1、信息安全风险评估的基本要素包括( )。
A、资产、可能性、影响
B、资产、脆弱性、威胁
C、可能性、资产、脆弱性
D、脆弱性、威胁、后果
2、在ISO组织框架中,负责ISO/IEC 27000系列标准编制工作的技术委员会是( )。
A、ISO/IECJTC1SC27
B、ISO/IECJTC1SC40
C、ISO/IECTC27
D、ISO/IECTC40
3、当操作系统发生变更时,应对业务的关键应用进行( )以确保对组织的运行和安全没有负面影响。
A、隔离和迁移
B、评审和测试
C、评审和隔离
D、验证和确认
4、下列关于DMZ区的说法错误的是( ) 。
A、DMZ可以访问内部网络
B、通常DMZ包含允许来自互联网的通信可进行的设备,如WEB服务器、FTP服务器、SMTP服务器和DNS服务器
C、内部网络可以无限制地访问外部网络以及DMZ
D、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作
5、信息安全管理中,关于脆弱性,以下说法正确的是:( ) 。
A、组织使用的开源软件不须考虑其技术脆弱性
B、软件开发人员为方便维护留的后门是脆弱性的一种
C、识别资产脆弱性时应考虑资产的固有特性,不包括当前安全控制措施
D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会
6、公司A在内审时发现部分员工计算机开机密码少于六位,公司文件规定员工计算机密码必须六位及以上,那么下列选项中哪一项不是针对该问题的纠正措施?( )
A、要求员工立刻改正
B、对员工进行优质口令设置方法的培训
C、通过域控进行强制管理
D、对所有员工进行意识教育
7、下列哪个不是《中华人民共和国密码法》中密码的分类?( )
A、核心密码
B、普通密码
C、国家密码
D、商用密码
8、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每( )至少进行一次保密检查或者系统测评。
A、半年
B、1年
C、1.5年
D、2年
9、ISMS不一定必须保留的文件化信息有( )。
A、适用性声明
B、信息安全风险评估过程记录
C、管理评审结果
D、重要业务系统操作指南
10、访问控制是确保对资产的访问,是基于( )要求进行授权和限制的手段。
A、用户权限
B、可给予哪些主体访问权利
C、可被用户访问的资源
D、系统是否遭受入侵
11、依据GB/T22080/ISO/IEC 27001,信息分类方案的目的是( )。
A、划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析
B、确保信息按照其对组织的重要程度受到适当水平的保护
C、划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘
D、划分信息载体所属的职能以便于明确管理责任
12、关于《中华人民共和国保密法》,以下说法正确的是:( )。
A、该法的目的是为了保守国家秘密而定
B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系
C、该法适用于所有组织对其敏感信息的保护
D、国家秘密分为秘密、机密、绝密三级,由组织自主定级、自主保护
13、依据GB/T22080/ISO/IEC27001中控制措施的要求,关于网络服务的访问控制策略,以下正确的是( )。
A、网络管理员可以通过Internet在家里远程登录、维护核心交换机
B、应关闭服务器上不需要的网络服务
C、可以通过防病毒产品实现对内部用户的网络访问控制
D、可以通过常规防火墙实现对内部用户访问外部网络的访问控制
14、《计算机信息系统安全保护条例》规定:对计算机信息系统中发生的案件,有关使用单位应当在( )向当地县级以上人民政府公安机关报告。
A、8小时内
B、12小时内
C、24小时内
D、48小时内
15、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的( )系统。
A、测量
B、报告
C、传递
D、评价
16、关于投诉处理过程的设计,以下说法正确的是:( ) 。
A、投诉处理过程应易于所有投诉者使用
B、投诉处理过程应易于所有投诉响应者使用
