以下对企业信息安全活动的组织描述不正确的是()。
A.企业应该在组织内建立发起和控制信息安全实施的管理框架。
B.企业应该维护被外部合作伙伴或者客户访问和使用的企业信息处理设施和信息资产的安全。
C.在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定。
D.企业在开展业务活动的过程中,应该完全相信员工,不应该对内部员工采取安全管控措施
A.企业应该在组织内建立发起和控制信息安全实施的管理框架。
B.企业应该维护被外部合作伙伴或者客户访问和使用的企业信息处理设施和信息资产的安全。
C.在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定。
D.企业在开展业务活动的过程中,应该完全相信员工,不应该对内部员工采取安全管控措施
A.信息安全策略(或者方针)是由组织的最高管理者正式制订和发布的描述企业信息安全目标和方向,用于指导信息安全管理体系的建立和实施过程
B.策略应有一个属主,负责按复查程序维护和复查该策略
C.安全策略的内容包括管理层对信息安全目标和原则的声明和承诺;
D.安全策略一旦建立和发布,则不可变更;
A.人员的安全管理是企业信息安全管理活动中最难的环节。
B.重要或敏感岗位的人员入职之前,需要做好人员的背景检查。
C.如职责分离难以实施,企业对此无能为力,也无需做任何工作。
D.人员离职之后,必须清除离职员工所有的逻辑访问帐号。
A.人员的安全管理是企业信息安全管理活动中最难的环节
B.重要或敏感岗位的人员入职之前,需要做好人员的背景检查
C.企业人员预算受限的情况下,职责分离难以实施,企业对此无能为力,也无需做任何工作
D.人员离职之后,必须清除离职员工所有的逻辑访问帐号
A.不需要全体员工的参入,只要IT部门的人员参入即可
B.来自高级管理层的明确的支持和承诺
C.对企业员工提供必要的安全意识和技能的培训和教育
D.所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行
A.企业信息安全风险管理就是要做到零风险
B.在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性
C.风险管理(RiskManagement)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
D.风险评估(RiskAssessment)就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。
A.信息安全的基本要素包括保密性、完整性和可用性
B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性
C.信息安全就是不出安全事故/事件
D.信息安全不仅仅只考虑防止信息泄密就可以了
A.为了信息资产更加安全,禁止外部组织人员访问信息资产。
B.应确保相关信息处理设施和信息资产得到可靠的安全保护。
C.访问前应得到信息资产所有者或管理者的批准。
D.应告知其所应当遵守的信息安全要求。
以下关于风险管理的描述不正确的是?()
A.风险的四种控制方法有:减低风险/转嫁风险/规避风险/接受风险
B.信息安全风险管理是否成功在于发现是否切实被消除了
C.组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全
D.信息安全风险管理是基于可接受的成本,对影响信息系统的安全风险进行识别多少或消除的过程。
A.范围的设定不应当规避组织的合规义务
B.范围的设定可适当排除具有或可能具有重要环境因素的活动、产品、服务和设施
C.一旦组织宣称符合标准,则要求组织对范围的声明可为相关方获取
D.范围是对包含在其环境管理体系边界内组织运行的真实并具代表性的声明,且不应当相关方造成误导
为了保护您的账号安全,请在“简答题”公众号进行验证,点击“官网服务”-“账号验证”后输入验证码“”完成验证,验证成功后方可继续查看答案!