1. 以下对信息安全描述不正确的是
A.信息安全的基本要素包括保密性、完整性和可用性
B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性
C.信息安全就是不出安全事故/事件
D.信息安全不仅仅只考虑防止信息泄密就可以了
【答案】 C
2. 以下对信息安全管理的描述错误的是
A.保密性、完整性、可用性
B.抗抵赖性、可追溯性
C.真实性私密性可靠性
D.增值性
【答案】 D
3. 以下对信息安全管理的描述错误的是
A.信息安全管理的核心就是风险管理
B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性
C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂
D.信息安全管理工作的重点是信息系统,而不是人
【答案】 D
4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是
A. 不需要全体员工的参入,只要IT部门的人员参入即可
B. 来自高级管理层的明确的支持和承诺
C.对企业员工提供必要的安全意识和技能的培训和教育
D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行
【答案】 A
5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是
A. ISMS是一个遵循PDCA模式的动态发展的体系
B. ISMS是一个文件化、系统化的体系
C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定
D. ISMS应该是一步到位的,应该解决所有的信息安全问题
【答案】 D
6. PDCA特征的描述不正确的是
A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题
B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题
C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足
D. 信息安全风险管理的思路不符合PDCA的问题解决思路
【答案】 D
7. 以下哪个不是信息安全项目的需求来源
A. 国家和地方政府法律法规与合同的要求
B. 风险评估的结果
C.组织原则目标和业务需要
D. 企业领导的个人意志
【答案】 D
8. ISO27001认证项目一般有哪几个阶段?
A. 管理评估,技术评估,操作流程评估
B. 确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证
C.产品方案需求分析,解决方案提供,实施解决方案
D. 基础培训,RA培训,文件编写培训,内部审核培训
【答案】 B
9. 构成风险的关键因素有哪些?
A. 人,财,物
B. 技术,管理和操作
C.资产,威胁和弱点
D. 资产,可能性和严重性
【答案】 C
10. 以下哪些不是应该识别的信息资产?
A. 网络设备
B.客户资料
C. 办公桌椅
D. 系统管理员
【答案】 C
11. 以下哪些是可能存在的威胁因素?B
A. 设备老化故障
B.病毒和蠕虫
C. 系统设计缺陷
D. 保安工作不得力
【答案】 B
12. 以下哪些不是可能存在的弱点问题?
A. 保安工作不得力
B.应用系统存在Bug
C. 内部人员故意泄密
D. 物理隔离不足
【答案】 C
13. 风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?
A. 只识别与业务及信息系统有关的信息资产,分类识别
B.所有公司资产都要识别
C. 可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产
D. 资产识别务必明确责任人、保管者和用户
【答案】 B
14. 风险分析的目的是?
A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;
B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;
C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;
D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;
【答案】 C
15. 对于信息安全风险的描述不正确的是?
A. 企业信息安全风险管理就是要做到零风险
B. 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性
C.风险管理(Risk Management)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
D. 风险评估(Risk Assessment)就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。
【答案】 A
16. 有关定性风险评估和定量风险评估的区别,以下描述不正确的是
A. 定性风险评估比较主观,而定量风险评估更客观
B. 定性风险评估容易实施,定量风险评估往往数据准确性很难保证
C.定性风险评估更成熟,定量风险评估还停留在理论阶段
D. 定性风险评估和定量风险评估没有本质区别,可以通用
【答案】 D
17. 降低企业所面临的信息安全风险,可能的处理手段不包括哪些
A. 通过良好的系统设计、及时更新系统补丁,降低或减少信息系统自身的缺陷
B. 通过数据备份、双机热备等冗余手段来提升信息系统的可靠性;
C.建立必要的安全制度和部署必要的技术手段,防范黑客和恶意软件的攻击
D. 通过业务外包的方式,转嫁所有的安全风险
【答案】 D
18. 风险评估的基本过程是怎样的?
A. 识别并评估重要的信息资产,识别各种可能的威胁和严重的弱点,最终确定风险
B. 通过以往发生的信息安全事件,找到风险所在
C.风险评估就是对照安全检查单,查看相关的管理和技术措施是否到位
D. 风险评估并没有规律可循,完全取决于评估者的经验所在
【答案】 A
19. 企业从获得良好的信息安全管控水平的角度出发,以下哪些行为是适当的
A. 只关注外来的威胁,忽视企业内部人员的问题
B. 相信来自陌生人的邮件,好奇打开邮件附件
C.开着电脑离开,就像离开家却忘记关灯那样
D. 及时更新系统和安装系统和应用的补丁
【答案】 D
20. 以下对ISO27001标准的描述不正确的是
A. 企业通过ISO27001认证则必须符合ISO27001信息安全管理体系规范的所有要求
