下對信息安全描述不正確的是信息安全的基本要素包括保密性、完整性和可用性信息安全就是保障企業信息系統能夠連續、可靠、正常地運行，使安全事件對業務造成的影響減到最小，確保組織業務運行的連續性信息安全就是不出安全事故/事件信息安全不僅僅只考慮防止信息泄密就可以了【答案】C以下對信息安全管理的描述錯誤的是保密性、完整性、可用性抗抵賴性、可追溯性真實性私密性可靠性增值性【答案】D以下對信息安全管理的描述錯誤的是信息安全管理的核心就是風險管理人們常說，三分技術，七分管理，可見管理對信息安全的重要性安全技術是信息安全的構筑材料，安全管理是真正的粘合劑和催化劑信息安全管理工作的重點是信息系統，而不是人【答案】D企業按照ISO27001標準建立信息安全管理體系的過程中，對關鍵成功因素的描述不正確的是不需要全體員工的參入，只要IT部門的人員參入即可???來自高級管理層的明確的支持和承諾C對企業員工提供必要的安全意識和技能的培訓和教育D.?所有管理者、員工及其他伙伴方理解企業信息安全策略、 指南和標準,并遵照執行【答案】A信息安全管理體系（ISMS）是一個怎樣的體系，以下描述不正確的是ISMS是一個遵循PDCA模式的動態發展的體系???ISMS是一個文件化、系統化的體系ISMS采取的各項風險控制措施應該根據風險評估等途徑得出的需求而定?ISMS應該是一步到位的，應該解決所有的信息安全問題【答案】DPDCA特征的描述不正確的是順序進行，周而復始，發現問題，分析問題，然后是解決問題???大環套小環，安全目標的達成都是分解成多個小目標，一層層地解決問題C?階梯式上升，每次循環都要進行總結，鞏固成績，改進不足D.?信息安全風險管理的思路不符合 PDCA的問題解決思路【答案】D以下哪個不是信息安全項目的需求來源國家和地方政府法律法規與合同的要求???風險評估的結果C組織原則目標和業務需要D.?企業領導的個人意志【答案】D8.IS027001認證項目一般有哪幾個階段？管理評估，技術評估，操作流程評估???確定范圍和安全方針，風險評估，風險控制（文件編寫），體系運行,認證C產品方案需求分析，解決方案提供，實施解決方案D.?基礎培訓，RA培訓，文件編寫培訓，內部審核培訓【答案】B構成風險的關鍵因素有哪些？人，財，物???技術，管理和操作資產，威脅和弱點?資產，可能性和嚴重性【答案】C以下哪些不是應該識別的信息資產？??網絡設備客戶資料C辦公桌椅D.系統管理員【答案】C以下哪些是可能存在的威脅因素？ B??設備老化故障病毒和蠕蟲C系統設計缺陷D.保安工作不得力【答案】B以下哪些不是可能存在的弱點問題？??保安工作不得力應用系統存在Bug內部人員故意泄密物理隔離不足【答案】C風險評估的過程中，首先要識別信息資產，資產識別時，以下哪個不是需要遵循的原則？??只識別與業務及信息系統有關的信息資產，分類識別所有公司資產都要識別可以從業務流程出發，識別各個環節和階段所需要以及所產出的關鍵資產資產識別務必明確責任人、保管者和用戶【答案】B風險分析的目的是？??在實施保護所需的成本與風險可能造成的影響之間進行技術平衡；B?在實施保護所需的成本與風險可能造成的影響之間進行運作平衡；C在實施保護所需的成本與風險可能造成的影響之間進行經濟平衡；D?在實施保護所需的成本與風險可能造成的影響之間進行法律平衡；【答案】C對于信息安全風險的描述不正確的是？企業信息安全風險管理就是要做到零風險???在信息安全領域，風險(Risk)就是指信息資產遭受損壞并給企業帶來負面影響及其潛在可能性C風險管理(RiskManagement)就是以可接受的代價，識別控制減少或消除可能影響信息系統的安全風險的過程。D.?風險評估(RiskAssessment)就是對信息和信息處理設施面臨的威脅、受到的影響、存在的弱點以及威脅發生的可能性的評估。【答案】A有關定性風險評估和定量風險評估的區別，以下描述不正確的是定性風險評估比較主觀，而定量風險評估更客觀???定性風險評估容易實施，定量風險評估往往數據準確性很難保證定性風險評估更成熟，定量風險評估還停留在理論階段?定性風險評估和定量風險評估沒有本質區別，可以通用【答案】D降低企業所面臨的信息安全風險，可能的處理手段不包括哪些通過良好的系統設計、及時更新系統補丁，降低或減少信息系統自身的缺陷???通過數據備份、雙機熱備等冗余手段來提升信息系統的可靠性；C建立必要的安全制度和部署必要的技術手段，防范黑客和惡意軟件的攻擊D.?通過業務外包的方式，轉嫁所有的安全風險【答案】D風險評估的基本過程是怎樣的？識別并評估重要的信息資產，識別各種可能的威脅和嚴重的弱點，最終確定風險???通過以往發生的信息安全事件，找到風險所在風險評估就是對照安全檢查單，查看相關的管理和技術措施是否到位?風險評估并沒有規律可循，完全取決于評估者的經驗所在【答案】A企業從獲得良好的信息安全管控水平的角度出發，以下哪些行為是適當的只關注外來的威脅，忽視企業內部人員的問題???相信來自陌生人的郵件，好奇打開郵件附件C開著電腦離開，就像離開家卻忘記關燈那樣D.?及時更新系統和安裝系統和應用的補丁【答案】D以下對IS027001標準的描述不正確的是企業通過IS027001認證則必須符合IS027001信息安全管理體系規范的所有要求???IS027001標準與信息系統等級保護等國家標準相沖突ISO27001是源自于英國的國家標準 BS7799?IS027001是當前國際上最被認可的信息安全管理標準【答案】B對安全策略的描述不正確的是信息安全策略（或者方針）是由組織的最高管理者正式制訂和發布的描述企業信息安全目標和方向，用于指導信息安全管理體系的建立和實施過程???策略應有一個屬主，負責按復查程序維護和復查該策略安全策略的內容包括管理層對信息安全目標和原則的聲明和承諾；?安全策略一旦建立和發布，則不可變更；【答案】D以下對企業信息安全活動的組織描述不正確的是企業應該在組織內建立發起和控制信息安全實施的管理框架。???企業應該維護被外部合作伙伴或者客戶訪問和使用的企業信息處理設施和信息資產的安全。在沒有采取必要控制措施，包括簽署相關協議之前，不應該授權給外部伙伴訪問。應該讓外部伙伴意識到其責任和必須遵守的規定。?企業在開展業務活動的過程中，應該完全相信員工，不應該對內部員工采取安全管控措施【答案】D企業信息資產的管理和控制的描述不正確的是企業應該建立和維護一個完整的信息資產清單，并明確信息資產的管控責任；???企業應該根據信息資產的重要性和安全級別的不同要求，采取對應的管控措施；企業的信息資產不應該分類分級，所有的信息系統要統一對待?企業可以根據業務運作流程和信息系統拓撲結構來識別所有的信息資產【答案】C有關人員安全的描述不正確的是人員的安全管理是企業信息安全管理活動中最難的環節???重要或敏感崗位的人員入職之前，需要做好人員的背景檢查企業人員預算受限的情況下，職責分離難以實施，企業對此無能為力，也無需做任何工作?人員離職之后，必須清除離職員工所有的邏輯訪問帳號【答案】C以下有關通信與日常操作描述不正確的是信息系統的變更應該是受控的???企業在崗位設計和人員工作分配時應該遵循職責分離的原則C移動介質使用是一個管理難題，應該采取有效措施，防止信息泄漏D.?內部安全審計無需遵循獨立性、客觀性的原則【答案】D以下有關訪問控制的描述不正確的是口令是最常見的驗證身份的措施，也是重要的信息資產，應妥善保護和管理???系統管理員在給用戶分配訪問權限時，應該遵循“最小特權原則”即分配給員工的訪問權限只需滿足其工作需要的權限，工作之外的權限一律不能分配單點登錄系統（一次登錄/驗證，即可訪問多個系統）最大的優勢是提升了便利性，但是又面臨著“把所有雞蛋放在一個籃子”的風險；?雙因子認證（又稱強認證）就是一個系統需要兩道密碼才能進入；【答案】D有關信息系統的設計、開發、實施、運行和維護過程中的安全問題，以下描述錯誤的是信息系統的開發設計，應該越早考慮系統的安全需求越好???