1、制定信息安全計劃時,應最先執行以下哪個步驟 ?
A.執行技術漏洞評估。
B.分析當前的業務戰略。
C.執行業務影響分析。
D.評估當前的安全意識水平。
2、當評估的風險高於組織的既定風險偏好水平但在既定風險容忍度範圍內時,組織選擇緩解風險的合理原因可能是什麼?
A.董事會可能堅持認爲應緩解所有超出偏好範圍的風險。
B.高級管理層可能更願意轉移風險,而不是正式接受風險。
C.可能有來自關鍵利益相關方的壓力,要求規避超出偏好範圍的風險。
D.高級管理層可能擔心已知的影響被估計不足。
3、要持續確保外包 IT服務的安全性,以下哪一項是最關鍵的措施?
A. 爲第三方供應商的員工提供安全意識培訓。
B. 定期對第三方提供商進行安全審查。
C. 將安全要求納入服務合同。
D. 要求第三方供應商遵守組織的信息安全政策。
4、以下哪一項是選擇安全控制或對策的主要依據 ?
A. 消除IT風險
B. 成本效益平衡
C. 資源管理
D. 受保護的資產數
5、在控制信息泄露時,管理層應首先建立 :
A.數據泄露預防計劃。
B.用戶意識培訓。
C.信息分類流程。
D.網絡入侵檢測系統。
6、設計有效的IT安全意識計劃時,最重要的成功因素是什麼?
A.爲目標受衆定製內容
B.高級管理層表態
C.對所有層級的員工進行培訓
D.用具體案例替代技術行話
7、實施爲組織提供軟件即服務(SaaS)的雲計算解決方案時,信息安全經理應關注的最大問題是什麼 ?
A.缺乏關於將數據存儲在第三方的明確法規
B.關於正確使用新技術的用戶培訓
C.網絡故障的風險及其導致的應用程序可用性損失
D.敏感數據在傳輸或存儲時泄露的可能性
8、評估是否達成信息安全治理目標時,最適合使用以下哪種工具?
A. SWOT(優勢、劣勢、機會和威脅)分析
B. 瀑布圖
C. 差距分析
D. 平衡計分卡
9、取證調查時,以下哪一項是最重要的因素 ?
A.執行可靠的事故管理流程
B.確認職責範圍
C.執法部門的參與
D.資源的專業性
10、治理、風險和合規的概念主要用於:
A.與組織的鑑證職能保持一致。
B.確保政策可解決所有三項活動。
C.呈現正確的安全活動順序。
D.定義信息安全的責任。
測試結束
以上測試題整理來自安全牛課堂CISM認證的相關習題,CISM認證學習的內容針對信息安全風險在業務應用的管理和相關問題的解決,聚焦在信息安全戰略、評估系統和政策。掌握成爲世界級信息安全經理的關鍵知識和核心技能,深入理解信息安全和業務目標的關係,學習信息安全項目開發和管理的經驗和知識。
正確答案:
BDBBC
ADDDA
CISM是針對信息安全經理人,重點已經不再是個別的技術或者技能,而是移轉到整個企業的信息安全管理。CISM備受行業翹楚青睞,如甲方、行業TOP等龍頭企業,上市公司、外資合資企業,世界500強企業,金融證券保險行業等。
發證機構:國際信息系統審計協會(ISACA),是全球公認的信息科技管治、監控、保安,以及標準合規的領導組織。
