As his company’s CISO, George needs to demonstrate to the Board of Directors the necessity of a strong risk management program.

admin2013-12-19 40

问题 As his company’s CISO, George needs to demonstrate to the Board of Directors the necessity of a strong risk management program. Which of the following should George use to calculate the company’s residual risk?

选项 A、threats × vulnerability × asset value = residual risk
B、SLE × frequency = ALE, which is equal to residual risk
C、(threats × asset value × vulnerability) x control gap = residual risk
D、(total risk - asset value) × countermeasures = residual risk

答案C

解析 C正确。实施防护措施是为了把总风险降到一个可接受的程度。然而，没有任何系统或环境是100％安全的，不管采取哪种对策，总是会有一些风险存在。在实施防护措施之后继续存在的风险叫做剩余风险(residual risk)。剩余风险不同于总风险，总风险指的是公司选择不采取任何防护措施的情况下所面临的风险。总风险的计算公式是：威胁×脆弱性×资产价值=总风险。剩余风险的计算公式为：(威胁×脆弱性×资产价值)×控制差距=剩余风险。控制差距指的是控制所不能提供的保护的数量。
A不正确。因为威胁×脆弱性×资产价值不等于剩余风险，这是计算总风险的公式。总风险是公司在没有采取任何防护措施或行动以降低整体风险的情况下所面临的风险。总风险可以通过实施安全保障措施或实施对策来减少，使得公司仅面临剩余风险——即安全措施实施之后剩下的风险。
B不正确。因为单一损失期望(single loss expectancy，SLE)×频率(frequency)是计算年度损失期望(Annualized Loss Expectancy，ALE)的公式，它可以用来衡量利用脆弱性的威胁和对业务造成的影响。频率是指威胁的年发生率(Annual Rate of Occurrence，ARO)。ALE不等于剩余风险。ALE指出了在过去的一年里，某种特定类型的威胁对公司可能造成的损失。了解某个威胁真正发生的概率和该威胁造成的损失折合多少钱对确定应该花费多少钱来试图抵制这个威胁非常重要。
D不正确，而且是一个干扰选项。风险评估中并没有这样的公式。真正的公式为：威胁×脆弱性×资产价值=总风险：(威胁×脆弱性×资产价值)×控制差距=剩余风险。

转载请注明原文地址:https://jikaoti.com/ti/LEO7FFFM

CISSP认证

相关试题推荐

随机试题

最新回复(0)

As his company’s CISO, George needs to demonstrate to the Board of Directors the necessity of a strong risk management program.

CISSP认证

AllSumeriancitiesrecognizedanumberofgodsincommon,includingtheskygod,thelordofstorms,andthemorningandevenin

AsformercolonistsofGreatBritain,theFoundingFathersoftheUnitedStatesadoptedmuchofthelegalsystemofGreatBritai

Individualsandbusinesseshavelegalprotectionforintellectualpropertytheycreateandown.Intellectualproper【C1】______fro

In2009theEuropeanCommissioncarriedoutaninvestigationintoMicrosoft.TheAmericansoftwaregianttiedInternetExplorer,

AUniversityofNebraskaprofessorhasdevelopedroboticconesandbarrels.(41)______Theycanevenbeprogrammedtomoveonthe

[A]Developmentwelcomedbycityplanners[B]Reduceddemandsonspaceandenergy[C]Plansforfuturehomes[D]Worldwideexamp

Writeanessayof160~200wordsbasedonthefollowingdrawing.Inyouressay,youshould1)describethedrawingbriefly,

Advertisingwasjustonebusinessmodelthatpeopleconsideredatthestart.Googleoriginallythoughtmaybe15percentofthe

Thereareseveraldifferenttypesofdatabases.Whichtypedoesthegraphicthatfollowsillustrate?

Whichofthefollowingcorrectlybestdescribesanobject-orienteddatabase?

阵发性腹痛为空腔脏器平滑肌痉挛所致，多见于

患者，男性，40岁，刷牙出血2年，冷热刺激酸痛。无自发痛，下前牙咬合无力半年。检查：CI-S为3，牙龈充血肿胀，下前牙松动Ⅰ度，牙龈萎缩2mm，上、下磨牙牙周袋深4～5mm。初步诊断为

“备案号”栏应填：“收货单位”栏应填：

2007年该省贸易顺差为()万美元2007年与2002年相比该省出口额增加了()倍

在一个老年活动中心，会下象棋的有59人，会下围棋的有48人，两种棋都不会下的有12人，两种棋都会下的有30人，问这个俱乐部一共有多少人?()

韩非（北京师范大学2012年中固古代史复试真题）

下列关于相关分析和回归分析的叙述，错误的是()

(2012河北大学)简述影响保险市场供给的因素。

Receptionist:I’mafraidalloursingleroomsarefull.Howlongdeyouwanttostay?Tom:16______Receptionist:Ihaveadou