问题2：安全评估及测试

Rymar科技的管理层想要为他们的组织准备一个风险基线。他们将需要识别可以来自各种威胁源的事件中利用的漏洞。这些信息将被进一步分析，以确定发生的可能性以及它对公司运营、资产和总体信息安全的影响。

将举行一次正式的执行简报会，向特派团负责人和信息系统管理人员报告和分享评估结果。如果需要进行持续的评估来监测对既定基线的变化，则应妥善保存初始报告，以反映影响组织的风险因素的变化。

What is the primary reason formanagement's new initiative?

请问管理层新举措的主要原因是什么?

A、Providing risk oversight提供风险监督

B、Making risk-based decisions制定基于风险的决策

C、Selecting controls选择控制措施

D、Performing due diligence实施尽职调查

考试策略和心态

理解“primary”一词的定义将提供必要的洞察力，以便选择正确答案回答本问题和任何其他CISSP实践问题：

Primary 形容词

1 Of chief importance最重要的一点

2 Earlier in time or order在时间或顺序上早于

策略或方案并不是为了安全来创建的，组织的主业务理由才总是放在第一位的。正确的选择将作为新方案的整体原因，而其他的选择可以按时间顺序来支持这个主要原因。创建计划是为了最终保持组织的动力和发展。

一个特定的和重要的过程正在Rymar公司发生，有许多修订内容，其中的方法和步骤在CISSP研究指南和NIST文件中有概述。本质上，这是相同的一般过程。看一下问题的每一行，以下几个词暗示了这个过程:“准备”，“识别”，“可能性”，“影响”，“报告”，“监控”和“维护”。

提示：这个特定的过程可以调整以适应每个组织，但是主要的概念是相同的。往往涉及以下内容：

评价
分析
评估
缓解
监测
记录

考试要点：

如果你仍然不确定答案，利用这段时间单独研究每个选项。研究每个选项的习惯对准备真正的考试很有帮助。这就像你自己的应尽关注due care和尽职调查due diligence。做练习题是对考试的应尽关注due care，而研究仍不清楚的题目是对考试的尽职调查due diligence。

“基线”这个词指的是一个目的，而不是主要原因。风险评估可以建立一个基线，执行一个持续的重新评估，或者重新评估控制作为对新风险的回应。无论建立基线来定义所需的安全级别，还是加强当前的安全级别，正确的选择都是一样的。

问题解析：

A、Providing riskoversight提供风险监督

风险监管是一个主动的过程，从董事会开始。董事会的最终任务是监督将由高级管理人员管理的风险管理操作和流程。这项新的计划是在Rymar科技公司管理层的指导下进行的，管理层将根据风险评估的结果做出基于风险的决策。董事会将要求管理层对适当的企业风险管理系统负责，以确定本组织的风险偏好。

B、Making risk-based decisions 制定基于风险的决策

在问题中执行的过程就是基线风险的评估。评估结果将为当前的安全控制提供一个基准，用于为企业作出基于风险的决策。风险监督利益相关者使用评估感知不确定性，并在风险成为影响业务职能的运营意外事件之前对其进行管理。Rymar Tech新计划的主要原因是通过基线风险评估做出基于风险的决策。可以对基线控制进行进一步的范围界定和调整，以补充未来的风险管理活动。

以下是风险评估的步骤：