信息安全管理.docx

1、信息安全管理信息安全管理单项选择题1、依据GB/T22080/ISO/IEC27001，制定信息安全管理体系方针，应予以考虑的输入是（）A.业务战略B.法律法规要求C.合同要求D.以上全部参考答案：D单项选择题2、目前在用的中华人民共和国保守国家秘密法是在（）正式实施的。A.1951年6月1日B.1989年5月1日C.1993年2月22日D.2010年10月1日参考答案：D单项选择题3、依据GB/T22080/ISO/IEC27001，信息分类方案的目的是（）A.划分信息载体的不同介质以便于存储和处理，如纸张、光盘、磁盘B.划分信息载体所属的职能以便于明确管理责任C.划分信息对于组织业务的关键

2、性和敏感性分类，按此分类确定信息存储、处理、处置的原则D.划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析参考答案：C参考解析： 信息分类的目的是对信息资料进行详细的区分，以确定信息存储、处理、处置的原则。 单项选择题4、建立ISMS体系的目的，是为了充分保护信息资产并基于（）信心。A.相关方B.供应商C.顾客D.上级机关参考答案：A单项选择题5、ISMS是基于组织的（）风险角度建立的。A.整体业务B.财务部门C.资产安全D.信息部门参考答案：A单项选择题6、ISMS有效性的定期评审应考虑（）、事故、有效性策略结果等内容。A.识别风险B.风险评价C.风险评估

3、方法D.安全评审结果参考答案：D单项选择题7、关于特权访问，说法正确的是（）A.特权访问用户通常包含顾客B.特权访问用户必须包含最高管理者C.特权访问用户的访问权限最大权限原则的的应用D.特殊访问权应与其职能角色一致参考答案：D单项选择题8、关于信息系统登录口令的管理，以下说法不正确的是（）A.必要时，使用密码技术，生物特征等代替口令B.用提示信息告知用户输入的口令是否正确C.明确告知用户应遵从的优质口令策略D.使用互动式管理确保用户使用优质口令参考答案：B单项选择题9、对于可能超越系统和应用控制的实用程序，以下做法正确的是（）A.实用程序的使用不在审计范围内B.建立禁止使用的实用程序清单C.

4、紧急响应时所使用的实用程序不需要授权D.建立、授权机制和许可使用的实用程序清单参考答案：D单项选择题10、物理安全周边的安全设置应考虑（）A.区域内信息和资产的敏感性分类B.重点考虑计算机机房，而不是办公区或其他功能区C.入侵探测和报警机制D.A+C参考答案：D单项选择题11、信息系统的变更管理不包括（）A.软件的升级B.系统硬件以旧换新C.系统终端设备物理位置变更D.以上全部参考答案：D单项选择题12、以下属于安全办公区域控制的措施是（）A.敏感信息处理设施避免放置在和外部方共用的办公区B.显著标记“敏感档案存储区，闲人免进”标识牌C.告知全体员工敏感区域的位置信息，教育员工保护其安全D.以

5、上都对参考答案：A单项选择题13、设备维护维修时，应考虑的安全措施包括（）A.维护维修前，按规定程序处理或清除其中的信息B.维护维修后，检查是否有未授权的新增功能C.敏感部件进行物理销毁而不予送修D.以上全部参考答案：D单项选择题14、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包括在（）的合同中。A.雇员B.承包方人员C.第三方人员D.a+b+c参考答案：D单项选择题15、容量管理的对象包括（）A.信息系统内存B.办公室空间和基础设施C.人力资源D.A+B+C参考答案：D单项选择题16、为确保信息资产的安全，设备、信息或软件在（）之前不应带出组织场所。A.使用B.授权C.

