D4

Question 1

以下哪一项是使用定量nsk评估方法的最大好处？
(A).它可以更有效地使用资源
(B).它可以用于评估针对非有形资产的风险
(C).它减少了主观性，
(D).它有助于确定风险应对行动计划的优先次级

Answer 1

C

Question 2

No.当发现潜在软件供应商的财务可行性有关注的问题，以下哪项应该先做？
（A）。执行托管协议
（B）。执行风险评估
（C）。在合同中包含审计权利条款
（D）。许可知识产权

Answer 2

A

Question 3

No.49大型企业中的首席信息官正在寻求重大IT风险的保证监控且不超过约定的风险容忍水平。提供持续不断的最佳方式保障需要开发：
（A）.IT风险偏好表。
（B）.风险管理策略。
（c）.关键风险指标（KRI）。
（D）.风险登记册。

Answer 3

C
关键字：持续，监控
关键风险指标（KRI）是高度相关而且能大概率预测或指示重要风险的风险指标。KRI允许管理层记录和分析发展趋势，提供了前瞻性的观点，在风险真正变成损失之前发出需要采取措施的信号。事实上，KRI用于报告或仪表板中。它们不仅提醒和标识可能出现的问题或包含风险的领域，而且如果选择恰当，能够为管理层提供当前风险管理状况的综合概况。
KRI的特征是高度相关而且能大概率预测或
指示重要风险。选择KRI的标准包括：
● 敏感性—指标必须可靠并且能代表风险。
● 影响—具有高业务影响的风险指标更有可能设为KRI。
● 衡量便利性—应在具有同等敏感性的不同指标中首选较容易衡量的指标。
● 可靠性—指标必须与风险高度相关，并且是有效的预测指标或成果衡量指标

Question 4

No.63评估企业风险的最有效方法是什么？
（A）。业务影响分析（BIA）
（B）。业务漏洞评估
（C）。威胁分析的可能性
（D）。运营风险评估

Answer 4

D
企业风险包括战略风险、报告风险、运营风险和合规风险等（均可能涉及IT相关）
CRO—此职能需要从整个企业的角度更广泛地看待IT风险，但是风险可被视为运营风险

Question 5

No 97 新成立的IT治理委员会应采取以下哪种第一行动来确保报告符合法规并确定关键IT风险？
（A）。指导制定报告沟通计划。
（B）。制定并监控IT关键风险指标（KRI）触发器。
（C）。对最终用户进行法规要求的培训。
（D）。实施机制以确保报告上报。

Answer 5

A
应考虑用于指导与利益相关方沟通的资源，包
括：
● 沟通指南，帮助建立全面沟通计划。
● 决策树，启用报告以确定内容、媒介、时间和分发方式。
● 上报途径和报告机制。

Question 6

110 一家企业正在评估一项可能的战略计划，IT将是其中的主要推动者。已确定与该计划相关的几种风险情形。以下哪一项应该先做？
A、定义风险缓解策略
B、评估每个风险的影响
C、建立每个风险触发的基线
D、选择合适的项目管理人选

Answer 6

B
先评估影响，其他几个选项都是随后的动作

Question 7

第112号企业实施IT风险管理框架的主要原因是什么？
（A）。需要让高管实现IT风险感知决策
（B）。有关IT风险管理流程的外部审计报告的结果。
（C）。满足市场法规和内部合规IT风险的需要
（D）。将IT风险策略与主要竞争对手进行比较的能力

Answer 7

A
RMF提供严谨的结构化流程，将信息安全和风
险管理活动整合到系统开发生命周期中。一旦风险管理框架落实到位，就可以在整个业务范围内采用常见的方法，将不同的风险学科和功能汇集成统一且一致的方法。
通过使用Risk IT框架，企业能够做出具有风险意识的适当决策。该框架涵盖并阐述了针对整个企业中的Risk IT的几个关键指导原则：[2]
● 将IT相关风险管理与业务或任务目标联系起来。
● 如果企业开展了ERM，则在可能的情况下，使IT相关业务或任务风险管理与ERM保持一致。
● 平衡IT相关风险与其他企业风险的管理成本和效益。
● 促进与IT相关风险有关的道德且开放的沟通
● 在高层确定工作基调，同时定义和强制执行个人问责制，以维持可接受且明确定义的容忍度。
● 将Risk IT实务整合到日常活动和流程中—不连续、不固定或偶尔才开展的工作本质上不利于Risk IT方法。
● 采用标准、可重复且与战略契合的一致方法。

