还剩18页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
信息安全管理体系试题物理安全的管理应做到[单选题]*所有相关人员都必须进行相应的培训,明确个人工作职责制定严格的值班和考勤制度,安排人员定期检查各种设备的运行情况在重要场所的进出口安装监视器,并对进出情况进行录像以上均正确止确答案在需要保护的信息资产中,最重要的是C[单选题]*环境硬件数据正确答案软件资产是对组织C的任何东西[单选题]*有使用价值拥有有价值止确答案购买风险处理的可选措施包括D[单选题]*采用适当的控制措施;接受风险避免风险转移风险a+b+c正确答案安全审计是一种很常见的安全控制措施,它在信息安全保障体系中属于(B)措施[单选题]*保护检测(正确答案)响应恢复考虑设备安全是为了(D)[单选题]*防止设备丢失、损坏带来的财产损失有序保障设备维修时的备件供应及时对设备进行升级和更新换代控制资产的丢失、损失、失窃、危及资产安全以及组织活动中断的风险(正确答案)组织的信息安全要求来源包括(D)[单选题]*法律法规与合同要求风险评估的结果组织已有的原则、目标与要求a+b+c(正确答案)GB/T22080-2016/ISO/IEC27001:2013标准可与其他管理标准,如质量管理标准(A)[单选题]*相容(正确答案)包容互不相容既包含也相容信息安全中的可用性是指(C)[单选题]*信息不能被未授权的个人,实体或者过程利用或知悉的特保护资产的准确和完整的特性根据授权实体的要求可访问和利用的特性性(1上确答案)以上都不对要实现有效的计算机和网络病毒防治,(D)应承担责任[单选题]*高级管理层部门经理系统管理员所有计算机用户(止确答案)信息安全管理体系文件详略程序取决于(D)[单选题]*组织规模活动类型安全要求和被管理系统的范围和复杂程度a+b+c(正确答案)信息安全管理体系中提到的“资产责任人”是指(B)[单选题]*对资产拥有财产权的人使用资产的人(正确答案)有权限变更资产安全属性的人资产所在部门负责人在生成系统帐号时,系统管理员应该分配给合法用户一个(A)用户在第一次登录时应更改口令[单选题]*唯一的口令(.正确答案)登录的位置使用的说明系统的规则描述与组织ISMS相关的和适用的控制措施的文档是B[单选题]*ISMS方针适用性声明正确答案ISMS范围风险评估程序属于信息安全完整性的是D[单选题]*个人电脑设置账号、密码用加密算法对信息进行加密处理各种灾害战争、地震等造成的系统失效信息被删除、修改、伪造、乱序、重放、插入等破坏正确答案风险评估过程一般应包括D[单选题]*风险识别风险分析风险评价a+b+c正确答案IS0/IEC27001:2013标准附录A有B个控制域[单选题]*1514正确答案1311关于不符合,下列说法错误的是B[单选题]*确定不符合发现的原因必须确定不符合的纠正措施(止俯答案)记录采取措施的结果评价纠正措施以下属于计算机病毒感染事件的纠正措施的是(B)[单选题]*对计算机病毒事件进行响应和处理将感染病毒的计算机从网络中隔离(止确答案)对相关责任人进行处罚以上都不对关于信息安全,下列说法中正确的是(C)[单选题]*信息安全等同于网络安全信息安全由技术措施实现信息安全应当技术与管理并重(正确答案)管理措施在信息安全中不重要
21.信息处理设施的变更管理不包括(B)[单选题]*信息处理设施用途的变更信息处理设施故障部件的更换(正确信息处理设施软件的升级以上都不对申请评审和审核方案人员(或在技术支持人员支持下),应具备什么能力(D)[单选题]*特定管理体系标准和(或)规范性文件的知识认证过程的知识客户业务领域、产品、过程和组织的知识以上均对(正■案)下列叙述不属于完全备份机制特点描述的是(D)[单选题]*每次备份的数据量较大每次备份所需的时间也就较长不能进行得太频繁需要存储空间小(正确答案)管理者应(B)[单选题]*制定ISMS方针制定ISMS目标和计划(正确答案)实施ISMS内部审核确保ISMS管理评审的执行CNAS-CC01中要求初次认证后的第一次监督审核最晚应在什么日期起12个月内进行(A)[单选题]*初次认证决定日期(正确答案)初次安排的审核时间当下的日历年中以上均不对根据ISO的信息安全定义,下列(B)是信息安全三个基本属性之一[单选题]*真实性可用性(正确答案)可审计性可靠性管理评审应包括评估ISMS改进的计划和变更的需求,管理评审的输入可以不包括0[单选题]*相关方的反馈预防和纠正措施的状况有效性测量的结果业务连续性演练结果(正确答案)上周期证书有效期为
2012.
