下列何者為利用資產存在的脆弱性，對資產造成傷害之風險評鑑的基本元素？
a.    資產
b.√ 威脅
c.   脆弱性
d.   衝擊

下列何者為風險分析作法的選項？
a.   基準作法(Baseline Approach)
b.   詳細的風險分析(Detailed Risk Analysis)
c.   組合式作法(Combined Approach)
d.√ 以上皆是

下列何者非組合式作法的敘述？
a.    初步的高階風險分析
b.    優先對高風險之IT系統進行詳細的風險分析
c.    其他IT系統，則選擇基準作法
d.√ 不需逐一清查風險

下列何者為規劃資安風險管理之首要考量因素？
a.√ 法律、法令、規章及合約方面的要求
b.   資訊安全政策
c.   資產清查
d.   風險評鑑執行人員

下列何者非風險評鑑之範圍及執行步驟？
a.   高階風險分析
b.   防護措施的選擇
c.   風險接受
d.√ 營運持續計畫

下列何者是基準保護的型錄能獲得的來源？
a.   國際和國家標準組織
b.   業界標準或建議
c.   其他營運目標相似且規模相當的政府機關(構)
d.√ 以上皆是

下列何者為分布效應的敘述？
a.   在研究可能危害時，應牢記一個IT應用程式的輸入可能是另一個IT應用程式的輸出
b.√ 若IT系統運行的是一個IT應用程式中不重要的部分，該IT應用程式即使有高的防護要求也不必傳遞到此IT系統上。因此，必須分別考慮防護要求
c.   為確定IT系統的防護要求，將針對相關IT應用程式的潛在危害作為整體考慮。IT系統的防護要求應按最嚴重危害的情況決定
d.   如果幾個IT應用程式或一系列資訊在一個IT系統上處理，應考慮多個(如：微小)危害的累積效果是否更大

下列何者為CNS14929建議採用之作法？
a.   基準作法(Baseline Approach)
b.   詳細的風險分析(Detailed Risk Analysis)
c.√ 組合式作法(Combined Approach)
d.   以上皆是

下列何者為防護措施的分類？
a.   預防(Preventive)
b.   偵測(Detective)
c.√ 以上皆是
d.   以上皆非

下列何者非風險管理實務之正確敘述？
a.√ 風險管理是一個專案形式的工作
b.   定期或不定期執行風險再評鑑
c.   慎選防護措施並定期或不定期審議
d.   量測防護措施之有效性