是 Techmart 公司的風險官員。要求您對丟失服務器的影響進行風險評估。爲此,您需要計算服務器的貨幣價值。計算貨幣價值的依據是什麼?
A. 更換費用
B. 原始購置成本
C. 預期年損失
D. 儲軟件的成本
查看答案
正確答案: A
問題 #11
以下哪項對保持 IT 風險寄存器的有效性最爲重要?
A. 在登記冊中記錄和跟蹤風險應對計劃的狀態。
B. 向主要利益攸關方宣傳登記冊。
C. 定期審查和更新登記冊。
D. 風險得到處理後,從登記簿中刪除條目。
查看答案
正確答案: C
問題 #12
以下哪項控制屬於非技術控制?
A. 問控制
B. 實體安全
C. 入侵檢測系統
D. 加密
查看答案
正確答案: B
問題 #13
以下哪項是 KRI 最重要的用途?
A. 供已發生風險事件的後視視圖
B. 提供預警信號
C. 明企業的風險偏好和容忍度
D. 助於記錄和分析趨勢
查看答案
正確答案: B
問題 #14
從風險管理的角度看,使用成熟度模型的主要目的是:
A. 提供解決方案
B. 戰略調整
C. 資源利用
D. 績效評估
查看答案
正確答案: D
問題 #15
以下哪項最有助於了解新技術系統對組織當前風險狀況的影響?
A. 進行差距分析
B. 審查現有的風險緩解控制措施
C. 行風險評估
D. 請新技術專業顧問
查看答案
正確答案: D
問題 #16
以下哪項不是用于衡量項目的關鍵成功因素?
A. 生產率
B. 量
C. 數量
D. 客戶服務
查看答案
正確答案: C
問題 #17
風險登記冊的主要功能是爲組織的風險發展提供輔助信息:
A. ap
B. rocess
C. 概況
D. 戰略
查看答案
正確答案: C
問題 #18
提高風險應對措施實施可能性的最有效方法是:
A. 審查進度報告
B. 制定行動計劃
C. 期進行審計
D. 讓所有權
查看答案
正確答案: D
問題 #19
某業務部門正在更新風險登記簿,其中包含對某關鍵項目的評估結果。在登記冊中,以下哪項最重要?
A. 應對需要處理的風險情景的行動計劃
B. 行風險評估的團隊
C. 指派一名風險經理進行監督
D. 行風險評估所使用的方法
查看答案
正確答案: D
問題 #20
IT 管理層要求綜合了解組織的風險狀況,以便確定項目的優先次序和資源分配。以下哪種材料最有幫助?
A. 主要風險指標清單
B. 內部審計報告
C. 信息技術風險登記冊
D. 批准的項目清單
查看答案
正確答案: C
問題 #21
以下哪項是由第三方審查風險管理程序的主要原因?
A. 客觀了解流程差距和系統性錯誤。
B. 確保風險概況得到界定和傳達。
C. 證威脅管理流程
D. 獲取對控制環境的客觀評估。
查看答案
正確答案: A
問題 #22
以下哪項是確認最近實施的系統中是否有適當自動控制的最佳方法?
A. 進行用戶驗收測試
B. 行實施後審查
C. 試流程負責人
D. 審查關鍵績效指標 (KPI)
查看答案
正確答案: B
問題 #23
在組織內部推廣風險意識文化的首要目標是什麼?
A. 促進基於風險的決策
B. 提高過程控制效率
C. 更好地了解風險偏好
D. 改進審計結果
查看答案
正確答案: A
問題 #24
對訪問控制進行持續監控的主要好處是能夠識別。
A. 可能導致數據泄露的不合規活動
B. 領先或滯後的關鍵風險指標(KRIs)
C. 全政策和程序不一致
D. 壞現有訪問控制的未知威脅
查看答案
正確答案: B
問題 #25
已確定的高概率風險情景涉及一項關鍵的專有業務功能,其年化控制成本高於年預期損失。以下哪項是最佳風險應對措施?
A. 避免
B. 轉讓
C. 接受
D. 緩解
查看答案
正確答案: D
問題 #26
你是 www.company.com 公司的項目經理。您必須衡量概率、影響和風險敞口。然後,您必須衡量所選的風險應對措施會如何影響所選風險事件的概率和影響。以下哪些工具可以幫助您完成任務?
A. 項目網絡圖
B. 爾菲技術
C. 決策樹分析
D. 果圖
查看答案
正確答案: C
問題 #27
什麼是建立組織 IT 風險文化的首要責任人?
A. 風險管理
B. 信息技術管理
C. 務流程負責人
D. 行政管理
查看答案
正確答案: D
問題 #28
您是 Bluewell 公司一個項目的項目經理。您和您的項目團隊已經確定了幾個項目風險,完成了風險分析,並計劃採用最合適的風險應對措施。您將使用以下哪些工具來選擇適當的風險應對措施?
A. 項目網絡圖
B. 因果分析
C. 決策樹分析
D. 爾菲技術
查看答案
正確答案: C
問題 #29
以下哪項應成爲組織風險偏好的要素?
A. 業承受損失的能力
B. 補償控制的有效性
C. 爲適當的內在風險量
D. 預防性控制影響的殘餘風險
查看答案
正確答案: A
問題 #30
您是 Bluewell 公司一個項目的項目經理。您和您的項目團隊已經確定了幾個項目風險,完成了風險分析,並計劃採用最合適的風險應對措施。您將使用以下哪些工具來選擇適當的風險應對措施?
A. 項目網絡圖
B. 因果分析
C. 決策樹分析
D. 爾菲技術
查看答案
正確答案: C
問題 #31
以下哪種風險管理做法最有利於將信息技術風險情景納入全企業風險登記冊?
A. 爲關鍵的信息技術風險情景制定關鍵風險指標(KRI)。
B. 根據組織目標制定信息技術風險方案。
C. 息技術風險情景由企業風險管理團隊進行評估。
D. 息技術風險情景的風險偏好得到主要業務利益相關者的批准。
查看答案
正確答案: B
問題 #32
以下哪項是進行風險評估的最佳理由?
A. 確定風險現狀
B. 分析對企業的影響
C. 滿足監管要求
D. 爲實施各種控制措施編制適當的預算
查看答案
正確答案: A
問題 #33
在審查一家雲服務供應商的合同時,發現該供應商拒絕承擔敏感數據泄露的責任。以下哪項控制措施能降低 BEST 與此類數據泄露相關的風險?
A. 請第三方驗證操作控制
B. 競爭對手使用同一家雲計算供應商
C. 用供應商提供的密鑰進行現場級加密
D. 保供應商不知道加密密鑰
查看答案
正確答案: A
問題 #34
您是 GHT 項目的項目經理。您需要執行定性風險分析流程。完成該流程後,您將生成以下所有內容,作爲風險登記冊更新輸出的一部分,除了哪一項?
A. 項目風險
B. 最新情況
C. 風險最新情況
D. 項目問題
查看答案
正確答案: A
問題 #35
以下哪項對確保雲服務提供商的有效安全控制最有幫助?
A. 供應商提交的內部審計報告
B. 控制自我評估
C. 第三方安全評估報告
D. 服務級別協議監測
查看答案
正確答案: C
問題 #36
以下哪種方法涉及使用預測性或診斷性分析工具來揭示風險因素?
A. 情景分析
B. 敏感性分析
C. 故障樹分析
D. 果分析
查看答案
正確答案: D
問題 #37
某組織經歷了幾次超出可承受範圍的長時間網絡中斷事件。以下哪項應該是風險實踐者解決這種情況的第一步?
A. 建議對事件的根本原因進行分析
B. 風險容忍度更新爲可接受的閾值
C. 建議額外的控制措施以應對風險
D. 更新風險登記冊中與事件有關的風險趨勢
查看答案
正確答案: C
問題 #38
以下哪項應是 IT 風險意識計劃的首要重點?
A. 養長期的行爲改變
B. 展示監管合規性
C. 保遵守組織的內部政策
D. 參與者傳達信息技術風險政策
查看答案
正確答案: A
問題 #39
您在項目中發現了若干風險。爲了應對已識別的風險,您選擇了風險緩解方法。以下哪項可以確保您選擇的風險緩解方法是有效的?
A. 系統和通信保護控制
B. 審計和問責控制
C. 問控制
D. 識別和認證控制
查看答案
正確答案: B
問題 #40
您是 GHT 項目的項目經理。在數據提取過程中,您通過將月平均值乘以 12 來評估每年的交易總數。這個評估交易總數的過程稱爲?
A. 重複測試
B. 控制總數
C. 單無效
D. 合理性檢驗
查看答案
正確答案: D
問題 #41
在得知組織不符合特定法律規定時,風險從業人員的下一個步驟應該是以下哪項?
A. 評估相關風險的可能性和嚴重程度。
B. 確定緩解活動和補償控制措施。
C. 相關風險通知高級合規管理人員。
D. 定對違規行爲的處罰。
查看答案
正確答案: A
問題 #42
您是 BlueWell 公司的項目經理。您注意到,項目風險水平的上升超過了企業的風險承受能力。您已經採取了幾種風險應對措施。現在,您必須根據風險應對流程更新風險登記冊。以下所有內容都包含在風險登記冊中,除了哪一項?
A. 風險觸發器
B. 商定的應對戰略
C. 關鍵路徑活動的網絡圖分析
D. 險所有人及其責任
查看答案
正確答案: C
問題 #43
您是一個 HGT 項目的項目經理,該項目最近完成了最後的編譯過程。項目客戶已經籤署了項目完成書,您需要做一些行政收尾工作。在該項目中,有幾個大的風險可能會破壞項目,但您和您的項目團隊找到了一些新的方法來解決這些風險,而不會影響項目成本或項目完成日期。您應如何處理已確定的風險應對措施
A. 將答覆納入項目管理計劃。
B. 將風險應對措施納入風險管理計劃。
C. 風險應對措施納入組織的經驗教訓數據庫。
D. othing
查看答案
正確答案: C
問題 #44
在確定一系列風險情景後,應立即採取什麼措施?
A. 風險緩解
B. 風險監測
C. 風險管理
D. 風險分析
查看答案
正確答案: D
問題 #45
以下哪項是實施風險管理計劃的最大優勢?
A. 倡導風險意識文化
B. 改進安全治理
C. 促進風險意識決策
D. 減少殘餘風險
查看答案
正確答案: A
問題 #46
在設計控制措施時,以下哪項最爲關鍵?
A. 流程負責人的參與
B. 內部審計的參與
C. 確定主要風險指標
D. 風險的量化影響
查看答案
正確答案: D
問題 #47
某組織委託內部 IT 團隊處理數據,通過其應用程序管理信息。在這種情況下,內部 IT 團隊的職責是什麼?
A. 數據所有者
B. 數據保管人
C. 數據控制者
D. 數據處理器
查看答案
正確答案: B
問題 #48
以下哪項測試是確認系統訪問管理流程有效性的最佳方法?
A. 從用戶賬戶到人力資源(HR)記錄。
B. 用戶賬戶訪問請求。
C. 將供應商數據庫轉換爲用戶賬戶
D. 對用戶賬戶的訪問請求。
查看答案
正確答案: B
問題 #49
外部安全審計報告了多個與控制不合規有關的發現。以下哪項對風險實踐者向高級管理層傳達最爲重要?
A. 降低相關風險的計劃
B. 改進風險意識培訓的建議
C. 關於內部審計驗證的建議
D. 組織風險狀況的影響
查看答案
正確答案: C
問題 #50
以下哪項最有助於使 IT 風險與業務目標保持一致?
A. 行業務影響分析(BIA)
B. 整合自上而下的風險情景分析結果
C. 引入經批准的 IT 治理框架
D. 施風險分類系統
查看答案
正確答案: C
問題 #51
以下哪項是風險從業人員對防範網絡入侵的最佳建議?
