信息安全风险模型阐述了所有者，资产、脆弱性，漏洞、安全措施之间的关系，以下关于信息安全风险模型说法错误的是：（)

A.信息安全管理体系的建立需要确定信息安全需求，而信息安全需求获取的主要手段就是信息安全风险评估

B.风险评估可以对信息资产进行鉴定和评估，然后对信息资产面对的各种威胁和脆弱性进行评估

C.风险评估可以确定需要实施的具体安全控制措施

D.风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合

A.资产/威胁/脆弱性

B.资产/使命/威胁

C.使命/威胁/脆弱性

D.威胁/脆弱性/使命

A.资产及其价值、威胁、脆弱性、现有的和计划的控制措施

B.资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施

C.完整性、可用性、机密性、不可抵赖性

D.减低风险、转嫁风险、规避风险、接受风险

A.是否已经通过部署安全控制措施消灭了风险

B.是否可以抵抗大部分风险

C.是否建立了具有自适应能力的信息安全模型

D.是否已经将风险控制在可接受的范围内

A.识别用户

B.识别脆弱性

C.评估资产价值

D.计算机安全事件发生的可能性

A.建立资产组合价值的分布模型

B.建立资产组合价值与各个风险因子的数学关系模型

C.建立各个风险因子的概率分布模型

D.建立风险因子之间的数学关系模型

A.理解组织的信息安全要求和建立信息安全方针与目标的标准

B.从组织整体业务风险的角度管理组织的信息安全风险

C.监视和评审ISMS的执行情况和有效性

D.基于主观测量的持续改进

A.对ISMS范围内的信息资产进行鉴定和估价

B.对信息资产面对的各种威胁和脆弱性进行评估

C.对已存在的成规划的安全控制措施进行界定

D.根据评估结果实施相应的安全控制措施

A.购买时的价值

B.评价信息资产的价值应该考虑其对组织业务影响

C.信息资产的价值是信息安全风险重要因素

D.信息资产的价值可通过定性和定量的方法来描述

A.构件之间的关联关系

B.模型与模型的关联关系

C.模型与信息的关联关系

D.模型与视图的关联关系