一、单选题
1、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为()级。
A、3
B、4
C、5
D、6
2、可信分算基须维护与可被外部主体直接或间接访问到的计算机信息系统资源相关的敏感标记的等级是()。
A、二级、三级、四级
B、三级、四级、五级
C、四级、五级
D、五级
3、作为信息安全治理的成果,战略方针提供了()。
A、企业所需的安全要求
B、遵从最佳实务的安全基准
C、日常化、制度化的解决方案
D、风险暴露的理解
4、信息安全管理体系审核是用来确定()。
A、组织的管理效率
B、产品和服务符合有关法律法规程度
C、信息安全管理体系满足审核准则的程度
D、信息安全手册与标准的符合程度
5、信息安全控制措施是指()。
A、管理信息安全风险的一种方法
B、规程、指南
C、信息安全技术
D、以上都不对
6、以下关于认证机构的监督要求表述错误的是()。
A、认证机构宜能够针对客户组织的与信息安全相关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性
B、认证机构的监督方案应由认证机构和客户共同来制定
C、监督审核可以与其他管理体系的审核相结合
D、认证机构应对认证证书的使用进行监督
7、审核原则要求()是审核的公正性和审核结论客观性的基础。
A、系统性
B、严格性
C、独立性
D、可追踪性
8、关于信息安全产品的使用,以下说法正确的是()。
A、对于所有的信息系统,信息安全产品的核心技术、关键部件应具有我国自主知识产权
B、对于三级以上信息系统,已列入信息安全产品认证目录的,应取得国家信息安全产品认证机构颁发的认证证书
C、对于四级以上信息系统,信息安全产品研制的主要技术人员应无犯罪记录
D、对于四级以上信息系统,信息安全产品研制单位应声明没有故意留有或设置漏洞
9、下列信息系统安全说法正确的是()。
A、加固所有的服务器和网络设备就可以保证网络的安全
B、只要资金允许就可以实现绝对的安全
C、断开所有的服务可以保证信息系统的安全
D、信息系统安全状态会随着业务的变化而变化,因此网络安全状态需要根据业务而调整相应的网络安全策略
10、以下不属于GB/T22080-2016与GB/T22080-2008主要关键词变化的是()。
A、将“Control”的定义由2008版的“控制措施”改为“控制"
B、将“Implement”的定义由2008版的“实施”改为“实现”
C、将“Asset owner”的定义由2008版的“资产责任人”改为“资产拥有者”
D、将“Context of the organization”的定义由2008版的“组织背景”改为“组织环境”
11、在现场审核时,审核组有权自行决定变更的事项是()。
A、审核人日
B、审核的业务范围
C、审核日期
D、审核组任务调整
12、访问控制是为了保护信息的()。
A、完整性和机密性
B、可用性和机密性
C、可用性和完整性
D、以上都是
13、审核证据是指()。
A、与审核准则有关的,能够证实的记录、事实陈述或其他信息
B、在审核过程中收集到的所有记录、事实陈述或其他信息
C、一组方针、程序或要求
D、以上都不对
14、许多计算机系统为诊断和服务支持的目的提供一些“维护帐号”给系统带来的脆弱性,下面哪一种安全技术最不被优先考虑使用()。
A、回叫确认
B、通讯加密
C、智能令牌卡
D、口令与服务名
15、访问控制是指确定()以及实施访问权限的过程。
A、用户权限
B、可给予哪些主体访问权利
C、可被用户访间的资源
D、系统是杏遭受入侵
16、信息安全管理体系的要求类标准是()。
A、GB/T22080-2016
B、GB/T22081-2008
C、ISO/IEC27003
D、ISO/IEC27004
17、下列不属于GB/T22080-2016/ISO/IEC27001:2013附录A中A8资产管理规定的控制目标的是()。
A、资产归还
B、资产分发
C、资产的处理
D、资产清单
18、关于可信计算基,以下说法正确的是()。
A、指计算机系统中用作保护装置的硬件、固件、软件等的组合体
B、指配置有可信赖安全防护硬件、软件产品的计算机环境
C、指通过了国家有关安全机构认证的计算机信息系统
D、指通过了国家有关机构评测的计算机基础设施,含硬件、软件的配置
19、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、()和()。
A、识别可能性和影响
B、识别脆弱性和识别后果
C、识别脆弱性和可能性
D、识别脆弱性和影响
20、下面哪一种日志文件有助于评估计算机安全事例的危害程度?()
