以下关于信息安全管理体系ISMS的描述，不正确的是哪一项？（)

A.ISMS是一个遵循PDCA模式的动态发展的体系

B.ISMS是一个文件化、系统化的体系

C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定

D.ISMS应该是一步到位的，应该解决所有的信息安全问题

A.“制定ISMS方针”是建立ISMS阶段工作内容

B.“实施培训和意识教育计划”是实施和运行ISMS阶段工作内容

C.“进行有效性测量”是监视和评审ISMS阶段工作内容

D.“实施内部审核”是保持和改进ISMS阶段工作内容

B.ISMS完整实施过程是贯穿信息系统的整个生命周期，而等级保护的完整实施过程贯穿组织或组织某一特定范围的管理体系的整个生命周期，可以与组织或组织的某一特定范围的管理体系同步进行。也可以在其管理体系已建设完成的基础上进行

C.ISMS的建设结果是为组织建立一套ISMS的体系文件，有力的加强本组织的信息安全、而等级测评的结果是给出被测评对象是否达到声明的安全等级要求

D.等级保护制度作为信息安全保障的一项基本制度，兼顾了技术和管理两个方面，重点在于如何利用现有的资源保护重要的信息系统，主要体现了分级分类，保护重点的思想。而ISMS主要从安全管理的角度出发，重点在于组织或其特定范围内建立信息安全方针、政策，安全管理制度和安全管理组织，并使其有效落实，主要体现了安全管理的作用和重要性

信息安全管理体系文件必须包括如下方面()

A. ISMS方针和目标 B. ISMS的范围

C. 支持ISMS的程序和控制措施

D. 风险评估方法的描述 E. 风险评估报告 F.风险处理计划

A.内部审核和管理评审都很重要，都是促进ISMS持续改进的重要动力，也都应当按照一定的周期实施

B.内部审核的实施方式多采用文件审核和现场审核的形式，而管理评审的实施方式多采用召开管理评审会议形式进行

C.内部审核的实施主体组织内部的ISMS内审小组，而管理评审的实施主体是由国家政策指定的第三方技术服务机构

D.组织的信息安全方针、信息安全目标和有关ISMS文件等，在内部审核中作为审核标准使用，但在管理评审总，这些文件时被审对象

A.在组织中，应有信息技术责任部门（如信息中心）制定并颁布信息安全方针，为组织的ISMS建设指明方向并提供总体纲领，明确总体要求

B.组织的管理层应确保ISMS目标和相应的计划得以制定，信息安全管理目标应明确、可度量，风险管理计划应具体、具备可行性

C.组织的信息安全目标、信息安全方针和要求应传达到全组织范围内，应包括全体员工，同时，也应传达客户、合作伙伴和供应商等外部各方

D.组织的管理层应全面了解组织所面临的信息安全风险，决定风险可接受级别和风险可接受准则，并确认接受和相关残余风险

A.在组织中，应由信息技术责任部门（如信息中心）制定并颁布信息安全方针，为组织的ISMS建设指明方向并提供总体纲领，明确总体要求

B.组织的管理层应确保ISMS目标和相应的计划得以制定，信息安全管理目标应明确、可度量，风险管理计划应具体，具备可行性

C.组织的信息安全目标、信息安全方针和要求应传达到全组织范围内，应包括体员工，同时，也应传达到客户、合作伙件和供应商等外部各方

D.组织的管理层应全面了解组织所面临的信息安全风险，决定风险可接受级别和风险可接受准则，并确认接受相关残余风险

A.信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系，包括组织架构、方针、活动、职责及相关实践要素

B.管理体系（Managesent Systems）是为达到组织目标的策略、程序、指南和相关资源的框架，信息安全管理体系是管理体系思想和方法在信息安全领域的应用

C.概念上，信息安全管理体系有广义和狭义之分，狭义的信息安全管理体系是指按照ISO27001标准定义的管理体系，它是一个组织整体管理体系的组成部分

D.同其他管理体系一样，信息安全管理体系也要建立信息安全管理组织机构、健全信息安全管理制度、构建信息安全技术防护体系和加强人员的安全意识等内容

A.《信息安全管理体系要求》

B.《信息安全管理实用规则》

C.《信息安全管理度量》

D.《ISMS实施指南》

A.管理层足够重视

B.需要全员参与

C.不必遵循过程的方法

D.需要持续改进