A. 實施數據丟失防護 (DLP) 工具。
B. 施網絡隔離
C. 定網絡響應計劃
D. 強漏洞修復工作。
查看答案
正確答案: A
問題 #52
以下哪項是識別風險狀況變化的最佳方法?
A. 訪問評論
B. 根源分析
C. 內部審計報告
D. 威脅建模
查看答案
正確答案: D
問題 #53
以下哪種方法最適合評估法律、法規和合同要求對業務目標的潛在影響?
A. 與業務流程利益相關者溝通
B. 合規爲導向的業務影響分析
C. 合規爲導向的差距分析
D. 合規要求與政策和程序相對應
查看答案
正確答案: B
問題 #54
薩班斯-奧克斯利法案》哪一條規定了 "定期財務報告必須由首席執行官和首席財務官認證"?
A. 第 302 節
B. 第 404 節
C. 第 203 節
D. 第 409 節
查看答案
正確答案: A
問題 #55
以下哪項是風險從業人員的最佳建議,有助於確保網絡風險得到評估並反映在企業級風險概況中?
A. 開展專門針對高級管理層的網絡風險意識培訓
B. 據行業最佳實踐實施網絡風險計劃
C. 據組織的風險管理框架管理網絡風險
D. 定整個組織的網絡角色和職責
查看答案
正確答案: C
問題 #56
按業務流程對風險情景進行分類的主要原因是什麼?
A. 按風險所有人確定總體風險水平
B. 確定導致過度控制的情況
C. 管理層能夠實施具有成本效益的風險緩解措施
D. 示需要改進的業務活動缺陷
查看答案
正確答案: C
問題 #57
進行控制自我評估(CSA)的主要目的是
A. 減少對外部審計的依賴
B. 更好地了解組織的風險
C. 好地了解組織的控制效果
D. 在外部審計之前調整控制措施
查看答案
正確答案: C
問題 #58
風險管理有效的最佳標誌是風險已降低到符合要求的程度:
A. 風險偏好
B. 風險能力
C. 風險水平
D. 風險預算
查看答案
正確答案: A
問題 #59
以下哪種角色最有助於提供與客戶數據丟失相關的高層次風險視圖?
A. 戶數據庫管理員
B. 審計委員會
C. 數據隱私官
D. 戶數據保管人
查看答案
正確答案: D
問題 #60
在確定哪些控制缺陷最重要時,以下哪項能提供最有用的信息?
A. 例外情況處理政策
B. 基準評估
C. 脆弱性評估結果
D. 風險分析結果
查看答案
正確答案: D
問題 #61
以下哪項是確保外包服務提供商遵守企業信息安全政策的最佳方法?
A. 滲透測試
B. 服務水平監測
C. 安全意識培訓
D. 定期審計
查看答案
正確答案: D
問題 #62
以下哪個流程可按優先級處理風險,按要求安排項目管理計劃,並將資源和活動納入預算?
A. 監測和控制風險
B. 制定風險應對計劃
C. 確定風險
D. 定性風險分析
查看答案
正確答案: B
問題 #63
企業會採用哪種政策來禁止員工將企業電子郵件用於個人用途?
A. 反騷擾政策
B. 接受使用政策
C. 知識產權政策
D. 隱私政策
查看答案
正確答案: B
問題 #64
在依賴數據分析推動決策的組織中,以下哪項 BEST 有助於最大限度地降低與不準確數據相關的風險?
A. 評估每個數據源是否存在漏洞
B. 籤訂知識產權協議
C. 以行業最佳做法爲基準
D. 期審查大數據戰略
查看答案
正確答案: A
問題 #65
Sammy 是公司的項目經理。她想根據每種風險的可能性以及對時間、成本和範圍的影響來對其進行評級。項目團隊成員 Harry 以前從未這樣做過,他認爲 Sammy 嘗試這種方法是錯誤的。哈裏說,應該創建一個累積風險評分,而不是三個單獨的風險評分。在這種情況下,誰是正確的?
A. ammy 正確,因爲她是項目經理。
B. 米是正確的,因爲組織可以爲項目的每個目標創建風險評分。
C. arry 正確,風險概率和影響矩陣是風險評估的唯一方法。
D. arry 正確,因爲風險概率和影響考慮了項目的所有目標。
查看答案
正確答案: B
問題 #66
在使用第三方執行滲透測試時,以下哪項是最大限度減少運行影響的最重要控制措施?
A. 要求供應商購買責任保險。
B. 供應商進行背景調查。
C. 求供應商籤署保密協議。
D. 確界定項目範圍
查看答案
正確答案: D
問題 #67
選擇和實施影響風險的措施的程序是什麼?
A. 風險處理
B. 控制
C. 風險評估
D. 風險管理
查看答案
正確答案: A
問題 #68
您是 GHT 項目的項目經理。硬件供應商給您留下了語音郵件,說您訂購的設備無法按時交貨。她想給你提個醒,並要求你回電話。以下哪種說法是正確的?
A. 是一個殘餘風險。
B. 是一個觸發器。
C. 是一個應急計劃。
D. 是次要風險。
查看答案
正確答案: B
問題 #69
以下哪項最能說明組織已經實施了 IT 性能要求?
A. 供應商參考資料
B. 問責矩陣
C. 基準數據
D. 服務水平協議
查看答案
正確答案: C
問題 #70
以下哪項最有可能要求風險工作者更新風險登記冊?
A. 全操作中心報告的警報。
B. 制定實施風險應對措施的項目時間表。
C. 聘請第三方進行漏洞掃描。
D. 完成一個實施新控制的項目。
查看答案
正確答案: D
問題 #71
一名風險從業人員被要求就制定日誌收集和相關性戰略向管理層提供建議。在制定該策略時,以下哪項應該是最重要的考慮因素?
A. 確保將所有計算資源列爲日誌源
B. 確保日誌源的時間同步
C. 保對所有日誌源的讀寫訪問權限
D. 保納入外部威脅情報日誌源
查看答案
正確答案: B
問題 #72
以下哪項是對相關和高效交流最有效的抑制因素?
A. 高層對信息技術的實際風險程度缺乏信心,自上而下對風險管理的方向缺乏明確的認識
B. 業試圖向利益相關者掩蓋已知風險的看法
C. 責文化的存在
D. 際風險偏好與轉化爲政策之間不一致
查看答案
正確答案: C
問題 #73
信息系統監測和維護流程的第一階段是什麼?
A. 根源分析
B. 影響圖示技術
C. WOT分析
D. 假設分析
查看答案
正確答案: B
問題 #74
在制定業務連續性計劃 (BCP) 時,最重要的是:
A. 制定多渠道傳播計劃
B. 優先恢復關鍵服務
C. 定一個地理位置分散的災難恢復站點
D. 定一個替代地點來開展業務
查看答案
正確答案: C
問題 #75
以下哪項不是關鍵風險指標的正確選項?
A. 它們被選爲企業的主要監測指標
B. 它們有助於避免管理和報告過多的風險指標
C. 整套 KRI 還應兼顧風險指標、根本原因指標和業務影響指標。
D. 每年進行監測
查看答案
正確答案: D
問題 #76
以下哪項是與組織庫存系統中的冗餘數據相關的最大問題?
A. 數據不一致
B. 不必要的數據存儲使用
C. 問控制不力
D. 計劃變更的不必要費用
查看答案
正確答案: C
問題 #77
在關鍵系統上實施安全控制後,在確定是否接受殘餘風險時,以下哪項是最重要的考慮因素?
A. 信息控制系統的成本。
B. 外緩解控制措施的成本與效益。
C. 系統的預期年損失率 (ALE)。
D. 業務影響的頻率。
查看答案
正確答案: C
問題 #78
您是 SGT 項目的項目經理。您一直在與項目利益相關者積極溝通和合作。管理利益相關者的期望 "流程的輸出之一實際上會給您的項目帶來新的風險事件。管理利益相關者期望 "流程的哪項輸出會產生風險?
A. 信來源
B. 安全
C. 與衆不同
D. 獨立
查看答案
正確答案: C
問題 #79
最近對風險登記冊進行更新後,管理層要求降低殘餘風險的總體水平。以下哪項是風險實踐者的最佳行動方案?
A. 確定補救計劃的優先次序。
B. 議接受低度風險。
C. 與風險負責人一起制定新的風險行動計劃。
D. 實施額外控制。
查看答案
正確答案: D
問題 #80
項目的一部分涉及硬件工作。作爲項目經理,您決定僱用一家公司負責項目的所有硬件工作。這是哪種類型的風險應對措施?
A. 移
B. 緩解
C. 避
D. 利用
查看答案
正確答案: A
問題 #81
控制設計和實施方面的改進最有可能導致對以下內容進行更新:
A. 風險承受能力
B. 風險偏好
C. 有風險
D. 剩餘風險
查看答案
正確答案: D
問題 #82
以下哪項是驗證漏洞評估結果的最佳方法?
A. 行滲透測試
B. 行根本原因分析
C. 行威脅分析
D. 查看安全日誌
查看答案
正確答案: A
問題 #83
在風險評估過程中,可以使用以下哪種技術向利益相關者證明所有已知的替代方案都已經過評估?
A. 控制圖
B. 趨勢分析
C. 敏感性分析
D. 決策樹
查看答案
正確答案: A
問題 #84
在以下哪個流程中,需要編制概率和影響矩陣?
A. 加強
B. 利用
C. 接受
D. 分享
查看答案
正確答案: D
問題 #85
您是 HGT 項目的項目經理。您已經識別了項目風險,並採取了適當的應對措施來降低風險。您注意到在採取應對措施後產生了一個風險。這種風險被稱爲什麼?
A. 純風險
B. 次級風險
C. 應對風險
D. 高風險
查看答案
正確答案: B
問題 #86
初創公司在制定災難恢復計劃時,第一步應該是確定:
A. 當前的漏洞
B. 合適的備用地點
C. 復時間目標
D. 關鍵業務流程
查看答案
正確答案: D
問題 #87
以下哪項對信息安全管理團隊分配資源以降低風險最有幫助?
A. 內部審計結果
B. 相關風險案例研究
C. 風險評估結果
D. 透測試結果
查看答案
正確答案: C
問題 #88
監控與部署到生產中的變更相關的風險的最佳指標是變更的百分比:
A. 不需要用戶驗收測試的更改。
B. 引發事件的變化。
C. 緊急情況而發生變化。
D. 有權更改生產的人員。
查看答案
正確答案: B
問題 #89
當多個風險工作者在一個風險登記冊中記錄風險情景時,以下哪項是最重要的考慮因素?
A. 使用一致的方法進行風險評估
B. 制定風險升級和報告程序
C. 持最新的風險處理計劃
D. 統一風險所有權和控制所有權
查看答案
正確答案: A
問題 #90
以下哪種風險可能導致破產?
A. 邊際
B. 可忽略不計
C. 鍵
D. 難性
查看答案
正確答案: D
問題 #91
以下哪種風險是發生在重要商業夥伴身上的風險,會影響一個地區或行業內的一大批企業?
A. 傳染性風險
B. 報告風險
C. 業務風險
D. 系統性風險
查看答案
正確答案: D
問題 #92
在與執行管理層分享風險管理最新信息時,以下哪項是最重要的考慮因素?
A. 使用組織風險匯總視圖
B. 依賴關鍵風險指標(KRI)數據
C. 保與組織目標的相關性
D. 包括風險指標的趨勢分析
查看答案
正確答案: C
問題 #93
以下哪項最能說明一個組織正在遵循成熟的風險管理流程?
A. 行管理層定期接受風險意識培訓。
B. 風險登記冊中記錄了每種風險情景的屬性。
C. 險登記冊經常用於決策。
D. 爲高級管理層開發了一個儀錶板,提供實時風險值。
查看答案
正確答案: D
問題 #94
在確定 IT 風險方案時,以下哪種角色會提供最重要的意見?
A. 業務風險管理人員
B. 內部審計員
C. 息安全管理人員
D. 業務流程所有者
查看答案
正確答案: D
問題 #95
誰應負責實施和維護安全控制?
