信息风险管理中，基本的IT、安全决策支持方式以实现信息资产的CIA属性，以下哪几项是“CIA”的正确描述？（)

A.以ISMS运行为核心，采用技术和管理手段对建设好的系统进行维护

B.以IATF为基础，涉及包括防毒、入侵检测、加密、审计在内的安全防护体系

C.以CIA为核心，对计算机网络进行安全加固、检测和评估

D.在系统生命周期内，以人为本，按照技管并重的原则，通过安全工程过程来构建安全体系

A.信息安全组织

B.资产管理

C.内容安全

D.人力资源安全

A.信息安全组织

B.资产管理

C.内容安全

D.人力资源安全

A.风险管理准备、信息系统调查、信息系统分析、信息安全分析

B.风险管理准备、信息系统分析、信息安全分析、风险政策的制定

C.风险管理准备、风险管理政策的制定、信息系统分析、信息安全分析

D.确定对象、分析对象、审核对象、总结对象

A.风险管理是指导和控制一个组织相关风险的协调活动，它通常包括风险评估、风险处置、风险接受和风险沟通

B.风险管理的目的是了解风险并采取措施处置风险并将风险消除。

C.风险管理是信息安全工作的重要基础，因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中

D.在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全需求和安全目标。

A.强调信息系统安全保障持续发展的动态性，即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程

B.强调信息系统安全保障的概念，通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标

C.以安全概念和关系为基础，将安全威胁和风险控制措施作为信息系统安全保障的基础和核心

D.通过以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素，从而使信息系统安全保障实现信息安全的安全特征

A.购买时的价值

B.评价信息资产的价值应该考虑其对组织业务影响

C.信息资产的价值是信息安全风险重要因素

D.信息资产的价值可通过定性和定量的方法来描述

A.是指国家对各重要信息系统实施信息安全管理的行政管理结构

B.是整个管理体系的一部分，它是基于业务风险方法，来建立.实施.运行.监视.评审.保持和改进信息安全的

C.建立信息安全方针和目标，并实现这些目标的相互关联或相互作用的一组要素

D.包括信息安全管理机构.体系文件及相关资源等要素

A.信息安全管理体系的建立需要确定信息安全需求，而信息安全需求获取的主要手段就是信息安全风险评估

B.风险评估可以对信息资产进行鉴定和评估，然后对信息资产面对的各种威胁和脆弱性进行评估

C.风险评估可以确定需要实施的具体安全控制措施

D.风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合