信息安全审核是指通过审查、测试、评审等手段,检验风险评估和风险控制的结果是否满足信息系统的安全要求,这个工作一般由谁完成?()A、机构内部人员B、外部专业机构C、独立第三方机构D、以上皆可

题目

信息安全审核是指通过审查、测试、评审等手段,检验风险评估和风险控制的结果是否满足信息系统的安全要求,这个工作一般由谁完成?()

  • A、机构内部人员
  • B、外部专业机构
  • C、独立第三方机构
  • D、以上皆可
相似考题

1.● 测试是信息系统工程质量监理的重要手段之一,这是由信息系统工程的特点所决定,测试结果是判断信息系统工程质量最直接的依据之一。在整个质量控制过程中,可能存在承建单位、监理单位、建设单位以及专业的测试机构对工程的测试。各方的职责和工作重点有所不同,下面关于各方进行测试工作的描述,(65)是错误的。(65)A.承建单位在项目的实施过程中,需要进行不断的测试,主要是保证项目的质量B.监理单位要对承建单位的测试计划、测试方案、测试结果进行监督评审,对测试问题改进过程进行跟踪,对重要环节,监理单位自己也要进行抽样测试C.在重要的里程碑或验收阶段,一般需要委托专业的测试机构对工程进行全面、系统的测试,为了保证专业的测试机构的独立公正,监理方不能对专业的测试机构的测试计划和方案进行干预D.建设单位也要对信息工程进行测试,以检查正在开发的信息系统是否满足自己的业务需求

2.测试是信息系统工程质量监理最重要的手段之一,这是由信息系统工程的特点所决定的,测试结果是判断信息系统工程质量最直接的依据之一。在整个质量控制过程中,可能存在承建单位、监理单位、建设单位以及公正第三方测试机构对工程的测试。各方的职责和工作重点有所不同,下面关于各方进行测试工作的描述,(50)是不正确的。A.承建单位在项目的实施过程中,需要进行不断的测试,主要是保证工程的质量和进度B.监理单位要对承建单位的测试计划、测试方案、测试结果进行监督评审,对测试问题改进过程进行跟踪,对重要环节,监理单位自己也要进行抽样测试C.在重要的里程碑阶段或验收阶段,一般需要委托第三方测试机构对项目进行全面、系统的测试,为了保证第三方测试机构的独立公证性,监理方对第三方测试机构的测试计划和测试方案不能进行干涉D.建设单位对系统也要进行测试工作,主要是验证系统是否满足业务需求

3.测试是信息系统工程质量监理的重要手段之一,这是由信息系统工程的特点所决定,测试结果是判断信息系统工程质量最直接的依据之一。在整个质量控制过程中,可能存在承建单位、监理单位、建设单位以及专业的测试机构对工程的测试。各方的职责和工作重点有所不同,下面关于各方进行测试工作的描述,(65)是错误的。A.承建单位在项目的实施过程中,需要进行不断的测试,主要是保证项目的质量B.监理单位要对承建单位的测试计划、测试方案、测试结果进行监督评审,对测试问题改进过程进行跟踪,对重要环节,监理单位自己也要进行抽样测试C.在重要的里程碑或验收阶段,一般需要委托专业的测试机构对工程进行全面、系统的测试,为了保证专业的测试机构的独立公正,监理方不能对专业的测试机构的测试计划和方案进行干预D.建设单位也要对信息工程进行测试,以检查正在开发的信息系统是否满足自己的业务需求

4.基金销售机构应当选择具备下列条件的商业银行或者支付机构从事基金销售支付结算业务:( )。A.有安全、高效的办理支付结算业务的信息系统。该信息系统应当具有合法的知识产权,且与合作机构及监管机构完成联网测试,测试结果符合国家规定标准B.制订了有效的风险控制制度C.具有基金从业资格证人数达到1/2以上D.中国证监会规定的其他条件

参考答案和解析
正确答案:D
更多“信息安全审核是指通过审查、测试、评审等手段,检验风险评估和风险控制的结果是否满足信息系统的安全要求,这个工作一般由谁完成?()A、机构内部人员B、外部专业机构C、独立第三方机构D、以上皆可”相关问题

  • 第1题:

