百科题库网 分享最新题库资源与答题解析

信息安全风险管理应该()。

A.将所有的信息安全风险都消除
B.在风险评估之前实施
C.基于可接受的成本采取相应的方法和措施
D.以上说法都不对
所属分类: 信息技术/IT (免费栏目) 浏览量: 243 次

在信息安全领域,风险就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性,既然是可能,风险事件可能发生也可能不发生。如果事件确定发生,该事件就不属于风险,因为它是可以规划的已知问题。对于风险事件,我们不能简单对待,而要通过风险管理过程去识别、评估并解决这些可能发生的问题。
简单来说,风险管理就是识别风险、评估风险、采取措施将风险减少到可接受水平,并维持这个风险水平的过程。信息安全管理的核心内容就是风险管理,因此,我们往往会以风险管理来概述信息安全管理,在以风险为驱动的模式中,这种说法是成立的。
企业面对存在风险的现实环境,首先要考虑保护什么,通过资产识别与评价来找到对自己业务生存最为关键的东西;接下来,企业要通过多种途径来识别风险,并评估风险可能给企业带来负面影响的严重程度;在此基础上,企业度量现实状况与目标之间的差距,确定风险处理的策略,并通过安全措施的选择和实施来弥合这些差距。需要注意的是,风险管理首要的目标是保护组织及其履行正常使命的能力,而不仅仅是信息资产,所以,认为风险管理过程只是操作及管理IT系统的专家所应承担的技术职能,这种认识是错误的,风险管理实际上应该是组织最基本的管理职能的一部分。

以上为百科题库网整理的关于"信息安全风险管理应该()。"试题答案及解析,如想学习更多信息技术/IT类竞赛题,欢迎访问www.baiketk.com查看搜索更多相关信息。

转载请注明:百科题库网https://www.baiketk.com/q_t5f3b406607601.html

栏目最热

相关题目推荐