B. ISO27001标准与信息系统等级保护等国家标准相冲突
C.ISO27001是源自于英国的国家标准BS7799
D. ISO27001是当前国际上最被认可的信息安全管理标准
【答案】 B
21. 对安全策略的描述不正确的是
A. 信息安全策略(或者方针)是由组织的最高管理者正式制订和发布的描述企业信息安全目标和方向,用于指导信息安全管理体系的建立和实施过程
B. 策略应有一个属主,负责按复查程序维护和复查该策略
C.安全策略的内容包括管理层对信息安全目标和原则的声明和承诺;
D. 安全策略一旦建立和发布,则不可变更;
【答案】 D
22. 以下对企业信息安全活动的组织描述不正确的是
A. 企业应该在组织内建立发起和控制信息安全实施的管理框架。
B. 企业应该维护被外部合作伙伴或者客户访问和使用的企业信息处理设施和信息资产的安全。
C.在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定。
D. 企业在开展业务活动的过程中,应该完全相信员工,不应该对内部员工采取安全管控措施
【答案】 D
23. 企业信息资产的管理和控制的描述不正确的是
A. 企业应该建立和维护一个完整的信息资产清单,并明确信息资产的管控责任;
B. 企业应该根据信息资产的重要性和安全级别的不同要求,采取对应的管控措施;
C.企业的信息资产不应该分类分级,所有的信息系统要统一对待
D. 企业可以根据业务运作流程和信息系统拓扑结构来识别所有的信息资产
【答案】 C
24. 有关人员安全的描述不正确的是
A. 人员的安全管理是企业信息安全管理活动中最难的环节
B. 重要或敏感岗位的人员入职之前,需要做好人员的背景检查
C.企业人员预算受限的情况下,职责分离难以实施,企业对此无能为力,也无需做任何工作
D. 人员离职之后,必须清除离职员工所有的逻辑访问帐号
【答案】 C
25. 以下有关通信与日常操作描述不正确的是
A. 信息系统的变更应该是受控的
B. 企业在岗位设计和人员工作分配时应该遵循职责分离的原则
C.移动介质使用是一个管理难题,应该采取有效措施,防止信息泄漏
D. 内部安全审计无需遵循独立性、客观性的原则
【答案】 D
26. 以下有关访问控制的描述不正确的是
A. 口令是最常见的验证身份的措施,也是重要的信息资产,应妥善保护和管理
B. 系统管理员在给用户分配访问权限时,应该遵循“最小特权原则”,即分配给员工的访问权限只需满足其工作需要的权限,工作之外的权限一律不能分配
C.单点登录系统(一次登录/验证,即可访问多个系统)最大的优势是提升了便利性,但是又面临着“把所有鸡蛋放在一个篮子”的风险;
D. 双因子认证(又称强认证)就是一个系统需要两道密码才能进入;
【答案】 D
27. 有关信息系统的设计、开发、实施、运行和维护过程中的安全问题,以下描述错误的是
A. 信息系统的开发设计,应该越早考虑系统的安全需求越好
B. 信息系统的设计、开发、实施、运行和维护过程中的安全问题,不仅仅要考虑提供一个安全的开发环境,同时还要考虑开发出安全的系统
C.信息系统在加密技术的应用方面,其关键是选择密码算法,而不是密钥的管理
D. 运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险
【答案】 C
28. 有关信息安全事件的描述不正确的是
A. 信息安全事件的处理应该分类、分级
B. 信息安全事件的数量可以反映企业的信息安全管控水平
C.某个时期内企业的信息安全事件的数量为零,这意味着企业面临的信息安全风险很小
D. 信息安全事件处理流程中的一个重要环节是对事件发生的根源的追溯,以吸取教训、总结经验,防止类似事情再次发生
【答案】 C
29. 以下有关信息安全方面的业务连续性管理的描述,不正确的是
A. 信息安全方面的业务连续性管理就是要保障企业关键业务在遭受重大灾难/破坏时,能够及时恢复,保障企业业务持续运营
B. 企业在业务连续性建设项目一个重要任务就是识别企业关键的、核心业务
C.业务连续性计划文档要随着业务的外部环境的变化,及时修订连续性计划文档
D. 信息安全方面的业务连续性管理只与IT部门相关,与其他业务部门人员无须参入
【答案】 D
30. 企业信息安全事件的恢复过程中,以下哪个是最关键的?
A. 数据
B. 应用系统
C.通信链路
D. 硬件/软件
【答案】 A
31. 企业ISMS(信息安全管理体系)建设的原则不包括以下哪个
A. 管理层足够重视
B. 需要全员参与
C.不必遵循过程的方法
D. 需要持续改进
【答案】 C
32. PDCA特征的描述不正确的是
A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题
B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题
C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足
D. 信息安全风险管理的思路不符合PDCA的问题解决思路
【答案】 D
33. 对于在ISMS内审中所发现的问题,在审核之后应该实施必要的改进措施并进行跟踪和评价,以下描述不正确的是?
A. 改进措施包括纠正和预防措施
B. 改进措施可由受审单位提出并实施
C.不可以对体系文件进行更新或修改
D. 对改进措施的评价应该包括措施的有效性的分析
【答案】 C
34. ISMS的审核的层次不包括以下哪个?
A. 符合性审核
B. 有效性审核
C.正确性审核
D. 文件审核
【答案】 C
35. 以下哪个不可以作为ISMS管理评审的输入
A. ISMS审计和评审的结果
B. 来自利益伙伴的反馈
C. 某个信息安全项目的技术方案
D. 预防和纠正措施的状态
【答案】 C
36. 有关认证和认可的描述,以下不正确的是
A. 认证就是第三方依据程序对产品、过程、服务符合规定要求给予书面保证(合格证书)
B. 根据对象的不同,认证通常分为产品认证和体系认证
C.认可是由某权威机构依据程序对某团体或个人具有从事特定任务的能力给予的正式承认
D. 企业通过ISO27001认证则说明企业符合ISO27001和ISO27002标准的要求
【答案】 D
37. 信息的存在及传播方式
A. 存在于计算机、磁带、纸张等介质中
B. 记忆在人的大脑里
C.. 通过网络打印机复印机等方式进行传播
D. 通过投影仪显示
【答案】 D
38. 下面哪个组合不是是信息资产
A. 硬件、软件、文档资料
B. 关键人员
C.. 组织提供的信息服务
D. 桌子、椅子
【答案】 D
39. 实施ISMS内审时,确定ISMS的控制目标、控制措施、过程和程序应该要符合相关要求,以下哪个不是?