10.23-
2015.
10.22;再认证审核日期为
2015.
7.21-
2015.
7.24;无严重不符合项,认证决定日期为
2015.
8.2则新证书的有效期为0[单选题]*
2015.
10.23-
2018.
10.
222015.
8.2-
2018.
10.22(正确答案)
2015.
7.24-
2018.
10.22以上均不对访问控制是为了保护信息的()[单选题]*完整性和保密性可用性和保密性(正确答案)可用性和完整性以上都是用户身份鉴别是通过(A)完成的[单选题]*口令验证(正确答案)审计策略存取控制查询功能信息安全包括哪几个层面()*A国家(止确答案)B政府C组织(正确答案)D个人(正确答案)恶意软件可包括()*A计算机病毒、蠕虫、木马、僵尸(正确答案)B间谍软件(正确答案)C欺诈广告(正确答案)D其他恶意和非期望的软件(11确答案)特殊审核可能包括()*A扩大范围审核(正确答案)B不通知或较短时间通知的审核(正确笞案)C暂停恢复(止确签案)I)补充审核(止确签案)测试法之测试类型包括()*A盲测(止确答案)B灰盒测试」1确答案)C系统测试D逆向测试(止确答案)审核日志宜包括以下信息()以分析是否为未授权活动、安全事件*A用户ID(正确答案)B日期和时间(正确答案)C关键事件,如登录和退出(正确答案)D网络地址和协议(正确答案)访谈法之访谈对象包括()*A管理者(正确答案)B信息资产和任务的负责人(正确答案)C网络和系统管理员(止确答案)D用户(正确答案)风险管理一般包括()*A风险评估(.正确答案)B风险处置(正确答案)C风险接受(正确答案)D风险沟通(正确答案)认证机构应对在产品包装上或附带信息中声明获证客户的管理体系通过认证有管理规则声明应包含对下列的引用()*A获证客户的标识(例如品牌或名称)(正确答案)B管理体系的类型(例如质量、环境)和适用标准(正确答案)C颁发证书的认证机构(正确答案)D暗示产品、过程或服务以这种方式得到了认证数据安全备份有几种策略()*A全数据备份(正确答案)B增量备份正确答案)C差异备份(正确答案)D手工备份信息安全事件的影响包括()*A组织的信誉受损(正确笞案)B泄露机密信息而产生社会影响(正确答案)C丧失机会D信息系统遭受破坏无法运行、业务中断(正确答案)认证机构应在其运营的所有地理区域中保持(通过出版物、电子介质或其他方式)并主动公布下列方面的信息()*A认证机构的名称和认证标志或徽标的使用(正碰答案)B对索要信息的请求、投诉和申诉的处理过程(正确答案)C公正性政策(止确答案)D审核过程(正确答案)OSI安全体系结构中提出的安全机制包括()*A加密(正确答案)B数字签名(正确答案)C数据保密性D路由控制(正确答案)安全服务包括()*A认证(鉴别)(正确答案)B访问控制(正确答案)C数据完整性(正确答案)D数据可用性安全服务必须依赖安全机制来实现OSI安全体系结构中提出的安全机制包括()*A加密(正■案)B数字签名(止确答案)C认证交换(止确答案)D业务流填充(正确签案)OSI安全体系结构认为一个安全的信息系统结构应该包括()*A五种安全服务(正确答案)B八类安全技术(止确答案)C三种安全管理方法(止确答案)D六种安全措施常用的网络安全技术()*A防火墙(正确答案)B入侵检测(正确答案)C漏洞扫描(止确签案)D抗服务攻击评审对象通常包括()*A规范(正确答案)B机理(正确答案)C系统D过程(正确答案)信息安全追求的目标(ABC)*A确保业务连续性B业务风险最小化C保护信息免受各种威胁的损害D获得投资回报和商业机遇以下属于信息安全事件的(ABCD))*A勒索软件“Locky”变种在中国肆虐B德国核电站检测出恶意程序被迫关闭C旧金山地铁被勒索软件攻击,乘客免费乘坐地铁D开源加密工具OpenSSL被爆出安全漏洞“水牢漏洞”应用安全