Question 8

No.126以下哪一项对想要标准化敏感公司数据处理方式的企业最有帮助？
（A）。信息分类框架
（B）。企业风险政策
（C）。企业风险管理框架
（D）。信息安全策略

Answer 8

C
只是信息分类不解决处理的问题，风险管理框架提供了以一致的方式（标准化）在全生命周期处理风险。

Question 9

No.115为了确保以一致的方式管理IT风险，IT治理最重要的是建立一个：
（A）风险管理委员会，负责识别IT相关风险；
（B）.风险管理框架。
（c）.包括IT风险的平衡记分卡
（D）.确保合规的风险管理报告工具。

Answer 9

B
RMF提供严谨的结构化流程，将信息安全和风
险管理活动整合到系统开发生命周期中。一旦风险管理框架落实到位，就可以在整个业务范围内采用常见的方法，将不同的风险学科和功能汇集成统一且一致的方法。

Question 10

第117号一家在保护客户利益方面享有盛誉的金融机构最近部署了一项移动付款计划。下列哪一项关键风险指标（KRI）对CIO最有意义？
（A）。在移动设备上失败的软件更新数
（B）。不完整事务百分比
（C）。销售点无效率
（D）。可疑交易的总数量

Answer 10

D
风险指标要考虑相关性，与业务目标有关联。

Question 11

120 以下哪个最有效的证明了定位信息安全风险事件的运营准备？
A、执行管理层宣布信息安全的风险的初步行动
B、IT管理层就业务对信息安全风险管理的需求进行交流
C、已通知一项政策，其中说明企业承诺并准备好应对信息安全风险。
D、已经制订了评估和减轻信息安全风险的程序

Answer 11

D(结果导向)
政策是支持实现企业目标的原则的表述。政策是传达方向和指示的沟通机制，是企业治理系统的核心。它们指导组织原则或要求，定下方
向基调，可以应用于整个组织、部门或特定领域。
程序通过更具体的活动来支持政策。程序应有内部重点，可以将相关的职能和流程联系起来。可以将程序视为实现政策结果的既定方法。可以使用流程、实务和活动来实施政策。
好的政策应该是有效、高效、无侵害性的，且与企业战略一致：

Question 12

No.122大型企业已决定使用需要与当前IT基础架构集成的新兴技术。以下哪一项是防止新技术对企业造成不利影响的最佳方法？
（A）。制定关键绩效指标（KPI）。
（B）。更新风险偏好报表
（C）。制定关键风险指标（KRI）。
（D）。实施服务级别协议（SLA）

Answer 12

C
关键风险指标（KRI）是高度相关而且能大概率预测或指示重要风险的风险指标。KRI允许管理层记录和分析发展趋势，提供了前瞻性的观点，在风险真正变成损失之前发出需要采取措施的信号。事实上，KRI用于报告或仪表板中。它们不仅提醒和标识可能出现的问题或包含风险的领域，而且如果选择恰当，能够为管理层提供当前风险管理状况的综合概况。

Question 13

130 下列哪一项对风险管理流程的有效性最为关注？
A、未建立KRI
B、风险管理需求并未包含绩效审查
C、计划和程序并未基于年度基础进行更新
D、缺乏有效的风险事件上报框架

Answer 13

A
4.6.6 建立关键风险指标的方法
ERM的一个关键目标是推动内部风险报告和外部公开披露方面的风险透明度。因此，建立可靠的风险衡量和报告系统是ERM成功的关键。
将风险指标作为沟通工具。
关键风险指标（KRI）是高度相关而且能大概率预测或指示重要风险的
风险指标

Question 14

398选择IT关键风险指标（KRI）的最重要原因是什么？
（A）。证明IT风险政策的有效性
（B）。评估当前的IT控制模型
（C）。实现与类似IT KRI的比较
（D）。提高实现IT目标的可能性

