ISMS不一定必须保留的文件化信息有（)

A.组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规范文件等文档是组织的工作标准,也是ISMS审核的依据

B.组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和记录

C.组织在每份文件的首页,加上文件修订跟踪表,以显示每一版本的版本号、发布日期、编写人、审批人、主要修订等内容

D.层次化的文档是ISMS建设的直接体现,文档体系应当依据风险评估的结果建立

A.理解组织的信息安全要求和建立信息安全方针与目标的标准

B.从组织整体业务风险的角度管理组织的信息安全风险

C.监视和评审ISMS的执行情况和有效性

D.基于主观测量的持续改进

A.信息安全风险管理要求

B.ISMS的复杂度

C.是否存在相似场所

D.ISMS的规模

A.信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程

B.信息安全风险评估要评估信息资产面临的威胁，以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响

C.信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法，其结果为信息安全风险管理提供依据

D.信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可靠性等安全属性进行评价的过程

A.对ISMS范围内的信息资产进行鉴定和估价

B.对信息资产面对的各种威胁和脆弱性进行评估

C.对已存在的成规划的安全控制措施进行界定

D.根据评估结果实施相应的安全控制措施

A.建立环境

B.实施风险处理计划

C.持续的监视与评审风险

D.持续改进信息安全管理过程

A.信息安全风险

B.风险处置

C.风险评估

D.风险管理过程

A.信息安全

B.业务风险

C.信息系统防护

D.安全风险

A.收集信息，以准备审核活动和适当的工作文件

B.请受审核方确认ISMS文件审核报告，并签字

C.确认受审核方文件与标准的符合性，并提出改进意见

D.双方就ISMS文件框架交换不同意见

A.风险评估准备阶段

B.风险要素识别阶段

C.风险分析阶段

D.风险结果判定阶段