1、8.IS027001認證項目一般有哪幾個階段？4管理評估，技術評估，操作流程評估8 .確定范圍和安全方針，風險評估，風險控制(文件編寫)，體系運行，認證C產(chǎn)品方案需求分析，解決方案提供，實施解決方案D.基礎培訓，RA培訓，文件編寫培訓，內(nèi)部審核培訓【答案】B9 .構成風險的關鍵因素有哪些？A.人，財，物B.技術，管理和操作C.資產(chǎn)，威脅和弱點D.資產(chǎn)，可能性和嚴重性【答案】C10 .以下哪些不是應該識別的信息資產(chǎn)？A.網(wǎng)絡設備B.客戶資料C.辦公桌椅D.系統(tǒng)管理員【答案】C11 .以下哪些是可能存在的威脅因素？BA.設備老化故障B.病毒和蠕蟲C.系統(tǒng)設計缺陷D.保安工作不得力【答案】B12 .

2、以下哪些不是可能存在的弱點問題？A.保安工作不得力B.應用系統(tǒng)存在BugC.內(nèi)部人員故意泄密D.物理隔離不足【答案】C13 .風險評估的過程中，首先要識別信息資產(chǎn)，資產(chǎn)識別時，以下哪個不是需要遵循的原則？A.只識別與業(yè)務及信息系統(tǒng)有關的信息資產(chǎn)，分類識別B.所有公司資產(chǎn)都要識別C.可以從業(yè)務流程出發(fā)，識別各個環(huán)節(jié)和階段所需要以及所產(chǎn)出的關鍵資產(chǎn)D.資產(chǎn)識別務必明確責任人、保管者和用戶【答案】B14 .風險分析的目的是？A.在實施保護所需的成本與風險可能造成的影響之間進行技術平衡；B.在實施保護所需的成本與風險可能造成的影響之間進行運作平衡；C.在實施保護所需的成本與風險可能造成的影響之間進行經(jīng)

3、濟平衡；D.在實施保護所需的成本與風險可能造成的影響之間進行法律平衡；【答案】C15 .對于信息安全風險的描述不正確的是？A.企業(yè)信息安全風險管理就是要做到零風險B.在信息安全領域，風險(Risk)就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負面影響及其潛在可能性C.風險管理(RiskManagement)就是以可接受的代價，識別控制減少或消除可能影響信息系統(tǒng)的安全風險的過程。D.風險評估(RiskAssessment)就是對信息和信息處理設施面臨的威脅、受到的影響、存在的弱點以及威脅發(fā)生的可能性的評估。【答案】A16.有關定性風險評估和定量風險評估的區(qū)別，以下描述不正確的是A.定性風險評估比較主觀，而

4、定量風險評估更客觀B.定性風險評估容易實施，定量風險評估往往數(shù)據(jù)準確性很難保證C定性風險評估更成熟，定量風險評估還停留在理論階段D.定性風險評估和定量風險評估沒有本質(zhì)區(qū)別，可以通用【答案】D17 .降低企業(yè)所面臨的信息安全風險，可能的處理手段不包括哪些A.通過良好的系統(tǒng)設計、及時更新系統(tǒng)補丁，降低或減少信息系統(tǒng)自身的缺陷B.通過數(shù)據(jù)備份、雙機熱備等冗余手段來提升信息系統(tǒng)的可靠性；C建立必要的安全制度和部署必要的技術手段，防范黑客和惡意軟件的攻擊D.通過業(yè)務外包的方式，轉(zhuǎn)嫁所有的安全風險【答案】D18 .風險評估的基本過程是怎樣的？A.識別并評估重要的信息資產(chǎn)，識別各種可能的威脅和嚴重的弱點，最

5、終確定風險B.通過以往發(fā)生的信息安全事件，找到風險所在C風險評估就是對照安全檢查單，查看相關的管理和技術措施是否到位D.風險評估并沒有規(guī)律可循，完全取決于評估者的經(jīng)驗所在【答案】A19.企業(yè)從獲得良好的信息安全管控水平的角度出發(fā)，以下哪些行為是適當?shù)腁.只關注外來的威脅，忽視企業(yè)內(nèi)部人員的問題B.相信來自陌生人的郵件，好奇打開郵件附件C開著電腦離開，就像離開家卻忘記關燈那樣D.及時更新系統(tǒng)和安裝系統(tǒng)和應用的補丁【答案】D20.以下對IS027001標準的描述不正確的是A.企業(yè)通過IS027001認證則必須符合IS027001信息安全管理體系規(guī)范的所有要求B. IS027001標準與信息系統(tǒng)等級

6、保護等國家標準相沖突C. IS027001是源自于英國的國家標準BS7799D. IS027001是當前國際上最被認可的信息安全管理標準【答案】B21.對安全策略的描述不正確的是A.信息安全策略(或者方針)是由組織的最高管理者正式制訂和發(fā)布的描述企業(yè)信息安全目標和方向，用于指導信息安全管理體系的建立和實施過程B.策略應有一個屬主，負責按復查程序維護和復查該策略C安全策略的內(nèi)容包括管理層對信息安全目標和原則的聲明和承諾；D.安全策略一旦建立和發(fā)布，則不可變更；【答案】D22 .以下對企業(yè)信息安全活動的組織描述不正確的是A.企業(yè)應該在組織內(nèi)建立發(fā)起和控制信息安全實施的管理框架。B.企業(yè)應該維護被外

7、部合作伙伴或者客戶訪問和使用的企業(yè)信息處理設施和信息資產(chǎn)的安全。C在沒有采取必要控制措施，包括簽署相關協(xié)議之前，不應該授權給外部伙伴訪問。應該讓外部伙伴意識到其責任和必須遵守的規(guī)定。D.企業(yè)在開展業(yè)務活動的過程中，應該完全相信員工，不應該對內(nèi)部員工采取安全管控措施【答案】D23 .企業(yè)信息資產(chǎn)的管理和控制的描述不正確的是A.企業(yè)應該建立和維護一個完整的信息資產(chǎn)清單，并明確信息資產(chǎn)的管控責任；B.企業(yè)應該根據(jù)信息資產(chǎn)的重要性和安全級別的不同要求，采取對應的管控措施；C企業(yè)的信息資產(chǎn)不應該分類分級，所有的信息系統(tǒng)要統(tǒng)一對待D.企業(yè)可以根據(jù)業(yè)務運作流程和信息系統(tǒng)拓撲結構來識別所有的信息資產(chǎn)【答案】C

8、24 .有關人員安全的描述不正確的是A.人員的安全管理是企業(yè)信息安全管理活動中最難的環(huán)節(jié)B.重要或敏感崗位的人員入職之前，需要做好人員的背景檢查C企業(yè)人員預算受限的情況下，職責分離難以實施，企業(yè)對此無能為力，也無需做任何工作D.人員離職之后，必須清除離職員工所有的邏輯訪問帳號【答案】C25 .以下有關通信與日常操作描述不正確的是A.信息系統(tǒng)的變更應該是受控的B.企業(yè)在崗位設計和人員工作分配時應該遵循職責分離的原則C移動介質(zhì)使用是一個管理難題，應該采取有效措施，防止信息泄漏D.內(nèi)部安全審計無需遵循獨立性、客觀性的原則【答案】D26 .以下有關訪問控制的描述不正確的是A. 口令是最常見的驗證身份的

9、措施，也是重要的信息資產(chǎn)，應妥善保護和管理B.系統(tǒng)管理員在給用戶分配訪問權限時，應該遵循“最小特權原則”即分配給員工的訪問權限只需滿足其工作需要的權限，工作之外的權限一律不能分配C單點登錄系統(tǒng)（一次登錄/驗證，即可訪問多個系統(tǒng)）最大的優(yōu)勢是提升了便利性，但是又面臨著“把所有雞蛋放在一個籃子”的風險；D.雙因子認證（又稱強認證）就是一個系統(tǒng)需要兩道密碼才能進入；【答案】D27.有關信息系統(tǒng)的設計、開發(fā)、實施、運行和維護過程中的安全問題，以下描述錯誤的是A.信息系統(tǒng)的開發(fā)設計，應該越早考慮系統(tǒng)的安全需求越好B.信息系統(tǒng)的設計、開發(fā)、實施、運行和維護過程中的安全問題，不僅僅要考慮提供一個安全的開發(fā)環(huán)

10、境，同時還要考慮開發(fā)出安全的系統(tǒng)C信息系統(tǒng)在加密技術的應用方面，其關鍵是選擇密碼算法，而不是密鑰的管理D.運營系統(tǒng)上的敏感、真實數(shù)據(jù)直接用作測試數(shù)據(jù)將帶來很大的安全風險【答案】c28 .有關信息安全事件的描述不正確的是A.信息安全事件的處理應該分類、分級B.信息安全事件的數(shù)量可以反映企業(yè)的信息安全管控水平C某個時期內(nèi)企業(yè)的信息安全事件的數(shù)量為零，這意味著企業(yè)面臨的信息安全風險很小D.信息安全事件處理流程中的一個重要環(huán)節(jié)是對事件發(fā)生的根源的追溯，以吸取教訓、總結經(jīng)驗，防止類似事情再次發(fā)生【答案】C29 .以下有關信息安全方面的業(yè)務連續(xù)性管理的描述，不正確的是A.信息安全方面的業(yè)務連續(xù)性管理就是要

11、保障企業(yè)關鍵業(yè)務在遭受重大災難/破壞時，能夠及時恢復，保障企業(yè)業(yè)務持續(xù)運營B.企業(yè)在業(yè)務連續(xù)性建設項目一個重要任務就是識別企業(yè)關鍵的、核心業(yè)務C業(yè)務連續(xù)性計劃文檔要隨著業(yè)務的外部環(huán)境的變化，及時修訂連續(xù)性計劃文檔D.信息安全方面的業(yè)務連續(xù)性管理只與IT部門相關，與其他業(yè)務部門人員無須參入【答案】D30 .企業(yè)信息安全事件的恢復過程中，以下哪個是最關鍵的？4數(shù)據(jù)B.應用系統(tǒng)C通信鏈路D.硬件/軟件【答案】A31 .企業(yè)ISMS（信息安全管理體系）建設的原則不包括以下哪個4管理層足夠重視B.需要全員參與C不必遵循過程的方法D.需要持續(xù)改進【答案】C32 .PDCA特征的描述不正確的是A.順序進行，

12、周而復始，發(fā)現(xiàn)問題，分析問題，然后是解決問題B.大環(huán)套小環(huán)，安全目標的達成都是分解成多個小目標，一層層地解決問題C階梯式上升，每次循環(huán)都要進行總結，鞏固成績，改進不足D.信息安全風險管理的思路不符合PDCA的問題解決思路【答案】D33 .對于在ISMS內(nèi)審中所發(fā)現(xiàn)的問題，在審核之后應該實施必要的改進措施并進行跟蹤和評價，以下描述不正確的是？A.改進措施包括糾正和預防措施B.改進措施可由受審單位提出并實施C不可以對體系文件進行更新或修改D.對改進措施的評價應該包括措施的有效性的分析【答案】C34 .ISMS的審核的層次不包括以下哪個？A.符合性審核B.有效性審核C正確性審核D.文件審核【答案】C

13、35 .以下哪個不可以作為ISMS管理評審的輸入A.ISMS審計和評審的結果B.來自利益伙伴的反饋C.某個信息安全項目的技術方案D.預防和糾正措施的狀態(tài)【答案】C36 .有關認證和認可的描述，以下不正確的是A.認證就是第三方依據(jù)程序?qū)Ξa(chǎn)品、過程、服務符合規(guī)定要求給予書面保證（合格證書）B.根據(jù)對象的不同，認證通常分為產(chǎn)品認證和體系認證C認可是由某權威機構依據(jù)程序?qū)δ硤F體或個人具有從事特定任務的能力給予的正式承認D.企業(yè)通過IS027001認證則說明企業(yè)符合IS027001和IS027002標準的要求【答案】D37 .信息的存在及傳播方式A.存在于計算機、磁帶、紙張等介質(zhì)中B. 記憶在人的大腦里

