有关认证和认可的描述,以下不正确的是
A.认证就是第三方依据程序对产品、过程、服务符合规定要求给予书面保证(合格证书)
B.根据对象的不同,认证通常分为产品认证和体系认证
C.认可是由某权威机构依据程序对某团体或个人具有从事特定任务的能力给予的正式承认
D.企业通过ISO27001认证则说明企业符合ISO27001和ISO27002标准的要求
A.认证就是第三方依据程序对产品、过程、服务符合规定要求给予书面保证(合格证书)
B.根据对象的不同,认证通常分为产品认证和体系认证
C.认可是由某权威机构依据程序对某团体或个人具有从事特定任务的能力给予的正式承认
D.企业通过ISO27001认证则说明企业符合ISO27001和ISO27002标准的要求
第1题
以下哪个不可以作为ISMS管理评审的输入
A、ISMS审计和评审的结果
B、来自利益伙伴的反馈
C、某个信息安全项目的技术方案
D、预防和纠正措施的状态
第2题
ISMS的审核的层次不包括以下哪个?
A、符合性审核
B、有效性审核
C、正确性审核
D、文件审核
第3题
不正确的是?
A、改进措施包括纠正和预防措施
B、改进措施可由受审单位提出并实施
C、不可以对体系文件进行更新或修改
D、对改进措施的评价应该包括措施的有效性的分析
第4题
信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是
A、ISMS是一个遵循PDCA模式的动态发展的体系
B、ISMS是一个文件化、系统化的体系
C、ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定
D、ISMS应该是一步到位的,应该解决所有的信息安全问题
第5题
企业信息安全事件的恢复过程中,以下哪个是最关键的?
A、数据
B、应用系统
C、通信链路
D、硬件/软件
第6题
以下有关信息安全方面的业务连续性管理的描述,不正确的是
A、信息安全方面的业务连续性管理就是要保障企业关键业务在遭受重大灾难/破坏时,能够及时恢复,保障企业业务持续运营
B、企业在业务连续性建设项目一个重要任务就是识别企业关键的、核心业务
C、业务连续性计划文档要随着业务的外部环境的变化,及时修订连续性计划文档
D、信息安全方面的业务连续性管理只与IT部门相关,与其他业务部门人员无须参入
第7题
有关信息安全事件的描述不正确的是
A、信息安全事件的处理应该分类、分级
B、信息安全事件的数量可以反映企业的信息安全管控水平
C、某个时期内企业的信息安全事件的数量为零,这意味着企业面临的信息安全风险很小
D、信息安全事件处理流程中的一个重要环节是对事件发生的根源的追溯,以吸取教训、总结经验,防止类似事情再次发生
第8题
有关信息系统的设计、开发、实施、运行和维护过程中的安全问题,以下描述错误的是
A、信息系统的开发设计,应该越早考虑系统的安全需求越好
B、信息系统的设计、开发、实施、运行和维护过程中的安全问题,不仅仅要考虑提供一个安全的开发环境,同时还要考虑开发出安全的系统
C、信息系统在加密技术的应用方面,其关键是选择密码算法,而不是密钥的管理
D、运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险
第9题
以下有关访问控制的描述不正确的是
A、口令是最常见的验证身份的措施,也是重要的信息资产,应妥善保护和管理
B、系统管理员在给用户分配访问权限时,应该遵循“最小特权原则”,即分配给员工的访问权限只需满足其工作需要的权限,工作之外的权限一律不能分配
C、单点登录系统(一次登录/验证,即可访问多个系统)最大的优势是提升了便利性,但是又面临着“把所有鸡蛋放在一个篮子”的风险;
D、双因子认证(又称强认证)就是一个系统需要两道密码才能进入;
第10题
以下有关通信与日常操作描述不正确的是
A、信息系统的变更应该是受控的
B、企业在岗位设计和人员工作分配时应该遵循职责分离的原则
C、移动介质使用是一个管理难题,应该采取有效措施,防止信息泄漏
D、内部安全审计无需遵循独立性、客观性的原则
为了保护您的账号安全,请在“上学吧”公众号进行验证,点击“官网服务”-“账号验证”后输入验证码“”完成验证,验证成功后方可继续查看答案!