免费的CRISC练习测验

下面哪个是 大多数 在定义风险管理策略时确定这一点很重要?

1. 风险评估准则

   必须收集有关内部和外部环境的信息，以确定战略并确定其影响. 风险评估标准本身是不够的.

2. IT架构复杂性

   IT架构复杂性与评估风险比定义策略更直接相关.

3. 澳门赌场官方下载灾难恢复计划.

   澳门赌场官方下载灾难恢复计划与降低风险更直接相关.

4. 业务目标和操作

   在定义风险管理策略时, 风险实践者需要分析澳门赌场官方下载的目标和风险承受能力，并在此基础上定义风险管理框架. 一些澳门赌场官方下载可能会接受已知的风险, 而其他人可能会投资并应用缓解控制来降低风险.

的 最大的 缺乏战略规划所带来的风险是:

1. 许可证违规数量增加.

   Licensing violations can lead to fines 和 penalties from software companies; however, 缺乏战略规划并不一定会导致许可证违规行为的增加.

2. 增加过时系统的数量.

   的 number of obsolete systems can increase if strategic planning lapses; however, 对IT投资的不当或疏忽监管是更根本的直接风险, 作为投资通知未来战略的执行，并确保新系统与业务目标保持一致.

3. 对IT投资的监管不当.

   对IT投资的不当监管是最大的风险. 没有适当的管理监督, IT投资可能无法与业务战略保持一致, IT支出可能无法支持业务目标.

4. 当前和过去未解决的问题.

   战略规划是面向未来的, 而当前和过去未解决的问题本质上是战术问题.

以下哪一个风险管理角色是第一道防线的一部分?

1. 首席风险官.

   首席风险官担任监督职务, 因此, 是第二道防线的一部分吗.

2. 风险指导委员会.

   风险指导委员会监督操作，这是第二道防线的功能.

3. 风险的主人.

   第一道防线是运营管理, 风险所有者是运营管理的一部分.

4. 董事会.

   董事会提供指导并获得反馈以进行监督. 它在三条防线中没有发挥积极作用，因为三条防线都要向它报告.

根据三道防线模型，数据伦理将在哪里发挥作用 大多数 可能居住在澳门赌场官方下载中?

1. 第一道防线

   第一道防线是操作功能，它可能在数据伦理中发挥作用，也可能不发挥作用.

2. 第二道防线

   第二道防线包括遵从性, 旨在为道德和风险管理提供指导.

3. 第三道防线

   内部审计是第三道防线，负责提供独立的验证和保证，确保控制措施到位并有效运行.

4. 董事会.

   董事会 is responsible for setting 的 tone at 的 top; overseeing management; 和 ensuring that risk management, 监管, 合规和道德义务得到满足. 它可能在数据伦理中发挥作用，也可能不发挥作用.

下面哪个是 大多数 与双因素身份验证系统的成本效益分析相关?

1. 项目批准的预算

   批准的项目预算可能与项目的实际成本无关.

2. 事件发生的频率

   安全事件的频率可以帮助度量收益，但这种关系是间接的，因为不是所有的安全事件都可以通过实现双因素身份验证系统来缓解.

3. 安全事件的年损失预期

   事件的ALE可以帮助度量收益，但这种关系是间接的，因为不是所有事件都可以通过实现双因素身份验证系统来减轻.

4. 总拥有成本

   总拥有成本是成本效益分析中最相关的信息，因为它建立了必须在控制的整个生命周期中考虑的成本基线.

下列哪项 最好的。 确保对已识别的信息系统漏洞进行适当的缓解?

1. 向澳门赌场官方下载管理层提供根本原因分析.

   Presenting findings to management will increase management awareness; however, 它不能保证工作人员会采取行动.

2. 实施软件输入动作点.

   软件可以帮助监控缓解措施的进展, 但这并不能确保减排工作的完成.

3. 将调查结果纳入给股东的年度报告.

   向股东汇报并不能确保缓解措施的完成.

4. 给相关人员分配行动计划和截止日期.

   向人员分配缓解措施，确立了在最后期限内完成缓解措施的责任.

是什么? 大多数 重要的控制应该到位，以防止滥用澳门赌场官方下载的社会媒体帐户?

1. 社交媒体账户监控

   社交媒体账户监控是一种侦查控制，可以在事后发现违规行为, 而不是采取主动措施, 例如双因素身份验证.

2. 双因素身份验证

   使用双因素身份验证将主动保护帐户免受未经授权的访问.

3. 意识培训

   意识培训 may be effective with legitimate users; however, 双因素认证是一种预防性控制，而不是威慑性控制.

4. 强密码

   Using strong passwords will help prevent unauthorized access; however, 双因素身份验证在密码泄露的情况下提供了主动控制.

为支持复杂应用程序开发项目的风险缓解工作而开发的业务案例应保留到:

1. 项目立项.

   即使在项目批准之后，业务案例也应该保留，以证明审计的合理性, 项目评审或项目范围变更.

2. 用户对应用程序的接受程度.

   即使在用户接受之后，也应该保留业务用例，以验证投资回报.

3. 部署应用程序.

   的 application may be updated 和 modified; 的 business case should be retained because updates may involve new risk.

4. 应用程序的生命周期结束.

   所有与系统有关的文件都应更新并保留，直到系统不再使用为止. 文件可以保留更长时间，以满足澳门赌场官方下载记录保留期限的要求.

确定损失事件发生的可能性后，应评估下列哪一项因素?

1. 风险承受能力

   风险承受能力反映了对可接受风险的可接受偏差. 风险承受能力要求对风险进行量化, 这反过来又需要确定影响的大小.

2. 影响程度

   一旦确定了可能性，下一步就是确定影响的大小.

3. 剩余风险

   残余风险是在管理层实施风险响应后仍然存在的风险. 在选择控件之前无法计算它.

4. 补偿控制

   补偿控制是内部控制，它减少了现有的或潜在的控制缺陷的风险，这些缺陷可能导致错误和遗漏. 它们不会与评估损失事件的可能性一起直接进行评估.

如果风险已经被识别，但还没有减轻，澳门赌场官方下载将会?

1. 记录和减轻严重风险，忽略低级别风险.

   识别出的所有级别的风险都应记录在风险登记册中. 重要的是能够识别在登记册中可以聚集低水平风险的位置.

2. 获得管理层的承诺，在合理的时间框架内减轻所有已识别的风险.

   并非所有已识别的风险都必须得到缓解. 在确定适当的风险应对措施之前，澳门赌场官方下载将进行成本效益分析.

3. 在风险登记册中记录已识别的风险，并保持补救状态.

   所有已识别的风险都应包括在风险登记册中. 登记册应记录拟议的补救计划, 风险所有人, 以及预计完工日期.

4. 进行年度风险评估，但忽略之前的评估，以防止风险偏差.

   年度风险评估应考虑以前的风险评估.