信息安全管理体系（ISMS）是一个怎样的体系，以下描述不正确的是（）

A . ISMS是一个遵循PDCA模式的动态发展的体系 B . ISMS是一个文件化、系统化的体系 C . ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定 D . ISMS应该是一步到位的，应该解决所有的信息安全问题

时间：2022-11-05 12:56:00 所属题库：信息安全师考试题库

相似题目

信息安全管理体系（information Securlty Management System.ISMS）的内部审核和管理审核是两项重要的管理活动，关于这两者，下面描述错误的是（）

A . 内部审核和管理评审都很重要，都是促进ISMS持续改进的重要动力，也都应当按照一定的周期实施 B . 内部审核的实施方式多采用文件审核和现场审核的形式，而管理评审的实施方式多采用召开管理评审会议的形式进行 C . 内部审核的实施主体由组织内部的ISMS内审小组，而管理评审的实施主体是由国家政策指定的第三方技术服务机构 D . 组织的信息安全方针，信息目标和有关ISMS文件等，在内部审核中作为审核准则使用，但在管理评审中，这些文件是被审对象

查看最佳答案
信息安全管理体系是PDCA动态持续改进的一个循环体。

A . 正确 B . 错误

查看最佳答案
信息安全管理体系（information Securlty Management System.简称ISMS）的实施和运行ISMS阶段，是ISMS过程模型的实施阶段，下面给出了一些备选的活动，选项（）描述了在此阶段组织应进行的活动。①制定风险处理计划 ②实施风险处理计划 ③开发有效性测量程序 ④实施培训和意识教育计划 ⑤管理ISMS的运行 ⑥管理ISMS的资源 ⑦执行检测事态和响应事件的程序 ⑧实施内部审核 ⑨实施风险再评估

A . ①②③④⑤⑥ B . ①②③④⑤⑥⑦ C . ①②③④⑤⑥⑦⑧ D . ①②③④⑤⑥⑦⑧⑨

查看最佳答案
安全管理体系是项目管理体系中的一个子系统，建立健全安全管理体系在于以下（）目标。

A . 使项目参建人员面临的风险减少到最低限度 B . 直接获得经济效益 C . 实现以人为本的安全管理 D . 提升企业的品牌和形象 E . 间接获得经济效益

查看最佳答案
注重安全管理体系建设，人员意识的培训和教育，是信息安全发展哪一个阶段的特点（）

A . 通信安全 B . 计算机安全 C . 信息安全 D . 信息安全保障

查看最佳答案
建立ISMS体系的目的，是为了充分保护信息资产并基于（）信心。

A . 相关方 B . 供应商 C . 顾客 D . 上级机关

查看最佳答案
小李去参加单位组织的信息安全后，他把自己对信息安全管理体系（Information Securlty Management System.ISMS）的理解画了以下一张图，但是他还存在一个空白处未填写，请帮他选择一个最合适的选项（）。https://assets.asklib.com/images/image2/2017070511074084452.jpg

A . 监控和反馈ISMS B . 批准和监督ISMS C . 监视和评审ISMS D . 沟通和咨询ISMS

查看最佳答案
根据BS7799的规定，建立的信息安全管理体系ISMS的最重要特征是（）。

A . A.全面性 B . B.文档化 C . C.先进性 D . D.制度化

查看最佳答案
根据BS7799的规定，信息安全管理体系ISMS的建立和维护，也要按照PDCA的管理模型周期性进行，主要包含（）环节。

A . 策略Policy B . 建立Plan C . 实施Do D . 检查Check E . 维护改进Act

查看最佳答案
信息安全风险评估是信息安全管理体系建立的基础，以下说法错误的是（）

A . 信息安全管理体系的建立需要确定信息安全需求，而信息安全需求获取的主要手段就是信息安全风险评估 B . 风险评估可以对信息资产进行鉴定和评估，然后对信息资产面对的各种威胁和脆弱性进行评估 C . 风险评估可以确定需要实施的具体安全控制措施 D . 风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合

查看最佳答案
信息安全系统管理体系ISMS持续改进的PDCA过程包括（）.

