下面哪一个不是系统规划阶段风险管理的工作内容
A、明确安全总体方针
B、明确系统安全架构
C、风险评价准则达成一致
D、安全需求分析
除以下哪项可作为ISMS审核(包括内审和外审)的依据,文件审核、现场审核的依据?
A、机房登记记录
B、信息安全管理体系
C、权限申请记录
D、离职人员的口述
下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的?
A、完整性控制的需求是基于风险分析的结果
B、控制已经过了测试
C、安全控制规范是基于风险分析的结果
D、控制是在可重复的基础上被测试的
向外部机构提供其信息处理设施的物理访问权限前,组织应当做什么?
A、该外部机构的过程应当可以被独立机构进行IT审计
B、该组织应执行一个风险评估,设计并实施适当的控制
C、该外部机构的任何访问应被限制在DMZ区之内
D、应当给该外部机构的员工培训其安全程序
以下哪项不是记录控制的要求?
A、清晰、易于识别和检索
B、记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施
C、建立并保持,以提供证据
D、记录应尽可能的达到最详细