• 題目來源網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系刪除

1、以下對信息安全描述不正確的是

A.信息安全的基本要素包括保密性、完整性和可用性

B.信息安全就是保障企業(yè)信息系統(tǒng)能夠連續(xù)、可靠、正常地運行，使安全事件對業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運行的連續(xù)性

C.信息安全就是不出安全事故/事件

D.信息安全不僅僅只考慮防止信息泄密就可以了

2. 以下對信息安全管理的描述錯誤的是

A.保密性、完整性、可用性

B.抗抵賴性、可追溯性

C.真實性私密性可靠性

D.增值性

3. 以下對信息安全管理的描述錯誤的是

A.信息安全管理的核心就是風險管理

B.人們常說，三分技術(shù)，七分管理，可見管理對信息安全的重要性

C.安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑

D.信息安全管理工作的重點是信息系統(tǒng)，而不是人

4. 企業(yè)按照ＩＳＯ２７００１標準建立信息安全管理體系的過程中，對關(guān)鍵成功因素的描述不正確的是

A. 不需要全體員工的參入，只要ＩＴ部門的人員參入即可

B. 來自高級管理層的明確的支持和承諾

C.對企業(yè)員工提供必要的安全意識和技能的培訓(xùn)和教育

D. 所有管理者、員工及其他伙伴方理解企業(yè)信息安全策略、指南和標準，并遵照執(zhí)行

5. 信息安全管理體系（ISMS）是一個怎樣的體系，以下描述不正確的是

A. ISMS是一個遵循PDCA模式的動態(tài)發(fā)展的體系

B. ISMS是一個文件化、系統(tǒng)化的體系

C.ISMS采取的各項風險控制措施應(yīng)該根據(jù)風險評估等途徑得出的需求而定

D. ISMS應(yīng)該是一步到位的，應(yīng)該解決所有的信息安全問題

6. PDCA特征的描述不正確的是

A. 順序進行，周而復(fù)始，發(fā)現(xiàn)問題，分析問題，然后是解決問題

B. 大環(huán)套小環(huán)，安全目標的達成都是分解成多個小目標，一層層地解決問題

C.階梯式上升，每次循環(huán)都要進行總結(jié)，鞏固成績，改進不足

D. 信息安全風險管理的思路不符合PDCA的問題解決思路

7. 以下哪個不是信息安全項目的需求來源

A. 國家和地方政府法律法規(guī)與合同的要求

B. 風險評估的結(jié)果

C.組織原則目標和業(yè)務(wù)需要

D. 企業(yè)領(lǐng)導(dǎo)的個人意志

8. ISO27001認證項目一般有哪幾個階段？

A. 管理評估，技術(shù)評估，操作流程評估

B. 確定范圍和安全方針，風險評估，風險控制（文件編寫），體系運行，認證

C.產(chǎn)品方案需求分析，解決方案提供，實施解決方案

D. 基礎(chǔ)培訓(xùn)，RA培訓(xùn)，文件編寫培訓(xùn)，內(nèi)部審核培訓(xùn)

9. 構(gòu)成風險的關(guān)鍵因素有哪些？

A. 人，財，物

B. 技術(shù)，管理和操作

C.資產(chǎn)，威脅和弱點

D. 資產(chǎn)，可能性和嚴重性

10. 以下哪些不是應(yīng)該識別的信息資產(chǎn)？

A. 網(wǎng)絡(luò)設(shè)備

B.客戶資料

C. 辦公桌椅

D. 系統(tǒng)管理員

11. 以下哪些是可能存在的威脅因素？

A. 設(shè)備老化故障

B.病毒和蠕蟲

C. 系統(tǒng)設(shè)計缺陷

D. 保安工作不得力

12. 以下哪些不是可能存在的弱點問題？

A. 保安工作不得力

B.應(yīng)用系統(tǒng)存在Bug

C. 內(nèi)部人員故意泄密

D. 物理隔離不足

13. 風險評估的過程中，首先要識別信息資產(chǎn)，資產(chǎn)識別時，以下哪個不是需要遵循的原則？

A. 只識別與業(yè)務(wù)及信息系統(tǒng)有關(guān)的信息資產(chǎn)，分類識別

B.所有公司資產(chǎn)都要識別

C. 可以從業(yè)務(wù)流程出發(fā)，識別各個環(huán)節(jié)和階段所需要以及所產(chǎn)出的關(guān)鍵資產(chǎn)