A、联络日志
B、活动日志
C、事件日志
D、审计日志
21、符合性要求包括()。
A、知识产权保护
B、公司信息保护
C、个人隐私的保护
D、以上都是
22、下面哪一种属于网络上的被动攻击()。
A、消息篡改
B、伪装
C、拒绝服务
D、流量分析
23、依据GB/T22080-2016/ISO/IEC27001:2013标准,不属于第三方服务监视和评审范围的是()。
A、监视和评审服务级别协议的符合性
B、监视和评渖服务方人员聘用和考核的流程
C、监视和评审服务交付遵从协议规定的安全要求的程度
D、和评审服务方跟踪处理信息安全事件的能力
24、构成风险的关键因素有()。
A、人、财、物
B、技术、管理和操作
C、资产、威胁和弱点
D、资产、可能性和严重性
25、一种基于信任而产生的并且很难防范的主要风险是()。
A、正确使用的授权访问
B、被滥用的授权访问
C、不成功的非授权访问
D、成功的非授权访问
26、关于入侵检测,以下不正确的是()。
A、入侵检测是一个采集知识的过程
B、入侵检测指信息安全事件响应过程
C、分析反常的使用模式是入侵检测模式之一
D、入侵检测包括收集被利用脆弱性发生的时间信息
27、关于文件管理下列说法错误的是()。
A、文件发布前应得到批准,以确保文件是适宜的
B、必要时对文件进行评审、更新并再次批准
C、应确保文件保持清晰,易于识别
D、作废文件应及时销毁,防止错误使用
28、风险责任人是指()。
A、具有责任和权限管理一项风险的个人或实体
B、实施风险评估的组织的法人
C、实施风险评估的项目负责人或项目任务责任人
D、信息及信息处理设施的使用者
29、管理评审应包括评估信息安全管理体系改进的计划和变更的需求,管理评审的输入可以不包括()。
A、相关方的反馈
B、预防和纠正措施的状况
C、有效性测量的结果
D、业务连续性演练结果
30、目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度。()
A、公安部
B、国家保密局
C、信息产业部
D、国家密码管理委员会办公室
31、管理体系是实现组织的方针、()、指南和相关资源的框架。
A、自标
B、规程
C、文件
D、记录
32、体系是指()。
A、建立方针和目标并实现这些目标的体系
B、相互关联和相互作用的一组要素
C、指挥和控制组织的协调活动
D、以上都不对
33、过程是指()。
A、有输入和输出的任意活动
B、通过使用资源和管理,将输入转化为输出的活动
C、所有业务活动的集合
D、以上都不对
34、下面哪一条措施不能防止数据泄漏()。
A、数据冗余
B、数据加密
C、访问控制
D、密码系统
35、如果信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,则应具备的保护水平为()。
A、三级
B、二级
C、四级
D、六级
36、资产是对组织()的任何东西。
A、有使用价值
B、拥有
C、有价值
D、购买
37、信息系统审计()。
A、是发现信息系统脆弱性的手段之一
B、应在系统运行期间进行,以便于准确地发现弱点
C、审核工具在组织内应公开可获取,以便于提升员工的能力
D、只要定期进行,就可以替代内部ISMS审核
38、描述与组织信息安全管理体系相关的和适用的控制措施的文档是()。
A、信息安全管理体系方针
B、适用性声明
C、信息安全管理体系范围
D、风险评估程序
39、某种网络安全威胁是通过非法手段对数据进行恶意修改,这种安全威胁属于()。
A、窃听数据
B、破坏数据完整性
C、破坏数据可用性
D、物理安全威胁
40、容量管理的对象是()。
A、信息系统内存
B、办公室空间和基础设施
C、人力资源
D、A+B+C
41、公共密钥体系(PKI)的某一组成要素的主要功能是管理证书生命周期,包括证书目录维护、表维护和证书发布,这个要素是()。
A、证书机构(CA)
B、数字签名
C、证书实践声明
D、注册机构(RA)
42、下列说法不正确的是()。
A、残余风险需要获得管理者的批准
B、体系文件应能够显示出所选择的控制措施回潮到风险评估和风险处置过程的结果
C、所有的信息安全活动都必须记录
D、管理评审至少每年进行一次
43、依据《中华人民共和国网络安全法》,以下说法不正确的是()。
A、网络安全应采取必要措施防范对网络的攻击和侵入
B、网络安全措施包括防范对网络的破坏
C、网络安全即采取措施保护信息在网络中传输期间的安全
D、网络安全包括对信息收集、存储、传输、交换、处理系统的保护
44、信息安全风险(R)计算中涉及脆弱性(V),以下说法正确的是()。
A、脆弱性是资产性质决定的固有的弱点,其赋值不变
