一、单选题
1、依据GB/T 22080/ISO/IEC 27001,符合资产管理的是()。
A、将人作为重要资产管理,人的职务级别越高,资产价值赋值越高
B、存储介质作为资产管理,资产价值的赋值介质中各类信息价值的平均
C、包含保密信息的介质的安全处置规程,宜与信息的敏感性相一致
D、高端服务器因市场价值高,因此资产价值赋值高
2、2019年,某知名网站被黑客篡改,发布虚假信息,导致公众恐慌。根据GB/T 20986-2023标准,该事件属于哪个网络安全事件类型?()
A、恶意程序事件
B、网络攻击事件
C、数据安全事件
D、信息内容安全事件
3、GB/T 22080-2016标准中要求保护“测试数据”,以下符合这一要求的情况是()。
A、确保使用生产环境数据用于测试时真实、准确
B、确保对信息系统测试所获得的数据的访问控制
C、对用于信息系统测试的数据进行匿名化处理
D、以上全部
4、GB/T 31497标准旨在帮助组织评估信息安全性能和信息安全管理系统的有效性,以满足GB/T 22080-2016标准中()的要求。
A、9.1
B、8.1
C、10.2
D、6.2
5、《计算机信息系统安全保护条例》中所称计算机信息系统,是指()。
A、对信息进行采集、加工、存储、传输、检索等处理的人机系统
B、计算机及其相关的设备、设施,不包括软件
C、计算机运算环境的总和,但不含网络
D、一个组织所有计算机的总和,包括未联网的微型计算机
6、根据GB/T 22080-2016的要求,最高管理层确保信息安全管理体系所需()。
A、资源可用
B、资源充足
C、预期结果
D、信息安全方针
7、关于风险管理,以下正确的是()。
A、风险接受意味着残余风险已被消除
B、风险评估包括风险识别、风险分析、风险评价
C、风险管理包括风险分析、风险评价
D、风险处置包括风险识别和风险削减
8、()标准提供了信息安全管理体系的实施指南。
A、ISO/IEC 27005
B、ISO/IEC 27002
C、ISO/IEC 27003
D、ISO/IEC 27004
9、根据GB 17859,计算机信息系统可信计算基通过自主和强制完整性策略,阻止非授权用户修改或破坏敏感信息,在网络环境中,使用完整性敏感标记来确信信息在传送中未受损。上述要求适用于以下信息系统等级的正确选项是()。
A、第三、四、五级
B、第一、二、三级
C、第三级
D、第二、三、四级
10、根据《中华人民共和国网络安全法》,以下说法不正确的是()。
A、网络安全包括对信息收集、存储、传输、交换、处理系统的保护
B、网络安全即采取措施保护信息在网络中传输期间的安全
C、建立网络安全监测预警和信息通报制度
D、网络安全措施包括防范对网络破坏
11、针对开发、测试和运行环境的分离,以下哪项做法不正确()。
A、宜识别和实现运行、测试和开发环境的分离级别,运行、测试和开发环境分离对防止运行问题发生是必须的
B、为便于提供服务,开发和测试人员应访问运行系统及信息
C、开发和运行软件在不同的系统或计算机处理器上以及在不同的域或目录内运行
D、定义软件从开发状态到运行状态的传递规则并形成文件
12、在物联网中,M2M通常由三部分组成,下面哪项不是其组成部分?()
A、终端部分
B、网络部分
C、应用部分
D、主机部分
13、形成ISMS审核发现时,不需要考虑的是()。
A、所实施控制措施与适用性声明的符合性
B、适用性声明的完备性和适宜性
C、所实施控制措施的时效性
D、所实施控制措施的有效性
14、根据《信息安全等级保护管理办法》在信息系统建设过程中,运营、使用单位应当按照()建设符合该等级要求的信息安全设施。
A、《信息系统安全等级保护基本要求》
B、《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
C、《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)
D、《信息安全技术信息系统安全工程管理要求》(GB/T 20282-2006)
15、一个组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源,需对所有主体及其所控制的客体实施强制访问控制。该计算机信息系统属于()。