信息系統的設計、開發、實施、運行和維護過程中的安全問題，不僅僅要考慮提供一個安全的開發環境，同時還要考慮開發出安全的系統C?信息系統在加密技術的應用方面，其關鍵是選擇密碼算法，而不是密鑰的管理D.?運營系統上的敏感、真實數據直接用作測試數據將帶來很大的安全風險【答案】C有關信息安全事件的描述不正確的是信息安全事件的處理應該分類、分級???言息安全事件的數量可以反映企業的信息安全管控水平C某個時期內企業的信息安全事件的數量為零，這意味著企業面臨的信息安全風險很小D.?信息安全事件處理流程中的一個重要環節是對事件發生的根源的追溯，以吸取教訓、總結經驗，防止類似事情再次發生【答案】C以下有關信息安全方面的業務連續性管理的描述，不正確的是信息安全方面的業務連續性管理就是要保障企業關鍵業務在遭受重大災難/破壞時，能夠及時恢復，保障企業業務持續運營???企業在業務連續性建設項目一個重要任務就是識別企業關鍵的、核心業務C業務連續性計劃文檔要隨著業務的外部環境的變化，及時修訂連續性計劃文檔D.?信息安全方面的業務連續性管理只與 IT部門相關，與其他業務部門人員無須參入【答案】D企業信息安全事件的恢復過程中，以下哪個是最關鍵的？數據???應用系統C通信鏈路D.?硬件/軟件【答案】A企業ISMS（信息安全管理體系）建設的原則不包括以下哪個管理層足夠重視???需要全員參與C不必遵循過程的方法D.?需要持續改進【答案】CPDCA特征的描述不正確的是順序進行，周而復始，發現問題，分析問題，然后是解決問題???大環套小環，安全目標的達成都是分解成多個小目標，一層層地解決問題C?階梯式上升，每次循環都要進行總結，鞏固成績，改進不足D.?信息安全風險管理的思路不符合 PDCA的問題解決思路【答案】D對于在ISMS內審中所發現的問題，在審核之后應該實施必要的改進措施并進行跟蹤和評價，以下描述不正確的是？改進措施包括糾正和預防措施???改進措施可由受審單位提出并實施C不可以對體系文件進行更新或修改D.?對改進措施的評價應該包括措施的有效性的分析【答案】C34.ISMS的審核的層次不包括以下哪個？符合性審核???有效性審核C正確性審核D.?文件審核【答案】C以下哪個不可以作為ISMS管理評審的輸入ISMS審計和評審的結果???來自利益伙伴的反饋某個信息安全項目的技術方案?預防和糾正措施的狀態【答案】C有關認證和認可的描述，以下不正確的是認證就是第三方依據程序對產品、過程、服務符合規定要求給予書面保證（合格證書）???艮據對象的不同，認證通常分為產品認證和體系認證認可是由某權威機構依據程序對某團體或個人具有從事特定任務的能力給予的正式承認?企業通過ISO27001認證則說明企業符合ISO27001和ISO27002標準的要求【答案】D信息的存在及傳播方式A.?存在于計算機、磁帶、紙張等介質中

????己憶在人的大腦里.?????通過網絡打印機復印機等方式進行傳播???通過投影儀顯示【答案】D下面哪個組合不是是信息資產?硬件、軟件、文檔資料????關鍵人員.?????組織提供的信息服務???桌子、椅子【答案】D實施ISMS內審時，確定ISMS的控制目標、控制措施、過程和程序應該要符合相關要求，以下哪個不是？??約定的標準及相關法律的要求已識別的安全需求C控制措施有效實施和維護D.ISO13335風險評估方法【答案】D以下對審核發現描述正確的是??用作依據的一組方針、程序或要求/符合與審核準則有關的并且能夠證實的記錄、事實陳述或其他信息C?將收集到的審核證據依照審核準則進行評價的結果，可以是合格項，也可以是不合格//符合對審核對象的物理位置、組織結構、活動和過程以及時限的描述【答案】C41.ISMS審核常用的審核方法不包括？??糾正預防文件審核C現場審核D.滲透測試【答案】A42.ISMS的內部審核員（非審核組長）的責任不包括？??熟悉必要的文件和程序；根據要求編制檢查列表；配合支持審核組長的工作，有效完成審核任務；負責實施整改內審中發現的問題；【答案】D43.審核在實施審核時，所使用的檢查表不包括的內容有？??審核依據審核證據記錄審核發現數據收集方法和工具【答案】C44.ISMS審核時，首次會議的目的不包括以下哪個？A.??明確審核目的、審核準則和審核范圍明確審核員的分工明確接受審核方責任，為配合審核提供必要資源和授權明確審核進度和審核方法，且在整個審核過程中不可調整【答案】D45.ISMS審核時，對審核發現中，以下哪個是屬于嚴重不符合項？??關鍵的控制程序沒有得到貫徹，缺乏標準規定的要求可構成嚴重不符合項風險評估方法沒有按照 ISO27005（信息安全風險管理）標準進行C孤立的偶發性的且對信息安全管理體系無直接影響的問題；D.審核員識別的可能改進項【答案】D以下關于ISMS內部審核報告的描述不正確的是？??內審報告是作為內審小組提交給管理者代表或最高管理者的工作成果內審報告中必須包含對不符合性項的改進建議內審報告在提交給管理者代表或者最高管理者之前應該受審方管理者溝通協商，核實報告內容。內審報告中必須包括對糾正預防措施實施情況的跟蹤【答案】D信息系統審核員應該預期誰來授權對生產數據和生產系統的訪問？流程所有者系統管理員安全管理員數據所有者【答案】D當保護組織的信息系統時，在網絡防火墻被破壞以后，通常的下一道防線是下列哪一項？個人防火墻防病毒軟件C入侵檢測系統D.虛擬局域網設置【答案】C負責授權訪問業務系統的職責應該屬于：數據擁有者安全管理員IT安全經理請求者的直接上司【答案】A在提供給一個外部代理商訪問信息處理設施前，一個組織應該怎么做？IS審計。IS審計。外部代理商的員工必須接受該組織的安全程序的培訓。C來自外部代理商的任何訪問必須限制在停火區（ DMZ）D.該組織應該進行風險評估，并制定和實施適當的控制。【答案】D處理報廢電腦的流程時，以下哪一個選項對于安全專業人員來說是最重要考慮的內容？在扇區這個級別上，硬盤已經被多次重復寫入，但是在離開組織前沒有進行重新格式化。硬盤上所有的文件和文件夾都分別刪除了，并在離開組織進行重新格式化。C在離開組織前，通過在硬盤特定位置上洞穿盤片，進行打洞，使得硬盤變得不可讀取。D.由內部的安全人員將硬盤送到附近的金屬回收公司，對硬盤進行登記并粉碎。【答案】B—個組織已經創建了一個策略來定義用戶禁止訪問的網站類型。哪個是最有效的技術來達成這個策略？A.狀態檢測防火墻B.網頁內容過濾網頁緩存服務器D.代理服務器【答案】B當組織將客戶信用審查系統外包給第三方服務提供商時，下列哪一項是信息安全專業人士最重要的考慮因素？該提供商：滿足并超過行業安全標準同意可以接受外部安全審查其服務和經驗有很好的市場聲譽符合組織的安全策略【答案】DWEB站點類型。為WEB站點類型。為狀態檢測防火墻WE內容過濾器WEB緩存服務器應該代理服務器【答案】B在制定一個正式的企業安全計劃時，最關鍵的成功因素將是？成立一個審查委員會建立一個安全部門C向執行層發起人提供有效支持D.選擇一個安全流程的所有者【答案】C對業務應用系統授權訪問的責任屬于：數據所有者安全管理員IT安全經理申請人的直線主管【答案】A下列哪一項是首席安全官的正常職責？A.定期審查和評價安全策略B?執行用戶應用系統和軟件測試與評價C授予或廢除用戶對IT資源的訪問權限D.批準對數據和應用系統的訪問權限【答案】B向外部機構提供其信息處理設施的物理訪問權限前，組織應當做什么？該外部機構的過程應當可以被獨立機構進行 IT審計該組織應執行一個風險評估，設計并實施適當的控制該外部機構的任何訪問應被限制在 DMZ區之內D應當給該外部機構的員工培訓其安全程序【答案】B某組織的信息系統策略規定，終端用戶的 ID在該用戶終止后90天內失效。組織的信息安全內審核員應：報告該控制是有效的，因為用戶 ID失效是符合信息系統策略規定的時間段的核實用戶的訪問權限是基于用所必需原則的C建議改變這個信息系統策略，以保證用戶 ID的失效與用戶終止一致建議終止用戶的活動日志能被定期審查【答案】C減少與釣魚相關的風險的最有效控制是：系統的集中監控釣魚的信號包括在防病毒軟件中在內部網絡上發布反釣魚策略對所有用戶進行安全培訓【答案】D在人力資源審計期間， 安全管理體系內審員被告知在 IT部門和人力資源部門中有一個關于期望的 IT服務水平的口頭協議。安全管理體系內審員首先應該做什么？為兩部門起草一份服務水平協議向咼級管理層報告存在未被書面簽訂的協議C向兩部門確認協議的內容D.推遲審計直到協議成為書面文檔【答案】C下面哪一個是定義深度防御安全原則的例子？使用由兩個不同提供商提供的防火墻檢查進入網絡的流量在主機上使用防火墻和邏輯訪問控制來控制進入網絡的流量C在數據中心建設中不使用明顯標志D.使用兩個防火墻檢查不同類型進入網絡的流量【答案】A下面哪一種是最安全和最經濟的方法，對于在一個小規模到一個中等規模的組織中通過互聯網連接私有網絡？A.??虛擬專用網B專線C租用線路D.綜合服務數字網.【答案】A64.通過社會工程的方法進行非授權訪問的風險可以通過以下方法避免：??安全意識程序非對稱加密C入侵偵測系統D.非軍事區【答案】A65.在安全人員的幫助下，對數據提供訪問權的責任在于：??數據所有者.程序員C系統分析師.D.庫管員【答案】A66.信息安全策略,聲稱"密碼的顯示必須以掩碼的形式 "的目的是防范下面哪種攻擊風險？??尾隨B垃圾搜索C肩窺D.冒充【答案】C?管理體系審計員進行通信訪問控制審查，首先應該關注：??維護使用各種系統資源的訪問日志在用戶訪問系統資源之前的授權和認證C通過加密或其他方式對存儲在服務器上數據的充分保護D.確定是否可以利用終端系統資源的責任制和能力 .【答案】D下列哪一種防病毒軟件的實施策略在內部公司網絡中是最有效的：??服務器防毒軟件病毒墻C工作站防病毒軟件D.病毒庫及時更新【答案】D測試程序變更管理流程時，安全管理體系內審員使用的最有效的方法是：由系統生成的信息跟蹤到變更管理文檔檢查變更管理文檔中涉及的證據的精確性和正確性由變更管理文檔跟蹤到生成審計軌跡的系統檢查變更管理文檔中涉及的證據的完整性【答案】A內部審計部門,從組織結構上向財務總監而不是審計委員會報告 ,最有可能：導致對其審計獨立性的質疑報告較多業務細節和相關發現C加強了審計建議的執行D.在建議中采取更對有效行動【答案】A下面哪一種情況可以使信息系統安全官員實現有效進行安全控制的目的完整性控制的需求是基于風險分析的結果B控制已經過了測試安全控制規范是基于風險分析的結果控制是在可重復的基礎上被測試的【答案】D下列哪一種情況會損害計算機安全策略的有效性？發布安全策略時重新檢查安全策略時C測試安全策略時D可以預測到違反安全策略的強制性措施時【答案】D組織的安全策略可以是廣義的，也可以是狹義的，下面哪一條是屬于廣義的安全策略？應急計劃遠程辦法C計算機安全程序D.電子郵件個人隱私【答案】C基本的計算機安全需求不包括下列哪一條：安全策略和標識絕對的保證和持續的保護C身份鑒別和落實責任D.合理的保證和連續的保護【答案】B軟件的盜版是一個嚴重的問題。在下面哪一種說法中反盜版的策略和實際行為是矛盾的？員工的教育和培訓遠距離工作(Telecommuting)與禁止員工攜帶工作軟件回家自動日志和審計軟件策略的發布與策略的強制執行【答案】B組織內數據安全官的最為重要的職責是：推薦并監督數據安全策略在組織內推廣安全意識C制定IT安全策略下的安全程序/流程D?管理物理和邏輯訪問控制【答案】A77.下面哪一種方式，能夠最有效的約束雇員只能履行其分內的工作？應用級訪問控制數據加密C卸掉雇員電腦上的軟盤和光盤驅動器D?使用網絡監控設備【答案】A內部審計師發現不是所有雇員都了解企業的信息安全策略。內部審計師應當得出以下哪項結論：這種缺乏了解會導致不經意地泄露敏感信息B?信息安全不是對所有職能都是關鍵的IS審計應當為那些雇員提供培訓該審計發現應當促使管理層對員工進行繼續教育【答案】A設計信息安全策略時，最重要的一點是所有的信息安全策略應該????非現場存儲b)????由IS經理簽署??發布并傳播給用戶??經常更新【答案】C負責制定、執行和維護內部安全控制制度的責任在于 :IS審計員.管理層.C外部審計師.D.程序開發人員.【答案】B組織與供應商協商服務水平協議，下面哪一個最先發生？制定可行性研究.檢查是否符合公司策略.草擬服務水平協議.草擬服務水平要求【答案】B以下哪一個是數據保護的最重要的目標？確定需要訪冋信息的人員確保信息的完整性C拒絕或授權對系統的訪問D.監控邏輯訪問【答案】A在邏輯訪問控制中如果用戶賬戶被共享，這種局面可能造成的最大風險是:非授權用戶可以使用ID擅自進入.用戶訪問管理費時.很容易猜測密碼.D.無法確定用戶責任【答案】D84.作為信息安全治理的成果,戰略方針提供了:企業所需的安全要求遵從最佳實務的安全基準日常化制度化的解決方案風險暴露的理解【答案】A企業由于人力資源短缺，IT支持一直以來由一位最終用戶兼職，最恰當的補償性控制是：限制物理訪問計算設備檢查事務和應用日志雇用新IT員工之前進行背景調查在雙休日鎖定用戶會話【答案】B關于安全策略的說法，不正確的是得到安全經理的審核批準后發布應采取適當的方式讓有關人員獲得并理解最新版本的策略文檔C控制安全策略的發布范圍，注意保密D.系統變更后和定期的策略文件評審和改進【答案】A哪一項不是管理層承諾完成的？A.確定組織的總體安全目標B購買性能良好的信息安全產品C推動安全意識教育D.評審安全策略的有效性【答案】B安全策略體系文件應當包括的內容不包括信息安全的定義、總體目標、范圍及對組織的重要性對安全管理職責的定義和劃分口令、加密的使用是阻止性的技術控制措施；違反安全策略的后果【答案】C對信息安全的理解，正確的是信息資產的保密性、完整性和可用性不受損害的能力，是通過信息安全保障措施實現的通過信息安全保障措施，確保信息不被丟失C通過信息安全保證措施，確保固定資產及相關財務信息的完整性D.通過技術保障措施，確保信息系統及財務數據的完整性、機密性及可用性【答案】A以下哪項是組織中為了完成信息安全目標，針對信息系統，遵循安全策略，按照規定的程序，運用恰當的方法，而進行的規劃、組織、指導、協調和控制等活動？

反應業務目標的信息安全方針、目標以及活動；B?來自所有級別管理者的可視化的支持與承諾；C提供適當的意識、教育與培訓D.以上所有【答案】D信息安全管理體系要求的核心內容是？風險評估關鍵路徑法CPDCA循環D.PERT【答案】C有效減少偶然或故意的未授權訪問、誤用和濫用的有效方法是如下哪項？訪問控制職責分離C加密D認證【答案】B完整性，完整性，綜合性，綜合性，保障可用性保障可用性下面哪一項組成了CIA三元組？完整性，完整性，綜合性，綜合性，保障可用性保障可用性保密性，保密性，C保密性，D.保密性，【答案】B在信息安全策略體系中，下面哪一項屬于計算機或信息安全的強制性規則？標準(Standard)安全策略(Securitypolicy)C方針(Guideline)D.流程(Procedure)【答案】A95.在許多組織機構中，產生總體安全性問題的主要原因是：缺少安全性管理缺少故障管理C缺少風險分析D.缺少技術控制機制【答案】A下面哪一項最好地描述了風險分析的目的？識別用于保護資產的責任義務和規章制度識別資產以及保護資產所使用的技術控制措施C識別資產、脆弱性并計算潛在的風險D.識別同責任義務有直接關系的威脅【答案】C以下哪一項對安全風險的描述是準確的？安全風險是指一種特定脆弱性利用一種或一組威脅造成組織的資產損失或損害的可能性。安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失事實。C安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失或損害的可能性D.