D. 資產(chǎn)識別務(wù)必明確責任人、保管者和用戶

14. 風險分析的目的是？

A. 在實施保護所需的成本與風險可能造成的影響之間進行技術(shù)平衡；

B.在實施保護所需的成本與風險可能造成的影響之間進行運作平衡；

C. 在實施保護所需的成本與風險可能造成的影響之間進行經(jīng)濟平衡；

D. 在實施保護所需的成本與風險可能造成的影響之間進行法律平衡；

15. 對于信息安全風險的描述不正確的是？

A. 企業(yè)信息安全風險管理就是要做到零風險

B. 在信息安全領(lǐng)域，風險（Risk）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負面影響及其潛在可能性

C.風險管理（Risk Management）就是以可接受的代價，識別控制減少或消除可能影響信息系統(tǒng)的安全風險的過程。

D. 風險評估（Risk Assessment）就是對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點以及威脅發(fā)生的可能性的評估。

16. 有關(guān)定性風險評估和定量風險評估的區(qū)別，以下描述不正確的是

A. 定性風險評估比較主觀，而定量風險評估更客觀

B. 定性風險評估容易實施，定量風險評估往往數(shù)據(jù)準確性很難保證

C.定性風險評估更成熟，定量風險評估還停留在理論階段

D. 定性風險評估和定量風險評估沒有本質(zhì)區(qū)別，可以通用

17. 降低企業(yè)所面臨的信息安全風險，可能的處理手段不包括哪些

A. 通過良好的系統(tǒng)設(shè)計、及時更新系統(tǒng)補丁，降低或減少信息系統(tǒng)自身的缺陷

B. 通過數(shù)據(jù)備份、雙機熱備等冗余手段來提升信息系統(tǒng)的可靠性；

C.建立必要的安全制度和部署必要的技術(shù)手段，防范黑客和惡意軟件的攻擊

D. 通過業(yè)務(wù)外包的方式，轉(zhuǎn)嫁所有的安全風險

18. 風險評估的基本過程是怎樣的？

A. 識別并評估重要的信息資產(chǎn)，識別各種可能的威脅和嚴重的弱點，最終確定風險

B. 通過以往發(fā)生的信息安全事件，找到風險所在

C.風險評估就是對照安全檢查單，查看相關(guān)的管理和技術(shù)措施是否到位

D. 風險評估并沒有規(guī)律可循，完全取決于評估者的經(jīng)驗所在

19. 企業(yè)從獲得良好的信息安全管控水平的角度出發(fā)，以下哪些行為是適當?shù)?/strong>

A. 只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題

B. 相信來自陌生人的郵件，好奇打開郵件附件

C.開著電腦離開，就像離開家卻忘記關(guān)燈那樣

D. 及時更新系統(tǒng)和安裝系統(tǒng)和應(yīng)用的補丁

20. 以下對ISO27001標準的描述不正確的是

A. 企業(yè)通過ISO27001認證則必須符合ISO27001信息安全管理體系規(guī)范的所有要求

B. ISO27001標準與信息系統(tǒng)等級保護等國家標準相沖突

C.ISO27001是源自于英國的國家標準BS7799

D. ISO27001是當前國際上最被認可的信息安全管理標準

21. 對安全策略的描述不正確的是

A. 信息安全策略（或者方針）是由組織的最高管理者正式制訂和發(fā)布的描述企業(yè)信息安全目標和方向，用于指導(dǎo)信息安全管理體系的建立和實施過程

B. 策略應(yīng)有一個屬主，負責按復(fù)查程序維護和復(fù)查該策略

C.安全策略的內(nèi)容包括管理層對信息安全目標和原則的聲明和承諾；

D. 安全策略一旦建立和發(fā)布，則不可變更；

22. 以下對企業(yè)信息安全活動的組織描述不正確的是

A. 企業(yè)應(yīng)該在組織內(nèi)建立發(fā)起和控制信息安全實施的管理框架。

B. 企業(yè)應(yīng)該維護被外部合作伙伴或者客戶訪問和使用的企業(yè)信息處理設(shè)施和信息資產(chǎn)的安全。

C.在沒有采取必要控制措施，包括簽署相關(guān)協(xié)議之前，不應(yīng)該授權(quán)給外部伙伴訪問。應(yīng)該讓外部伙伴意識到其責任和必須遵守的規(guī)定。