Answer 14

A
KRI体现了风险管理的有效性（相比风险敞口，KRI是前置指标）
风险指标特定于各个企业。指标的选择取决于很多因素，如企业的复杂程度、企业是否处于高度监管的市场中，以及企业的战略重点。确
定风险指标时，建议考虑以下方面：
● 考虑企业中的不同利益相关方。风险指标不应仅限于运营风险数据，还应包括风险更具战略性的方面。可根据利益相关方的职责水平需求，针对所有利益相关方确定风险指标。
● 根据以下两个因素对风险指标做出权衡：
■ 风险敞口（滞后指标，指示事件发生后的风险）。
■ 风险管理能力（超前指标，指示防止事件发生所需的能力）。

Question 15

137、选择与法律和法规遵从相关的关键风险指标（KRI）的首要治理目标应该是什么？
（A）。识别不合规风险
（B）。展示正确的风险管理实践
（C）。衡量IT与企业风险管理（ERM）的一致性
（D）。确保IT合规管控的有效性

Answer 15

C
治理目标选择识别风险不合适

Question 16

No.140确定IT风险识别问题的优先级并控制自我评估（CSA）的最佳方法是了解风险及
A、对企业的影响
B、受影响的IT业务关键性
C、受影响的IT系统数量
D、修复所需要的资金

Answer 16

A

Question 17

142最近的一项基准测试分析显示，与竞争对手相比，IT组织保留的数据数量和支出都有显著增加。下列哪一项将最有利于确保保留成本的优化？
（A）。要求所有业务案例都包含数据删除和保留计划
（B）。重新验证组织的风险容忍度并重新调整保留策略
（C）。将所有高风险和中风险数据备份移动到云存储
（D）。重新定义保留策略，以符合行业最佳实践

Answer 17

B
是否需要保留特定的数据，需要结合风险容忍度及信息本身的价值进行评估，如果之前没有策略，这些信息都要重新评估。

Question 18

No.149企业一直专注于建立IT风险管理框架。下列哪一项应该是实现这一目标的主要动机？
（A）。促进整个企业对IT风险管理的责任感。
（B）。提高企业的风险承受能力和风险偏好。
（C）。让高管在制定政策时检查IT风险。
（D）。维护完整而准确的风险登记册，以确保管理IT风险

Answer 18

A
要取得成功，风险管理应该在风险管理框架内发挥作用（该框架所提供的基础和组织安排会将风险管理融入企业的所有层面中）

Question 19

No.153企业董事会可以通过以下方式管理企业风险：
A）.强制实施董事会批准的企业风险管理修改
（B）.要求建立一个企业风险管理框架。
（c）要求建立全企业计划管理办公室。
（D）保证内部控制体系的成本效益。

Answer 19

B

Question 20

No.159建立风险管理流程时，以下哪项应该是第一步？
（A）。确定发生的可能性
（B）。识别威胁
（C）。识别资产
（D）。评估风险敞口

Answer 20

C

Question 21

以下哪一项是管理企业内部风险的最有效方式？
（A）。为风险管理分配个人责任和职责。
（B）。让员工了解所在领域的风险和风险管理技巧。
（C）。为风险管理系统提供财务资源。
（D）。记录程序和报告流程。

Answer 21

A

Question 22

189从治理角度来看，IT风险优化流程的首要目标应该是确保：
（A）。IT风险阈值在企业体系结构（EA）中定义。
（B）.IT风险缓解策略获得管理层批准。
（C）。IT风险映射到平衡记分卡。
（D）管理IT风险对企业的影响。

Answer 22

D

Question 23

193在IT战略委员会批准IT风险评估框架之前，以下哪个是最重要的建立了？
（A）。企业风险缓解战略
（B）。领先和滞后的风险指标
（C）。IT性能指标和标准
（D）。风险影响和概率的企业定义

Answer 23

D
其他几个选项都是偏后的

Question 24

194某企业已发现其数据中心所在区域可能发生的潜在环境灾难。下列哪一项应该在下一次执行？
（A）。实施预警检测和通知系统。
（B）。评估对数据中心的可能性和影响。
（C）。重新定位数据中心，将威胁降至最低。
（D）。评估数据中心如何防御威胁。