14、C. .通過網(wǎng)絡打印機復印機等方式進行傳播D.通過投影儀顯示【答案】D38.下面哪個組合不是是信息資產(chǎn)4硬件、軟件、文檔資料B. 關鍵人員C. .組織提供的信息服務D.桌子、椅子【答案】D39.實施ISMS內(nèi)審時，確定ISMS的控制目標、控制措施、過程和程序應該要符合相關要求，以下哪個不是？A.約定的標準及相關法律的要求B.已識別的安全需求C.控制措施有效實施和維護D. IS013335風險評估方法【答案】D40 .以下對審核發(fā)現(xiàn)描述正確的是A.用作依據(jù)的一組方針、程序或要求B.與審核準則有關的并且能夠證實的記錄、事實陳述或其他信息C.將收集到的審核證據(jù)依照審核準則進行評價的結果，可以是合格/

15、符合項，也可以是不合格/不符合項D.對審核對象的物理位置、組織結構、活動和過程以及時限的描述【答案】C41 .ISMS審核常用的審核方法不包括？A.糾正預防B.文件審核C.現(xiàn)場審核D.滲透測試【答案】A42 .ISMS的內(nèi)部審核員（非審核組長）的責任不包括？A.熟悉必要的文件和程序；B.根據(jù)要求編制檢查列表；C.配合支持審核組長的工作，有效完成審核任務；D.負責實施整改內(nèi)審中發(fā)現(xiàn)的問題；【答案】D43 .審核在實施審核時，所使用的檢查表不包括的內(nèi)容有？A.審核依據(jù)B.審核證據(jù)記錄C.審核發(fā)現(xiàn)D.數(shù)據(jù)收集方法和工具【答案】C44 .ISMS審核時，首次會議的目的不包括以下哪個？A.明確審核目的、

16、審核準則和審核范圍B.明確審核員的分工C.明確接受審核方責任，為配合審核提供必要資源和授權D.明確審核進度和審核方法，且在整個審核過程中不可調(diào)整【答案】D45 .ISMS審核時，對審核發(fā)現(xiàn)中，以下哪個是屬于嚴重不符合項？A.關鍵的控制程序沒有得到貫徹，缺乏標準規(guī)定的要求可構成嚴重不符合項B.風險評估方法沒有按照IS027005（信息安全風險管理）標準進行C.孤立的偶發(fā)性的且對信息安全管理體系無直接影響的問題；D.審核員識別的可能改進項【答案】D46 .以下關于ISMS內(nèi)部審核報告的描述不正確的是？A.內(nèi)審報告是作為內(nèi)審小組提交給管理者代表或最高管理者的工作成果B.內(nèi)審報告中必須包含對不符合性項

17、的改進建議C.內(nèi)審報告在提交給管理者代表或者最高管理者之前應該受審方管理者溝通協(xié)商，核實報告內(nèi)容。D.內(nèi)審報告中必須包括對糾正預防措施實施情況的跟蹤【答案】D47 .信息系統(tǒng)審核員應該預期誰來授權對生產(chǎn)數(shù)據(jù)和生產(chǎn)系統(tǒng)的訪問？A.流程所有者B.系統(tǒng)管理員C安全管理員D.數(shù)據(jù)所有者【答案】D48 .當保護組織的信息系統(tǒng)時，在網(wǎng)絡防火墻被破壞以后，通常的下一道防線是下列哪一項？A.個人防火墻B.防病毒軟件C入侵檢測系統(tǒng)D.虛擬局域網(wǎng)設置【答案】C49 .負責授權訪問業(yè)務系統(tǒng)的職責應該屬于：A.數(shù)據(jù)擁有者B.安全管理員C.IT安全經(jīng)理D.請求者的直接上司【答案】A50.在提供給一個外部代理商訪問信息處

18、理設施前，一個組織應該怎么做？A.外部代理商的處理應該接受一個來自獨立代理進行的IS審計。B.外部代理商的員工必須接受該組織的安全程序的培訓。C.來自外部代理商的任何訪問必須限制在停火區(qū)（DMZ）D.該組織應該進行風險評估，并制定和實施適當?shù)目刂啤！敬鸢浮緿51.處理報廢電腦的流程時，以下哪一個選項對于安全專業(yè)人員來說是最重要考慮的內(nèi)容？A.在扇區(qū)這個級別上，硬盤已經(jīng)被多次重復寫入，但是在離開組織前沒有進行重新格式化。B.硬盤上所有的文件和文件夾都分別刪除了，并在離開組織進行重新格式化。C.在離開組織前，通過在硬盤特定位置上洞穿盤片，進行打洞，使得硬盤變得不可讀取。D.由內(nèi)部的安全人員將硬盤送

19、到附近的金屬回收公司，對硬盤進行登記并粉碎?！敬鸢浮緽52.一個組織已經(jīng)創(chuàng)建了一個策略來定義用戶禁止訪問的網(wǎng)站類型。哪個是最有效的技術來達成這個策略？A. A.狀態(tài)檢測防火墻B. B.網(wǎng)頁內(nèi)容過濾C.網(wǎng)頁緩存服務器D.D代理服務器【答案】B53.當組織將客戶信用審查系統(tǒng)外包給第三方服務提供商時，下列哪一項是信息安全專業(yè)人士最重要的考慮因素？該提供商：A.滿足并超過行業(yè)安全標準B.同意可以接受外部安全審查C其服務和經(jīng)驗有很好的市場聲譽D.符合組織的安全策略【答案】D54.一個組織將制定一項策略以定義了禁止用戶訪問的板站點類型。為強制執(zhí)行這一策略，最有效的技術是什么？A.狀態(tài)檢測防火墻B. WE內(nèi)

20、容過濾器C. WEB緩存服務器D應該代理服務器【答案】B55.在制定一個正式的企業(yè)安全計劃時，最關鍵的成功因素將是？A.成立一個審查委員會B.建立一個安全部門C.向執(zhí)行層發(fā)起人提供有效支持D.選擇一個安全流程的所有者【答案】C56.對業(yè)務應用系統(tǒng)授權訪問的責任屬于：A.數(shù)據(jù)所有者B.安全管理員C.IT安全經(jīng)理D.申請人的直線主管【答案】A57 .下列哪一項是首席安全官的正常職責？A.定期審查和評價安全策略B.執(zhí)行用戶應用系統(tǒng)和軟件測試與評價C授予或廢除用戶對IT資源的訪問權限D(zhuǎn).批準對數(shù)據(jù)和應用系統(tǒng)的訪問權限【答案】B58 .向外部機構提供其信息處理設施的物理訪問權限前，組織應當做什么？A.該

21、外部機構的過程應當可以被獨立機構進行IT審計B.該組織應執(zhí)行一個風險評估，設計并實施適當?shù)目刂艭該外部機構的任何訪問應被限制在DMZ區(qū)之內(nèi)D.應當給該外部機構的員工培訓其安全程序【答案】B59 .某組織的信息系統(tǒng)策略規(guī)定，終端用戶的ID在該用戶終止后90天內(nèi)失效。組織的信息安全內(nèi)審核員應：A.報告該控制是有效的，因為用戶ID失效是符合信息系統(tǒng)策略規(guī)定的時間段的B.核實用戶的訪問權限是基于用所必需原則的C建議改變這個信息系統(tǒng)策略，以保證用戶ID的失效與用戶終止一致D.建議終止用戶的活動日志能被定期審查【答案】C60 .減少與釣魚相關的風險的最有效控制是：A.系統(tǒng)的集中監(jiān)控B.釣魚的信號包括在防病

22、毒軟件中C在內(nèi)部網(wǎng)絡上發(fā)布反釣魚策略D.對所有用戶進行安全培訓【答案】D61. 在人力資源審計期間，安全管理體系內(nèi)審員被告知在IT部門和人力資源部門中有一個關于期望的IT服務水平的口頭協(xié)議。安全管理體系內(nèi)審員首先應該做什么？A.為兩部門起草一份服務水平協(xié)議B.向高級管理層報告存在未被書面簽訂的協(xié)議C.向兩部門確認協(xié)議的內(nèi)容D.推遲審計直到協(xié)議成為書面文檔【答案】C62 .下面哪一個是定義深度防御安全原則的例子？A.使用由兩個不同提供商提供的防火墻檢查進入網(wǎng)絡的流量B.在主機上使用防火墻和邏輯訪問控制來控制進入網(wǎng)絡的流量C在數(shù)據(jù)中心建設中不使用明顯標志D.使用兩個防火墻檢查不同類型進入網(wǎng)絡的流量

23、【答案】A63 .下面哪一種是最安全和最經(jīng)濟的方法，對于在一個小規(guī)模到一個中等規(guī)模的組織中通過互聯(lián)網(wǎng)連接私有網(wǎng)絡？A.虛擬專用網(wǎng)B專線C,租用線路D.綜合服務數(shù)字網(wǎng).【答案】A64 .通過社會工程的方法進行非授權訪問的風險可以通過以下方法避免：A.安全意識程序B.非對稱加密C.入侵偵測系統(tǒng)D.非軍事區(qū)【答案】A65 .在安全人員的幫助下，對數(shù)據(jù)提供訪問權的責任在于：A.數(shù)據(jù)所有者.B.程序員C.系統(tǒng)分析師.D.庫管員【答案】A66 .信息安全策略，聲稱”密碼的顯示必須以掩碼的形式”的目的是防范下面哪種攻擊風險？A.尾隨B.垃圾搜索C.肩窺D.冒充【答案】C67 .管理體系審計員進行通信訪問控制

24、審查，首先應該關注：A.維護使用各種系統(tǒng)資源的訪問日志B.在用戶訪問系統(tǒng)資源之前的授權和認證C.通過加密或其他方式對存儲在服務器上數(shù)據(jù)的充分保護D.確定是否可以利用終端系統(tǒng)資源的責任制和能力人【答案】D68 .下列哪一種防病毒軟件的實施策略在內(nèi)部公司網(wǎng)絡中是最有效的：A.服務器防毒軟件B.病毒墻C.工作站防病毒軟件D.病毒庫及時更新【答案】D69 .測試程序變更管理流程時，安全管理體系內(nèi)審員使用的最有效的方法是：A.由系統(tǒng)生成的信息跟蹤到變更管理文檔B檢查變更管理文檔中涉及的證據(jù)的精確性和正確性C.由變更管理文檔跟蹤到生成審計軌跡的系統(tǒng)D.檢查變更管理文檔中涉及的證據(jù)的完整性【答案】A70 .

25、內(nèi)部審計部門，從組織結構上向財務總監(jiān)而不是審計委員會報告，最A.導致對其審計獨立性的質(zhì)疑B.報告較多業(yè)務細節(jié)和相關發(fā)現(xiàn)C.加強了審計建議的執(zhí)行D.在建議中采取更對有效行動【答案】A71 .下面哪一種情況可以使信息系統(tǒng)安全官員實現(xiàn)有效進行安全控制的目的？A.完整性控制的需求是基于風險分析的結果B.控制已經(jīng)過了測試C.安全控制規(guī)范是基于風險分析的結果D.控制是在可重復的基礎上被測試的【答案】D72 .下列哪一種情況會損害計算機安全策略的有效性？A.發(fā)布安全策略時B.重新檢查安全策略時C.測試安全策略時D.可以預測到違反安全策略的強制性措施時【答案】D73 .組織的安全策略可以是廣義的，也可以是狹義

26、的，下面哪一條是屬于廣義的安全策略？A,應急計劃B.遠程辦法C.計算機安全程序D.電子郵件個人隱私【答案】C74 .基本的計算機安全需求不包括下列哪一條：A.安全策略和標識B.絕對的保證和持續(xù)的保護C.身份鑒別和落實責任D.合理的保證和連續(xù)的保護【答案】B75 .軟件的盜版是一個嚴重的問題。在下面哪一種說法中反盜版的策略和實際行為是矛盾的？A,員工的教育和培訓B.遠距離工作(TeIecommuting)與禁止員工攜帶工作軟件回家C.自動日志和審計軟件D.策略的發(fā)布與策略的強制執(zhí)行【答案】B76 .組織內(nèi)數(shù)據(jù)安全官的最為重要的職責是：A.推薦并監(jiān)督數(shù)據(jù)安全策略B.在組織內(nèi)推廣安全意識C.制定IT

