为了解风险和控制风险,应当及时进行风险评估活动,我国有关文件指出:风险评估的工作形式可分为自评估和检查评估两种,关于自评估,下面项中描述错误的是()。
(A)自评估是由信息系统拥有、运营或使用位发起的对本位信息系统进行的风险评估
(B)自评估应参照相应标准、依据制定的评估方案和准则,结合系统特定的安全要求实施
(C)自评估应当是由发起位自行组织力量完成,而不应委托社会风险评估服务机构来实施
(D)周期性的自评估可以在评估流程上适当简化,如重点针对上次评估后系统变化部分进行
参考答案
继续答题:下一题
更多CISP(注册信息安全专业人员)试题
- 1某位的信息安全主管部门在学习我国有关信息安全的政策和文件后,认识到信息安全风险评估分为自评估和检查评估两种形式,该部门将有检查评估的特点和要求整理成如下四条报告给位领导,其中描述错误的是
- 2在某次信息安全应急响应过程中,小王正在实施如下措施:消除或阻攻击源,找到并消除系统的脆弱性/漏洞、修改安全策略,加强防范措施、格式化被感染而己程序的介质等,请问,按照应急响应方法,这些工作应处于以下哪个阶段()
- 3以下关于直接附加存储(DirectAttachedStorage,DAS)说法错误的是:
- 4由于Internet的安全问题日益突出,基于TCP/IP协议,相关组织和专家在协议的不同层次设计了相应的安全通信协议,用来保障网络各层次的安全。其中,属于或依附于传输层的安全协议是?( )
- 5根据组织业务连续性计划(BCP)的复杂程度 ,可以建立多个计划来满足业务连续和和灾难恢复的各方面。在这种情况下,有必要: