一、单选题
1、信息安全管理中,变更管理应予以控制的风险包括()。
A、组织架构、业务流程变更的风险
B、信息系统配置、物理位置变更的风险
C、信息系统新的组件、功能模块发布的风险
D、以上全部
2、关于防范恶意软件,以下说法正确的是()。
A、物理隔断信息系统与互联网的连接即可防范恶意软件
B、安装入侵深测系统即可防范恶意软件
C、建立白名单即可防范恶意软件
D、建立探测、预防和恢复机制以防范恶意软件
3、以下不属于可降低信息传输中的信息安全风险的措施是()。
A、规定使用通信设施的限制规定
B、使用铠甲线缆以及数据加密
C、双路供电以及定期测试备份电机
D、记录物理介质运输全程的交接信息
4、依据GB/T2208/ISO/IC27001,不属于第三方服务监视和评审范畴的是()。
A、监视和评审服务级别协议的符合性
B、监视和评审服务方人员聘用和考核的流程
C、监视和评审服务交付遵从协议规定的安全要求的程度
D、监视和评审服务方跟踪处理信息安全事件的能力
5、在进行技术符合性评审时,以下说法正确的是()。
A、技术符合性评审即渗透测试
B、技术符合性评审即漏洞扫描和渗透测试的结合
C、渗透测试和漏洞扫描可以替代风险评估
D、渗透测试和漏洞扫描不可替代风险评估
6、信息系统安全等级分为五级,以下说法正确的是()。
A、二级系统每年进行一次测评,三级系统每年进行二次测评
B、四级系统每年进行二次测评,五级系统每年进行一次测评
C、三级系统每年进行一次测评,四级系统每年进行二次测评
D、二级系统和五级系统不进行测评
7、关于涉密信息系统的管理,以下说法不正确的是()。
A、涉密计算机、存储设备不得接入互联网及其他公共信息网络
B、涉密计算机只有采取了适当防护措施才可接入互联网
C、涉密信息系统中的安全技术程序和管理程序不得擅自卸裁
D、涉密计算机未经安全技术处理不得改作其他用途
8、残余风险是指()。
A、风险评估前,以往活动遗留的风险
B、风险评估后,对以往活动遗留的风险的估值
C、风险处置后剩余的风险,比可接受风险低
D、风险处置后剩余的风险,不一定比可接受风险低
9、信息安全风险(R)计算中涉及脆弱性(V),以下说法正确的是()。
A、脆弱性是资产性质决定的固有的弱点,其赋值不变
B、如果当前控制措施有效,资产脆弱性赋值可以降低
C、控制措施是管理范畴的概念,脆弱性是技术范畴的概念,二者没有关系
D、只要威胁存在,脆弱性就存在,二者的赋值同向增减
10、如果信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,则应具备的保护水平为()。
A、三级
B、二级
C、四级
D、五级
11、关于信息安全管理体系认证,以下说法正确的是()。
A、负责作出认证决定的人员中应至少有一人参与了审核
B、负责作出认证决定的人员必须是审核组组长
C、负责作出认证决定的人员不应参与审核
D、负责作出认证决定的人员应包含参与了预审核的人员
12、关于散布图,以下说法正确的是()。
A、是描述特性值分布区间的网——趋势图
B、是描述一对变量关系的图——散布图
C、是描述特性随时间变化趋势的图——趋势图
D、是描述变量类别分布的图——直方图
13、设置研发内部独立内网是采取()的控制措施。
A、上网流量管控
B、行为管理
C、敏感系统隔离
D、信息交换
14、以下说法不正确的是()。
A、应考虑组织架构与业务目标的变化险评估结果进行再评审
B、应考虑以往未充分识别的威胁对风险评估结果进行再评估
C、制造部增加的生产场所对信息安全风险无影响
D、安全计划应适时更新
15、A公司的机房有一扇临街的窗户,下列风险描述中哪个风险与该种情况无关()。
A、机房设备面临被盗的风险
B、机房设备面临受破坏的风险
C、机房设备面临灰尘的风险
D、机房设备面临人员误入的风险
16、不属于计算机病毒防治的策略是()。
A、确认您手头常备一张真正“干净的引导盘”
B、及时、可靠升级反病毒产品
C、新购置的计算机软件也要进行病毒检测
D、整理磁盘
17、不属于WEB服务器的安全措施的是()。
A、保证注册帐户的时效性
B、删除死帐户
C、强制用户使用不易被破解的密码
D、所有用户使用一次性密码
18、定期备份和测试信息是指()。
A、每次备份完成时对备份结果进行检查,以确保备份效果
B、对系统测试记录进行定期备份
C、定期备份,定期对备份数据的完整性和可用性进行测试
D、定期检查备份存储介质的容量
19、一个组织或安全域内所有信息处理设施与已设精确时钟源同步是为了()。
A、便于针对使用信息处理设施的人员计算工时
B、便于探测未经授权的信息处理活动的发生
C、确保信息处理的及时性得到控制
D、人员异地工作时统一作息时间
20、在策略生命周期中,以下哪个是正确的()。
A、需求分析、制定、发布、推行、审核、废除
B、制定、发布、推行、审核、修订、废除
C、需求分析、制定、发布、推行、审核、修订
D、需求分析、制定、发布、推行、审核、修订、废除
21、以下强健口令的是()。
A、a8mom9y5fub33
B、1234
C、Cnas
D、Password
22、()属于系统威胁。
A、不稳定的电力供应
B、硬件维护失误
C、软件缺乏审计记录
D、口令管理机制薄弱
23、防止静态信息被非授权访问和防止动态信息被截取解密是()。
A、数据完整性
B、数据可用性
C、数据可靠性
D、数据保密性
24、下列关于“风险评价准则描述不正确的是()。
A、风险评价准则是评价风险重要程度的依据,不能被改变
B、风险评估准则应尽可能在风险管理过程开始制定
C、风险评估准则应当与组织的风险管理方针一致
D、风险评价准则需体现组织的风险承受度,应反映组织的价值观、目标和资源
25、对于风险管理与组织其他活动的关系,以下陈述正确的是()。
A、风险管理与组织的其他活动可以分离
B、风险管理构成组织所有过程整体所必须的一部分
C、风险管理可以独立于组织的其他活动
D、相对于组织的其他活动,风险管理是附加的一项活动
26、关于文件管理下列说法错误的是()。
A、文件发布前应得到批准,以确保文件是适宜的
B、必要时对文件进行评审、更新并再次批准
C、应确保文件保持清晰,易于识别
D、作废文件应及时销毁,防止错误使用
27、以下哪一项有助于检测入侵者对服务器系统日志的改动()?
A、在另一台服务器镜像该系统日志
B、在一块一次写磁盘上同时复制该系统日志
C、将保存系统日志的目录设为写保护
D、异地保存该系统日志的备份
28、安全管理中经常会采用权限分离的办法防止单个人员权限过高,出现内部人员的违法犯罪行为,“权限分离”属于()控制措施。
A、管理
B、检测
C、响应
D、运行
29、()不属于必需的灾前预防性措施。
A、防火设施
B、数据备份
C、配置冗余设备
D、不间断电源,至少应给服务器等关键设备配备
30、()最好地描述了数字证书。
A、等同于在网络上证明个人和公司身份的身份证
B、浏览器的一标准特性,它使得黑客不能得知用户的身份
C、网站要求用户使用用户名和密码登陆的安全机制
D、伴随在线交易证明购买的收据
31、关于中国认证认可相关活动的监督管理机制,以下说法正确的是()。
A、CNCA对CNAS、CCAA、认证机构依法实施监督管理
B、CNCA依法监管CNAS,CNAS依法监管认证机构
C、CCAA依法监管认证机构,CNCA依法监管CNAS
D、CCAA依法监管认证人员,CNAS依法监管认证机构,CNCA依法监管CNAS
32、下述关于安全扫描和安全扫描系统的描述错误的是()。
A、安全扫描在企业部署安全策略中处于非常重要的地位
B、安全扫描系统可用于管理和维护信息安全设备的安全
C、安全扫描系统对防火墙在某些安全功能上的不足不具有弥补性
D、安全扫描系统是把双刃剑
33、下列哪一种情况下,网络数据管理协议(NDMP)可用于备份()?
A、需要使用网络附加存储设备(NAS)时
B、不能使用TCP/IP的环境中
C、需要备份旧的备份系统不能处理的文件许可时
D、要保证跨多个数据卷的备份连续、一致时
34、关于信息系统登录口令的管理,以下做法不正确的是()。
A、必要时,使用密码技术、生物识别等替代口令
B、用提示信息告知用户输入的口令是否正确
C、确告知用户应遵从的优质口令策略
D、适用互动式管理确保用户使用优质口令
35、跨国公司的I$经理打算把现有的虚拟专用网(VPN)升级,采用通道技术使用其支持语音IP电话,(VOIP)服务,那么,需要首要关注的是()。
A、服务的可靠性和质量(Qos,quality of service)
B、身份的验证方式
C、语音传输的保密
D、数据传输的保密
36、A公司计划升级现有的所有PC机,使其用户可以使用指纹识别登录系统,访问关键数据实施时需要()。
A、所有受信的PC机用户履行的登记、注册手续(或称为:初始化手续)
B、完全避免失误接受的风险(即:把非授权者错误识别为授权者的风险)
C、指纹识别的基础上增加口令保护
D、保护非授权用户不可能访问到关键数据
37、下列哪个选项不属于审核组长的职责()?
A、确定审核的需要和目的
B、组织编制现场审核有关的工作文件
C、主持首末次会议和审核组会议
D、代表审核方与受审核方领导进行沟通
38、关于商用密码技术和产品,以下说法不正确的是()。
A、任何组织不得随意进口密码产品,但可以出口商用密码产品
B、商用密码技术属于国家秘密
C、商用密码是对不涉及国家秘密的内容进行加密保护的产品
D、商用密码产品的用户不得转让其使用的商用密码产品
39、关于信息安全管理体系认证,以下说法正确的是()。
A、认证决定人员不宜推翻审核组的正面建议
B、认证决定人员不宜推翻审核组的负面建议
C、认证决定人员宜与审核组长协商做出认证决定
D、认证决定人员宜与受审核方协商做出认证决定
40、表示客体安全级别并描述客体敏感性的一组信息,是()。
A、敏感性标记,是可信计算机基中强制访问控制决策的依据
B、关键性标记,是可信目计算机基中强制访问控制决策的依据
C、关键性等级标记,是信息资产分类分级的依据
D、敏感性标记,是表明访问者安全权限级别
二、多选题
41、审核计划中应涵盖()。
A、本次及其后续审核的时间安排
B、审核准则
C、审核组成员及分工
D、审核的日程安排
42、()是ISMS关键成功因素。
A、用于评价信息安全管理执行情况和改进反馈建议的测量系统
B、信息安全方针。目标和与目标保持一致的活动
C、有效的业务连续性管理方法
D、有效的信息安全事件管理过程
43、以下做法正确的是()
A、使用生产系统数据测试时,应先将数据进行脱敏处理
B、为强化新员工培训效果,应尽可能使用真实业务案例和数据
C、员工调换项目组时,其原使用计算机中的项目数据经妥善删除后可带入新项目组使用
D、信息系统管理域内所有的终端启动屏幕保护时间应一致
44、某游戏开发公司按客户的设计资料构建游戏场景和任务的基础要素模块,为方便各项目组讨论,公司创建了一个share folder,在此文件夹中又为对应不同客户的项目组创建了项目数据子文件夹以下做法正确的是()。
A、各项目人员访问该share folder需要得到授权
B、获得share folder访问权者可访问该目录下所有子文件夹
C、IT人员与各项目负责人共同定期评审share folder访问权
D、IT人员不定期删除share folder数据以释放容量,此活动是容量管理,游戏开发人员不参与
45、一个安全的网络系统具有的特点是()。
A、保持各种数据的机密
B、保持所有信息、数据及系统中各种程序的完整性和准确性
C、保证合法访问者的访问和接受正常的服务
D、保证网络在任何时刻都有很高的传输速度
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