C、投诉处理过程应易于所有投诉处理者使用
D、投诉处理过程应易于为投诉处理付费的投诉者使用
17、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为( ) 。
A、ISO/IEC27002
B、ISO/IEC27003
C、ISO/IEC27004
D、ISO/IEC27005
18、下列( )不是创建和维护测量要执行的活动。
A、开展测量活动
B、识别当前支持信息需求的安全实践
C、开发和更新测量
D、建立测量文档并确定实施优先级
19、ISMS文件评审需考虑( )。
A、收集信息,以准备审核活动和适当的工作文件
B、请受审核方确认ISMS文件审核报告,并签字
C、确认受审核方文件与标准的符合性,并提出改进意见
D、双方就ISMS文件框架交换不同意见
20、信息安全的机密性是指( )。
A、保证信息不被其他人使用
B、信息不被未授权的个人、实体或过程利用或知悉的特性
C、根据授权实体的要求可访问的特性
D、保护信息准确和完整的特性
21、根据《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行( ) 。
A、国家经营
B、地方经营
C、许可制度
D、备案制度
22、根据GB/T22080-2016中控制措施的要求,关于技术脆弱性管理,以下说法正确的是:( )。
A、技术脆弱性应单独管理,与事件管理没有关联
B、了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险越少小
C、针对技术脆弱性的补丁安装应按变更管理进行控制
D、及时安装针对技术脆弱性的所有补丁是应对脆弱性相关风险的最佳途径
23、对保密文件复印件张数核对是确保保密文件的( )。
A、保密性
B、完整性
C、可用性
D、连续性
24、《信息安全技术信息安全事件分类分级指南》中灾害性事件是由于( )对信息系统造成物理破坏而导致的信息安全事件。
A、人为因素
B、自然灾难
C、不可抗力
D、网络故障
25、关于顾客满意,以下说法正确的是:( ) 。
A、顾客没有抱怨,表示顾客满意
B、信息安全事件没有给顾客造成实质性的损失,就意味着顾客满意
C、顾客认为其要求已得到满足,即意味着顾客满意
D、组织认为顾客要求已得到满足,即意味着顾客满意
26、( )对于信息安全管理负有责任。
A、高级管理层
B、安全管理员
C、IT管理员
D、所有与信息系统有关人员
27、形成ISMS审核发现时,不需要考虑的是( ) 。
A、所实施控制措施与适用性声明的符合性
B、适用性声明的完备性和合理性
C、所实施控制措施的时效性
D、所实施控制措施的有效性
28、关于信息系统登录,以下做法不正确的是( ) 。
A、必要时,使用密码技术、生物识别等替代口令
B、用提示信息告知用户输入的口令是否正确
C、明确告知用户应遵从的优质口令策略
D、适用互动式管理确保用户使用优质口令
29、信息安全目标应( )。
A、可测量
B、与信息安全方针一致
C、适当时,对相关方可用
D、定期更新
30、完整性是指( ) 。
A、根据授权实体的要求可访问的特性
B、信息不被未授权的个人、实体或过程利用或知悉的特性
C、保护资产准确和完整的特性
D、以上都不对
31、风险偏好是组织寻求或保留风险的( )。
A、行动
B、计划
C、意愿
D、批复
32、下列哪个不是典型的软件开发模型( )。
A、变换型
B、渐增型
C、瀑布型
D、结构型
33、组织应( )与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。
A、确定
B、制定
C、落实
D、确保
34、组织的风险责任人不可以是( )。
A、组织的某个部门
B、某个系统管理员
C、风险转移到组织
D、组织的某个虚拟小组负责人
35、GB/T29246标准为组织和个人提供( ) 。
A、建立信息安全管理体系的基础信息
B、信息安全管理体系的介绍
C、ISMS标准族已发布标准的介绍
D、ISMS标准族中使用的所有术语和定义
36、下列不一定要进行风险评估的是( )。
A、发布新的法律法规
B、ISMS最高管理者人员变更
C、ISMS范围内的网络采用新的网络架构
D、计划的时间间隔
37、《互联网信息服务管理办法》现行有效的版本是哪年发布的( ) ?
