一、单选题
1、安全标签是一种访问控制机制,它适用于下列哪一种访问控制策略?()
A、基本角色的策略
B、基于身份的策略
C、用户向导的策略
D、强制性访问控制策略
2、保密性是指()。
A、根据授权实体的要求可访问的特性
B、信息不被未授权的个人、实体或过程利用或知悉的特性
C、保护信息准确和完整的特性
D、以上都不对
3、文件化信息创建和更新时,组织应确保适当的()。
A、对适宜性和有效性的评审和批准
B、对充分性和有效性的测量和批准
C、对适宜性和充分性的测量和批准
D、对适宜性和充分性的评审和批准
4、不属于公司信息资产的是()。
A、客户信息
B、公司放置在IDC机房的服务器
C、保洁服务
D、以上都不对
5、从计算机安全的角度看,下面哪一种情况是社交工程的一个直接例子?()
A、计算机舞弊
B、欺骗或胁迫
C、计算机偷窃
D、计算机破坏
6、残余风险是指()。
A、风险评估前,以往活动遗留的风险
B、风险评估后,对以往活动遗留的风险的估值
C、风险处置后剩余的风险,比可接受风险低
D、风险处置后剩余的风险,不一定比可接受风险低
7、在规划如何达到信息安全目标时,组织应确定()。
A、要做什么,有什么可用资源,由谁负责,什么时候开始,如何测量结果
B、要做什么,需要什么资源,由谁负责,什么时候完成,如何测量结果
C、要做什么,需要什么资源,由谁负责,什么时候完成,如何评价结果
D、要做什么,有什么可用资源,由谁执行,什么时候开始,如何评价结果
8、当获得的审核证据表明不能达到审核目的时,审核组长可以()。
A、宣布停止受审核方的生产/服务活动
B、向审核委托方和受审核方报告理由以确定适当的措施
C、宜布取消末次会议
D、以上各项都不可以
9、风险处置计划,应()。
A、获得风险贵任人的批准,同时获得对残余风险的批准
B、获得最高管理者的批准,同时获得对残余风险的批准
C、获得风险部门负贵人的批准,同时获得对残余风险的批准
D、获得管理者代表的批准,同时获得对残余风险的批准
10、GB/T22080-2016标准中所指资产的价值取决于()。
A、资产的价格
B、资产对于业务的敏感度
C、资产的折损率
D、以上全部
11、虚拟专用网(VPN)的数据保密性,是通过什么实现的?()
A、安全接口层(SSL,Secure Sockets Layer)
B、风险隧道技术(Tunnelling)
C、数字签名
D、风险钓鱼
12、关于《中华人民共和国保密法》,以下说法正确的是()。
A、该法的目的是为了保守国家秘密而定
B、该法的执行可替代以IS0/EC27001为依据的信息安全管理体系
C、该法适用于所有组织对其敏感信息的保护
D、国家秘密分为秘密、机密、绝密三级,由组织自主定级、自主保护
13、关于《中华人民共和国网络安全法》中的“三同步”要求,以下说法正确的是()。
A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用
B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用
C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用
D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用
14、对于交接区域的信息安全管理,以下说法正确的是()。
A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验迹
B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证
C、对于进入和离开组织的设备设施均须检查验证
D、对于进入和离开组织的设备设施,验证携带者身份信息,可替代对设备设施的验证
15、依据GB/T22080/ISO/IEC27001,关于网络服务的访问控制策略,以下正确的是()。
A、没有陈述为禁止访问的网络服务,视为允许访问的网络服务
B、对于允许访问的网络服务,默认可通过无线、P等多种手段链接
C、对于允许访问的网络服务,按照规定的授权机制进行授权
D、以上都对
16、组织应()。
A、定义和使用安全边界来保护敏感或关键信息和信息处理设施的区域
B、识别和使用安全边界来保护敏感或关键信息和信息处理设施的区域
C、识别和控制安全边界来保扩敏感或关键信息和信息处理设施的区域
D、定义和控制安全边界来保护敏感或关键信息和信息处理设施的区域
17、关于信息安全产品的使用,以下说法正确的是()。
A、对于所有的信息系统,信息安全产品的核心技术、关键部件须具有我国自主知识产权
