一、单选题
1、公司A在内审时发现部分员工计算机开机密码少于6位,公司文件规定员工计算机密码必须6位及以上,那么下列哪项不是针对该问题的纠正措施?()
A、要求员工立即改正
B、对员工进行优质口令设置方法的培训
C、通过域控进行强制管理
D、对所有员工进行意识教育
2、风险偏好是组织寻求或保留风险的()。
A、意愿
B、批复
C、计划
D、行动
3、在ISO组织框架中,负责ISO/IEC 27000系列标准编制工作的技术委员会是()。
A、ISO/IEC JTC1 SC 27
B、ISO/IEC JTC1 SC 40
C、ISO/IEC TC 27
D、ISO/IEC TC 40
4、根据GB/T 22080-2016标准的要求,SOA宜包含()的控制,即组织已有的控制、作为风险处置过程结果的控制。
A、必要的
B、所有必要的
C、未删减的
D、所有的
5、关于适用性声明下面说法错误的是()。
A、包含附录A的控制及其选择的合理性说明
B、包含所有计划的控制
C、不包含未实现的控制
D、包含附录A控制删减的合理性说明
6、关于GB/T 22080-2016,以下说法正确的是()。
A、信息安全目标须量化定义以满足“可测量”的要求
B、单位时间内某应用被成功调用数可作为ISMS的目标
C、“顾客满意度”通常是质量管理目标,不是信息安全目标
D、组织ISMS目标即信息系统的可用性,如99.9%
7、根据GB/T 22080-2016标准中控制措施的要求,有关开发和支持过程中的信息系统安全,可以不考虑()。
A、应在开发过程中进行安全功能测试
B、应建立、文件化和维护系统安全工程原则
C、使用正式的变更控制规程来控制开发生命周期内的系统变更
D、要求用户和操作人员的能力
8、组织在确定与ISMS相关的内部和外部的沟通需求时,可以不包括()。
A、沟通时间
B、沟通对象
C、沟通周期
D、沟通内容
9、根据GB/T 22080-2016中控制措施的要求,关于特权访问管理,以下说法正确的是()。
A、特殊访问权应与其职能角色一致
B、特权访问用户的访问权即最大权限原则的应用
C、特权访问用户通常须包含顾客
D、特权访问用户必须包含最高管理者
10、GB/T 22080-2016/ISO/IEC 27001:2013标准中所指资产的价值取决于()。
A、资产对于业务的敏感程度
B、资产对于技术的实现程度
C、资产的价格
D、资产的折损率
11、某信用卡制造工厂,对生产线上产生的不合格品卡,进行逐一登记、密封、送粉碎室拆封、再登记后予以粉碎处理,这符合GB/T 22080-2016要求的()条款。
A、A.8.3.2和A.8.3.3
B、A.8.1.1和A.8.2.1
C、A.11.2.5和A.11.2.7
D、10.1和10.2
12、依据GB/T 22080-2016标准,介质处理不需要考虑()。
A、介质在弃置前如何妥善处理信息确保符合安全要求
B、允许被访问的网络和网络服务
C、介质在改变用途前如何妥善处理信息确保符合安全要求
D、向介质写入信息时如何确保符合安全要求
13、某银行将其物理区域按敏感性划分了安全等级,其中金库为最高等级,审核员进入金库审核须得到分行行长批准,针对该场景,以下说法正确的是()。
A、这符合GB/T 22080-2016标准9.1.1的要求
B、金库敏感性太高,应排除在认证审核范围之外
C、这符合GB/T 22080-2016标准A.11.1.2的要求
D、这符合GB/T 22080-2016标准A.6.1.2的要求
14、()不是保护办公室、房间和设施的安全的考虑措施。
A、关键设施的安置避免公众访问的场地
B、配置设施以防保密信息被外部可视或可听
C、电磁屏蔽
D、建筑物内侧或外侧以明确标记给出其用途的指示
15、有关数据中心机房中,支持性基础设施不包括()。
A、供电、通信设施
B、消防、防雷设施
C、空调及新风系统、水气暖供应系统
D、网络设备
16、根据GB/T 22080-2016标准中控制措施的要求,控制影响信息安全的变更,包括()。
A、组织、业务过程、信息处理设施和系统变更
B、组织、业务活动、信息处理设施和系统变更
C、组织、业务活动、信息及处理设施和系统变更
