信息安全管理.docx
《信息安全管理.docx》由会员分享,可在线阅读,更多相关《信息安全管理.docx(18页珍藏版)》请在冰点文库上搜索。
信息安全管理
信息安全管理
[单项选择题]
1、依据GB/T22080/ISO/IEC27001,制定信息安全管理体系方针,应予以考虑的输入是()
A.业务战略
B.法律法规要求
C.合同要求
D.以上全部
参考答案:
D
[单项选择题]
2、目前在用的中华人民共和国保守国家秘密法是在()正式实施的。
A.1951年6月1日
B.1989年5月1日
C.1993年2月22日
D.2010年10月1日
参考答案:
D
[单项选择题]
3、依据GB/T22080/ISO/IEC27001,信息分类方案的目的是()
A.划分信息载体的不同介质以便于存储和处理,如纸张、光盘、磁盘
B.划分信息载体所属的职能以便于明确管理责任
C.划分信息对于组织业务的关键性和敏感性分类,按此分类确定信息存储、处理、处置的原则
D.划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析
参考答案:
C
参考解析:
信息分类的目的是对信息资料进行详细的区分,以确定信息存储、处理、处置的原则。
[单项选择题]
4、建立ISMS体系的目的,是为了充分保护信息资产并基于()信心。
A.相关方
B.供应商
C.顾客
D.上级机关
参考答案:
A
[单项选择题]
5、ISMS是基于组织的()风险角度建立的。
A.整体业务
B.财务部门
C.资产安全
D.信息部门
参考答案:
A
[单项选择题]
6、ISMS有效性的定期评审应考虑()、事故、有效性策略结果等内容。
A.识别风险
B.风险评价
C.风险评估方法
D.安全评审结果
参考答案:
D
[单项选择题]
7、关于特权访问,说法正确的是()
A.特权访问用户通常包含顾客
B.特权访问用户必须包含最高管理者
C.特权访问用户的访问权限最大权限原则的的应用
D.特殊访问权应与其职能角色一致
参考答案:
D
[单项选择题]
8、关于信息系统登录口令的管理,以下说法不正确的是()
A.必要时,使用密码技术,生物特征等代替口令
B.用提示信息告知用户输入的口令是否正确
C.明确告知用户应遵从的优质口令策略
D.使用互动式管理确保用户使用优质口令
参考答案:
B
[单项选择题]
9、对于可能超越系统和应用控制的实用程序,以下做法正确的是()
A.实用程序的使用不在审计范围内
B.建立禁止使用的实用程序清单
C.紧急响应时所使用的实用程序不需要授权
D.建立、授权机制和许可使用的实用程序清单
参考答案:
D
[单项选择题]
10、物理安全周边的安全设置应考虑()
A.区域内信息和资产的敏感性分类
B.重点考虑计算机机房,而不是办公区或其他功能区
C.入侵探测和报警机制
D.A+C
参考答案:
D
[单项选择题]
11、信息系统的变更管理不包括()
A.软件的升级
B.系统硬件以旧换新
C.系统终端设备物理位置变更
D.以上全部
参考答案:
D
[单项选择题]
12、以下属于安全办公区域控制的措施是()
A.敏感信息处理设施避免放置在和外部方共用的办公区
B.显著标记“敏感档案存储区,闲人免进”标识牌
C.告知全体员工敏感区域的位置信息,教育员工保护其安全
D.以上都对
参考答案:
A
[单项选择题]
13、设备维护维修时,应考虑的安全措施包括()
A.维护维修前,按规定程序处理或清除其中的信息
B.维护维修后,检查是否有未授权的新增功能
C.敏感部件进行物理销毁而不予送修
D.以上全部
参考答案:
D
[单项选择题]
14、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包括在()的合同中。
A.雇员
B.承包方人员
C.第三方人员
D.a+b+c
参考答案:
D
[单项选择题]
15、容量管理的对象包括()
A.信息系统内存
B.办公室空间和基础设施
C.人力资源
D.A+B+C
参考答案:
D
[单项选择题]
16、为确保信息资产的安全,设备、信息或软件在()之前不应带出组织场所。
A.使用
B.授权
C.检查合格