27、安全策略下的安全程序/流程D.管理物理和邏輯訪問控制【答案】A77 .下面哪一種方式，能夠最有效的約束雇員只能履行其分內(nèi)的工作？A.應用級訪問控制B.數(shù)據(jù)加密C.卸掉雇員電腦上的軟盤和光盤驅(qū)動器D.使用網(wǎng)絡監(jiān)控設備【答案】A78 .內(nèi)部審計師發(fā)現(xiàn)不是所有雇員都了解企業(yè)的信息安全策略。內(nèi)部審計師應當?shù)贸鲆韵履捻椊Y論：A.這種缺乏了解會導致不經(jīng)意地泄露敏感信息B.信息安全不是對所有職能都是關鍵的C.IS審計應當為那些雇員提供培訓D.該審計發(fā)現(xiàn)應當促使管理層對員工進行繼續(xù)教育【答案】A79 .設計信息安全策略時，最重要的一點是所有的信息安全策略應該A. 非現(xiàn)場存儲B. b)由IS經(jīng)理簽署C. 發(fā)布并

28、傳播給用戶D. 經(jīng)常更新【答案】C80 .負責制定、執(zhí)行和維護內(nèi)部安全控制制度的責任在于：A.IS審計員.B.管理層.C.外部審計師.D.程序開發(fā)人員.【答案】B81 .組織與供應商協(xié)商服務水平協(xié)議，下面哪一個最先發(fā)生？A.制定可行性研究.B檢查是否符合公司策略.C.草擬服務水平協(xié)議.D.草擬服務水平要求【答案】B82 .以下哪一個是數(shù)據(jù)保護的最重要的目標？A.確定需要訪問信息的人員B.確保信息的完整性C.拒絕或授權對系統(tǒng)的訪問D.監(jiān)控邏輯訪問【答案】A83.在邏輯訪問控制中如果用戶賬戶被共享，這種局面可能造成的最大風險是：A.非授權用戶可以使用ID擅自進入.B.用戶訪問管理費時.C很容易猜測

29、密碼.D.無法確定用戶責任【答案】D84.作為信息安全治理的成果，戰(zhàn)略方針提供了：A.企業(yè)所需的安全要求B.遵從最佳實務的安全基準C.日?；贫然慕鉀Q方案D.風險暴露的理解【答案】A85 .企業(yè)由于人力資源短缺，IT支持一直以來由一位最終用戶兼職，最恰當?shù)难a償性控制是：A.限制物理訪問計算設備B檢查事務和應用日志C.雇用新IT員工之前進行背景調(diào)查D.在雙休日鎖定用戶會話【答案】B86 .關于安全策略的說法，不正確的是A.得到安全經(jīng)理的審核批準后發(fā)布B.應采取適當?shù)姆绞阶層嘘P人員獲得并理解最新版本的策略文檔C控制安全策略的發(fā)布范圍，注意保密D.系統(tǒng)變更后和定期的策略文件評審和改進【答案】A87

30、 .哪一項不是管理層承諾完成的？A.確定組織的總體安全目標8.購買性能良好的信息安全產(chǎn)品C推動安全意識教育D.評審安全策略的有效性【答案】B88.安全策略體系文件應當包括的內(nèi)容不包括A.信息安全的定義、總體目標、范圍及對組織的重要性B.對安全管理職責的定義和劃分C.口令、加密的使用是阻止性的技術控制措施；D.違反安全策略的后果【答案】C89.對信息安全的理解，正確的是A.信息資產(chǎn)的保密性、完整性和可用性不受損害的能力，是通過信息安全保障措施實現(xiàn)的B.通過信息安全保障措施，確保信息不被丟失C.通過信息安全保證措施，確保固定資產(chǎn)及相關財務信息的完整性D.通過技術保障措施，確保信息系統(tǒng)及財務數(shù)據(jù)的完

31、整性、機密性及可用性【答案】A90 .以下哪項是組織中為了完成信息安全目標，針對信息系統(tǒng)，遵循安全策略，按照規(guī)定的程序，運用恰當?shù)姆椒?，而進行的規(guī)劃、組織、指導、協(xié)調(diào)和控制等活動？A.反應業(yè)務目標的信息安全方針、目標以及活動；B.來自所有級別管理者的可視化的支持與承諾；C提供適當?shù)囊庾R、教育與培訓D.以上所有【答案】D91 .信息安全管理體系要求的核心內(nèi)容是？A.風險評估B.關鍵路徑法C. PDCA循環(huán)D. PERT【答案】C92 .有效減少偶然或故意的未授權訪問、誤用和濫用的有效方法是如下哪項？A.訪問控制B.職責分離C加密D認證【答案】B93 .下面哪一項組成了CIA三元組？A.保密性，完

32、整性，保障B.保密性，完整性，可用性C保密性，綜合性，保障D.保密性，綜合性，可用性【答案】B94.在信息安全策略體系中，下面哪一項屬于計算機或信息安全的強制性規(guī)則？A.標準(Standard)B.安全策略(Securitypolicy)C方針(GuideIine)D.流程(Procedure)【答案】A95.在許多組織機構中，產(chǎn)生總體安全性問題的主要原因是：A.缺少安全性管理B.缺少故障管理C缺少風險分析D.缺少技術控制機制【答案】A96 .下面哪一項最好地描述了風險分析的目的？A.識別用于保護資產(chǎn)的責任義務和規(guī)章制度B.識別資產(chǎn)以及保護資產(chǎn)所使用的技術控制措施C識別資產(chǎn)、脆弱性并計算潛在的

33、風險D.識別同責任義務有直接關系的威脅【答案】C97 .以下哪一項對安全風險的描述是準確的？A.安全風險是指一種特定脆弱性利用一種或一組威脅造成組織的資產(chǎn)損失或損害的可能性。B.安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失事實。C安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性D.安全風險是指資產(chǎn)的脆弱性被威脅利用的情形?！敬鸢浮緾98 .以下哪些不屬于脆弱性范疇？A.黑客攻擊B.操作系統(tǒng)漏洞C應用程序BUGD.人員的不良操作習慣【答案】A99 .依據(jù)信息系統(tǒng)安全保障模型，以下那個不是安全保證對象A.機密性B管理C過程D.人員【答案】A100

