《CCAA考试的ISMS题库及模拟题内容.docx》由会员分享,可在线阅读,更多相关《CCAA考试的ISMS题库及模拟题内容.docx(273页珍藏版)》请在万库资料网上搜索。
1、Page 1 of 2ISMS题库与答案汇编第 1 题:单选题(本题1分)11. 关于信息系统登录口令的管理,以下做法不正确的是: (A)必要时,使用密码技术、生物识别等替代口令 (B)用提示信息告知用户输入的口令是否正确(C)明确告知用户应遵从的优质口令策略 (D)使用互动式管理确保用户使用优质口令 第 2 题:单选题(本题1分)12. 对于可能超越系统和应用控制的实用程序,以下说法正确的是:() (A)实用程序的使用不在审计范围内(B) 建立禁止使用的实用程序清单(C) 应急响应时需使用的实用程序不需额外授权(D) 建立鉴别、授权机制和许可使用的实用程序清单第 3 题:单选题(本题1分)1
2、3. 关于密码技术和密码产品,以下说法正确的是: (A) 未经批准,禁止出口密码技术和密码产品,但进口不受限 (B) 未经许可,禁止销售商用密码产品,但自行研发供自行使用不受限(C)未经指定,禁止生产商用密码产品 (D)密码技术和密码产品均是国家秘密,须实行专控管理 第 4 题:单选题(本题1分)64. 信息系统的安全保护等级分为:() (A)三级 (B)五级 (C)四级 (D)二级第 5 题:单选题(本题1分)65. 如果信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造 成损害,则应具备的保护水平为:()(A)三级 (B)二级 (C)四级 (D)五级第 6 题:单选题
3、(本题1分)66. 关于信息安全产品的使用,以下说法正确的是:()(A) 对于所有的信息系统,信息安全产品的核心技术、关键部件须具有我国自主知识产权.(B) 对于三级以上信息系统,己列入信息安全产品认证目录的,应取得国家信息安全产品认证机构颁发的认证证书。 (C) 对于四级以上信息系统,信息安全产品研制的主要技术人员须无犯罪记录(D) 对于四级以上信息系统,信息安全产品研制单位须声明没有故意留有或设置漏洞 2020/9/29第 7 题:单选题(本题1分)67. 关于中华人民共和国保密法,以下说法正确的是: (A)该法的目的是为了保守国家秘密而定 (B)该法的执行可替代以IS0/IEC27001
4、为依据的信息安全管理体系(C)该法适用于所有组织对其敏感信息的保护(D)国家秘密分为秘密、机密、绝密三级,由组织自主定级、自主保护第 8 题:单选题(本题1分)68. 旨在评估信息安全管理体系有效(A)IS0/IEC27001(B)IS0/IEC27002 (C)IS0/IEC27006 (D)IS0/IEC27004第 9 题:单选题(本题1分)69. 依据IS0/IEC27005,关于风险处置,以下说法正确的是:() (A)须按风险降低,风险保留、风险避免、风险分担顺序进行 (B) 应组合使用风险降低、风险保留、风险避免、风险分担的手段 (C) 风险降低、风险保留、风险避免、风险分担须择一
5、使用而放弃其他手段(D)须按风险避免、风险降低、风险分担、风险保留顺序进行 第 10 题:单选题(本题1分)70. 数字签名是指附加在数据单元上的数据,或是对数据单元所作的密码受损,这种数据或 变换允许数据单元的接受者用以确认数据单元的(),并保护数据,防止被人(例如接受者) 伪造或抵赖(A)来源和有效性(B)格式和完整性(C)来源和符合性(D)来源和完整性 ISMS题库第 11 题:单选题(本题1分)71. 关于信息安全管理体系认证,以下说法正确的是: (A)授予认证决定的实体不宜推翻审核组的正面结论 (B)授予认证决定的实体不宜推翻审核组的负面结论(C)认证机构应对客户组织的ISMS至少进