Answer 24

B
发现潜在风险，需要评估风险的影响和可能性

Question 25

197以下哪一项IT治理行动是最大限度地减少IT故障危及IT依赖组织企业价值的可能性的最佳方式？
（A）。实施IT风险管理框架。
（B）。安装IT连续监控解决方案。
（C）。定义IT绩效管理措施。
（D）。将IT战略与行业同行进行比较。

Answer 25

A
风险管理框架
要取得成功，风险管理应该在风险管理框架内发挥作用（该框架所提供的基础和组织安排会将风险管理融入企业的所有层面中）

Question 26

198企业正在实施企业级数据加密以应对遇到数据保护和最小权限的问题，以下哪一项是确保所有业务部门努力补救这些问题的最佳方法？
（A）。制定关键性能指标（KPI）以衡量企业采用情况。
（B）。将数据加密要求整合到现有项目和计划项目中。
（C）。为数据治理计划指定所有者。
（D）。授权创建数据治理框架。

Answer 26

B（紧扣题干）

Question 27

205董事会希望确保企业响应环境的变化，这将直接影响关键业务流程。下列哪一项将有助于满足这一目标？
（A）。安排频繁的威胁分析
（B）。监控关键风险指标（KRI）
（C）。定期回顾企业风险偏好
（D）。实施竞争情报工具

Answer 27

B
持续监控，提示风险

Question 28

206 IT指导委员会希望根据可用的nsk数据来选择灾难恢复站点，以下哪一项最适合实现成本与风险的映射？
（A）。关键风险指标（KRI）
（B）。基于情景的评估
（C）。业务影响分析（BIA）
（D）。定性预测

Answer 28

B
COBIT 5风险将风险场景描述为对某个可能事件的描述，发生该事件时，将对实现企业目标产生不确定的影响。该影响可以是积极的或消极的。风险场景的价值在于以有形且可评估的方式呈现风险，其中涵盖以下五个要素：资产/资源、实施者、威胁类型、事件和时间。只有在考虑并验证了这些要素之后，才能分析、评估并明智地解读风险。

Question 29

第212号IT主管已意识到，合法收集的某一部分数据可用于产生额外收入。然而，这种特殊的数据使用是不在原意之外的。这种情况应该升级到IT指导委员会的主要原因是什么？
（A）。可能的法律制裁
（B）。道德问题
（C）。监管要求
（D）。数据保护

Answer 29

C
了解法律法规的监管要求是第一步

Question 30

213一家企业正在使用涉及敏感个人数据的新兴技术开发基于消费者的多项服务。首席信息官面临着确保企业首先进入市场的压力，但安全扫描结果没有得到充分解决。审核以下哪一项将使CIO能够为客户做出最佳决策？
（A）。可接受的使用策略
（B）。风险登记
（C）。道德标准
（D）。变更管理策略

Answer 30

B

Question 31

232风险委员会对风险报告中包括的误报数量感到不知所措。最佳措施是什么？
（A）。进行风险评估
（B）。评估关键风险指标（KRI）。
（C）。更改上报格式。
（D）。调整IT平衡记分卡

Answer 31

B
误报是一种干扰，可以聚焦于能大概率提示风险的指标（KRI）

Question 32

370、当IT风险委员会为支持新的规管要求而进行风险评估时，应FIRST考虑:
A、对正常业务运营的干扰
B、企业风险概况
C、IT系统是否为此做好准备
D、实现合规的风险承担成本

Answer 32

C
注意题干，是IT风险委员会
企业风险委员会 企业的高管团队组成的团队，负责支持企业风险管理 (ERM) 活动和决策所需的企业级合作和共识
（可能会建立 I&T 风险委员会来更详细地考虑 I&T 风险并向企业风险委员会提供建议。）

Question 33

235董事会在企业风险管理方面的主要职责是：
（A）.确保存在满足风险偏好的风险过程。
（B）.持续投入员工IT风险培训。
（C）.在整个企业中促进以利益为导向的文化。
（D）.保持对业务IT风险的认识

Answer 33

A
风险偏好主题是董事会、管理层和首席风险官（CRO）（如果已任命）之间关系的核心。董事会设置风险偏好，管理层根据此偏好制定适当
的控制措施来遏制风险。同时，CRO或内部审计师提供有关内部控制系统的客观报告。这些审计报告将审查在考虑控制措施之后残余风险的
可接受程度，进而指明这种风险是否符合已制定的风险偏好。这种依赖循环极为重要，并且取决于各自对风险偏好的感受。