D.识别出薄弱环节
参考答案:
B
[单项选择题]
17、在运行系统上安装软件,以下说法不正确的是()
A.对于复杂的系统应采取分步部署的策略
B.应在安装前在隔离的环境中完成验收测试
C.应在安装前完成单元测试,随之进行安装然后进行验收测试
D.安装运行后应评审对关键业务应用的影响
参考答案:
C
[单项选择题]
18、依据GB/T22080/ISO/IEC27001,信息系统审计是()
A.发现信息系统脆弱性的手段之一
B.应在系统运行期间进行,以便于准确地发现弱电
C.审计工具在组织内应公开可获取,以便于提升员工的能力
D.只要定期进行,就可以替代内部ISMS审核
参考答案:
A
[单项选择题]
19、以下不属于可降低信息传输中的信息安全风险的措施是()
A.规定使用通信设施的限制规则
B.使用铠甲线缆以及数据加密
C.双路供电以及定期测试备份电机
D.记录物理介质运输全程的交接信息
参考答案:
C
[单项选择题]
20、某台服务器在每个月150小时工作时间内正常工作时间为145小时,该服务器的可用性为()
A.145/295
B.150/295
C.145/150
D.150/145
参考答案:
C
[单项选择题]
21、关于审核准则正确的描述是()
A.与审核依据有关,能够证实的记录、事实陈诉或其他信息
B.一组方针、程序或要求
C.在审核过程中收集到的所有记录、事实陈诉或其他信息
D.将收集到的记录、事实陈诉或其他信息对照审核依据进行评价的结果
参考答案:
B
更多内容请访问《睦霖题库》微信公众号
[单项选择题]
22、以下哪个不是现场审核后的审核结论()
A.文件审核通过与否的结论
B.推荐认证通过的结论
C.有条件的推荐通过认证的结论
D.不推荐认证通过的结论
参考答案:
A
[单项选择题]
23、审核员在现场审核前至少应了解受审核方信息中不包括()
A.受审核方产品/服务流程
B.受审核方使用的法律法规
C.受审核方的经营状况
D.受审核方的规模
参考答案:
C
[单项选择题]
24、认证审核时,审核组有权在现场自行决定变更的事项包括()
A.审核准则
B.审核人日数
C.审核路线
D.应受审核的业务过程
参考答案:
C
[单项选择题]
25、以下属于信息安全管理体系审核发现的是()
A.审核员看到的物理入口控制方式
B.审核员看到的信息系统资源
C.审核员看到的移动介质的使用与安全策略的符合性
D.审核员看到的项目质量保证活动
参考答案:
C
[单项选择题]
26、依据CB/T22080/ISO/IEC27001,以下表明符合资产管理原则的是()
A.将人作为重要资产管理,人的职务级别越高,资产价值赋值越高
B.存储介质作为资产管理,资产价值的赋值介质中各类信息价值的平均
C.信息系统处理涉密信息时,将信息系统密码标记为所处理的信息的最高密级
D.高端服务器因市场价值高,因此资产价值赋值高
参考答案:
C
[单项选择题]
27、审核组中的技术专家是()
A.为审核组提供文化、法律、技术等方面知识咨询的人员
B.特别负责对受审核方的专家技术过程进行审核的人员
C.审核期间为受审核方提供技术咨询的人员
D.从专业的角度对审核员的审核进行观察评价的人员
参考答案:
A
[单项选择题]
28、信息安全风险(R)计算中涉及脆弱性(V),以下说法正确的是()
A.脆弱性是资产性质决定的固有的弱点,其赋值不变
B.如果当前控制措施有效,资产脆弱性赋值可以降低
C.控制措施是管理范畴的概念,脆弱性是技术范畴的概念,二者没有关系
D.只要威胁存在,脆弱性就存在,二者的赋值同向增减
参考答案:
B
[多项选择题]
29、信息安全管理体系认证审核组的能力包括()
A.信息安全事件处理方法和业务连续性的知识
B.有关有形和无形资产及其影响分析的知识
C.风险管理过程和方法的知识
D.信息安全管理体系的控制措施及其实施的知识
参考答案:
A,B,C,D
参考解析:
信息安全管理体系认证审核组的能力包括:
信息安全事故管理、业务连续性管理;资产管理;风险管理;通信和操作管理。
审核组需要通过定义、评估和控制风险,确保经营的持续性和能力。
[多项选择题]
30、以下()活动是ISMS建立阶段应完成的内容。
