问题:
[单选] 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是()
不需要全体员工的参入,只要IT部门的人员参入即可。来自高级管理层的明确的支持和承诺。对企业员工提供必要的安全意识和技能的培训和教育。所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行。
问题:
[单选] 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是()
ISMS是一个遵循PDCA模式的动态发展的体系。ISMS是一个文件化、系统化的体系。ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定。ISMS应该是一步到位的,应该解决所有的信息安全问题。
问题:
[单选] PDCA特征的描述不正确的是()
顺序进行,周而复始,发现问题,分析问题,然后是解决问题。大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题。阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足。信息安全风险管理的思路不符合PDCA的问题解决思路。
问题:
[单选] 以下哪个不是信息安全项目的需求来源()
国家和地方政府法律法规与合同的要求。风险评估的结果。组织原则目标和业务需要。企业领导的个人意志。
问题:
[单选] ISO27001认证项目一般有哪几个阶段?()
管理评估,技术评估,操作流程评估。确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证。产品方案需求分析,解决方案提供,实施解决方案。基础培训,RA培训,文件编写培训,内部审核培训。
人,财,物。技术,管理和操作。资产,威胁和弱点。资产,可能性和严重性。
问题:
[单选] 以下哪些不是应该识别的信息资产?()
网络设备。客户资料。办公桌椅。系统管理员。
问题:
[单选] 以下哪些是可能存在的威胁因素?()
设备老化故障。病毒和蠕虫。系统设计缺陷。保安工作不得力。
问题:
[单选] 以下哪些不是可能存在的弱点问题?()
保安工作不得力。应用系统存在Bug。内部人员故意泄密。物理隔离不足。
问题:
[单选] 风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?()
只识别与业务及信息系统有关的信息资产,分类识别。所有公司资产都要识别。可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产。资产识别务必明确责任人、保管者和用户。