D. 企業(yè)在開展業(yè)務(wù)活動的過程中，應(yīng)該完全相信員工，不應(yīng)該對內(nèi)部員工采取安全管控措施

23. 企業(yè)信息資產(chǎn)的管理和控制的描述不正確的是

A. 企業(yè)應(yīng)該建立和維護一個完整的信息資產(chǎn)清單，并明確信息資產(chǎn)的管控責任；

B. 企業(yè)應(yīng)該根據(jù)信息資產(chǎn)的重要性和安全級別的不同要求，采取對應(yīng)的管控措施；

C.企業(yè)的信息資產(chǎn)不應(yīng)該分類分級，所有的信息系統(tǒng)要統(tǒng)一對待

D. 企業(yè)可以根據(jù)業(yè)務(wù)運作流程和信息系統(tǒng)拓撲結(jié)構(gòu)來識別所有的信息資產(chǎn)

24. 有關(guān)人員安全的描述不正確的是

A. 人員的安全管理是企業(yè)信息安全管理活動中最難的環(huán)節(jié)

B. 重要或敏感崗位的人員入職之前，需要做好人員的背景檢查

C.企業(yè)人員預(yù)算受限的情況下，職責分離難以實施，企業(yè)對此無能為力，也無需做任何工作

D. 人員離職之后，必須清除離職員工所有的邏輯訪問帳號

25. 以下有關(guān)通信與日常操作描述不正確的是

A. 信息系統(tǒng)的變更應(yīng)該是受控的

B. 企業(yè)在崗位設(shè)計和人員工作分配時應(yīng)該遵循職責分離的原則

C.移動介質(zhì)使用是一個管理難題，應(yīng)該采取有效措施，防止信息泄漏

D. 內(nèi)部安全審計無需遵循獨立性、客觀性的原則

26. 以下有關(guān)訪問控制的描述不正確的是

A. 口令是最常見的驗證身份的措施，也是重要的信息資產(chǎn)，應(yīng)妥善保護和管理

B. 系統(tǒng)管理員在給用戶分配訪問權(quán)限時，應(yīng)該遵循“最小特權(quán)原則”，即分配給員工的訪問權(quán)限只需滿足其工作需要的權(quán)限，工作之外的權(quán)限一律不能分配

C.單點登錄系統(tǒng)（一次登錄/驗證，即可訪問多個系統(tǒng)）最大的優(yōu)勢是提升了便利性，但是又面臨著“把所有雞蛋放在一個籃子”的風險；

D. 雙因子認證（又稱強認證）就是一個系統(tǒng)需要兩道密碼才能進入；

27. 有關(guān)信息系統(tǒng)的設(shè)計、開發(fā)、實施、運行和維護過程中的安全問題，以下描述錯誤的是

A. 信息系統(tǒng)的開發(fā)設(shè)計，應(yīng)該越早考慮系統(tǒng)的安全需求越好

B. 信息系統(tǒng)的設(shè)計、開發(fā)、實施、運行和維護過程中的安全問題，不僅僅要考慮提供一個安全的開發(fā)環(huán)境，同時還要考慮開發(fā)出安全的系統(tǒng)

C.信息系統(tǒng)在加密技術(shù)的應(yīng)用方面，其關(guān)鍵是選擇密碼算法，而不是密鑰的管理

D. 運營系統(tǒng)上的敏感、真實數(shù)據(jù)直接用作測試數(shù)據(jù)將帶來很大的安全風險

28. 有關(guān)信息安全事件的描述不正確的是

A. 信息安全事件的處理應(yīng)該分類、分級

B. 信息安全事件的數(shù)量可以反映企業(yè)的信息安全管控水平

C.某個時期內(nèi)企業(yè)的信息安全事件的數(shù)量為零，這意味著企業(yè)面臨的信息安全風險很小

D. 信息安全事件處理流程中的一個重要環(huán)節(jié)是對事件發(fā)生的根源的追溯，以吸取教訓(xùn)、總結(jié)經(jīng)驗，防止類似事情再次發(fā)生

29. 以下有關(guān)信息安全方面的業(yè)務(wù)連續(xù)性管理的描述，不正確的是

A. 信息安全方面的業(yè)務(wù)連續(xù)性管理就是要保障企業(yè)關(guān)鍵業(yè)務(wù)在遭受重大災(zāi)難/破壞時，能夠及時恢復(fù)，保障企業(yè)業(yè)務(wù)持續(xù)運營

