一、单选题
1、关于信息安全管理体系认证,以下说法正确的是()。
A、认证决定人员不宜推翻审核组的正面结论
B、认证决定人员不宜推翻审核组的负面结论
C、认证决定人员宜与审核组长协商做出以证决定
D、认证决定人员宜与受审核方协商做出认证决定
2、根据GB/T 29246标准,保密性是指( )。
A、根据授权实体的要求可访问的特性
B、信息不被未授权的个人、实体或过程利用或知悉的特性
C、保护信息准确和完整的特性
D、保证信息不被其他人使用
3、漏洞检测的方法分为()。
A、静态检测
B、动态测试
C、混合检测
D、以上都是
4、我国网络安全等级保护共分几个级别?()
A、7
B、4
C、5
D、6
5、下列说法不正确的是()。
A、残余风险需要获得管理者的批准
B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果
C、所有的信息活动都必须有记录
D、管理评审至少每年进行一次
6、对于可能超越系统和应用控制的实用程序,以下说法正确的是()。
A、实用程序的使用不在审计范围内
B、建立禁止使用的实用程序清单
C、应急响应时需使用的实用程序不需额外授权
D、建立鉴别,授权机制和许可使用的实用程序清单
7、以下可认定审核范围变更的事项是()。
A、受审核组织增加一个制造场所
B、受审核组织职能单元和人员规模增加
C、受审核组织业务过程增加
D、以上全部
8、下面是关于计算机病毒的两种论断,经判断()。①计算机病毒也是一种程序,它在某些条件下激活,起干扰破坏作用,并能传染到其他程序中去②计算机病毒只会破坏磁盘上的数据
A、只有①正确
B、只有②正确
C、①②都正确
D、①②都不正确
9、关于可信计算机基,以下说法正确的是()
A、指计算机系统中用作保护装置的硬件、固件、软件等的组合体
B、指配置有可信赖安全防护硬件、软件产品的计算机环境
C、指通过了国家有关安全机构认证的计算机信息系统
D、指通过了国家有关机构评测的计算机基础设施,含硬件、软件的配置
10、下列措施中哪一个是用来记录事态并生产证据的?()
A、时钟同步
B、信息备份
C、软件安装限制
D、信息系统审计的控制
11、关于互联网信息服务,以下说法正确的是()。
A、互联网服务分为经营性和非经营性两类,其中经营性互联网信息服务应当在电信主管部门备案
B、非经营性互联网信息服务未取得许可不得进行
C、从事经营性互联网信息服务,应符合《中华人民共和国电信条例》规定的要求
D、经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动
12、关于保密性,以下说法正确的是()。
A、规定被授权的个人和实体,同时规定访问时间和访问范围以及访问类型
B、职级越高可访问信息范围越大
C、默认情况下|Ⅱ系统维护人员可以任何类型访问所有信息
D、顾客对信息的访问权按顾客需求而定
13、依据GB/Z 20986,信息安全事件的分级为()。
A、特别严重事件、严重事件、一般事件
B、特别重大事件、重大事件、较大事件、一般事件
C、1级、II级、Ⅲ级、IV级、V级
D、严重事件、较严重事件、一般事件
14、桌面系统级联状态下,关于上级服务器制定的强制策略,以下说法正确的是()。
A、下级管理员无权修改,不可删除
B、下级管理员无权修改,可以删除
C、下级管理员可以修改,可以删除
D、下级管理员可以修改,不可删除
15、组织选择信息安全风险评估方法,应考虑()。
A、适合于组织的ISMS、已识别的安全要求和法律法规要求
B、只有采用准确性高的概率模型才能得出可信的结果
C、必须采用易学易用的定性评估方法才能提高效率
D、)必须采用国家标准规定的相加法或相乘法
16、审核计划中不应包括()。
A、本次以及其后续审核的时间安排
B、审核准则
C、审核组成员及分工
D、审核的日程安排
17、一家投资顾问商定期向客户发送有关财经新闻的电子邮件,如何保证客户收到的资料没有被修改?()
A、电子邮件发送前,用投资顾问商的私钥加密邮件的HASH值
B、电子邮件发送前,用投资顾问商的公钥加密邮件的HASH值
C、电子邮件发送前,用投资顾问商的私钥数字签名邮件
D、电子邮件发送前,用投资顾问商的私钥加密邮件
18、内部审核是为了确定信息安全体系的()。
A、有效性和适宜性
B、适宜性和充分性
C、有效性和符合性
D、适宜性和充分性
19、T面哪一种属于网络上的被动攻击()。
A、消息篡改
B、伪装
C、拒绝服务
D、流量分析
20、关于“审核发现”,以下说法正确的是()。
A、人审核发现即审核员观察到的事实
B、人审核发现可以表明正面的或负面的结果
C、审核发现即审核组提出的不符合项报告
D、审核发现即审核结论意见
21、根据ISO/IEC 27000标准,()为组织提供了信息安全管理体系实施指南。
A、ISO/IEC 27013