34、.以下哪一項是已經(jīng)被確認了的具有一定合理性的風險？A.總風險B.最小化風險C可接受風險D.殘余風險【答案】C101 .以下哪一種人給公司帶來最大的安全風險？A.臨時工B.咨詢?nèi)藛TC.以前員工D.當前員工【答案】D102.一組將輸入轉(zhuǎn)化為輸出的相互關聯(lián)或相互作用的什么叫做過程？A.數(shù)據(jù)B.信息流C活動D.模塊【答案】C103 .系統(tǒng)地識別和管理組織所應用的過程，特別是這些過程之間的相互作用，稱為什么？A.戴明循環(huán)B.過程方法C.管理體系D.服務管理【答案】B104 .拒絕式服務攻擊會影響信息系統(tǒng)的哪個特性？A.完整性B.可用性C機密性D.可控性【答案】B105 .在信息系統(tǒng)安全中，風險由以下哪兩

35、種因素共同構成的？A.攻擊和脆弱性B.威脅和攻擊C.威脅和脆弱性D.威脅和破壞【答案】C106 .在信息系統(tǒng)安全中，暴露由以下哪兩種因素共同構成的？A.攻擊和脆弱性B.威脅和攻擊C.威脅和脆弱性D.威脅和破壞【答案】A107 .信息安全管理最關注的是？A.外部惡意攻擊B.病毒對PC的影響C.內(nèi)部惡意攻擊D.病毒對網(wǎng)絡的影響【答案】C108 .從風險管理的角度，以下哪種方法不可?。緼.接受風險B.分散風險C轉(zhuǎn)移風險D.拖延風險【答案】D109 .ISMS文檔體系中第一層文件是？A.信息安全方針政策B.信息安全工作程序C信息安全作業(yè)指導書D.信息安全工作記錄【答案】A110 .以下哪種風險被定義為

36、合理的風險？A.最小的風險B.可接收風險C.殘余風險D.總風險【答案】B111 .從目前的情況看，對所有的計算機系統(tǒng)來說，以下哪種威脅是最為嚴重的，可能造成巨大的損害？A.沒有充分訓練或粗心的用戶B.第三方C黑客D.心懷不滿的雇員【答案】D112 .如果將風險管理分為風險評估和風險減緩，那么以下哪個不屬于風險減緩的內(nèi)容？A.計算風險B.選擇合適的安全措施C實現(xiàn)安全措施D.接受殘余風險【答案】A113 .通常最好由誰來確定系統(tǒng)和數(shù)據(jù)的敏感性級別？A.審計師B.終端用戶C擁有者D.系統(tǒng)分析員【答案】C114 .風險分析的目的是？A.在實施保護所需的成本與風險可能造成的影響之間進行技術平衡；B.在實

37、施保護所需的成本與風險可能造成的影響之間進行運作平衡；C在實施保護所需的成本與風險可能造成的影響之間進行經(jīng)濟平衡；D.在實施保護所需的成本與風險可能造成的影響之間進行法律平衡；【答案】C115.以下哪個不屬于信息安全的三要素之一？A.機密性B.完整性C抗抵賴性D.可用性【答案】C116.ISMS指的是什么？A.信息安全管理B.信息系統(tǒng)管理體系C.信息系統(tǒng)管理安全D.信息安全管理體系【答案】D117.在確定威脅的可能性時，可以不考慮以下哪個？A.威脅源B.潛在弱點C現(xiàn)有控制措施D.攻擊所產(chǎn)生的負面影響【答案】D118.在風險分析中，以下哪種說法是正確的？A.定量影響分析的主要優(yōu)點是它對風險進行排

38、序并對那些需要立即改善的環(huán)節(jié)進行標識。B.定性影響分析可以很容易地對控制進行成本收益分析。C定量影響分析不能用在對控制進行的成本收益分析中。D.定量影響分析的主要優(yōu)點是它對影響大小給出了一個度量【答案】D119.通常情況下，怎樣計算風險？A.將威脅可能性等級乘以威脅影響就得出了風險。8.將威脅可能性等級加上威脅影響就得出了風險。C用威脅影響除以威脅的發(fā)生概率就得出了風險。D.用威脅概率作為指數(shù)對威脅影響進行乘方運算就得出了風險。【答案】A120.資產(chǎn)清單可包括？A.服務及無形資產(chǎn)B.信息資產(chǎn)C.人員D.以上所有【答案】D121.評彳tIT風險被很好的達到，可以通過：A.評彳tIT資產(chǎn)和IT項目

39、總共的威脅B.用公司的以前的真的損失經(jīng)驗來決定現(xiàn)在的弱點和威脅C.審查可比較的組織出版的損失數(shù)據(jù)D.一句審計拔高審查IT控制弱點【答案】A122.在部署風險管理程序的時候，哪項應該最先考慮到：A.組織威脅，弱點和風險概括的理解B.揭露風險的理解和妥協(xié)的潛在后果C.基于潛在結果的風險管理優(yōu)先級的決心D.風險緩解戰(zhàn)略足夠在一個可以接受的水平上保持風險的結果【答案】A123 .為了解決操作人員執(zhí)行日常備份的失誤，管理層要求系統(tǒng)管理員簽字日常備份，這是一個風險例子：A.防止B轉(zhuǎn)移C.緩解D接受【答案】C124 .以下哪項不屬于PDCA循環(huán)的特點？A.按順序進行，它靠組織的力量來推動，像車輪一樣向前進，

40、周而復始，不斷循環(huán)B.組織中的每個部分，甚至個人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題C每通過一次PDCA循環(huán)，都要進行總結，提出新目標，再進行第二次PDCA循環(huán)D.D.組織中的每個部分，不包括個人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題【答案】D125 .戴明循環(huán)執(zhí)行順序，下面哪項正確？A. .PLAN-ACT-DO-CHECKB. CHECK-PLAN-ACT-DOC. PLAN-DO-CHECK-ACTD. ACT-PLAN-CHECK-DO【答案】C126 .建立ISMS的第一一步是？A.風險評估B.設計ISMS文檔C.明確ISMS范圍D.確定ISMS策略【答