6、行一次完整的内部审核(D)认证机构必须遵从客户组织规定的内部审核和管理评审的周期 第 12 题:单选题(本题1分)72. 关于信息安全管理体系认证,以下说法正确的是: (A)负责作出认证决定的人员中应至少有一人参与了审核(B)负责作出认证决定的人员必须是审核组组长(C) 负责作出认证决定的人员不应参与审核 (D) 负责作出认证决定的人员应包含参与预审核的人员第 13 题:单选题(本题1分)73. 关于顾客满意,以下说法正确的是:() (A)顾客没有抱怨,表示顾客满意 (B)信息安全事件没有给顾客造成实质性的损失,就意味着顾客满意(C)顾客认为其要求己得到满足,即意味着顾客满意 (D)组织认为顾
7、客要求己得到满足,即意味着顾客满意 第 14 题:单选题(本题1分)74. 关于散布图,以下说法正确的是: (A)是描述特性值分布区间的图一一趋势图(B)是描述一对变量关系的图一一散布图(C)是描述特性随时间变化趋势的图一一趋势图(D)是描述变量类别分布的图一一直方图第 15 题:单选题(本题1分)75. 关于投诉处理过程的设计,以下说法正确的是: (A)投诉处理过程应易于所有投诉者使用广(B)投诉处理过程应易于所有投诉响应者使用(C)投诉处理过程应易于所有投诉处理者使用 (D)投诉处理过程应易于为投诉处理付费的投诉者使用 第 16 题:单选题(本题1分) 76.风险责任人是指:()(A) 具
8、有责任和权限管理一项风险的个人或实体 (B) 实施风险评估的组织的法人 (0实施风险评估的项目负责人或项目任务责任人(D)信息及信息处理设施的使用者 第 17 题:单选题(本题1分) 77.纠正措施是指:()(A) 消除己发现的不符合的措施 (B) 消除己发现的不符合的原因的措施(C)消除潜在不符合的措施 (D)消除潜在不符合的原因的措施 第 18 题:单选题(本题1分)78.关于IS0/IEC27002标准,以下说法正确的是:()(A)提供了选择控制措施的指南,可用作信息安全管理体系认证的依据 (B)提供了选择控制措施的指南,不可用作信息安全管理体系认证的依据(C)提供了信息安全风险评估的指
9、南,是IS0/IEC27001的构成部分 (D)提供了信息安全风险评估的依据,是实施IS0/IEC27000的支持性标准 第 19 题:单选题(本题1分) 79.信息安全控制目标是指:()(A)对实施信息安全控制措施拟实现的结果的描述(B)组织的信息安全策略集的描述 (C)组织实施信息安全管理体系的总体宗旨和方向(D)A+B第 20 题:单选题(本题1分)80. 设置研发内部独立内网是采取()的控制措施(A)上网流量管控 (B)行为管理 (C)敏感系统隔离(D)信息交换ISMS题库第 21 题:单选题(本题1分)81. Cp是理想过程能力指数,Cpk是实际过程能力指数,以下哪个是正确的()?
10、(A)CpCpk(B)Cp(C)Cp=Cp第 22 题:单选题(本题1分)82. 信息安全是保证信息的保密性、完整性、() (A)充分性 (B)适宜性 (C)可用性 (D)有效性 第 23 题:单选题(本题1分)83. 应为远程工作活动开发和实施策略、()和规程 (A)制定目标 (B)明确职责 (C)编制作业指导书 (D)操作计划第 24 题:单选题(本题1分)84. 个信息安全事件由单个的或一系列的有害或一系列()信息安全事态组成,它们具有损害业务运行和威胁信息安全的极大可能性 (A)已经发生 (B)可能发生 (C)意外 (D) A+B+C第 25 题:单选题(本题1分)85. 根据互联网信
11、息服务管理办法规定,国家对经营性互联网信息服务实行() (A)国家经营 (B)地方经营 (C)许可制度 (D)备案制度 第 26 题:单选题(本题1分) 86.以下说不正确的是()(A)应考虑组织架构与业务目标的变化对风险评估结果进行再评审(B)应考虑以往未充分识别的威胁对风险评估结果进行再评估 (C)制造部增加的生产场所对信息安全风险无影响(D)安全计划应适时更新 第 27 题:单选题(本题1分)87. 组织在建立和评审信息安全管理体系时,应考虑()(A)风险评估的结果 (B)管理方案 (C)法律、法规和其他要求 (D)A+C第 28 题:单选题(本题1分)88. 管理体系是指()(A)建立