A、安全标记保护级
B、机构化保护级
C、用户自主保护级
D、系统审计保护级
16、在进行ISMS文件评审时,以下不需考虑()。
A、受审核方风险处置计划的完备性
B、适用性声明的完备性和合理性
C、组织资源保证程度
D、受审核方风险评估报告的合理性
17、依据GB/T 22080-2016标准,以下不是“适用性声明”文件必须包含的内容是()。
A、实施信息安全控制措施的角色、职责和权限
B、组织选择的控制目标和控制措施,以及选择的理由
C、当前实施的控制目标和控制措施
D、对附录A中可控制目标和控制措施的删减,以及删减的合理性说明
18、根据ISO/IEC 27006,多场所审核抽样时,认证机构抽取具有代表性的场所,可以不考虑的因素是()。
A、最高管理者
B、工作实践的差异
C、总部及其他场所的内部审核的结果
D、不同场所的信息系统的复杂程度
19、在检查意外事件报告中,发现有一次,一份留在雇员桌上的重要的文件被外包的清洁工丢弃进垃圾桶,应该向管理层提出的建议是()。
A、制定一个清理桌面政策并在组织中严格实施
B、制定对所有的重要办公文档的严格备份策略
C、组织应对清洁工实施惩罚
D、因为过去没有事故发生,因此不需要采取行动
20、拒绝服务攻击损害了信息系统哪一项性能()。
A、完整性
B、可用性
C、保密性
D、可靠性
21、下面哪个不是RAID三大技术?()
A、镜像
B、复制
C、数据检验
D、数据条带
22、认证机构应充分了解在组织环境下所进行的ISMS设计、()、信息安全方针和目标,以及特别是客户的审核准备情况。
A、风险管理
B、风险计划
C、风险处置
D、风险评估
23、网页上发布的信息被篡改,破坏了信息安全的哪个特性。()
A、完整性
B、可靠性
C、可用性
D、保密性
24、根据《中华人民共和国国家秘密法》,对涉密岗位工作人员,对其管理可以不包括()。
A、出境应当经有关部门批准
B、精通一门外语,具有良好的沟通能力
C、离岗离职实行脱密期管理
D、上岗经过保密教育培训
25、ISO/IEC 27001标准来源于()。
A、ISO 15408
B、ISO 31000(风险管理指南)
C、BS 7799系列标准
D、TCSEC(可信计算基评估准则)
26、用户访问某Web网站,用户直接使用的安全措施是()。
A、用户输入登录口令
B、核心交换机的热备
C、防火墙过滤数据包
D、服务器数据备份
27、根据GB/T 22080-2016标准中控制措施的要求,记录日志的设施和日志信息()。
A、加以保护,以防止篡改和未授权的访问
B、系统管理员负责对日志信息进行编辑、保存
C、组织的安全策略应决定系统管理员的活动是否记入日志
D、日志管理即系统审计日志管理
28、密码技术可以保护信息的保密性和完整性,但不适用于控制下列哪种风险?()
A、数据在传输中被篡改的风险
B、数据在传输中被窃取的风险
C、数据被非授权访问的风险
D、数据在传输中被损坏的风险
29、某信用卡制造工厂,对生产线上产生的不合格品卡进行逐一登记、密封、送粉碎室拆封、再登记后予以粉碎处理。这符合GB/T 22080-2016/ISO/IEC 27001:2013标准哪些条款的要求?()
A、A.8.3.2和A.8.3.3
B、A.8.1.1和A.8.2.1
C、A.11.2.5和A.11.2.7
D、10.1和10.2
30、根据GB 17859《计算机信息系统安全保护等级划分准则》标准,以下说法错误的是()。
A、安全策略是有关管理、保护、发布敏感信息的法律、规定和实施细则
B、访问监控器是监控器主体和客体之间授权访问关系的部件
C、信道是系统内的信息传输路径
D、敏感标记表示主体安全级别并描述主体数据敏感性的一组信息
31、以下哪些情况不需要按照《网络安全审查办法》进行网络安全审查?()
A、某小型公司采购考勤系统
B、网络平台运营者开展数据处理活动
C、关键信息基础设施运营者采购服务
D、关键信息基础设施运营者采购网络产品
32、某互联网服务公司根据《中华人民共和国个人信息保护法》的要求,完善了公司的《个人隐私政策》,并对外公示,这符合GB/T 22080-2016标准()条款的要求。