A. 數據保管人
B. 內部審計員
C. 據所有者
D. 最終用戶
查看答案
正確答案: A
問題 #96
衡量漏洞修復計劃有效性的最佳關鍵績效指標(KPI)是漏洞修復的數量:
A. 發現新漏洞。
B. 常出現的漏洞。
C. 洞已修復。
D. 漏洞掃描。
查看答案
正確答案: B
問題 #97
沒有在正確的時間向正確的人提供正確的信息以採取正確的行動,會帶來以下哪種風險?
A. 風險登記冊和風險分析結果
B. 風險登記冊和風險應對計劃
C. 風險登記冊和指定風險應對措施的權力
D. 風險登記冊和風險管理計劃
查看答案
正確答案: A
問題 #98
您是 RFT 項目的項目經理。您發現了一個風險,即企業的 IT 系統和應用程序過於複雜,幾年內將難以擴展容量,軟件維護將變得非常昂貴。爲克服這一風險,採取的應對措施是重新構建現有系統和購買新的集成系統。本案例屬於以下哪種風險優先級選擇?
A. 推遲
B. 速贏
C. 將提出的業務論證
D. 傳染性風險
查看答案
正確答案: C
問題 #99
Wendy 即將對其項目中已識別的風險進行定性風險分析。以下哪項無助於 Wendy 執行此項目管理活動?
A. 風險管理計劃
B. 項目範圍說明
C. 風險登記冊
D. 利益攸關方登記冊
查看答案
正確答案: D
問題 #100
在設計信息系統控制時,應首先考慮以下哪些因素?
A. 信息技術戰略計劃
B. 現有的信息技術環境
C. 組織戰略計劃
D. 目前的信息技術預算
查看答案
正確答案: C
問題 #101
以下哪項最能衡量事件響應流程的效率?
A. 缺乏應對措施的事件數量
B. 上報管理層的事件數量
C. 變化與更新升級矩陣之間的平均時間
D. 實際響應時間與商定響應時間之間的平均差距
查看答案
正確答案: D
問題 #102
以下哪種角色最適合幫助風險從業人員了解 IT 相關事件對業務目標的影響?
A. 流程所有者
B. 信息技術管理
C. 級管理層
D. 內部審計
查看答案
正確答案: A
問題 #103
某組織允許一家供應商訪問其數據,以分析客戶行爲。要降低客戶數據泄漏的風險,以下哪項控制措施最爲有效?
A. 制在 "需要知道 "的基礎上訪問客戶數據
B. 實施犯罪背景調查
C. 蔽客戶數據字段
D. 求供應商籤署保密協議
查看答案
正確答案: A
問題 #104
您是企業的產品經理。您發現企業不時引入新技術、新產品和新服務。應如何防止這些變化影響控制的效率和效果?
A. 從風險評估和關鍵風險指標中及時獲得反饋,並更新控制措施
B. 增加更多控制
C. 行業務影響分析(BIA)
D. 這些變化不會影響控制措施的有效性和效率
查看答案
正確答案: A
問題 #105
在制定組織的風險管理方法時,以下哪項是首要考慮因素?
A. 風險容忍度
B. 基準信息
C. 所需資源
D. 業務背景
查看答案
正確答案: D
問題 #106
某組織將應用程序外包給軟件即服務(SaaS)提供商。與使用該服務相關的風險應由該組織承擔:
A. 務提供商的 IT 經理
B. 務提供商的風險經理
C. 織的業務流程經理
D. 織的供應商經理
查看答案
正確答案: C
問題 #107
以下哪項最有助於識別商業環境變化帶來的新風險?
A. 行業基準
B. 標準作業程序
C. 控制差距分析
D. SWOT 分析
查看答案
正確答案: D
問題 #108
一名風險從業人員發現,有幾份詳細說明目前正在開發的產品設計的關鍵文件被公布在互聯網上。風險從業人員首先應該採取什麼行動?
A. 進行根本原因分析
B. 立即進行風險評估
C. 動既定的事件響應計劃
D. 通知內部審計
查看答案
正確答案: D
問題 #109
NIST SP 800-53 將控制措施分爲三個主要類別。它們是什麼?
A. 技術、行政和環境
B. 預防、偵查和糾正
C. 技術、業務和管理
D. 行政、技術和業務
查看答案
正確答案: C
問題 #110
朱迪在她的項目中發現了一個風險事件,該事件發生的概率很高,影響也很大。根據項目要求,朱迪要求改變項目範圍,以消除相關要求和相關風險。這是哪種類型的風險應對措施?
A. 利用
B. 是風險應對措施,而是變更請求
C. 避
D. 移
查看答案
正確答案: C
問題 #111
審計發現,幾個被解僱的員工賬戶仍保留訪問權限。以下哪項應作爲應對風險的首要步驟?
A. 進行風險評估
B. 止用戶訪問
C. 行根本原因分析
D. 定訪問控制政策
查看答案
正確答案: D
問題 #112
當組織的風險偏好發生變化時,以下哪項最需要更新?
A. 主要風險指標(KRIs)
B. 風險分類法
C. 關鍵績效指標(KPI)
D. 風險報告方法
查看答案
正確答案: A
問題 #113
以下哪項有助於確保遵守電子交易的不可抵賴性政策要求?
A. 數字籤名
B. 數字證書
C. 次性密碼
D. 密密碼
查看答案
正確答案: A
問題 #114
以下哪項是對相關和高效交流最有效的抑制因素?
A. 高層對信息技術的實際風險程度缺乏信心,自上而下對風險管理的方向缺乏明確的認識
B. 業試圖向利益相關者掩蓋已知風險的看法
C. 責文化的存在
D. 際風險偏好與轉化爲政策之間不一致
查看答案
正確答案: C
問題 #115
以下哪項是成功防禦網絡釣魚攻擊的最佳方法?
A. 入侵檢測系統
B. 應用硬化
C. 最終用戶意識
D. 垃圾郵件過濾器
查看答案
正確答案: C
問題 #116
風險管理計劃的首要目標是
A. 促進資源可用性。
B. 保護企業資產。
C. 助確保目標的實現
D. 幫助防止業務損失。
查看答案
正確答案: B
問題 #117
亨利是其公司 QBG 項目的項目經理。該項目預算爲 457.69 萬美元,預計 18 個月完成。項目的利益相關者首席信息官提出了一項範圍變更請求,要求將額外的交付成果作爲項目工作的一部分。變更控制系統的哪個部分將審查擬議變更對項目產品特性和功能的影響?
A. 險分析應假定所有資產都受到同等程度的保護。
B. 險分析應更重視可能性,而不是損失的大小。
C. 險分析應將範圍限制在類似公司的基準範圍內
D. 風險分析應涉及損失的潛在規模和可能性。
查看答案
正確答案: B
問題 #118
以下哪項內容可確保在變更控制系統中對所有新提出的變更請求進行風險審查?
A. 置管理
B. 範圍變更控制
C. 風險監測和控制
D. 綜合變更控制
查看答案
正確答案: D
問題 #119
某組織曾多次遭受社會工程學攻擊,目前正在制定一項風險意識計劃。該計劃的首要目標應該是:
A. 告知違規行爲的後果
B. 施行業最佳做法
C. 低組織的風險偏好
D. 風險降低到可接受的水平
查看答案
正確答案: D
問題 #120
一名風險工作者正在審查一項旨在降低新出現的 IT 風險的行動計劃的狀況,發現風 險等級有所提高。最佳行動方案是:
A. 評估選定的控制措施是否仍然適當。
B. 實施計劃的控制措施,並接受剩餘的風險。
C. 暫停當前的行動計劃,以便重新評估風險。
D. 修訂行動計劃,增加緩解控制措施。
查看答案
正確答案: A
問題 #121
審慎的商業做法要求風險承受能力不能超過:
A. 風險能力。
B. 有風險。
C. 風險承受能力。
D. 餘風險。
查看答案
正確答案: A
問題 #122
以下哪項是最大限度提高安全實施成功可能性的最關鍵因素?
A. 行業領先的安全工具
B. 織文化
C. 易於實施
D. 組織的知識
查看答案
正確答案: B
問題 #123
以下哪項是用於評估一項投資的效率或比較多項不同投資的效率的績效衡量標準?
A. 安全投資回報
B. 總擁有成本
C. 投資回報
D. 價磁盤冗餘陣列
查看答案
正確答案: C
問題 #124
在風險評估期間評估現有控制措施時,應最關注以下哪個問題?
A. 餘補償控制已到位。
B. 產保管人而不是資產所有者負責制定控制措施。
C. 量已批准的例外情況都有補償控制措施。
D. 續的評估具有相同的重複性漏洞。
查看答案
正確答案: D
問題 #125
在控制審查期間,控制負責人指出,現有的一項控制隨着時間的推移已經惡化。向控制負責人提出的最佳建議是什麼?
A. 將問題上報高級管理層
B. 風險負責人討論風險緩解方案
C. 記錄問題後對控制進行認證
D. 施補償控制,降低殘餘風險
查看答案
正確答案: D
問題 #126
在批准風險應對行動計劃時,管理層應首先考慮以下哪項?
A. 確定實施行動計劃的優先次序
B. 行動計劃應對多種風險情況的能力
C. 實施風險處理解決方案的難易程度
D. 實施計劃後殘餘風險的變化
查看答案
正確答案: A
問題 #127
一個應用程序運行一個計劃作業,該作業從多個業務系統中匯編財務數據並更新財務報告系統。如果該工作運行時間過長,就會延誤財務報告。以下哪項是風險從業人員的最佳建議?
A. 實施數據庫活動和能力監測。
B. 慮爲該任務提供額外的系統資源。
C. 保企業有檢測此類情況的程序。
D. 確保企業意識到風險。
查看答案
正確答案: C
問題 #128
以下哪種角色載體負責分析風險、維護風險狀況和風險意識決策?
A. 概率
B. 威脅
C. 漏洞
D. 影響
查看答案
正確答案: D
問題 #129
以下哪個流程可按優先級處理風險,按要求安排項目管理計劃,並將資源和活動納入預算?
A. 監測和控制風險
B. 制定風險應對計劃
C. 確定風險
D. 定性風險分析
查看答案
正確答案: B
問題 #130
在組織內部討論風險時,以下哪項最重要?
A. 採用共同的風險分類法。
B. 制定風險交流政策
C. 使用關鍵績效指標(KPI)。
D. 使用關鍵風險指標(KRI)。
查看答案
正確答案: D
問題 #131
以下哪項 BEST 可以降低信息技術與業務不協調帶來的風險?
A. 引入既定的 IT 架構框架
B. 制定業務關鍵績效指標(KPI)
C. 業務流程負責人參與 IT 戰略
D. 制定關鍵風險指標(KRIs)
查看答案
正確答案: A
問題 #132
以下哪項是讓利益相關者參與選擇關鍵風險指標(KRI)的主要好處?
A. 利用現有衡量標準
B. 優化風險處理決定
C. 得風險所有者的支持
D. 提高風險意識
查看答案
正確答案: C
問題 #133
實施 IT 風險管理框架的主要優勢在於:
A. 業務目標與信息技術目標相一致
B. 改進組織內部的控制措施,最大限度地減少損失
C. 遵守相關法律法規要求
D. 爲風險意識決策建立可靠的基礎
查看答案
正確答案: B
問題 #134
亨利是 JQ 項目的項目發起人,南希是項目經理。亨利要求南希啓動項目風險識別流程,但南希堅持讓項目團隊參與該流程。爲什麼要讓項目團隊參與風險識別?
A. 框架
B. 法律要求
C. 標準
D. 實踐
查看答案
正確答案: A
問題 #135
某組織正在考慮允許用戶通過個人設備訪問公司數據。在評估風險時,以下哪項是最重要的因素?
A. 數據分類
B. 設備類型
C. 程管理功能
D. 數據量
查看答案
正確答案: C
問題 #136
以下哪項是降低風險影響的最佳方案?