B、如果当前控制措施有效,入资产脆弱性赋值可以降低
C、控制措施是管理范畴的概念,脆弱性是技术范畴的概念,二者没有关系
D、只要威胁存在,脆弱性就存在,二者的赋值同向增减
45、信息安全管理体系的设计应考虑()。
A、组织的成略
B、组织的目标和需求
C、组织的业务过程性质
D、以上全部
46、信息安全是保证信息的保密性、完整性、()。
A、充分性
B、适宜性
C、可用性
D、有效性
47、《中华人民共和国保守国家秘密法》第二章规定了国家秘密的范围和密级,国家秘密的密级分为()。
A、普密、商密两个级别
B、低级和高级两个级别
C、绝密、机密、秘密三个级别
D、一密、二密、三密、四密四个级别
48、依据GB/T22080-2016/ISQ/IEC27001:2013标准,信息安全管理体系文件应包括()。
A、信息安全管理体系的范围、适用性声明
B、风险评估报告和风险处置计划
C、风险评估方法
D、以上全部
49、依据GB/T22080-2016/ISO/IEC27001:2013标准,制定信息安全管理体系方针,应予以考虑的输入是()。
A、业务战略
B、法律法规要求
C、合同要求
D、以上全部
50、以下对GB/T22080-2016/ISO/IEC27001:2013标准的描述,正确的是()。
A、该标准属于要求类标准
B、该标准属于指南类标准
C、该标准可用于一致性评估
D、组织在建立信息安全管理体系时,应满足该标准的所有要求
51、主体访问权限的(),即仅执行授权活动所必需的那些权利被称为最小特定权限。
A、最高限度
B、最低限度
C、平均限度
D、次低限度
52、关于信息安全连续性,以下说法正确的是()。
A、信息安全连续性即IT设备运行的连续性
B、信息安全连续性应是组织业务连续性的一部分
C、信息处理设施的觅余即指两个或多个服务器互备
D、信息安全连续性指标由IT系统的性能决定
53、在一个分布式计算环境中,系统安全特别重要。分布式计算环境中的网络攻击存在两种主要的类型:被动攻击和主动攻击。下面哪一种是属于被动攻击?()
A、企业登录到别人的帐号上
B、在网络电缆上安装侦听设备,并产生错误消息
C、拒绝为合法用户提供服务
D、当用户键入系统口令时,进行窃听
54、组织进行业务连续性管理主要是为了保护信息的()。
A、机密性
B、完整性
C、可用性
D、A+B+C
55、某工厂M为某手机品牌S代工,S要求M将其手机设计信息敏感性等级确定为最高级,M的以下做法正确的是()。
A、限制S手机外观设计图纸仅在PLM系统中流传,并限制访问权限
B、将测试用S手机主板存放于密码柜中,并限制密码知悉人
C、将生产线上报废的S手机部件废品粉碎后送环保公司处置
D、以上都对
56、确保信息没有非授权泄密,即确保信息不泄露给非授权的个人、实体或进程,其所用,是指()。
A、完整性
B、可用性
C、机密性
D、抗抵赖性
57、对于获准认可的认证机构,认可机构证明()。
A、认证机构能够开展认证活动
B、其在特定范围内按照标准具有从事认证活动的能力
C、认证机构的每张认证证书都符合要求
D、认证机构具有从事相应认证活动的能力
58、适用性声明文件应()。
A、描述与组织相关和适用的控制目标和控制措施
B、版本应保持稳定不变
C、应包含标准GB/T22080附录A的所有条款
D、应删除组织不拟实施的控制措施
59、内部审核是为了确定信息安全体系的()。
A、有效性和适宜性
B、适宜性和充分性
C、有效性和符合性
D、适宜性和充分性
60、测量控制措施的有效性以验证安全要求是否被满足是()的活动。
A、ISMS建立阶段
B、ISMS实施和运行阶段
C、ISMS监视和评审阶段
D、ISMS保持和改进阶段
61、ISMS文件的多少和详细程度取决于()。
A、组织的规模和活动的类型
B、过程及其相互作用的复杂程度
C、员的能力
D、以上都对
62、关于信息安全风险评估,以下说法正确的是()。
A、如果集团企业的各地分/子公司业务性质相同,则针对一个分/子公司识别,评价风险即可,其风险评估过程和结果文件其他分/子公司可直接采用,以节省重要识别和计算的工作量
B、风险评估过程中各参数的赋值一旦确定,不应轻易改变,以维持风险评估的稳定性
C、组织应基于其整体业务活动所在的环境和风险考虑其ISMS设计
D、以上都对
63、管理评审是为了确保信息安全管理体系持续的()。
A、适宜性
B、充分性
C、有效性
D、以上都是
64、加强网络安全性的最重要的基础措施是()。
A、设计有效的网络安全策略
B、选择更安全的操作系统
C、安装杀毒软件
D、加强安全教育
65、拒绝服务攻击损害了下列哪一种信息安全特性?()
A、完整性
B、可用性
C、机密性
D、可靠性