安全風險是指資產的脆弱性被威脅利用的情形。【答案】C以下哪些不屬于脆弱性范疇？黑客攻擊操作系統漏洞C應用程序BUGD.人員的不良操作習慣【答案】A依據信息系統安全保障模型，以下那個不是安全保證對象A.機密性B管理C過程D.人員【答案】A以下哪一項是已經被確認了的具有一定合理性的風險？總風險最小化風險C可接受風險D.殘余風險【答案】C以下哪一種人給公司帶來最大的安全風險？臨時工咨詢人員以前員工當前員工【答案】D一組將輸入轉化為輸出的相互關聯或相互作用的什么叫做過程？數據信息流C活動D.模塊【答案】C系統地識別和管理組織所應用的過程，特別是這些過程之間的相互作用，稱為什么？戴明循環過程方法C管理體系D.服務管理【答案】B拒絕式服務攻擊會影響信息系統的哪個特性？A.完整性B可用性C機密性D可控性【答案】B在信息系統安全中，風險由以下哪兩種因素共同構成的？攻擊和脆弱性威脅和攻擊C威脅和脆弱性D.威脅和破壞【答案】C在信息系統安全中，暴露由以下哪兩種因素共同構成的？攻擊和脆弱性威脅和攻擊C威脅和脆弱性D.威脅和破壞【答案】A信息安全管理最關注的是？A.外部惡意攻擊B病毒對PC的影響內部惡意攻擊病毒對網絡的影響【答案】C從風險管理的角度，以下哪種方法不可取？接受風險分散風險C轉移風險D.拖延風險【答案】D109.ISMS文檔體系中第一層文件是？信息安全方針政策信息安全工作程序信息安全作業指導書信息安全工作記錄【答案】A以下哪種風險被定義為合理的風險？最小的風險可接收風險C殘余風險D.總風險【答案】B從目前的情況看，對所有的計算機系統來說，以下哪種威脅是最為嚴重的，可能造成巨大的損害？沒有充分訓練或粗心的用戶第三方C黑客D.心懷不滿的雇員【答案】D如果將風險管理分為風險評估和風險減緩，那么以下哪個不屬于風險減緩的內容？計算風險選擇合適的安全措施實現安全措施接受殘余風險【答案】A通常最好由誰來確定系統和數據的敏感性級別？審計師終端用戶C擁有者D.系統分析員【答案】C風險分析的目的是？在實施保護所需的成本與風險可能造成的影響之間進行技術平衡；在實施保護所需的成本與風險可能造成的影響之間進行運作平衡；在實施保護所需的成本與風險可能造成的影響之間進行經濟平衡；在實施保護所需的成本與風險可能造成的影響之間進行法律平衡；【答案】C以下哪個不屬于信息安全的三要素之一？機密性完整性C抗抵賴性D可用性【答案】C116.ISMS指的是什么？信息安全管理信息系統管理體系信息系統管理安全信息安全管理體系【答案】D在確定威脅的可能性時，可以不考慮以下哪個？威脅源潛在弱點C現有控制措施D.攻擊所產生的負面影響【答案】D在風險分析中，以下哪種說法是正確的？定量影響分析的主要優點是它對風險進行排序并對那些需要立即改善的環節進行標識。定性影響分析可以很容易地對控制進行成本收益分析。定量影響分析不能用在對控制進行的成本收益分析中。定量影響分析的主要優點是它對影響大小給出了一個度量【答案】D通常情況下，怎樣計算風險？將威脅可能性等級乘以威脅影響就得出了風險。將威脅可能性等級加上威脅影響就得出了風險。C用威脅影響除以威脅的發生概率就得出了風險。D.用威脅概率作為指數對威脅影響進行乘方運算就得出了風險。【答案】A資產清單可包括？服務及無形資產信息資產C人員D.以上所有【答案】D評估IT風險被很好的達到，可以通過：A.評估IT資產和IT項目總共的威脅B用公司的以前的真的損失經驗來決定現在的弱點和威脅審查可比較的組織出版的損失數據—句審計拔高審查IT控制弱點【答案】A在部署風險管理程序的時候，哪項應該最先考慮到：組織威脅，弱點和風險概括的理解揭露風險的理解和妥協的潛在后果C基于潛在結果的風險管理優先級的決心D.風險緩解戰略足夠在一個可以接受的水平上保持風險的結果【答案】A為了解決操作人員執行日常備份的失誤，管理層要求系統管理員簽字日常備份，這是一個風險……例子：防止轉移C緩解D接受【答案】C以下哪項不屬于PDCA循環的特點？按順序進行，它靠組織的力量來推動，像車輪一樣向前進，周而復始，不斷循環組織中的每個部分，甚至個人，均可以 PDCA循環，大環套小環，一層一層地解決問題

C每通過一次PDCA循環，都要進行總結，提出新目標，再進行第二次PDCA循環D.D.組織中的每個部分，不包括個人，均可以PDCA循環，大環套小環,一層一層地解決問題【答案】D戴明循環執行順序，下面哪項正確？．PLAN-ACT-DO-CHECKCHECK-PLAN-ACT-DOPLAN-DO-CHECK-ACTACT-PLAN-CHECK-DO【答案】C建立ISMS的第一步是？風險評估設計ISMS文檔C明確ISMS范圍D.確定ISMS策略【答案】C建立ISMS的步驟正確的是？明確ISMS范圍砸定ISMS策略-定義風險評估方法-進行風險評估-設計和選擇風險處置方法-設計ISMS文件-進行管理者承諾（審批）定義風險評估方法-進行風險評估-設計和選擇風險處置方法-設計ISMS文件-進行管理者承諾（審批）-確定ISMS策略C確定ISMS策略-明確ISMS范圍-定義風險評估方法-進行風險評估-設計和選擇風險處置方法-設計ISMS文件-進行管理者承諾（審批）審批）D.明確ISMS范圍-定義風險評估方法-進行風險評估-設計和選擇風險處置方法-確定ISMS策略-設計ISMS文件-進行管理者承諾審批）【答案】A的依據，文件審核、除以下哪項可作為ISMS審核（包括內審和外審）現場審核的依據？的依據，文件審核、機房登記記錄信息安全管理體系C權限申請記錄D.離職人員的口述【答案】D以下哪項是ISMS文件的作用？--使工作有章可循。--使工作有章可循。是控制措施（controls）的重要部分C提供客觀證據--為滿足相關方要求，以及持續改進提供依據D.以上所有【答案】D以下哪項不是記錄控制的要求？清晰、易于識別和檢索B?記錄的標識、貯存、保護、檢索、保存期限和處置所需的控制措施應形成文件并實施c建立并保持，以提供證據D.記錄應盡可能的達到最詳細【答案】D下面哪項是信息安全管理體系中 CHECK（檢查）中的工作內容?按照計劃的時間間隔進行風險評估的評審B?實施所選擇的控制措施C采取合適的糾正和預防措施。從其它組織和組織自身的安全經驗中吸取教訓D?確保改進達到了預期目標【答案】A指導和規范信息安全管理的所有活動的文件叫做?A?過程安全目標安全策略D?安全范圍【答案】C信息安全管理措施不包括：安全策略物理和環境安全C訪問控制安全范圍【答案】D下面安全策略的特性中，不包括哪一項?A.指導性B靜態性C可審核性D.非技術性【答案】B信息安全活動應由來自組織不同部門并具備相關角色和工作職責的代表進行，下面哪項包括非典型的安全協調應包括的人員?管理人員、用戶、應用設計人員系統運維人員、內部審計人員、安全專員內部審計人員、安全專員、領域專家應用設計人員、內部審計人員、離職人員【答案】D下面那一項不是風險評估的目的?A.分析組織的安全需求B制訂安全策略和實施安防措施的依據C組織實現信息安全的必要的、重要的步驟D.完全消除組織的風險【答案】D下面那個不是信息安全風險的要素?資產及其價值數據安全c威脅D?控制措施【答案】B信息安全風險管理的對象不包括如下哪項信息自身信息載體C信息網絡D.信息環境【答案】c信息安全風險管理的最終責任人是？決策層管理層C執行層D.支持層【答案】A信息安全風險評估對象確立的主要依據是什么系統設備的類型系統的業務目標和特性C系統的技術架構D.系統的網絡環境【答案】B下面哪一項不是風險評估的過程？風險因素識別風險程度分析C風險控制選擇D.風險等級評價【答案】C風險控制是依據風險評估的結果，選擇和實施合適的安全措施。下面哪個不是風險控制的方式？規避風險轉移風險C接受風險D.降低風險【答案】C降低風險的控制措施有很多，下面哪一個不屬于降低風險的措施？在網絡上部署防火墻對網絡上傳輸的數據進行加密C制定機房安全管理制度D.