以下关于风险评估的说法,正确的是( )。
A、风险评估一般包括风险识别、风险分析和风险评价三个环节
B、风险评估的主要目的之一是全面了解企业整体的风险现状,评估目前的风险水平和风险管理水平
C、风险评估的方法和工具包括问卷调查、专家咨询、情景分析、决策树分析、风险坐标图、计算机模拟等
D、风险评估的成果包括风险事件库、风险图谱、重大风险以及风险评估报告等
E、风险评估要求企业全面、全方位的评估面临的所有风险,以及对业务的所有威胁
以下哪一项不属于常见的风险评估与管理工具()
A、基于信息安全标准的风险评估与管理工具
B、基于知识的风险评估与管理工具
C、基于模型的风险评估与管理工具
D、基于经验的风险评估与管理工具
规范的实施流程和文档管理,是信息安全风险评估能否取得成果的重要基础,某单位在实施风险评估时,按照规范形成了若干文档,其中,下面()中的文档应属于风险评估中“风险要素识别”阶段输出的文档。
A、《风险评估方案》,主要包括本次风险评估的目的、范围、目标、评估步骤、经费预算和进度安排等内容
B、《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容
C、《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、资产分类标准等内容
D、《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容
某单位在实施信息安全风险评估后,形成了若干文档,下面()中的文档不应属于风险评估中“风险评估准备”阶段输出的文档。
A、《风险评估工作计划》,主要包括本次风险评估的目的、意义、范图、目标、组织结构、角色及职责、经费预算
B、《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容和进度安排等内容
C、《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容
D、《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、资产分类标准、资产分类准则等内容