一、单选题
1、在ISO组织框架中,负责ISO/IEC 27000系列标准编制工作的技术委员会是()。
A、ISO/IEC JTC1 SC27
B、ISO/IEC JTC1 SC40
C、ISO/IEC TC 27
D、ISO/IEC TC 40
2、下面哪个不是《中华人民共和国密码法》中密码的分类?( )
A、核心密码
B、普通密码
C、国家密码
D、个人密码
3、表示客体安全级别并描述客体敏感性的一组信息,是( )。
A、敏感性标记,是可信计算机基中强制访问控制决策的依据
B、关键性标记,是可信计算机基中强制访问控制决策的依据
C、关键性等级标记,是信息资产分类分级的依据
D、敏感性标记,是表明访问者安全权限级别
4、依据GB/T 22080/ISO/IEC 27001标准,信息分类方案的目的是( )。
A、划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘。
B、划分信息载体所属的职能以便于明确管理责任。
C、划分信息对于组织业务的关键性和敏感性分类,按此分类确定信息存储、处理、处置的原则
D、划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析
5、为了达到组织灾难恢复的要求,备份时间间隔不能超过( )。
A、服务水平目标(SLO)
B、恢复点目标(RPO)
C、恢复时间目标(RTO)
D、最长可接受终端时间(MAO)
6、根据GB/T 29246标准,信息安全即( )。
A、保持信息资产的授权访问控制属性
B、保持信息系统的完整性和高可用性
C、保持信息的保密性、完整性和可用性
D、保持信息处理设施的完整性和可用性
7、根据GB/T 29246标准,信息安全的完整性是指( ).
A、信息不被未授权的个人、实体或过程利用或知悉的特性
B、保护资产保密和可用的特性
C、根据授权实体的要求可访问的特性
D、保护资产准确和完整的特性
8、投诉受理后收到的每件投诉都应该按照准则进行初步评估,评估的内容不包括( )。
A、影响程度
B、严重程度
C、风险偏好
D、复杂程度
9、关于ISO/IEC 27004标准,以下说法正确的是( )。
A、该标准是ISMS管理绩效的度量指南
B、该标准可以替代GB/T 28450
C、该标准是信息安全水平的度量标准
D、该标准可以替代ISO/IEC 27001
10、关于《中华人民共和国保密法》,以下说法正确的是:( )。
A、该法的目的是为了保守国家秘密而定
B、该法的执行可替代以ISO/IEC27001为依据的信息安全
C、该法适用于所有组织对其敏感信息的保护
D、国家秘密分为秘密、机密、绝密三级,由组织自主定级、自主保护
11、以下说不正确的是( )。
A、应考虑组织架构与业务目标的变化对风险评估结果进行再评审
B、应考虑以往未充分识别的威胁对风险评估结果进行再评估
C、制造部增加的生产场所对信息安全风险无影响
D、安全计划应适时更新
12、ISO/EC 17799标准是哪个标准的前身( )?
A、BS 7799-1
B、BS 7799-2
C、BS 7799-3
D、GB 7799
13、关于GB/T 28450标准,以下说法不正确的是( )。
A、增加了ISMS的审核指导
B、等同采用了ISO 19011
C、与ISO/IEC 27006—致
D、与ISO 19011—致
14、根据GB/T 22080-2016标准要求,下列哪一项不是管理层承诺完成的?( )
A、确保建立了信息安全策略
B、确保建立了信息安全目标
C、确保信息安全管理所需资源
D、购买性能良好的信息安全产品
15、根据GB/T 22080-2016标准要求,组织()实施风险评估。
A、应按计划的时间间隔或当重大变更提出或发生时
B、应按计划的时间间隔且当重大变更提出或发生时
C、只需在重大变更发生时
D、只需按计划的时间间隔
16、在以下人为的恶意攻击行为中,属于主动攻击的是( )?
