可接受風險等級如何決定最恰當 ?
a.    由評鑑的同仁決定
b.    由臨時開會決定
c.√ 事先定義好準則，由長官裁定
d.   以上皆是

選定風險控制措施應該依據?
a.√ 安全需求與目標
b.   同仁建議
c.   安全顧問建議
d.   以上皆是

控制措施實施後，對於殘餘的風險?
a.√ 要加以監控
b.   因為是可以接受的風險，所以不用管它
c.   由長官決定

風險管理的精神就是要
a.   求精確
b.   消滅資訊運作環境存在之風險
c.√ 管理不可接受風險
d.   以上皆是

不使用未經驗證合格之電腦屬於哪種風險對策?
a.√ 迴避
b.   降低
c.   接受
d.   以上皆是

有關鑑別資訊資產下列何者最恰當？
a.   只要進行財產清單上的列出的資產即可
b.√ 資產必須分類與分級
c.   資產價值必須用金錢衡量
d.   以上皆是

有關風險的敘述, 下列最恰當？
a.   每一種資訊資產，只有一種風險
b.   風險要考量機密性、 可用性與完整性
c.√ 風險可以用定性方法進行分析
d.   以上皆是

如何在最短時間內確定以上措施是否有效 ?
a.√ 進行風險再評鑑
b.   實施內部稽核，了解是否依計畫進行
c.   因為是可接受之風險，所以只要加以監控即可
d.   以上皆是