2. 计算机
  3. As his company’s CISO, George needs to demonstrate to the Board of Directors the necessity of a strong risk management program.

As his company’s CISO, George needs to demonstrate to the Board of Directors the necessity of a strong risk management program.

admin2013-12-19  24
问题 As his company’s CISO, George needs to demonstrate to the Board of Directors the necessity of a strong risk management program. Which of the following should George use to calculate the company’s residual risk?
选项 A、threats × vulnerability × asset value = residual risk
B、SLE × frequency = ALE, which is equal to residual risk
C、(threats × asset value × vulnerability) x control gap = residual risk
D、(total risk - asset value) × countermeasures = residual risk
答案C
解析 C正确。实施防护措施是为了把总风险降到一个可接受的程度。然而,没有任何系统或环境是100%安全的,不管采取哪种对策,总是会有一些风险存在。在实施防护措施之后继续存在的风险叫做剩余风险(residual risk)。剩余风险不同于总风险,总风险指的是公司选择不采取任何防护措施的情况下所面临的风险。总风险的计算公式是:威胁×脆弱性×资产价值=总风险。剩余风险的计算公式为:(威胁×脆弱性×资产价值)×控制差距=剩余风险。控制差距指的是控制所不能提供的保护的数量。
A不正确。因为威胁×脆弱性×资产价值不等于剩余风险,这是计算总风险的公式。总风险是公司在没有采取任何防护措施或行动以降低整体风险的情况下所面临的风险。总风险可以通过实施安全保障措施或实施对策来减少,使得公司仅面临剩余风险——即安全措施实施之后剩下的风险。
B不正确。因为单一损失期望(single loss expectancy,SLE)×频率(frequency)是计算年度损失期望(Annualized Loss Expectancy,ALE)的公式,它可以用来衡量利用脆弱性的威胁和对业务造成的影响。频率是指威胁的年发生率(Annual Rate of Occurrence,ARO)。ALE不等于剩余风险。ALE指出了在过去的一年里,某种特定类型的威胁对公司可能造成的损失。了解某个威胁真正发生的概率和该威胁造成的损失折合多少钱对确定应该花费多少钱来试图抵制这个威胁非常重要。
D不正确,而且是一个干扰选项。风险评估中并没有这样的公式。真正的公式为:威胁×脆弱性×资产价值=总风险:(威胁×脆弱性×资产价值)×控制差距=剩余风险。
转载请注明原文地址:https://kaotiyun.com/show/VNhZ777K
0

CISSP认证

相关试题推荐
随机试题
最新回复(0)