A、5.2
B、A.8.2.3
C、A.6.1.3
D、A.18.1.4
33、有关信息安全管理,风险评估的方法比起基线的方法,主要的优势在于它确保()。
A、不考虑资产的价值,基本水平的保护都会被实施
B、对所有信息资产保护都投入相同的资源
C、对信息资产实施适当水平的保护
D、信息资产过度的保护
34、根据GB/T 22080-2016标准中控制措施的要求,控制措施:设备、信息或软件在授权之前不应带出组织场所是()的要求。
A、A.11.2.1
B、A.11.2.5
C、A.9.4.1
D、A.11.2.7
35、下列活动必须由风险责任人完成的是()。
A、制定风险处置计划
B、实施风险处置计划
C、批准风险处置计划
D、分析残余风险
36、下列哪一种情况下,网络数据管理协议(NDMP)可用于备份?()
A、需要使用网络附加存储设备(NAS)时
B、不能使用TCP/IP的环境中
C、需要备份旧的备份系统不能处理的文件许可时
D、要保证跨多个数据卷的备份连续、一致时
37、根据GB/T 22080-2016标准的要求,控制措施A.17.2.1是控制信息处理设施应具有足够的冗余以满足()要求。
A、有效性
B、可用性
C、持续性
D、连续性
38、根据GB/T 22080-2016标准中控制措施的要求,确保核心研发技术部门的信息及其支持性的信息处理设施得到保护,采用独立内网进行()。
A、网络中的隔离
B、信息交换
C、行为管理
D、上网流量管控
39、根据《中华人民共和国网络安全法》,以下哪项不属于网络产品、服务的提供者的责任?()
A、发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告
B、制定、公布网络关键设备和网络安全专用产品目录
C、为其网络产品、服务持续提供安全维护,在规定或者当事人约定的期限内,不得终止提供安全维护
D、提供的网络产品、服务应当符合相关国家标准的强制性要求,不得设置恶意程序
40、某公司员工故意绕过安全限制,访问了其不应访问的数据。根据GB/T 20986-2023标准,该事件属于哪一类网络安全事件。()
A、恶意程序事件
B、违规操作事件
C、数据安全事件
D、网络攻击事件
二、多选题
41、根据GB/T 22080-2016标准中控制措施的要求,有关信息安全管理中“符合性”的叙述,正确的是()。
A、清楚识别所有的法律和合同的要求
B、组织重要记录应予以保护
C、避免非法使用具有知识产权的专利软件产品
D、要保护个人信息的数据与隐私
42、P2DR模型是在整体安全测量的控制和指导下,在综合运用防护工具的同时,利用监测工具了解系统的安全状态。P2DR模型与信息安全相关的所有活动,包括攻击行为()和响应行为。
A、防护行为
B、检测行为
C、纠正行为
D、备份行为
43、根据GB/T 29246-2023标准,以下说法正确的是()。
A、ISMS族包含阐述要求的标准
B、ISMS族包含阐述通用概述的标准
C、ISMS族包含特定行业概述的标准
D、ISMS族包含阐述ISMS概述和词汇的标准
44、组成ISMS审核组时,应综合考虑在信息技术方面(),能够理解如下方面知识,以确保所承担的审核工作。
A、软件工程
B、通信技术基础(网络通信/传统通信技术)
C、计算机技术基础
D、必要的信息安全审核专用工具
45、根据GB/T 22080-2016标准中控制措施的要求,变更管理应予以控制的风险包括:()
A、组织架构、业务流程变更的风险
B、信息系统配置、物理位置变更的风险
C、信息系统新的组件、功能模块发布的风险
D、供应商内部的体系文件修改造成流程变更的风险
46、根据GB/T 22080-2016标准中控制措施的要求,A.8.2.1规定信息应按照()进行分级。
A、重要性
B、价值
C、法律要求
D、对未授权泄露或修改的敏感性
47、建立有效的技术脆弱性管理过程可以考虑下列哪些措施?()
A、一旦潜在的技术脆弱性被确定,组织宜识别相关的风险并采取措施;这些措施可能包括对脆弱的系统打补丁或应用其他控制
