在信息安全风险中，以下哪个说法是不正确的？（）

A.风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，需要充分考虑与这些基本要素相关的各类属性

B.风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，不需要充分考虑与这些基本要素相关的各类属性

C. 安全需求可通过安全措施得以满足，不需要结合资产价值考虑实施成本

D.信息系统的风险在实施了安全措施后可以降为零

A.风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，需要充分考虑与这些基本要素相关的各类属性。

B. 安全需求可通过安全措施得以满足，不需要结合资产价值考虑实施成本。

C. 风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，不需要充分考虑与这些基本要素相关的各类属性。

D. 信息系统的风险在实施了安全措施后可以降为零。

A.安全需求可通过安全措施得以满足，不需要结合资产价值考虑实施成本

B.风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，不需要充分考虑与这些基本要素相关的各类属性

C.风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对 这些要素的评估过程中，需要充分考虑与这些基本要素相关的各类属性

D.信息系统的风险在实施了安全措施后可以降为零

A.风险评估准备

B.风险要素识别

C.风险分析

D.风险结果判定

A.《风险评估方案》

B.《需要保护的资产清单》

C.《风险计算报告》

D.《风险程度等级列表》

A.业务战略的实现对资产具有依懒性，依赖程度越高，要求其风险越小

B.风险是由威胁引发的，资产面临的威胁越多则风险越大

C.资产的脆弱性可能暴露资产的价值，资产具有的弱点越多则风险越大

D.资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值越小

A.制环境提供了内部控制的基本规则和构架，是其他四个要素的基础

B.风险评估指识别、分析相关风险以实现既定目标，从而形成内部控制的基础

C.信息与沟通仅限于信息在企业内部的自上而下、横向以及自下而上的传递与沟通

D.只要持续性监督是有效的，就应该降低独立评估活动的广度和频度以节省监督资源

A.控制环境提供了内部控制的基本规则和构架，是其他四个要素的基础

B.风险评估指识别、分析相关风险以实现既定目标，从而形成内部控制的基础

C.信息与沟通仅限于信息在企业内部的自上而下、横向以及自下而上的传递与沟通

D.只要持续性监督是有效的，就应该降低独立评估活动的广度和频度以节省监督资源

A.只识别与业务及信息系统有关的信息资产，分类识别

B.所有公司资产都要识别

C.可以从业务流程出发，识别各个环节和阶段所需要以及所产出的关键资产

D.资产识别务必明确责任人、保管者和用户

A.被审计单位开发新产品或提供新服务可能会产生经营风险

B.经营风险最终都会产生财务后果，从而影响财务报表，导致重大错报风险

C.注册会计师了解被审计单位的经营风险有助于识别被审计单位财务报表的重大错报风险

D.并非所有的经营风险都与财务报表相关，注册会计师没有责任识别或评估对财务报表没有影响的经营风险

A.根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。

B. 对资产的脆弱性进行识别并对具体资产脆弱性的严重程度赋值。

C. 对信息资产进行识别并对资产的价值进行赋值。

D. 根据威胁的属性判断安全事件发生的可能性。