A.是指导组织有关信息安全工作方面的内部“法规”--使工作有章可循。
B.是控制措施（controls）的重要部分
C.提供客观证据--为满足相关方要求，以及持续改进提供依据
D.以上所有

A.机房登记记录
B.信息安全管理体系
C.权限申请记录
D.离职人员的口述

A.明确ISMS范围-确定ISMS策略-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺（审批）
B.定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺（审批）-确定ISMS策略
C.确定ISMS策略-明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺（审批）
D.明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-确定ISMS策略-设计ISMS文件-进行管理者承诺（审批）

A.风险评估
B.设计ISMS文档
C.明确ISMS范围
D.确定ISMS策略

A.PLAN-ACT-DO-CHECK
B.CHECK-PLAN-ACT-DO
C.PLAN-DO-CHECK-ACT
D.ACT-PLAN-CHECK-DO

A.按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环
B.组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题
C.每通过一次PDCA循环，都要进行总结，提出新目标，再进行第二次PDCA循环
D.组织中的每个部分，不包括个人，均可以PDCA循环，大环套小环，一层一层地解决问题

A.防止
B.转移
C.缓解
D.接受

A.组织威胁，弱点和风险概括的理解
B.揭露风险的理解和妥协的潜在后果
C.基于潜在结果的风险管理优先级的决心
D.风险缓解战略足够在一个可以接受的水平上保持风险的结果

A.评估IT资产和IT项目总共的威胁
B.用公司的以前的真的损失经验来决定现在的弱点和威胁
C.审查可比较的组织出版的损失数据
D.一句审计拔高审查IT控制弱点

A.将威胁可能性等级乘以威胁影响就得出了风险。
B.将威胁可能性等级加上威胁影响就得出了风险。
C.用威胁影响除以威胁的发生概率就得出了风险。
D.用威胁概率作为指数对威胁影响进行乘方运算就得出了风险。

A.威胁源
B.潜在弱点
C.现有控制措施
D.攻击所产生的负面影响