技术是指以保护特定应用为目的的安全技术,如(ABCDD))*A反垃圾邮件技术B网页防篡改技术C反网络钓鱼技术D内容过滤技术对信息安全事件的分级主要考虑三个要素信息系统的重要程度、系统损失和社会影响[判断题]*对(正确答案)错ISO/IEC27001:2013标准附录A比2008标准新增了“密码学”、“供应关系”两个控制域[判断题]*对(正确答案)错信息安全事件是指由于人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件[判断题]*对错(正确答案)检查法之属性只包括一般检查、重点检查、典型检查、特定检查、全面检查[判断题]*对错(正确答案)测试法典型的评审对象包括机理和过程[判断题]*对(正确答案)错备份用于在出现数据损失(如灾难或媒介失效)时恢复所有信息或软件[判断题]*对错(正确答案)信息资产是组织所掌握或控制的、能够为组织带来经济利益的、与组织信息相关的一切无形的资产[判断题]*对错(止确答案)在计算机上安装防病毒软件之后,就不必担心计算机受到病毒攻击[判断题]*对错(正确答案)信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并为相关方树立风险得到充分管理的信心[判断题]*对(止确答案)错为过程或体系的改进提供通用信息,而不是针对特定客户的解决方案,视为咨询[判断题]*对错(正确答案)CNAS-CC01:2015只针对管理体系认证机构进行认可,产品认证机构不适用[判断题]*对(正确答案)错恶意代码(恶意软件)是指包括软件、程序、脚本在内的,旨在通过信息窃取、欺诈、间谍、破坏及恶意毁坏计算机系统的代码[判断题]*对(11•:确答案)错信息安全等同于网络安全[判断题]*对错(正确答案)信息安全就是指保持信息的保密性、完整性、可用性[判断题]*对错(正确答案)组织信息安全控制措施的选择宜基于风险评估的结果,并作为信息安全风险管理过程的组成部分,以将风险降低到可接受的水平[判断题]*对(11•:确答案)错有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护[判断题]*对(正确答案)错测试是指在规定条件下对一个评审对象进行演练,并将实际情况与期望的行为进行对比的过程[判断题]*对错(正确答案)特殊权限的分配状态宜在定义特殊权限的文档(特殊权限定义文件)中予以描述因为每个系统产品(操作系统、数据管理系统和每个应用程序)中相关的访问权限是不同的[判断题]*对(正确答案)错管理体系认证审核时间是从首次会议到末次会议之间实施审核活动的所有时间[判断题]*对(正确笞错访谈评审对象通常包括个人[判断题]*对错(正确答案)访谈法具有一般属性、深度属性和广度属性[判断题]*对防火墙虽然是网络层重要的安全机制,但是它对于计算机病毒缺乏保护能力[判断题]*对(正确答案)错重点性检查通常包含对评审对象的通盘审视、核查、观察、检验[判断题]*对错(正确答案)为防止对计算机资源的未授权访问,宜建立口令,且口令对所有人保密[判断题]*对错(正确答案)安全防范技术体系划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全[判断题]*对(正确答案)错再认证到期后,如果BCC能够在6个月内完成未尽的再认证活动,则可以恢复认证,否则应至少进行一次第二阶段才能恢复认证[判断题]*对(正确答案)错风险分析是指系统地使用信息来识别风险来源和评估风险[判断题]*对(正确答案)保密性、完整性和可用性是评价信息资产的三个安全属性[判断题]*对(正确答案)错只要使用了防火墙,企业的网络安全就有了绝对的保障[判断题]*对错(正确答案)信息网络的物理安全要从环境安全和设备安全两个角度来考虑[判断题]*对(止确答案)错。