A. 约定的标准及相关法律的要求
B.已识别的安全需求
C. 控制措施有效实施和维护
D. ISO13335风险评估方法
【答案】 D
40. 以下对审核发现描述正确的是
A. 用作依据的一组方针、程序或要求
B.与审核准则有关的并且能够证实的记录、事实陈述或其他信息
C. 将收集到的审核证据依照审核准则进行评价的结果,可以是合格/符合项,也可以是不合格/不符合项
D. 对审核对象的物理位置、组织结构、活动和过程以及时限的描述
【答案】 C
41. ISMS审核常用的审核方法不包括?
A. 纠正预防
B.文件审核
C. 现场审核
D. 渗透测试
【答案】 A
42. ISMS的内部审核员(非审核组长)的责任不包括?
A. 熟悉必要的文件和程序;
B.根据要求编制检查列表;
C. 配合支持审核组长的工作,有效完成审核任务;
D. 负责实施整改内审中发现的问题;
【答案】 D
43. 审核在实施审核时,所使用的检查表不包括的内容有?
A. 审核依据
B.审核证据记录
C. 审核发现
D. 数据收集方法和工具
【答案】 C
44. ISMS审核时,首次会议的目的不包括以下哪个?
A. 明确审核目的、审核准则和审核范围
B.明确审核员的分工
C. 明确接受审核方责任,为配合审核提供必要资源和授权
D. 明确审核进度和审核方法,且在整个审核过程中不可调整
【答案】 D
45. ISMS审核时,对审核发现中,以下哪个是属于严重不符合项?
A. 关键的控制程序没有得到贯彻,缺乏标准规定的要求可构成严重不符合项
B.风险评估方法没有按照ISO27005(信息安全风险管理)标准进行
C. 孤立的偶发性的且对信息安全管理体系无直接影响的问题;
D. 审核员识别的可能改进项
【答案】 D
46. 以下关于ISMS内部审核报告的描述不正确的是?
A. 内审报告是作为内审小组提交给管理者代表或最高管理者的工作成果
B.内审报告中必须包含对不符合性项的改进建议
C. 内审报告在提交给管理者代表或者最高管理者之前应该受审方管理者沟通协商,核实报告内容。
D. 内审报告中必须包括对纠正预防措施实施情况的跟踪
【答案】 D
47. 信息系统审核员应该预期谁来授权对生产数据和生产系统的访问?
A.流程所有者
B.系统管理员
C.安全管理员
D.数据所有者
【答案】 D
48. 当保护组织的信息系统时,在网络防火墙被破坏以后,通常的下一道防线是下列哪一项?
A. 个人防火墙
B.防病毒软件
C.入侵检测系统
D.虚拟局域网设置
【答案】 C
49. 负责授权访问业务系统的职责应该属于:
A.数据拥有者
B.安全管理员
C. IT 安全经理
D.请求者的直接上司
【答案】 A
50. 在提供给一个外部代理商访问信息处理设施前,一个组织应该怎么做?
A.外部代理商的处理应该接受一个来自独立代理进行的IS 审计。
B.外部代理商的员工必须接受该组织的安全程序的培训。
C. 来自外部代理商的任何访问必须限制在停火区(DMZ)
D.该组织应该进行风险评估,并制定和实施适当的控制。
【答案】 D
51. 处理报废电脑的流程时,以下哪一个选项对于安全专业人员来说是最重要考虑的内容?
A.在扇区这个级别上,硬盘已经被多次重复写入,但是在离开组织前没有进行重新格式化。
B.硬盘上所有的文件和文件夹都分别删除了,并在离开组织进行重新格式化。
C. 在离开组织前,通过在硬盘特定位置上洞穿盘片,进行打洞,使得硬盘变得不可读取。
D.由内部的安全人员将硬盘送到附近的金属回收公司,对硬盘进行登记并粉碎。
【答案】 B
52. 一个组织已经创建了一个策略来定义用户禁止访问的网站类型。哪个是最有效的技术来达成这个策略?
A.A.状态检测防火墙
B.B.网页内容过滤
C..网页缓存服务器
D.D.代理服务器
【答案】 B
53. 当组织将客户信用审查系统外包给第三方服务提供商时,下列哪一项是信息安全专业人士最重要的考虑因素?该提供商:
A.满足并超过行业安全标准
B.同意可以接受外部安全审查
C.其服务和经验有很好的市场声誉
D.符合组织的安全策略
【答案】 D
54. 一个组织将制定一项策略以定义了禁止用户访问的WEB 站点类型。为强制执行这一策略,最有效的技术是什么?
A.状态检测防火墙
B.WE内容过滤器
C.WEB 缓存服务器
D.应该代理服务器
【答案】 B
55. 在制定一个正式的企业安全计划时,最关键的成功因素将是?
A.成立一个审查委员会
B.建立一个安全部门
C.向执行层发起人提供有效支持
D.选择一个安全流程的所有者
【答案】 C
56. 对业务应用系统授权访问的责任属于:
A.数据所有者
B.安全管理员
C.IT 安全经理
D.申请人的直线主管
【答案】 A
57. 下列哪一项是首席安全官的正常职责?
A.定期审查和评价安全策略
B.执行用户应用系统和软件测试与评价
C.授予或废除用户对IT 资源的访问权限
D.批准对数据和应用系统的访问权限
【答案】 B
58. 向外部机构提供其信息处理设施的物理访问权限前,组织应当做什么?