購買物理場所的財產保險【答案】D信息安全審核是指通過審查、測試、評審等手段，檢驗風險評估和風險控制的結果是否滿足信息系統的安全要求，這個工作一般由誰完成？A.機構內部人員外部專業機構獨立第三方機構以上皆可【答案】D如何對信息安全風險評估的過程進行質量監控和管理？對風險評估發現的漏洞進行確認針對風險評估的過程文檔和結果報告進行監控和審查C對風險評估的信息系統進行安全調查對風險控制測措施有有效性進行測試【答案】B信息系統的價值確定需要與哪個部門進行有效溝通確定？系統維護部門系統開發部門C財務部門D.業務部門【答案】D下面哪一個不是系統規劃階段風險管理的工作內容明確安全總體方針明確系統安全架構C風險評價準則達成一致D.安全需求分析【答案】B下面哪一個不是系統設計階段風險管理的工作內容安全技術選擇軟件設計風險控制安全產品選擇安全需求分析【答案】D下面哪一個不是系統實施階段風險管理的工作內容安全測試檢查與配置配置變更人員培訓【答案】C下面哪一個不是系統運行維護階段風險管理的工作內容安全運行和管理安全測試變更管理風險再次評估【答案】B下面哪一個不是系統廢棄階段風險管理的工作內容安全測試對廢棄對象的風險評估C?防止敏感信息泄漏D.人員培訓【答案】A系統上線前應當對系統安全配置進行檢查，不包括下列哪種安全檢查主機操作系統安全配置檢查網絡設備安全配置檢查C系統軟件安全漏洞檢查D.數據庫安全配置檢查【答案】C風險評估實施過程中資產識別的依據是什么依據資產分類分級的標準依據資產調查的結果C依據人員訪談的結果D.依據技術人員提供的資產清單【答案】A風險評估實施過程中資產識別的范圍主要包括什么類別網絡硬件資產數據資產C軟件資產D.以上都包括【答案】D風險評估實施過程中脆弱性識別主要包括什么方面軟件開發漏洞網站應用漏洞C主機系統漏洞D.技術漏洞與管理漏洞【答案】D下面哪一個不是脆弱性識別的手段人員訪談技術工具檢測信息資產核查安全專家人工分析【答案】C信息資產面臨的主要威脅來源主要包括自然災害系統故障內部人員操作失誤以上都包括【答案】D下面關于定性風險評估方法的說法正確的是通過將資產價值和風險等量化為財務價值和方式來進行計算的一種方法采用文字形式或敘述性的數值范圍來描述潛在后果的大小程度及這些后果發生的可能性C在后果和可能性分析中采用數值，并采用從各種各樣的來源中得到的數據定性風險分析提供了較好的成本效益分析【答案】B下面關于定性風險評估方法的說法不正確的是易于操作，可以對風險進行排序并能夠對那些需要立即改善的環節進行標識B?主觀性強，分析結果的質量取決于風險評估小組成員的經驗和素質"耗時短、成本低、可控性高IID?能夠提供量化的數據支持，易被管理層所理解和接受【答案】D下面關于定量風險評估方法的說法正確的是A.易于操作，可以對風險進行排序并能夠對那些需要立即改善的環節進行標識B?能夠通過成本效益分析控制成本"耗時短、成本低、可控性高H主觀性強，分析結果的質量取決于風險評估小組成員的經驗和素質【答案】B年度損失值（ALE）的計算方法是什么ALE=ARO*AVALE=AV*SLE"ALE=ARO*SLEHALE=AV*EF【答案】C矩陣分析法通常是哪種風險評估采用的方法定性風險評估定量分析評估安全漏洞評估安全管理評估【答案】A風險評估和管理工具通常是指什么工具漏洞掃描工具入侵檢測系統安全審計工具安全評估流程管理工具【答案】D安全管理評估工具通常不包括調查問卷檢查列表C訪談提綱漏洞掃描【答案】D安全技術評估工具通常不包括漏洞掃描工具入侵檢測系統C調查問卷D.滲透測試工具【答案】C對于信息安全管理，風險評估的方法比起基線的方法，主要的優勢在于它確保信息資產被過度保護不考慮資產的價值，基本水平的保護都會被實施C對信息資產實施適當水平的保護D對所有信息資產保護都投入相同的資源【答案】C區別脆弱性評估和滲透測試是脆弱性評估檢查基礎設施并探測脆弱性，然而穿透性測試目的在于通過脆弱性檢測其可能帶來的損失和滲透測試為不同的名稱但是同一活動C是通過自動化工具執行，而滲透測試是一種完全的手動過程D.是通過商業工具執行，而滲透測試是執行公共進程【答案】A合適的信息資產存放的安全措施維護是誰的責任A.安全管理員B?系統管理員C數據和系統所有者D?系統運行組【答案】C要很好的評估信息安全風險，可以通過：A.評估IT資產和IT項目的威脅B用公司的以前的真的損失經驗來決定現在的弱點和威脅審查可比較的組織公開的損失統計審查在審計報告中的可識別的 IT控制缺陷【答案】A下列哪項是用于降低風險的機制安全和控制實踐財產和責任保險審計與認證合同和服務水平協議【答案】A回顧組織的風險評估流程時應首先鑒別對于信息資產威脅的合理性分析技術和組織弱點鑒別并對信息資產進行分級對潛在的安全漏洞效果進行評價【答案】C在實施風險分析期間，識別出威脅和潛在影響后應該識別和評定管理層使用的風險評估方法識別信息資產和基本系統C揭示對管理的威脅和影響D.識別和評價現有控制【答案】D在制定控制前，管理層首先應該保證控制滿足控制一個風險問題的要求不減少生產力C基于成本效益的分析D.檢測行或改正性的【答案】A在未受保護的通信線路上傳輸數據和使用弱口令是一種？弱點B威脅C可能性D影響【答案】A數據保護最重要的目標是以下項目中的哪一個識別需要獲得相關信息的用戶確保信息的完整性C對信息系統的訪問進行拒絕或授權D.監控邏輯訪問【答案】B對一項應用的控制進行了檢查,將會評估該應用在滿足業務流程上的效率任何被發現風險影響C業務流程服務的應用D.應用程序的優化【答案】B在評估邏輯訪問控制時，應該首先做什么把應用在潛在訪問路徑上的控制項記錄下來在訪問路徑上測試控制來檢測是否他們具功能化按照寫明的策略和實踐評估安全環境對信息流程的安全風險進行了解【答案】D在評估信息系統的管理風險。首先要查看控制措施已經適當控制的有效性適當C監測資產有關風險的機制D影響資產的漏洞和威脅【答案】D在開發一個風險管理程序時，什么是首先完成的活動A.威脅評估B?數據分類資產清單關鍵程度分析【答案】C在檢查IT安全風險管理程序，安全風險的測量應該列舉所有的網絡風險對應IT戰略計劃持續跟蹤考慮整個IT環境識別對（信息系統）的弱點的容忍度的結果【答案】C在實施風險管理程序的時候，下列哪一項應該被最先考慮到：組織的威脅，弱點和風險概貌的理解揭露風險的理解和妥協的潛在后果C基于潛在結果的風險管理優先級的決心D.風險緩解戰略足夠使風險的結果保持在一個可以接受的水平上【答案】A授權訪問信息資產的責任人應該是資產保管員安全管理員資產所有人安全主管【答案】C滲透測試作為網絡安全評估的一部分提供保證所有弱點都被發現在不需要警告所有組織的管理層的情況下執行找到存在的能夠獲得未授權訪問的漏洞在網絡邊界上執行不會破壞信息資產【答案】C一個組織的網絡設備的資產價值為100000元，一場意外火災使其損壞了價值的25%,按照經驗統計，這種火災一般每5年發生一次，年預期損失ALE為5000元10000元25000元15000元【答案】A一個個人經濟上存在問題的公司職員有權獨立訪問高敏感度的信息，他可能竊取這些信息賣給公司的競爭對手，如何控制這個風險開除這名職員限制這名職員訪問敏感信息C刪除敏感信息D.將此職員送公安部門【答案】B以下哪一種人最有可能給公司帶來最大的安全風險？臨時工當前員工以前員工咨詢人員【答案】B當以下哪一類人員維護應用系統軟件的時候，會造成對“職責分離”原則的違背？數據維護管理員系統故障處理員C系統維護管理員D.系統程序員【答案】D下列角色誰應該承擔決定信息系統資源所需的保護級別的主要責任？信息系統安全專家業務主管安全主管系統審查員【答案】B職責分離的主要目的是？防止一個人從頭到尾整個控制某一交易或者活動不同部門的雇員不可以在一起工作C對于所有的資源都必須有保護措施D.對于所有的設備都必須有操作控制措施【答案】A以下哪種做法是正確的“職責分離”做法？程序員不允許訪問產品數據文件程序員可以使用系統控制臺C控制臺操作員可以操作磁帶和硬盤D.