B、定义和建立与技术脆弱性管理要关的角色和责任,包括脆弱性监视、脆弱性风险评估、打补丁、资产追踪和任何要求的协调职责
C、制定时间表对潜在的相关技术脆弱性的通知做出反映
D、如果有可用的补丁,应立即安装该补丁
48、根据GB/T 20986-2023标准,以下哪些事件属于恶意程序事件?()
A、某公司发现其网络中存在一个僵尸网络,僵尸网络中的电脑被黑客控制,用于发起DDos攻击
B、某公司网站被黑客入侵,黑客在网站中植入恶意代码,访问网站的用户电脑自动下载恶意程序
C、某公司员工在浏览网页时,不小心点击了一个恶意链接,导致电脑感染病毒
D、某公司员工收到一封邮件,邮件中包含一个可疑附件,附件中隐藏着恶意程序
49、GB/T 22080-2016标准的要求,下列说法正确的是()。
A、残余风险需要获得风险责任人的批准
B、适用性声明需要包含必要的控制及其选择的合理性说明
C、保留有关信息安全风险处置过程的文件化信息
D、组织控制下的员工应了解信息安全方针
50、在未得到授权的前提下,以下属于信息安全“攻击”的是()。
A、破坏、或使资产失去预期功能的行为
B、监视和获取资产使用状态信息的行为
C、盗取、曝露、变更资产的行为
D、访问、使用资产的行为
51、在统计技术方法中,常规控制图主要用于区分()。
A、过程处于稳态还是非稳态
B、过程能力的大小
C、过程加工的不合格品率
D、过程中存在偶然波动还是异常波动
52、风险评估过程中威胁的分类一般应包括()。
A、软硬件故障、物理环境影响
B、无作为或操作失误、管理不到位、越权或滥用
C、网络攻击、物理攻击
D、泄密、篡改、抵赖
53、关于鉴别信息保护,正确的是()。
A、使用QQ传递鉴别信息
B、对新创建的用户,应提供临时鉴别信息,并强制初次使用时需改变鉴别信息
C、鉴别信息宜加密保存
D、鉴别信息的保护可作为任用条件或条款的内容
54、()是ISMS关键成功因素。
A、用于评价信息安全管理执行情况和改进反馈建议的测量系统
B、信息安全方针、目标和与目标保持一致的活动
C、有效的业务连续性管理方法
D、有效的信息安全事件管理过程
55、关于OSI参考模型层次的描述中,错误的是()。
A、传输层的上层是网络层
B、由7个层次构成
C、最高层是主机-网络层
D、最底层是数据链路层
三、判断题
56、计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。()
A 正确
B 错误
57、由于网络钓鱼通常利用垃圾邮件进行传播,因此,各种反垃圾邮件的技术可以用来反网络钓鱼。()
A 正确
B 错误
58、风险评估确定的物理控制的应用,特别是针对安全区域,宜与组织的技术和经济环境相适应。()
A 正确
B 错误
59、白名单方案规定邮件接收者只接收自己所依赖的邮件发送者所发送过来的邮件。()
A 正确
B 错误
60、通过修改某种已知计算机病毒的代码,使其能够躲过现有计算机病毒检测程序时,可以称这种新出现的计算机病毒是原来计算机病毒的变形。()
A 正确
B 错误
61、根据GB/T 20986-2023标准,数据安全事件指通过技术或其他手段对数据实施篡改、假冒、泄露、窃取等导致业务损失或造成社会危害的网络安全事件。()
A 正确
B 错误
62、某互联网服务公司允许员工使用手机APP完成对公司客户的服务请求处理,但手机须安装公司规定的安全控制程序,无论手机是公司配发的或员工私有的。这符合ISO/IEC 27001:2013标准A.6.2.1的要求,()
A 正确
B 错误
63、网络攻击事件包括网络扫描探测事件、网络钓鱼事件、漏洞利用事件、后门利用事件、后门植入事件、凭证攻击事件等、APT事件和其它网络攻击事件等21个子类。()
A 正确
B 错误
64、在一个有多防火墙存在的企业环境中,DMZ用于连接两个防火墙的计算机或网络。()
A 正确
B 错误
65、测量在信息安全的语境下定义为:确定一个值的过程需要使用测量方法、测量函数、分析模型和决策准则,获得关于信息安全管理体系及其相关控制有效性的信息。()
A 正确
B 错误
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