B、对于三级以上信息系统,已列入信息安全产品认证目录的,应取得国家信息安全产品认证机构颁发的认证证书门
C、对于四级以上信息系统,信息安全产品研制的主要技术人员须无犯罪记录
D、对于四级以上信息系统,信息安全产品研制单位须声明没有故意留有或设置漏洞
18、关于容量管理,以下说法不正确的是()。
A、根据业务对系统性能的需求,设置阈值和监视调整机制
B、针对业务关键性,设置资源占用的优先级
C、对于关键业务,通过放宽阈值以避免或减少报警的干扰
D、依据资源使用趋势数据进行容量规划
19、若通过桌面系统对终端实行IP、MAC绑定,该网络IP地址分配方式应为()。
A、静态
B、动态
C、均可
D、静态达到50%以上即可
20、国家秘密的保密期限应为()。
A、绝密不超过三十年,机密不超过二十年,秘密不超过十年
B、绝密不低于三十年,机密不低于二十年,秘密不低于十年
C、绝密不超过二十五年,机密不超过十五年,秘密不超过五年
D、绝密不低于二十五年,机密不低于十五年,秘密不低于五年
21、关于信息安全管理中的“脆弱性”,以下正确的是()。
A、脆弱性是威胁的一种,可以导致信息安全风险
B、网络中“钓鱼”软件的存在,是网络的脆弱性
C、允许使用“1234”这样容易记忆的口令,是口令管理的脆弱性
D、以上全部
22、组织确定的信息安全管理体系范围应()。
A、形成文件化信息并可用
B、形成记录并可用
C、形成文件和记录并可用
D、形成程序化信息并可用
23、管理者应()。
A、制定ISMS方针
B、制定ISMS目标和计划
C、实施ISMS内部审核
D、确保ISMS管理评审的执行
24、涉及运行系统验证的肃计腰求和活动,应()。
A、谨慎地加以规划并取得批准,以便最小化业务过程的中断
B、谨慎地加以规并取得批准,以便最大化保持业务过程的连续
C、谨慎地加以实施并取得批准,以便最小化业务过程的中断
D、谨慎地加以实施并取得批准,以便最大化保持业务过程的连续
25、《信息安全管理体系认证机构要求》中规定,第二阶段审核()进行。
A、在客户组织的场所
B、在认证机构以网络访问的形式
C、以远程视频的形式
D、以上都对
26、口令管理系统应该是(),并确保优质的口令。
A、唯一式
B、交互式
C、专人管理式
D、A+B+C
27、下面哪一种环境控制措施可以保护计算机不受短期停电影响?()
A、电力线路调节器
B、电力浪涌保护设备
C、备用的电力供应
D、可中断的电力供应
28、测量控制措施的有效性以验证安全要求是否被满足是()的活动。
A、ISMS建立阶段
B、ISMS实施和运行阶段
C、ISMS监视和评审阶段
D、ISMS保持和改进阶段
29、容灾的目的和实质是()。
A、数据备份
B、系统的
C、业务连续性管理
D、防止数据被破坏
30、关于信息安全策略,下列说法正确的是()。
A、信息安全策略可以分为上层策略和下层策略
B、信息安全方针是信息安全策略的上层部分
C、信息安全策略必须在体系建设之初确定并发布
D、信息安全策略需要定期或在重大变化时进行评审
31、主动式射频识别卡(RFID)存在哪一种弱点?()
A、会话被劫持
B、被窃听
C、存在恶意代码
D、被网络钓鱼攻击
32、审核证据是指()。
A、与审核准则有关的,能够证实的记录、事实陈述或其他信息
B、在审核过程中收集到的所有记录、事实陈述或其他信息
C、一组方针、程序或要求
D、以上都不对
33、审核发现是指()。
A、审核中观察到的事实
B、审核的不符合项
C、审核中收集到的审核证据对照审核准则评价的结果
D、审核中的观察项
34、在安全模式下杀毒最主要的理由是()。
A、安全模式下查杀病速度快
B、安全模式下查杀比较彻底
C、安全模式下查杀不连通网络
D、安全模式下查杀不容易死机
35、为信息系统用户注册时,以下正确的是()。
A、按用户的职能或业务角色设定访问权
B、组共享用户ID按组任务的最大权限注册
C、预设固定用户ID并留有冗余,以保障可用性
D、避免频繁变更用户访问权
36、桌面系统级联状态下,关于上级服务器制定的强制策略,下级管理员是否可以修改、删除()。
A、下级管理员无权修改,不可删除
B、下级管理员无权修改,可以删除
C、下级管理员可以修改,可以删除
D、下级管理员可以修改,不可删除
37、下列哪项对于审核报告的描述是错误的?()
A、主要内容应与末次会议的内容基本一致
B、在对审核记录汇总整理和信息安全管理体系评价以后,由审核组长起草形成
C、正式的审核报告由组长将报告交给认证/审核机构审核后,由委托方将报告的副本转给受审核方
D、以上都不对
38、一家投资顾问商定期向客户发送有关财经新闻的电子邮件,如何保证客六收到资料没有被修改()。
A、电子邮件发送前,用投资顾问商的私钥加密邮件的HASH值
