实施ISMS内审时，确定ISMS的控制目标、控制措施、过程和程序

第1题：

信息安全管理体系（Information Security Management System，ISMS）的内部审核和管理审核是两项重要的管理活动，关于这两者，下面描述错误的是（）。

• A、内部审核和管理评审都很重要，都是促进ISMS持续改进的重要动力，也都应当按照一定的周期实施
• B、内部审核的实施方式多采用文件审核和现场审核的形式，而管理评审的实施方式多采用召开管理评审会议的形式进行
• C、内部审核的实施主体由组织内部的ISMS内审小组，而管理评审的实施主体是由国家政策指定的第三方技术服务机构
• D、组织的信息安全方针、信息安全目标和有关ISMS文件等，在内部审核中作为审核准使用，但在管理评审中，这些文件是被审对象

第2题：

以下（）活动是ISMS建立阶段应完成的内容。

• A、确定范围和边界
• B、确定ISMS方针
• C、确定风险评估方法并实施
• D、实施体系文件培训

第3题：

第4题：

实施和运行ISMS必须（）

• A、制定风险处理计划
• B、实施风险处理计划
• C、实施所选择的控制措施
• D、测量所选择的控制措施与控制方案的有效性

第5题：

下面哪一项不是ISMSPlan阶段的工作？（）

• A、定义ISMS方针
• B、实施信息安全风险评估
• C、实施信息安全培训
• D、定义ISMS范围

第6题：

内审的目的是确定ISMS体系是否符合策划的安排并得到有效实施与保持。

第7题：

建立ISMS的第一步是？（）

• A、风险评估
• B、设计ISMS文档
• C、明确ISMS范围
• D、确定ISMS策略

第8题：

信息安全管理体系（information Securlty Management System.简称ISMS）的实施和运行ISMS阶段，是ISMS过程模型的实施阶段，下面给出了一些备选的活动，选项（）描述了在此阶段组织应进行的活动。①制定风险处理计划 ②实施风险处理计划 ③开发有效性测量程序 ④实施培训和意识教育计划 ⑤管理ISMS的运行 ⑥管理ISMS的资源 ⑦执行检测事态和响应事件的程序 ⑧实施内部审核 ⑨实施风险再评估

• A、①②③④⑤⑥
• B、①②③④⑤⑥⑦
• C、①②③④⑤⑥⑦⑧
• D、①②③④⑤⑥⑦⑧⑨

第9题：

信息安全管理体系文件必须包括如下方面（）

• A、ISMS方针和目标
• B、ISMS的范围
• C、支持ISMS的程序和控制措施
• D、风险评估方法的描述
• E、风险评估报告
• F、风险处理计划
• G、组织为确保其信息安全过程的有效规划，运行和控制以及描述如何测量控制措施的有效性所需的形成文件的程序
• H、所要求的记录
• I、适用性声明

第10题：

实施ISMS内部审核，可以确定ISMS的控制目标、控制措施、过程和程序是否（）

• A、符合ISO/27OO1和相关法律法规的要求
• B、符合已识别的信息安全要求
• C、得到有效的实施和保持
• D、以上都不对