Question 34

241、下面哪项是确定IT nsk管理流程有效性的最佳结果？
（A）。更新IT风险登记册的频率
（B）。识别IT风险与企业响应之间的时间间隔
（C）。由于风险应对延迟而影响业务流程的事件数
（D）。对风险培训质量表示满意的业务用户百分比

Answer 34

C
风险管理流程的有效性要从业务角度出发（对业务的影响）

Question 35

No.243审核新业务收购的安全状态时，以下哪一项是最佳方法？
（A）。在服务级别协议（SLA）中嵌入IT风险管理战略。
（B）。成立一个委员会来监督新业务中IT安全的一致性。
（C）。纳入IT安全目标，以涵盖与新业务相关的其他风险。
（D）。将IT风险评估纳入整体尽职调查流程。

Answer 35

D
合并、收购或剥离—这些交易可能导致与IT相关的重大战略和运营结果。在尽责调查审查中，相关人员必须了解环境中的IT问题。整合或重组要求可能会规定适用于新环境的GEIT机制。

Question 36

244某企业已做出降低下一年运营成本的战略决策，并充分利用外部云服务提供商提供的成本降低。以下哪一项应该是IT指导委员会的主要关切？
（A）。修订业务$平衡余卡表
（B）。更新业务风险概况
（C）。更改IT指导委员会章程
（D）。计算当前解决方案的成本

Answer 36

B(注意角色职责)
IT指导委员会（不介入日常运营）
规划或指导委员会监督IT职能部门及其活动，对于确保IT部门与企业使命和目标协调一致非常重要。
IT指导委员会通常负责重大项目和举措的综合审查，不应介入常规运营活动。IT指导委员会在IT资源方面的主要职能包括：
● 审查IT部门的长期和短期计划，以确保它们与企业目标一致。
● 在董事会批准的权限范围内审批重大软硬件采购案。
● 审批所选或全部IT活动的资源开发战略，包括职能的内包或外包，
以及全球化或离岸外包。
● 从时间、人员和设备三方面审查资源充足性和资源分配情况。

Question 37

249企业希望建立关键风险指标（KRI）以更好地管理IT风险下列哪一项应标识为FIRST？
（A）。风险减轻战略
（B）。企业架构（EA）组件
（C）。企业风险偏好
（D）。关键性能指标

Answer 37

C

Question 38

编号262企业计划将其IT基础设施迁移到基于云的解决方案，但没有使用该技术的经验，应该首先做以下哪些工作来减少在使用这种新技术时，是否存在IT服务中断的风险？
(A).实施关键绩效指标（KPI）。
(B).体现企业体系结构（EA）中的变化。
(C).评估采购源选项。
(D).聘请一名经验丰富的IT顾问来执行迁移

Answer 38

B

Question 39

269一个商业案例表明，企业将通过实施一个带着你自己的设备（BYOD）程序，允许员工使用个人设备发送电子邮件来降低成本。以下哪一项应该是第一个治理行动？
(A).评估企业体系结构（EA）。
(B).更新网络基础设施。
(C).更新BYOD策略。
(D).评估BYOD的风险

Answer 39

D(业务案例应包含风险评估)
无论业务案例采用何种形式，均应包含：
● 业务效益，它们与业务战略的一致性，以及业务职能部门中负责产生效益的责任人。
● 创造更多价值所需的业务变更。
● 进行业务变更所需的投资。
● 变更或新增IT服务与基础设施所需的投资。
● 持续的IT和业务运营成本。
● 上述元素中的固有风险，具有限制或依赖关系。
● 负责创造最佳价值的责任人。
● 监控整个经济生命周期的投资和价值创造的方法，以及要使用的指
标

Question 40

274 一个企业的审计报告表明由于IT员工缺乏风险意识，在应用的设计与配置中引发了安全事件，以下哪项是IT员工在行为方面的的最佳KRI
A、员工参加安全培训课程的数量
B、应用安全测试的结果
C、上报的安全事件数量
D、应用安全意识考试的结果