66、渗透测试()。
A、可能会导致业务系统无法正常运行拷贝
B、是通过模拟恶意黑客攻击方法,来评估计算机网络系统安全的一种评估方法
C、渗透测试人员在局域网中进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告
D、必须在计算机网络系统首次使用前进行,以确保系统安全
67、下面哪一种功能不是防火墙的主要功能?()
A、协议过滤
B、应用网关
C、扩展的日志记录能力
D、包交换
68、关于信息安全管理体系认证,以下说法正确的是()。
A、负责作出认证决定的人员中应至少有一人参于了审核
B、负责作出认证决定的人员必须是审核组组长
C、负责作出认证决定的人员不应参与审核
D、负责作出认证决定的人员应包含参与了预审核的人员
69、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每()至少进行一次保密检查或者系统测评。
A、半年
B、1年
C、1.5年
D、2年
70、以下哪一项有助于检测入侵者对服务器系统日志的改动?()
A、在另一台服务器镜像该系统日志
B、在一块一次写磁盘上同时复制该系统日志
C、将保存系统日志的目录设为写保护
D、异地保存该系统日志的备份
71、加密技术可以保护信息的()。
A、机密性
B、完整性
C、可用性
D、A+B
72、根据《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行()。
A、国家经营
B、地方经营
C、许可制度
D、备案制度
73、关于《中华人民共和国网络安全法》中的“三同步”要求,以下说法正确的是()。
A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用
B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用
C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用
D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用
74、在实施技术符合性评审时,以下说法正确的是()。
A、技术符合性评审即渗透测试
B、技术符合性评审即漏洞扫描与渗透测试的结合
C、渗透测试与漏洞描述可以替代风险评估
D、渗透测试与漏洞描述不可替代风险评估
75、以下做法不正确的是()。
A、保留含有敏感信息的介质的处置记录
B、将大量含有信息的介质汇集在一起时提高其总体敏感性等级
C、将所有的已用过一面的复印纸分配各部门复用以符合组织的节能降耗策略
D、依据风险评估的结果将维修更换下来的磁盘交第三方按双方约定的程序进行处置
76、《中华人民共和国认证认可条例》规定,认证人员自被撤销职业资格之日起()内,认可机构再接受其注册申请。
A、2年
B、3年
C、4年
D、5年
77、以下关于入侵检测系统功能的叙述中,()是不正确的。
A、仅保护内部网络免受非法用户的侵入
B、评估系统关键资源和数据文件的完整性
C、分识别已知的攻击行为
D、统计分析异常行为
78、信息安全管理体系标准族中关于信息安全风险管理的标准是()。
A、ISO/IEC27002
B、ISO/IEC27003
C、ISO/IEC27004
D、ISO/IEC27005
79、一个信息安全事件由单个的或一系列的有害或一系列()信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大的可能性。
A、已经发生
B、可能发生
C、意外
D、A+B+C
80、数据签名可以有效对付哪一类信息安全的风险?()
A、非授权地阅读
B、盗窃
C、非授权地复制
D、篡改
二、多选题
81、GB/T22080-2016/ISO/IEC27001:2013标准可用于()。
A、指导组织建立信息安全管理体系
B、为组织建立信息安全管理体系提供控制措施的实施指南
C、审核员实施审核的依据
D、以上都不对
82、撤销对信息和信息处理设施的访的权针对的是()。
A、组织雇员离职的情况
B、组织雇员转岗的情况
C、临时任务结束的情况
D、员工出差
83、信息安全管理体系绩效测量的开发包括()。
A、选择目标和特性
B、确定分析模型
C、确定测量指标
D、确定决策准则
84、以下哪几项可以实现和保持对组织信息资产的适当保护()。
A、形成重要资产清单,并加以维护
B、购买相同设备类型中价值最高的产品
C、确定所有资产的责任人
D、制定合乎公司要求的资产使用规则
85、网络攻击的方式包括()。
A、信息搜集
B、信息窃取
