一、单选题
1、下列哪一种属于网络上的被动攻击()。
A、消息篡改
B、伪装
C、拒绝服务
D、流量分扬
2、依据GB/T22080/ISO/IEC27001,信息分类方案的目的是()。
A、划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘
B、划分信息载体所属的职能以便于明确管理责任
C、划分信息对于组织业务的关键性和敏感性分类,按此分类确定信息存储、处理、处置的原则
D、划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析
3、关于信息安全的说法错误的是()。
A、包括技术和管理两个主要方面
B、策略是信息安全的基础
C、采取充分措施,可以实现绝对安全
D、保密性、完整性和可用性是信息安全的目标
4、关于信息系统登录口令的管理,以下做法不正确的是()。
A、必要时,使用密码技术、生物识别等替代口令
B、用提示信息告知用户输入的口令是否正确
C、明确告知用户应遵从的优质口令策略
D、使用互动式管理确保用户使用优质口令
5、关于可移动介质的管理,以下说法错误的是()。
A、如果必要并可行,对于从组织取走的所有介质要要求授权、所有这种移动的记录要加保持,以保持审核踪迹;
B、要将所有介质存储在安全、保密的环境中
C、如果数据保密性或完整性是重要的考虑事项,宜使用加密技术来保护在可移动介质中的数据
D、可移动介质属于低值易耗品,因此无需进行管理
6、以下不是ISMS的相关方的是()。
A、可能影响决策的人或组织
B、认为自己影响决策的人或组织
C、认为自己受到决策影响的人或组织
D、可能受到决策影响的人或组织
7、关于“纠正措施”,以下说法正确的是()。
A、针对不符合的原因分析必须采用“因果分析法”
B、审核组对于不符合项原因分析的准确性影响纠正措施的有效性的因素之一
C、受审核方对于不符合项原因分析的准确性是影响纠正措施有效性的因素之一
D、审核组与受审核方应对不符合的原因进行共同分析,以确保纠正措施的有效性
8、依据GB/T22080,ISO/IEC27001的要求,管理者应()。
A、确保制定ISMS方针
B、制定ISMS目标和计划
C、实施ISMS内部审核
D、主持ISMS管理评审
9、对于外部方提供的软件包以下说法正确的是()。
A、组织的人员可随时对具进行适用性调整
B、应严格限制对软件包的调整以保护软件包的保密性
C、应严格限制对软件包的调整以保护软件包的完整性和可用性
D、以上都不对
10、开发、测试和()设施应分离,以减少未授权访问或改变运行系统的风险。
A、配置
B、系统
C、终端
D、运行
11、设施维护维修时,应考虑的安全措施包括()。
A、维护维修前,按规定程序处理或清除其中的信息
B、维护维修后,检査是否有未授权的新增功能
C、敏感部件进行物理销毁而不予送修
D、以上全部
12、在信息安全管理中进行()。
A、内容监控
B、安全教育和培训
C、责任追查和惩处
D、访问控制
13、包含存储介质的设备的所有项目应进行检查,以确保在处置之前,()和注册软件已被删除或安全的写覆盖。
A、系统软件
B、游戏软件
C、杀毒软件
D、任何敏感信息
14、目前在用的《中华人民共和国保守国家秘密法》是在()正式实施的。
A、2014年3月1日
B、2014年11月1日
C、2014年12月31日
D、2010年10月1日
15、GB/T22080/IEC27001:2013标准附录A中有()个安全域。
A、18
B、16
C、15
D、14
16、下列哪一种情况下,网络数据管理协议(NDMP)可用于备份()?