6、检查合格D.识别出薄弱环节参考答案：B单项选择题17、在运行系统上安装软件，以下说法不正确的是（）A.对于复杂的系统应采取分步部署的策略B.应在安装前在隔离的环境中完成验收测试C.应在安装前完成单元测试，随之进行安装然后进行验收测试D.安装运行后应评审对关键业务应用的影响参考答案：C单项选择题18、依据GB/T22080/ISO/IEC27001，信息系统审计是（）A.发现信息系统脆弱性的手段之一B.应在系统运行期间进行，以便于准确地发现弱电C.审计工具在组织内应公开可获取，以便于提升员工的能力D.只要定期进行，就可以替代内部ISMS审核参考答案：A单项选择题19、以下不属于可降低信息传输中的

7、信息安全风险的措施是（）A.规定使用通信设施的限制规则B.使用铠甲线缆以及数据加密C.双路供电以及定期测试备份电机D.记录物理介质运输全程的交接信息参考答案：C单项选择题20、某台服务器在每个月150小时工作时间内正常工作时间为145小时，该服务器的可用性为（）A.145/295B.150/295C.145/150D.150/145参考答案：C单项选择题21、关于审核准则正确的描述是（）A.与审核依据有关，能够证实的记录、事实陈诉或其他信息B.一组方针、程序或要求C.在审核过程中收集到的所有记录、事实陈诉或其他信息D.将收集到的记录、事实陈诉或其他信息对照审核依据进行评价的结果参考答案：B更多

8、内容请访问睦霖题库微信公众号单项选择题22、以下哪个不是现场审核后的审核结论（）A.文件审核通过与否的结论B.推荐认证通过的结论C.有条件的推荐通过认证的结论D.不推荐认证通过的结论参考答案：A单项选择题23、审核员在现场审核前至少应了解受审核方信息中不包括（）A.受审核方产品/服务流程B.受审核方使用的法律法规C.受审核方的经营状况D.受审核方的规模参考答案：C单项选择题24、认证审核时，审核组有权在现场自行决定变更的事项包括（）A.审核准则B.审核人日数C.审核路线D.应受审核的业务过程参考答案：C单项选择题25、以下属于信息安全管理体系审核发现的是（）A.审核员看到的物理入口控制方式B.

9、审核员看到的信息系统资源C.审核员看到的移动介质的使用与安全策略的符合性D.审核员看到的项目质量保证活动参考答案：C单项选择题26、依据CB/T22080/ISO/IEC27001，以下表明符合资产管理原则的是（）A.将人作为重要资产管理，人的职务级别越高，资产价值赋值越高B.存储介质作为资产管理，资产价值的赋值介质中各类信息价值的平均C.信息系统处理涉密信息时，将信息系统密码标记为所处理的信息的最高密级D.高端服务器因市场价值高，因此资产价值赋值高参考答案：C单项选择题27、审核组中的技术专家是（）A.为审核组提供文化、法律、技术等方面知识咨询的人员B.特别负责对受审核方的专家技术过程进行审

10、核的人员C.审核期间为受审核方提供技术咨询的人员D.从专业的角度对审核员的审核进行观察评价的人员参考答案：A单项选择题28、信息安全风险（R）计算中涉及脆弱性（V），以下说法正确的是（）A.脆弱性是资产性质决定的固有的弱点，其赋值不变B.如果当前控制措施有效，资产脆弱性赋值可以降低C.控制措施是管理范畴的概念，脆弱性是技术范畴的概念，二者没有关系D.只要威胁存在，脆弱性就存在，二者的赋值同向增减参考答案：B多项选择题29、信息安全管理体系认证审核组的能力包括（）A.信息安全事件处理方法和业务连续性的知识B.有关有形和无形资产及其影响分析的知识C.风险管理过程和方法的知识D.信息安全管理体系的控

11、制措施及其实施的知识参考答案：A,B,C,D参考解析： 信息安全管理体系认证审核组的能力包括：信息安全事故管理、业务连续性管理；资产管理；风险管理；通信和操作管理。审核组需要通过定义、评估和控制风险，确保经营的持续性和能力。 多项选择题30、以下（）活动是ISMS建立阶段应完成的内容。A.确定范围和边界B.确定ISMS方针C.确定风险评估方法并实施D.实施体系文件培训参考答案：A,B,C参考解析： 建立ISMS组织要做以下方面的工作：a）确定ISMS的范围和边界；b）确定ISMS方针；c）确定组织的风险评估方法d）识别风险e）分析和评价风险f）识别和评价风险处置的可选措施g）为处理风险选择控制

