一、单选题
1、根据GB 17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为()等级。
A 5
B 6
C 3
D 4
2、ISMS关键成功因素之一是用于评价信息安全管理执行清况和改进反馈建议的()系统。
A 测量
B 报告
C 传递
D 评价
3、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、()。
A 识别可能性和影晌
B 识别脆弱性和识别后果
C 识别脆弱性和可能性
D 识别脆弱性和影晌
4、关于《中华人民共和国网络安全法》中的“三同步“要求,以下说法正确的是()。
A 指关键信息基础设施建设时须保证安全技术设施同步规划、同步建设、同步使用
B 建设三级以上信息系统须保证子系统同步规划、同步建设、同步使用
C 建设机密及以上信息系统须保证子系统同步规划、同步建设、同步使用
D 以上都不对
5、根据GB/T 22080-2016,应按照既定的备份策略,对()进行备份,并定期测试。
A 信息、软件和系统镜像
B 信息、软件和数据镜像
C 数据、信息和软件
D 数据、信息和系统镜像
6、关于散布图,以下说法正确的是: ()。
A 是描述特性值分布区间的图一趋势图
B 是描述一对变量关系的图一一散布图
C 是描述特性随时间变化趋势的图一趋势图
D 是描述变量类别分布的图一直方图
7、有关数据中心机房中,支持性基础设施不包括()。
A 供电、通信设施
B 消防、防雷设施
C 空调及新风系统、水气暖供应系统
D 网络设备
8、保密性是指()。
A 根据授权实体的要求可访问的特性
B 信息不被未授权的个人、实体或过程利用或知悉的特性
C 保护信息准确和完整的特性
D 以上都不对
9、根据GB/T 22080-2016标准中控制措施的要求,有关系统获取、开发和维护过程中 的安全问题,以下描述错误的是()。
A 运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险
B 系统在加密技术的应用方面,其关键是选择密码算法,而不是密钥的管理
C 系统的获取、开发和维护过程中的安全问题,不仅仅是考虑提供一个安全的开发环境,同时还要考虑开发出安全的系统
D 系统的开发设计,应该越早考虑系统的安全需求越好
10、根据GB/T 22080-2016标准,审核中下列哪些章节不能删减()。
A 1-10
B 4-10
C 4-7和9-10
D 4-10和附录A
11、下列说法不正确的是()。
A 残余风险需要获得风险责任人的批准
B 适用性声明需要包含必要的控制及其选择的合理性说明
C 所有的信息安全活动都必须有记录
D 组织控制下的员工应了解信息安全方针
12、在信息安全技术中,涉及信息系统灾难恢复,其中"恢复点目标”指()?
A 灾难发生后,信息系统或业务功能从停顿到必须恢复的时间
B 灾难发生后,信息系统或业务功能项恢复的范围
C 灾难发生后,系统和数据必须恢复到的时间点要求
D 灾难发生后,关键数据能被复原的范围
13、按照PDCA思路进行审核,是指()。
A 按照认可规范中规定的PDCA流程进行审核
B 按照认证机构的PDCA流程进行审核
C 按照受审核区域的信息安全管理活动的PDCA过程进行审核
D 按照检查表策划的PDCA进行审核
14、《信息安全等级保护管理办法》规定的5级是信息系统受到破坏后会对()造成严重损害。
A 国家安全
B 公共利益
C 公民、法人和其他组织的合法权益
D 社会秩序
15、为了达到组织灾难恢复的要求,备份时间间隔不能超过()。
A 服务水平目标(SLO)
B 恢复点目标(RPO)
C 恢复时间目标(RTO)
D 最长可接受终端时间(MAO)
16、GB/T 22080标准中所指资产的价值取决于()。
A 资产的价格
B 资产对于业务的敏感度
C 资产的折损率
D 以上全部
17、在决定进行第二阶段审核之前,认证机构应审查第一阶段的审核报告,以便为第二阶段选择具有()。
A 客户组织的准备程度
B 所需能力的审核组成员
C 所需审核组能力的要求
D 客户组织的场所分布
18、根据GB/T 22080-2016标准中控制措施的要求,应按计划的时间间隔或在重大变化发生时,对组织的信息安全管理方法及其实现进行的()。
A 内部评审
B 第三方评审
C 系统评审
D 独立评审
19、国家秘密的保密期限应为: ()。
A 绝密不超过三十年,机密不超过二十年,秘密不超过十年
