一、单选题
1、()属于管理脆弱性的识别对象。
A、物理环境
B、网络结构
C、应用系统
D、技术管理
2、ISMS管理评审的输出应考虑变更对安全规程和控制措施的影响,但不包括()。
A、业务要求变更
B、合同义务变更
C、安全要求的变更
D、以上都不对
3、()是指系统、服务或网络的一种可识别的状态的发生,他可能是对信息安全方针的违反或控制措施的失效,或是利安全相关的一个先前未知的状态。
A、信息安全事态
B、信息安全事件
C、信息安全事故
D、信息安全故障
4、关于“关键信息基础设施”的行业和领域,以下说法不正确的是()。
A、关键信息基础设施包括公共通信和信息服务、能源、交通、公共服务
B、关键信息基础设施包括能源、交通、医疗、教育、电子政务
C、关键信息基础设施包括能源、交通、水利、电子政务
D、关键信息基础设施包括能源、交通、水利、金融、金融、公共服务、电子政务
5、关于中国认证认可相关活动的监督管理机制,以下说法正确的是()。
A、CNCA对CNAS、CCAA、认证机构依法实施监督管理
B、CNCA依法监管CNAS,CNAS依法监管认证机构
C、CCAA依法监管认证机构,CNCA依法监管CNAS
D、CCAA依法监管认证人员,CNAS依法监管认证机构,CNCA依法监管CNAS
6、ISO/IEC2700标准族中关于信息安全管理测量的标准是()。
A、ISO/IEC27002
B、ISO/IEC27003
C、ISO/IEC27004
D、ISO/IEC27005
7、GB/T22080-2016/ISO/IEC27001:2013标准从()的角度,为建立、实施、运行、监视、评审、保持和改变文件化的ISMS规定了要求。
A、客户安全要求
B、组织整体业务风险
C、信息安全法律法规
D、以上都不对
8、保密协议或不泄露协议至少应包括()。
A、组织和员工双方的信息安全职责和责任
B、员工的信息安全职责和责任
C、组织的信息安全职责和责任
D、纪律处罚规定
9、对于外部供方提供的软件包,以下说法正确的是()。
A、组织的人员可随时对其进行实用性调整
B、应严格限制对软件包的调整以保护软件包的保密性
C、应严格限制对软件包的调整以保护其完整性和可用性
D、以上都不对
10、以下说法不正确的是()。
A、信息安全事件管理不包括工业控制系统安全事件
B、工业控制系统由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件构成
C、工业控制系统资产的吸引力是影响信息安全事件可能性的因素之一
D、工业控制系统的保密性、完整性可用性决定了其资产价值
11、在信息安全管理中进行(),可以有效解决人员安全意识薄弱问题。
A、内容监控
B、安全数育和培训
C、责任追查和惩处
D、访问控制
12、在风险评估中进行资产的价值估算时,下列哪个不会影响资产的价值()。
A、资产的替代阶值
B、资产丧失或损坏的业务影响
C、资产本身的购买价值
D、资产的存放位置
13、依据GBT22080/ISOIEC27001,以下符合责任分割原则的是()。
A、某数据中心机房运维工程师权某负责制定机房访问控制策略,为方便巡检,登录门禁系统为自己配置个机房的不限时门禁权限
B、A公司由信息安全官(CIO)负责制定访问控制策略,为信息系统管理员的登录权限授权时,由另外5位副总到场分别输入自己的口令然后完成授权
C、A公司制定了访问权限列表,信息系统权限分配为:董事长拥有全部权限,某次为副总,再某次为主管经理,依次类推,运维工程师因职务最低,故拥有最少权限
D、以上均符合责任分割原则
14、关于信息安全管理体系认证,以下说法正确的是()。
A、授予认证决定的实体不宜推翻审核组的正面结论
B、授予认证决定的实体不宜推翻审核组的负面结论
C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核
D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期