B、电子邮件发送前,用投资顾问商的公钥加密邮件的HASH值
C、电子邮件发送前,用投资顾问商的私钥数字签名邮件
D、电子邮件发送前,用投资顾问商的私钥加密邮件
39、下面哪一种功能不是防火墙的主要功能?()
A、协议过滤
B、应用网关
C、扩展的日态记录能力
D、包交换
40、风险责任人是指()。
A、具有责任和权限管理一项风险的个人或实体
B、实施风险评估的组织的法人
C、实施风险评估的项目负责人或项归任务责任人
D、信息及信息处理设施的使用者
41、以下符合GB/T 22080-2016标准A18.1.4条款要求的情况是()。
A、认证范围内员工的个人隐私数据得到保护
B、认证范围内涉及顾客的个人隐私数据得到保护
C、认证范围内涉及相关方的个人隐私数据数据得到保护
D、以生全部
42、下哪个选项不是ISMS第一阶段审核的目的()。
A、获取对组织信息安全管理体系的了解和认识
B、了解客户组织的审核准备状态
C、为计划二阶段审核提供重点
D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求
43、组织应按照本标准的要求()信息安全管理体系。
A、策划、实现、监视、和持续改进
B、建立、实施、监视、和持续改进
C、建立、实现、维护、和持续改进
D、策划、实施、维护、和持续改进
44、依据GB/T22080-2016标准,符合性要求包括()。
A、知识产权保护
B、公司信息保护
C、个人隐私的保护
D、以上都对
45、依据《中华入民共和国网络安全法》,以下正确的是()。
A、检测记录网络运行状态的相关网络日志保存不得少于2个月
B、检测记录网纟名运行状态的相关网络日志保存不得少于12个月
C、检测记录网络运行状态的相关网紿日志保存不得少于6个月
D、重要数据备份保存不得少于12个月,网络日志保存不得少于6个月
46、在根据组织规模确定基本申核时问的前提下,下列咖一条属于増加审核时间的要素()。
A、其产品/过程无风险或有低的风险
B、客户的认证准备
C、仅涉及单一的活动过程
D、具有高风险的产品或过程
47、以下关于认证机构的监督要求表述错误的是()。
A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性
B、认证机构的监督方案应由认证机构和客户共同来指定
C、监督审核可以与其他管理体系的审核相结合
D、认证机构应对认证证书的使用进行监督
48、最高管理层应通过()活动,证实对信息安全管理体系的领导和承诺。
A、组织建立信息安全策略和信息安全目标,并与组织战略方向一致
B、确保建立信息安全策略和信息安全目标,并与组织战略方向一致
C、领导建立信息安全策略和信息安全目标,并与组织战略方向一致
D、沟通建立信息安全策略和信息安全目标,并与组织战路方向一致
49、可用性是指()。
A、根据授权实的要求可访问和利用的特性
B、信息不能被未授权的个人,实体或者过程利用或知悉的特性
C、保护资产的准确和完整的特性
D、反映事物真实情况的程度
50、信息安全事态、事件和事故的关系是指()。
A、事态一定是事件,事件一定是事故
B、事件一定是事故,事故一定是事态
C、事态一定是事故,事故一定是事件
D、事故一定是事件,事件一定是事态
二、多选题
51、《互联网信息服务管理办法》中对()类的互联网信息服务实行主管部门审核制度。
A、新闻、岀版
B、医疗、保健
C、知识类
D、教育类
52、对于信息安全方针,()是GB/T22080-2016标准要求的。
A、信息安全方针应形成文件
B、信息安全方针文件应由管理者批准发布,并传达给所有员工和外部相关方
C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义
D、信息安全方针应定期实施评审
53、关于“信息安全连续性”,以下正确的做法包括()。
A、人员、设备、设施、场所等的冗余配置餐蓝
B、定期或实时进行数据备份
C、考虑业务关键性确定恢复优先顺序和目标
D、有保障信息安全连续性水平的过程和程序文件
54、《中华人民共和国网络安全法》的宗旨是()。
A、维护网络空间主权
B、维护国家安全
C、维护社会公共利益
D、保护公民、法人和其他组织的合法权益
55、对于组织在风险处置过程中所选的控制措施,以下说法正确的是()。
A、将所有风险都必须被降低至可接受的级别
B、可以将风险转移
C、在满足公司策略和方针条件,有意识、客观地接受风险
D、规避风险
56、关于“不可否认性”,以下说法正确的是()。
A、数字签名是实现“不可否认性”的有效技术手段
B、身份认证是实现“不可否认性”的重要环节
C、数字时间截是“不可否认性”的关键属性