A.该外部机构的过程应当可以被独立机构进行IT 审计
B.该组织应执行一个风险评估,设计并实施适当的控制
C.该外部机构的任何访问应被限制在DMZ 区之内
D.应当给该外部机构的员工培训其安全程序
【答案】 B
59. 某组织的信息系统策略规定,终端用户的ID 在该用户终止后90 天内失效。组织的信息安全内审核员应:
A.报告该控制是有效的,因为用户ID 失效是符合信息系统策略规定的时间段的
B.核实用户的访问权限是基于用所必需原则的
C.建议改变这个信息系统策略,以保证用户ID 的失效与用户终止一致
D.建议终止用户的活动日志能被定期审查
【答案】 C
60. 减少与钓鱼相关的风险的最有效控制是:
A.系统的集中监控
B.钓鱼的信号包括在防病毒软件中
C.在内部网络上发布反钓鱼策略
D.对所有用户进行安全培训
【答案】 D
61. 在人力资源审计期间,安全管理体系内审员被告知在IT 部门和人力资源部门中有一个关于期望的IT 服务水平的口头协议。安全管理体系内审员首先应该做什么?
A.为两部门起草一份服务水平协议
B.向高级管理层报告存在未被书面签订的协议
C.向两部门确认协议的内容
D.推迟审计直到协议成为书面文档
【答案】 C
62. 下面哪一个是定义深度防御安全原则的例子?
A.使用由两个不同提供商提供的防火墙检查进入网络的流量
B.在主机上使用防火墙和逻辑访问控制来控制进入网络的流量
C.在数据中心建设中不使用明显标志
D.使用两个防火墙检查不同类型进入网络的流量
【答案】 A
63. 下面哪一种是最安全和最经济的方法,对于在一个小规模到一个中等规模的组织中通过互联网连接私有网络?
A. 虚拟专用网
B.专线
C. 租用线路
D. 综合服务数字网.
【答案】 A
64. 通过社会工程的方法进行非授权访问的风险可以通过以下方法避免:
A. 安全意识程序
B.非对称加密
C. 入侵侦测系统
D. 非军事区
【答案】 A
65. 在安全人员的帮助下,对数据提供访问权的责任在于:
A. 数据所有者.
B.程序员
C. 系统分析师.
D. 库管员
【答案】 A
66. 信息安全策略,声称"密码的显示必须以掩码的形式"的目的是防范下面哪种攻击风险?
A. 尾随
B.垃圾搜索
C. 肩窥
D. 冒充
【答案】 C
67. 管理体系审计员进行通信访问控制审查,首先应该关注:
A. 维护使用各种系统资源的访问日志
B.在用户访问系统资源之前的授权和认证
C. 通过加密或其他方式对存储在服务器上数据的充分保护
D. 确定是否可以利用终端系统资源的责任制和能力.
【答案】 D
68. 下列哪一种防病毒软件的实施策略在内部公司网络中是最有效的:
A. 服务器防毒软件
B.病毒墙
C. 工作站防病毒软件
D. 病毒库及时更新
【答案】 D
69. 测试程序变更管理流程时,安全管理体系内审员使用的最有效的方法是:
A.由系统生成的信息跟踪到变更管理文档
B.检查变更管理文档中涉及的证据的精确性和正确性
C. 由变更管理文档跟踪到生成审计轨迹的系统
D. 检查变更管理文档中涉及的证据的完整性
【答案】 A
70. 内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能:
A.导致对其审计独立性的质疑
B.报告较多业务细节和相关发现
C. 加强了审计建议的执行
D. 在建议中采取更对有效行动
【答案】 A
71. 下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的?
A.完整性控制的需求是基于风险分析的结果
B.控制已经过了测试
C. 安全控制规范是基于风险分析的结果
D. 控制是在可重复的基础上被测试的
【答案】 D
72. 下列哪一种情况会损害计算机安全策略的有效性?
A.发布安全策略时
B.重新检查安全策略时
C. 测试安全策略时
D. 可以预测到违反安全策略的强制性措施时
【答案】 D
73. 组织的安全策略可以是广义的,也可以是狭义的,下面哪一条是属于广义的安全策略?
A.应急计划
B.远程办法
C. 计算机安全程序
D. 电子邮件个人隐私
【答案】 C
74. 基本的计算机安全需求不包括下列哪一条:
A.安全策略和标识
B.绝对的保证和持续的保护
C. 身份鉴别和落实责任
D. 合理的保证和连续的保护
【答案】 B
75. 软件的盗版是一个严重的问题。在下面哪一种说法中反盗版的策略和实际行为是矛盾的?
A.员工的教育和培训
B.远距离工作(Telecommuting)与禁止员工携带工作软件回家
C. 自动日志和审计软件
D. 策略的发布与策略的强制执行
【答案】 B
76. 组织内数据安全官的最为重要的职责是:
A.推荐并监督数据安全策略
B.在组织内推广安全意识
C. 制定IT安全策略下的安全程序/流程
D. 管理物理和逻辑访问控制
【答案】 A
77. 下面哪一种方式,能够最有效的约束雇员只能履行其分内的工作?
A.应用级访问控制
B.数据加密
C. 卸掉雇员电脑上的软盘和光盘驱动器
D. 使用网络监控设备
【答案】 A
78. 内部审计师发现不是所有雇员都了解企业的信息安全策略。内部审计师应当得出以下哪项结论:
A.这种缺乏了解会导致不经意地泄露敏感信息
B.信息安全不是对所有职能都是关键的
C. IS审计应当为那些雇员提供培训
D. 该审计发现应当促使管理层对员工进行继续教育
【答案】 A
79. 设计信息安全策略时,最重要的一点是所有的信息安全策略应该:
A. 非现场存储
B.b) 由IS经理签署
C. 发布并传播给用户
D. 经常更新
【答案】 C
80. 负责制定、执行和维护内部安全控制制度的责任在于:
A. IS审计员.
B.管理层.
C.外部审计师.
D.程序开发人员.