A、需要使用网络附加存储设备(NAS)时
B、不能使用TCP/IP的环境中
C、需要备份旧的备份系统不能处理的文件许可时
D、要保证跨多个数据卷的备份连续、一致时
17、在现场审核时,审核组待枚自行决定变更的事项是()。
A、审核人日
B、入审核的业务范围
C、审核日期
D、审核组任务调整
18、《中华人民共和国网络安全法》的实施时间是()。
A、2016年11月7日
B、2016年12月1日
C、2017年6月1日
D、2018年3月1日
19、安全管理中采用的“职位轮换”或者“强制休假”办法是为了发现特定的岗位人员是否存在违规操作行为,属于()控制腊施。
A、管理
B、检测
C、响应
D、运行
20、信息分类是信息安全管理工作的重要环节,下面哪一项不是对信息进行分类时需要重点考虑的()。
A、信息的价值
B、信息的时效性
C、信息的存储
D、法律法规的规定
21、对于外部方提供的软件包,以下说法正确的是()。
A、组织的人员可随时对其进行适用性调整
B、应严格限制对软件包的调整以保护软件包的保密性
C、应严格限制对软件包的调整以保护软件包的完整性和可用性
D、以上都不对
22、根据《中华人民共和国保守国家秘密法》,国家秘密的最高密级为()。
A、秘密
B、机密
C、特密
D、绝密
23、下列关于DMZ区的说法错误的是()。
A、DMZ可以访问内部网络
B、内部网络可以无限制地访问外部网络以及DMZ
C、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作
D、通常DMZ包含允许来自互联网的通信可进入的设备,如Web服务器、FTP服务器、SMTP服务器和DNS服务器等
24、为了实现在网络上自动标识设备,以下做法错误的是()。
A、启用DHCP动态分配IP地址功能
B、为网络设备分配固定IP地址
C、将每一台计算机MAC与一个IP地址绑定
D、采取有效措施禁止修改MAC
25、据GB/T22080-2016/ISO/IEC27001:2013,以下关于资产清单正确的是()。
A、做好资产分类是其基础
B、釆用组织固定资产台账即可
C、无需关注资产产权归属者
D、A+B
26、《网络安全审查办法》的制定,是为了()。
A、保守国家秘密,维护国家安全和利益
B、保障网络安全,维护网络空间主权和国家安全
C、确保关键信息基础设施供应链安全,维护国家安全
D、规范互联网信息服务活动,促进互联网信息服务健康有序发展
27、关于信息安全产品的使用,以下说法正确的是()。
A、对于所有的信息系统,信息安全产品的核心技术、关键部件须具有我国自主知识产权
B、对于三级以上信息系统,已列入信息安全产品认证且录的,应取得国家信息安全产品认证机构颁发的认证证书
C、对于四级以上信息系统,信息安全产品研制的主要技术人员须无犯罪记录
D、对于四级以上信息系统,信息安全产品研制单位须声明没有故意留有或设置漏洞
28、关于系统运行日志,以下说法正确的是()。
A、系统管理员负责对日志信息进行编辑、保存
B、日志信息文件的保存应纳入容量管理
C、日志管理即系统审计日志管理
D、组织的安全策略应决定系统管理员的活动是否有记入日志
29、对于“监控系统”的存取与使用,下列正确的是()。
A、监控系统所产生的记录可由用户任意存取
B、计算机系统时钟应予同步
C、只有当系统发生异常事件及其他安全相关事件时才需进行监控
D、监控系统投资额庞大,并会影响系统效能,因此可以予以暂时省略
30、下面哪种属于网络上的被动攻击()。
A、消息篡改
B、伪装
C、拒绝服务
D、流量分析
31、()是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全方针的违反或控制措施的失效,或是和安全相关的一个先前未知的状态。
A、信息安全事态
B、信息安全事件
C、信息安全肃故
D、信息安全故障
32、可用性是指()。
A、根据授权实体的要求可访问和利用的特性
B、信息不被未授权的个人、实体或过程利用或知悉的特性
C、保护资产准确和完整的特性
D、反映事物具实情况的程度
33、ISMS有效性的定期评审应考虑()、事故、有效性策略结果等内容。
A、识别风险
B、风险评价
C、风险评估方法
D、安全评审结果
34、国家信息安全等级保护采取()。
A、自主定级、自主保护的原则
B、国家保密部门定级、自主保持的原则
C、公安部门定级、自主保护的原则
D、国家保密部门定级、公安部门监督保护的原则
35、以下不属于网络安全控制技术的是()。
A、防火墙技术
B、访问控制
C、入侵检测技术
D、差错控制
36、根据GB/T22080-2016标准中控制措施的要求,关于资产清单,正确的是()。
A、做好资产整理是其基础
B、识别信息,以及与信息和信息处理设施相关的其他资产
C、识别和完整采用组织的固定资产台账,同时指定资产责任人
D、资产价格越高,往往意味着功能越全,因此资产重要性等级就越高
37、()是对于一个组织成功实施ISMS来满足其业务目标的关键要素。
A、信息安全策略、目标和与目标一致的活动
B、更有效、经济的信息安全投资管理