12、方针和目标并实现这些目标的体系(B)相互关联的相互作用的一组要素 (C)指挥和控制组织的协调活动(D)以上都对第 29 题:单选题(本题1分)风险评价是指在( )的基础上,对风险发生的概率、损失程度,结合其他因素进行全面考虑,评估发生风险的可能性及其危害程度,并与公认的安全指标相比较,以衡量风险的程度,并决定是否需要采取相应的措施。 A风险识别和风险估价B感知风险和控制风险C风险识别和风险估测D风险分析和风险评价 第 30 题:单选题(本题1分)90. 以下属于计算机病毒感染事件的纠正措施的是() (A)对计算机病毒事件进行响应和处理 (B)将感染病毒的计算机从网络隔离(C)对相关责任人进行处
13、罚(D)以上都不对ISMS题库第 31 题:单选题(本题1分)91. 监督、检查、指导计算机信息系统安全保护工作是()对计算机信息系统安全保护履行法定职责之一(A)电信管理机构 (B)公安机关 (C)国家安全机关(D)国完保密局 第 32 题:单选题(本题1分) 92.国家秘密的密级分为()(A)绝密 (B)机密 (C)秘密(D)以上都对第 33 题:单选题(本题1分)93. 信息安全等级保护管理办法规定,应加强涉密信息系统运行中的保密监督检查对秘 密级、机密级信息系统每()至少进行一次保密检查或系统测评(A)半年(B)l 年(C)1.5年 (D)2年 第 34 题:单选题(本题1分)94.
14、中华人民共和国认证认可条例规定,认证人员自被撤销职业资格之日起()内,认 可机构再接受其注册申请(A)2年 (B)3年 (C)4年 (D)5年 第 35 题:单选题(本题1分)95. 信息安全管理体系认证机构要求中规定,第二阶段审核()进行(A)在客户组织的场所 (B)在认证机构以网络访问的形式 (0以远程视频的形式 (C)以上都对第 36 题:单选题(本题1分)96. 以下关于认证机构的监督要求表述错误的是()(A) 认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方 案,并判断方案的合理性 (B) 认证机构的监督方案应由认证机构和客户共同来制定(C)监督审核可以与
15、其他管理体系的审核相结合 (D)认证机构应对认证证书的使用进行监督 第 37 题:单选题(本题1分) 97.渗透测试()(A) 可能会导致业务系统无法正常运行 (B) 是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法 (C) 渗透人员在局域网中进行测试,以期发现和挖掘系统存在的漏洞,然后输出渗透测试报告 (D)必须在计算机网络系统首次使用前进行,以确保系统安全 第 38 题:单选题(本题1分)98.以下哪个算法是非对称加密算法?() (A)RSA (B) DES (C) 3DES (D)AES第 39 题:单选题(本题1分)100. 以下关于入侵检测系统功能的叙述中,()是
16、不正确的 (A) 保护内部网络免受非法用户的侵入 (B) 评估系统关键资源和数据文件的完整性 (C) 识别己知的攻击行为(D) 统计分析异常行为第 40 题:单选题(本题1分)101. 容灾就是减少灾难事件发生的可能性以及限制灾难对()所造成的影响的一整套行为(A)销售业务流程 (B)财务业务流程 (C)生产业务流程 (D)关键业务流程 ISMS题库第 41 题:单选题(本题1分)102.()属于管理脆弱性的识别对象 (A)物理环境 (B)网络结构 (C)应用系统(D)技术管理 第 42 题:单选题(本题1分)106.信息系统的变更管理不包括:() (A) 软件的升级(B) 系统硬件以旧换新