B、ISO/IEC 27002
C、ISO/IEC 27003
D、ISO/IEC 27007
22、在根据组织规模确定基本申核时问的前提下,下列咖一条属于増加审核时间的要素()。
A、其产品/过程无风险或有低的风险
B、客户的认证准备
C、仅涉及单一的活动过程
D、具有高风险的产品或过程
23、关于中国认证认可相关活动的监督管理机制,以下说法正确的是()。
A、CNCA对CNAS、CCAA、认证机构依法实施监督管理
B、CNCA依法监管CNAS,CNAS依法监管认证机构
C、CCAA依法监管认证机构,CNCA依法监管CNAS
D、CCAA依法监管认证人员,CNAS依法监管认证机构,CNCA依法监管CNAS
24、ISMS标准族中,要求类标准是()。
A、ISO27002
B、ISO27001和ISO27003
C、ISO27002和ISO27006;
D、ISO27001和ISO27006
25、信息安全管理中,关于脆弱性,以下说法正确的是:()。
A、组织使用的开源软件不须考虑其技术脆弱性
B、软件开发人员为方便维护留的后门是脆弱性的一种
C、识别资产脆弱性时应考虑资产的固有特性,不包括当前安全控制措施
D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会
26、已获得认证的组织,第二年拟在认证范围上新增加一个场所,针对此情况,以下说法正确的是()。
A、新增场所需实施现场审核,在监督审核人天数基础上加一个人天
B、新增场所需实施现场审核,新增场所按初审计算人天数
C、若组织内审已覆盖该新增场所,监督审核时对组织内审报告进行评审,不必去该新场所现场审核
D、新增场所需实施现场审核,按监督审核计算人天数
27、依据GB/T 22080-2016/ISO/IEC 27001:2013,以下关于资产清单正确的是()。
A、做好资产分类是其基础
B、采用组织固定资产台账即可
C、无需关注资产产权归属者
D、A+B
28、审核抽样时,可以不考虑的因素是()。
A、场所差异
B、管理评审的结果
C、最高管理者
D、内审的结果
29、风险识别过程中需要识别的方面包括:资产识别、识别威胁、识别现有控制措施、()和()。
A、识别可能性和影响
B、识别脆弱性和识别后果
C、识别脆弱性和可能性
D、识别脆弱性和影响
30、设置防火墙策略是为了()。
A、进行访问控制
B、进行病毒防范
C、进行邮件内容过滤
D、进行流量控制
31、下列哪一种属于网络上的被动攻击()。
A、消息篡改
B、伪装
C、拒绝服务
D、流量分扬
32、对于较大范围的网络,网络隔离是()。
A、可以降低成本
B、可以降低不同用户组之间非授权访问的风险
C、必须物理离和必须禁止无线网络
D、以上都对
33、根据ISO/IEC 27006标准,认证决定应基于审核报告中()对客户ISMS是否通过认证的建议。
A、审核组
B、观察员
C、认证决定人员
D、审核员
34、组织应进行安全需求分析,规定对安全控制的要求,当()。
A、组织需建立新的文件系统时
B、组织的原有信息系统扩容或升级时
C、组织向顾客交付软件系统时
D、A+B
35、形成ISMS审核发现时,不需要考虑的是()。
A、所实施控制措施的有效性
B、所实施控制措施的时效性
C、适用性声明的完备性和合理性
D、所实施控制措施与适用性声明的符合性
36、()是建立有效的计算机病毒防御体系所需要的技术措施。
A、防火墙、网络入侵检测和防火墙
B、漏洞扫描、网络入侵检测和防火墙
C、漏洞扫描、补丁管理系统和防火墙
D、网络入侵检测、防病毒系统和防火墙
37、入侵检测技术可以分为误用检测和()两大类。
A、病毒检测
B、详细检测
C、异常检测
D、漏洞检测
38、在风险评估中进行资产的价值估算时,下列哪个不会影响资产的价值()。
A、资产的替代价值
B、资产丧失或损坏的业务影响
C、资产本身的购买价值
D、资产的存放位置
39、风险处置计划应包含()。
A、管理措施
B、资源需求
C、职责分配
D、A+B+C
40、以下关于认证机构的监督要求表述错误的是()。
A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性
B、认证机构的监督方案应由认证机构和客户共同来指定
C、监督审核可以与其他管理体系的审核相结合
D、认证机构应对认证证书的使用进行监督
二、多选题
41、“云计算机服务”包括哪几个层面?()
A、Paas
B、SaaS
C、IaaS
D、PIIS
42、信息安全的符合性检查包括()。
A、法律法规符合性
B、技术标准符合性
C、安全策略符合性
D、内部审核活动
43、《中华人民共和国认证认可条例》制定的目的是为了规范认证认可活功,提高产品、服务的()促进经济和社会的发展。
A、质量
B、数量
C、管理水平
D、竞争力