A. 制定 IT 安全政策
B. 實施偵測控制
C. 行糾正措施
D. 用現有技術
查看答案
正確答案: C
問題 #137
您是一個大型建築項目的項目經理。該項目將持續 18 個月,耗資 75 萬美元。您正在與項目團隊、專家和利益相關者合作,在項目工作開始之前識別項目中的風險。管理層想知道,爲什麼你們在整個項目中安排了這麼多的風險識別會議,而不只是在項目規劃初期。重複召開風險識別會議的最佳理由是什麼?
A. 代會議允許所有利益相關者參與整個項目階段的風險識別過程。
B. 過迭代會議,項目經理可以討論項目中已發生和未發生的風險事件。
C. 代會議允許項目經理和風險識別參與者識別整個項目中新發現的風險事件。
D. 代會議允許項目經理在項目執行過程中溝通未決風險事件。
查看答案
正確答案: C
問題 #138
你是 Bluewell 公司的項目經理。項目工作出現了延誤,對項目進度造成了不利影響。經利益相關者同意,您決定快速跟蹤項目工作,以便更快地完成項目。當您快速跟蹤項目時,什麼可能會增加?
A. 人力資源需求
B. 質量控制問題
C. 費用
D. 風險
查看答案
正確答案: D
問題 #139
以下哪項是衡量不間斷 IT 服務能力的最佳關鍵績效指標(KPI)?
A. 平均故障間隔時間
B. 意外停機
C. 平均恢復時間
D. 劃停機
查看答案
正確答案: A
問題 #140
以下哪項最能說明作爲風險行動計劃一部分實施的控制措施無效?
A. 生安全漏洞。
B. 內部審計發現經常出現的例外情況。
C. 經管理層批准就將更改投入生產。
D. 用樣本來驗證行動計劃。
查看答案
正確答案: B
問題 #141
你是 ABS 項目的項目經理。該項目是在一所學校建立計算機網絡。在項目執行期間,學校管理層要求啓用校園 Wi-Fi。您知道這可能會對項目產生不利影響。您已與其他利益相關者討論了變更請求。下一步該怎麼做?
A. 更新項目管理計劃。
B. 出變更請求。
C. 分析影響。
D. 更新風險管理計劃。
查看答案
正確答案: C
問題 #142
您是貴公司 AFD 項目的項目經理。您正在與項目團隊合作,重新評估現有的風險事件,並確定尚未發生且與項目無關的風險事件。您應該如何處理這些尚未發生且現在不會在項目中發生的事件?
A. 將風險添加到問題日誌中
B. 關閉過時的風險
C. 將風險列入風險登記冊
D. 風險列入低優先級觀察清單
查看答案
正確答案: B
問題 #143
您是企業的風險負責人。貴企業在做出重要決策時沒有考慮風險憑證信息,也不了解外部對風險管理以及與企業風險管理整合的要求。貴企業處於以下哪個風險管理能力成熟度級別?
A. 級
B. 級
C. 5 級
D. 4 級
查看答案
正確答案: B
問題 #144
您是企業的風險專家。您需要計算如果發生某種風險可能造成的收入損失。貴企業有一個電子(電子商務)網站,每天產生 100 萬美元的收入,如果發生持續半天的拒絕服務(DoS)攻擊,會造成多少損失?
A. 數據分析
B. 數據驗證
C. 數據收集
D. 數據訪問
查看答案
正確答案: B
問題 #145
隨着項目的進展,所有風險和風險應對措施都記錄在哪裡?
A. 風險管理計劃
B. 項目管理計劃
C. 風險應對計劃
D. 風險登記冊
查看答案
正確答案: D
問題 #146
一個管理團隊正在積極推出新產品,以打入新市場,卻忽視了 IT 風險因素、威脅和漏洞。這一情景 BEST 展示了一個組織的風險:
A. 管理。
B. 分析
C. 文化
D. 容忍
查看答案
正確答案: C
問題 #147
某組織在尋找新的保險提供商時讓其網絡風險保險失效。風險從業人員應向管理層報告該風險已被:
A. 接受
B. 輕
C. 轉讓
D. 避免
查看答案
正確答案: A
問題 #148
在風險管理計劃的初步實施過程中,以下哪項對高級管理層最爲重要?
A. 風險所有權
B. 最佳做法
C. 希望達到的風險水平
D. 遵守法規
查看答案
正確答案: A
問題 #149
您在一家企業從事一個項目。項目的某些部分需要電子商務,但企業選擇不參與電子商務。這種情況屬於以下哪種形式?
A. 規避風險
B. 風險處理
C. 受風險
D. 風險轉移
查看答案
正確答案: A
問題 #150
以下哪項行動能確保管理層的組織目標不受風險事件的影響?
A. 內部控制
B. 風險管理
C. 對衝
D. 風險評估
查看答案
正確答案: A
問題 #151
要求對組織的 IT 風險管理流程進行獨立審查的主要目的應該是
A. 確保 IT 風險管理的重點是降低潛在風險。
B. 確認 IT 風險評估結果以業務影響表示。
C. 評估 IT 風險管理業務和戰略重點方面的差距。
D. 實已實施的控制措施,以降低威脅實現的可能性。
查看答案
正確答案: C
問題 #152
某企業接到通知,一名被解僱的 IT 管理員試圖入侵企業網絡。該組織最關注以下哪項發現?
A. 已檢測到暴力破解攻擊
B. 檢測到外部漏洞掃描
C. 已觀察到支助請求增加
D. 份驗證日誌已被禁用
查看答案
正確答案: D
問題 #153
Harry 是 HDW 項目的項目經理。他發現了一個可能傷害項目團隊成員的風險。他不想接受任何可能有人在此項目中受傷的風險,因此他聘請了一家專業供應商來完成這部分項目工作。Harry 正在實施哪種類型的風險應對措施?
A. 們是最有可能引發和應對風險事件的人。
B. 們是對項目中發現的風險事件做出最佳反應的人。
C. 們是受風險事件影響最大的個人。
D. 們是需要對風險事件有主人翁意識和責任感的人。
查看答案
正確答案: A
問題 #154
您是企業的風險專家。您已經對所採取的控制措施進行了成本效益分析。對控制措施進行成本效益分析有哪些好處?每個正確答案代表一個完整的解決方案。請選擇三個。
A. 目已完成,系統已投入生產足夠長的時間
B. 項目期間
C. 目完成後立即進行
D. 目即將完成
查看答案
正確答案: ACD
問題 #155
定性風險評估使用以下哪些術語來評估風險水平?請選擇兩個。
A. 對衝
B. 惡
C. 慾
D. 容忍
查看答案
正確答案: AC
問題 #156
以下哪項是向業務管理部門提供 IT 風險匯總視圖的主要目標?
A. 提供一致和明確的術語
B. 允許對風險容忍度進行適當審查
C. 確定報告風險的依賴關係
D. 夠獲得一致的風險數據
查看答案
正確答案: B
問題 #157
在幾種風險應對措施中,以下哪種風險應對措施用於負面風險事件?
A. 分享
B. 加強
C. 利用
D. 接受
查看答案
正確答案: D
問題 #158
一家全球性組織正在考慮收購競爭對手。高級管理層要求對目標組織的整體風險狀況進行審查。以下哪項審查內容能提供最有用的信息?
A. 風險偏好聲明
B. 風險管理政策
C. 風險登記冊
D. 業風險管理框架
查看答案
正確答案: D
問題 #159
在幾種風險應對措施中,以下哪種風險應對措施用於負面風險事件?
A. 分享
B. 加強
C. 利用
D. 接受
查看答案
正確答案: D
問題 #160
如果資產完全損失,風險係數的價值是多少?
A. 加強
B. 積極
C. 機會主義
D. 開採
查看答案
正確答案: A
問題 #161
艾德裏安是一個新項目的項目經理,該項目使用的是一種最近才發布的技術,有關該技術的信息相對較少。對該技術的初步測試使其使用前景看好,但該技術的使用壽命和可靠性仍存在不確定性。艾德裏安希望將該技術因素視爲項目風險。她應該在哪裡記錄與該技術相關的風險,以便跟蹤風險狀況和應對措施?
A. 項目範圍說明
B. 項目章程
C. 低級別風險觀察清單
D. 風險登記冊
查看答案
正確答案: D
問題 #162
信息技術控制狀態報告的主要目的是
A. 協助內部審計評估和啓動補救工作。
B. 確保符合 IT 治理戰略。
C. 於比較當前狀態和理想狀態。
D. 根據行業標準制定 IT 控制基準。
查看答案
正確答案: C
問題 #163
關於風險管理計劃,以下哪項說法不正確?
A. 險管理計劃是計劃風險管理流程的輸出。
B. 風險管理計劃是對所有其他風險規划過程的投入。
C. 險管理計劃包括風險應對措施和觸發因素的說明。
D. 風險管理計劃包括閾值、評分和解釋方法、責任方和預算。
查看答案
正確答案: C
問題 #164
以下哪項與使用未屏蔽數據進行測試相關的風險最大?
A. 保密
B. 誠信
C. 用性
D. 問責制
查看答案
正確答案: A
問題 #165
在創建一套全面的 IT 風險方案時,以下哪種方法是最佳方法?
A. 收集高級管理層的設想方案
B. 從信息技術風險政策和標準中推導出各種情景
C. 業界同行的方案爲基準
D. 將各種情景與公認的風險管理框架相聯繫
查看答案
正確答案: D
問題 #166
以下哪項是有效風險管理計劃最重要的特徵?
A. 記錄風險應對計劃。
B. 確定關鍵風險指標。
C. 配風險所有權。
D. 將控制措施與關鍵風險情景相對應。
查看答案
正確答案: D
問題 #167
組織已確定某一風險情景超出了規定的風險容忍度。下一步應採取什麼行動?
A. 開發補償控制
B. 確定風險應對措施
C. 配補救資源
D. 行成本效益分析
查看答案
正確答案: A
問題 #168
在使用一套通用的 IT 風險方案進行風險分析時,以下哪項是最令人擔憂的?
A. 固有風險可能不在考慮之列
B. 實施成本可能增加
C. 險因素可能與組織無關
D. 可能無法進行定量分析
查看答案
正確答案: C
問題 #169
您被指派爲一個新項目的項目經理,該項目涉及爲現有時間管理系統開發一個新界面。您已經與利益相關者和團隊一起識別了所有可能的風險,並計算了這些風險的概率和影響。接下來,您需要以下哪項來幫助您確定風險的優先級?
A. 親和圖
B. 風險評級規則
C. 項目網絡圖
D. 風險類別
查看答案
正確答案: B
問題 #170
您是 PFO 項目的項目經理。您正在與項目團隊成員和兩名主題專家合作,評估項目中已識別的風險事件。以下哪種方法最適合評估項目中的風險事件?
A. 面談或會議
B. 確定風險事件的真實成本
C. 概率和影響矩陣
D. 本原因分析
查看答案
正確答案: A
問題 #171
以下哪項是確定恢復時間目標(RTO)的首要因素?
A. 應急行動計劃的響應時間
B. 難造成的停機成本
C. 地備份場所的成本
D. 試業務連續性計劃的成本
查看答案
正確答案: B
問題 #172
Shelly 是公司 BUF 項目的項目經理。在這個項目中,Shelly 需要制定一些規則,以減少定性風險分析過程中風險偏差的影響。Shelly 可以採取什麼方法來最大程度地減少風險偏差的影響?
A. 確定風險界限
B. 將利益相關者按積極和消極利益相關者分組,然後完成風險分析
C. 定風險的根本原因,而不是確定風險事件的人
D. 確定風險事件的概率和影響程度的定義
查看答案
正確答案: D
問題 #173
風險經理認爲某項技術存在過大風險。誰是承擔該技術未減輕風險的最佳人選?
