一、单选题
1、在第三方认证审核时,()不是审核员的职责。
A、实施审核
B、确定不合格项
C、对发现的不合格项采取纠正措施
D、验证审核方所采取纠正措施的有效性
2、包含储存介质的设备的所有项目应进行核查,以确保在处置之前,()和注册软件已被删除或安全地写覆盖。
A、系统软件
B、游戏软件
C、杀毒软件
D、任何敏感信息
3、一个信息安全事件由单个的或一系列的有害或一系列()信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大的可能性。
A、已经发生
B、可能发生
C、意外
D、A+B+C
4、以下不属于认证机构应考虑对组织的信息安全管理体系实施特殊审核的情形的是()。
A、组织获证范围内的业务活动场所、地址变更
B、组织的适用性声明中对控制措施的选释相关内容发生变更
C、组织获证范围内业务应用系统发生重大变更,如系统架构变更
D、组织的信息安全管理体系年度内部审核计划变更
5、选择信息安全控制措施应该()。
A、建立在风险评估的结果之上
B、针对每一种风险,控制措施并非唯一
C、反映组织风险管理战略
D、以上各项都对
6、根据《中华人民共和国网络安全法》,关键信息基础设施运营者采购网络产品和服务,应当按照规定与提供者签订()的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
A、供方支撑协议
B、服务级别协议
C、运营级别协议
D、安全保密协议
7、根据《中华人民共和国计算机信息系统安全保护条例》,计算机信息系统安全专用产品是指用于保护计算机信息系统安全的()。
A、专用产品
B、特定产品
C、特定硬件和软件产品
D、专用硬件和软件产品
8、当信息系统中包含多个业务子系统时,对每个业务子系统进行安全等级确定,最终信息系统的安全等级应当由()所确定。
A、业务子系统的安全等级平均值
B、业务子系统的最高安全等级
C、业务子系统的最低安全等级
D、以上说法都错误
9、下列哪一种情况下,网络数据管理协议(NDMP)可用于备份()?
A、需要使用网络附加存储设备(NAS)时
B、不能使用TCP/IP的环境中
C、需要备份旧的备份系统不能处理的文件许可时
D、要保证跨多个数据卷的备份连续、一致时
10、依据GB/Z20986,信息安全事件的分级为()。
A、特别严重事件、严重事件、一般事件
B、特别重大事件、重大事件、较大事件、一般事件
C、I级、Ⅱ级、Ⅲ级、V级、V级
D、严重事件、较严重事件、一般事件
11、我国正式公布了电子签名法,数字签名机制用于实现()需求。
A、抗否认
B、保密性
C、完整性
D、可用性
12、审核组长在末次会议上宣布的审核结论是依据()得出的。
A、审核目的
B、不符合项的严重程度
C、所有的审核发现
D、A+B+C
13、数字签名要预使用单向HASH函数进行处理的原因是()。
A、多一道加密工序使密文更难破译
B、提高密文的计算速度
C、缩小签名密文的长度,加快数字签名和验证签名的运算速度
D、保证密文能正确还原成明文
14、根据《中华人民共和国国家秘密法》,国家秘密的最高密级为()。
A、特密
B、绝密
C、机密
D、秘密
15、ISO/IEC27002最新版本为()。
A、2022
B、2015
C、2005
D、2013
16、包含储存介质的设备的所有项目应进行核查,以确保在处置之前,()和注册软件已被删除或者安全地写覆盖。
A、系统软件
B、杀毒软件
C、游戏软件
D、任何敏感信息
17、依据GB/T22080,网络隔离指的是()。
A、不同网络运营商之间的隔离
B、不同用户组之间的隔离
C、内网与外网的隔离
D、信息服务〈用户及信息系统
18、信息安全灾备管理中,“灾难备份”指()。
A、备份数据发生了灾难性破坏
B、为灾难恢复而对数据、数据处理系统、网络系统进行备份的过程
C、为灾难恢复而对基础设施、专业技术支持能力和运行管理能力进行备份的过程
D、B+C
19、依据ISO/IEC27005,关于风险处置,以下说法正确的是:()。
A、须按风险降低,风险保留、风险避免、风险分担顺序进行
B、应组合使用风险降低、风险保留、风险避免、风险分担的手段
C、风险降低、风险保留、风险避免、风险分担须择一使用而放弃其他手段
D、须按风险避免、风险降低、风险分担、风险保留顺序进行
20、关于审核组的现场审核,以下说法错误的是()。
A、审核组在审核期间现场可根据受审核方实际情况及变更审核范围
B、审核组在审核期间现场可调整审核路线和审核资源分配
C、审核组遇到重大风险应报告委托方以决定后续措施
D、审核组遇到重大风险应报告受审核方以决定后续措施
21、以下强健口令的是()。