C、满足社会的需要和期望
D、增加利益相关方对组织的信任
38、以下可表明知识产权方面符合GB/T22080/ISO/IEC27001要求的是()。
A、禁止安装未列入白名单的软件
B、禁止使用通过互联网下载的免费软件
C、禁止安装未经验证的软件包
D、禁止软件安装超出许可权证规定的最大用户数
39、依据GB/T 22081-2016/ISO/IEC 27002:2013,信息系统审计是()。
A、发现信息系统脆弱性的手段之一
B、应在系统运行期间进行,以便于准确地发现弱点
C、审计工具在组织内应公开可获取,以便于提升员工的能力
D、只要定期进行,就可以替代内部ISMS审核
40、对日志数据进行审计检查,属于()类控制措施。
A、预防
B、检测
C、威慑
D、修正
二、多选题
41、《互联网信息服务管理办法》中对()。
A、新闻、出版
B、医疗、保健
C、知识类
D、教育类
42、信息安全绩效的反馈,包括以下哪些方面的趋势?()
A、不符合和纠正措施
B、监视测量的结果
C、审核结果
D、信息安全方针完成情况
43、下面哪一条措施可以防止数据泄漏()。
A、数据冗余
B、数据加密
C、访问控制
D、密码系统
44、投诉处理过程应包括:()
A、投诉受理、跟踪和告知
B、投诉初步评审、投诉调查
C、投诉响应、沟通决定
D、投诉终止
45、针对系统和应用访问控制,以下做法不正确的是()。
A、对于数据库系统审计人员开放不限时权限
B、登录之后,不活动超过规定时间强制使其退出登录
C、对于修改系统核心业务运行数据的操作限定操作时间
D、用户尝试登录失败时,明确提示其用户名错误或口令错误
46、根据GB/T 28450,审核方案应考虑的内容包括()。
A、体系覆盖的场所
B、体系覆盖的人数
C、特权用户的数量
D、IT平台的数量
47、在ISO/IEC 7799标准中,信息安全特指保护()。
A、信息的保密性
B、信息的完整性
C、信息的流动性
D、信息的可用性
48、关于云计算服务中的安全,以下说法不正确的是()。
A、服务提供方提供身份鉴别能力,云服务客户自己定义并实施身份鉴别准则
B、服务提供方提供身份鉴别能力,并定义和实施身份鉴别准则
C、云服务客户提供身份鉴别能力,服务提供方定义并实施身份鉴别准则
D、云服务客户提供身份鉴别能力,并定义和实施身份鉴别准则
49、ISMS审核目标可包括()。
A、评价ISMS是否充分识别
B、确定信息安全控制对ISMS要求和规程的符合程度
C、解决信息安全要求
D、评价维护和有效改进ISMS的过程
50、关于“审核发现”,以下说法不正确的是()。
A、审核发现即审核员观察到的事实
B、审核发现可以表明正面的或负面的结果
C、审核发现即审核组提出的不符合项报告
D、审核发现即审核结论意见
51、信息安全方针应包括下列要求()。
A、考虑业务和法律法规的要求及合同中的安全义务
B、建立风险评价的准则
C、可测量
D、获得管理者批准
52、编制ISMS审核计划,需充分理解审核方案,计划需考虑()。
A、需要的技术与工具准备
B、前期抽样情况和本期抽样原则
C、组织资源保障程度
D、人员派遣要求
53、组织的信息安全管理体系初次认证应包括的审核活动是()。
A、审核准备
B、第一阶段审核
C、第二阶段审核
D、认证决定
54、下列哪些是SSL支持的内容类型?()
A、change cipher spec
B、alert
C、handshakle
D、application data
55、《互联网信息服务管理办法》中对()类的互联网信息服务实行主管部门审核制度。
A、新闻、出版
B、医疗、保健
C、知识类
D、教育类
三、判断题
56、审核员由实习审核员转审核员之前,至少必须通过4次完整体系20天的审核()。
A 正确
B 错误
57、A公司核心业务系统MTPD=4小时,非核心业务系统MTPD=36小时,公司取其平均值,规定业务系统的RTO=20小时。这符合GB/T 22080-2016标准A.17.1.1的要求。()
A 正确
B 错误
58、文件控制指的是文件编制、评审、批准、发放、修订、作废等过程的控制。()
A 正确
B 错误
59、组织应持续改进信息安全管理体系的适宜性、充分性和有效性()。
A 正确
B 错误
60、防火墙虽然是网络层重要的安全机制,但是它对于计算机病毒缺乏保护能力。()
A 正确
B 错误
61、事件发生后事件日志有助于评估计算机安全事例的危害程度。()
A 正确
B 错误
62、计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统()。
A 正确
B 错误
63、身份认证是证实客户的真实身份与其所声称的身份是否相符的验证过程。()
A 正确
B 错误
64、创建和更新文件化信息时,组织应确保对其适宜性和充分性进行评审和批准。()
A 正确
B 错误
65、网络边界在内网和外网之间存在不经过防火墙控制的其他通信连接,不会影响到防火墙的有效保护作用。()
A 正确
B 错误
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
