A.風險處理措施確定以后，應編制詳細的殘余風險清單，并獲得管理層對殘余風險的書面批準，這也是風險管理中的一個重要過程
B.管理層確認接受殘余風險，是對風險評估工作的一種肯定，表示管理層已經(jīng)全面了解了組織所面臨的風險，并理解在風險一旦變?yōu)楝F(xiàn)實后，組織能夠且必須承擔引發(fā)的后果
C.接受殘余風險，則表明沒有必要防范和加固所有的安全漏洞，也沒有必要無限制地提高安全保護措施的強度，對安全保護措施的選擇要考慮到成本和技術(shù)的等因素的限制
D.如果殘余風險沒有降低到可接受的級別，則只能被動地選擇接受風險，即對風險不采取進一步的處理措施，接受風險可能帶來的結(jié)果

A.自評估是由信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本*單位信息系統(tǒng)進行的風險評估
B.檢查評估是指信息系統(tǒng)上級管理部門組織的國家有關(guān)職能部門依法開展的風險評估
C.信息安全風險評估應以自評估為主，自評估和檢查評估相互結(jié)合、互為補充
D.自評估和檢查評估是相互排斥的，單位應慎重地從兩種工作形式選擇一個，并堅持

A.信息安全風險評估應以自評估為主，自評估和檢查評估相互結(jié)合、互為補充
B.信息安全風險評估應以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補充
C.自評估和檢查評估時相互排斥的，單位應慎重地從兩種工作形式選擇一個，并長期使用
D.自評估和檢查評估是相互排斥的，無特殊理由的單位均應選擇檢查評估，以保證安全效果

A.ISO 27001 《Information technology–Security techniques–Informtion security management systems-Requirements》
B.X.509《Information Technology–Open Systems–The Directory：Authentication Framcwork》
C.SP 800-37《Guide for Applying the Risk Management Framcwork to FederalInformationSystems》
D.RFC 2402《IP Authenticat Header》

A.信息安全管理體系的建立應參照國際國內(nèi)有關(guān)標準實施，因為這些標準是標準化組織在總結(jié)研究了很多實際的或潛在的問題后，制定的能共同的和重復使用的規(guī)則
B.信息安全管理體系的建立應基于最新的信息安全技術(shù)，因為這是國家有關(guān)信息安全的法律和法規(guī)方面的要求，這體現(xiàn)以預防控制為主的思想
C.信息安全管理體系應強調(diào)全過程和動態(tài)控制的思想，因為安全問題是動態(tài)的，系統(tǒng)所處的安全環(huán)境也不會一成不變的，不可能建設(shè)永遠安全的系統(tǒng)
D.信息安全管理體系應體現(xiàn)科學性和全面性的特點，因為要對信息安全管理設(shè)計的方方面面實施較為均衡的管理，避免遺漏某些方面而導致組織的整體信息安全水平過低