As his company’s CISO, George needs to demonstrate to the Board of Directors the necessity of a strong risk management program.

admin2013-12-19 58

问题 As his company’s CISO, George needs to demonstrate to the Board of Directors the necessity of a strong risk management program. Which of the following should George use to calculate the company’s residual risk?

选项 A、threats × vulnerability × asset value = residual risk
B、SLE × frequency = ALE, which is equal to residual risk
C、(threats × asset value × vulnerability) x control gap = residual risk
D、(total risk - asset value) × countermeasures = residual risk

答案C

解析 C正确。实施防护措施是为了把总风险降到一个可接受的程度。然而，没有任何系统或环境是100％安全的，不管采取哪种对策，总是会有一些风险存在。在实施防护措施之后继续存在的风险叫做剩余风险(residual risk)。剩余风险不同于总风险，总风险指的是公司选择不采取任何防护措施的情况下所面临的风险。总风险的计算公式是：威胁×脆弱性×资产价值=总风险。剩余风险的计算公式为：(威胁×脆弱性×资产价值)×控制差距=剩余风险。控制差距指的是控制所不能提供的保护的数量。
A不正确。因为威胁×脆弱性×资产价值不等于剩余风险，这是计算总风险的公式。总风险是公司在没有采取任何防护措施或行动以降低整体风险的情况下所面临的风险。总风险可以通过实施安全保障措施或实施对策来减少，使得公司仅面临剩余风险——即安全措施实施之后剩下的风险。
B不正确。因为单一损失期望(single loss expectancy，SLE)×频率(frequency)是计算年度损失期望(Annualized Loss Expectancy，ALE)的公式，它可以用来衡量利用脆弱性的威胁和对业务造成的影响。频率是指威胁的年发生率(Annual Rate of Occurrence，ARO)。ALE不等于剩余风险。ALE指出了在过去的一年里，某种特定类型的威胁对公司可能造成的损失。了解某个威胁真正发生的概率和该威胁造成的损失折合多少钱对确定应该花费多少钱来试图抵制这个威胁非常重要。
D不正确，而且是一个干扰选项。风险评估中并没有这样的公式。真正的公式为：威胁×脆弱性×资产价值=总风险：(威胁×脆弱性×资产价值)×控制差距=剩余风险。

转载请注明原文地址:https://kaotiyun.com/show/VNhZ777K

CISSP认证

相关试题推荐

随机试题

最新回复(0)

As his company’s CISO, George needs to demonstrate to the Board of Directors the necessity of a strong risk management program.

CISSP认证

Individualsandbusinesseshavelegalprotectionforintellectualpropertytheycreateandown.Intellectualproper【C1】______fro

In2009theEuropeanCommissioncarriedoutaninvestigationintoMicrosoft.TheAmericansoftwaregianttiedInternetExplorer,

VirtualDriverDrivinginvolvessharpeyesandkeenears,analyzingwithabrain,andcoordinationbetweenhands,feetandb

Cancerisusedgenericallyformorethan100differentdiseases,includingmalignanttumoursofdifferentsites,suchasbreast,

Writeanessayof160-200wordsbasedonthefollowingdrawing.Inyouressay,youshould1)describethedrawingbriefly,

Ifsoldieringwasforthemoney,theSpecialAirService(SAS)andtheSpecialBoatService(SBS)wouldhavedisintegratedinre

Howmenfirstlearnedtoinventwordsisunknown;inotherwords,theoriginoflanguageisamystery.Allwereallyknowistha

Howmenfirstlearnedtoinventwordsisunknown;inotherwords,theoriginoflanguageisamystery.Allwereallyknowistha

Whichofthefollowingisacorrectdescriptionoftheprosandconsassociatedwiththird-generationprogramminglanguages?

泡沫灭火器（），是常用的灭火器。

银行存款日记账应按企业在银行开立的账户和币种分别设置。()

关于商品检验时间和地点的规定，我国进出口业务中使用较多的是()。

(2015年)下列关于借款费用辅助费用的表述中，正确的有()。

人民银行货币政策目标是保持币值的稳定，并以此促进经济增长。()

列宁说：“当然，就是物质和意识的对立，也只有在非常有限的范围内才有绝对的意义，超出这个范围，物质和意识的对立无疑是相对的。”这里所讲的“非常有限的范围”是指()

盈利性最高的储备资产是()。

扫脸支付

•Readtheletterbelowfromanagencyprovidingtemporarystaffforcompanies.•ChoosethecorrectwordA,B,CorDfrombelo

AllChange[A]Thebasicmodeloftheelectricityindustrywastosendhighvoltagesoverlongdistancestopassivecustomers.Po