D、组织、业务过程、信息及处理设施和系统变更
17、根据GB/T 22080-2016标准中()控制措施的要求,按照既定的备份策略,对信息、软件和系统镜像进行备份,并定期测试。
A、12.4.1
B、A.12.2.1
C、A.12.3.1
D、A.12.1.2
18、根据GB/T 22080-2016标准的要求,应按照既定的备份策略,对()进行备份,并定期测试。
A、信息、软件和数据镜像
B、数据、信息和系统镜像
C、信息、软件和系统镜像
D、数据、信息和软件
19、关于“监控系统”的存取与使用,下列说法正确的是()。
A、应保持时钟同步
B、只有当系统发生异常事件及其他安全相关事件时才需进行监控
C、监控系统投资额庞大,并会影响系统效能,因此可以予以暂时省略
D、监控系统所产生的记录可由用户任意存取
20、根据GB/T 22080-2016标准中控制措施的要求,关于技术脆弱性管理,以下说法正确的是()。
A、针对技术脆弱性的补丁安装应按变更管理进行控制
B、技术脆弱性应单独管理,与事件管理没有关联
C、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径
D、了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险越小
21、根据GB/T 22080-2016标准的要求,网络隔离指的是()。
A、LAN与MAN、WAN之间的隔离
B、内网与外网之间的隔离
C、不同运营商之间的隔离
D、不同用户组之间的隔离
22、根据ISO/IEC 27006标准,当认证机构基于()的结果拒绝初次认证申请时,应记录拒绝申请的原因并使客户清楚拒绝的原因。
A、审核
B、投诉
C、合同
D、申请评审
23、根据ISO/IEC 27006标准,认证机构应确保()不是实施审核的人员。
A、做出认证决定的人员
B、申请评审
C、认证策划
D、认证管理
24、根据GB/T 28450标准,以下()不属于ISMS审核目标的内容。
A、评价ISMS是否充分识别并解决信息安全要求
B、评价维护和有效改进ISMS的过程
C、确定信息安全控制对ISMS要求和规程的符合程度
D、评估员工的信息安全意识水平
25、以下哪个不是ISMS相关方的要求表现?()
A、许可、执照或其他授权方式
B、合同约定的义务
C、对产品的信息安全要求的符合性
D、组织使命
26、ISO/IEC 27701是()。
A、是ISO/IEC 27001和ISO/IEC 27002在隐私保护方面的扩展
B、是一份基于ISO/IEC 27002的指南性标准
C、在隐私保护方面扩展了ISO/IEC 27001的要求
D、是ISMS族以外的标准
27、根据GB 17859标准,规定了计算机系统安全保护能力的5个等级。其中,按照()的顺序从前到后安全能力逐渐增强。
A、访问验证保护级、系统审计保护级、安全标记保护级
B、用户自主保护级、系统审计保护级、安全标记保护级
C、系统审计保护级、结构化保护级、安全标记保护级
D、用户自主保护级、访问验证保护级、安全标记保护级
28、信息安全管理中,关于脆弱性,以下说法正确的是()。
A、识别资产脆弱性时应考虑资产的固有特性,不包括当前安全控制措施
B、软件开发人员为方便维护留的后门是脆弱性的一种
C、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会
D、组织使用的开源软件无须考虑其技术脆弱性
29、ISMS审核组应具有的特定及相关专业知识和技能包括()。
A、ISMS审核组信息安全管理知识
B、ISMS审核组信息安全风险管理知识
C、其他选项均正确
D、ISMS审核组信息安全相关知识
30、被黑客控制的计算机常被称为()。
A、蠕虫
B、木马
C、灰鸽子
D、肉鸡
31、PKI的主要组成不包括()。
A、CR
B、SSL
C、CA
D、RA
32、根据GB/T 22080-2016标准中控制措施的要求,关于网络服务的访问控制策略,以下说法正确的是()。
A、网络管理员可以通过Internet在家里远程登录、维护核心交换机
B、可以通过常规防火墙实现对内部用户访问外部网络的访问控制