【答案】 B
81. 组织与供应商协商服务水平协议,下面哪一个最先发生?
A.制定可行性研究.
B.检查是否符合公司策略.
C.草拟服务水平协议.
D.草拟服务水平要求
【答案】 B
82. 以下哪一个是数据保护的最重要的目标?
A.确定需要访问信息的人员
B.确保信息的完整性
C.拒绝或授权对系统的访问
D.监控逻辑访问
【答案】 A
83. 在逻辑访问控制中如果用户账户被共享,这种局面可能造成的最大风险是:
A.非授权用户可以使用ID擅自进入.
B.用户访问管理费时.
C.很容易猜测密码.
D.无法确定用户责任
【答案】 D
84. 作为信息安全治理的成果,战略方针提供了:
A.企业所需的安全要求
B.遵从最佳实务的安全基准
C. 日常化制度化的解决方案
D. 风险暴露的理解
【答案】 A
85. 企业由于人力资源短缺,IT支持一直以来由一位最终用户兼职,最恰当的补偿性控制是:
A.限制物理访问计算设备
B.检查事务和应用日志
C. 雇用新IT员工之前进行背景调查
D. 在双休日锁定用户会话
【答案】 B
86. 关于安全策略的说法,不正确的是
A.得到安全经理的审核批准后发布
B. 应采取适当的方式让有关人员获得并理解最新版本的策略文档
C.控制安全策略的发布范围,注意保密
D.系统变更后和定期的策略文件评审和改进
【答案】 A
87. 哪一项不是管理层承诺完成的?
A.确定组织的总体安全目标
B. 购买性能良好的信息安全产品
C.推动安全意识教育
D. 评审安全策略的有效性
【答案】 B
88. 安全策略体系文件应当包括的内容不包括
A.信息安全的定义、总体目标、范围及对组织的重要性
B.对安全管理职责的定义和划分
C. 口令、加密的使用是阻止性的技术控制措施;
D. 违反安全策略的后果
【答案】 C
89. 对信息安全的理解,正确的是
A.信息资产的保密性、完整性和可用性不受损害的能力,是通过信息安全保障措施实现的
B. 通过信息安全保障措施,确保信息不被丢失
C. 通过信息安全保证措施,确保固定资产及相关财务信息的完整性
D. 通过技术保障措施,确保信息系统及财务数据的完整性、机密性及可用性
【答案】 A
90. 以下哪项是组织中为了完成信息安全目标,针对信息系统,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动?
A.反应业务目标的信息安全方针、目标以及活动;
B.来自所有级别管理者的可视化的支持与承诺;
C.提供适当的意识、教育与培训
D.以上所有
【答案】 D
91. 信息安全管理体系要求的核心内容是?
A.风险评估
B.关键路径法
C.PDCA循环
D.PERT
【答案】 C
92. 有效减少偶然或故意的未授权访问、误用和滥用的有效方法是如下哪项?
A.访问控制
B.职责分离
C.加密
D.认证
【答案】 B
93. 下面哪一项组成了CIA三元组?
A.保密性,完整性,保障
B.保密性,完整性,可用性
C.保密性,综合性,保障
D.保密性,综合性,可用性
【答案】 B
94. 在信息安全策略体系中,下面哪一项属于计算机或信息安全的强制性规则?
A.标准(Standard)
B.安全策略(Security policy)
C.方针(Guideline)
D.流程(Procedure)
【答案】 A
95. 在许多组织机构中,产生总体安全性问题的主要原因是:
A.缺少安全性管理
B.缺少故障管理
C.缺少风险分析
D.缺少技术控制机制
【答案】 A
96. 下面哪一项最好地描述了风险分析的目的?
A.识别用于保护资产的责任义务和规章制度
B.识别资产以及保护资产所使用的技术控制措施
C.识别资产、脆弱性并计算潜在的风险
D.识别同责任义务有直接关系的威胁
【答案】 C
97. 以下哪一项对安全风险的描述是准确的?
A.安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性。
B.安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实。
C.安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性
D.安全风险是指资产的脆弱性被威胁利用的情形。
【答案】 C
98. 以下哪些不属于脆弱性范畴?
A.黑客攻击
B.操作系统漏洞
C.应用程序BUG
D.人员的不良操作习惯
【答案】 A
99. 依据信息系统安全保障模型,以下那个不是安全保证对象
A.机密性
B.管理
C.过程
D.人员
【答案】 A
100. 以下哪一项是已经被确认了的具有一定合理性的风险?
A.总风险
B.最小化风险
C.可接受风险
D.残余风险
【答案】 C
101. 以下哪一种人给公司带来最大的安全风险?
A.临时工
B.咨询人员
C.以前员工
D.当前员工
【答案】 D
102. 一组将输入转化为输出的相互关联或相互作用的什么叫做过程?
A.数据
B.信息流
C.活动
D.模块
【答案】 C
103. 系统地识别和管理组织所应用的过程,特别是这些过程之间的相互作用,称为什么?
A.戴明循环
B.过程方法
C.管理体系
D. 服务管理
【答案】 B
104. 拒绝式服务攻击会影响信息系统的哪个特性?
A.完整性
B.可用性
C.机密性
D.可控性
【答案】 B
105. 在信息系统安全中,风险由以下哪两种因素共同构成的?
A.攻击和脆弱性
B.威胁和攻击
C.威胁和脆弱性
D.威胁和破坏
【答案】 C
106. 在信息系统安全中,暴露由以下哪两种因素共同构成的?
A.攻击和脆弱性
B.威胁和攻击
C.威胁和脆弱性
D.威胁和破坏
【答案】 A
107. 信息安全管理最关注的是?