15、甲乙二人在同一公司工作,甲是内审员,那么甲是否可以审核乙的工作()。
A、可以
B、不可以
C、不确定
D、如果是一个部门就不可以
16、密码技术可以保护信息的()。
A、保密性
B、完整性
C、可用性
D、A+B
17、下列哪一种情况下,网络数据管理协议(NDMP)可用于备份?()
A、需要使用网络附加存储设备(NAS)时
B、不能使用TCP/IP的环境中
C、需要备份旧的备份系统不能处理的文件许可时
D、要保证跨多个数据卷的备份连续、一致时
18、网络上数据传输时,如何保证数据的保密性?()
A、数据在传输前经加密处理
B、所有消息附加在HASH值
C、网络设备所在的区域加强安全警戒
D、电缆作安全保护
19、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格,予以承认的合格评定活动是()。
A、认证
B、认可
C、审核
D、评审
20、下列哪项不是监督审核的目的?()
A、验证认证通过的ISMS是否得以持续实现
B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化
C、确认是否持续符合认证要求
D、做出是否换发证书的决定
21、下列哪项事情是审核员不必要做的?()
A、对接触到的客户信息进行保密
B、客观公正的给出审核结论
C、关注客户的喜好
D、尽量使用客户熟悉的表达方式
22、在现场审核结束之前,下列哪项活动不是必须的?()
A、关于客户组织ISMS与认证要求之间的符合性说明
B、审核现场发现的不符合
C、提供审核报告
D、听取客户对审核发现提出的问题
23、下列不属于GB/T22080-2016与GB/T22080-2008主要关键词变化的是()。
A、将GB/T20080-2016版中的“control”的定义由2008版的“控制措施”改为2016版的“控制”
B、将GB/T20080-2016版中的“Implement"的定义由2008版的“实施”改为“实现”
C、将GB/T20080-2016版中的“Asset owner”的定义由2008版的“资产责任人”改为"资产拥有者"
D、将GB/T20080-2016版中的“Context of the organization”的定义由2008版的"组织背景”改为“组织环境”
24、《中华人民共和国网络安全法》的实施时间是()。
A、42522
B、42681
C、42887
D、43046
25、下列哪种方式会消耗掉有价值的网络宽带?()
A、特洛伊木马
B、陷阱门
C、蠕虫
D、疫苗
26、风险评估过程一般应包括()。
A、风险识别
B、风险分析
C、风险评价
D、以上全部
27、关于GB/T 22081-2016/ISO/IEC 27002:2013,以下说法错误的是()。
A、该标准是指南类标准
B、该标准中给出了ISO/IEC 27001附录A中所有控制措施的应用指南
C、该标准给出了ISMS的实施指南
D、该标准的名称是《信息技术 安全技术 信息安全管理实用规则》
28、关于备份,以下说法正确的是()。
A、备份介质应定期进行恢复测试
B、如果组织删减了“信息安全连续性”要求,同机备份或备份本地存放是可接受的
C、退化的备份介质一定会影响备份信息的恢复
D、备份信息不是管理体系运行记录,不须规定保存期
29、关于访问控制策略,以下不正确的是()。
A、须考虑被访问客体的敏感性分类,访问主体的授权方式、时限和访问类型
B、对于多任务访问,一次性赋予全任务权限
C、物理区域的管理规定须遵从物理区域的访问控制策略
D、物理区域访问控制策略应与其中的资产敏感性一致
30、关于技术脆弱性管理,以下正确的是()。
A、技术脆弱性应单独管理
B、了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险越小
C、针对技术脆弱性的补丁安装应按变更管理进行控制
D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径
