要适时、有效开展风险评估，重要信息系统应至少每年进行一次评估。

信息系统下线前，系统业务主管部门应会同信息化管理部门组织开展信息系统下线风险评估，运行维护单位根据风险评估结果，进行（）等工作。 等级保护四级（含）以上信息系统每开展一次等保测评，期间应每年开展安全自评估，如系统与互联网有信息交换，应每年开展一次等保测评（） 信息系统运行单位（部门）应至少对一、二类信息系统建立性能基线，对在运系统定期开展调优，对（）等环节的运行状态进行常态评估、分析及问题整改。 经济活动风险评估应至少每年进行一次。 信息系统安全风险评估应采用恰当的模式。下列属于信息系统安全风险评估模式的有（ ）。 信息系统下线前，系统（）主管部门应会同信息化管理部门组织开展信息系统下线风险评估。 应（）开展信息系统及设备运行状态评估。 商业银行应（）至少进行一次重要信息系统专项灾备切换演练，每三年至少进行一次重要信息系统全面灾备切换演练，以真实业务接管为目标，验证灾备系统有效接管生产系统及安全回切的能力。 在信息系统生命周期的各阶段均可开展风险评估（） 为有效地识别、评估、监测、控制和报告操作风险，商业银行应当建立并逐步完善操作风险管理信息系统。管理信息系统至少应当( ) 银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险，风险包括（） 信息系统下线前，系统业务主管部门不用会同信息化管理部门组织开展信息系统下线风险评估（） 等级为级的信息系统应当每年至少进行一次等级测评，等级为级的信息系统应当每半年至少进行一次等级测评（） 信息系统的风险评估过程是一个动态循环的过程，应周期性的对信息系统安全进行重评估。下面四个选项中，（ ）属于基于专家系统的风险评估工具。 公司应至少（）开展一次全面风险识别与评估。当公司发生重大风险或者预期要发生重大风险时，应及时对风险进行识别和评估。 审计部门应定期开展信息科技外包风险管理内部审计工作，至少每年对重要的外包服务活动进行一次全面审计（） 银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险，包括，并形成风险评估报告（） 定期开展信息系统及设备运行状态评估，对于在运信息系统中存在隐患的设备，应及时更换；对于老旧信息系统和设备，应（）。 依据《信息安全等级保护管理办法》，第级信息系统应当每年至少进行一次等级测评，第级信息系统应当每半年至少进行一次等级测评（） 银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险，包括（）