一、单选题
1、A公司的机房有一扇临街的窗户,下列风险描述中哪个风险与该种情况无关?()
A、机房设备面临被盗的风险
B、机房设备面临受破坏的风险
C、机房设备面临灰尘的风险
D、机房设备面临人员误入的风险
2、根据GB/T 22080-2016中控制措施的要求,涉及信息系统审计要求和活动,应()。
A、谨慎地加以规划并取得批准,以便最小化业务过程的中断
B、谨慎地加以规划并取得批准,以便最大化保持业务过程的连续
C、谨慎地加以实施并取得批准,以便最小化业务过程的中断
D、谨慎地加以实施并取得批准,以便最大化保持业务过程的连续
3、关于GB/T 22080-2016/ISO/IEC 27001:2013标准,下列说法错误的是()
A、标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求
B、标准中所表述要求的顺序反映了这些要求要予实现的顺序
C、信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中
D、信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性
4、不属于计算机病毒防治的策略是()。
A、确认您手头常备一张真正“干净”的引导盘
B、及时、可靠升级反病毒产品
C、新购置的计算机软件也要进行病毒检测
D、整理磁盘
5、管理员通过桌面系统下发IP、MAC绑定策略后,终端用户修改了IP地址,对其的管理方式不包括()。
A、自动恢复其IP至原绑定状态
B、断开网络并持续阻断
C、弹出提示窗口对其发出警告
D、锁定键盘鼠标
6、数字签名要预使用单向HASH函数进行处理的原因是()。
A、多一道加密工序使密文更难破译
B、提高密文的计算速度
C、缩小签名密文的长度,加快数字签名和验证签名的运算速度
D、保证密文能正确还原成明文
7、在规划如何达到信息安全目标时,组织应确定()。
A、要做什么,有什么可用资源,由谁负责,什么时候开始,如何测量结果
B、要做什么,需要什么资源,由谁负责,什么时候完成,如何测量结果
C、要做什么,需要什么资源,由谁负责,什么时候完成,如何评价结果
D、要做什么,有什么可用资源,由谁执行,什么时候开始,如何评价结果
8、信息是消除()的东西。
A、不确定性
B、物理特性
C、不稳定性
D、干扰因素
9、下列关于DMZ区的说法错误的是()。
A、DMZ可以访问内部网络
B、通常DMZ包含允许来自互联网的通信可进行的设备,如Web服务器、FTP服务器、SMTP服务器和DNS服务器等
C、内部网络可以无限制地访问外部网络以及DMZ
D、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作
10、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评。
A、半年
B、1年
C、1.5年
D、2年
11、根据GB/T 22080,以下说法正确的是()。
A、已发生事件的后果决定了风险级别
B、潜在事件发生的可能性和后果相乘决定了风险级别
C、潜在事件后果的严重性决定了风险级别
D、潜在事件发生的可能性与后果的和决定了风险的级别
12、以下哪些可由操作人员执行?()
A、审批变更
B、更改配置文件
C、安装系统软件
D、添加/删除用户
13、根据GB/T 22080-2016标准中控制措施的要求,信息安全控制措施不包括()。
A、安全策略
B、物理和环境安全
C、访问控制
D、安全范围
14、根据GB/T 9246,风险处置后余下的风险是()。
A、不可接受风险
B、有条件的接受风险
C、残余风险
D、重大风险
15、GB/T 29246标准为组织和个人提供()。
A、建立信息安全管理体系的基础信息
B、信息安全管理体系的介绍
C、ISMS标准族已发布标准的介绍
D、ISMS标准族中使用的所有术语和定义
16、根据GB/T 22080-2016标准的要求,组织()实施风险评估。
A、应按计划的时间间隔或当重大变更提出或发生时
B、应按计划的时间间隔且当重大变更提出或发生时
C、只需在重大变更发生时
D、只需按计划的时间间隔
17、《中华人民共和国网络安全法》中要求:网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于()。
A、1个月
B、3个月
C、6个月
D、12个月
18、国家信息安全等级保护采取()。
A、自主定级、自主保护的原则
B、国家保密部门定级、自主保持的原则
C、公安部门定级、自主保护的原则
D、国家保密部门定级、公安部门监督保护的原则
19、对于“监控系统”的存取与使用,下列正确的是()。
A、监控系统所产生的记录可由用户任意存取