A.外部恶意攻击
B.病毒对PC的影响
C.内部恶意攻击
D. 病毒对网络的影响
【答案】 C
108. 从风险管理的角度,以下哪种方法不可取?
A.接受风险
B.分散风险
C.转移风险
D.拖延风险
【答案】 D
109. ISMS文档体系中第一层文件是?
A.信息安全方针政策
B.信息安全工作程序
C.信息安全作业指导书
D.信息安全工作记录
【答案】 A
110. 以下哪种风险被定义为合理的风险?
A.最小的风险
B.可接收风险
C.残余风险
D.总风险
【答案】 B
111. 从目前的情况看,对所有的计算机系统来说,以下哪种威胁是最为严重的,可能造成巨大的损害?
A.没有充分训练或粗心的用户
B.第三方
C.黑客
D.心怀不满的雇员
【答案】 D
112. 如果将风险管理分为风险评估和风险减缓,那么以下哪个不属于风险减缓的内容?
A.计算风险
B.选择合适的安全措施
C.实现安全措施
D.接受残余风险
【答案】 A
113. 通常最好由谁来确定系统和数据的敏感性级别?
A.审计师
B.终端用户
C.拥有者
D.系统分析员
【答案】 C
114. 风险分析的目的是?
A.在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;
B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;
C.在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;
D.在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;
【答案】 C
115. 以下哪个不属于信息安全的三要素之一?
A. 机密性
B. 完整性
C.抗抵赖性
D.可用性
【答案】 C
116. ISMS指的是什么?
A.信息安全管理
B.信息系统管理体系
C.信息系统管理安全
D.信息安全管理体系
【答案】 D
117. 在确定威胁的可能性时,可以不考虑以下哪个?
A. 威胁源
B.潜在弱点
C.现有控制措施
D.攻击所产生的负面影响
【答案】 D
118. 在风险分析中,以下哪种说法是正确的?
A.定量影响分析的主要优点是它对风险进行排序并对那些需要立即改善的环节进行标识。
B. 定性影响分析可以很容易地对控制进行成本收益分析。
C.定量影响分析不能用在对控制进行的成本收益分析中。
D. 定量影响分析的主要优点是它对影响大小给出了一个度量
【答案】 D
119. 通常情况下,怎样计算风险?
A.将威胁可能性等级乘以威胁影响就得出了风险。
B. 将威胁可能性等级加上威胁影响就得出了风险。
C.用威胁影响除以威胁的发生概率就得出了风险。
D. 用威胁概率作为指数对威胁影响进行乘方运算就得出了风险。
【答案】 A
120. 资产清单可包括?
A.服务及无形资产
B.信息资产
C.人员
D.以上所有
【答案】 D
121. 评估IT风险被很好的达到,可以通过:
A.评估IT资产和IT项目总共的威胁
B.用公司的以前的真的损失经验来决定现在的弱点和威胁
C.审查可比较的组织出版的损失数据
D.一句审计拔高审查IT控制弱点
【答案】 A
122. 在部署风险管理程序的时候,哪项应该最先考虑到:
A.组织威胁,弱点和风险概括的理解
B. 揭露风险的理解和妥协的潜在后果
C. 基于潜在结果的风险管理优先级的决心
D. 风险缓解战略足够在一个可以接受的水平上保持风险的结果
【答案】 A
123. 为了解决操作人员执行日常备份的失误,管理层要求系统管理员签字日常备份,这是一个风险……例子:
A.防止
B.转移
C. 缓解
D.接受
【答案】 C
124. 以下哪项不属于PDCA循环的特点?
A.按顺序进行,它靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环
B.组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题
C.每通过一次PDCA 循环,都要进行总结,提出新目标,再进行第二次PDCA 循环
D.D.组织中的每个部分,不包括个人,均可以PDCA循环,大环套小环,一层一层地解决问题
【答案】 D
125. 戴明循环执行顺序,下面哪项正确?
A..PLAN-ACT-DO-CHECK
B. CHECK-PLAN-ACT-DO
C. PLAN-DO-CHECK-ACT
D. ACT-PLAN-CHECK-DO
【答案】 C
126. 建立ISMS的第一步是?
A.风险评估
B.设计ISMS文档
C. 明确ISMS范围
D. 确定ISMS 策略
【答案】 C
127. 建立ISMS的步骤正确的是?
A.明确ISMS范围-确定ISMS策略-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺(审批)
B.定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺(审批)-确定ISMS策略
C.确定ISMS策略-明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺(审批)
D.明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-确定ISMS策略-设计ISMS文件-进行管理者承诺(审批)
【答案】 A
128. 除以下哪项可作为ISMS审核(包括内审和外审)的依据,文件审核、现场审核的依据?
A.机房登记记录
B.信息安全管理体系
C.权限申请记录
D.离职人员的口述
【答案】 D
129. 以下哪项是 ISMS文件的作用?
A. 是指导组织有关信息安全工作方面的内部“法规”--使工作有章可循。
B.是控制措施(controls)的重要部分
C.提供客观证据--为满足相关方要求,以及持续改进提供依据
D.以上所有
【答案】 D
130. 以下哪项不是记录控制的要求?
A.清晰、易于识别和检索
B.记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施
C. 建立并保持,以提供证据
D.记录应尽可能的达到最详细
【答案】 D
131. 下面哪项是信息安全管理体系中CHECK(检查)中的工作内容?
A.按照计划的时间间隔进行风险评估的评审
B.实施所选择的控制措施
C.采取合适的纠正和预防措施。从其它组织和组织自身的安全经验中吸取教训
D.确保改进达到了预期目标
【答案】 A
132. 指导和规范信息安全管理的所有活动的文件叫做?
