Risk assessment has several different methodologies. Which of the following official risk methodologies was not created for the

admin2013-12-19  56

问题 Risk assessment has several different methodologies. Which of the following official risk methodologies was not created for the purpose of analyzing security risks?

选项 A、FAP
B、OCTAVE
C、ANZ 4360
D、NIST SP 800-30

答案C

解析 C正确。尽管ANZ 4360可以用米分析安全风险,但它却不是为此而创建的。与其他诸如NIST和OCTAVE等专注于IT威胁和信息安全风险的风险评估方法相比,ANZ 4360是一种更为宽广的方法。ANZ 4360可以用来了解一个公司的金融、资本、人员安全和业务决策风险。
A不正确。因为正式的FAP风险分析方法是不存在的。这是一个干扰选项。
B不正确。因为OCTAVE专注于IT威胁和信息安全风险。OCTAVE旨在用于人们管理和指导其组织内部的信息安全风险评估。组织内的员工有权确定最好的安全评估方法。
D不正确。因为NIST SP 800-30仅限于IT威胁以及它们与信息安全风险的关系。它主要专注于系统。数据主要来自于网络和安全评估实践,以及组织内部人员。然后,这些搜集到的数据会用作800-30文档中列出的风险分析步骤中的输入值。
转载请注明原文地址:https://kaotiyun.com/show/CNhZ777K
0

最新回复(0)