惠州培训网

ISO27001信息安全管理体系培训测试

姓名_____________________ 工号_____________________ 部门_____________________

一、以下对于信息安全管理体系的叙述，哪个个是不正确的？

A.只规范公司高层与信息安全人员的行为； B.针对组织内部所使用的信息，实施全面性的管理； C.为了妥善保护信息的机密性、完整性和可用性； D.降低信息安全事件的冲击至可承受的范围；

E.分为PDCA（计划—执行—检查—行动）四大部份，循环执行，不断改进。

二、以下对于PDCA（计划—执行—检查—行动）的叙述，哪个是正确的？

A.其中的重点在于P（计划）；

B.依据PDCA的顺序顺利执行完一次，即可确保信息安全；

C.需依据管理层审查结果采取矫正与预防措施，以达到持续改进的目的； D.如果整体执行过程中C（检查）的过程过于繁复，可予以略过； E.以上皆非。

三、下列那个项目不属于ISO27001认证标准所涵盖的十一个管理要项？

A.信息安全政策； B.组织安全； C.人员安全； D.复杂性； E.访问控制。

四、下列对于风险的叙述，哪个是正确的？

A.风险分析：针对无法改善的风险进行分析； B.风险管理：列出所有可能存在的风险清单；

C.风险评估：把所估计的风险与已知的风险标准作比较，以决定风险的重要性； D.风险处理：为了将风险降为零风险所采取的行动；

更多免费资料下载请进：http://www.55top.com

好好学习社区

惠州培训网

E.可接受风险：可接受进行改善的风险。

五、以下哪项符合信息安全管理体系有关“文件记录控制”的要求？

A.文件都必须电子化；

B.信息安全管理体系所需的文件仅需保护，但无须控制；

C.所有文件应依据信息安全管理体系的政策要求在需要时即可供被授权人取用； D.文件纪录必须全部由一人保管；

E.为提供信息安全管理体系有效运作的证据所建立之纪录不属于管制范围。

六、对于“信息安全管理体系”，下列哪些不属于管理层的责任？

A.提供信息安全管理工作的必要资源； B.决定可接受风险的等级；

C.定期举行相关教育训练，增进员工信息安全的认知； D.为信息安全系统购买保险； E.建立一份信息安全政策。

七、以下针对信息安全系统审计的叙述，哪个是不正确的？

A.审计方案应予以事先规划；

B.目的在于确保信息安全管理体系的控制目标与控制措施是否有效地实施与维持； C.基于对业务的了解，应由各部门主管审计其所负责的业务； D.对于审计结果应有适当的跟进措施；

E.审计人员的遴选与审计的执行，应确保审计过程的客观性与公正性。

八、以下对于信息安全管理体系改进的叙述，哪个是不正确的？

A.改进的目的在于确认信息安全管理系统的有效性；

B.为了防止不符合事项再度发生，应将该事项从信息安全管理体系中移除； C.包含矫正措施与预防措施；

D.应在信息安全管理体系中制定相应的文件化程序；

E.应决定相关措施，以消除未来不符合信息安全管理体系要求的事项。

更多免费资料下载请进：http://www.55top.com

好好学习社区