磁帶操作員可以使用系統控制臺【答案】A以下哪個是數據庫管理員（DBA）可以行使的職責？計算機的操作應用程序開發C系統容量規劃D.應用程序維護【答案】C信息安全管理體系策略文件中第一層文件是？信息安全工作程序信息安全方針政策信息安全作業指導書信息安全工作記錄【答案】B對安全策略的描述不正確的是？信息安全策略應得到組織的最高管理者批準。策略應有一個所有者，負責按復查程序維護和復查該策略。C安全策略應包括管理層對信息安全管理工作的承諾。D?安全策略一旦建立和發布，則不可變更。【答案】D有關人員安全管理的描述不正確的是？人員的安全管理是企業信息安全管理活動中最難的環節。B?重要或敏感崗位的人員入職之前，需要做好人員的背景檢查。C如職責分離難以實施，企業對此無能為力，也無需做任何工作。D.人員離職之后，必須清除離職員工所有的邏輯訪問帳號。【答案】C關于信息安全策略文件以下說法不正確的是哪個？信息安全策略文件應由管理者批準、發布。信息安全策略文件并傳達給所有員工和外部相關方。C?信息安全策略文件必須打印成紙質文件進行分發。D信息安全策略文件應說明管理承諾，并提出組織的管理信息安全的方法。【答案】C關于信息安全策略文件的評審以下說法不正確的是哪個？信息安全策略應由專人負責制定、評審。信息安全策略評審每年應進行兩次，上半年、下半年各進行一次。C在信息安全策略文件的評審過程中應考慮組織業務的重大變化。D.在信息安全策略文件的評審過程中應考慮相關法律法規及技術環境的重大變化。【答案】B高層管理者對信息安全管理的承諾以下說法不正確的是？A.制定、評審、批準信息安全方針。B為信息安全提供明確的方向和支持。C為信息安全提供所需的資源。D.對各項信息安全工作進行執行、監督與檢查。【答案】D信息安全管理組織說法以下說法不正確的是？信息安全管理組織人員應來自不同的部門。信息安全管理組織的所有人員應該為專職人員。信息安全管理組織應考慮聘請外部專家。信息安全管理組織應建立溝通、協調機制。【答案】B在制定組織間的保密協議，以下哪一個不是需要考慮的內容？需要保護的信息。協議期望持續時間。C合同雙方的人員數量要求。D.違反協議后采取的措施。【答案】C在信息安全管理日常工作中，需要與哪些機構保持聯系？政府部門B監管部門C外部專家D.以上都是【答案】D當涉及到信息算計系統犯罪取證時，應與哪個部門取得聯系？監管機構重要客戶C供應商D.政府部門【答案】D信息安全管理工作小組可就哪些問題向外部安全專家或特定外部組織尋求信息安全方面的建議？相關安全信息的最佳實踐和最新狀態知識。盡早接受到關于攻擊和脆弱點的警告、建議和補丁C分享和交換關于新的技術、產品、威脅或脆弱點信息D.以上都是【答案】D當客戶需要訪問組織信息資產時，下面正確的做法是？應向其傳達信息安全要求及應注意的信息安全問題。盡量配合客戶訪問信息資產。C不允許客戶訪問組織信息資產。D.不加干涉，由客戶自己訪問信息資產。【答案】A對于外部組織訪問企業信息資產的過程中相關說法不正確的是？為了信息資產更加安全，禁止外部組織人員訪問信息資產。應確保相關信息處理設施和信息資產得到可靠的安全保護。訪問前應得到信息資產所有者或管理者的批準。應告知其所應當遵守的信息安全要求。【答案】A外部組織使用組織敏感信息資產時，以下正確的做法是？確保使用者得到正確的信息資產。與信息資產使用者簽署保密協議。C告知信息資產使用的時間限制。D.告知信息資產的重要性。【答案】B在進行人員的職責定義時，在信息安全方面應考慮什么因素？人員的背景、資質的可靠性人員需要履行的信息安全職責C人員的工作能力D.人員溝通、協調能力【答案】B下列崗位哪個在招聘前最需要進行背景調查？米購人員B?銷售人員C財務總監D.行政人員【答案】C在招聘過程中，如果在崗位人員的背景調查中出現問題時，以下做法正確的是？繼續執行招聘流程。停止招聘流程，取消應聘人員資格。C與應聘人員溝通出現的問題。D.再進行一次背景調查。【答案】B人員入職過程中，以下做法不正確的是？入職中簽署勞動合同及保密協議。分配工作需要的最低權限。C允許訪問企業所有的信息資產。D.進行安全意思培訓。【答案】C單位中下面幾種人員中哪種安全風險最大？臨時員工外部咨詢人員C現在對公司不滿的員工D.離職的員工【答案】C對磁介質的最有效好銷毀方法是？格式化物理破壞C消磁D刪除【答案】BTCP/IP協議的4層概念模型是？應用層、傳輸層、網絡層和網絡接口層應用層、傳輸層、網絡層和物理層C應用層、數據鏈路層、網絡層和網絡接口層D.會話層、數據鏈路層、網絡層和網絡接口層【答案】A多層的樓房中，最適合做數據中心的位置是：一樓地下室C頂樓D.除以上外的任何樓層【答案】D計算機安全事故發生時，下列哪些人不被通知或者最后才被通知：A.系統管理員B律師恢復協調員硬件和軟件廠商【答案】BPINs）PINs）的作用?虹膜檢測技術語音標識技術筆跡標識技術指紋標識技術【答案】A216?“如果一條鏈路發生故障，那么只有和該鏈路相連的終端才會受到影響”，這一說法是適合于以下哪一種拓撲結構的網絡的？A星型B樹型C環型D.復合型【答案】A為了有效的完成工作，信息系統安全部門員工最需要以下哪一項技能？人際關系技能項目管理技能C技術技能D?溝通技能【答案】D目前，我國信息安全管理格局是一個多方“齊抓共管”的體制，多頭管理現狀決定法出多門，《計算機信息系統國際聯網保密管理規定》 是由下列哪個部門所制定的規章制度？公安部國家保密局信息產業部國家密碼管理委員會辦公室【答案】B"在選擇外部供貨生產商時，評價標準按照重要性的排列順序是：供貨商與信息系統部門的接近程度供貨商雇員的態度供貨商的信譽、專業知識、技術供貨商的財政狀況和管理情況H4,3,1,23,4,2,1C32,4,1D.1,2,3,4【答案】B220.下列哪一項能夠提高網絡的可用性?A.數據冗余B?鏈路冗余C軟件冗余D.電源冗余【答案】B系統管理員屬于？決策層管理層C執行層D.既可以劃為管理層，又可以劃為執行層【答案】C為了保護企業的知識產權和其它資產，當終止與員工的聘用關系時下面哪一項是最好的方法？進行離職談話，讓員工簽署保密協議，禁止員工賬號，更改密碼進行離職談話，禁止員工賬號，更改密碼讓員工簽署跨邊界協議列出員工在解聘前需要注意的所有責任【答案】A信息安全管理最關注的是？A.外部惡意攻擊B病毒對PC的影響內部惡意攻擊病毒對網絡的影響【答案】C以下哪個選項不是信息中心（IC）工作職能的一部分？準備最終用戶的預算選擇PC的硬件和軟件C保持所有PC的硬件和軟件的清單D.提供被認可的硬件和軟件的技術支持【答案】A225.以下哪些不是設備資產：機房設施周邊設施C管理終端D.操作系統【答案】D以下哪些不是網絡類資產：網絡設備基礎服務平臺C網絡安全設備D.主干線路【答案】B以下哪些不是介質類資產：A.紙質文檔存儲介質C軟件介質D憑證【答案】A以下哪些不是無形資產客戶關系電子數據C商業信譽D.企業品牌【答案】B以下哪些是信息資產無需明確的所有者管理者C廠商D.使用者【答案】C信息資產敏感性指的是：機密性完整性C可用性D.安全性【答案】A以下哪些不屬于敏感性標識不干貼方式印章方式電子標簽個人簽名【答案】D設施、網絡、平臺、介質、應用類信息資產的保密期限為A.3年B長期4月D短期【答案】B當曾經用于存放機密資料的 PC在公開市場出售時對磁盤進行消磁?對磁盤低級格式化C刪除數據對磁盤重整【答案】A防止擅自使用資料檔案的最有效的預防方法是 ：自動化的檔案訪問入口磁帶庫管理使用訪問控制軟件D.?鎖定資料館【答案】維持對于信息資產的適當的安全措施的責任在于安全管理員系統管理員C數據和系統的所有者系統作業人員【答案】A給計算機系統的資產分配的記號被稱為什么安全屬性安全特征安全標記安全級別【答案】C所有進入物理安全區域的人員都需經過考核B授權C批準D認可【答案】B下面哪種方法在數據中心滅火最有效并且是環保的?