一个组织将制定一项策略以定义了禁止用户访问的WEB站点类型。为强制执行这一策略，最有效的技术是什么？

风险评估的过程中，首先要识别信息资产，资产识别时，以下哪个不是需要遵循的原则?

A、只识别与业务及信息系统有关的信息资产，分类识别

B、所有公司资产都要识别

C、可以从业务流程出发，识别各个环节和阶段所需要以及所产出的关键资产

D、资产识别务必明确责任人、保管者和用户

虑因素?该提供商：

A、满足并超过行业安全标准

B、同意可以接受外部安全审查

C、其服务和经验有很好的市场声誉

D、符合组织的安全策略

?

A、状态检测防火墙

B、网页内容过滤

C、网页缓存服务器

D、代理服务器

处理报废电脑的流程时，以下哪一个选项对于安全专业人员来说是最重要考虑的内容?

A、在扇区这个级别上，硬盘已经被多次重复写入，但是在离开组织前没有进行重新格式化。

B、硬盘上所有的文件和文件夹都分别删除了，并在离开组织进行重新格式化。

C、在离开组织前，通过在硬盘特定位置上洞穿盘片，进行打洞，使得硬盘变得不可读取。

D、由内部的安全人员将硬盘送到附近的金属回收公司，对硬盘进行登记并粉碎。

负责授权访问业务系统的职责应该属于：

A、数据拥有者

B、安全管理员

C、IT安全经理

D、请求者的直接上司

以下对审核发现描述正确的是

A、用作依据的一组方针、程序或要求

B、与审核准则有关的并且能够证实的记录、事实陈述或其他信息

C、将收集到的审核证据依照审核准则进行评价的结果，可以是合格/符合项，也可以是不合格/不符合项

D、对审核对象的物理位置、组织结构、活动和过程以及时限的描述

企业按照ISO27001标准建立信息安全管理体系的过程中，对关键成功因素的描述不正确的是

A、不需要全体员工的参入，只要IT部门的人员参入即可

B、来自高级管理层的明确的支持和承诺

C、对企业员工提供必要的安全意识和技能的培训和教育

D、所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准，并遵照执行

以下关于ISMS内部审核报告的描述不正确的是?

A、内审报告是作为内审小组提交给管理者代表或最高管理者的工作成果

B、内审报告中必须包含对不符合性项的改进建议

C、内审报告在提交给管理者代表或者最高管理者之前应该受审方管理者沟通协商，核实报告内容。

D、内审报告中必须包括对纠正预防措施实施情况的跟踪

ISMS审核时，对审核发现中，以下哪个是属于严重不符合项?

A、关键的控制程序没有得到贯彻，缺乏标准规定的要求可构成严重不符合项

B、风险评估方法没有按照ISO27005(信息安全风险管理)标准进行

C、孤立的偶发性的且对信息安全管理体系无直接影响的问题;

D、审核员识别的可能改进项

ISMS审核时，首次会议的目的不包括以下哪个?

A、明确审核目的、审核准则和审核范围

B、明确审核员的分工

C、明确接受审核方责任，为配合审核提供必要资源和授权

D、明确审核进度和审核方法，且在整个审核过程中不可调整