B 绝密不低于三十年,机密不低于二十年,秘密不低于十年
C 绝密不超过二十五年,机密不超过十五年,秘密不超过五年
D 绝密不低于二十五年,机密不低于十五年,秘密不低于五年
20、某公司进行风险评估后发现公司的无线网络存在大的安全隐患,为了处置这个风险,公司不再提供无线网络用于办公,这种处置方式属于()。
A 风险接收
B 风险规避
C 风险转移
D 风险减缓
21、ISMS不一定必须保留的文件化信息有()。
A 适用性声明
B 信息安全风险评估过程记录
C 管理评审结果
D 重要业务系统操作指南
22、残余风险是指: ()。
A 风险评估前,以往活动遗留的风险
B 风险评估后,对以往活动遗留的风险的估值
C 风险处置后剩余的风险,比可接受风险低
D 风险处置后剩余的风险,不一定比可接受风险低
23、信息安全管理体系标准族中关于信息安全管理体系建设指南的标准是()。
A ISO/IEC 27003
B ISO/IEC 27004
C ISO/IEC 27005
D ISO/IEC 27002
24、有关信息安全管理,风险评估的方法比起基线的方法,其主要的优势在于确保()。
A 不考虑资产的价值,基本水平的保护都会被实施
B 对所有信息资产保护都投入相同的资源
C 对信息资产实施适当水平的保护
D 信息资产过度的保护
25、某公司财务管理数据职能提供给授权的用户,安全管理采取措施确保不能被未授权的个人、实体或过程利用或知悉,这样就可以确保数据的哪个方面的安全性得到保障。()
A 保密性
B 完整性
C 可用性
D 稳定性
26、TCP/IP协议层次结构由()。
A 网络接口层、网络层组成
B 网络接口层、网络层、传输层组成
C 网络接口层、网络层、传输层和应用层组成
D 其他选项均不正确
27、《计算机信息系统安全保护条例》规定:对计算机信息系统中发生的案件,有关使用单位应当在()向当地县级以上人民政府公安机关报告。
A 8小时内
B 12小时内
C 24小时内
D 48小时内
28、形成ISMS审核发现时,不需要考虑的是()。
A 所实施控制措施与适用性声明的符合性
B 适用性声明的完备性和合理性
C 所实施控制措施的时效性
D 所实施控制措施的有效性
29、根据GB/T 22086-2016的要求,内部审核是为了确保信息安全管理体系()。
A 实现和维护的符合性
B 实现和维护的适宜性
C 适宜的实现和维护
D 有效的实现和维护
30、某数据中心申请ISMS认证的范围为“IDC基础设施服务的提供",对此以下说法正确的是()。
A A.8可以删减
B A.12可以删减
C A.14可以删减
D 以上都对
31、对于获准认可的认证机构,认可机构证明()。
A 认证机构能够开展认证活动
B 其在特定范围内按照标准具有从事认证活动的能力
C 认证机构的每张认证证书都符合要求
D 认证机构具有从事相应认证活动的能力
32、信息系统的安全保护等级分为()。
A 三级
B 五级
C 四级
D 二级
33、公司A在内审时发现部分员工计算机开机密码少于六位,公司文件规定员工计算机密码必须六位及以上,那么下列选项中哪一项不是针对该间题的纠正措施?()
A 要求员工立刻改正
B 对员工进行优质口令设置方法的培训
C 通过域控进行强制管理
D 对所有员工进行意识教育
34、被黑客控制的计算机常被称为()。
A 蠕虫
B 肉鸡
C 灰鸽子
D 木马
35、依据GB/T 22080,信息的标记应表明:()。
A 相关供应商信息、日期、资产序列号
B 其敏感性和关键性的类别和/或等级
C 所属部门和批准人
D 信息的性质,如软件,文档
36、关于信息安全连续性,以下说法正确的是()。
A 信息安全连续性即IT设备运行的连续性
B 信息安全连续性应是组织业务连续性的一部分
C 信息处理设施的冗余即两个或多个服务器互备
D 信息安全连续性指标由IT系统的性能决定
37、GB/T 29246标准由()提出并归口。
A SC27
B SAC/TC261
C SC40
D SAC/TC260
38、某公司的机房有一扇临街的窗户,下列风险描述中哪个风险与该种情况无关?()。
A 机房设备面临被盗的风险
B 机房设备面临受破坏的风险
C 机房设备面佃灰尘的风险
D 机房设备面临人员误入的风险
39、根据GB/T 22086-2016标准中控制措施的要求,信息安全控制措施不包括()。
A 安全策略
B 物理和环境安全
C 访间控制
D 安全范围
