实施ISMS内部审核，可以确定ISMS的控制目标、控制措施、过程和程序是否（）

相似题目

• 以下哪个不可以作为ISMS管理评审的输入（）

  A . ISMS审计和评审的结果 B . 来自利益伙伴的反馈 C . 某个信息安全项目的技术方案 D . 预防和纠正措施的状态

  查看最佳答案

• ISMS审核时，对审核发现中，以下哪个是属于严重不符合项？（）

  A . 关键的控制程序没有得到贯彻，缺乏标准规定的要求可构成严重不符合项 B . 风险评估方法没有按照ISO27005（信息安全风险管理）标准进行 C . 孤立的偶发性的且对信息安全管理体系无直接影响的问题； D . 审核员识别的可能改进项

  查看最佳答案

• 信息安全管理体系（information Securlty Management System.ISMS）的内部审核和管理审核是两项重要的管理活动，关于这两者，下面描述错误的是（）

  A . 内部审核和管理评审都很重要，都是促进ISMS持续改进的重要动力，也都应当按照一定的周期实施 B . 内部审核的实施方式多采用文件审核和现场审核的形式，而管理评审的实施方式多采用召开管理评审会议的形式进行 C . 内部审核的实施主体由组织内部的ISMS内审小组，而管理评审的实施主体是由国家政策指定的第三方技术服务机构 D . 组织的信息安全方针，信息目标和有关ISMS文件等，在内部审核中作为审核准则使用，但在管理评审中，这些文件是被审对象

  查看最佳答案

• 信息安全管理体系（information Securlty Management System.简称ISMS）的实施和运行ISMS阶段，是ISMS过程模型的实施阶段，下面给出了一些备选的活动，选项（）描述了在此阶段组织应进行的活动。①制定风险处理计划 ②实施风险处理计划 ③开发有效性测量程序 ④实施培训和意识教育计划 ⑤管理ISMS的运行 ⑥管理ISMS的资源 ⑦执行检测事态和响应事件的程序 ⑧实施内部审核 ⑨实施风险再评估

  A . ①②③④⑤⑥ B . ①②③④⑤⑥⑦ C . ①②③④⑤⑥⑦⑧ D . ①②③④⑤⑥⑦⑧⑨

  查看最佳答案

• 实施和运行ISMS必须（）

  A . 制定风险处理计划 B . 实施风险处理计划 C . 实施所选择的控制措施 D . 测量所选择的控制措施与控制方案的有效性

  查看最佳答案

• 以下关于ISMS内部审核报告的描述不正确的是？（）

  A . 内审报告是作为内审小组提交给管理者代表或最高管理者的工作成果 B . 内审报告中必须包含对不符合性项的改进建议 C . 内审报告在提交给管理者代表或者最高管理者之前应该受审方管理者沟通协商，核实报告内容。 D . 内审报告中必须包括对纠正预防措施实施情况的跟踪

  查看最佳答案

• ISMS过程中，实施信息安全教育应在哪个阶段进行？（）

  A . 实施和运行 B . 保持和改进 C . 建立 D . 监视和评审

  查看最佳答案

• ISMS所要求的文件应予以保护和控制，应编制形成文件控制程序，系列哪项不是该程序所规定的管理措施？（）

  A . 确保文件的更改和现行修订状态得到标识 B . 防止作废文件的非预期使用 C . 确保文件可以为需要者所获得，但防止需要者对文件进行转移、存储和销毁 D . 确保在使用处可获得适用文件的最新版本

  查看最佳答案

• ISMS审核时，首次会议的目的不包括以下哪个？（）

  A . 明确审核目的、审核准则和审核范围 B . 明确审核员的分工 C . 明确接受审核方责任，为配合审核提供必要资源和授权 D . 明确审核进度和审核方法，且在整个审核过程中不可调整

  查看最佳答案

• 文件初审是评价受审方ISMS文件的描述与审核准则的（）

  A . 充分性和适宜性 B . 有效性和符合性 C . 适宜性、充分性和有效性 D . 以上都不对

  查看最佳答案

• ISO/IEC27001从（）的角度，建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。

  A . 客户安全要求 B . 组织整体业务风险 C . 信息安全法律法规 D . 以上都不对

  查看最佳答案

• ISMS的内部审核员（非审核组长）的责任不包括？（）

  A . 熟悉必要的文件和程序； B . 根据要求编制检查列表； C . 配合支持审核组长的工作，有效完成审核任务； D . 负责实施整改内审中发现的问题

  查看最佳答案

• 除以下哪项可作为ISMS审核（包括内审和外审）的依据，文件审核、现场审核的依据？（）

  A . 机房登记记录 B . 信息安全管理体系 C . 权限申请记录 D . 离职人员的口述

  查看最佳答案

• 建立ISMS的步骤正确的是？（）

  A . 明确ISMS范围-确定ISMS策略-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺（审批） B . 定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺（审批）-确定ISMS策略 C . 确定ISMS策略-明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺（审批） D . 明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-确定ISMS策略-设计ISMS文件-进行管理者承诺（审批）