A、a8mom9y5fub33
B、1234
C、CNAS
D、Password
22、安全区域通常的防护措施有()。
A、公司前台的电脑显示器背对来访者
B、进出公司的访客须在门卫处进行登记
C、重点机房安装有门禁系统
D、以上全部
23、()是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全方针的违反或控制措施的失效,或是和安全相关的一个先前未知的状态。
A、信息安全事态
B、信息安全事件
C、信息安全肃故
D、信息安全故障
24、用户访问某Web网站,用户直接采取的安全措施是()。
A、服务器数据备份
B、防火墙过滤数据包
C、用户输入登录口令
D、核心交换机的热备
25、对于可能超越系统和应用控制的实用程序,以下说法正确的是()。
A、实用程序的使用不在审计范围内
B、建立禁止使用的实用程序清单
C、应急响应时需使用的实用程序不需额外授权
D、建立鉴别、授权机制和许可使用的实用程序清单
26、下列对信息安全风险评估建立准则描述正确的是()。
A、组织应按计划的时间间隔或当重大变更提出或发生时执行信息安全风险评估
B、组织应按计划的时间间隔且当重大变更提出或发生时执行信息安全风险评估
C、组织只需在重大变更发生时执行信息安全风险评估
D、组织只需按计划的时间间隔执行信息安全风险评估
27、信息安全管理体系的要求类标准是()。
A、GB/T22080-2016
B、GB/T22081-2008
C、ISO/IEC27003
D、ISO/IEC27004
28、下列哪种情况不影响审核的公正性?()
A、审核收费
B、审核员为受审核方前雇员
C、审核员参与了受审核方的体系建立工作
D、审核员为受审核方的用户
29、GB/T 29246标准由()提出并归口。
A、SC 27
B、SAC/TC 261
C、SAC/TC 260
D、SC 40
30、安全标签是一种访问控制机制,它适用于下列哪一种访问控制策略()。
A、基于角色的策略
B、基于身份的策略
C、用户向导的策略
D、强制性访问控制策略
31、信息安全在通信保密阶段中主要应用于()领域。
A、军事
B、商业
C、科研
D、教育
32、关于信息安全风险评估,以下正确的是()。
A、包括资产分析、风险识别、风险评估
B、包括风险识别、风险分析、风险评价
C、包括风险识别、风险分析、风险处置
D、包括风险沟速、风险分析、风险评价
33、以下不属于密钥管理内容的是()。
A、密钥材料复制、转移、更新和确认
B、密钥材料的生成、等级、认证、注销
C、密钥材料的撤销、衍生、销毁,和恢复
D、密钥材料的分发、安装、存储和归档
34、()是建立有效的计算机病毒防御体系所需要的技术措施。
A、漏洞扫描、网络入侵检测和防火墙
B、漏洞扫描、补丁管理系统和防火墙
C、网络入侵检测、防病毒系统和防火墙
D、补丁管理系统、网络入侵检测和防火墙
35、ISO/EC 17799标准是哪个标准的前身( )?
A、BS 7799-1
B、BS 7799-2
C、BS 7799-3
D、GB 7799
36、《中华人民共和国网络安全法》的实施时间是()。
A、2016年11月7日
B、2016年12月1日
C、2017年6月1日
D、2018年3月1日
37、关于IT系统审计,以下说法正确的是()。
A、IT系统审计是发现系统脆弱性的有效手段,不可删减
B、组织经评估认为IT系统审计的风险不可接受时,可以删减
C、组织认为IT系统审计成本太高时,可以删减
D、组织自己不具备实施IT系统审计的能力时,可以删减
38、依据GB/T2208/ISO/IC27001,不属于第三方服务监视和评审范畴的是()。
A、监视和评审服务级别协议的符合性
B、监视和评审服务方人员聘用和考核的流程
C、监视和评审服务交付遵从协议规定的安全要求的程度
D、监视和评审服务方跟踪处理信息安全事件的能力
39、对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由以下部门归口管理()。
A、工业和信息化部
B、公安部
C、信息产业部
D、国家安全部
40、根据GB/T22080-2016标准的要求,组织()实施风险评估。
A、应按计划的时间间隔或当重大变更提出或发生时
B、应按计划的时间间隔目当重大变更提出或发生时
C、只需在重大变更发生时
D、只需按计划的时间间隔
二、多选题
41、以下做法正确的是()
A、使用生产系统数据测试时,应先将数据进行脱敏处理
B、为强化新员工培训效果,应尽可能使用真实业务案例和数据
C、员工调换项目组时,其原使用计算机中的项目数据经妥善删除后可带入新项目组使用