A、数据窃听
B、误操作
C、数据流分析
D、数据篡改
17、风险偏好是组织寻求或保留风险的( )。
A、行动
B、计划
C、意愿
D、批复
18、根据GB 17859标准,规定了信息系统安全分为5个等级,其中,按照( )的顺序从左至右安全能力逐渐增强。
A、系统审计保护级、结构化保护级、安全标记保护级
B、用户自主保护级、访问验证保护级、安全标记保护级
C、访问验证保护级、系统审计保护级、安全标记保护级
D、用户自主保护级、系统审计保护级、安全标记保护级
19、依据GB/T 22080标准的要求,网络隔离是指( )。
A、内网与外网的隔离
B、LAN与MAN、WAN之间的隔离
C、不同运营商之间的隔离
D、不同用户组之间的隔离
20、根据GB/T 28450标准,ISMS文件评审不包括( )。
A、信息安全管理手册的充分性
B、风险评估报告的合理性
C、适用性声明的完备性和合理性
D、风险处置计划的完备性
21、根据ISO/IEC 27000标准,( )为组织提供了信息安全管理体系实施指南。
A、ISO/IEC 27002
B、ISO/IEC 27007
C、ISO/IEC 27013
D、ISO/IEC 27003
22、( )是对于一个组织成功实施ISMS来满足其业务目标的关键因素。
A、增加利益相关方对组织的信任
B、信息安全策略、目标和与目标一致的活动
C、更有效、经济的信息安全投资管理
D、满足社会的需要和期望
23、A公司的机房有一扇临街的窗户,下列风险描述中哪个风险与该种情况无关? ( )。
A、机房设备面临被盗的风险
B、机房设备面临受破坏的风险
C、机房设备面临灰尘的风险
D、机房设备面临人员误入的风险
24、根据《网络安全审查办法》,关键基础设施运营者( ),可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
A、采购安全产品和服务
B、使用网络产品和服务
C、采购网络产品和服务
D、使用安全产品和服务
25、根据GB/T 22080-2016标准要求,在规划如何达到信息安全目标时,组织应确定( )。
A、要做什么,有什么可用资源,由谁负责,什么时候开始,一次何测量结果
B、要做什么,需要什么资源,由谁负责,什么时候完成,如何测量结果
C、要做什么,需要什么资源,由谁负责,什么时候完成如何评价结果
D、要做什么,有什么可用资源,由谁执行,什么时候开始,如何评价结果
26、某数据中心申请ISMS认证的范围为“IDC基础设施服务的提供”,对此以下说法正确的是( )。
A、A.8可以删减
B、A.12可以删减
C、A.14可以删减
D、以上都对
27、根据《中华人民共和国计算机信息系统安全保护条例》,计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的( )。
A、特定产品
B、特定硬件和软件产品
C、专用产品
D、专用硬件和软件产品
28、ISO/IEC 27001标准描述的风险分析过程不包括( )。
A、分析风险发生的原因
B、确定风险级别
C、评估识别的风险发生后,可能导致的潜在后果
D、评估所识别的风险实际发生的可能性
29、防火墙提供的接入模式不包括( )。
A、透明模式
B、混合模式
C、网关模式
D、旁路接入模式
30、《中华人民共和国网络安全法》关于“关键信息基础设施”的行业和领域,以下说法不正确的是( )。
A、关键信息基础设施包括公共通信和信息服务、能源、交通、公共服务
B、关键信息基础设施包括能源、交通、医疗、教育、电子政务
C、关键信息基础设施包括能源、交通、水利、电子政务
D、关键信息基础设施包括能源、交通、水利、金融、金融、公共服务、电子政务
31、根据《互联网信息服务管理办法》,国家对于经营性互联网信息服务实行( )。
A、行政监管制度
B、备案制度
C、备案与行政监管相结合的管理制度
D、许可制度
32、根据GB/T 22080-2016标准要求,建立ISMS体系的目的,是为了充分保护信息资产并给予( )信心。
A、相关方
B、供应商
C、顾客
D、上级机关
33、下列关于DMZ区的说法错误的是( )。
A、DMZ可以访问内部网络
B、通常DMZ包含允许来自互联网的通信可进行的设备,如WEB服务器、FTP服务器、SMTP服务器和DNS服务器等。
C、内部网络可以无限制地访问外部网络以及DMZ
D、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作
34、根据GB/T 22080-2016标准的要求,下列不一定要进行风险评估的是( )。
A、发布新的法律法规
B、ISMS最高管理者人员变更
C、ISMS范围内的网络采用新的网络架构
D、计划的时间间隔
35、根据GB/T 22080-2016标准,组织应在相关( )上建立信息安全目标。
A、组织环境和相关方要求
B、战略和意思
C、战略和方针
D、职能和层次
36、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为( )。
A、设备要求和网络要求
B、硬件要求和软件要求
C、物理要求和应用要求
D、技术要求和管理要求
37、根据GB/T 22080-2016标准,最高管理层应( ),以确保信息安全管理体系符合本标准要求。
A、分配职责与权限
B、分配岗位与权限
C、分配责任和权限
D、分配角色和权限
38、以下关于VPN描述正确的是( )。
A、VPN指的是用户自己租用线路,和公共网络物理上完全是隔离的、安全的线路
