As his company’s CISO, George needs to demonstrate to the Board of Directors the necessity of a strong risk management program.

admin2013-12-19 88

问题 As his company’s CISO, George needs to demonstrate to the Board of Directors the necessity of a strong risk management program. Which of the following should George use to calculate the company’s residual risk?

选项 A、threats × vulnerability × asset value = residual risk
B、SLE × frequency = ALE, which is equal to residual risk
C、(threats × asset value × vulnerability) x control gap = residual risk
D、(total risk - asset value) × countermeasures = residual risk

答案C

解析 C正确。实施防护措施是为了把总风险降到一个可接受的程度。然而，没有任何系统或环境是100％安全的，不管采取哪种对策，总是会有一些风险存在。在实施防护措施之后继续存在的风险叫做剩余风险(residual risk)。剩余风险不同于总风险，总风险指的是公司选择不采取任何防护措施的情况下所面临的风险。总风险的计算公式是：威胁×脆弱性×资产价值=总风险。剩余风险的计算公式为：(威胁×脆弱性×资产价值)×控制差距=剩余风险。控制差距指的是控制所不能提供的保护的数量。
A不正确。因为威胁×脆弱性×资产价值不等于剩余风险，这是计算总风险的公式。总风险是公司在没有采取任何防护措施或行动以降低整体风险的情况下所面临的风险。总风险可以通过实施安全保障措施或实施对策来减少，使得公司仅面临剩余风险——即安全措施实施之后剩下的风险。
B不正确。因为单一损失期望(single loss expectancy，SLE)×频率(frequency)是计算年度损失期望(Annualized Loss Expectancy，ALE)的公式，它可以用来衡量利用脆弱性的威胁和对业务造成的影响。频率是指威胁的年发生率(Annual Rate of Occurrence，ARO)。ALE不等于剩余风险。ALE指出了在过去的一年里，某种特定类型的威胁对公司可能造成的损失。了解某个威胁真正发生的概率和该威胁造成的损失折合多少钱对确定应该花费多少钱来试图抵制这个威胁非常重要。
D不正确，而且是一个干扰选项。风险评估中并没有这样的公式。真正的公式为：威胁×脆弱性×资产价值=总风险：(威胁×脆弱性×资产价值)×控制差距=剩余风险。

转载请注明原文地址:https://www.kaotiyun.com/show/VNhZ777K

CISSP认证

相关试题推荐

随机试题

最新回复(0)

As his company’s CISO, George needs to demonstrate to the Board of Directors the necessity of a strong risk management program.

CISSP认证

AllSumeriancitiesrecognizedanumberofgodsincommon,includingtheskygod,thelordofstorms,andthemorningandevenin

Individualsandbusinesseshavelegalprotectionforintellectualpropertytheycreateandown.Intellectualproper【C1】______fro

Thetranslatormusthaveanexcellent,up-to-dateknowledgeofhis【C1】______languages,fullfacilityinthehandlingofhistarg

Iftheworld’seducationsystemshaveacommonfocus,itistoturnoutschool-leaverswhoareproficientinmaths.Governments

AUniversityofNebraskaprofessorhasdevelopedroboticconesandbarrels.(41)______Theycanevenbeprogrammedtomoveonthe

Ofallthegoodsandservicestradedinthemarketeconomy,pharmaceuticalsareperhapsthemostcontentious.Thoughproducedby

[A]Marketforglasscraftsisgrowing[B]Dependenceofcomputerdevelopmentonglass[C]Behindtheadaptabilityofglass[D]

Cancerisusedgenericallyformorethan100differentdiseases,includingmalignanttumoursofdifferentsites,suchasbreast,

Theconceptofmanversusmachineisatleastasoldastheindustrialrevolution,butthisphenomenontendstobemostacutely

RobertF.Kennedyoncesaidthatacountry’sGDPmeasures"everythingexceptthatwhichmakeslifeworthwhile".WithBritainv

汝之纯明而不克蒙其泽乎?克：

女。28岁。停经43天，阴道少量流血2天，突感下腹部剧痛，伴肛门坠胀，恶心呕吐。查体：面色苍白，BP80／40mmHg，后穹窿穿刺抽出不凝血5ml，诊为异位妊娠，出血性休克。最佳处理是

原始数据都乘以一个不等于0的常数K

地方性氟中毒主要是由于哪种因素引起的

当钢筋混凝土平屋面的防水等级为Ⅱ级，采用正置式屋面，室内空气湿度常年大于80％，屋面保温材料采用挤塑聚苯(XPS)板时，下列构造何者为宜?

通常而言，下列可以导致股票价格上涨的经济状况变动是()。

下列选项中，()是企业同一般公众进行沟通的最经济和最有效的沟通渠道之一。

《中小学教师职业道德规范》包括爱国守法、教书育人、爱岗敬业、关爱学生、终身学习以及为人师表。()

设有定义语句inta[]={66，88，99};，则以下对此语句的叙述错误的是()。

Expertsinthefoodindustryarethinkingalotabouttrashthesedays.Restaurants,colleges,hospitalsandotherinstitutions