B、计算机系统时钟应予同步
C、只有当系统发生异常事件及其他安全相关事件时才需进行监控
D、监控系统投资额庞大,并会影响系统效能,因此可以予以暂时省略
20、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为()。
A、ISO/IEC 27002
B、ISO/IEC 27003
C、ISO/IEC 27004
D、ISO/IEC 27005
21、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施()。
A、识别可能性和影响
B、识别脆弱性和识别后果
C、识别脆弱性和可能性
D、识别脆弱性和影响
22、如果信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,则应具备的保护水平为:()
A、三级
B、二级
C、四级
D、五级
23、根据GB/T 22080-2016中控制措施的要求,以下哪项物理和环境安全控制措施,可以保护计算机不受停电的影响()。
A、电力线路调节器
B、电力浪涌保护设备
C、备用的电力供应
D、可中断的电力供应
24、下面哪项不是SSE-CMM的过程域()。
A、风险过程
B、工程过程
C、设计过程
D、保证过程
25、《信息安全管理体系审核指南》中规定,ISMS的规模不包括()。
A、组织控制下开展工作的人员总数以及与ISMS有关的相关方和合同方
B、信息系统的数量
C、组织的部门数量
D、ISMS覆盖的场所数量
26、信息安全管理体系审核将各行业领域分为几大领域?()
A、6
B、4
C、5
D、3
27、以下不是ISMS的相关方的是()。
A、可能影响决策的人或组织
B、认为自己影响决策的人或组织
C、认为自己受到决策影响的人或组织
D、可能受到决策影响的人或组织
28、关于顾客满意,以下说法正确的是:()
A、顾客没有抱怨,表示顾客满意
B、信息安全事件没有给顾客造成实质性的损失,就意味着顾客满意
C、顾客认为其要求已得到满足,即意味着顾客满意
D、组织认为顾客要求已得到满足,即意味着顾客满意
29、ISMS文件的多少和详细程度取决于()。
A、组织的规模和活动的类型
B、过程及其相互作用的复杂程度
C、人员的能力
D、以上都对
30、《中华人民共和国保密法》规定了国家秘密的范围和密级,国家秘密的密级分为()。
A、普密、商密两个级别
B、低级和高级两个级别
C、绝密、机密、秘密三个级别
D、一密、二密、三密、四密四个级别
31、根据《中华人民共和国保守国家秘密法》关于涉密信息系统的管理,以下说法不正确的是:()
A、涉密计算机、存储设备不得接入互联网及其他公共信息网络
B、涉密计算机只有采取了适当防护措施才可接入互联网
C、涉密信息系统中的安全技术程序和管理程序不得擅自卸载
D、涉密计算机未经安全技术处理不得改作其他用途
32、下列说法不正确的是()。
A、残余风险需要获得风险责任人的批准
B、适用性声明需要包含必要的控制及其选择的合理性说明
C、所有的信息安全活动都必须有记录
D、组织控制下的员工应了解信息安全方针
33、()是风险管理的重要一环。
A、管理手册
B、适用性声明
C、风险处置计划
D、风险管理程序
34、A公司财务管理数据只能提供给授权的用户,安全管理采取措施确保不能被未授权的个人、实体或过程利用或知悉,这样就可以确保数据的哪个方面的安全性得到保障()。
A、保密性
B、完整性
C、可用性
D、稳定性
35、加强网络安全性的最重要的基础措施是()。
A、设计有效的网络安全策略
B、选择更安全的操作系统
C、安装杀毒软件
D、加强安全教育
36、以下不属于描述性统计技术的是()。
A、正态分布
B、散布图
C、帕累托图
D、直方图
37、当访问单位服务器时,响应速度明显减慢时,最有可能受到了哪一种攻击?()
A、特洛伊木马
B、地址欺骗
C、缓冲区溢出
D、拒绝服务
38、文件化信息创建和更新时,组织应确保适当的()
A、对适宜性和有效性的评审和批准
B、对充分性和有效性的测量和批准
C、对适宜性和充分性的测量和批准
D、对适宜性和充分性的评审和批准
39、在以下人为的恶意攻击行为中,属于主动攻击的是()。
A、数据篡改及破坏
B、数据窃听
C、数据流分析
D、非法访问
40、关于GB 17859,以下说法正确的是()。
A、特定的法律法规引用该标准时在引用的范围内视为强制性标准
B、这是一份推荐性标准
C、这是一份强制性标准
D、组织选择使用该标准在选择的范围内视为强制性标准
二、多选题
41、信息安全是保证信息的(),另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性。
A、可用性
B、机密性
C、完备性
D、完整性