    测试是信息系统工程质量监理最重要的手段之一,这是由信息系统工程的特点所决定的,测试结果是判断信息系统工程质量最直接的依据之一。在整个质量控制的过程中,可能存在承建单位、监理单位、建设单位以及公正第三方测试机构对工程的测试,各方的职责和工作重点有所不同。下面关于各方进行测试工作的描述,( )是不正确的。

    A.在项目的实施过程中,承建单位需要进行不断的测试,主要是保证工程的质量和进度
    B.监理单位要对承建单位的测试计划、测试方案、测试结果进行监督评审,对测试问题改进过程进行跟踪,监理单位自己也要对重要环节进行抽样测试
    C.在重要的里程碑阶段或验收阶段,一般需要委托第三方测试机构对项目进行全面、系统的测试,为了保证第三方测试机构的独立公证性,监理方对第三方测试机构的测试计划和测试方案不能进行干涉
    D.建设单位对系统也要进行测试工作,主要是验证系统是否满足业务需求

    答案:C
    解析:
    监理单位主要进行三个方面的工作。一、监理单位负责评审承建单位的测试计划、测试方案、测试实施以及测试结果。主要包括以下内容:1.督促承建单位建立项目测试体系,成立独立的测试小组。2.督促承建单位制订全过程的测试计划,从项目需求分析阶段开始直到项目结束,要进行不间断的测试,并且随着项目的进展,制订分系统的测试计划和详细的测试方案。3.对测试方案和测试计划进行审核,对承建单位选择的测试工具的有效性进行确认。4.对测试结果的正确性进行审查。二、监理单位对重要环节要亲自进行测试。三、对委托的第三方测试的结果进行评估。
    综上所述,选项C说法错误。

  • 第2题:

    评估机构和评估专业人员综合考虑自身专业能力、独立性、业务风险确定是否承接资产评估业务,下列有关表述,正确的是()。

    A.当资产评估机构及评估专业人员的专业能力、独立性满足要求时,评估机构可以受理资产评估业务
    B.通过投标方式承接的资产评估业务,中标的评估机构可根据投标条件和投标文件与委托人确定资产评估委托合同的具体内容
    C.通过入围客户资产评估服务中介库获得项目承接机会的,在承接具体评估业务时,委托人和评估机构将以此为基础,针对项目特点开展后续洽商、评价工作
    D.业务风险分析与评价可以采用风险评价表的方式进行,风险评价表可根据评估业务风险要素设计
    E.资产评估机构和评估专业人员主要通过关联关系筛查、申报、核查等方式,了解可能影响独立性的情形

    答案:B,C,D,E
    解析:
    A选项错误,评估机构及专业人员一般在自身专业能力、独立性均满足要求,并且业务风险可承受时,可以受理资产评估业务。

  • 第3题:

    非涉密信息系统的信息安全风险评估应由专业测评机构完成,形成()和风险评估报告。

    • A、安全测评报告
    • B、等级测评报告
    • C、安全保护报告
    • D、等级保护报告

    正确答案:B

  • 第4题:

    等级保护测评的执行主体最好选择()。

    • A、独立的第三方测评服务机构。
    • B、具有相关资质的、独立的第三方测评服务机构。
    • C、从事系统集成和信息安全产品开发等安全服务机构。
    • D、具有相关资质的、从事系统集成和信息安全产品开发等安全服务机构。

    正确答案:B

  • 第5题:

    对信息安全风险评估工作成果理解正确的是:()

    • A、信息安全风险评估工作的最重要成果是按高中低级排列的风险列表。
    • B、通过信息安全风险评估工作,不仅能够明确系统安全风险,还能够获得如何控制风险的详细建议。
    • C、信息安全风险评估工作最终成果是信息系统安全问题(脆弱点)列表。
    • D、信息安全风险评估工作最终成果是信息系统安全威胁列表。

    正确答案:A

  • 第6题:

    测试是信息系统工程质量监理的重要手段之一,这是由信息系统工程的特点所决定的,测试结果是判断信息系统工程质量最直接的依据之一。在整个质量控制过程中,可能存在承建单位、监理单位、建设单位以及专业的测试机构对工程的测试。各方的职责和工作重点有所不同,下面关于各方进行测试工作的描述,()是错误的。

