当规划信息安全管理体系时,组织应考虑相关要求,确定需要应对的风险和机会,以()
A.确保信息安全管理体系可达到预期结果
B.预防或减少不良影响
C.实施有效控制
D.达到持续改进
ABD
A.确保信息安全管理体系可达到预期结果
B.预防或减少不良影响
C.实施有效控制
D.达到持续改进
ABD
第2题
A.法规要求
B.标准要求
C.合同义务
D.不符合项的整改要求
第3题
A.信息安全管理体系的建立应参照国际国内有关标准实施,因为这些标准是标准化组织在总结研究了很多实际的或潜在的问题后,制定的能共同的和重复使用的规则
B.信息安全管理体系的建立应基于最新的信息安全技术,因为这是国家有关信息安全的法律和法规方面的要求,这体现以预防为主的思想
C.信息安全管理体系应强调全过程和动态控制的思想,因为安全问题是动态的,系统所处的安全环境也不会一成不变,不可能建设永远安全的系统
D.信息安全管理体系应体现科学性和全面性的特点,因为要对信息安全管理涉区的方方面面实施较为均衡的管理,避免遗漏某些方面而导致组织的整体信息安全水平过低
第4题
A.在组织中,应由信息技术责任部门(如信息中心)制定并颁布信息安全方针,为组织的ISMS建设指明方向并提供总体纲领,明确总体要求
B.组织的管理层应确保ISMS目标和相应的计划得以制定,信息安全管理目标应明确、可度量,风险管理计划应具体,具备可行性
C.组织的信息安全目标、信息安全方针和要求应传达到全组织范围内,应包括体员工,同时,也应传达到客户、合作伙件和供应商等外部各方
D.组织的管理层应全面了解组织所面临的信息安全风险,决定风险可接受级别和风险可接受准则,并确认接受相关残余风险
第6题
A.风险管理是指导和控制一个组织相关风险的协调活动,它通常包括风险评估、风险处置、风险接受和风险沟通
B.风险管理的目的是了解风险并采取措施处置风险并将风险消除。
C.风险管理是信息安全工作的重要基础,因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中
D.在网络与信息系统规划设计阶段,应通过信息安全风险评估进一步明确安全需求和安全目标。
第8题
A.制定控制措施,适当时,确保考虑产品和服务生命周期的每-阶段,在其设计和开发过程中提出环境要求
B.适当时,确定产品和服务采购的环境要求
C.与外部供方(包括承包方)沟通组织的相关环境要求
D.考虑与环境管理体系相关的外部和内部的事项变化
第9题
A.对内而言,有助于建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查
B.对内而言,是一个光花钱不挣钱的事情,需要组织通过其他方面收入来弥补投
C.对外而言,有助于使各利益相关方对组织充满信心
D.对外而言,能起到规范外包工作流程和要求,帮助界定双方各自信息安全责任
第10题
A.应符合既定的外部标准和框架
B.应满足信息用户需要的精确度水平
C.应考虑财务报表列报的重要性水平
D.应反映企业活动的各种交易和事项