哪一项不是管理层承诺完成的？

关于安全策略的说法，不正确的是

A、得到安全经理的审核批准后发布

B、应采取适当的方式让有关人员获得并理解最新版本的策略文档

C、控制安全策略的发布范围，注意保密

D、系统变更后和定期的策略文件评审和改进

向外部机构提供其信息处理设施的物理访问权限前，组织应当做什么?

A、该外部机构的过程应当可以被独立机构进行IT审计

B、该组织应执行一个风险评估，设计并实施适当的控制

C、该外部机构的任何访问应被限制在DMZ区之内

D、应当给该外部机构的员工培训其安全程序

企业由于人力资源短缺，IT支持一直以来由一位最终用户兼职，最恰当的补偿性控制是：

A、限制物理访问计算设备

B、检查事务和应用日志

C、雇用新IT员工之前进行背景调查

D、在双休日锁定用户会话

作为信息安全治理的成果,战略方针提供了:

A、企业所需的安全要求

B、遵从最佳实务的安全基准

C、日常化制度化的解决方案

D、风险暴露的理解

以下哪一个是数据保护的最重要的目标?

A、确定需要访问信息的人员

B、确保信息的完整性

C、拒绝或授权对系统的访问

D、监控逻辑访问

组织与供应商协商服务水平协议，下面哪一个最先发生?

A、制定可行性研究、

B、检查是否符合公司策略、

C、草拟服务水平协议、

D、草拟服务水平要求

负责制定、执行和维护内部安全控制制度的责任在于:

A、IS审计员

B、管理层

C、外部审计师

D、程序开发人员

实施ISMS内审时，确定ISMS的控制目标、控制措施、过程和程序应该要符合相关要求，以下哪个不是?

A、约定的标准及相关法律的要求

B、已识别的安全需求

C、控制措施有效实施和维护

D、ISO13335风险评估方法

设计信息安全策略时，最重要的一点是所有的信息安全策略应该:

A、非现场存储

B、b)由IS经理签署

C、发布并传播给用户

D、经常更新

内部审计师发现不是所有雇员都了解企业的信息安全策略。内部审计师应当得出以下哪项结论：

A、这种缺乏了解会导致不经意地泄露敏感信息

B、信息安全不是对所有职能都是关键的

C、IS审计应当为那些雇员提供培训

D、该审计发现应当促使管理层对员工进行继续教育