B. 企業(yè)在業(yè)務(wù)連續(xù)性建設(shè)項目一個重要任務(wù)就是識別企業(yè)關(guān)鍵的、核心業(yè)務(wù)

C.業(yè)務(wù)連續(xù)性計劃文檔要隨著業(yè)務(wù)的外部環(huán)境的變化，及時修訂連續(xù)性計劃文檔

D. 信息安全方面的業(yè)務(wù)連續(xù)性管理只與IT部門相關(guān)，與其他業(yè)務(wù)部門人員無須參入

30. 企業(yè)信息安全事件的恢復(fù)過程中，以下哪個是最關(guān)鍵的？

A. 數(shù)據(jù)

B. 應(yīng)用系統(tǒng)

C.通信鏈路

D. 硬件/軟件

31. 企業(yè)ISMS(信息安全管理體系)建設(shè)的原則不包括以下哪個

A. 管理層足夠重視

B. 需要全員參與

C.不必遵循過程的方法

D. 需要持續(xù)改進

32. PDCA特征的描述不正確的是

A. 順序進行，周而復(fù)始，發(fā)現(xiàn)問題，分析問題，然后是解決問題

B. 大環(huán)套小環(huán)，安全目標的達成都是分解成多個小目標，一層層地解決問題

C.階梯式上升，每次循環(huán)都要進行總結(jié)，鞏固成績，改進不足

D. 信息安全風險管理的思路不符合PDCA的問題解決思路

33. 對于在ISMS內(nèi)審中所發(fā)現(xiàn)的問題，在審核之后應(yīng)該實施必要的改進措施并進行跟蹤和評價，以下描述不正確的是？

A. 改進措施包括糾正和預(yù)防措施

B. 改進措施可由受審單位提出并實施

C.不可以對體系文件進行更新或修改

D. 對改進措施的評價應(yīng)該包括措施的有效性的分析

34. ISMS的審核的層次不包括以下哪個？

A. 符合性審核

B. 有效性審核

C.正確性審核

D. 文件審核

35. 以下哪個不可以作為ISMS管理評審的輸入

A. ISMS審計和評審的結(jié)果

B. ?來自利益伙伴的反饋

C. 某個信息安全項目的技術(shù)方案

D. ?預(yù)防和糾正措施的狀態(tài)

36. 有關(guān)認證和認可的描述，以下不正確的是

A. 認證就是第三方依據(jù)程序?qū)Ξa(chǎn)品、過程、服務(wù)符合規(guī)定要求給予書面保證（合格證書）

B. 根據(jù)對象的不同，認證通常分為產(chǎn)品認證和體系認證

C.認可是由某權(quán)威機構(gòu)依據(jù)程序?qū)δ硤F體或個人具有從事特定任務(wù)的能力給予的正式承認

D. 企業(yè)通過ISO27001認證則說明企業(yè)符合ISO27001和ISO27002標準的要求

37. 信息的存在及傳播方式

A. 存在于計算機、磁帶、紙張等介質(zhì)中

B. 記憶在人的大腦里

C.. 通過網(wǎng)絡(luò)打印機復(fù)印機等方式進行傳播

D. 通過投影儀顯示

38. 下面哪個組合不是是信息資產(chǎn)

A. 硬件、軟件、文檔資料

B. 關(guān)鍵人員

C.. 組織提供的信息服務(wù)

D. 桌子、椅子

39. 實施ISMS內(nèi)審時，確定ISMS的控制目標、控制措施、過程和程序應(yīng)該要符合相關(guān)要求，以下哪個不是？

A. 約定的標準及相關(guān)法律的要求

B.已識別的安全需求

C. 控制措施有效實施和維護

D. ISO13335風險評估方法

40. 以下對審核發(fā)現(xiàn)描述正確的是

A. 用作依據(jù)的一組方針、程序或要求

B.與審核準則有關(guān)的并且能夠證實的記錄、事實陳述或其他信息

C. 將收集到的審核證據(jù)依照審核準則進行評價的結(jié)果，可以是合格/符合項，也可以是不合格/不符合項

D. 對審核對象的物理位置、組織結(jié)構(gòu)、活動和過程以及時限的描述