C、应关闭服务器上不需要的网络服务
D、可以通过防病毒产品实现对内部用户的网络访问控制
33、TCP/IP协议层次结构由()。
A、网络接口层、网络层组成
B、网络接口层、网络层、传输层组成
C、网络接口层、网络层、传输层和应用层组成
D、其他选项均不正确
34、下列关于DMZ区的说法错误的是()。
A、内部网络可以无限制地访问外部网络以及DMZ
B、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作
C、通常DMZ包含允许来自互联网的通信可进入的设备,如Wb服务器、FTP服务器、SMTP服务器和DNS服务器等
D、DMZ可以访问内部网络
35、认证,是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的()要求或者标准的合格评定活动。
A、安全要求
B、符合性要求
C、强制要求
D、指导要求
36、根据《中华人民共和国网络安全法》,以下正确的是()。
A、检测记录网络运行状态的相关网络日志保存不得少于2个月
B、检测记录网络运行状态的相关网络日志保存不得少于12月
C、检测记录网络运行状态的相关网络日志保存不得少于6个月
D、重要数据备份保存不得少于12个月,网络日志保存不得少于6个月
37、信息系统运营、使用单位依据《信息安全等级保护管理办法》和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理,其中三级应满足以下哪项要求?()
A、依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查
B、依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导
C、依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查
D、依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查
38、《中华人民共和国计算机信息系统安全保护条例》所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集()、检索等处理的人机系统。
A、加工、存储、传输
B、存储、加工、处置
C、存储、使用、处置
D、存储、传输、使用
39、根据《互联网信息服务管理办法》,以下哪个说法是错误的?()
A、非经营性互联网信息服务提供者可以从事有偿服务
B、互联网信息服务提供者应当在其网站主页的显著位置标明其经营许可证编号或者备案编号
C、互联网信息服务提供者应当按照经许可或者备案的项日提供服务,不得超出经许可或者备案的项目提供服务
D、互联网信息服务提供者变更服务项目、网站网址等事项的,应当提前30日向原审核、发证或者备案机关办理变更手续
40、以下哪些情况不需要按照《网络安全审查办法》进行网络安全审查?()
A、网络平台运营者开展数据处理活动
B、关键信息基础设施运营者采购网络产品
C、关键信息基础设施运营者采购服务
D、某小型公司采购考勤系统
二、多选题
41、ISO/IEC 27002:2022版标准的主要变化是()。
A、引入11个新的控制项
B、控制项数量变为93个
C、增加了控制属性元素
D、将控制责任主体分为组织、人员、物理和技术4个维度
42、移动设备策略宜考虑()。
A、访问控制
B、物理保护要求
C、恶意软件防范
D、移动设备注册
43、根据GB/T 22080-2016标准的要求,开展信息安全绩效和ISMS有效性评价时,组织应确定()。
A、适用的监视、测量、分析和评价的方法
B、监视、测量、分析和评价的过程
C、需要被监视和测量的内容
D、监视、测量、分析和评价的执行人员
44、依据GB/T 22080-2016,须管理层批准、定期评审的信息安全策略包括()。
A、信息备份策略
B、访问控制策略
C、信息传输策略
D、密钥管理策略
45、针对系统和应用访问控制,以下做法不正确的是()。
A、对于修改系统核心业务运行数据的操作限定操作时间