A. 務流程負責人
B. 席財務官
C. 席風險官
D. IT 系統所有者
查看答案
正確答案: D
問題 #174
您是 Bluewell 公司的項目經理。您的項目存在若干風險,這些風險將影響若干利益相關者的要求。哪一個項目管理計劃將規定誰可以分享有關項目風險的信息?
A. 資源管理計劃
B. 風險管理計劃
C. 益相關者管理戰略
D. 通信管理計劃
查看答案
正確答案: D
問題 #175
最能有效解決捎帶進入無死人門禁區的風險的補償控制裝置是
A. 用雙因素身份驗證
B. 使用生物識別門鎖
C. 求員工佩戴身份徽章
D. 安全意識培訓
查看答案
正確答案: D
問題 #176
一項關鍵風險指標(KRI)定期向高級管理層報告,稱其超過了閾值,但高級管理層每次都決定不採取任何行動來降低風險。以下哪項最有可能是高級管理層做出這種反應的原因?
A. KRI 的基礎數據源使用了不準確的數據,需要糾正。
B. 需要修訂 KRI 臨界值,使其更符合組織的風險偏好。
C. 級管理層不了解 KRI,應接受風險培訓。
D. 鍵成果指標沒有提供有用的信息,應從關鍵成果指標清單中刪除。
查看答案
正確答案: B
問題 #177
Marie 在她的項目中發現了一個需要採取緩解措施的風險事件。她的應對措施實際上產生了一個新的風險事件,現在必須對其進行分析和規劃。這個新產生的風險事件用什麼術語來表示?
A. 剩餘風險
B. 次級風險
C. 定式風險
D. 人口風險
查看答案
正確答案: B
問題 #178
某組織已將其 IT 安全業務外包給第三方。誰對與外包業務相關的風險負絕對責任?
A. 織的供應商管理辦公室
B. 織的管理層
C. 三方的控制操作員
D. 三方的管理
查看答案
正確答案: B
問題 #179
爲有效支持業務決策,IT 風險登記簿必須
A. 反映風險評估的結果。
B. 有效支持業務成熟度模型。
C. 可供業務組使用。
D. 由信息技術指導委員會審查。
查看答案
正確答案: B
問題 #180
以下哪種方法最有助於確保爲防止信用卡數據丟失而實施的數據丟失防護(DLP)控制的有效性?
A. 查看日誌,查找未經授權的數據傳輸
B. 置 DLP 控制以阻止信用卡號碼
C. 試信用卡號碼的傳輸
D. 試 DLP 規則變更控制流程
查看答案
正確答案: A
問題 #181
一名風險從業人員最近發現,非生產環境中的測試需要生產環境中的敏感數據。以下哪項是解決這種情況的最佳建議?
A. 在數據傳輸到測試環境之前對其進行屏蔽。
B. 在測試環境中實施同等的安全措施。
C. 在測試環境中啓用數據加密。
D. 止將生產數據用於測試目的。
查看答案
正確答案: B
問題 #182
以下哪項是記錄控制執行情況的主要原因?
A. 證明投資回報合理
B. 展示有效的風險緩解措施
C. 提供準確的風險報告
D. 得管理層的批准
查看答案
正確答案: B
問題 #183
以下哪項是風險從業人員幫助管理層確定風險應對優先次序的最佳方法?
A. 根據業務目標評估風險。
B. 實施針對特定組織的風險分類法。
C. 據風險狀況調整業務目標。
D. 向管理層解釋風險細節
查看答案
正確答案: C
問題 #184
您是企業的項目經理。您發現了新的威脅,然後評估了現有控制措施緩解與新威脅相關的風險的能力。您注意到,現有控制措施在降低這些新風險方面效率不高。在這種情況下,您可以採取哪些措施?每個正確答案代表一個完整的解決方案。(選擇三個)。
A. 相關性風險
B. 廉正風險
C. 可用性風險
D. 訪問風險
查看答案
正確答案: ABC
問題 #185
當發現風險高於可接受的風險偏好時,以下哪項是最佳行動方案?
A. 執行風險應對計劃
B. 分析控制措施的有效性
C. 持現有的控制措施。
D. 審查風險容忍度。
查看答案
正確答案: B
問題 #186
以下哪項是管理機密數據泄漏相關風險的第一步?
A. 爲數據所有者和用戶開展提高認識計劃
B. 維護和審查機密數據清單
C. 數據實施強制加密
D. 義並實施數據分類政策
查看答案
正確答案: A
問題 #187
Della 在 Tech Perfect 公司擔任項目經理。她正在研究一個項目的規劃文件。文件指出,該項目有 28 個利益相關者。該項目的溝通渠道數量是多少?
A. 50
B. 8
C. 78
D. 00
查看答案
正確答案: C
問題 #188
您被選爲 GHT 項目的項目經理。您必須啓動該項目。您的項目申請文件已獲批准,現在您必須開始項目工作。啓動項目的第一步是什麼?
A. 開展可行性研究
B. 購買軟件
C. 定項目要求
D. 劃項目管理
查看答案
正確答案: A
問題 #189
你是客戶項目的項目經理。客戶承諾,如果項目提前完成,貴公司將獲得一筆獎金。在對項目工作進行研究後,你選擇讓項目夭折,以提前結束項目。這是哪種風險應對方式的例子?
A. 面風險反應,因爲崩潰會增加風險。
B. 極的風險應對,因爲撞車就是加強風險應對的一個例子。
C. 極的風險應對措施,因爲死機就是利用的一個例子。
D. 面風險反應,因爲崩潰會增加成本。
查看答案
正確答案: B
問題 #190
您是企業的風險專業人員。貴企業已在許多部門引入了新系統。新系統要滿足的業務需求仍未得到滿足,而且這一過程一直在浪費資源。即使系統得到了實施,也很可能使用率不高,而且得不到維護,在很短的時間內就會被淘汰。這是一種什麼樣的風險?
A. 固有風險
B. 商業風險
C. 目風險
D. 剩餘風險
查看答案
正確答案: B
問題 #191
您是 KJH 項目的項目經理,正在與項目團隊一起計劃風險應對措施。您的項目預算爲 500,000 美元,預計持續六個月。在 KJH 項目中,您發現了一個概率爲 0.70、成本影響爲 350,000 美元的風險事件。在爲該事件制定風險應對措施時,必須考慮風險應對措施成本的風險敞口是多少?
A. 動的風險敞口爲 350 000 美元。
B. 動的風險敞口爲 500 000 美元。
C. 動的風險敞口爲 850 000 美元。
D. 動的風險敞口爲 245 000 美元。
查看答案
正確答案: D
問題 #192
以下哪種方法是發現高影響風險類型的最佳方法?
A. 定性風險分析
B. 爾菲技術
C. 故障模式和影響分析
D. 量化風險分析
查看答案
正確答案: C
問題 #193
某組織發現由於新實施的人力資源系統技術控制薄弱而存在風險。風險執行人員正在風險登記冊中記錄該風險。該風險應由
A. 業務流程負責人。
B. 首席信息官
C. 目經理。
D. 首席風險官。
查看答案
正確答案: A
問題 #194
在對生產系統進行風險評估後,最合適的做法是由風險經理採取以下措施
A. 向信息技術經理通報所關注的問題,並提出減少這些問題的措施
B. 向流程所有者通報關切問題,並提出減少關切問題的措施
C. 向開發團隊通報所關注的問題,並共同制定降低風險的措施
D. 議一個能最大限度減少生產系統擔憂的方案
查看答案
正確答案: A
問題 #195
以下哪項最能體現有效的信息安全事件管理?
A. 信息安全事故響應計劃測試頻率
B. 高風險安全事件的百分比
C. 信息安全相關事件的每月趨勢
D. 現重大信息安全事件的平均時間
查看答案
正確答案: D
問題 #196
以下哪項是信息系統控制最重要的目標?
A. 現業務目標,發現並糾正不希望發生的風險事件
B. 確保有效和高效的運作
C. 定業務連續性和災難恢復計劃
D. 保護資產
查看答案
正確答案: A
問題 #197
一名風險工作者正在總結高級管理層發起的一項高調風險評估的結果。支持高級管理層做出基於風險的決策的最佳方法是:
A. 量化關鍵風險指標 (KRI)
B. 建議風險容忍閾值
C. 供量化的詳細分析
D. 將調查結果與目標相聯繫
查看答案
正確答案: D
問題 #198
以下哪些風險是指實際投資回報低於投資者預期的概率?
A. 廉正風險
B. 項目所有權風險
C. 相關性風險
D. 支出風險
查看答案
正確答案: D
問題 #199
管理層的風險偏好發生變化時,風險登記冊的以下哪項內容最有可能發生變化?
A. 風險可能性和影響
B. 風險速度
C. 固有風險
D. 關鍵風險指標(KRI)閾值
查看答案
正確答案: D
問題 #200
對某組織的控制措施進行審查後發現,其數據丟失防護 (DLP) 系統目前無法檢測到包含信用卡數據的外發電子郵件。
A. 風險偏好
B. 剩餘風險
C. 主要風險指標(KRIs)
D. 固有風險
查看答案
正確答案: B
問題 #201
在將一般風險情景與組織安全政策進行映射後,下一步應採取的行動是
A. 在風險登記冊中記錄風險情景,以供分析
B. 驗證風險情景的業務適用性
C. 風險情景的數量減少到可控範圍內
D. 對風險情景進行風險分析
查看答案
正確答案: B
問題 #202
某企業的運營環境中,縮短新軟件產品的上市時間是業務的重中之重。以下哪項應該是風險實踐者最關心的問題?
A. 電子郵件基礎設施沒有適當的回滾計劃
B. 有爲 IT 開發項目分配足夠的資源
C. 業電子郵件系統無法識別和存儲網絡釣魚電子郵件
D. 戶支持服務臺員工沒有接受足夠的培訓
查看答案
正確答案: B
問題 #203
以下哪項是風險工作者在監控關鍵風險指標(KRI)方面最關心的問題?
A. 日誌的保留時間超過數據保留政策的要求。
B. 日誌在從系統傳輸到分析工具的過程中被加密。
C. 進行分析之前修改日誌。
D. 日誌是從少數系統中收集的。
查看答案
正確答案: D
問題 #204
在持續監控面向客戶的應用程序性能時,以下哪項最重要?
A. 日誌中的性能信息已加密。
B. 制權所有人批准控制權變更
C. 與企業主確認目標。
D. 進行最終用戶驗收測試。
查看答案
正確答案: D
問題 #205
以下哪項最能幫助組織深入了解與風險相關的業務準備情況?
A. 能力成熟度評估結果
B. 企業風險委員會會議記錄
C. 以行業標準爲基準
D. 自我能力評估
查看答案
正確答案: D
問題 #206
管理層要求開展信息安全意識培訓,以降低與憑證泄露相關的風險。評估培訓效果的最佳方法是什麼?
A. 行社會工程測試。
B. 行漏洞評估
C. 審核安全意識培訓材料
D. 行培訓結束測驗。
查看答案
正確答案: A
問題 #207
以下哪項最有助於確保識別可疑網絡活動?
A. 分析服務器日誌
B. 與相關機構協調活動
C. 析入侵檢測系統(IDS)日誌
D. 用第三方監控提供商
查看答案
正確答案: C
問題 #208
您是 NHH 項目的項目經理。您正在與項目團隊合作制定一項計劃,以記錄整個項目的風險管理流程。該文件將確定如何識別和量化風險。在這種情況下,您和您的團隊將創建什麼文件?
A. 項目計劃
B. 資源管理計劃
C. 目管理計劃
D. 風險管理計劃
查看答案
正確答案: D
問題 #209
以下哪項對評估新實施控制的操作有效性最爲重要?
A. 用持續審計技術確保不斷進行控制監測。
B. 制負責人及時監測和報告控制結果。
C. 於控制性能的源數據準確、完整。
D. 我評估測試結果定期由獨立控制測試人員核實。
查看答案
正確答案: A
問題 #210
你在一家企業工作。你們的企業願意接受一定的風險。這種風險叫什麼?
