风险，在GB/T22081中定义为事态的概率及其结果的组合。风险的目标可能有很多不同的方面，如财务目标、健康和人身安全目标、信息安全目标和环境目标等：目标也可能有不同的级别，如战略目标、组织目标、项目目标、产品目标和过程目标等，ISO/IEC13335-1中揭示了风险各要素关系模型，如图所示，请结合此图，怎么才能降低风险对组织产生的影响？（）

A.威胁建模主要流程包括四步：确定建模对象、识别威胁、评估威胁和消减威胁
B.评估威胁是对威胁进行分析，评估被利用和攻击发生的概率，了解被攻击后资产的受损后果，并计算风险
C.消减威胁是根据威胁的评估结果，确定是否要消除该威胁以及消减的技术措施，可以通过重新设计直接消除威胁，或设计采用技术手段来消减威胁。
D.识别威胁是发现组件或进程存在的威胁，它可能是恶意的，威胁就是漏洞。

A.残余风险是采取了安全措施后，仍然可能存在的风险，一般来说，是在综合考虑了安全成本与效益后不去控制的风险
B.残余风险应受到密切监理，它会随着时间的推移而发生变化，可能会在将来诱发新的安全事件
C.实施风险处理时，应将残余风险清单告知信息系统所在组织的高管，使其了解残余风险的存在和可能造成的后果
D.信息安全风险处理的主要准则是尽可能降低和控制信息安全风险，以最小的残余风险值作为风险管理效果评估指标

A.由于本次发布的漏洞都属于高危漏洞，为了避免安全风险，应对单位所有的服务器和客户端尽快安装补丁
B.本次发布的漏洞目前尚未出现利用工具，因此不会对系统产生实质性的危害，所以可以先不做处理
C.对于重要任务，应在测试环境中安装并确认补丁兼容性问题后再正式生产环境中部署
D.对于服务器等重要设备，立即使用系统更新功能安装这些补丁，用户终端计算机由于没有重要数据，由终端自行升级