A.确定范围和边界
B.确定ISMS方针
C.确定风险评估方法并实施
D.实施体系文件培训
参考答案:
A,B,C
参考解析:
建立ISMS组织要做以下方面的工作:
a)确定ISMS的范围和边界;
b)确定ISMS方针;
c)确定组织的风险评估方法
d)识别风险
e)分析和评价风险
f)识别和评价风险处置的可选措施
g)为处理风险选择控制目标和控制措施
h)获得管理者对建议的残余风险的批准
i)获得管理者对实施和运行ISMS的授权
j)准备适用性声明(SoA)
其中d—i属于风险管理阶段
[多项选择题]
31、以下属于“信息处理设施”的是()
A.信息处理系统
B.与信息处理相关的服务
C.与信息处理相关的设备
D.安置信息处理设备的物理场所预设值
参考答案:
A,B,C,D
[多项选择题]
32、关于“信息安全连续性”,以下正确做法包括()
A.人员、设备、设施、场所等的冗余配置
B.定期或实时进行数据备份
C.考虑业务关键性确定恢复优先顺序和目标
D.有保障信息安全连续性水平的过程和程序文件
参考答案:
A,B,C,D
[多项选择题]
33、实施ISMS内部审核,可以确定ISMS的控制目标、控制措施、过程和程序是否()
A.符合ISO/27OO1和相关法律法规的要求
B.符合已识别的信息安全要求
C.得到有效的实施和保持
D.以上都不对
参考答案:
A,B,C
[多项选择题]
34、信息安全方针包括的要求是()
A.考虑业务和法律法规的要求,是合同中的安全义务
B.建立风险评估的准则
C.可测量
D.获得管理者批准
参考答案:
A,B,D
参考解析:
根据业务、组织、位置、资产和技术等方面的特性,确定ISMS方针。
ISMS方针应:
1)包括设定目标的框架和建立信息安全工作的总方向和原则;
2)考虑业务和法律法规的要求,及合同中的安全义务;
3)在组织的战略性风险管理环境下,建立和保持ISMS;
4)建立风险评价的准则;
5)获得管理者批准。
[多项选择题]
35、审核的特点是()
A.审核的信息安全体系必须是文件化的
B.审核活动必须是一种正是有序的活动
C.审核必须具有客观性系统性
D.审核不一定是抽样的
参考答案:
A,B,C
[多项选择题]
36、完整的末次会议内容包括()
A.宣读不合格报告
B.宣读审核结论
C.递交审核报告
D.证后监督要求
参考答案:
A,B,D
[多项选择题]
37、信息安全管理体系绩效测量的开发包括()
A.选择目标和特性
B.确定分析模型
C.确定测量指标
D.确定决策范围
参考答案:
A,B,C,D
[判断题]
38、信息安全管理体系由若干信息安全管理类组成。
参考答案:
对
[判断题]
39、黑色星期四"是因有人通过BELL实验室与Internet连接的有漏洞的机器上放置了一个蠕虫程序而引起网络灾难得名的。
参考答案:
错
[单项选择题]
40、关于实现信息安全过程的描述,以下哪一项论述不正确。
()
A.信息安全的实现是一个大的过程,其中包含许多小的可细分过程
B.组织应该是别信息安全实现中的每一个过程
C.对每一个分解后的信息安全的过程实施监控和测量
D.信息安全的实现是一个技术的过程
参考答案:
D
[单项选择题]
41、计算机信息系统安全专用产品,是指()
A.用于保护计算机信息系统安全的专用硬件产品
B.用于保护计算机信息系统安全的专用软件产品
C.用于保护计算机信息系统安全的专用硬件和软件产品
D.以上都不是
参考答案:
C
[多项选择题]
42、病毒防护必须具备哪些准则()
A.拒绝访问能力
B.病毒检测能力
C.控制病毒传播的能力
D.清除能力、恢复能力、替代操作
参考答案:
A,B,C,D
[多项选择题]
43、实行计算机安全事故和计算机案件报告制度是()。
A.是计算机信息系统安全监察和安全防范、安全管理工作中的重要组成部分
B.是贯彻落实有关安全法规,强化计算机信息系统安全管理的规范性要求
C.是公安机关了解掌握计算机信息系统应用单位内部安全管理情况的手段
D.是国家法规的要求,也是所有计算机使用单位和用户,以及公民应有的职责和义务
参考答案:
A,B,C,D
[填空题]
44物联网安全问题主要表现在哪几个方面?
