某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后,认识到信息安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导,其中描述错误的是()
(A)检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估
(B)检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测
(C)检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施
(D)检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点
参考答案
继续答题:下一题
![微考学堂](/images/gzh.png)
![微考学社](/images/xcx.png)
更多CISP(注册信息安全专业人员)试题
- 1我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系等方面,以下关于安全保障建设主要工作内容说法不正确的是:
- 2DDoS攻击的主要目换是:
- 3以下哪一项不是信息系统集成项目的特点:
- 4组织应依照已确定的访问控制策略限制对信息和( )功能的访间。对访间的限制要基于各个业务应用要求,访问控制策略还要与组织的访问策略一致。应建立安全登录规程控制实现对系统和应用的访问。宜选择合适的身份验证技术以验证用户身份。在需要强认证和()时,宜使用如加密、智能卡、令牌或生物手段等替代密码的身份验证方法。应建立交互式的口令管理系统,并确保使用优质的口令。对于可能覆盖系统和应用的控制措施的实用工具和程序的使用,应加以限制并()。对程序源代码和相关事项(例如设计、说明书、验证计划和确认计划 的访问宜严格控制,以防引入非授权功能、避免无意识的变更和维持有价值的知识产权的()。对于程序源代码的保存,可以通过这种代码的中央存储控制来实现,更好的是放在()中
- 5自主访问控制【DAC】是应用很广泛的访问控制方法,常用于多种商业系统中。以下对 DAC 模型的理解中,存在错误的是()