41、案】C127.建立ISMS的步驟正確的是？A.明確ISMS范圍-確定ISMS策略-定義風險評估方法-進行風險評估-設計和選擇風險處置方法-設計ISMS文件-進行管理者承諾（審批）B.定義風險評估方法-進行風險評估-設計和選擇風險處置方法-設計ISMS文件-進行管理者承t若（審批）-確定ISMS策略C確定ISMS策略-明確ISMS范圍-定義風險評估方法-進行風險評估-設計和選擇風險處置方法-設計ISMS文件-進行管理者承諾（審批）D.明確ISMS范圍-定義風險評估方法-進行風險評估-設計和選擇風險處置方法-確定ISMS策略-設計ISMS文彳"進行管理者承諾（審批）【答案】A128.除以

42、下哪項可作為ISMS審核（包括內(nèi)審和外審）的依據(jù)，文件審核、現(xiàn)場審核的依據(jù)？A.機房登記記錄B.信息安全管理體系C權限申請記錄D.離職人員的口述【答案】D129.以下哪項是ISMS文件的作用？A.是指導組織有關信息安全工作方面的內(nèi)部“法規(guī)”一使工作有章可循。B.是控制措施（controls）的重要部分C提供客觀證據(jù)一為滿足相關方要求，以及持續(xù)改進提供依據(jù)D.以上所有【答案】D130.以下哪項不是記錄控制的要求？A.清晰、易于識別和檢索B.記錄的標識、貯存、保護、檢索、保存期限和處置所需的控制措施應形成文件并實施C.建立并保持，以提供證據(jù)D.記錄應盡可能的達到最詳細【答案】D131 .下面哪項是

43、信息安全管理體系中CHECK（檢查）中的工作內(nèi)容?A.按照計劃的時間間隔進行風險評估的評審B.實施所選擇的控制措施C采取合適的糾正和預防措施。從其它組織和組織自身的安全經(jīng)驗中吸取教訓D.確保改進達到了預期目標【答案】A132 .指導和規(guī)范信息安全管理的所有活動的文件叫做？A.過程B.安全目標C.安全策略D.安全范圍【答案】C133 .信息安全管理措施不包括：A.安全策略B.物理和環(huán)境安全C訪問控制D.安全范圍【答案】D134 .下面安全策略的特性中，不包括哪一項？A.指導性B.靜態(tài)性C可審核性D.非技術性【答案】B135 .信息安全活動應由來自組織不同部門并具備相關角色和工作職責的代表進行，下

44、面哪項包括非典型的安全協(xié)調(diào)應包括的人員？A.管理人員、用戶、應用設計人員B.系統(tǒng)運維人員、內(nèi)部審計人員、安全專員C.內(nèi)部審計人員、安全專員、領域?qū)＜褼.應用設計人員、內(nèi)部審計人員、離職人員【答案】D136 .下面那一項不是風險評估的目的？A.分析組織的安全需求B制訂安全策略和實施安防措施的依據(jù)C組織實現(xiàn)信息安全的必要的、重要的步驟D.完全消除組織的風險【答案】D137 .下面那個不是信息安全風險的要素？A.資產(chǎn)及其價值B.數(shù)據(jù)安全C威脅D.控制措施【答案】B138 .信息安全風險管理的對象不包括如下哪項A.信息自身B.信息載體C.信息網(wǎng)絡D.信息環(huán)境【答案】C139 .信息安全風險管理的最終責

45、任人是？A.決策層B.管理層C執(zhí)行層D.支持層【答案】A140 .信息安全風險評估對象確立的主要依據(jù)是什么A.系統(tǒng)設備的類型B.系統(tǒng)的業(yè)務目標和特性C系統(tǒng)的技術架構D.系統(tǒng)的網(wǎng)絡環(huán)境【答案】B141 .下面哪一項不是風險評估的過程？A.風險因素識別B.風險程度分析C.風險控制選擇D.風險等級評價【答案】C142.風險控制是依據(jù)風險評估的結果，選擇和實施合適的安全措施。下面哪個不是風險控制的方式？A,規(guī)避風險B.轉(zhuǎn)移風險C.接受風險D.降低風險【答案】C143.降低風險的控制措施有很多，下面哪一個不屬于降低風險的措施？A.在網(wǎng)絡上部署防火墻B.對網(wǎng)絡上傳輸?shù)臄?shù)據(jù)進行加密C制定機房安全管理制度D.

46、購買物理場所的財產(chǎn)保險【答案】D144 .信息安全審核是指通過審查、測試、評審等手段，檢驗風險評估和風險控制的結果是否滿足信息系統(tǒng)的安全要求，這個工作一般由誰完成？A.機構內(nèi)部人員B.外部專業(yè)機構C.獨立第三方機構D.以上皆可【答案】D145 .如何對信息安全風險評估的過程進行質(zhì)量監(jiān)控和管理？A.對風險評估發(fā)現(xiàn)的漏洞進行確認B.針對風險評估的過程文檔和結果報告進行監(jiān)控和審查C對風險評估的信息系統(tǒng)進行安全調(diào)查D.對風險控制測措施有有效性進行測試【答案】B146 .信息系統(tǒng)的價值確定需要與哪個部門進行有效溝通確定？A.系統(tǒng)維護部門B.系統(tǒng)開發(fā)部門C財務部門D.業(yè)務部門【答案】D147.下面哪一個不

47、是系統(tǒng)規(guī)劃階段風險管理的工作內(nèi)容A.明確安全總體方針B.明確系統(tǒng)安全架構C風險評價準則達成一致D.安全需求分析【答案】B148.下面哪一個不是系統(tǒng)設計階段風險管理的工作內(nèi)容A.安全技術選擇B.軟件設計風險控制C.安全產(chǎn)品選擇D.安全需求分析【答案】D149 .下面哪一個不是系統(tǒng)實施階段風險管理的工作內(nèi)容A.安全測試B檢查與配置C配置變更D.人員培訓【答案】C150 .下面哪一個不是系統(tǒng)運行維護階段風險管理的工作內(nèi)容A.安全運行和管理B.安全測試C.變更管理D.風險再次評估【答案】B151.下面哪一個不是系統(tǒng)廢棄階段風險管理的工作內(nèi)容A.安全測試B.對廢棄對象的風險評估C防止敏感信息泄漏D.人員