参考答案:
目前,互联网在发展过程中遇到了两大体系性瓶颈,一个是地址不够,另一个是网络的安全问题。
地址的问题通过IPv6能够解决,但是网络安全问题目前却没有好的解决之道。
如果不能解决网络的可管、可控以及服务质量问题,将会在很大程度上影响物联网的进一步发展。
根据物联网自身的特点,物联网除了面对移动通信网络的传统网络安全问题之外,还存在着一些与已有移动网络安全不同的特殊安全问题。
这是由于物联网是由大量的机器构成,缺少人对设备的有效监控,并且数量庞大,设备集群等相关特点造成的,这些安全问题主要有以下几个方面。
(1)物联网机器/感知节点的本地安全问题。
由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作。
所以物联网机器/感知节点多数部署在无人监控的场景中。
那么攻击者就可以轻易地接触到这些设备,从而对他们造成破坏,甚至通过本地操作更换机器的软硬件。
(2)感知网络的传输与信息安全问题。
感知节点通常情况下功能简单(如自动温度计)、携带能量少(使用电池),使得它们无法拥有复杂的安全保护能力,而感知网络多种多样,从温度测量到水文监控,从道路导航到自动控制,它们的数据传输和消息也没有特定的标准,所以没法提供统一的安全保护体系。
(3)核心网络的传输与信息安全问题。
核心网络具有相对完整的安全保护能力,但是由于物联网中节点数量庞大,且以集群方式存在,因此会导致在数据传播时,由于大量机器的数据发送使网络拥塞,产生拒绝服务攻击。
此外,现有通信网络的安全架构都是从人通信的角度设计的,并不适用于机器的通信。
使用现有安全机制会割裂物联网机器间的逻辑关系。
(4)物联网业务的安全问题。
由于物联网设备可能是先部署后连接网络,而物联网节点又无人看守,所以如何对物联网设备进行远程签约信息和业务信息配置就成了难题。
另外,庞大且多样化的物联网平台必然需要一个强大而统一的安全管理平台,否则独立的平台会被各式各样的物联网应用所淹没,但如此一来,如何对物联网机器的日志等安全信息进行管理成为新的问题,并且可能割裂网络与业务平台之间的信任关系,导致新一轮安全问题的产生。
[单项选择题]
45、对于“利益相关方”的概念,以下陈述错误的是()。
A.对于一项决策活动,可以影响它的个人或组织
B.对于一项决策活动,可以被它影响的个人或组织
C.对于一项决策活动,可以感知被它影响的个人或组织
D.决策者自己不属于利益相关方
参考答案:
D
[单项选择题]
46、选择信息安全控制措施应该()。
A.建立在风险评估的结果至上
B.针对每一种风险,控制措施并非唯一
C.反映组织风险管理战略
D.以上各项都对
参考答案:
D
[单项选择题]
47、以下哪个不是风险管理相关标准()
A.ISO/IECTR13335
B.ISO/IEC27002
C.ISO/IEC27005
D.GB/T20984
参考答案:
A
[单项选择题]
48、以下哪个标准对风险相关的概念作出了描述()
A.AS/NZS4360
B.ISO/IECTR13335-1
C.ISOGuide73
D.以上都是
参考答案:
C
[单项选择题]
49、ISO/IECTR13335提到的4种风险分析方法不包括()
A.基线方法
B.正式方法
C.详细风险分析
D.组合方法
参考答案:
B
[判断题]
50、信息资产的价值可通过定性和定量的方法来描述。
参考答案:
对
[判断题]
51、起不到应有作用的或没有正确实施的安全保护措施本身就可能是脆弱性。
参考答案:
对
[判断题]
52、风险管理是可定性的。
参考答案:
对
[判断题]
53、风险分析要确定风险发生后其影响的大小。
参考答案:
对
[填空题]
54试述管理信息系统在当今的经济和社会环境中的重要性?
参考答案:
管理信息系统是企业管理现代化的重要标志,它对现代企业具有以下几方面的深刻影响:
(1)管理体制合理化。
(2)管理方法科学化。
(3)加强企业管理的基础工作。
(4)提高管理人员的素质和管理水平。
(5)提高企业的经济效益和社会效益。
[填空题]
55信息有哪些基本性质?
有哪些性质和物质的性质不同?
为什么?
