（)是信息安全管理最核心的方法，其基本思路是在信息安全事件发生之前，通过有效的手段对组织面临的信息安全风险进行识别、分析，并在此基础上选取相应的安全措施，将组织面临的信息安全风险控制在可接受的范围内，以此达到保护信息系统安全的目的。

A.信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程

B.信息安全风险评估要评估信息资产面临的威胁，以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响

C.信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法，其结果为信息安全风险管理提供依据

D.信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可靠性等安全属性进行评价的过程

A.A.信息安全组织

B.B.信息安全架构

C.C.信息安全管理

D.D.信息安全法规

A.对可能引发特别重大信息安全事件的情形红色预警发布建议

B.对可能引发重大信息安全事件的情形发布黄色预警

C.对可能引发较大信息安全事件的情形发布黄色预警

D.对可能引发一般信息安全事件的情形发布蓝色预警

A.信息安全风险

B.风险处置

C.风险评估

D.风险管理过程

A.强化着重信息安全事件的处置

B.强化调查的证据

C.提高安全保障水平

D.降低对业务的负面影响，例如由信息安全事件所导致的破坏和经济损失

E.有利于预算和资源合理利用

B.方案文件(包括规程)保存位置的详细信息

C.信息安全事件评估的概述，其中包括具体负责的人员、必须采取的行动以及通知和上报等

D.对信息安全事态发现、报告和相关信息收集的概述，以及如何将这些信息用于确定信息安全事件。概述中不包含对信息安全事态的可能类型，以及如何报告、报告什么、向哪个部门以及向谁报告信息安全事态等内容

E.信息安全事件得到解决后的活动，包括事后总结经验教训和改进过程

A.信息安全管理体系的建立需要确定信息安全需求，而信息安全需求获取的主要手段就是信息安全风险评估

B.风险评估可以对信息资产进行鉴定和评估，然后对信息资产面对的各种威胁和脆弱性进行评估

C.风险评估可以确定需要实施的具体安全控制措施

D.风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合

A.风险管理准备、信息系统调查、信息系统分析、信息安全分析

B.风险管理准备、信息系统分析、信息安全分析、风险政策的制定

C.风险管理准备、风险管理政策的制定、信息系统分析、信息安全分析

D.确定对象、分析对象、审核对象、总结对象

A.理解组织的信息安全要求和建立信息安全方针与目标的标准

B.从组织整体业务风险的角度管理组织的信息安全风险

C.监视和评审ISMS的执行情况和有效性

D.基于主观测量的持续改进