A、2019
B、2017
C、2016
D、2018
38、根据GB/T22080-2016标准的要求,组织( )实施风险评估。
A、应按计划的时间间隔或当重大变更提出或发生时
B、应按计划的时间间隔且当重大变更提出或发生时
C、只需在重大变更发生时
D、只需按计划的时间间隔
39、按照PDCA思路进行审核,是指( )。
A、按照认可规范中规定的PDCA流程进行审核
B、按照认证机构的PDCA流程进行审核
C、按照受审核区域的信息安全管理活动的PDCA过程进行审核
D、按照检查表策划的PDCA进行审核
40、ISMS文件的多少和详细程度取决于( )。
A、组织的规模和活动的类型
B、过程及其相互作用的复杂程度
C、人员的能力
D、以上都对
二、多项选择题
41、常规控制图主要用于区分( )。
A、过程处于稳态还是非稳态
B、过程能力的大小
C、过程加工的不合格品率
D、过程中存在的偶然波动还是异常波动
42.下列哪些是SSL支持的内容类型 ?( )
A、changecipherspec
B、alert
C、handshake
D、applicationdata
43、GB/T28450审核方案管理的内容包括( )。
A、信息安全风险管理要求
B、ISMS的复杂度
C、是否存在相似场所
D、ISMS的规模
44、ISO/IEC 27000系列标准主要包括哪几类标准?( )
A、要求类
B、应用类
C、指南类
D、术语类
45、信息安全风险分析包括( )。
A、分析风险发生的原因
B、确定风险级别
C、评估识别的风险发生后,可能导致的潜在后果
D、评估所识别的风险发生的实际可能性
46、信息安全管理中,支持性基础设施指( ) 。
A、供电、通信设施
B、消防、防雷设施
C、空调及新风系统、水气暖供应系统
D、网络设备
47、《中华人民共和国网络安全法》是为了保障网络安全( ) 。
A、维护网络空间主权
B、维护国家安全
C、维护社会公共利益
D、保护公民、法人和其他组织的合法权益
48、信息安全是保证信息的( ),另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性。
A、可用性
B、保密性
C、方便性
D、完整性
49、网络常见的拓扑形式有( )。
A、星型
B、环型
C、总线
D、树型
50、访问控制包括( )。
A、网络和网络服务的访问控制
B、逻辑访问控制
C、用户访问控制
D、物理访问控制
51.《互联网信息服务管理办法》中对( )类的互联网信息服务实行主管部门审核制度。
A、新闻、出版
B、医疗、保健
C、知识类
D、教育类
52、以下( )活动是ISMS建立阶段应完成的内容。
A、确定ISMs的范围和边界
B、确定ISMS方针
C、确定风险评估方法并实施
D、实施体系文件培训
53、在开展信息安全绩效和ISMS有效性评价时,组织应确定( )。
A、监视、测量、分析和评价过程
B、适用的监视、测量、分析和评价的方法
C、需要被监视和测量的内容
D、监视、测量、分析和评价的执行人员
54、依据GB/Z20986,确定为重大社会影响的情况包括( )。
A、波及到一个或多个城市的大部分地区
B、威胁到国家安全
C、扰乱社会秩序
D、对经济建设有重大的负面影响
55、管理评审是为了确保信息安全管理体系持续的( )。
A、适宜性
B、充分性
C、有效性
D、可靠性
三、判断题 √”和“×
56、较低的恢复时间目标会有更长的中断时间。
57、组织的内外部相关方要求属于组织的内部和外部事项。
58、破坏、摧毁、控制网络基础设施是网络攻击行为之一。
59、所有联网和未联网的微型计算机的安全保护办法都应遵循《中华人民共和国计算机信息系统安全保护条例》规定。
60、风险处置计划和信息安全残余风险应获得最高管理层的接受和批准。
61.纠正是指为消除已发现的不符合或其他不期望情况的原因所采取的措施。
62、完全备份就是对全部数据库数据进行备份。
63、考虑了组织所实施的活动,即可确定组织信息安全管理体系范围。
64、对不同类型的风险可以采用不同的风险接受准则,例如,导致对法律法规不符合的风险是不可接受的,但可能允许接受导致违背合同要求的高风险。
65、ISO/IEC 27006是ISO/IEC 17021的相关要求的补充。
