某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后,认识到信息安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导,其中描述错误的是()
(A)检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估
(B)检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测
(C)检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施
(D)检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点
参考答案
继续答题:下一题
更多CISP(注册信息安全专业人员)试题
- 1不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际选择适当的风险评估方法。下面的描述中错误是()
- 22005年,RFC4301(RequestforComments4301:SecurityArchitecturefortheInternetProtocol)发布,用以取代原先的RFC2401,该标准建议规定了IPsec系统基础架构,描述如何在IP层(IPv4/IPv6)为流量提供安全业务,请问此类RFC系列标准建设是由哪个组织发布的()
- 3某单位计划在今年开发一套办公自动化(〇A)系统,将集团公司各地的机构通过互联网进行协同办公,在OA系统的设计方案评审会上,提出了不少安全开发的建设,作为安全专家,请指出大家提的建议中不太合适的一条:
- 4下列软件开发模型中,支持需求不明确,特别是大型软件系统的开发,并支持多种软件开发方法的模型是()
- 5企业信息资产的管理和控制的描述不正确的是