12、目标和控制措施h）获得管理者对建议的残余风险的批准i）获得管理者对实施和运行ISMS的授权j）准备适用性声明（SoA）其中di属于风险管理阶段 多项选择题31、以下属于“信息处理设施”的是（）A.信息处理系统B.与信息处理相关的服务C.与信息处理相关的设备D.安置信息处理设备的物理场所预设值参考答案：A,B,C,D多项选择题32、关于“信息安全连续性”，以下正确做法包括（）A.人员、设备、设施、场所等的冗余配置B.定期或实时进行数据备份C.考虑业务关键性确定恢复优先顺序和目标D.有保障信息安全连续性水平的过程和程序文件参考答案：A,B,C,D多项选择题33、实施ISMS内部审核，可以确定ISM

13、S的控制目标、控制措施、过程和程序是否（）A.符合ISO/27OO1和相关法律法规的要求B.符合已识别的信息安全要求C.得到有效的实施和保持D.以上都不对参考答案：A,B,C多项选择题34、信息安全方针包括的要求是（）A.考虑业务和法律法规的要求，是合同中的安全义务B.建立风险评估的准则C.可测量D.获得管理者批准参考答案：A,B,D参考解析： 根据业务、组织、位置、资产和技术等方面的特性，确定ISMS方针。ISMS方针应：1）包括设定目标的框架和建立信息安全工作的总方向和原则；2）考虑业务和法律法规的要求，及合同中的安全义务；3）在组织的战略性风险管理环境下，建立和保持ISMS；4）建立风险

14、评价的准则；5）获得管理者批准。 多项选择题35、审核的特点是（）A.审核的信息安全体系必须是文件化的B.审核活动必须是一种正是有序的活动C.审核必须具有客观性系统性D.审核不一定是抽样的参考答案：A,B,C多项选择题36、完整的末次会议内容包括（）A.宣读不合格报告B.宣读审核结论C.递交审核报告D.证后监督要求参考答案：A,B,D多项选择题37、信息安全管理体系绩效测量的开发包括（）A.选择目标和特性B.确定分析模型C.确定测量指标D.确定决策范围参考答案：A,B,C,D判断题38、信息安全管理体系由若干信息安全管理类组成。参考答案：对判断题39、黑色星期四是因有人通过BELL实验室与In

15、ternet连接的有漏洞的机器上放置了一个蠕虫程序而引起网络灾难得名的。参考答案：错单项选择题40、关于实现信息安全过程的描述，以下哪一项论述不正确。（）A.信息安全的实现是一个大的过程，其中包含许多小的可细分过程B.组织应该是别信息安全实现中的每一个过程C.对每一个分解后的信息安全的过程实施监控和测量D.信息安全的实现是一个技术的过程参考答案：D单项选择题41、计算机信息系统安全专用产品，是指（）A.用于保护计算机信息系统安全的专用硬件产品B.用于保护计算机信息系统安全的专用软件产品C.用于保护计算机信息系统安全的专用硬件和软件产品D.以上都不是参考答案：C多项选择题42、病毒防护必须具备哪

16、些准则（）A.拒绝访问能力B.病毒检测能力C.控制病毒传播的能力D.清除能力、恢复能力、替代操作参考答案：A,B,C,D多项选择题43、实行计算机安全事故和计算机案件报告制度是（）。A.是计算机信息系统安全监察和安全防范、安全管理工作中的重要组成部分B.是贯彻落实有关安全法规，强化计算机信息系统安全管理的规范性要求C.是公安机关了解掌握计算机信息系统应用单位内部安全管理情况的手段D.是国家法规的要求，也是所有计算机使用单位和用户，以及公民应有的职责和义务参考答案：A,B,C,D填空题44物联网安全问题主要表现在哪几个方面？参考答案： 目前，互联网在发展过程中遇到了两大体系性瓶颈，一个是地址不够