31、建立资产清单即()。
A、列明信息生命周期内关联到的资产,列明其对组织业务的作用
B、完整采用组织的固定资产台账,同时指定资产责任人
C、资产价格越高,往往意味着功能越全,因此资产重要性等级就越高
D、A+B
32、经过风险处理后遗留的风险通常为()。
A、重大风险
B、有条件接受的风险
C、不可接受的风险
D、残余风险
33、依据GB/T22080-2016/ISO/IEC27001:2013标准,应形成文件的信息应包括()。
A、ISMS的范围、适用性声明
B、信息安全风险评估过程
C、信息安全风险处置过程
D、以上全部
34、依据GB/T22080-2016/ISO/IEC27001:2013标准,以下说法正确的是()。
A、对于进入组织的设备和资产须验证其是否符合安全策略,对于离开组织的设备设施则不须验证
B、对于离开组织的设备和资产须验证其合格证,对于进入组织的设备设施则不必验证
C、对于离开组织的设备和资产须验证相关授权信息
D、对于进入和离开组织的设备和资产,验证携带者身份信息,可替代对设备设施的验证
35、组织()实施风险评估。
A、应按计划的时间间隔或当重大变更提出或发生时
B、应按计划的时间间隔且当重大变更提出或发生时
C、只需在重大变更发生时
D、只需按计划的时间间隔
36、关于用户访问权,以下做法正确的是()。
A、用户岗位变更时,其原访问权应终止或撤销
B、抽样进行针对信息系统用户访问权的定期评审
C、组织主动解聘员工时可不必复审员工访问权
D、使用监控系统可替代用户访问权评审
37、信息安全管理体系适用性声明应包括()。
A、对整个标准进行删减的理由
B、对四到八章进行删减的理由
C、对附录A的控制进厂
D、对标准全文中
38、关于信息系统登录门令的管理,以下做法不正确的是()。
A、必要时使用密码技术、生物识别等替代口令
B、用提示信息告知用户输入的口令是否正确
C、明确告知用户应遵从的优质口令策略
D、适用互动式管理确保用户使用优质口令
39、对于信息安全方针,()是GB/T22080-2016/ISO/IEC27001:2013所要求的。
A、信息安全方针应形成文件
B、信息安全方针文件为公司内部重要信息,不得向外部泄露
C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义
D、信息安全方针是建立信息安全工作的总方向和原则,不可变更
40、风险评价是指()。
A、系统地使用信息来识别风险来源和估计风险
B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程
C、指导和控制一个组织相关风险的协调活动
D、以上都不对
41、防止计算机中信息被窃取的手段不包括()。
A、用户识别
B、权限控制
C、数据加密
D、数据备份
42、跨国公司的IS经理打算把现有的虚拟专用网(VPN)升级,釆用通道技术使用其支持语音IP服务,那么,需要首要关注的是()。
A、服务的可靠性和质量(quality of service)
B、身份的验证方式
C、语音传输的保密
D、数据传输的保密
43、利用残留在现场的指纹等人体生物特征侦破非授权的访问(如:盗窃入室),属于哪一类攻击?()
A、重用、重放、重演(replay)
B、暴力攻击
C、解密
D、假装、模仿
44、A公司计划升级现有的所有PC机,使其用户可以使用指纹识别登录系统,访问关键数据。实施时需要()。
A、所有受信的PC机用户履行的登记、注册手续(或称为:初始化手续)
B、完全避免失误接受的风险(即:把非授权者错误识别为授权者的风险)
C、在指纹识别的基础上增加口令保护
D、保护非授权用户不可能访问到关键数据
45、《信息技术安全技术信息安全治理》对应的国际标准号为()。
A、ISO/IEC27011
B、ISO/IEC27012
C、ISO/IEC27013
D、ISO/IEC27014
46、审核方案是指()。
A、对一次审核活动和安排的描述
B、针对特定时间段所策戏划拼具有特定目的的一组(一次或多次)审核