17、(C)系统终端设备物理位置变更 (D)以上全部 第 43 题:单选题(本题1分)105.被黑客控制的计算机常被称为() (A)蠕虫 (B)肉鸡 (C)灰鸽子 (D)木马第 44 题:单选题(本题1分)107. 从技术的角度讲,数据备份的策略不包括() (A)完全备份 (B)增量备份 (C)定期备份 (D)差异备份第 45 题:单选题(本题1分)108. 以下哪个不属于信息安全的三要素之一? (A)机密性 (B)完整性 (C)抗抵赖性 (D)可用性 第 46 题:单选题(本题1分)109. 信息安全管理实用规则ISO/IEC27002属于()标准 (A)词汇类标准 (B)指南类标准 (C)要求类
18、标准 (D)技术类标准 第 47 题:单选题(本题1分)110、依据 GB/T22080/IS0/IEC27001 的要求,管理者应() (A)制定ISMS目标和计划 (B)实施ISMS管理评审(0决定接受风险的准则和风险的可接受级别 (D)以上都不对第 48 题:单选题(本题1分)111. 以下对ISO/IEC27002的描述,正确的是() (A)该标准属于要求类标准 (B)该标准属于指南类标准 (C)该标准可用于一致性评估 (D)组织在建立ISMS时,必须满足该标准的所有要求 第 49 题:单选题(本题1分)112. 要确保信息受到适当等级的保护,需要() (A) 对不同类别的信息分别标记
19、和处理 (B) 将所有信息存放于重要服务器上,严加保管 (C) 应将重要信息打印,加盖机密章后锁起来(D) 以上都不对第 50 题:单选题(本题1分)113. 对于信息安全方针,()是IS0/IEC27001所要求的 (A) 信息安全方针应形成文件 (B) 信息安全方针文件为公司内部重要信息,不得向外部泄露 (C) 信息安全方针文件应包括对信息安全管理的一般和特定职责的定义(D) 信息安全方针是建立信息安全工作的总方向和原则,不可变更 ISMS题库第 51 题:单选题(本题1分)114. 适用性声明文件应() (A) 描述与组织相关和适用的控制目标和控制措施 (B) 版本应保持稳定不变(C)
20、应包含标准GB/T22080附录A的所有条款 (D) 应删除组织不拟实施的控制措施 第 52 题:单选题(本题1分)115. 信息系统的变更管理包括() (A)系统更新的版本控制 (B)对变更申请的审核过程 (0变更实施前的正式批准 (D)以上全部 第 53 题:单选题(本题1分)116. 越下对信息安全描述不准确的是() (A)保密性、完整性、可用性 (B)适宜性、充分性、有效性 (C)保密性、完整性、可核查性 (D)真实性、可核查性、可靠性 第 54 题:单选题(本题1分)117. ISMS文件的多少和详细程度取决于() (A)组织的规模和活动的类型 (B)过程及其相互作用的复杂程度 (C
21、)人员的能力 (D)以上都对第 55 题:单选题(本题1分)118. ISMS管理评审的输出应考虑变更对安全规程和控制措施的影响,但不包括() (A)业务要求变更 (B)合同义务变更 (C)安全要求的变更 (D)以上都不对第 56 题:单选题(本题1分)119. 经过风险处理后遗留的风险通常称为() (A)重大风险(B)有条件的接受风险 (C)不可接受的风险 (D)残余风险第 57 题:单选题(本题1分)120、 在公共可用系统中可用信息的()宜受保护,以防止未授权的修改 (A)保密性 (B)可用性 (C)完整性 (D)不可抵赖性 第 58 题:单选题(本题1分)121. 当操作系统发生变更时
22、,应对业务的关键应用进行()以确保对组织的运行和安全没有 负面影响(A)隔离和迁移 (B)评审和测试 (C)评审和隔离 (D)验证和确认第 59 题:单选题(本题1分)122. 应要求信息系统和服务的()记录并报告观察到的或怀疑的任何系统或服务的安全弱点(A)雇员 (B)承包方 (C)第三方人员 (D)以上全对第 60 题:单选题(本题1分)123. 主体访问权限的()即仅执行授权活动所必需的那些权利被称为(A)最高限度 (B)最低限度 (C)平均限度 (D)次低限度 ISMS题库第 61 题:单选题(本题1分)124. 远程访问就是从另一网络或者从一个()到所访问网络的终端设备上访问网络资源