17、，另一个是网络的安全问题。地址的问题通过IPv6能够解决，但是网络安全问题目前却没有好的解决之道。如果不能解决网络的可管、可控以及服务质量问题，将会在很大程度上影响物联网的进一步发展。根据物联网自身的特点，物联网除了面对移动通信网络的传统网络安全问题之外，还存在着一些与已有移动网络安全不同的特殊安全问题。这是由于物联网是由大量的机器构成，缺少人对设备的有效监控，并且数量庞大，设备集群等相关特点造成的，这些安全问题主要有以下几个方面。（1）物联网机器/感知节点的本地安全问题。由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作。所以物联网机器/感知节点多数部署在无人监控的场景中。那么攻击者

18、就可以轻易地接触到这些设备，从而对他们造成破坏，甚至通过本地操作更换机器的软硬件。（2）感知网络的传输与信息安全问题。感知节点通常情况下功能简单（如自动温度计）、携带能量少（使用电池），使得它们无法拥有复杂的安全保护能力，而感知网络多种多样，从温度测量到水文监控，从道路导航到自动控制，它们的数据传输和消息也没有特定的标准，所以没法提供统一的安全保护体系。（3）核心网络的传输与信息安全问题。核心网络具有相对完整的安全保护能力，但是由于物联网中节点数量庞大，且以集群方式存在，因此会导致在数据传播时，由于大量机器的数据发送使网络拥塞，产生拒绝服务攻击。此外，现有通信网络的安全架构都是从人通信的角度设

19、计的，并不适用于机器的通信。使用现有安全机制会割裂物联网机器间的逻辑关系。（4）物联网业务的安全问题。由于物联网设备可能是先部署后连接网络，而物联网节点又无人看守，所以如何对物联网设备进行远程签约信息和业务信息配置就成了难题。另外，庞大且多样化的物联网平台必然需要一个强大而统一的安全管理平台，否则独立的平台会被各式各样的物联网应用所淹没，但如此一来，如何对物联网机器的日志等安全信息进行管理成为新的问题，并且可能割裂网络与业务平台之间的信任关系，导致新一轮安全问题的产生。 单项选择题45、对于“利益相关方”的概念，以下陈述错误的是（）。A.对于一项决策活动，可以影响它的个人或组织B.对于一项决策

20、活动，可以被它影响的个人或组织C.对于一项决策活动，可以感知被它影响的个人或组织D.决策者自己不属于利益相关方参考答案：D单项选择题46、选择信息安全控制措施应该（）。A.建立在风险评估的结果至上B.针对每一种风险，控制措施并非唯一C.反映组织风险管理战略D.以上各项都对参考答案：D单项选择题47、以下哪个不是风险管理相关标准（）A.ISO/IEC TR 13335B.ISO/IEC 27002C.ISO/IEC 27005D.GB/T 20984参考答案：A单项选择题48、以下哪个标准对风险相关的概念作出了描述（）A.AS/NZS 4360B.ISO/IEC TR 13335-1C.ISOG

21、uide 73D.以上都是参考答案：C单项选择题49、ISO/IEC TR 13335提到的4种风险分析方法不包括（）A.基线方法B.正式方法C.详细风险分析D.组合方法参考答案：B判断题50、信息资产的价值可通过定性和定量的方法来描述。参考答案：对判断题51、起不到应有作用的或没有正确实施的安全保护措施本身就可能是脆弱性。参考答案：对判断题52、风险管理是可定性的。参考答案：对判断题53、风险分析要确定风险发生后其影响的大小。参考答案：对填空题54试述管理信息系统在当今的经济和社会环境中的重要性？参考答案： 管理信息系统是企业管理现代化的重要标志，它对现代企业具有以下几方面的深刻影响：（1）