  查看最佳答案

• 若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰，关键或敏感的信息及信息处理设施应放在安全区域内，并受到相应保护，该目标可以通过以下控制措施来实现，不包括哪-项（）

  A．物理安全边界、物理入口控制 B．办公室、房间和设施的安全保护，外部和环境威胁的安全防护 C．在安全区域工作，公共访问、交接区安全 D．人力资源安全、物理环境安全、通信安全等

  查看最佳答案

• 若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常在以下方面实施常规控制，不包括哪一项？（）

  A．信息安全方针、信息安全组织、资产管理 B．人力资源安全、物理和环境安全、通信和操作管理 C．访问控制、信息系统获取、开发和维护、符合性 D．规划与建立ISMS

  查看最佳答案

• 若一个组织声称自己的ISMS符合ISO／IEC27001或GB／T22080标准要求，其信息安全控制措施通常需要在物理和环境安全方面实施常规控制，物理和环境安全领域包括安全区域和设备安全两个控制目标，安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰，关键或敏感的信息处理设施应放在安全区域内，并受到相应保护，该目标可以通过以下控制措施来实现，不包括哪一项（）

  A．物理安全边界，物理入口控制 B．办公室，房间和设施的安全保护，外部和环境威胁的安全防护 C．在安全区域工作，公共访问，交接区安全 D．人力资源安全

  查看最佳答案

• 若一个组织声称自己的ISMS符合ISO/1E 27001减GR/72060标难要求，其信息安全控制措施通常需要在符合性方面实施常规控制。符合性常规控制这一领域不包括以下哪项控制目标（）

  A．符合法律要求 B．符合安全策略和标准以及技术符合性 C．信息系统审核考虑 D．访问控制的业务要求、用户访问管理

  查看最佳答案

• GB/T 22080-2008《信息安全管理体系要求》(等同采用国际标准ISO/IEC 27001：2005)从组织的整体信息系统风险的角度，为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(ISMS)进行了规范。()此题为判断题(对，错)。

  是 否

  查看最佳答案

• ISMS第一阶段审核的目的是（）

  A．获取对组织信息安全管理体系的了解和认识 B．了解客户组织的审核准备状态 C．为计划2阶段审核提供重点 D．确认组织的信息安全管理体系符合标准或规范性文件的所有要求

  查看最佳答案

• 层次化的文档是信息安全管理体系（简称 ISMS）建设的直接体现，也是 ISMS 建设的成果之一，通常将ISMS的文档结构规划为4层金字塔机构，那么以下选项（）应放入到一级文件中

  A．《风险评估报告》 B．《人力资源安全管理规定》 C．《ISMS内部审核计划》 D．《单位信息安全方针》

  查看最佳答案

• 信息安全管理体系（ISMS）的建设和实施是一个组织的战略性举措。若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，则需实施以下ISMS建设的各项工作，哪一项不属于ISMS建设的工作（）

  A．规划和建立ISMS B．实施和运行ISMS C．监视和评审ISMS D．保持和审核ISMS

  查看最佳答案

• 若一个组织声称自己的ISMS符合 ISO/EC27001或GBm22080标准要求，其信息安全控制措施通常需要在资产管理方面实施常规控制，资产管理包含对资产负责和信息分类两个控制目标，对资产负责的控制目标是实现和保持对组织资产的适当保护，这一控制目标的实现由以下控制措施的落实来保障，不包括哪一项（）

  A．资产清单 B．资产责任人 C．资产的可接受使用 D．分类指南.信息的标记和处理

  查看最佳答案

• 若一个组织声称白己的ISMS符合1S0/IEC 27001或GB/T 22080标准要求，其信息安全控制措施通常需要在资产管理方面实施常规控制，资产管理包含对资产负责和信息分类两个控制目标。对资产负责的控制目标是实现和保持对组织资产的适当保护。这一控制目标的实现由以下控制措施的落实来保障。不包括哪一项（）

  A．资产清单 B．资产责任人 C．资产的可接受使用 D．分类指南，信息的标记和处理

  查看最佳答案