    • A、承建单位在项目的实施过程中,需要进行不断的测试,主要是保证项目的质量
    • B、监理单位要对承建单位的测试计划、测试方案、测试结果进行监督评审,对测试问题改进过程进行跟踪,对重要环节,监理单位自己也要进行抽样测试
    • C、在重要的里程碑或验收阶段,一般需要委托专业的测试机构对工程进行全面、系统的测试,为了保证专业的测试机构的独立公正,监理方不能对专业的测试机构的测试计划和方案进行干预
    • D、建设单位也要对信息工程进行测试,以检查正在开发的信息系统是否满足自己的业务需求

    正确答案:C

  • 第7题:

    根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定,以下正确的是()

    • A、涉密信息系统的风险评估应按照《信息安全等级保护管理办法》等国家有关保密规定和标准进行
    • B、非涉密信息系统的风险评估应按照《非涉及国家秘密的信息系统分级保护管理办法》等有关要求进行
    • C、可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告
    • D、此通知不要求将“信息安全风险评估”作为电子政务项目验收的重要内容

    正确答案:C

  • 第8题:

    下列说法满足信息系统安全官关于安全控制有效性的目标()。

    • A、基于风险分析的结果构成完整的控制需求
    • B、控制已经被测试
    • C、给予风险分析的结构构成安全控制的详细要求
    • D、控制可重现地被测试

    正确答案:D

  • 第9题:

    单选题
    向外部机构提供其信息处理设施的物理访问权限前,组织应当做什么?()
    A

    该外部机构的过程应当可以被独立机构进行IT审计

    B

    该组织应执行一个风险评估,设计并实施适当的控制

    C

    该外部机构的任何访问应被限制在DMZ区之内

    D

    应当给该外部机构的员工培训其安全程序


    正确答案: B
    解析: 暂无解析

  • 第10题:

    单选题
    下列说法满足信息系统安全官关于安全控制有效性的目标()。
    A

    基于风险分析的结果构成完整的控制需求

    B

    控制已经被测试

    C

    给予风险分析的结构构成安全控制的详细要求

    D

    控制可重现地被测试


    正确答案: C
    解析: D安全控制的测试和评估应该在系统开发时,系统运行前,并且可重现地以合理的时间间隔进行

  • 第11题:

    多选题
    期货公司信息系统接入外部信息系统时,应当对接入的外部信息系统进行(  ),保证接入的外部信息系统的合规性和安全性。
    A

    风险评估

    B

    安全性评估

    C

    技术系统测试

    D

    合规评估


    正确答案: D,A
    解析:
    《期货公司监督管理办法》第九十七条规定,期货公司应当建立健全外部接入信息系统管理制度。期货公司信息系统接入外部信息系统的,应当对接入的外部信息系统开展合规评估风险评估技术系统测试,保证接入的外部信息系统的合规性和安全性,并按照期货交易所、中国期货业协会的要求报告接入方及接入信息系统情况,不得违规为客户提供信息系统外部接入服务。

  • 第12题:

    单选题
    下列关于对专业能力、独立性和业务风险进行综合分析与评价的说法中,错误的是(  )。
    A

    对于缺乏专业能力的业务,资产评估机构要判断是否有弥补评估经验和专业能力不足的可行措施

    B

    一般在自身专业能力、独立性均满足要求,并且业务风险可承受时,评估机构可以受理该业务

    C

    来自资产评估报告使用的风险主要为超范围、不当使用报告等

    D

    资产评估机构和评估专业人员主要通过关联关系筛查、申报、核查等方式,了解可能影响专业性的情形,进而分析专业能力


    正确答案: C
    解析:
    资产评估机构和评估专业人员主要通过关联关系筛查、申报、核查等方式,了解可能影响独立性的情形,判断是否存在明显或潜在的利益冲突、现实或潜在的利益关系。

  • 第13题:

    检验检测机构的活动涉及风险评估和风险控制领域时,应建立和保持相应( )的程序。应制定( )文件,并提出对( )管理要求,予以实施。

    A、安全评审
    B、风险分级、安全计划、安全检查、危险材料运输、废物处置、应急措施、消防安全、事 故报告等
    C、安全管理体系
    D、识别、评估、实施

    答案:B,C,D
    解析:
    检验检测机构的活动涉及风险评估和风险控制领域时,应建立和保持相应识别、评估、实施的程序。应制定安全管理体系文件,并提出对风险分级、安全计划、安全检查、设施设备要求和管理、危险材料运输、废物处置、应急措施、消防安全、事故报告的管理要求,予以实施。评审准则对安全管理提出了“建立程序,制定文件,提出要求”。