A.过程
B.安全目标
C.安全策略
D.安全范围
【答案】 C
133. 信息安全管理措施不包括:
A. 安全策略
B.物理和环境安全
C.访问控制
D.安全范围
【答案】 D
134. 下面安全策略的特性中,不包括哪一项?
A. 指导性
B.静态性
C.可审核性
D.非技术性
【答案】 B
135. 信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行,下面哪项包括非典型的安全协调应包括的人员?
A.管理人员、用户、应用设计人员
B.系统运维人员、内部审计人员、安全专员
C.内部审计人员、安全专员、领域专家
D.应用设计人员、内部审计人员、离职人员
【答案】 D
136. 下面那一项不是风险评估的目的?
A.分析组织的安全需求
B.制订安全策略和实施安防措施的依据
C.组织实现信息安全的必要的、重要的步骤
D.完全消除组织的风险
【答案】 D
137. 下面那个不是信息安全风险的要素?
A.资产及其价值
B.数据安全
C.威胁
D.控制措施
【答案】 B
138. 信息安全风险管理的对象不包括如下哪项
A.信息自身
B.信息载体
C.信息网络
D.信息环境
【答案】 C
139. 信息安全风险管理的最终责任人是?
A.决策层
B.管理层
C.执行层
D.支持层
【答案】 A
140. 信息安全风险评估对象确立的主要依据是什么
A.系统设备的类型
B.系统的业务目标和特性
C.系统的技术架构
D.系统的网络环境
【答案】 B
141. 下面哪一项不是风险评估的过程?
A.风险因素识别
B.风险程度分析
C.风险控制选择
D.风险等级评价
【答案】 C
142. 风险控制是依据风险评估的结果,选择和实施合适的安全措施。下面哪个不是风险控制的方式?
A.规避风险
B.转移风险
C.接受风险
D.降低风险
【答案】 C
143. 降低风险的控制措施有很多,下面哪一个不属于降低风险的措施?
A.在网络上部署防火墙
B.对网络上传输的数据进行加密
C.制定机房安全管理制度
D.购买物理场所的财产保险
【答案】 D
144. 信息安全审核是指通过审查、测试、评审等手段,检验风险评估和风险控制的结果是否满足信息系统的安全要求,这个工作一般由谁完成?
A.机构内部人员
B.外部专业机构
C.独立第三方机构
D.以上皆可
【答案】 D
145. 如何对信息安全风险评估的过程进行质量监控和管理?
A.对风险评估发现的漏洞进行确认
B.针对风险评估的过程文档和结果报告进行监控和审查
C.对风险评估的信息系统进行安全调查
D.对风险控制测措施有有效性进行测试
【答案】 B
146. 信息系统的价值确定需要与哪个部门进行有效沟通确定?
A.系统维护部门
B.系统开发部门
C.财务部门
D.业务部门
【答案】 D
147. 下面哪一个不是系统规划阶段风险管理的工作内容
A.明确安全总体方针
B.明确系统安全架构
C.风险评价准则达成一致
D.安全需求分析
【答案】 B
148. 下面哪一个不是系统设计阶段风险管理的工作内容
A.安全技术选择
B.软件设计风险控制
C.安全产品选择
D.安全需求分析
【答案】 D
149. 下面哪一个不是系统实施阶段风险管理的工作内容
A.安全测试
B.检查与配置
C.配置变更
D.人员培训
【答案】 C
150. 下面哪一个不是系统运行维护阶段风险管理的工作内容
A.安全运行和管理
B.安全测试
C.变更管理
D.风险再次评估
【答案】 B
151. 下面哪一个不是系统废弃阶段风险管理的工作内容
A.安全测试
B.对废弃对象的风险评估
C.防止敏感信息泄漏
D.人员培训
【答案】 A
152. 系统上线前应当对系统安全配置进行检查,不包括下列哪种安全检查
A.主机操作系统安全配置检查
B.网络设备安全配置检查
C.系统软件安全漏洞检查
D.数据库安全配置检查
【答案】 C
153. 风险评估实施过程中资产识别的依据是什么
A.依据资产分类分级的标准
B.依据资产调查的结果
C.依据人员访谈的结果
D.依据技术人员提供的资产清单
【答案】 A
154. 风险评估实施过程中资产识别的范围主要包括什么类别
A.网络硬件资产
B.数据资产
C.软件资产
D.以上都包括
【答案】 D
155. 风险评估实施过程中脆弱性识别主要包括什么方面
A.软件开发漏洞
B.网站应用漏洞
C.主机系统漏洞
D.技术漏洞与管理漏洞
【答案】 D
156. 下面哪一个不是脆弱性识别的手段
A.人员访谈
B.技术工具检测
C.信息资产核查
D.安全专家人工分析
【答案】 C
157. 信息资产面临的主要威胁来源主要包括
A.自然灾害
B.系统故障
C.内部人员操作失误
D.以上都包括
【答案】 D
158. 下面关于定性风险评估方法的说法正确的是
A.通过将资产价值和风险等量化为财务价值和方式来进行计算的一种方法
B.采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性
C.在后果和可能性分析中采用数值,并采用从各种各样的来源中得到的数据
D.定性风险分析提供了较好的成本效益分析
【答案】 B
159. 下面关于定性风险评估方法的说法不正确的是
A.易于操作,可以对风险进行排序并能够对那些需要立即改善的环节进行标识
B.主观性强,分析结果的质量取决于风险评估小组成员的经验和素质
C."耗时短、成本低、可控性高
"
D.能够提供量化的数据支持,易被管理层所理解和接受