40、GB/T 22080/IEC 27001: 2013标准附录A中有()个安全域。
A 18
B 16
C 15
D 14
二、多选题
41、《中华人民共和国网络安全法》适用于在中华人民共和国境内()网络,以及网络安全的监督管理。
A 建设
B 运营
C 维护
D 使用
42、含有敏感信息的设备的处置可采取()。
A 格式化处理
B 采取使原始信息不可获取的技术破坏或删除
C 多次的写覆盖
D 彻底摧毁
43、GB/T 22080-2016/1S0/IEC 27001:2013标准可用于()。
A 指导组织建立信息安全管理体系
B 为组织建立信息安全管理体系提供控制措施的实施指南
C 审核员实施审核的依据
D 以上都不对
44、对于组织在风险处置过程中所选的控制措施需()。
A 将所有风险都必须被降低到可接受的级别
B 可以将风险转移
C 在满足公司策略和方针条件下,有意识、客观地接受风险
D 规避风险
45、《互联网信息服务管理办法》中对()类的互联网信息服务实行主管部门审核制度。
A 新闻、出版
B 医疗、保健
C 知识类
D 教育类
46、管理评审的输出包括()。
A 管理评审报告
B 持续改进机会相关决定
C 管理评审会议纪要
D 变更信息安全管理体系的任何要求
47、ISO/IEC 27000系列标准主要包括哪几类标准? ()
A 要求类
B 应用类
C 指南类
D 术语类
48、设计一个信息安全风险管理工具,应包括如下模块()。
A 资产识别与分析
B 漏洞识别与分析
C 风险趋势分析
D 信息安全事件管理流程
49、依据GB/T 22080,建立风险评估过程,包括()。
A 明确风险评估的职责
B 定义风险接受准则
C 定义风险评估实施准则
D 编写风险评估程序
50、审核方案应考虑的内容包括()。
A 体系覆盖人数
B 体系覆盖场所
C IT平台的数量
D 特权用户数量
51、根据GB/T 22080-2016标准中控制措施的要求,有关设备安全的相关行为,适当的是()。
A 保护设备不受电力故障及其他电力异常影晌
B 应保护设备降低来自环境的威胁及灾害
C 设备报废前将信息安全清除
D 保护传送数据或支持信息服务的电源与通讯缆线,以防止窃听或破坏
52、信息安全管理体系审核范围的确定应考虑()。
A 业务范围和边界
B 组织的范围和边界
C 物理范围和边界
D 资产范围和边界
53、可被视为可靠的电子签名,须同时符合以下条件()。
A 签署后对电子签名的任何改动能够被发现
B 签署时电子签名制作数据仅由电子签名人控制
C 签署后对数据电文内容和形式的任何改动能够被发现
D 电子签名制作数据用于电子签名时,属于电子签名人专有
54、依据GB/Z 20986,确定为严重的系统损失的清况包括()。
A 系统大面积瘫痪,丧失业务处理能力
B 系统关键数据的保密性、完整性、可用性遭到破坏
C 恢复系统正常运行和消除安全事件负面影晌所需代价较大
D 恢复系统正常运行和消除安全事件所需付出的代价对于事发组织是可承受的
55、风险处置的可选措施包括()。
A 风险识别
B 风险分析
C 风险转移
D 风险减缓
三、判断题
56、完全备份就是对全部数据库数据进行备份。 ()
A 正确
B 错误
57、组织的业务连续性策略即其信息安全连续性策略。()
A 正确
B 错误
58、《中华人民共和国网络安全法》是2017年1月1日开始实施的。()
A 正确
B 错误
59、访问控制列表指由主体以及主体对客体的访问权限所组成列表。()
A 正确
B 错误
60、最高管理层应建立信息安全方针,该方针应包括对持续改进信息安全管理体系的承诺。()
A 正确
B 错误
61、如果一个ISMS没有至少实施过一次覆盖认证范围的管理评审和内部审核,认证机构不应对该ISMS实施认证。()
A 正确
B 错误
62、ISO/IEC 27018是信息技术安全技术可识个人信息(P||),处理者在公有云中保护PII实践指南。 ()
A 正确
B 错误
63、ISMS审核方案的内容应考虑规划ISMS时所确定的风险和机会的重要性()。
A 正确
B 错误
64、信息安全风险准则包括风险接受准则和风险评价准则。()
A 正确
B 错误
65、依据GB 17859第三级及以上信息系统,需具备强制访问控制的能力,第二级及以下不要求。()
A 正确
B 错误
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