D、信息系统管理域内所有的终端启动屏幕保护时间应一致
42、涉密安全管理包括()。
A、涉密设备管理
B、涉密信息管理
C、涉密人员管理
D、涉密场所、媒体管理
43、以下说法正确的是()。
A、顾客不投诉表示顾客满意了
B、监视和测量顾客满意的方法之一是发调查问卷,并对结果进行分析和评价
C、顾客满意测评只能通过第三方机构来实施
D、顾客不投诉并不意味着顾客满意了
44、信息安全管理体系认证是()。
A、与信息安全管理体系有关的规定要求得到满足的证实活动
B、对信息系统是否满足有关的规定要求的评价
C、信息安全管理体系认证是合格评定活动的一种
D、是信息系统风险管理的实施活动
45、根据ISO/IEC 27000,以下说法正确的是()。
A、ISMS族包含阐述要求的标准
B、ISMS族包含阐述通用概述的标准
C、ISMS族包含特定行业概述的标准
D、ISMS族包含阐述ISMS概述和词汇的标准
46、信息安全方针应包括下列要求()。
A、考虑业务和法律法规的要求及合同中的安全义务
B、建立风险评价的准则
C、可测量
D、获得管理者批准
47、移动设备策略宜考虑()。
A、移动设备注册
B、恶意软件防范
C、访问控制
D、物理保护要求
48、相关方是指对于一项与SMS或服务相关的决策或活动()的个人或组织。
A、能够影响
B、及其影响
C、认为自己受到影响
D、无法影响
49、影响审核时间安排的因素包括( )。
A、ITSMS的范围大小
B、场所的数量
C、认证机构审核人员的能力
D、认证机构审核人员的数量
50、为确保员工和合同方理解其职责、并适合其角色,在员工任用之前,必须()。
A、对其进行试用
B、对员工的背景进行适当验证检查
C、在任用条款和合同中指明安全职责
D、面试
51、以下不符合GB/T22080-2016/ISO/IEC27001:2013标准A17要求的情况是()。
A、银监会规定业务中断后须在4小时内恢复,因此某银行T运维中心规定:如发生网络中断,数据库系统运行中断等,均应在4小时内恢复
B、A公司所在市区历来供电稳定,因此核心业务机房采用单路市电及单台UPS为所有系统设备供电
C、某金融押运服务公司在A、B两台服务器上安装了押运车实时位置和状态跟踪系统,A为日常运行用,系统定期升级,B为备机,平时为冷态,A和B安置在同一机房,共用一套基础设施
D、某跨国贸易公司每3个月一次将其核心业务系统中的数据备份一套磁盘,然后送往当地银行保险箱保存
52、关于商用密码技术和产品,以下说法正确的是()。
A、任何组织不得随意进口密码产品,但可以出一商用密码产品
B、商用密码技术属于国家秘密
C、商用密码是对不涉及国家秘密的内容进行加密保护的产品
D、商用密码产品的用户不得类其使用的商用密码产品
53、ISMS范围和边界的确定依据包括()。
A、业务
B、组织
C、物理
D、资产和技术
54、根据采用的技术,入侵检测系统有以下分类()。
A、正常检测
B、异常检测
C、特征检测
D、固定检测
55、为控制文件化信息,适用时,组织应强调以下哪些活动?()
A、分发,访问,检索和使用
B、存储和保护,包括保持可读性
C、控制变更(例如版本控制)
D、保留和处理
三、判断题
56、对不同类型的风险可以采用不同的风险接受准则,例如,导致对法律法规不符合的风险可能是不可接受的,但可能允许接受导致违背合同要求的高风险()。
A 正确
B 错误
57、审核目的应包括确定管理体系的有效性,以确保客户已根据风险评估实施了适用的控制并实现了所设立的信息安全方针。()
A 正确
B 错误
58、无论是哪一种WEB服务器,都会受到Http协议本身安全问题的困扰,这样的信息系统安全漏洞属于验证型漏洞。()
A 正确
B 错误
59、风险处置计划应包含计划的目标、职责分配、财务预算及时间表。()
A 正确
B 错误
60、对是否属于国家和属于何种密级不明确的事项,可由各单位自行参考国家要求确定和定级,然后报国家保密工作部门备案。()
A 正确
B 错误
61、完全备份就是对全部数据库数据进行备份()。
A 正确
B 错误
62、考虑了组织所实施的活动,即可确定组织信息安全管理体系范围。()
A 正确
B 错误
63、IT系统日志信息保存所需的资源不属于容量管理的范围()。
A 正确
B 错误
64、通过修改某种已知计算机病毒的代码,使其能够躲过现有计算机检测程序时,可以称这种新出现的计算机病毒是原来计算机病毒的变形。()
A 正确
B 错误
65、建设网络中的一个设备发生故障星型局域网更容易面临全面的瘫痪。()
A 正确
B 错误
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