23、的过程 (A)连接 (B)永不连接 (C)并不永久连接 (D) 第 62 题:单选题(本题1分)125. 业务连续性管理主要目标是防止业务活动中断,保护关键业务过程免受信息系统重大失 误或灾难的影响,并确保他们的及时() (A)可用 (B)恢复 (C)回退 (D)维护第 63 题:单选题(本题1分) 126.ISMS文档体系中第一层文件是?(A)信息安全方针政策 (B)信息安全工作程序 (C)信息安全作业指导书 (D)信息安全工作记录第 64 题:单选题(本题1分)127.当访问某资源存在不存活的联接时,会导致非法用户冒用并进行重放攻击的可能性,因 此应采取() 控制措施 (A)密码控制(B)
24、密匙控制 (C)会话超时 (D)远程访问控制 第 65 题:单选题(本题1分)开发、测试和()设施应分离,以减少未授权访问或改变运行系统的风险(A)配置(B)系统 (C)终端 (D)运行 第 66 题:单选题(本题1分)129.ISMS有效性的定期评审应考虑()、事故、有效性策略结果等内容 (A)识别风险 (B)风险评价 (C)风险评估方法 (D)安全评审结果 第 67 题:单选题(本题1分) 130.符合性要求包括() (A)知识产权保护 (B)公司信息保护 (C)个人隐私的保护 (D)以上都对第 68 题:单选题(本题1分)131.容灾的目的和实质是() (A)数据备份 (B)系统的 (C
25、)业务连续性管理 (D)防止数据被破坏 第 69 题:单选题(本题1分) 132.以下描述正确的是()(A) 只要组织的业务不属于网络实时交易,即可不考虑应用“时钟同步”(B) 对一段时间内发生的信息安全事件类型、频次、处理成本的统计分析不属于事件管理的 范畴(C)实施信息安全管理,须考虑各利益相关方的需求以及可操作性方面的权衡 (D)撤销对信息和信息处理设施的访问权是针对的组织雇员离职的情况第 70 题:单选题(本题1分) 133.以下描述不正确的是()(A) 防范恶意和移动代码的目标是保护软件和信息的完整性 (B) 纠正措施的目的是为了消除不符合的原因,防止不符合的再发生(C)风险分析、风
26、险评价、风险处理的整个过程称为风险管理 (D)控制措施可以降低安全事件发生的可能性,但不能降低安全事件的潜在影响ISMS题库第 71 题:单选题(本题1分)134. 系统备份与普通数据备份的不同在于,它不仅备份系统中的数 应用程序,数据库系统、用户设置、系统参数等信息,以便迅速()(A)恢复全部程序 (B)恢复网络设置 (C)恢复所有数据 (D)恢复整个系统第 72 题:单选题(本题1分)135. 计算机病毒是计算机系统中一类隐藏在()上蓄意破坏的捣乱程序(A)内存 软盘 (C)存储介质 (D)网络第 73 题:单选题(本题1分) 136.以下说法不正确的是()(A)信息网络的物理安全要从环境
27、安全和设备安全两个角度来考虑(B)网络边界保护主要采用防火墙系统(C) 防火墙安全策略一旦设定,就不能再做任何改变(D) 数据备份按数据类型划分可以分成系统数据备份和用户数据备份第 74 题:单选题(本题1分)137. 访问控制是指确定()以及实施范文权限的过程(A)用户权限 (B)可给予哪些主体访问权利(C)可被用户访问的资源 (D)系统是否遭受入侵 第 75 题:单选题(本题1分)138. 信息安全管理体系是用来确定() (A)组织的管理效率 (B) 产品和服务符合有关法律法规程度 (C) 信息安全管理体系满足审核准则的程度(D)信息安全手册与标准的符合程度 第 76 题:单选题(本题1分
28、)139. 安全区域通常的防护措施有()(A) 公司前台的电脑显示器背对来防者 (B) 进出公司的访客须在门卫处进行登记(C) 弱点机房安装有门禁系统(D) A+B+C第 77 题:单选题(本题1分)140. 在信息安全管理中进行(),可以有效解决人员安全意识薄弱问题(A)内容监控 (B)安全教育和培训 (C)责任追查和惩处 (D)访问控制 第 78 题:单选题(本题1分)141. 信息安全管理体系的设计应考虑() (A) 组织的战略 (B) 组织的目标和需求 (C) 组织的业务过程性质(D) 以上全部 第 79 题:单选题(本题1分)142. 抵御电子邮箱入侵措施中,不正确的是() (A)