A. 置管理
B. 通信管理
C. 行綜合變更控制流程
D. 目變更控制流程
查看答案
正確答案: C
問題 #211
以下哪個關鍵風險指標 (KRI) 對監控與自帶設備 (BYOD) 計劃相關的風險最爲有效?
A. BYOD 設備引發的事件數量
B. 分配給 BYOD 項目安全控制的預算
C. 入 BYOD 計劃的設備數量
D. 籤署 BYOD 可接受使用政策的用戶數量
查看答案
正確答案: A
問題 #212
風險研討會的與會者開始關注降低風險的財務成本,而不是選擇最合適的應對措施。以下哪項是長期解決此類問題的最佳方法?
A. 審查風險登記冊和風險情景
B. 計算風險情景的年化預期損失率
C. 提高組織風險管理的成熟度
D. 行投資回報分析
查看答案
正確答案: B
問題 #213
以下哪項不是風險治理的正確選項?
A. 險治理以合作、參與、緩解和可持續原則爲基礎,旨在實現更有效的風險管理。
B. 風險治理要求每年報告一次。
C. 風險治理旨在通過填補風險政策的空白來減少風險敞口和脆弱性。
D. 風險治理是與自然和技術風險相關的決策過程的系統方法。
查看答案
正確答案: B
問題 #214
爲實現風險管理的目標,應將風險降低到什麼程度?
A. 到 ALE 低於 SLE 的水平
B. 到 ARO 等於 SLE 的水平
C. 到組織可以接受的水平
D. 到組織可以緩解的程度
查看答案
正確答案: C
問題 #215
在以下哪種情況下,業務部門往往會在項目未能按時交付時將矛頭指向 IT 部門?
A. 項目中的威脅識別
B. 系統故障
C. 際風險偏好與轉化爲政策之間的偏差
D. 責文化的存在
查看答案
正確答案: D
問題 #216
爲確保所採取的風險應對措施具有成本效益並符合業務目標,應考慮以下哪些因素?請選擇三個。
A. 目管理計劃
B. 項目宣傳計劃
C. 與供應商的項目合同關係
D. 目範圍說明
查看答案
正確答案: ABD
問題 #217
以下哪些人員負責確定流程要求、批准流程設計和管理流程績效?
A. 務流程負責人
B. 風險所有人
C. 席財務官
D. 首席信息官
查看答案
正確答案: A
問題 #218
最近創建了幾個網絡用戶賬戶,但未獲得所需的管理審批。以下哪項是風險從業人員解決這種情況的最佳建議?
A. 調查不合規的根本原因。
B. 宣布安全漏洞並通知管理層
C. 制定違規事件應對程序。
D. 行全面的合規審查。
查看答案
正確答案: A
問題 #219
您是一個 HGT 項目的項目經理,該項目最近完成了最後的編譯過程。項目客戶已經籤署了項目完成書,您需要做一些行政收尾工作。在該項目中,有幾個大的風險可能會破壞項目,但您和您的項目團隊找到了一些新的方法來解決這些風險,而不會影響項目成本或項目完成日期。您應如何處理已確定的風險應對措施
A. 將答覆納入項目管理計劃。
B. 將風險應對措施納入風險管理計劃。
C. 風險應對措施納入組織的經驗教訓數據庫。
D. othing
查看答案
正確答案: C
問題 #220
以下哪項 BEST 可以幫助企業評估多個第三方供應商的控制環境?
A. 審查供應商在質量和流程交付方面的績效指標。
B. 審查供應商的內部風險評估,包括主要風險和控制措施。
C. 取高風險供應商的獨立控制報告。
D. 從第三方獲取供應商證明。
查看答案
正確答案: A
問題 #221
IT 風險評估可用於 BEST 管理層:
A. 衡量組織的成功。
B. 作爲決策參考。
C. 作爲成本效益分析的基礎。
D. 遵守法律法規。
查看答案
正確答案: B
問題 #222
最重要的是,風險實踐者要了解組織的流程,以便:
A. 行業務影響分析
B. 制定風險準則
C. 解控制設計
D. 確定潛在的風險源
查看答案
正確答案: D
問題 #223
您是 HWD 項目的項目經理。該項目需要安裝一些電氣設備。您和項目團隊決定聘請一名電工,因爲電氣工作可能太危險。您要採取哪種風險應對措施?
A. 避免
B. 轉移
C. 緩解
D. 接受
查看答案
正確答案: B
問題 #224
您是一個大型網絡項目的項目經理。在執行階段,客戶要求更改現有的項目計劃。您將立即採取什麼行動?
A. 更新風險登記冊
B. 出正式的變更請求。
C. 於項目處於執行階段,因此忽略該請求。
D. 拒絕變更請求。
查看答案
正確答案: B
問題 #225
一名員工違反組織政策,無意中將文件從辦公場所帶走,導致敏感數據丟失。以下哪項控制措施最有可能失效?
A. 背景調查
B. 意識培訓
C. 用戶訪問
D. 政策管理
查看答案
正確答案: B
問題 #226
爲應對勒索軟件的威脅,某組織開展了網絡安全意識活動。爲進一步降低勒索軟件攻擊的影響,風險從業人員的 BEST 建議是實施以下措施:
A. 爲靜態數據加密
B. 爲移動數據加密
C. 因素身份驗證
D. 續的數據備份控制
查看答案
正確答案: D
問題 #227
在 IT 風險方案審查會議上,業務主管會質疑爲什麼要讓他們負責 IT 相關的風險方案。他們認爲 IT 風險是技術性的,因此應由 IT 部門負責。以下哪項是風險從業人員解決這些問題的最佳方法?
A. 建議成立一個執行風險委員會來監督信息技術風險
B. 算 IT 風險發生時 IT 系統的停機時間
C. 業務風險的角度描述 IT 風險情景
D. 育業務主管了解 IT 風險概念
查看答案
正確答案: C
問題 #228
在決定採取控制措施以降低風險時,以下哪項是最重要的因素?
A. 與最佳做法的比較
B. 與業務流程的相關性
C. 合規要求
D. 成本效益分析
查看答案
正確答案: B
問題 #229
管理層注意到,在過去 10 年中,由於大多數用戶不刪除電子郵件,存儲成本成倍增加。BEST 可以在不犧牲安全性的情況下緩解這一問題,請問以下哪種方法?
A. 建立電子發現和數據丟失防護(DLP)
B. 接近存儲配額時發送通知
C. 施記錄保存工具和技術
D. 施自帶設備(BYOD)政策
查看答案
正確答案: B
問題 #230
您是貴公司 NGQQ 項目的項目經理。爲了幫助您向利益相關者傳達項目狀態,您將創建一份利益相關者登記冊。以下所有信息都應包含在利益相關者登記冊中,除了哪一項?
A. 利益攸關方管理戰略
B. 利益相關者的主要要求、期望和潛在影響的評估信息
C. 每個利益攸關方的身份信息
D. 利益相關者在項目中的作用分類
查看答案
正確答案: A
問題 #231
您正準備與項目團隊和幾位主題專家一起完成定量風險分析流程。您收集了必要的信息,包括項目成本管理計劃。爲什麼有必要將項目成本管理計劃納入定量風險分析流程的準備工作中?
A. 目成本管理計劃提供的控制,可能有助於確定預算定量分析的結構。
B. 目成本管理計劃可以幫助你確定允許的項目總成本。
C. 目的成本管理計劃爲如何因已確定的風險而改變成本提供了指導。
D. 目成本管理計劃不是定量風險分析過程的輸入。
查看答案
正確答案: A
問題 #232
您是 TechSoft 公司的項目經理。您正在與項目利益相關者一起對項目進行定性風險分析。您在項目中使用了定性風險分析流程的所有工具。以下哪項技術不是定性風險分析流程中的工具?
A. 風險緊急程度評估
B. 風險再評估
C. 風險數據質量評估
D. 風險分類
查看答案
正確答案: B
問題 #233
一名風險從業人員發現,用戶通過電子郵件發送敏感信息而不使用加密技術的趨勢日益明顯。以下哪種方法對降低與數據丟失相關的風險最爲有效?
A. 使用工具創建和分發違規報告
B. 止包含敏感數據的未加密外發電子郵件
C. 違反電子郵件規定的行爲實施漸進式懲戒程序
D. 提高對敏感數據加密要求的認識
查看答案
正確答案: B
問題 #234
一旦做出減輕風險的決定,以下哪項應該是風險負責人的首要關注點?
A. 確定監控措施有效性的程序
B. 向管理層確認控制措施降低了風險發生的可能性
C. 新風險登記冊,納入風險緩解計劃
D. 保控制設計將風險降低到可接受的水平
查看答案
正確答案: D
問題 #235
以下哪項 IT 關鍵風險指標(KRI)能爲管理層提供有關 IT 能力的最佳反饋?
A. 信息技術資源使用趨勢。
B. 增加可用資源。
C. 息技術維護成本的趨勢
D. 事件數量增加。
查看答案
正確答案: D
問題 #236
您在 Bluewell 公司擔任項目經理。您已接近項目執行的最後階段,正在進行最後的風險監控活動。對於您的項目檔案,以下哪一項是風險監控的產出?
A. 定性風險分析
B. 風險審計
C. 量化風險分析
D. 要求作出的修改
查看答案
正確答案: D
問題 #237
有效的風險管理應遵循以下哪些準則?每個正確答案代表一個完整的解決方案。請選擇三個。
A. 配置管理系統
B. 綜合變更控制
C. 改日誌
D. 範圍變更控制系統
查看答案
正確答案: BCD
問題 #238
審計和問責控制的職能是什麼?每個正確答案代表一個完整的解決方案。(選擇三個)。
A. 險水平高於風險承受能力
B. 險水平上升超過風險承受能力
C. 險水平等同於風險偏好
D. 險水平等同於風險承受能力
查看答案
正確答案: ACD
問題 #239
在做出風險決策時,誰的風險承受能力最重要?
A. 受到漏洞影響的客戶
B. 息安全經理
C. 露資產的業務流程所有者
D. 審計員、監管機構和標準組織
查看答案
正確答案: D
問題 #240
以下哪個決策樹分析節點代表決策樹的起點?
A. 決策節點
B. 結束節點
C. 件節點
D. 根節點
查看答案
正確答案: D
問題 #241
以下哪項最恰當地描述了風險的效用?
A. 險背後的融資動機
B. 險的潛在機會
C. 險的運作機制
D. 險對個人或羣體的有用性
查看答案
正確答案: D
問題 #242
在系統開發生命周期的項目啓動階段,有下列哪個角色載體啓動的項目信息?
A. RO
B. 助商
C. 業管理
D. IO
查看答案
正確答案: B
問題 #243
以下哪項是風險自主權的關鍵成果?
A. 通報與風險有關的信息
B. 風險責任得到處理
C. 確定以風險爲導向的任務
D. 析業務流程風險
查看答案
正確答案: B
問題 #244
以下哪項能最好地確保已確定的風險情景得到處理?
A. 對威脅進行實時監控
B. 爲主要業務單位建立單獨的風險登記冊
C. 期進行風險控制自我評估
D. 審查風險應對措施的執行情況
查看答案
正確答案: D
問題 #245
以下哪些是 COSO 機構風險管理框架的風險組成部分?每個正確答案代表一個完整的解決方案。選擇三個。
A. 風險應對措施清單
B. 風險排序矩陣
C. 列出優先風險
D. 定性分析結果
查看答案
正確答案: ABD
問題 #246
對風險評估的同行評審發現,相關的威脅羣體未被包括在內。降低風險需要對軟件應用程序進行重大修改。以下哪項是最佳行動方案?
A. 要求企業提出預算申請,以解決問題。
B. 研究威脅可能帶來的攻擊類型。
C. 確定失蹤威脅的影響。
D. 立一個業務案例來補救修復。
查看答案
正確答案: C
問題 #247
以下哪種自帶設備(BYOD)服務交付方式能最好地防止數據丟失?