【答案】 D
160. 下面关于定量风险评估方法的说法正确的是
A.易于操作,可以对风险进行排序并能够对那些需要立即改善的环节进行标识
B.能够通过成本效益分析控制成本
C."耗时短、成本低、可控性高
"
D.主观性强,分析结果的质量取决于风险评估小组成员的经验和素质
【答案】 B
161. 年度损失值(ALE)的计算方法是什么
A.ALE=ARO*AV
B.ALE=AV*SLE
C."ALE=ARO*SLE
"
D.ALE=AV*EF
【答案】 C
162. 矩阵分析法通常是哪种风险评估采用的方法
A.定性风险评估
B.定量分析评估
C.安全漏洞评估
D.安全管理评估
【答案】 A
163. 风险评估和管理工具通常是指什么工具
A.漏洞扫描工具
B.入侵检测系统
C.安全审计工具
D.安全评估流程管理工具
【答案】 D
164. 安全管理评估工具通常不包括
A.调查问卷
B.检查列表
C.访谈提纲
D.漏洞扫描
【答案】 D
165. 安全技术评估工具通常不包括
A.漏洞扫描工具
B.入侵检测系统
C.调查问卷
D.渗透测试工具
【答案】 C
166. 对于信息安全管理,风险评估的方法比起基线的方法,主要的优势在于它确保
A.信息资产被过度保护
B.不考虑资产的价值,基本水平的保护都会被实施
C.对信息资产实施适当水平的保护
D.对所有信息资产保护都投入相同的资源
【答案】 C
167. 区别脆弱性评估和渗透测试是脆弱性评估
A.检查基础设施并探测脆弱性,然而穿透性测试目的在于通过脆弱性检测其可能带来的损失
B.和渗透测试为不同的名称但是同一活动
C.是通过自动化工具执行,而渗透测试是一种完全的手动过程
D.是通过商业工具执行,而渗透测试是执行公共进程
【答案】 A
168. 合适的信息资产存放的安全措施维护是谁的责任
A.安全管理员
B.系统管理员
C.数据和系统所有者
D.系统运行组
【答案】 C
169. 要很好的评估信息安全风险,可以通过:
A.评估IT资产和IT项目的威胁
B.用公司的以前的真的损失经验来决定现在的弱点和威胁
C.审查可比较的组织公开的损失统计
D.审查在审计报告中的可识别的IT控制缺陷
【答案】 A
170. 下列哪项是用于降低风险的机制
A.安全和控制实践
B.财产和责任保险
C.审计与认证
D.合同和服务水平协议
【答案】 A
171. 回顾组织的风险评估流程时应首先
A.鉴别对于信息资产威胁的合理性
B.分析技术和组织弱点
C.鉴别并对信息资产进行分级
D.对潜在的安全漏洞效果进行评价
【答案】 C
172. 在实施风险分析期间,识别出威胁和潜在影响后应该
A.识别和评定管理层使用的风险评估方法
B.识别信息资产和基本系统
C.揭示对管理的威胁和影响
D.识别和评价现有控制
【答案】 D
173. 在制定控制前,管理层首先应该保证控制
A.满足控制一个风险问题的要求
B.不减少生产力
C.基于成本效益的分析
D.检测行或改正性的
【答案】 A
174. 在未受保护的通信线路上传输数据和使用弱口令是一种?
A.弱点
B.威胁
C.可能性
D.影响
【答案】 A
175. 数据保护最重要的目标是以下项目中的哪一个
A.识别需要获得相关信息的用户
B.确保信息的完整性
C.对信息系统的访问进行拒绝或授权
D.监控逻辑访问
【答案】 B
176. 对一项应用的控制进行了检查,将会评估
A.该应用在满足业务流程上的效率
B.任何被发现风险影响
C.业务流程服务的应用
D.应用程序的优化
【答案】 B
177. 在评估逻辑访问控制时,应该首先做什么
A.把应用在潜在访问路径上的控制项记录下来
B.在访问路径上测试控制来检测是否他们具功能化
C.按照写明的策略和实践评估安全环境
D.对信息流程的安全风险进行了解
【答案】 D
178. 在评估信息系统的管理风险。首先要查看
A.控制措施已经适当
B.控制的有效性适当
C.监测资产有关风险的机制
D.影响资产的漏洞和威胁
【答案】 D
179. 在开发一个风险管理程序时,什么是首先完成的活动
A.威胁评估
B.数据分类
C.资产清单
D.关键程度分析
【答案】 C
180. 在检查IT安全风险管理程序,安全风险的测量应该
A.列举所有的网络风险
B.对应IT战略计划持续跟踪
C.考虑整个IT环境
D.识别对(信息系统)的弱点的容忍度的结果
【答案】 C
181. 在实施风险管理程序的时候,下列哪一项应该被最先考虑到:
A.组织的威胁,弱点和风险概貌的理解
B.揭露风险的理解和妥协的潜在后果
C.基于潜在结果的风险管理优先级的决心
D.风险缓解战略足够使风险的结果保持在一个可以接受的水平上
【答案】 A
182. 授权访问信息资产的责任人应该是
A.资产保管员
B.安全管理员
C.资产所有人
D.安全主管
【答案】 C
183. 渗透测试作为网络安全评估的一部分
A.提供保证所有弱点都被发现
B.在不需要警告所有组织的管理层的情况下执行
C.找到存在的能够获得未授权访问的漏洞
D.在网络边界上执行不会破坏信息资产
【答案】 C
184. 一个组织的网络设备的资产价值为100000元,一场意外火灾使其损坏了价值的25%,按照经验统计,这种火灾一般每5年发生一次,年预期损失ALE为
A.5000元
本文来源:https://www.2haoxitong.net/k/doc/cb37961724c52cc58bd63186bceb19e8b8f6ec99.html
文档为doc格式