A . Plan（计划） B . Do（执行） C . Check（检查） D . Action（处理）

查看最佳答案
文件在信息安全管理体系中是一个必须的要素，文件有助于（）

A . 审核员进行文件审查 B . 评价体系的有效性 C . 确保可追溯性 D . B+C

查看最佳答案
信息安全管理体系（information Securlty Management System.简称ISMS）要求建立过程体系，该过程体系是在如下（）基础上构建的。

A . IATF（Information Assurance Technical Framework） B . P2DR（Policy，Protection，Detection，Response） C . PDCERF（Preparation，Detection，Containment，Eradication，Recovery，Follow-up） D . PDCA（Plan，Do，Check，Act）

查看最佳答案
全面构建我国信息安全人才体系是国家政策、组织机构信息安全保障建设和信息安全有关人员自身职业发展三方面的共同要求，“加快信息安全人才培养，增强全民信息安全意识”的指导精神，是以下哪一个国家政策文件提出的？（）

A . 《国家信息化领导小组关于加强信息安全保障工作的意见》 B . 《信息安全等级保护管理办法》 C . 《中华人民共和国计算机信息系统安全保护条例》 D . 《关于加强政府信息系统安全和保密管理工作的通知》

查看最佳答案
ISMS文档体系中第一层文件是？（）

A . A.信息安全方针政策 B . B.信息安全工作程序 C . C.信息安全作业指导书 D . D.信息安全工作记录

查看最佳答案
小李去参加单位组织的信息安全管理体系（Information Securlty Management System.ISMS）的理解画了一下一张图，但是他还存在一个空白处未填写，请帮他选择一个最合适的选项（）。https://assets.asklib.com/images/image2/2017070510483060307.jpg

A . 监控和反馈ISMS B . 批准和监督ISMS C . 监视和评审ISMS D . 沟通和咨询ISMS

查看最佳答案
若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰，关键或敏感的信息及信息处理设施应放在安全区域内，并受到相应保护，该目标可以通过以下控制措施来实现，不包括哪-项（）

A．物理安全边界、物理入口控制 B．办公室、房间和设施的安全保护，外部和环境威胁的安全防护 C．在安全区域工作，公共访问、交接区安全 D．人力资源安全、物理环境安全、通信安全等

查看最佳答案
若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常在以下方面实施常规控制，不包括哪一项？（）

A．信息安全方针、信息安全组织、资产管理 B．人力资源安全、物理和环境安全、通信和操作管理 C．访问控制、信息系统获取、开发和维护、符合性 D．规划与建立ISMS

查看最佳答案
若一个组织声称自己的ISMS符合ISO／IEC27001或GB／T22080标准要求，其信息安全控制措施通常需要在物理和环境安全方面实施常规控制，物理和环境安全领域包括安全区域和设备安全两个控制目标，安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰，关键或敏感的信息处理设施应放在安全区域内，并受到相应保护，该目标可以通过以下控制措施来实现，不包括哪一项（）

A．物理安全边界，物理入口控制 B．办公室，房间和设施的安全保护，外部和环境威胁的安全防护 C．在安全区域工作，公共访问，交接区安全 D．人力资源安全

查看最佳答案
若一个组织声称自己的ISMS符合ISO/1E 27001减GR/72060标难要求，其信息安全控制措施通常需要在符合性方面实施常规控制。符合性常规控制这一领域不包括以下哪项控制目标（）

A．符合法律要求 B．符合安全策略和标准以及技术符合性 C．信息系统审核考虑 D．访问控制的业务要求、用户访问管理

查看最佳答案
GB/T 22080-2008《信息安全管理体系要求》(等同采用国际标准ISO/IEC 27001：2005)从组织的整体信息系统风险的角度，为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(ISMS)进行了规范。()此题为判断题(对，错)。

是否

查看最佳答案
层次化的文档是信息安全管理体系（简称 ISMS）建设的直接体现，也是 ISMS 建设的成果之一，通常将ISMS的文档结构规划为4层金字塔机构，那么以下选项（）应放入到一级文件中

A．《风险评估报告》 B．《人力资源安全管理规定》 C．《ISMS内部审核计划》 D．《单位信息安全方针》

查看最佳答案
信息安全管理体系（ISMS）的建设和实施是一个组织的战略性举措。若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，则需实施以下ISMS建设的各项工作，哪一项不属于ISMS建设的工作（）

A．规划和建立ISMS B．实施和运行ISMS C．监视和评审ISMS D．保持和审核ISMS

查看最佳答案
若一个组织声称自己的ISMS符合 ISO/EC27001或GBm22080标准要求，其信息安全控制措施通常需要在资产管理方面实施常规控制，资产管理包含对资产负责和信息分类两个控制目标，对资产负责的控制目标是实现和保持对组织资产的适当保护，这一控制目标的实现由以下控制措施的落实来保障，不包括哪一项（）

A．资产清单 B．资产责任人 C．资产的可接受使用 D．分类指南.信息的标记和处理

查看最佳答案

推荐题目