哈龍氣體濕管干管二氧化碳氣【答案】A在數據中心使用穩壓電源，以保證：?硬件免受電源浪涌?主電源被破壞后的完整性維護C主電源失效后可以立即使用針對長期電力波動的硬件包含【答案】A干管滅火器系統使用?水，但是只有在發現火警以后水才進入管道?水，但是水管中有特殊的防水劑?CO2代替水?哈龍代替水【答案】A下面哪一種物理訪問控制能夠對非授權訪問提供最高級別的安全?bolting門鎖Cipher密碼鎖電子門鎖指紋掃描器【答案】D來自終端的電磁泄露風險，因為它們 ：導致噪音污染?破壞處理程序?產生危險水平的電流?可以被捕獲并還原【答案】D射頻識別（RFID標簽容易受到以下哪種風險A.?進程劫持B竊聽?惡意代碼?Phishing【答案】B有什么方法可以測試辦公部門的無線安全？?Wardialing戰爭語言?社會工程學?戰爭駕駛?密碼破解【答案】D以下哪一個是對于參觀者訪問數據中心的最有效的控制？陪同參觀者參觀者佩戴證件C參觀者簽字D.參觀者由工作人員抽樣檢查【答案】A信息安全政策聲明：”每個人必須在進入每一個控制門時，都必須讀取自己的證件”，防范的是哪一種攻擊方式尾隨PiggybackingB肩窺ShouldersurfingDumpsterdiving冒充Impersonation【答案】A以下哪一種環境控制適用于保護短期內電力環境不穩定條件下的計算機設備？電路調整器Powerlineconditioners電流浪涌防護裝置AsurgeprotectivedeviceC替代電源D.不間斷供電【答案】B以下哪些模型可以用來保護分級信息的機密性？Biba模型和Bell-Lapadula模型Bell-Lapadula模型和信息流模型Bell-Lapadula模型和Clark—Wilson模型Clark-Wilson模型和信息流模型【答案】B名稱屬性類型應用讀寫BLP機密性多極政府、軍隊上讀下寫信息流模型機密性ChineseWall機密性多邊金融Biba完整性多極下讀上寫Clark-wilson完整性多極商業BMA機密性完整性多邊醫療BLP模型基于兩種規則來保障數據的機秘度與敏感度，A.下讀，主體不可讀安全級別高于它的數據；上寫，別低于它的數據B?上讀，主體不可讀安全級別高于它的數據；下寫，別低于它的數據C上讀，主體不可讀安全級別低于它的數據；下寫，別高于它的數據D?下讀，主體不可讀安全級別低于它的數據；上寫，別高于它的數據【答案】BBIBA模型基于兩種規則來保障數據的完整性的保密性，分別是:A.上讀，主體不可讀安全級別高于它的數據；下寫，別低于它的數據B?下讀，主體不可讀安全級別高于它的數據；上寫，別低于它的數據C上讀，主體不可讀安全級別低于它的數據；下寫，別高于它的數據D?下讀，主體不可讀安全級別低于它的數據；上寫，別高于它的數據【答案】D以下哪組全部是完整性模型？BLP模型和BIBA模型BIBA模型和Clark-Wilson模型Chinesewall模型和BIBA模型Clark-Wilson模型和Chinesewall模型【答案】B多邊：ChineseWall'BMA;完整性：252.以下哪個模型主要用于醫療資料的保護？Chinesewall模型BIBA模型Clark-Wilson模型它們是什么?主體不可寫安全級主體不可寫安全級主體不可寫安全級主體不可寫安全級主體不可寫安全級主體不可寫安全級主體不可寫安全級主體不可寫安全級BibaQark-WilsonD.BMA模型【答案】D253.以下哪個模型主要用于金融機構信息系統的保護？Chinesewall模型BIBA模型CIark—Wilson模型BMA模型【答案】A以下哪組全部都是多邊安全模型？BLP模型和BIBA模型BIBA模型和Clark—Wilson模型Chinesewall模型和BMA模型Clark—Wilson模型和Chinesewall模型【答案】C以下哪種訪問控制策略需要安全標簽？基于角色的策略基于標識的策略C用戶指向的策略強制訪問控制策略【答案】D應急響應哪一個階段用來降低事件再次發生的風險遏制B根除C跟蹤恢復【答案】C信息安全應急響應計劃總則中，不包括以下哪個編制目的編制依據C工作原則D.角色職責【答案】D以下哪項描述是錯誤的A.應急響應計劃與應急響應這兩個方面是相互補充與促進的關系B應急響應計劃為信息安全事件發生后的應急響應提供了指導策略和規程C應急響應可能發現事前應急響應計劃的不足D.應急響應必須完全依照應急響應計劃執行【答案】D應急響應計劃應該多久測試一次？10年當基礎環境或設施發生變化時2年當組織內業務發生重大的變更時【答案】D建立應急響應計劃時候第一步應該做什么？建立備份解決方案實施業務影響分析C建立業務恢復計劃D.確定應急人員名單【答案】B建立應急響應計劃最重要的是業務影響分析測試及演練C各部門的參與D.管理層的支持【答案】D以下誰具有批準應急響應計劃的權利A.應急委員會B各部門C管理層D.外部專家【答案】C哪一項不是業務影響分析（BIA）的工作內容確定應急響應的恢復目標確定公司的關鍵系統和業務C確定業務面臨風險時的潛在損失和影響D.確定支持公司運行的關鍵系統【答案】C制定應急響應策略主要需要考慮系統恢復能力等級劃分系統恢復資源的要求C費用考慮D.人員考慮【答案】D應急響應領導小組主要職責包括：對應急響應工作的承諾和支持， 包括發布正式文件、提供必要資源（人財物）等；審核并批準應急響應計劃；負責組織的外部協作工作組織應急響應計劃演練【答案】D應急響應領導小組組長應由以下哪個選項擔任？A.最高管理層B信息技術部門領導C業務部門領導D.外部專家【答案】A應急響應流程一般順序是A.信息安全事件通告、信息安全事件評估、應急啟動、應急處置和后期處置B?信息安全事件評估、信息安全事件通告、應急啟動、應急處置和后期處置C應急啟動、應急處置、信息安全事件評估、信息安全事件通告、后期處置D?信息安全事件評估、應急啟動、信息安全事件通告、應急處置和后期處置【答案】A組織內應急通知應主要采用以下哪種方式電話電子郵件C人員D.公司OA【答案】A如果可能最應該得到第一個應急事件通知的小組是應急響應領導小組應急響應日常運行小組C應急響應技術保障小組D.應急響應實施小組【答案】B恢復階段的行動一般包括建立臨時業務處理能力修復原系統損害在原系統或新設施中恢復運行業務能力避免造成更大損失【答案】D在正常情況下，應急響應計劃培訓應該至少多久一次1年2年C半年D.5年【答案】A在正常情況下，應急計劃應該至少多久進行一次針對正確性和完整性的檢查1年2年C半年D.5年【答案】A應急響應計劃文檔不應該分發給公司所有人員分發給參與應急響應工作的所有人員c具有多份拷貝在不同的地點保存D.由專人負責保存與分發【答案】A業務影響分析的主要目的是：在災難之后提供一個恢復行動的計劃識別能夠影響組織運營持續性的事件公布組織對物理和邏輯安全的義務提供一個有效災難恢復計劃的框架【答案】B評估應急響應計劃時，下列哪一項應當最被關注：災難等級基于受損功能的范圍，而不是持續時間低級別災難和軟件事件之間的區別不清晰C總體應急響應計劃被文檔化，但詳細恢復步驟沒有規定D.事件通告的職責沒有被識別【答案】D事件響應六個階段定義了安全事件處理的流程，這個流程的順序是準備—遏制—確認—根除—恢復—跟蹤準備—確認—遏制—恢復—根除—跟蹤C準備—確認—遏制—根除—恢復—跟蹤D.準備—遏制—根除—確認—恢復—跟蹤【答案】B發現一臺被病毒感染的終端后，首先應：A.拔掉網線B判斷病毒的性質、采用的端口在網上搜尋病毒解決方法呼叫公司技術人員【答案】A我國信息安全事件分級分為以下哪些級別特別重大事件-重大事件-較大事件-一般事件特別重大事件-重大事件-嚴重事件-較大事件-一般事件C特別嚴重事件-嚴重事件-重大事件-較大事件-一般事件D.特別嚴重事件-嚴重事件-較大事件-一般事件【答案】A我國信息安全事件分級不考慮下列哪一個要素？信息系統的重要程度系統損失C社會影響D.