B、VPN指的是用户通过公用网络建立的临时的、安全的连接
C、VPN不能做到信息认证和身份认证
D、VPN只能提供身份认证,不能提供加密数据的功能
39、根据GB/T 29246标准,保密性是指( )。
A、根据授权实体的要求可访问的特性
B、信息不被未授权的个人、实体或过程利用或知悉的特性
C、保护信息准确和完整的特性
D、保证信息不被其他人使用
40、关于GB/T 22080-2016标准,所采用的过程方法是( )。
A、PPTR方法
B、SMART方法
C、PDCA方法
D、SWOT方法
二、多选题
41、根据GB/T 22080-2016标准要求,下列说法正确的是( )。
A、残余风险需要获得风险责任人的批准
B、适用性声明需要包含必要的控制及其选择的合理性说明
C、所有的信息安全活动都必须有记录
D、组织控制下的员工应了解信息安全方针
42、依据GB/T 22080-2016标准要求,在开展信息安全绩效和ISMS有效性评价时,组织应确定( )。
A、监视、测量、分析和评价的过程
B、适用的监视、测量、分析和评价的方法
C、要被监视和测量的内容
D、监视、测量、分析和评价的执行人员
43、根据GB/T 29246标准,风险描述的要素包括( )。
A、可能性
B、后果
C、脆弱性
D、威胁
44、根据ISO/IEC 27005标准,风险处置的可选措施包括( )。
A、风险识别
B、风险分析
C、风险转移
D、风险减缓
45、以下属于相关方的是( )。
A、组织内的人员
B、供方
C、顾客
D、所有者
46、根据《网络安全等级保护基本要求》要求,对风险安全等级三级及以上系统,以下说法正确的是( )。
A、采用双重身份鉴别机制
B、对用户和数据采用安全标记
C、系统管理员可任意访问日志记录
D、三年开展一次网络安全等级测评工作
47、影响审核时间安排的因素包括( )。
A、ITSMS的范围大小
B、场所的数量
C、认证机构审核人员的能力
D、认证机构审核人员的数量
48、垃圾邮件带来的危害有( )。
A、垃圾邮件浪费广大用户的时间和精力
B、垃圾邮件占用很多互联网资源
C、垃圾邮件迫使企业使用最新的操作系统
D、垃圾邮件提高了某些公司做广告的效益
49、根据GB/T 22080-2016标准要求,信息安全方针应( )。
A、形成文件化信息并可用
B、与组织内外相关方全面进行沟通
C、确保符合组织的战略方针
D、适当时,对相关方可用
50、根据《互联网信息服务管理办法》,从事非经营性互联网信息服务,应当向( )电信管理机构或者国务院信息产业主管部门办理备案手续。
A、省
B、自治区
C、直辖市
D、特别行政区
51、对于组织在风险处置过程中所选的控制措施,以下说法正确的是( )。
A、将所有风险都必须被降低至可接受的级别
B、可以将风险转移
C、在满足公司策略和方针条件下,有意识、客观地接受风险
D、规避风险
52、( )是组织在评价信息安全绩效以及ISMS的有效性时需要进行考虑的事项
A、谁应实施监视和测量。
B、如何对监视和测量的结果就那些分析和评价
C、什么时候执行监视和测量
D、需要监视和测量的内容
53、根据GB/T 22080-2016标准要求,以下说法正确的是( )。
A、信息安全风险评估须每年进行一次
B、定期进行第三方渗透测试可满足标准6.1.2的要求
C、风险管理旨在确保ISMS达到预期结果
D、风险管理旨在预防或减少不良影响
54、可被视为可靠的电子签名,须同时符合以下条件( )。
A、签署后对电子签名的任何改动能够被发现
B、签署时电子签名制作数据仅由电子签名人控制
C、签署后对数据电文内容和形式的任何改动能够被发现
D、电子签名制作数据用于电子签名时,属于电子签名人专有
55、含有敏感信息的设备的处置可采取( )。
A、格式化处理
B、采取使原始信息不可获取的技术破坏或删除
C、多次地写覆盖
D、彻底摧毁
三、判断题
56、组织使用云平台服务(PaaS)时,GB/T22080-2016标准中的A12.5的要求可以删减。()
A 正确
B 错误
57、ISO/IEC 27018标准是信息技术安全技术可识个人信息(PII)处理者在公有云中保护PII实践指南。( )
A 正确
B 错误
58、根据GB/Z 20986标准,信息安全事件分级考虑的要素主要包括信息系统的重要程度和社会影响,系统损失( )。
A 正确
B 错误
59、利用生物信息进行身份鉴别,包括生物行为特征鉴别及生物特征鉴别。( )
A 正确
B 错误
60、信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能保证安全。()
A 正确
B 错误
61、对不同类型的风险可以采用不同的风险接受准则,例如,导致对法律法规不符合的风险可能是不可接受的,但可能允许接受导致违背合同要求的高风险。( )
A 正确
B 错误
62、信息系统中的“单点故障”指仅有一个故障点,因此属于较低风险等级的事件。()
A 正确
B 错误
63、所有联网和未联网的微型计算机的安全保护办法由《中华人民共和国计算机信息系统安全保护条例》规定。( )
A 正确
B 错误
64、GB/T 28450-2020是等同采用国际标准ISO/IEC 27007的国家标准。( )
A 正确
B 错误
65、网络攻击事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件,混合攻击程序。( )
A 正确
B 错误
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
