关于信息安全风险评估，以下（)说法是正确的。

A.信息安全管理体系的建立需要确定信息安全需求，而信息安全需求获取的主要手段就是信息安全风险评估

B.风险评估可以对信息资产进行鉴定和评估，然后对信息资产面对的各种威胁和脆弱性进行评估

C.风险评估可以确定需要实施的具体安全控制措施

D.风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合

A.《信息安全管理体系要求》

B.《信息安全风险管理》

C.《信息安全度量》

D.《信息安全评估规范》

A.信息安全需求应当基于信息安全风险评估结果、业务需求和有关政策法规和标准的合规性要求得到

B.信息安全需求是安全方案设计和安全措施实施的依据

C.信息安全需求应当是从信息系统所有者(用户)的角度出发，使用规范化、结构化的语言来描述信息系统安全保障需求

D.信息安全需求来自于该公众服务信息系统的功能设计方案

A.信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障信息系统安全

B.通过技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心

C.是一种通过客观证据向信息系统评估者提供主观信心的活动

D.是主观和客观综合评估的结果

A.信息安全风险

B.风险处置

C.风险评估

D.风险管理过程

A.找出问题根源，对症下药

B.打牢基础，巩固上层信息安全

C.信息安全管理的利器

D.寻求适度安全和建设成本的最佳平衡点

A.风险管理准备、信息系统调查、信息系统分析、信息安全分析

B.风险管理准备、信息系统分析、信息安全分析、风险政策的制定

C.风险管理准备、风险管理政策的制定、信息系统分析、信息安全分析

D.确定对象、分析对象、审核对象、总结对象

A.理解组织的信息安全要求和建立信息安全方针与目标的标准

B.从组织整体业务风险的角度管理组织的信息安全风险

C.监视和评审ISMS的执行情况和有效性

D.基于主观测量的持续改进

A.通过评估有助于增强用户对于IT产品的安全信息

B.促进IT产品和系统安全性

C.清楚重复的评估

D.详细描述了安全评估方法学

A.信息系统的安全保护等级是信息系统的客观属性

B.确定信息系统的安全保护等级时应考虑已采取或将采取的安全保护措施

C.确定信息系统的安全保护等级时应考虑风险评估的结果

D.确定信息系统的安全保护等级时应仅考虑业务信息的安全性