B、登录之后,不活动超过规定时间强制使其退出登录
C、用户尝试登录失败时,明确提示其用户名错误或口令错误
D、对于数据库系统审计人员开放不限时权限
46、根据GB/T 22080-2016标准中控制措施的要求,以下符合A.9.1.1要求的原则包括()。
A、按需所知的原则
B、未经明确允许,则一律禁止的原则
C、按需使用的原则
D、集中授权的原则
47、2017年,Wanna Cry勒索软件在全球范围内爆发,导致大量电脑文件被加密,用户无法正常使用电脑。根据GB/T 20986-2023标准,Wanna Cry勒索软件事件属于哪些网络安全事件类别?()
A、网络攻击事件
B、信息内容安全事件
C、恶意程序事件
D、数据安全事件
48、根据GB/T 20986标准,()属于信息内容安全事件(ICSI)。
A、虚假信息传播事件
B、色情传播事件
C、反动宣传事件
D、权益侵害事件
49、某公司发现其网络流量异常,存在大量来自同一IP地址的访问请求。根据GB/T 20986-2023标准,该事件可能属于哪些网络安全事件类别?()
A、异常行为事件
B、网络攻击事件
C、数据安全事件
D、恶意程序事件
50、风险处置,涉及如下方面()。
A、改变可能性
B、改变后果
C、确定风险大小
D、消除风险源
51、关于IEEE 802.11帧结构的描述中,正确的是()。
A、目的地址字段使用的是IP地址
B、帧校验字段采用的是CRC校验
C、帧控制字段的长度为2字节
D、数据字段最大长度为1500字节
52、ISO 31000风险管理指南,是针对组织风险的管理标准,有关风险管理的框架,以下说法正确的是()。
A、提供在组织内设计、实施、监测、评审和持续改进风险管理的基本原则和组织安排的要素集合
B、原则包括管理风险的方针、目标、指令和承诺
C、组织安排包括计划、关系、责任、资源、过程和活动
D、风险管理框架被嵌入到组织的整个战略和运营的方针和实践中
53、()是信息安全风险评估所应该包括的内容。
A、数据中心供油中断的风险评估
B、数据库备份失败的风险评估
C、网关访问控制策略变更的风险评估
D、数据中心制冷系统故障的风险评估
54、通常用于主边界安全的技术包括()。
A、防火墙
B、信息内容过滤与控制
C、入侵防御系统
D、安全路由器
55、密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,具体包括()。
A、强化商用密码从业单位自律和社会监督
B、建立统一的商用密码监督管理信息平台
C、推进事中事后监管与社会信用体系相衔接
D、要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息
三、判断题
56、ISMS审核员应掌握国家的、地方的和行业的信息安全法律、法规和规章,并在适用于受审核方的要求的范围内开展工作。()
A 正确
B 错误
57、根据GB/T 22081标准,信息安全策略集宜被定义,由最高管理者编制并发布,传达给所有员工和外部相关方。()
A 正确
B 错误
58、组织使用云平台服务(PaaS)时,GB/T 22080-2016标准中的A.12.5的要求可以删减。()
A 正确
B 错误
59、组织的信息资产越重要,其安全风险值就越大。()
A 正确
B 错误
60、如果一个ISMS没有至少实施过一次覆盖认证范围的管理评审和内部审核,认证机构不应对该ISMS实施认证。()
A 正确
B 错误
61、如果采用正确的用户名和口令成功登录网站,则证明这个网站不是仿冒的。()
A 正确
B 错误
62、某组织委托三方对其数据中心机房进行改造,因该改造项目内容只涉及基础设施,因此不在信息安全风险评估范围内,这在认证审核时是可接受的。()
A 正确
B 错误
63、在来自可信站点电子邮件中输入个人或财务信息是安全的。()
A 正确
B 错误
64、较低的恢复时间目标会有更长的中断时间。()
A 正确
B 错误
65、访问控制列表指由主体以及主体对客体的访问权限所组成的列表。()
A 正确
B 错误
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