C、对“查什么”和“怎么查”的策划
D、以上都不对
47、按照《信息安全等级保护管理办法》的规定,信息系统的安全保护等级可以分为()级,其中第()级发生时,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重的损害,或者对国家安全造成严重损害。
A、一,二
B、二,三
C、五、四
D、五,六
48、内联网(Intranet)可以建立在一个组织的内部网络上,也可以建立在互联网(Internet)上,下面哪项针对内联网的控制在安全上是最弱的?()
A、用加密的通道传输数据
B、安装加密路由器
C、安装加密防火墙
D、对私有WWW服务器实现口令控制
49、下列哪个选项不属于审核组长的职责?()
A、确定审核的需要和目的
B、组织编制现场审核有关的工作文件
C、主持首末次会议和审核组会议
D、代表审核方与受审核方领导进行沟通
50、依据《中华人民共和国网络安全法》,以下说法不正确的是()。
A、以电子或其它方式记录的能够单独或与其他信息结合识别自然人的各种信息
B、属于个人信息自然人的身份证号码、电话号码属于个人信息
C、自然人的姓名、住址不属于个人信息
D、自然人的出生日期属于个人信息
二、多选题
51、针对敏感应用系统安全,以下正确的做法是()。
A、用户尝试登陆失败时,明确提示其用户名错误或口令错误
B、登陆之后,不活动超过规定时间强制使其退出登录
C、对于修改系统核心业务运行数据的豫作限定操作时间
D、对于数据库系统审计人员开放不限时权限
52、GB/T22080-2016/ISO/IEC27001:2013标准中A12.3.1条款要求()。
A、设定备份策略
B、定期测试备份介质
C、定期备份
D、定期测试信息和软件
53、不同组织的ISMS文件的详略程度取决于()。
A、文件编写人员的态度和能力
B、组织的规模和活动的类型
C、人员的能力
D、管理系统的复杂程度
54、防范内部人员破坏的做法有()。
A、严格访问控制管理
B、完善的管理措施
C、内部审计制度
D、适度的安全防范措施
55、某游戏开发公司按客户的设计资料构建游戏场景和任务的基础要素模块,我方便各项目组讨论,公司创建了一个share folder,在此文件夹中又为对应不同客户的项目组创建了项目数据子文件夹。以下做法正确的是()。
A、各项目人员访问该share folder需要得到授权
B、获得share folder访问权者可访问该目录下所有子文件夹
C、IT人员与各项目负责人共同定期评审share folder访问权
D、IT人员不定期删除share folder数据以释放容量,此活动是容量管理,游戏开发人员不参与
56、下列哪些选项是ISMS第一阶段审核的目的?()
A、获取对组织信息安全管理体系的了解和认识
B、了解客户组织的审核准备状况
C、为计划二阶段审核提供重点
D、确认组织的信息安全管理体系符合标准或规范性文件的所有要求
57、对于涉密信息系统,以下说法正确的是()。
A、使用的信息安全保密产品原则上应当选用国产产品
B、使用的信息安全保密产品应当通过国家保密局授权的检测机构的检测
C、使用的信息安全保密产品应从由国家保密局审核发布的目录中选取
D、总体保护水平应不低于国家信息安全等级保护第四级水平
58、风险处置的可选措施包括()。
A、风险识别
B、风险分析
C、风险转移
D、风险减缓
59、信息安全体系文件应包含()。
A、风险评估报告
B、风险处置计划
C、服务目录
D、适用性声明
60、在设计和平应用安全区域工作规程时,宜考虑()。
A、基于“须知”原则,员工宜仅规定安全区的存在或其中的活动
B、为了安全原因和减少恶意活动的机会,宜避免在安全区域内进行不受监督的工作
C、使用的安全区域宜上锁并定期予以评审
D、经授权,不宜允许携带摄影、视频或其他记录设备,例如移动设备中的相机
61、降低系统失效风险的措施包括( )。
A、监视资源的使用,做出对于未来系统容量要求的预测
B、在系统开发中使用密码猎施来保护信息的策略