  • 第14题:

    项目建设单位或其委托的专业机构应按照风险评估的相关规定,对建成项目进行信息安全风险评估,检验其网络和信息系统对安全环境变化的( )及安全措施的有效性,保障信息安全目标的实现。

    A.适应性
    B.可变性
    C 及时性
    D.可靠性

    答案:A
    解析:
    项目建设单位或其委托的专业机构应按照风险评估的相关规定,对建成项目进行信息安全风险评估,检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性,保障信息安全目标的实现。

  • 第15题:

    人民政府食品药品监督管理部门和其他有关部门、食品安全风险评估专家委员会及其技术机构,应当组织食品生产经营者、食品检验机构等,就食品安全风险评估信息和食品安全监督管理信息进行交流沟通()

    • A、县级以上
    • B、省级以上
    • C、设区的市以上
    • D、乡镇级以上

    正确答案:A

  • 第16题:

    网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施()

    • A、要求有关部门、机构和人员及时收集、报告有关信息
    • B、加强对网络安全风险的监测
    • C、组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估
    • D、向社会发布网络安全风险预警,发布避免、减轻危害的措施

    正确答案:A,B,C,D

  • 第17题:

    如何对信息安全风险评估的过程进行质量监控和管理?()

    • A、对风险评估发现的漏洞进行确认
    • B、针对风险评估的过程文档和结果报告进行监控和审查
    • C、对风险评估的信息系统进行安全调查
    • D、对风险控制测措施有有效性进行测试

    正确答案:B

  • 第18题:

    信息安全审核是指通过审查、测试、评审等手段,检验风险评估和风险控制的结果是否满足信息系统的安全要求,这个工作一般由谁完成?()

    • A、机构内部人员
    • B、外部专业机构
    • C、独立第三方机构
    • D、以上皆可

    正确答案:D

  • 第19题:

    向外部机构提供其信息处理设施的物理访问权限前,组织应当做什么?()

    • A、该外部机构的过程应当可以被独立机构进行IT审计
    • B、该组织应执行一个风险评估,设计并实施适当的控制
    • C、该外部机构的任何访问应被限制在DMZ区之内
    • D、应当给该外部机构的员工培训其安全程序

    正确答案:B

  • 第20题:

    金融机构信息系统外包风险是指()。

    • A、银行业金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险
    • B、信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险
    • C、信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险
    • D、信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险

    正确答案:A

  • 第21题:

    单选题
    非涉密信息系统的信息安全风险评估应由专业测评机构完成,形成()和风险评估报告。
    A

    安全测评报告

    B

    等级测评报告

    C

    安全保护报告

    D

    等级保护报告


    正确答案: B
    解析: 暂无解析

  • 第22题:

    单选题
    为了不断完善一个组织的信息安全管理,应对组织的信息安全管理方法及实施情况进行独立评审,这种独立评审()
    A

    必须按固定的时间间隔来进行

    B

    应当由信息系统的运行维护人员发起

    C

    可以由内部审核部门或专业的第三方机构来实施

    D

    结束后,评审者应组织针对不符合安全策略的问题设计和实施纠正措施


    正确答案: B
    解析: 暂无解析

  • 第23题:

    单选题
    信息安全测评是指依据相关标准,从安全功能等角度对信息技术产品、信息系统、服务提供商以及人员进行测试和评估,以下关于信息安全测评说法不正确的是()
    A

    信息产品安全评估是测评机构对产品的安全性做出的独立评价,增强用户对己评估产品安全的信任

    B

    目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两种类型

    C

    信息安全工程能力评估是对信息安全服务提供者的资格状况、技术实力和实施服务过程质量保证能力的具体衡量和评价

    D

    信息系统风险评估是系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件可能造成的危害程度,提出有针对性的安全防护策略和整改措施


    正确答案: B
    解析: 暂无解析

  • 第24题:

    单选题
    如何对信息安全风险评估的过程进行质量监控和管理?()
    A

    对风险评估发现的漏洞进行确认

    B

    针对风险评估的过程文档和结果报告进行监控和审查

    C

    对风险评估的信息系统进行安全调查

    D

    对风险控制测措施有有效性进行测试


    正确答案: B
    解析: 暂无解析

相关内容