Answer 40

B
KRI强调相关性，系统的测试结果最直接

Question 41

275 An enterprise has decided to implement an IT risk management program After establishing
stakeholder desired outcomes, the MAIN goal of the IT strategy committee should be to:
275、在确定了干系人的期望结果后，企业已经决定实施IT风险管理计划，IT战略委员会的主要目标因】应为：
A、识别需要保护的业务数据
B、对主要IT流程进行风险评估
C、对识别的高风险领域实施控制
D 、确保IT风险与企业风险保持一致

Answer 41

D
IT风险战略委员会有责任确保IT风险与企业风险保持一致。
董事会或董事会专门的IT战略委员会应通过以下方式推动业务
一致性：
● 确保IT战略与业务战略一致，且分布式IT战略保持一致性与完整性。

Question 42

280一家正在扩张的新企业最近收到了一份报告，显示其90%的数据在过去六个月内被收集，引发了数据泄露和隐私担忧。IT指导委员会应采取什么FIRST行动，以确保有效管理新数据?
A、减轻或额跟踪数据相关的问题和风险
B、修改法律法规的数据需求
C、定义数据保护和隐私的实践
D、评估信息治理框架

Answer 42

C
数据治理反映了评估需求以及为数据与信息提供方向和控制的实践，以便用户能够访问该数据并信任和依赖它。

Question 43

283号一家企业希望降低其数据资产的复杂性，同时确保在过渡期间最大限度地减少对业务的影响。下面哪一项应该FIRST?
(A).删除与信息架构不一致的应用程序。
(B).审查信息分类和保留政策
(C).审查信息架构。
(D).评估当前的信息所有权。

Answer 43

C
体会一上题的不同。（信息架构帮助理解信息在业务中的使用）
信息架构（信息流和关系）—此要素分析企业在其业务流程中使用的信息，确定企业内所用的信息以及信息的迁移。此架构的要素包括原始文档、数据、修订资料、分类以及责任组织单位。各信息流之间的关系也需要在此要素中描述，指示哪里需要信息以及如何共享信息以支持任务职能。此架构级别代表技术和管理信息流，以及时间对信息完整性和含义的影响。

Question 44

288.一家企业决定接受位于另一个国家的子公司的IT风险，即使它超过了该企业的风险偏好。以下哪一个将是该决定的最佳理由？
(A).风险框架调整
(B).本地市场常见做法
(C).遵守当地法规
(D).子公司之间的技术差距

Answer 44

C
只有法律才能让人低头

Question 45

291企业决定创建第一个移动应用。IT总监担心这一计划的潜在影响。以下哪项是管理与该计划相关风险的最重要投入？
(A).企业体系结构（EA）
(B).IT风险记分卡
(C).企业风险偏好
(D).“业务需求”

Answer 45

C
分析风险，首先要确定风险偏好。
4.3.1 风险偏好
风险偏好是实体在追求使命（或愿景）时准备接受的风险量。不同的企业有不同的风险偏好，了解这一点很重要。什么是可接受的风险和不可接受的风险没有绝对的规范或标准。
当考虑企业的风险偏好水平时，有两个重要的主要因素：
● 企业承受损失（例如，财产损失、声誉损失）的客观能力。
● （管理）文化或承受风险的倾向—是谨慎的还是激进的？为了追求回报，企业能够接受的亏损额度是多少？
高级管理层负责定义组织的风险偏好。组织应明确定义、记录风险偏好并与相关员工沟通，这些员工需要对组织内的风险做出具体决策。

Question 46

在确定适当的IT关键风险指标(KRIs)时，FIRST应该识别以下哪项?
(A).IT相关风险
(B).IT控制
(C).IT威胁
(D)IT目标

Answer 46

C（KRI是通过关键风险指标提示风险发生的可能性，回到风险本身的定义）
4.2 企业风险管理
企业风险管理包括用于管理组织面临的各种风险的方法、流程和实
务。作为一项管理计划，它们可以提供决策依据并调整行动方案，旨
在抓住机遇或降低事件的潜在影响。作为一项职能，
它们可以👍👍👍识别威胁、分析潜在影响和发生的可能性，并根据组织环境、能力和控制以及战略目标评估对单独事件的可行处理方法。