44、编制ISMS审核计划需充分理解审核方案,计划需考虑()。
A、需要的技术与工具准备
B、前期抽样情况和本期抽样原则
C、组织资源保障程度
D、人员派遣要求
45、信息安全管理体系审核应遵循的原则包括()
A、诚实守信
B、保密性
C、基于风险
D、基于事实的决策方法
46、信息安全管理体系审核的范围即()。
A、组织的全部经尊管理
B、组织的都信息安全管理范围
C、组织根据其业务、组织、位置、资产和技术等方面的特性确定的信息安全管理体系范围
D、组织承诺按照GB/T20880标准要求建立、实施和保持信息安全管理体系的范围
47、信息有其固有的生命周期,即从其()。
A、创建和产生
B、使用、传输
C、存储、处理
D、销毁或消失
48、某工程公司意图采用更为灵活的方式建立信息安全管理体系,以下说法不正确的()。
A、信息安全可以按过程管理,采用这种方法时不必再编制资产清单
B、信息安全可以按项目来管理,原项目管理机制中的风险评估可替代GB/T22080-2016/ISO/IEC27001:2013标准中的风险评估
C、公司各类项目的临时场所存在时间都较短,不必纳入ISMS范围
D、工程项目方案因包含设计图纸等核心技术信息,其敏感性等级定义为“最高”
49、完整的体系审核末次会议的内容包括()。
A、宣读不合格报告
B、宣布审核结论
C、递交审核报告
D、监督要求
50、《互联网信息服务管理办法》中对()类的互联网信息服务实行主管部门审核制度。
A、新闻、岀版
B、医疗、保健
C、知识类
D、教育类
51、访问信息系统的用户注册的管理是()。
A、对用户访问信息系统和服务的授权的管理
B、对用户予以注册时须同时考虑与访问控制策略的一致性
C、当ID资源充实时可允许用户使用多个ID
D、用户在组织内变换工作岗位时不必重新评审其所用ID的访问权
52、关于审核发现,以下说法正确的是:()。
A、审核发现是收集的审核证据对照审核准则进行评价的结果
B、审核发现包括正面的和负面的发现
C、审核发现是审核结论的输入
D、审核发现是制定审核准则的依据
53、可用于信息安全风险分析的方法包括()。
A、场景分析法
B、ATA(攻击路径分析)法
C、FMEA(失效模式分析)法
D、HACCP(危害分析与关键控制点)法
54、以下做法正确的是()。
A、使用生产系统数据测试时,应先将数据进行脱敏处理
B、为强化新员工培训效果,应尽可能使用真实业务案例和数据
C、员工调换项目组时,其原使用计算机中的项目数据经妥善删除后可带入新项目组使用
D、信息系统管理域内所有的终端启动屏幕保护时间应一致
55、关于31000标准,以下哪些说法是正确的?()
A、该标准可用于任何公有、私有企业、协会、团体或个体。因此,该标准不针对任何行业或部门
B、尽管该标准提供了风险管理的通用性指南,但不要求组织风险管理的统一性
C、该标准可以应用于任何类型的风险,无论其性质及是否有积极或消极的后果
D、风险管理计划和框架的设计和实施需要考虑到特定组织的不同需求、特定目标、状况、结构、运营、程序、职能、项目、产品、服务或资产以及展开的具体实践
三、判断题
56、访问控制列表指由主体以及主体对客体的访问权限所组成列表()。
A 正确
B 错误
57、纠正是指为消除已发现的不符合或其他不期望情况的原因所釆取的措施。()
A 正确
B 错误
58、客户资料不属于组织的信息资产。()
A 正确
B 错误
59、实现信息安全的途径要借助两方面的控制措施、技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或重管理轻技术,都是不科学的,并且有局限性的错误观点。()
A 正确
B 错误
60、某组织将其生产系统中的数据敏感性等级定义为“高”,将存储备份生产系统数据的光盘敏感性标记为“一般”,这不符合GB/T22080-2016/ISO/IEC27001:2013标准A8.2.3条款的要求()。
A 正确
B 错误
61、ISO/IEC27006是ISO/IEC17021的相关要求的补充()。
A 正确
B 错误
62、A公司核心业务系统MTPD=4小时,非核心业务系统MTPD=36小时,公司取其平均值,规定业务系统的RTO=20小时。这符合GB/T 22080-2016标准A.17.1.1的要求。()
A 正确
B 错误
63、建设网络中的一个设备发生故障星型局域网更容易面临全面的瘫痪。()
A 正确
B 错误
64、根据GB/Z 20986标准,信息安全事件分级考虑的要素主要包括信息系统的重要程度和社会影响,系统损失( )。
A 正确
B 错误
65、所有联网和未联网的微型计算机的安全保护办法都应遵循《中华人民共和国计算机信息系统安全保护条例》规定。()
A 正确
B 错误
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