A. 透測試和會話超時
B. 實施遠程監控
C. 強化密碼和數據加密
D. 用數據擦除功能
查看答案
正確答案: B
問題 #248
關於企業風險管理能力成熟度 3 級,以下哪些說法是正確的?
A. 概率
B. 威脅
C. 漏洞
D. 影響
查看答案
正確答案: ABD
問題 #249
以下哪項業務風險可確保提供的優質產品不會被該產品的生產成本所掩蓋?
A. 信息安全風險
B. 合同和產品責任風險
C. 目活動風險
D. 盈利運營風險
查看答案
正確答案: D
問題 #250
斯蒂芬是 GBB 項目的項目經理。他與兩位主題專家及其項目團隊合作完成了風險評估技術。大約有 47 個風險發生的概率較低,對項目的影響也較小。以下哪個答案最能說明 Stephen 應該如何處理這些風險事件?
A.
B. 概率和低影響風險應列入觀察清單,以便今後監測。
C. 爲概率低、影響小,所以可以不考慮這些風險。
D. 低概率和低影響風險應列入風險登記冊。
查看答案
正確答案: B
問題 #251
以下哪項是關鍵風險指標(KRI)最重要的優點?
A. 協助不斷優化風險治理
B. 爲採取積極行動提供預警
C. 促進趨勢的記錄和分析
D. 保符合監管要求
查看答案
正確答案: A
問題 #252
以下哪項是衡量組織安全事件處理流程成熟度的最佳關鍵績效指標(KPI)?
A. 已解決的安全事件數量
B. 上報高級管理層的安全事件數量
C. 發現的安全事件數量
D. 複發生的安全事件數量
查看答案
正確答案: D
問題 #253
以下哪項不是用于衡量項目的關鍵成功因素?
A. 生產率
B. 量
C. 數量
D. 客戶服務
查看答案
正確答案: C
問題 #254
誰是新識別的 IT 風險的最合適負責人?
A. 責支持風險緩解工作的 IT 運營的管理人員
B. 有最多 IT 風險相關主題知識的個人
C. 權投入組織資源以降低風險的個人
D. 夠確定風險補救工作優先次序的項目經理
查看答案
正確答案: B
問題 #255
您是一名經驗豐富的項目經理,受委託開發一臺生產汽車零部件的機器。您已經安排了與項目團隊和主要利益相關者的會議,以確定項目的風險。以下哪項是這一過程的關鍵產出?
A. 風險登記冊
B. 風險管理計劃
C. 風險分解結構
D. 風險類別
查看答案
正確答案: A
問題 #256
某企業在一個項目中發現了風險事件。在應對這些已識別的風險事件時,以下哪個利益相關者對審查 IT 風險的風險應對方案最爲重要?
A. 信息安全管理人員
B. 內部審計員
C. 件應對小組成員
D. 業務經理
查看答案
正確答案: D
問題 #257
以下哪項對風險工作者確保已降低的風險保持在可接受範圍內最有幫助?
A. 實施持續監控控制有效性的程序。
B. 爲風險負責人設計一個定期審查已識別風險的程序。
C. 確保風險所有者參與定期控制測試程序。
D. 更新風險登記冊後,建立組織風險概況。
查看答案
正確答案: A
問題 #258
以下哪個定義描述得最好?"它們是風險情景可能性和影響的重要影響因素,在每次風險分析中評估可能性和影響時都應將其考慮在內"。
A. 隱性風險
B. 風險因素
C. 風險分析
D. 風險事件
查看答案
正確答案: B
問題 #259
以下哪些屬於管理類控制?每個正確答案代表一個完整的解決方案。(選擇兩個)。
A. 接受
B. 規避
C. 利用
D. 加強
查看答案
正確答案: AC
問題 #260
在完成風險評估後及時更新風險登記冊,對組織的好處最大的是以下哪項?
A. 改善高級管理層的溝通
B. 增強風險管理意識
C. 化風險處理決定
D. 強風險專業人員之間的合作
查看答案
正確答案: B
問題 #261
某組織實施了一項預防性控制措施,在三次嘗試登錄失敗後鎖定用戶賬戶。這種做法已被證明是無效的,因此建議更改控制閾值。應由誰授權更改該閾值?
A. 控制權所有人
B. IT 安全經理
C. 險所有人
D. IT 系統所有者
查看答案
正確答案: A
問題 #262
以下哪種方法可以考察組織的優勢在多大程度上抵消了可能有助於克服劣勢的威脅和機遇?
A. SWOT 分析
B. 德爾菲
C. 集思廣益
D. 專家判斷
查看答案
正確答案: A
問題 #263
下列哪些 IS 流程提供間接信息?每個正確答案代表一個完整的解決方案。請選擇三個。
A. 250,000 美元的損失
B. 損失 500,000 美元
C. 損失 100 萬美元
D. 損失 100,000 美元
查看答案
正確答案: ABC
問題 #264
降低與項目範圍攀升有關的風險的最佳控制方法是:
A. 定期與高級管理層磋商
B. 用變更管理程序
C. 保用戶廣泛參與
D. 軟件開發中部署 CASE 工具
查看答案
正確答案: A
問題 #265
以下哪項 BEST 有助於最大限度地降低與社交工程威脅相關的風險?
A. 審查組織的風險偏好
B. 執行對員工的制裁
C. 行職責分離
D. 行網絡釣魚演習
查看答案
正確答案: D
問題 #266
一家值得信賴的第三方服務提供商認爲,客戶系統被黑客攻擊的風險很低。客戶最好採取以下哪種行動?
A. 對第三方進行獨立審計。
B. 據第三方的風險評估接受風險。
C. 行自己的風險評估
D. 施額外的控制措施來應對風險。
查看答案
正確答案: A
問題 #267
一家全球性企業計劃通過社交媒體廣告收集客戶行爲數據。以下哪項是需要考慮的最重要的業務風險?
A. 個國家的監管要求可能不同。
B. 業廣告需要按國家定製。
C. 據分析可能無法有效實現目標。
D. 數據取樣可能會受到各種行業限制的影響。
查看答案
正確答案: A
問題 #268
在以下哪種風險管理能力成熟度級別中,風險偏好和容忍度僅在偶發性風險評估中適用?
A. 級
B. 二級
C. 4 級
D. 1 級
查看答案
正確答案: D
問題 #269
在聘用前對新員工候選人進行背景調查屬於哪種類型的控制?
A. 償
B. 預防
C. 探
D. 糾正
查看答案
正確答案: B
問題 #270
誰應負責監督控制環境以確保控制有效?
A. 風險所有人
B. 安全監控行動
C. 受影響的數據所有者
D. 系統所有者
查看答案
正確答案: B
問題 #271
對於成本績效指數(CPI),以下哪項是正確的?
A. 果 CPI > 1,表明項目績效好於預期
B. PI = 掙值 (EV) * 實際成本 (AC)
C. 于衡量進度表的執行情況
D. 果 CPI = 1,表明項目績效不佳
查看答案
正確答案: A
問題 #272
以下哪項是衡量身份和訪問管理流程效率最有用的指標?
A. 供用戶賬戶的平均時間
B. 每月密碼重置量
C. 新賬戶撥備的刻度線數量
D. 均賬戶鎖定時間
查看答案
正確答案: A
問題 #273
以下哪項屬於行政控制?
A. 水探測
B. 合理性檢查
C. 據丟失預防計劃
D. 會話超時
查看答案
正確答案: C
問題 #274
一名風險執行人員發現測試環境中正在使用生產數據。以下哪項應該是該從業人員的首要關注點?
A. 測試環境的安全性。
B. 測試數據的可讀性
C. 據的敏感性
D. 向經授權的工作人員提供數據。
查看答案
正確答案: C
問題 #275
以下哪項信息技術控制措施最有助於降低與不準確數據相關的風險?
A. 更新和刪除的審計跟蹤
B. 加密存儲數據
C. 源數據鏈接
D. 檢查數據記錄和數據字段的總數
查看答案
正確答案: A
問題 #276
在一個關鍵流程中發現了 IT 控制漏洞。誰是與該漏洞相關風險的最合適負責人?
A. 務流程負責人
B. 席信息安全官
C. 業務風險經理
D. 密鑰控制所有者
查看答案
正確答案: A
問題 #277
以下哪項是確保準確維護風險登記冊的最重要方面?
A. 在知識管理平臺上發布風險登記冊,該平臺具有工作流程功能,可定期聯繫和調查風險評估員,以確保內容的準確性
B. 審計人員進行定期審計並維護風險登記冊
C. 向業務流程所有者提交風險登記冊,供其審查和更新
D. 監測主要風險指標,並將監測結果記錄在風險登記冊中
查看答案
正確答案: A
問題 #278
某組織聘請第三方提供互聯網網關加密服務,以保護上傳到雲服務的敏感數據。這是一個風險示例:
A. 轉讓
B. 受
C. 緩解
D. 迴避
查看答案
正確答案: A
問題 #279
以下哪項是 KRI 最重要的用途?
A. 供已發生風險事件的後視視圖
B. 提供預警信號
C. 明企業的風險偏好和容忍度
D. 助於記錄和分析趨勢
查看答案
正確答案: B
問題 #280
在確定適當的風險評估方法時,以下哪項最重要?
A. 威脅和脆弱性
B. 信息資產的價值
C. 息技術基礎設施的複雜性
D. 管理文化
查看答案
正確答案: B
問題 #281
以下哪項可用於爲風險分配貨幣價值?
A. 預期年損失率 (ALE)
B. 業務影響分析
C. 成本效益分析
D. 有的脆弱性
查看答案
正確答案: A
問題 #282
您是 GHT 項目的項目經理。您的項目團隊正在識別當前項目的項目風險。團隊可以選擇使用以下所有工具和技術來圖解其中的一些潛在風險,除了哪一項?
A. 流程圖
B. 石川圖
C. 響圖
D. 決策樹圖
查看答案
正確答案: D
問題 #283
以下哪項是確保外包服務提供商遵守企業信息安全政策的最佳方法?
A. 滲透測試
B. 服務水平監測
C. 安全意識培訓
D. 定期審計
查看答案
正確答案: D
問題 #284
您是 GHT 項目的項目經理。您實施了一個自動工具,用於根據嚴重程度分析和報告訪問控制日誌。該工具生成的結果量過大。您進行了風險評估,決定將監控工具配置爲僅在警報被標記爲 "嚴重 "時進行報告。爲此,您應該做些什麼?
A. 採取風險應對措施
B. 優化關鍵風險指標
C. 更新風險登記冊
D. 行定量風險分析
查看答案
正確答案: B
問題 #285
以下哪項是證明組織變革管理流程有效性的最佳指標?
A. 完成更改的平均時間
B. 急變動次數增加
C. 未經授權的更改百分比
D. 變化頻率增加
查看答案
正確答案: A
問題 #286
以下哪種風險情景會對企業造成內部或外部威脅?
A. 時間維度
B. 活動
C. 資產
D. 演員
查看答案
正確答案: D
問題 #287
在下列哪個風險管理能力成熟度級別中,企業在做出重大業務決策時會考慮損失概率和回報概率?每個正確答案代表一個完整的解決方案。選擇兩個。
A. 讓項目團隊對風險和相關風險責任有一種主人翁意識。
B. 以便項目經理確定項目風險的風險負責人和所需的風險應對措施。
C. 樣,項目經理就不是識別項目風險事件的唯一人選。
D. 樣,項目團隊和項目經理就可以共同分配風險所有權。
查看答案
正確答案: CD
問題 #288
以下哪項是組織有效三道防線模式中最重要的基礎要素?
