A.信息安全风险评估分自评估、检查评估两形式。应以检查评估为主，自评估和检查评估相互结合、互为补充
B.信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效”的原则开展
C.信息安全风险评估应贯穿于网络和信息系统建设运行的全过程
D.开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导

A.组织信息系统安全架构
B.信息安全工作的基本原则
C.组织信息安全技术参数
D.组织信息安全实施手段

A.资产识别的粒度随着评估范围、评估目的的不同而不同，既可以是硬件设备，也可以是业务系统，也可以是组织机构
B.应针对构成信息系统的每个资产做风险评价
C.脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项
D.信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁

A.风险管理在系统开发之初就应该予以充分考虑，并要贯穿于整个系统开发过程之中
B.风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作
C.由于在系统投入使用后部署和应用风险控制措施针对性会更强，实施成本会相对较低
D.在系统正式运行后，应注重残余风险的管理，以提高快速反应能力

A.立足国情，以我为主，坚持技术与管理并重
B.正确处理安全和发展的关系，以安全保发展，在发展中求安全
C.统筹规划，突出重点，强化基础工作
D.全面提高信息安全防护能力，保护公众利益，维护国家安全

A.是多余的，因为它们完成了同样的功能，但要求更多的开销
B.是必须的，可以为预防控制的功效提供检测
C.是可选的，可以实现深度防御
D.在一个人工系统中是需要的，但在一个计算机系统中则是不需要的，因为预防控制的功能已经足够

A.信息安全事件，是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件
B.对信息安全事件进行有效管理和响应，最小化事件所造成的损失和负面影响，是组织信息安全战略的一部分
C.应急响应是信息安全事件管理的重要内容
D.通过部署信息安全策略并配合部署防护措施，能够对信息及信息系统提供保护，杜绝信息安全事件的发生

A.严重违反保密规定行为只要发生，无论是否产生泄密实际后果，都要依法追究责任
B.非法获取国家秘密，不会构成刑事犯罪，不需承担刑事责任
C.过失泄露国家秘密，不会构成刑事犯罪，不需承担刑事责任
D.承担了刑事责任，无需再承担行政责任和／或其他处分

A.适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益
B.适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害
C.适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害
D.适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。其受到破坏后，会对国家安全、社会秩序，经济建设和公共利益造成特别严重损害

A.过程质量管理
B.成本效益管理
C.跟踪系统自身或所处环境的变化
D.协调内外部组织机构风险管理活动