C、系统利用
D、资源损耗
86、对于某企业作为数据中心备用发电机用油的20吨油库,以下符合GB/T22080-2016/ISO/IEC27001:2013标准要求的做法是()。
A、将油库识别为重要危险源进行风险防控
B、油库的防雷检测不列为信息安全管理体系审核范围
C、对备用发电机定期进行带载测试
D、油库通过了当地消防部门的验收,可替代定期风险评估
87、以下说法不正确的是()。
A、信息安全管理体系审核是信息系统审计的一种
B、信息安全技术应用的程度决定信息安全管理体系认证审核的结论
C、组织对信息安全威胁的分析必须是信息安全管理体系审核关注的要素
D、如果组织已获得业务连续性管理体系认证,则信息安全管理体系审核可略过风险评估
88、按覆盖的地理范围进行分类,计算机网络可以分为()。
A、局域网
B、城域网
C、广域网
D、区域网
89、以下符合GB/T22080-2016/ISO/IC27001:2013标准A17要求的情况是()。
A、银监会规定业务中断后须在4小时内恢复,因此某银行IT运维中心规定:如发生网络中断、数据库系统运行中断等,均应在4小时内恢复
B、A公司所在市区历来供电稳定,因础核必业务机房采用单路市电及单台PS为所有系统设备供电
C、某金融押运服务公司在A、B两台服务器上安装了押运车实时位置和状态跟踪系统,A为日常运行用,系统定期升级,B为备机,平时为冷态,A和B安置于同一机房,共用同一套基础设施
D、某跨国贸易公司每3个月一次将其核心业务系统中的数据备份一套磁盘,然后送往当地银行保险箱保存
90、信息安全面临哪些威胁()。
A、信息间谍
B、网络访问
C、计算机病毒
D、脆弱的信息系统
91、关于信息安全风险自评估,下列选项正确的是()。
A、是指信息系统拥有、运营和使用单位发起的对本单位信息系统进行的风险评估
B、周期性的自评估可以在评估流程上适当简化
C、可由发起方实施或委托风险评估服务技术支持方实施
D、由信息系统上级管理部门组织的风险评估
92、以下做法正确的是()。
A、使用生产系统数据测试时,应先将数据进行脱敏处理
B、为强化新员工培训效果,应尽可能使用真实业务案例和数据
C、员工调换项目组时,其原使用计算机中的项目数据经妥善删除后可带入新项目组使用
D、信息系统管理域内所有的终端启动屏幕保护时间应一致
93、组织的信息安全管理体系初次认证应包括的审核活动是()。
A、审核准备
B、第一阶段审核
C、第二阶段审核
D、认证决定
94、《互联网信息服务管理办法》中对()类的互联网信息服务实行主管部门审核制度。
A、新闻、出版
B、医疗、保健
C、知识类
D、教育类
95、某软件开发公司要求开发人员使用私有计算机工作,公司支付开发人员“设备租赁补贴”作为福利,以下不符合GB/T22080-2016/ISO/IEC27001:2013标准要求的做法是()。
A、公司要求员工自己为其计算机失窃风险负责
B、公司要求员工定期提交开发成果物
C、公司要求员工自己确定防病毒策略和系统升级策略
D、公司不限定员工访问网络服务
96、信息安全管理体系范围和边界的确定依据包括()。
A、业务
B、组织
C、物理
D、资产和技术
97、当满足()时,可考虑使用基于抽样的方法对多场所进行审核。
A、所有的场所在相同信息安全管理体系中,这些场所被集中管理和审核
B、所有的场所在相同信息安全管理体系中,这些场所被分别管理和审核
C、所有场所包括在客户组织的内部信息安全管理体系审核方案中
D、所有场所包括在客户组织的信息安全管理体系管理评审方案中
98、以下场景中符合GB/T22080-2016/ISO/IEC27001:2013标准要求的情况是()。
A、A公司为保洁人员发放了公司财务总监、总经理等管理者办公室的门禁卡,方便其在每天上班前和下班后打扫这些房间
B、A公司将其物理区域敏感性划分为四个等级,分别给这些区域入口的门上贴上红、橙、黄、蓝色标志
C、A公司为少数核心项目人员发放了手机,允许其使用手机在指定区域使用公司无线局域网访问客户数据FTP,但不允许将手机带离指定区域
D、A公司门禁系统的时钟比公司视频监视系统的时钟慢约10分钟
99、对于组织在风险处置过程中所选的控制措施,以下说法正确的是( )。
A、将所有风险都必须被降低至可接受的级别
B、可以将风险转移
C、在满足公司策略和方针条件下,有意识、客观地接受风险
D、规避风险
100、信息安全管理体系认证审核时的文件评审应包括()。
A、信息安全事件分析报告
B、适用性声明
C、信息安全风险评估报告
D、信息安全风险处置计划
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