48、培訓【答案】A152.系統(tǒng)上線前應當對系統(tǒng)安全配置進行檢查，不包括下列哪種安全檢查A.主機操作系統(tǒng)安全配置檢查B.網(wǎng)絡設備安全配置檢查C系統(tǒng)軟件安全漏洞檢查D.數(shù)據(jù)庫安全配置檢查【答案】C153.風險評估實施過程中資產(chǎn)識別的依據(jù)是什么A.依據(jù)資產(chǎn)分類分級的標準B.依據(jù)資產(chǎn)調(diào)查的結果C依據(jù)人員訪談的結果D.依據(jù)技術人員提供的資產(chǎn)清單【答案】A154.風險評估實施過程中資產(chǎn)識別的范圍主要包括什么類別A.網(wǎng)絡硬件資產(chǎn)B.數(shù)據(jù)資產(chǎn)C軟件資產(chǎn)D.以上都包括【答案】D155.風險評估實施過程中脆弱性識別主要包括什么方面A.軟件開發(fā)漏洞B.網(wǎng)站應用漏洞C主機系統(tǒng)漏洞D.技術漏洞與管理漏洞【答案】D156.下

49、面哪一個不是脆弱性識別的手段A.人員訪談B.技術工具檢測C信息資產(chǎn)核查D.安全專家人工分析【答案】C157.信息資產(chǎn)面臨的主要威脅來源主要包括A.自然災害B.系統(tǒng)故障C.內(nèi)部人員操作失誤D.以上都包括【答案】D158 .下面關于定性風險評估方法的說法正確的是A.通過將資產(chǎn)價值和風險等量化為財務價值和方式來進行計算的一種方法B.采用文字形式或敘述性的數(shù)值范圍來描述潛在后果的大小程度及這些后果發(fā)生的可能性C在后果和可能性分析中采用數(shù)值，并采用從各種各樣的來源中得到的數(shù)據(jù)D.定性風險分析提供了較好的成本效益分析【答案】B159 .下面關于定性風險評估方法的說法不正確的是A.易于操作，可以對風險進行排

50、序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進行標識B.主觀性強，分析結果的質(zhì)量取決于風險評估小組成員的經(jīng)驗和素質(zhì)C.”耗時短、成本低、可控性高"D.能夠提供量化的數(shù)據(jù)支持，易被管理層所理解和接受【答案】D160 .下面關于定量風險評估方法的說法正確的是A.易于操作，可以對風險進行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進行標識B.能夠通過成本效益分析控制成本C.”耗時短、成本低、可控性高"D.主觀性強，分析結果的質(zhì)量取決于風險評估小組成員的經(jīng)驗和素質(zhì)【答案】B161.年度損失值(ALE)的計算方法是什么A. ALE=ARO*AVB. ALE=AV*SLEC. "ALE=AR0*S

51、LE"D. ALE=AV*EF【答案】C162 .矩陣分析法通常是哪種風險評估采用的方法A.定性風險評估B.定量分析評估C.安全漏洞評估D.安全管理評估【答案】A163 .風險評估和管理工具通常是指什么工具A.漏洞掃描工具B.入侵檢測系統(tǒng)C.安全審計工具D.安全評估流程管理工具【答案】D164 .安全管理評估工具通常不包括A.調(diào)查問卷B.檢查列表C訪談提綱D.漏洞掃描【答案】D165 .安全技術評估工具通常不包括A.漏洞掃描工具B.入侵檢測系統(tǒng)C.調(diào)查問卷D.滲透測試工具【答案】C166 .對于信息安全管理，風險評估的方法比起基線的方法，主要的優(yōu)勢在于它確保A.信息資產(chǎn)被過度保護B.

52、不考慮資產(chǎn)的價值，基本水平的保護都會被實施C對信息資產(chǎn)實施適當水平的保護D.對所有信息資產(chǎn)保護都投入相同的資源【答案】C167 .區(qū)別脆弱性評估和滲透測試是脆弱性評估A.檢查基礎設施并探測脆弱性，然而穿透性測試目的在于通過脆弱性檢測其可能帶來的損失B.和滲透測試為不同的名稱但是同一活動C是通過自動化工具執(zhí)行，而滲透測試是一種完全的手動過程D.是通過商業(yè)工具執(zhí)行，而滲透測試是執(zhí)行公共進程【答案】A168 .合適的信息資產(chǎn)存放的安全措施維護是誰的責任A.安全管理員B.系統(tǒng)管理員C數(shù)據(jù)和系統(tǒng)所有者D.系統(tǒng)運行組【答案】C169 .要很好的評估信息安全風險，可以通過：A.評彳tIT資產(chǎn)和IT項目的威脅

53、B.用公司的以前的真的損失經(jīng)驗來決定現(xiàn)在的弱點和威脅C.審查可比較的組織公開的損失統(tǒng)計D.審查在審計報告中的可識別的IT控制缺陷【答案】A170 .下列哪項是用于降低風險的機制A.安全和控制實踐B.財產(chǎn)和責任保險C.審計與認證D.合同和服務水平協(xié)議【答案】A171 .回顧組織的風險評估流程時應首先A.鑒別對于信息資產(chǎn)威脅的合理性B.分析技術和組織弱點C鑒別并對信息資產(chǎn)進行分級D.對潛在的安全漏洞效果進行評價【答案】C172 .在實施風險分析期間，識別出威脅和潛在影響后應該A.識別和評定管理層使用的風險評估方法B.識別信息資產(chǎn)和基本系統(tǒng)C.揭示對管理的威脅和影響D.識別和評價現(xiàn)有控制【答案】D173 .在制定控制前，管理層首先應該保證控制A.滿足控制一個風險問題的要求B,不減少生產(chǎn)力C基于成本效益的分析D.檢測行或改正性的【答案】A174 .在未受保護的通信線路上傳輸數(shù)據(jù)和使用弱口令是一種?A.弱點B威脅C可能性D影響【答案】A175 .數(shù)據(jù)保護最重要的目標是以下項目中的哪