2. 计算机
  3. Steve, a department manager, has been asked to join a committee that is responsible for defining an acceptable level of risk for

Steve, a department manager, has been asked to join a committee that is responsible for defining an acceptable level of risk for

admin2013-12-19  43
问题 Steve, a department manager, has been asked to join a committee that is responsible for defining an acceptable level of risk for the organization, reviewing risk assessment and audit reports, and approving significant changes to security policies and programs. What committee is he joining?
选项 A、Security policy committee
B、Audit committee
C、Risk management committee
D、Security steering committee
答案D
解析 D正确。Steve加入的是一个负责为企业范围内的战术和战略安全问题做出决策的安全督导委员会。该委员会成员应该遍及整个公司的各个部门,并且至少每季度召开一次会议。除了题中所列出的职责外,该安全督导委员会还负责制定明确的工作需要的版本清单,而这些清单配合并支持该组织业务目标的实现。它应该为实现机密性、完整性和可用性目标提供支持,因为这些都属于组织的商业目标。反过来,这个愿景说明应该得到使命声明的支持,而该使命声明为应用于该组织并且促使其实现业务目标的流程提供支持和定义。
A不正确。因为安全策略委员会是由高层管理者选出的负责制定安全策略的委员会。通常情况下是高层管理者承担这个职责,除非他们把该职责委托给董事会或委员会。安全策略描述了安全在组织内的作用,它们可以针对整个组织,也可以是针对具体问题或具体系统而制定的。安全督导委员会并不直接制定策略,而是对策略进行审核,如果可以接受,则对其进行批准。
B不正确。因为审计委员会的目标是在董事会、管理层、内部审计人员和外部审计人员之间提供独立、开放的沟通。它的职责包括该公司的内部控制系统,独立审计人员的约定和绩效,以及内部审计功能的绩效。该审计委员会会把其发现的结果报告给安全督导委员会,但它不负责监管和批准安全计划的任何部分。
C不正确。因为风险管理委员会的目的是从整体上了解该组织所面临的风险并且协助高层管理者将风险降低到可接受的程度。该委员会不负责监管安全计划。安全督导委员会通常会把涉及信息安全的发现结果报告给风险管理委员会。风险管理委员会必须研究整体的商业风险,而不只是IT安全风险。
转载请注明原文地址:https://kaotiyun.com/show/rNhZ777K
0

CISSP认证

相关试题推荐
随机试题
最新回复(0)