不测不知道，一测吓一跳。

快看自己能对几道？

1、制定信息安全计划时，应最先执行以下哪个步骤 ？

A.执行技术漏洞评估。

B.分析当前的业务战略。

C.执行业务影响分析。

D.评估当前的安全意识水平。

2、当评估的风险高于组织的既定风险偏好水平但在既定风险容忍度范围内时，组织选择缓解风险的合理原因可能是什么？

A.董事会可能坚持认为应缓解所有超出偏好范围的风险。

B.高级管理层可能更愿意转移风险，而不是正式接受风险。

C.可能有来自关键利益相关方的压力，要求规避超出偏好范围的风险。

D.高级管理层可能担心已知的影响被估计不足。

3、要持续确保外包 IT服务的安全性，以下哪一项是最关键的措施？

A. 为第三方供应商的员工提供安全意识培训。

B. 定期对第三方提供商进行安全审查。

C. 将安全要求纳入服务合同。

D. 要求第三方供应商遵守组织的信息安全政策。

4、以下哪一项是选择安全控制或对策的主要依据 ？

A. 消除IT风险

B. 成本效益平衡

C. 资源管理

D. 受保护的资产数

5、在控制信息泄露时，管理层应首先建立 ：

A.数据泄露预防计划。

B.用户意识培训。

C.信息分类流程。

D.网络入侵检测系统。

6、设计有效的IT安全意识计划时，最重要的成功因素是什么？

A.为目标受众定制内容

B.高级管理层表态

C.对所有层级的员工进行培训

D.用具体案例替代技术行话

7、实施为组织提供软件即服务（SaaS）的云计算解决方案时，信息安全经理应关注的最大问题是什么 ？

A.缺乏关于将数据存储在第三方的明确法规

B.关于正确使用新技术的用户培训

C.网络故障的风险及其导致的应用程序可用性损失

D.敏感数据在传输或存储时泄露的可能性

8、评估是否达成信息安全治理目标时，最适合使用以下哪种工具？

A. SWOT（优势、劣势、机会和威胁）分析

B. 瀑布图

C. 差距分析

D. 平衡计分卡

9、取证调查时，以下哪一项是最重要的因素 ？

A.执行可靠的事故管理流程

B.确认职责范围

C.执法部门的参与

D.资源的专业性

10、治理、风险和合规的概念主要用于：

A.与组织的鉴证职能保持一致。

B.确保政策可解决所有三项活动。

C.呈现正确的安全活动顺序。

D.定义信息安全的责任。

  测试结束  

以上测试题整理来自安全牛课堂CISM认证的相关习题，CISM认证学习的内容针对信息安全风险在业务应用的管理和相关问题的解决，聚焦在信息安全战略、评估系统和政策。掌握成为世界级信息安全经理的关键知识和核心技能，深入理解信息安全和业务目标的关系，学习信息安全项目开发和管理的经验和知识。

正确答案：

BDBBC

ADDDA

CISM是针对信息安全经理人，重点已经不再是个别的技术或者技能，而是移转到整个企业的信息安全管理。CISM备受行业翘楚青睐，如甲方、行业TOP等龙头企业，上市公司、外资合资企业，世界500强企业，金融证券保险行业等。

发证机构：国际信息系统审计协会（ISACA），是全球公认的信息科技管治、监控、保安，以及标准合规的领导组织。

ISACA成立于1969年，除赞助国际会议外，还有出版《信息系统监控期刊》（ISACA Journal），开发国际信息系统的审计与监控标准，以及颁授广受全球接纳的国际公认信息系统审计师（CISA）和国际公认信息保安经理（CISM）专业资格。

CISM在全球的影响力

“

• 根据英国政府2014年网络安全技能报告，CISM是企业招聘时看重的证书

•  CISM是获得澳大利亚政府iRAP认证的先决资格

•  根据Foote PartnersIT技术和证书薪酬指数（ITSCPI）2015年4月1日公布的结果，CISM是薪酬最高的IT职业证书之一

•  根据《认证杂志》2015年工作与薪酬调查，CISM是薪酬最高的证书

• 根据Global Knowledge2015年IT技能与薪酬调查结果，CISM连续2年成为薪酬第二高的证书

•  CISM获得美国国家标准学会认可，归入国际标准ANSI/ISO/IEC 17024

•  CISM连续4年入选SC杂志“最佳职业认证”最终提名澳大利亚信号局将CISM作为其信息安全注册评估体系的先决资格

•  德瑞大学在其信息图“通往安全未来的坦途——信息安全职业之路”中，鼓励从业人员获取CISM证书，这是唯一被提及的证书

•  Global Knowledge将CISM作为网络安全证书列为“2013年八个新兴的IT证书”之一

“

适合人群

首席信息官，首席信息安全官

信息安全经理，风险经理，信息安全管理人员

IT 技术人员、信息安全咨询顾问

风险管理人员、开发人员

需要管理、设计、监督或评估组织信息安全的人员

具备 3-5 年左右信息安全管理经验人员

其他 IT 相关管理人员等

近期培训安排

培训时间：4月11日全球开班，周末直播

5天基础课程：4月11、12、18、19、25日

4天答疑辅导：每周1次，暂定5月开始，具体时间在开班后同步

直播答疑辅导阶段核心内容

信息安全治理

信息风险管理与合规性

信息安全计划开发与管理

信息安全事故管理

围绕4个知识域展开，4次各章节重要知识点讲解 &  4次各章节练习题讲解。

金牌讲师

方乐老师，谷安天下合伙人、资深讲师，nitSMF 认证 ISO20000 咨询顾问，nITIL V3 MALC 高级课程认证, EXIN，nITIL V3 Intermedia 课程认证（SOA, OSA, PPO, RCV），nITIL 服务经理认证, EXIN，nISO27001 主任审核员，n CISA ( 注册信息系统审计师), ，nCISM( 注册信息安全经理)，itSMF 会员，ISACA 会员 超过 18 年 IT 风险管理、服务管理与信息安全领域研究与从业经验，主要从事 IT 服务管理规 划、IT 服务管理体系建立和实施、信息安全风险评估、信息安全管理体系建立和实施等方面工作，具备丰富的 IT 服务管理和信息安全管理咨询实践经验，尤其在金融、运营商、政府行业有丰富的项目实施经经验。

获取认证资料联系您在谷安天下的课程顾问