C、在系统投入运行前,进行验收
D、对系统进行备份
62、下列哪些措施可以实现和保持对组织资产的适当保护?()
A、形成重要资产清单,并加以维护
B、购买相同设备类型中价值最高的产品
C、确定所有资产的责任人
D、制定合乎公司要求的资产使用规则
63、在规划如何达到信息安全目标时,组织应确定()。
A、要做什么,需要什么资源
B、由谁负责,什么时候完成
C、完成的目标是什么
D、如何评价结果
64、审核计划中应涵盖()。
A、本次及其后续审核的时间安排
B、审核准则
C、审核组成员及分工
D、审核的日程安排
65、信息安全的特有审核原则有()。
A、保密性
B、独立性
C、基于风险
D、基于证据的方法
66、公司M将信息系统运维外包给公司N,以下符合GB/T22080-2016标准要求的做法是()。
A、与N签署协议规定服务级别及安全要求
B、在对N公司人员服务时,接入M公司的移动电脑事前进行安全扫描
C、将多张核心机房门禁卡统一登记在N公司项目组组长名下,由其按需发给进入机房的N公司人员使用
D、对N公司带入带出机房的电脑进行检查登记,硬盘和U盘不在此检查登记范围内
67、以下说法正确的是()。
A、认证审核的委托方即受审核方
B、受审核方是第一方审核的委托方
C、受审核方的行政上级作为委托方时是第二方审核
D、组织对其外包服务提供方的审核是第二方审核
68、含有敏感信息的设备的处置可采取()。
A、格式化处理
B、采取使原始信息不可获取的技术破坏或删除
C、多次的写覆盖
D、彻底摧毁
69、投诉处理过程应包括()。
A、投诉受理、跟踪和告知
B、投诉初步评审、投诉调查
C、投诉响应、沟通决定
D、投诉终止
70、当规划信息安全管理体系时,组织应考虑相关要求,确定需要应对的风险和机会,以()。
A、确保信息安全管理体系可达到预期结果
B、预防或减少不良影响
C、实施有效控制
D、达到持续改进
三、判断题
71、某组织釆用了第三方安全服务公司的漏洞扫描服务,因该安全服务公司较该组织更为专业,因此不必再对该公司的服务进行管理。这不符合GB/T22080-2016/ISO/IEC27001:2013标准的A15.2条款的要求()。
A 正确
B 错误
72、《中华人民共和国网络安全法》中的“网络运营者”,指网络服务提供者,不包括其他类型的网络所有者和管理者()。
A 正确
B 错误
73、个人信息包括且限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码()。
A 正确
B 错误
74、敏感信息通过网络传输时必须加密处理()。
A 正确
B 错误
75、某运维团队在生产系统上安装升级包前制定了回退计划,这符合GB/T22080-2016/ISO/IEC27001:2013标准A12.5.1条款的要求()。
A 正确
B 错误
76、某组织将其生产系统中的数据敏感性等级定义为“高”,将存储备份生产系统数据的光盘敏感性标记为“一般”,这不符合GB/T22080-2016/ISO/IEC27001:2013标准A8.2.3条款的要求()。
A 正确
B 错误
77、实习审核员是审核组成员,只进行观察实习,不具体实施审核()。
A 正确
B 错误
78、通过域控策略将生产人员组、开发人员组的访问权隔离,可满足GB/T22080-2016/ISO/IEC27001:2013标准A6.1.2条款的职责分离要求()。
A 正确
B 错误
79、“资产清单”包含与信息生命周期有关的资产,与信息的创建、处理、存储、传输、删除和销毁无关联的资产不在“资产清单”的范围内()。
A 正确
B 错误
80、某组织申请ISMS认证的范围为“为海关提供数据处理服务”,服务方式为派出人员在海关部门办公场所现场工作。该组织还为其所属集团提供服务器运维服务,这些服务器未列入“资产清单”中,这在认证审核时是可接受的()。
A 正确
B 错误
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