Question 47

322、董事会担心重大IT实施可能会严重干扰企业运营。下列哪一项最有助于确定中断的潜在影响程度？
（A）。当前企业风险偏好分析
（B）。实施的收益值分析（EVA）
（C）。实施风险评估
（D）。审查从以前实施中吸取的经验教训

Answer 47

C

Question 48

329一家企业了解到，最近发布了一项新的隐私规定，以在涉及个人身份信息的漏洞时保护客户（Pll）。IT风险管理团队的第一个行动方针应该是：
（A）评估对新规程的风险偏好。
（B）.定义新法规的风险容限。
（C）确定新法规是否引入了新的风险。
（D）.为新法规指定风险责任人。

Answer 48

C
针对新的风险，应该首先进行分析。

Question 49

NO.332建立关于可能性和影响的统一定义使企业能够：
（A）.降低风险评估的方差。
（B）制定关键风险指标（KRI）。
（C）.优先考虑威胁评估。
（D）.降低风险偏好和容忍度。

Answer 49

A

Question 50

333首席技术官（CTO）希望确保IT治理实践充分解决特定于移动应用的风险管理。要为IT制定适当的风险政策，CTO最重要的一点是：
（A）了解企业的风险承受能力。
（B）.创建IT风险记分卡。
（C）.将业务目标映射到IT风险流程。
（D）识别移动技术要求

Answer 50

A
确定风险偏好是其他工作的基础

Question 51

349下列哪项是一套有效的关键风险指标的主要目的?
(A).确定对企业未来可能产生的不利影响
(B)评价风险监测能力的现有技术
(C)建立管理层对风险方案的接受
(D)量化风险管理团队的生产力

Answer 51

A
KRI是对未来潜在问题的指示

Question 52

359下列哪一项最能反映企业成熟的风险管理?
(A).定期更新风险登记册
(B)持续风险评估
(C).在减少风险方面的持续投资
(D)响应式风险意识文化

Answer 52

D
风险意识文化的特征是营造一个可以公开讨论风险的组成部分并了解
和维护可接受的风险级别的环境。风险意识文化应从上而下由企业高
管开始，由高管设定方向、沟通具有风险意识的决策，并奖励有效的
风险管理行为。

Question 53

404以下哪一项提供了整个企业IT风险感知文化的最佳证据？
（A）。业务人员报告识别IT风险。
（B）。将IT风险被传达给业务。
（C）。发布IT风险相关策略。
（D）。IT基础架构具有恢复能力。

Answer 53

A
体会主动性

Question 54

一个IT风险委员会正在试图降低与新实施的自带设备(BYOD)策略和支持移动设备管理(MDM)工具相关的风险。以下哪一项是确保员工了解如何保护移动设备上的敏感公司数据的最佳方法?
(A).要求员工完成安全意识培训
(B).制定移动设备的安全程序。
(C).在公司内网发布自带设备设备策略。
(D)要求员工审阅并签署保密协议(nda)

Answer 54

A
了解如何，需要对员工进行培训

Question 55

381一家企业正在接近重大IT风险的升级日期。IT指导委员会希望确定谁负责风险响应。委员会应该从哪里找到这些信息?
(A)资源管理计划
(B). RACl图
(C).风险管理计划
(D)风险登记册

Answer 55

D 风险登记册上确实有“风险所有者”
“风险所有者”是一个容易被组织人员误解的术语，在本质上取决于
情境。该术语可以定义为：组织授予的，拥有根据风险制定决策的权
力和责任，并在风险场景真实发生后承担相关损失的人员。从治理的
角度看，高级管理层（例如CEO、总裁、创始人）是风险所有者，是整
个企业中最终负责回答为什么采取风险应对措施的人。从管理层（例
如董事、副总裁、经理）的角度看，风险所有者指在日常运营中拥有
权限、承担责任并负责做出风险相关决策的人。

Question 56

387、企业决定执行风险自我评估，以确定当前IT服务的改进机会。以下哪一项在评估中最重要?
(A)相关业务风险
(B)剩余IT风险
(C)业务目标到IT风险的映射
(D) IT能力和绩效衡量

Answer 56

A
IT服务的改进最终也是为了业务的需求