42、根据GB/T 28450,审核方案应考虑的内容包括()。
A、体系覆盖的场所
B、体系覆盖的人数
C、特权用户的数量
D、IT平台的数量
43、根据GB/T 22080-2016标准的要求,有关信息安全绩效的反馈,包括以下哪些方面的趋势?()
A、不符合和纠正措施
B、监视测量的结果
C、审核结果
D、信息安全方针完成情况
44、根据《信息安全等级保护管理办法》,对网络安全等级三级及以上系统,以下说法正确的是()。
A、采用双重身份鉴别机制
B、对用户和数据采用安全标记
C、系统管理员可任意访问日志记录
D、三年开展一次网络安全等级测评工作
45、《中华人民共和国计算机信息系统安全保护条例》规定:有下列哪些行为的,由公安机关处以警告或停机整顿。()
A、违反计算机信息系统国际联网备案制度的
B、违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的
C、不按照规定时间报告计算机信息系统中发生的案件的
D、接到公安机关要求改进安全状况的通知后,在限期内拒不改进的
46、网络攻击的方式包括()。
A、信息收集
B、信息窃取
C、系统利用
D、资源换递
47、访问控制包括()。
A、网络和网络服务的访问控制
B、逻辑访问控制
C、用户访问控制
D、物理访问控制
48、对公有云服务商,属于其安全职责的是()。
A、有责任为租户提供日志和监控数据
B、需无偿为租户提供漏洞扫描报告
C、对租户高等数据,不应使用外籍人员充当系统管理员
D、当租户退出云服务时,有责任清除租户数据
49、编制ISMS审核计划,需充分理解审核方案,计划需考虑()。
A、需要的技术与工具准备
B、前期抽样情况和本期抽样原则
C、组织资源保障程度
D、人员派遣要求
50、根据GB/T 22080-2016中控制措施要求,应()反映组织信息保护需要的保密性或不泄露协议的要求。
A、文件化
B、定期评审
C、识别
D、签订
51、根据GB/T 29246,以下说法正确的是()。
A、ISMS族包含阐述要求的标准
B、ISMS族包含阐述通用概述的标准
C、ISMS族包含特定行业概述的标准
D、ISMS族包含阐述ISMS概述和词汇的标准
52、在统计技术方法中,常规控制图主要用于区分()。
A、过程处于稳态还是非稳态
B、过程能力的大小
C、过程加工的不合格品率
D、过程中存在偶然波动还是异常波动
53、根据GB/T 22080-2016标准中控制措施的要求,有关资产管理的叙述,正确的是()。
A、应制定资产清单并进行维护
B、信息分类与相关保护控制措施应考虑企业共享或限制信息的需求
C、所有主要的信息资产应由高级管理人员负责保管
D、应制订一套与组织采用的分类方式相同的信息标识和处理流程
54、在编写业务恢复策略时,下列哪些因素应该考虑?()
A、重要业务的恢复优先级
B、应急响应小组成员的角色和职责
C、灾备中心的距离
D、为生产中心中的设备购买保险
55、根据GB/Z 20986,信息安全事件分为有害程序事件、网络攻击事件、()和其他信息安全事件等。
A、计算机病毒事件
B、信息破坏事件
C、设备设施故障
D、信息泄漏事件
三、判断题
56、ISO/IEC 27001:2013标准中关于“网络隔离”的要求即将“职责分离”的要求在网络安全中的具体体现。()
A 正确
B 错误
57、最高管理层应确保与信息安全相关角色的职责和权限得到分配和沟通。()
A 正确
B 错误
58、记录可提供符合信息安全管理体系要求和有效运行的证据。
A 正确
B 错误
59、客户所有场所业务的范围相同,且在同一ISMS下运行,并接受统一的管理、内部审核和管理评审时,认证机构可以考虑使用基于(抽样)的认证审核。()
A 正确
B 错误
60、信息系统中的“单点故障”指仅有一个故障点,因此属于较低风险等级的事件。()
A 正确
B 错误
61、ISO/IEC 27018是信息技术安全技术可识别个人信息(PII),处理者在公有云中保护P实践指南。()
A 正确
B 错误
62、根据GB 17859第三级及以上信息系统要具备强制访问控制的能力,第二级及以下的不要求。()
A 正确
B 错误
63、检测性控制是为了防止未经授权的入侵者从内部或外部访问系统,并降低进入该系统的无意错误操作导致的影响。
A 正确
B 错误
64、Windows防火墙可以阻止计算机病毒和蠕虫进入用户的计算机,但防火墙不能检测或清除已经感染计算机的病毒和蠕虫。()
A 正确
B 错误
65、依据《中华人民共和国网络安全法》,国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于3个月。()
A 正确
B 错误
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
