2025年信息系统安全专家信息安全风险评估方法专题试卷及解析.pdfVIP

2025年信息系统安全专家信息安全风险评估方法专题试卷及解析1

2025年信息系统安全专家信息安全风险评估方法专题试卷

及解析

2025年信息系统安全专家信息安全风险评估方法专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在信息安全风险评估中，以下哪项属于资产识别阶段的主要任务？

A、分析威胁发生的可能性

B、确定资产的价值和重要性

C、评估现有安全控制措施的有效性

D、计算风险值

【答案】B

【解析】正确答案是B。资产识别阶段的核心任务是全面识别组织内的信息资产，并

评估其价值（包括财务价值、业务价值、法律合规价值等），为后续风险分析奠定基础。

A选项属于威胁分析阶段，C选项属于脆弱性评估阶段，D选项属于风险计算阶段。知

识点：风险评估流程。易错点：容易混淆资产识别与脆弱性评估的界限。

2、以下哪种风险评估方法侧重于通过历史数据和统计模型来量化风险？

A、定性风险评估

B、定量风险评估

C、半定量风险评估

D、基线风险评估

【答案】B

【解析】正确答案是B。定量风险评估使用数值化指标（如ALE、SLE等）和统计

模型来精确计算风险值，适合数据充分的场景。A选项依赖专家经验而非数据，C选项

结合定性与定量但非完全统计模型，D选项仅对照标准基线。知识点：风险评估方法分

类。易错点：误将半定量方法等同于完全定量方法。

3、在威胁建模中，STRIDE模型中的”T”代表什么？

A、欺骗（Spoofing）

B、篡改（Tampering）

C、威胁（Threat）

D、追踪（Tracking）

【答案】C

【解析】正确答案是C。STRIDE是微软提出的威胁分类模型，分别代表欺骗、篡

改、抵赖、信息泄露、拒绝服务、权限提升，其中”T”指威胁（Threat）本身。A、B、D

均为STRIDE中的具体威胁类型。知识点：威胁建模方法。易错点：容易混淆STRIDE

字母与具体威胁类型的对应关系。

2025年信息系统安全专家信息安全风险评估方法专题试卷及解析2

4、以下哪项不属于风险评估中脆弱性识别的常用方法？

A、安全扫描工具检测

B、渗透测试

C、员工安全意识培训

D、安全配置审计

【答案】C

【解析】正确答案是C。脆弱性识别需要通过技术手段（如A、B、D选项）发现系

统弱点，而员工培训是风险处置措施而非识别方法。知识点：脆弱性识别技术。易错点：

可能误将培训与识别关联，因培训能间接减少人为脆弱性。

5、在风险处置策略中，接受风险通常适用于哪种情况？

A、风险值远超可接受水平

B、处置成本远高于潜在损失

C、存在有效的技术控制措施

D、法律法规明确要求规避

【答案】B

【解析】正确答案是B。风险接受是当处置成本过高或风险极低时的理性选择，A、

D选项需规避或转移，C选项应优先实施控制。知识点：风险处置策略。易错点：混淆”

接受”与”忽视”风险的区别。

6、以下哪项是定性风险评估的主要优势？

A、结果精确可量化

B、适合数据稀缺场景

C、支持复杂统计计算

D、便于跨组织风险对比

【答案】B

【解析】正确答案是B。定性方法依赖专家判断，无需大量数据，适合早期或资源

有限场景。A、C、D均为定量方法的优势。知识点：定性评估特点。易错点：可能误

认为定性方法结果更”直观”而忽略其数据依赖性低的本质优势。

7、在风险评估中，“单点故障”属于哪种类型的脆弱性？

A、技术脆弱性

B、管理脆弱性

C、物理脆弱性

D、人员脆弱性

【答案】A

【解析】正确答案是A。单点故障指系统架构中的技术设计缺陷，属于技术脆弱性。

B选项涉及流程或制度缺陷，C选项涉及物理环境，D选项涉及人为因素。知识点：脆

2025年信息系统安全专家信息安全风险评估方法专题试卷及解析