CISM信息安全风险题目及详解.docxVIP

CISM信息安全风险题目及详解

一、单项选择题（共10题，每题1分，共10分）

在CISM信息安全风险管理体系中，对组织整体信息安全风险负有最终责任的主体是以下哪一项？

A.首席信息安全官

B.高级管理层与董事会

C.风险管理部门负责人

D.外部第三方审计机构

答案：B

解析：CISM官方核心治理框架明确规定，董事会和高级管理层作为组织最高决策层，对所有业务相关的信息安全风险负有最终全责。选项A的首席信息安全官仅承担风险管理策略的执行落地责任，不承担最终决策责任；选项C的风险管理部门负责人仅为日常运营层面的风险管控直接责任人；选项D的第三方审计机构仅承担独立合规评估责任，不参与也不负责组织的风险管控结果，因此其余三个选项均不符合要求。

以下关于固有风险的描述，符合CISM定义的是哪一项？

A.已经实施全部安全管控措施后剩余的风险

B.完全没有部署任何安全防护措施时，资产本身自带的原生风险

C.已经被完全转移给第三方服务商的风险

D.低于组织风险可接受阈值的低优先级风险

答案：B

解析：固有风险的核心定义就是在未部署任何安全管控、防护手段的前提下，资产本身面临的原生风险。选项A描述的是残余风险的概念；选项C描述的是已转移风险的属性；选项D描述的是可接受风险的特征，均不符合固有风险的定义。

组织开展信息安全风险评估的首要前置步骤是以下哪一项？

A.识别全部信息资产并完