A. 完善的風險管理委員會
B. 一套強大的風險匯總工具
C. 據可查、相互溝通的升級程序
D. 確界定角色和職責
查看答案
正確答案: D
問題 #289
David 是 HRC 項目的項目經理。他發現項目中存在一個風險,可能會導致項目延期。大衛不希望發生這種風險事件,因此他採取了一些措施來確保風險事件不會發生。然而,這些額外的步驟卻使項目多花費了 1 萬美元。戴維採取了哪種風險應對措施?
A. 避免
B. 緩解
C. 接受
D. 讓
查看答案
正確答案: B
問題 #290
以下哪項是風險應對程序的觸發因素?
A.
B. nfinity
C. 0
D.
查看答案
正確答案: B
問題 #291
在項目中何時開展 "識別風險 "流程?
A. 規劃階段。
B. 執行階段
C. 啓動階段
D. 個項目周期。
查看答案
正確答案: D
問題 #292
您正在與項目團隊一起完成定性風險分析流程,並依靠風險管理計劃幫助您確定預算、風險管理時間表和風險類別。您發現風險類別尚未創建。應在何時創建風險類別?
A. 界定範圍流程
B. 風險識別過程
C. 計劃風險管理過程
D. 建工作分解結構流程
查看答案
正確答案: C
問題 #293
珍妮是 NBT 項目的項目經理。她正與項目團隊和幾位主題專家一起執行定量風險分析流程。在這一過程中,她和項目團隊發現了一些以前沒有發現的風險事件。珍妮應該如何處理這些風險事件?
A. 將事件輸入定性風險分析。
B. 確定是否需要接受或回應這些事件。
C. 這些事件應列入風險登記冊。
D. 動應繼續進行定量風險分析。
查看答案
正確答案: C
問題 #294
在採取控制措施之前,與資產相關的風險可表示爲
A. 某種威脅的可能性。
B. 響的程度。
C. 可能性和影響的函數。
D. 控制成本和效果的函數。
查看答案
正確答案: C
問題 #295
您是 GHT 項目的項目經理。該項目將持續 18 個月,項目預算爲 567,000 美元。您的利益相關者之一羅伯特提出了一項範圍變更請求,可能會對項目成本和進度產生影響。羅伯特向你保證,他會支付與風險事件相關的額外時間和費用。您發現,除了時間和成本之外,變更請求還可能影響項目的其他方面。項目管理的哪個部分需要
A. 置管理
B. 綜合變更控制
C. 風險分析
D. 目變更控制系統
查看答案
正確答案: B
問題 #296
業務運營部門的負責人要求審查整個 IT 風險登記冊。在共享註冊表之前,風險經理最好採用以下哪種方法來處理這一要求?
A. 確定請求的目的。
B. 求籤訂保密協議。
C. 登記簿的部分內容進行消毒。
D. 報高級管理層
查看答案
正確答案: A
問題 #297
當發現新的風險情景時,應首先採取以下哪種措施?
A. 評估風險意識計劃
B. 估風險培訓計劃
C. 定風險負責人
D. 估計殘餘風險
查看答案
正確答案: A
問題 #298
您是 Bluewell 公司的風險專業人員。發現了一個風險,企業希望通過應用偏離公司政策的技術解決方案快速實施控制。您應該怎麼做?
A. 議不要實施,因爲這違反了公司的政策
B. 建議修訂現行政策
C. 議進行風險評估,只有在接受殘餘風險的情況下才實施風險評估
D. 行風險評估,並根據評估結果決定允許還是不允許
查看答案
正確答案: C
問題 #299
最近更新了變更管理流程,增加了新的測試程序。下一步行動方案是:
A. 測試和促進變革的人員傳達信息
B. 估變革管理流程的成熟度
C. 行成本效益分析,以證明控制成本的合理性
D. 監控流程,確保最近的更新得到遵循
查看答案
正確答案: A
問題 #300
以下哪項是驗證控制措施是否已按照風險緩解行動計劃實施的最佳方法?
A. 實施關鍵風險指標(KRIs)
B. 測試控制設計
C. 試控制環境
D. 實施關鍵績效指標(KPI)
查看答案
正確答案: A
問題 #301
在建立 IT 風險管理流程時,應首先開展以下哪些活動?
A. 根據業務性質進行高級風險評估。
B. 收集以往事件和經驗教訓的數據。
C. 定組織的風險偏好。
D. 評估組織的目標和文化。
查看答案
正確答案: D
問題 #302
您是 BlueWell 公司的項目經理。您當前的項目是貴組織內的一個高優先級和高關注度項目。您希望確定項目利益相關者中對項目最感興趣的人。這將有助於您規劃項目風險、利益相關者管理以及與項目中主要利益相關者的持續溝通。在利益相關者分析過程中,您應該根據這些條件創建哪種類型的網格或模型?
A. 利益相關者的權力/利益網格
B. 利益攸關方登記冊
C. 影響/衝擊網格
D. 燽模式
查看答案
正確答案: A
問題 #303
團隊合作協議是哪種風險應對方式的範例?
A. 接受
B. 緩解
C. 轉讓
D. 分享
查看答案
正確答案: D
問題 #304
某組織正在對靜態數據實施加密,以降低與未經授權的訪問相關的風險。在評估殘餘風險時,必須考慮以下哪些因素?
A. 數據銷毀要求
B. 雲存儲架構
C. 數據保留要求
D. 密鑰管理
查看答案
正確答案: D
問題 #305
風險分析的結果應以定量還是定性的方式呈現,主要應基於以下幾點:
A. 在使用的特定風險分析框架。
B. 風險評估結果。
C. 管理要求。
D. 組織風險容忍度。
查看答案
正確答案: A
問題 #306
以下哪項是測試業務連續性計劃最經濟有效的方法?
A. 開展桌面演練
B. 與主要利益攸關方進行訪談
C. 行災難恢復演習
D. 行全面的功能鍛煉
查看答案
正確答案: A
問題 #307
您是 Bluewell 公司的風險官員。有一些風險正在對您的企業構成威脅。您正在衡量這些風險因素的暴露程度,其中潛力最大的是在所有其他不確定因素都保持基線值的情況下,每個因素的不確定性對所考慮對象的影響程度。您正在進行哪種類型的分析?
A. 敏感性分析
B. 故障樹分析
C. 果分析
D. 景分析
查看答案
正確答案: A
問題 #308
在編寫供高級管理層定期審查的風險狀況報告時,最重要的是確保報告包括以下內容
A. 獨立風險評估員的建議
B. 影響本組織的事件概述
C. 人風險暴露的詳細情況
D. 業方面的風險敞口
查看答案
正確答案: C
問題 #309
一份內部審計報告顯示,並非所有 IT 應用程序數據庫都已加密。以下哪些信息對評估風險影響最爲重要?
A. 些數據庫未加密的原因。
B. 包含敏感數據的未加密數據庫列表。
C. 行加密所需的成本。
D. 訪問敏感數據的用戶數量。
查看答案
正確答案: A
問題 #310
以下哪項是處理項目正面風險的可接受方法?
A. 風險識別
B. 風險觸發器
C. 險事件
D. 風險應對
查看答案
正確答案: A
問題 #311
以下哪項是風險工作者使用與風險管理有關的全球標準的主要原因?
A. 不斷改進風險管理流程
B. 建立具有風險意識的組織文化
C. 遵守法律法規要求
D. 找出風險管理實踐中的差距
查看答案
正確答案: A
問題 #312
以下哪項是評估控制有效性的最佳方法?
A. 特別報告
B. 預測分析
C. 續監測
D. 制自我評估
查看答案
正確答案: B
問題 #313
新聘用的風險工作者發現風險登記冊在過去一年中沒有更新。風險工作者的最佳行動方案是什麼?
A. 實施流程改進,替換舊的風險登記冊
B. 將更新風險登記冊的工作外包
C. 定風險因素的變化並啓動風險審查
D. 請外部顧問重新設計風險管理程序
查看答案
正確答案: C
問題 #314
一個組織引入風險自主權,是爲了爲每個流程建立明確的問責制。爲確保有效的風險自主權,最重要的是:
A. 險所有者擁有決策權。
B. 級管理層對流程進行監督。
C. 險和流程負責人之間存在職責分工。
D. 程所有權與 IT 系統所有權相一致。
查看答案
正確答案: C
問題 #315
以下哪項是將信息技術風險情景納入企業風險登記冊的最大好處?
A. 制定公司事件升級協議
B. 大整個組織的控制預算
C. 將風險納入組織的風險狀況
D. 險偏好逐級傳遞到業務單位管理層
查看答案
正確答案: A
問題 #316
惡意軟件最近影響了一個組織。要解決這種情況並制定全面的風險處理計劃,最有效的方法就是執行以下措施:
A. 脆弱性評估。
B. 根本原因分析。
C. 影響評估。
D. 差距分析。
查看答案
正確答案: B
問題 #317
在定義控制關鍵績效指標 (KPI) 的閾值時,對齊最有幫助:
A. 關鍵風險指標(KRI)與企業的風險偏好
B. 控制關鍵績效指標(KPI)與審計結果
C. 據企業主的風險承受能力控制績效
D. 息風險評估與企業風險評估
查看答案
正確答案: B
問題 #318
Mike 是所在組織 NNP 項目的項目經理。他正與項目團隊一起規劃 NNP 項目的風險應對措施。Mike 希望項目團隊共同制定項目的風險閾值。設立風險閾值的目的是什麼?
A. 是一項關於組織風險承受能力的研究。
B. 是風險事件即將發生的警告信號。
C. 是可分配給風險事件的資金限額。
D. 有助於確定需要採取具體應對措施的風險。
查看答案
正確答案: D
問題 #319
以下哪些是威脅的子類別?每個正確答案都代表一個完整的解決方案。請選擇三個。
A. 制定基準
B. 成本效益分析
C. 合質量標準的成本
D. 團隊發展
查看答案
正確答案: CDE
問題 #320
與雲服務提供商相關的合同必須包括
A. 業務恢復計劃
B. 責任歸屬
C. 代碼託管條款
D. 供者的財務報表
查看答案
正確答案: B
問題 #321
您是企業的項目經理。您發現了一些風險,這些風險可能會導致項目失敗,威脅到企業某些目標的實現。這種風險存在於以下哪個級別?
A. 中等風險
B. 高風險
C. 風險極高
D. 低風險
查看答案
正確答案: A
問題 #322
湯姆是 BlueWell 公司的項目經理。他正在確定哪些風險會影響項目。識別風險流程的以下哪項輸入有助於識別風險,並對完成計劃活動的可能成本進行量化評估?
A. 活動持續時間估算
B. 風險管理計劃
C. 成本管理計劃
D. 活動費用估算
查看答案
正確答案: D
問題 #323
您和您的項目團隊正在識別項目中可能存在的風險。有些風險很小,即使發生也不會對項目造成太大影響。您應該如何處理這些已識別的風險事件?
A. 些風險可以排除。
B. 可以接受這些風險
C. 可將這些風險列入低優先級風險觀察清單。
D. 有風險都必須有有效的、記錄在案的風險應對措施。
查看答案
正確答案: C
問題 #324
以下哪項對制定關鍵風險指標閾值最有幫助?
A. 預期損失信息
B. 信息技術服務水平協議
C. 控制性能結果
D. 救活動的進展
查看答案
正確答案: A
問題 #325
在面向全體員工的風險意識培訓計劃中,以下哪項是最重要的主題?
A. 險部門的作用和職責。
B. 政策合規要求和例外程序。
C. 織的信息安全風險概況。
D. 內部和外部信息安全事件。
查看答案
正確答案: B
問題 #326
以下哪項最能提供有關組織整體 IT 控制環境有效性的最新信息?
A. 定期滲透測試。
B. 關鍵績效指標(KPI)。
C. 內部審計結果。
D. 風險熱圖。
查看答案
正確答案: D
問題 #327
在組織內部使用公共解決方案實施即時通訊之前,應採取以下哪些措施來降低數據泄漏風險?
A. 問控制列表
B. 可接受的使用政策
C. 侵檢測系統(IDS)
D. 數據提取工具
查看答案
正確答案: B

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.