D、具有证实一个声称的事态或行为的发生及其源起者的能力即不可否认性
57、常规控制图主要用于区分()。
A、过程处于稳态还是非稳态
B、过程能力的大小
C、过程加工的不合格品率
D、过程中存在偶然波动还是异常波动
58、关于按照相关国家标准强制性要求进行安全合格认证的要求,以下正确的选项是()。
A、网络关键设备
B、网络安全专用产品
C、销售前
D、投入运行后
59、风险评估过程中威胁的分类一般应包括()。
A、软硬件故障、物理环境影响
B、无作为或操作失误、管理不到位、越权或滥用
C、网络攻击、物理攻击
D、泄密、篡改、抵赖
60、当满足()时,可考虑使用基于抽样的方法对多场所进行审核。
A、所有的场所在相同信息安全管理体系中,这些场所被集中管理和审核
B、所有的场所在相同信息安全管理体系中,这些场所被分别管理和审核
C、所有场所包括在客户组织的内部信息安全管理体系审核方案中
D、所有场所包括在客户组织的信息安全管理体系管理评审方案中
61、以下()活动是ISMS监视预评审阶段需完成的内容。
A、实施培训和意识教育计划
B、实施ISMS内部审核
C、实施ISMS管理评审
D、釆取纠正措施
62、某金融服务公司为其个人注册会员提供了借资金和贷款服务,以下不正确的做法是()。
A、公司使用微信群会议,对申请借贷的会员背景资料、借贷额度等进行讨论评审
B、公司使用微信群发布公司内部投资策略文件
C、公司要求所有员工签署NDA,不得泄露会员背景及具体借贷项目信息
D、公司要求员工不得向朋友圈转发其微信群会议上付论的信息
63、信息安全管理体系审核组的能力包括()。
A、信息安全事件处理方法和业务连续性的知识
B、有关有形和无形资产及其影响分折的知识
C、风险管理过程和方法的知识
D、信息安全管理体系的控制措施及其实施的知识人
64、以下()活动是ISMS建立阶段应完成的内容。
A、确定ISMS的范围和边界
B、确定ISMS方针
C、确定风险评估方法和实施
D、实施体系文件培训
65、以下说法不正确的是()。
A、顾客不投诉表示顾客满意了
B、监视和测量顾客满意的方法之一是发调查问卷,并对结果进行分析和评价
C、顾客满意测评只能通过第三方机构来实施
D、顾客不投诉并不意味着顾客满意了
66、信息安全管理体系审核应遵循的原则包括()。
A、诚实守信
B、保密性
C、基于风险
D、基于事实的决策方法
67、评价信息安全风险,包括()。
A、将风险分析的结果与信息安全风险准则进行比较
B、确定风险的控制措施
C、为风险处置排序以分析风险的优先级
D、计算风险大小
68、以下做法正确的是()。
A、使用生产系统数据测试时,应先将数据进行脱敏处理
B、为强化新员工培训效果,应尽可能使用真实业务案例和数据
C、员工调换项目组时,其原使用计算机中的项目数据经妥善删除后可带入新项目组使用
D、信息系统管理域内所有的终端启动屏幕保护时间应一致
69、在未得到授权的前提下,以下属于信息安全“攻击”的是()。
A、盗取、暴露、变更资产的行为
B、破坏、或使资产失去预期功能的行为
C、访问、使用资产的行为
D、监视和获取资产使用状态信息的行为
70、计算机信息系统的安全保护,应保障()。
A、计算机及相关和配套设备的安全
B、设施(含网络)的安全
C、运行环境的安全
D、计算机功能的正常发挥
三、判断题
71、IT系统日志信息保存所需的资源不属于容量管理的范围()。
A 正确
B 错误
72、不同组织有关信息安全管理体系文件化信息的详细程度应基本相同()。
A 正确
B 错误
73、某组织按信息的敏感性等级将其物理区域的控制级别划分为4个等级,这符合GB/T22080-2016标准条款的要求()。
A 正确
B 错误
74、某组织定期请第三方对其IT系统进行漏洞扫描,因此不再进行其他形式的信息安全风险评估,这在认证审核时是可接受的()。
A 正确
B 错误
75、破坏、摧毁、控制网络基础设施是网络攻击行为之一()。
A 正确
B 错误
76、组织业务运行使用云基础设施服务,同时员工通过自有手机APP执行业务过程,此情况下GB/T22080-2016标准A8.1条款可以删减()。
A 正确
B 错误
77、组织应持续改进信息安全管理体系的适宜性、充分性和有效性()。
A 正确
B 错误
78、组织应适当保留信息安全目标文件化信息()。
A 正确
B 错误
79、最高管理层应确保与信息安全相关角色的职责和权限得到分配和沟通()。
A 正确
B 错误
80、最高管理层应建立信息安全方针、该方针应包括对持续改进信息安全管理体系的承诺。
A 正确
B 错误
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
