测一测｜企业信息安全管理10道小题你能答对几个？

1、制定信息安全计划时，应最先执行以下哪个步骤 ？

A.执行技术漏洞评估。

B.分析当前的业务战略。

C.执行业务影响分析。

D.评估当前的安全意识水平。

2、当评估的风险高于组织的既定风险偏好水平但在既定风险容忍度范围内时，组织选择缓解风险的合理原因可能是什么？

A.董事会可能坚持认为应缓解所有超出偏好范围的风险。

B.高级管理层可能更愿意转移风险，而不是正式接受风险。

C.可能有来自关键利益相关方的压力，要求规避超出偏好范围的风险。

D.高级管理层可能担心已知的影响被估计不足。

3、要持续确保外包 IT服务的安全性，以下哪一项是最关键的措施？

A. 为第三方供应商的员工提供安全意识培训。

B. 定期对第三方提供商进行安全审查。

C. 将安全要求纳入服务合同。

D. 要求第三方供应商遵守组织的信息安全政策。

4、以下哪一项是选择安全控制或对策的主要依据 ？

A. 消除IT风险

B. 成本效益平衡

C. 资源管理

D. 受保护的资产数

5、在控制信息泄露时，管理层应首先建立 ：

A.数据泄露预防计划。

B.用户意识培训。

C.信息分类流程。

D.网络入侵检测系统。

6、设计有效的IT安全意识计划时，最重要的成功因素是什么？

A.为目标受众定制内容

B.高级管理层表态

C.对所有层级的员工进行培训

D.用具体案例替代技术行话

7、实施为组织提供软件即服务（SaaS）的云计算解决方案时，信息安全经理应关注的最大问题是什么 ？

A.缺乏关于将数据存储在第三方的明确法规

B.关于正确使用新技术的用户培训

C.网络故障的风险及其导致的应用程序可用性损失

D.敏感数据在传输或存储时泄露的可能性

8、评估是否达成信息安全治理目标时，最适合使用以下哪种工具？

A. SWOT（优势、劣势、机会和威胁）分析

B. 瀑布图

C. 差距分析

D. 平衡计分卡

9、取证调查时，以下哪一项是最重要的因素 ？

A.执行可靠的事故管理流程

B.确认职责范围

C.执法部门的参与

D.资源的专业性

10、治理、风险和合规的概念主要用于：

A.与组织的鉴证职能保持一致。

B.确保政策可解决所有三项活动。

C.呈现正确的安全活动顺序。

D.定义信息安全的责任。

测试结束

以上测试题整理来自安全牛课堂CISM认证的相关习题，CISM认证学习的内容针对信息安全风险在业务应用的管理和相关问题的解决，聚焦在信息安全战略、评估系统和政策。掌握成为世界级信息安全经理的关键知识和核心技能，深入理解信息安全和业务目标的关系，学习信息安全项目开发和管理的经验和知识。

正确答案：

BDBBC

ADDDA

CISM是针对信息安全经理人，重点已经不再是个别的技术或者技能，而是移转到整个企业的信息安全管理。CISM备受行业翘楚青睐，如甲方、行业TOP等龙头企业，上市公司、外资合资企业，世界500强企业，金融证券保险行业等。

发证机构：国际信息系统审计协会（ISACA），是全球公认的信息科技管治、监控、保安，以及标准合规的领导组织。