信息安全风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量,是对威胁、脆弱点以及由此带来的风险大小的评估。在信息安全风险评估中,以下说法正确的是( )。
A、安全需求可通过安全措施得以满足,不需要结合资产价值考虑实施成本
B、风险评估要识别资产相关要素的关系,从而判断资产面临的风险大小。在对这些要素的评估过程中,不需要充分考虑与这些基本要素相关的各类属性
C、风险评估要识别资产相关要素的关系,从而判断资产面临的风险大小。在对这些要素的评估过程中,需要充分考虑与这些基本要素相关的各类属性
D、信息系统的风险在实施了安全措施后可以降为零
参考答案:C
参考解析:风险评估围绕其基本要素展开,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全需求、安全事件以及残余风险等与这些基本要素相关的各类属性。