22、管理体制合理化。（2）管理方法科学化。（3）加强企业管理的基础工作。（4）提高管理人员的素质和管理水平。（5）提高企业的经济效益和社会效益。 填空题55信息有哪些基本性质？有哪些性质和物质的性质不同？为什么？参考答案： （1）事实性是信息的第一和基本的性质；（2）等级性分为战略级信息（是关系到企业长远命运和全局的信息）、策略级信息（是关系到企业运营管理的信息）和执行级（是关系到企业业务运作的信息），由于来源、寿命、保密程度、加工方法、使用频率、精度等不同，所以信息等级不同；（3）可压缩性指信息可以进行浓缩、集中、概括以及综合，而不至于丢失信息的本质；（4）扩散性是说明信息的浓度越大，信息源和接

23、收者之间的梯度越大，信息的扩散力度越强（存在利于传播又造成贬值的两面性）；（5）传输性是指信息传输既快又便宜，远远优于物质的运输；（6）分享性与物质交换的零和性相反，信息只能共享不能交换，只有达到企业共享，信息才能真正成为企业资源，信息分享没有直接损失但可能造成间接损失；（7）增值性是指用于某种目的的信息，随着时间的推移可能价值耗尽，但对另一种目的可能又显示出用途，信息的增殖在量变的基础上可能产生质变，在积累的基础上可能产生飞跃；（8）转换性，信息、物质和能源是人类现在利用的三项重要的宝贵资源，三位一体互相不能分割，又是可以互相转化的。 填空题56计算机中有哪几种类型的数据？它们是如何表示的？

24、参考答案： （1）进位计数制，由三个基本要素组成，即基数、数符和位权值，特点是按基数来进位和借位，按位权值展开并相加，计算机内部运行是二进制、编程用八进制和十六进制、输入输出为十进制；（2）数值型数据，计算机使用同样的数据长度，整数2或4字节、非整数4或8字节，数的最高位0代表正数、1代表负数，小数点是隐含的，其位置固定的是定点数、可变的为浮点数；（3）字符型数据，ASC码是美国标准信息码，用7个二进制数据表示一个字符，共128种基本字符和功能符，并在7个数据位的最左边添上一个奇偶校验位（使偶校验系统中的全部字符码都具有偶数个1），扩充的ASC码为8个二进制数据，可表示256种字符和功能符；B

25、CD码是为方便十进制数转化为二进制数而进行的编码；（4）汉字数据，1981年的国标码（汉字交换码）收入6763个汉字、687个外文字母，每个字符由一个2字节代码串组成，最高位恒为0；机内码则把最高位置1；输入码随不同输入法变化，通过键盘管理程序转换为机内码；字形码用于显示打印汉字，2424占72字节，4848占288字节；（5）音频、视频数据，通过声频、视频卡进行数模转换。 填空题57什么是E-R图？如何设计E-R图，并根据E-R图设计关系数据库的概念模式？参考答案： E-R图为实体-联系图，提供了表示实体型、属性和联系的方法，用来描述现实世界的概念模型。设计：确定所有的实体集合选择实体集应包

26、含的属性确定实体集之间的联系确定实体集的关键字，用下划线在属性上表明关键字的属性组合确定联系的类型，在用线将表示联系的菱形框联系到实体集时，在线旁注明是1或n（多）来表示联系的类型 多项选择题58、下列哪些行为是电子邮件管理规定所禁止的（）。A.发送或者转发与工作业务无关的个人信息B.发送或者转发虚假、黄色、反动信息C.发送或者转发宣扬个人政治倾向或者宗教信仰D.发送或者转发发送垃圾信息E.发送的附件必须提前进行病毒的查杀F.发送口令、密钥、信用卡等的敏感信息参考答案：A,B,C,D,F多项选择题59、对重要系统防范恶意软件的特殊要求（）。A.各部门应按照信息备份的要求进行重要数据和软件的备份B.如果发生信息处理设施受到病毒或其他种类的恶意软件攻击的事故，应由系统运营部确认事故原因后，由相关部门或人员对被破坏数据或软件进行恢复C.各个部门安装的外购软件应从正式渠道获得安装介质D.对于自行开发的软件都必须由开发部门测试其安全性，经确认安全后方可安装参考答案：A,C,D多项选择题60、下列哪些区域属于一般安全*区域（）。A.员工办公区域B.部门经理办公区域C.公司总经理办公区域D.乙烯机房参考答案：A,B,C