業務損失【答案】D校園網內由于病毒攻擊、 非法入侵等原因，200臺以內的用戶主機不能正常工作，屬于以下哪種級別事件特別重大事件重大事件C較大事件D.—般事件【答案】D由于病毒攻擊、非法入侵等原因，校園網部分樓宇出現網絡癱瘓，或者FTP及部分網站服務器不能響應用戶請求，屬于以下哪種級別事件特別重大事件重大事件C較大事件D.—般事件【答案】C由于病毒攻擊、非法入侵等原因，校園網部分園區癱瘓，或者郵件、計費服務器不能正常工作，屬于以下哪種級別事件特別重大事件重大事件C較大事件D.—般事件【答案】B283.由于病毒攻擊、非法入侵等原因，校園網整體癱瘓，或者校園網絡中心全部DNS主WEB服務器不能正常工作；由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因，造成校園網出口中斷，屬于以下哪種級別事件特別重大事件重大事件C較大事件D.—般事件【答案】A由于獨立的信息系統增加，一個國有房產公司要求在發生重大故障后，必須保證能夠繼續提供IT服務。需要實施哪個流程才能提供這種保證性？可用性管理IT服務連續性管理C服務級別管理D.服務管理【答案】B在一家企業的業務持續性計劃中，什么情況被宣布為一個危機沒有被定義。這一點關系到的主要風險是：對這種情況的評估可能會延遲災難恢復計劃的執行可能會被影響C?團隊通知可能不會發生D.對潛在危機的識別可能會無效【答案】B在信息處理設施（IPF）的硬件更換之后，業務連續性流程經理首先應該實施下列哪項活動？驗證與熱門站點的兼容性檢查實施報告c進行災難恢復計劃的演練D.更新信息資產清單【答案】D組織的災難恢復計劃應該：減少恢復時間，降低恢復費用增加恢復時間，提高恢復費用減少恢復的持續時間，提高恢復費用對恢復時間和費用都不影響【答案】A一個組織具有的大量分支機構且分布地理區域較廣。以確保各方面的災難恢復計劃的評估，具有成本效益的方式，應建議使用：數據恢復測試充分的業務測試前后測試預案測試【答案】D較低的恢復時間目標（恢復時間目標）的會有如下結果：更高的容災成本較高C更長的中斷時間D.更多許可的數據丟失【答案】B組織實施了災難恢復計劃。下列哪些步驟應下一步執行？取得高級管理人員認可確定的業務需求C進行紙面測試D.進行系統還原測試【答案】C災難性恢復計劃（DRP基于：技術方面的業務連續性計劃操作部分的業務連續性計劃C功能方面的業務連續性計劃D.總體協調的業務連續性計劃【答案】A下面哪一項是恢復非關鍵系統的最合理方案溫站B移動站C熱站D.冷站【答案】D(BCP)下列哪一項是一個適當的測試方法適用于業務連續性計劃(BCP)試運行紙面測試C單元D.系統【答案】B在一個中斷和災難事件中，以下哪一項提供了持續運營的技術手段？負載平衡硬件冗余C分布式備份D.高可用性處理【答案】B在一份業務持續計劃，下列發現中哪一項是最重要的？不可用的交互PBX系統骨干網備份的缺失C用戶PC機缺乏備份機制D.門禁系統的失效【答案】B在一份熱站、溫站或冷站協議中，協議條款應包含以下哪一項需考慮的事項具體的保證設施B訂戶的總數C同時允許使用設施的訂戶數量D.涉及的其他用戶【答案】C企業的業務持續性計劃中應該以記錄以下內容的預定規則為基礎損耗的持續時間損耗的類型C損耗的可能性D損耗的原因【答案】A當更新一個正在運行的在線訂購系統時，更新都記錄在一個交易磁帶和交易日志副本。在一天業務結束后，訂單文件備份在磁帶上。在備份過程中，驅動器故障和訂單文件丟失。以下哪項對于恢復文件是必須的？前一天的備份文件和當前的交易磁帶前一天的交易文件和當前的交易磁帶當前的交易磁帶和當前的交易日志副本當前的交易日志副本和前一天的交易交易文件【答案】A業務影響分析的主要目的是：在災難之后提供一個恢復行動的計劃識別能夠影響組織運營持續性的事件公布組織對物理和邏輯安全的義務提供一個有效災難恢復計劃的框架【答案】B當建立一個業務持續性計劃時，使用下面哪一個工具用來理解組織業務流程？業務持續性自我評估資源的恢復分析C風險評估和業務影響評估D?差異分析【答案】C下列哪一項最好地支持了24/7可用性？A?日常備份離線存儲C鏡像D.定期測試【答案】C評估BCP時，下列哪一項應當最被關注：災難等級基于受損功能的范圍，而不是持續時間低級別災難和軟件事件之間的區別不清晰C總體BCP被文檔化，但詳細恢復步驟沒有規定D.宣布災難的職責沒有被識別【答案】D在一個業務繼續計劃的模擬演練中，發現報警系統嚴重受到設施破壞。下列選項中，哪個是可以提供的最佳建議：培訓救護組如何使用報警系統B?報警系統為備份提供恢復建立冗余的報警系統把報警系統存放地窖里【答案】C評估業務連續計劃效果最好的方法是：使用適當的標準進行規劃和比較之前的測試結果緊急預案和員工培訓環境控制和存儲站點【答案】B以下哪種為丟棄廢舊磁帶前的最佳處理方式？復寫磁帶初始化磁帶卷標C對磁帶進行消磁D.刪除磁帶【答案】C組織中對于每個獨立流程都有對應的業務連續性計劃，但缺乏全面的業務連續性計劃，應采取下面哪一項行動？建議建立全面的業務連續性計劃確認所有的業務連續性計劃是否相容接受已有業務連續性計劃建議建立單獨的業務連續性計劃【答案】B組織已經完成了年度風險評估，關于業務持續計劃組織應執行下面哪項工作？回顧并評價業務持續計劃是否恰當對業務持續計劃進行完整的演練C對職員進行商業持續計劃的培訓D.將商業持續計劃通報關鍵聯絡人【答案】A組織回顧信息系統災難恢復計劃時應：每半年演練一次周期性回顧并更新C經首席執行官（CEO認可D.與組織的所有部門負責人溝通【答案】B相對于不存在災難恢復計劃，和當前災難恢復計劃的成本對比，最接近的是：增加B減少C保持不變D.不可預知【答案】A根據組織業務連續性計劃（BCP的復雜程度，可以建立多個計劃來滿足業務連續和和災難恢復的各方面。在這種情況下，有必要：每個計劃和其它計劃保持協調一致所有的計劃要整合到一個計劃中每個計劃和其他計劃相互依賴指定所有計劃實施的順序【答案】A使用熱站作為備份的優點是：熱站的費用低熱站能夠延長使用時間C熱站在短時間內可運作D.熱站不需要和主站點兼容的設備和系統軟件【答案】C在完成了業務影響分析（BIA）后，下一步的業務持續性計劃應該是什么測試和維護業務持續性計劃制定一個針對性計劃C制定恢復策略D.實施業務持續性計劃【答案】C一個備份站點包括電線、空調和地板，但不包括計算機和通訊設備，那么它屬于冷站B溫站C直線站點D.鏡像站點【答案】A以下關于備份站點的說法哪項是正確的應與原業務系統具有同樣的物理訪問控制措施應容易被找到以便于在災難發生時以備緊急情況的需要C應部署在離原業務系統所在地較近的地方D.不需要具有和原業務系統相同的環境監控等級【答案】A在對業務持續性計劃進行驗證時，以下哪項最為重要數據備份準時執行備份站點已簽訂合約，并且在需要時可以使用人員安全計劃部署適當保險【答案】C組織在制定災難恢復計劃時，應該最先針對以下哪點制定所有信息系統流程所有應用系統流程信息系統經理指派的路程業務經理定義的流程優先級【答案】D擁有電子資金轉帳銷售點設備的大型連鎖商場，有中央通信處理器連接銀行網絡，對于通信處理機，下面哪一項是最好的災難恢復計劃。每日備份離線存儲選擇在線備份程序C安裝雙通訊設備D.在另外的網絡節點選擇備份程序【答案】D在進行業務連續性檢測時，下列哪一個是被認為最重要的審查？熱站的建立和有效是必要業務連續性手冊是有效的和最新的C保險責任范圍是適當的并且保費有效D.及時進行介質備份和異地存儲【答案】D在準備災難恢復計劃時下列哪項應該首先實施？做出恢復策略執行業務影響分析C明確軟件系統、硬件和網絡組件結構D委任具有明確的雇員、角色和層級的恢復團隊【答案】B由于IT的發展，災難恢復計劃在大型組織中的應用也發生了變化。如果新計劃沒有被測試下面哪項是最主要的風險A.災難性的斷電B資源的高消耗"恢復的總成本不能被最小化HD用戶和恢復團隊在實施計劃時可能面臨服務器問題【答案】A下面各種方法，哪個是制定災難恢復