参考答案:
(1)事实性是信息的第一和基本的性质;
(2)等级性分为战略级信息(是关系到企业长远命运和全局的信息)、策略级信息(是关系到企业运营管理的信息)和执行级(是关系到企业业务运作的信息),由于来源、寿命、保密程度、加工方法、使用频率、精度等不同,所以信息等级不同;
(3)可压缩性指信息可以进行浓缩、集中、概括以及综合,而不至于丢失信息的本质;
(4)扩散性是说明信息的浓度越大,信息源和接收者之间的梯度越大,信息的扩散力度越强(存在利于传播又造成贬值的两面性);
(5)传输性是指信息传输既快又便宜,远远优于物质的运输;
(6)分享性与物质交换的零和性相反,信息只能共享不能交换,只有达到企业共享,信息才能真正成为企业资源,信息分享没有直接损失但可能造成间接损失;
(7)增值性是指用于某种目的的信息,随着时间的推移可能价值耗尽,但对另一种目的可能又显示出用途,信息的增殖在量变的基础上可能产生质变,在积累的基础上可能产生飞跃;
(8)转换性,信息、物质和能源是人类现在利用的三项重要的宝贵资源,三位一体互相不能分割,又是可以互相转化的。
[填空题]
56计算机中有哪几种类型的数据?
它们是如何表示的?
参考答案:
(1)进位计数制,由三个基本要素组成,即基数、数符和位权值,特点是按基数来进位和借位,按位权值展开并相加,计算机内部运行是二进制、编程用八进制和十六进制、输入输出为十进制;
(2)数值型数据,计算机使用同样的数据长度,整数2或4字节、非整数4或8字节,数的最高位0代表正数、1代表负数,小数点是隐含的,其位置固定的是定点数、可变的为浮点数;
(3)字符型数据,ASCⅡ码是美国标准信息码,用7个二进制数据表示一个字符,共128种基本字符和功能符,并在7个数据位的最左边添上一个奇偶校验位(使偶校验系统中的全部字符码都具有偶数个1),扩充的ASCⅡ码为8个二进制数据,可表示256种字符和功能符;BCD码是为方便十进制数转化为二进制数而进行的编码;
(4)汉字数据,1981年的国标码(汉字交换码)收入6763个汉字、687个外文字母,每个字符由一个2字节代码串组成,最高位恒为0;机内码则把最高位置1;输入码随不同输入法变化,通过键盘管理程序转换为机内码;字形码用于显示打印汉字,24×24占72字节,48×48占288字节;
(5)音频、视频数据,通过声频、视频卡进行数模转换。
[填空题]
57什么是E-R图?
如何设计E-R图,并根据E-R图设计关系数据库的概念模式?
参考答案:
E-R图为实体-联系图,提供了表示实体型、属性和联系的方法,用来描述现实世界的概念模型。
设计:
⑴确定所有的实体集合
⑵选择实体集应包含的属性
⑶确定实体集之间的联系
⑷确定实体集的关键字,用下划线在属性上表明关键字的属性组合
⑸确定联系的类型,在用线将表示联系的菱形框联系到实体集时,在线旁注明是1或n(多)来表示联系的类型
[多项选择题]
58、下列哪些行为是电子邮件管理规定所禁止的()。
A.发送或者转发与工作业务无关的个人信息
B.发送或者转发虚假、黄色、反动信息
C.发送或者转发宣扬个人政治倾向或者宗教信仰
D.发送或者转发发送垃圾信息
E.发送的附件必须提前进行病毒的查杀
F.发送口令、密钥、信用卡等的敏感信息
参考答案:
A,B,C,D,F
[多项选择题]
59、对重要系统防范恶意软件的特殊要求()。
A.各部门应按照信息备份的要求进行重要数据和软件的备份
B.如果发生信息处理设施受到病毒或其他种类的恶意软件攻击的事故,应由系统运营部确认事故原因后,由相关部门或人员对被破坏数据或软件进行恢复
C.各个部门安装的外购软件应从正式渠道获得安装介质
D.对于自行开发的软件都必须由开发部门测试其安全性,经确认安全后方可安装
参考答案:
A,C,D
[多项选择题]
60、下列哪些区域属于一般安全*区域()。
A.员工办公区域
B.部门经理办公区域
C.公司总经理办公区域
D.乙烯机房
参考答案:
A,B,C
升级会员 