29、不用生日做密码 (C)不要使用纯数字 (B) 不要使用少于5位的密码 (D)自己做服务器 第 80 题:单选题(本题1分)143. 对于所有拟定的纠正和预防措施,在实施前应先通过()过程进行 (A)薄弱环节识别 (B)风险分析 (C)管理方案 (D) A+BISMS题库第 81 题:单选题(本题1分)144. 建立ISMS体系的目的,是为了充分保护信息资产并给予()信;I(A)相关方 (B)供应商 (C)顾客 (D)上级机关第 82 题:单选题(本题1分)145. 口令管理系统应该是(),并确保优质的口令 (A)唯一式 (B)交互式 (C)专人管理式 第 83 题 : 单 选 题 ( 本 题
30、1 分 ) 146.GB/T22080标准中所指资产的价值取决(A) 资产的价格 (B) 资产对于业务的敏感度 (C) 资产的折损率 (D) 以上全部 第 84 题:单选题(本题1分)147. 加强网络安全性的最重要的基础措施是() (A)设计有效的网络安全策略 (B)选择更安全的操作系统(C)安装杀毒软件 (D)加强安全教育 第 85 题:单选题(本题1分)148. 在考虑网络安全策略时,应该在网络安全分析的基础上从以下哪两个方面提出相应的对 策? () (A)硬件和软件 (B)技术和制度 (C)管理员和用户 (D)物理安全和软件缺陷 第 86 题:单选题(本题1分)149. 以下()不是访
31、问控制策略中所允许的 (A) 口令使用 (B)无人值守的用户设备的适当保护(C)清空桌面 (D)屏幕上留存经常工作用文档第 87 题:单选题(本题1分)150. 某种网络安全威胁是通过非法手段对数据进行恶意修改,这种安全威胁属于() (A)窃听数据 (B)破坏数据完整性 (C)破坏数据可用性 (D)物理安全威胁第 88 题:单选题(本题1分)151. 以下()不是信息安全管理体系中所指的资产 (A)硬件、软件、文档资料 (B) 关键人员(C) 信息服务(D) 桌子、椅子 出处:GB29246 2. 3第 89 题:单选题(本题1分)152. 信息安全方针可以不包括的要求是()(A) 考虑业务和
32、法律法规的要求,是合同中的安全义务(B) 建立风险评估的准则(C)可测量(D)获得管理者批准 第 90 题:单选题(本题1分)153. 构成风险的关键因素有()(A) 人、财、物(B)技术、管理和操作 (C) 资产、威胁和弱点(D)资产、可能性和严重性 ISMS题库第 91 题:单选题(本题1分)154. 般来说单位工作中()安全风险最大 (A) 临时员工(B)外部咨询人员(C)对公司不满的员工(D)离职员工 第 92 题:单选题(本题1分)155. ()是指系统、服务或网络的一种可识别的状态的发生,_反或控制措施的失效,或是和安全相关的一个先前未知的状态 (A)信息安全事态(B)信息安全事件
33、 (C)信息安全事故(D)信息安全故障 第 93 题:单选题(本题1分)156. ISMS指的是什么? (A)信息安全管理(B)信息系统管理体系 (0信息系统管理安全(D)信息安全管理体 第 94 题:单选题(本题1分)157. 信息安全中的可用性是指 A根据授权实体的要求可访问和利用的特性 B信息不能被未授权的个人,实体或者过程利用或知悉的特性 C保护资产的准确和完整的特性 D反应失误真是情况的程度 第 95 题:单选题(本题1分)158. 保密性是 (A) 根据授权实体的要求可访问的特性 (B) 信息不被未授权的个人、实体或过程利用或知悉的特性 (C) 保护信急准确和完整的特性 (D) 都
34、不对第 96 题:单选题(本题1分)159. 描述组织采取适当的控制措施的文档是()(A) 管理手册(B) 适用性声明 (C) 风险处置计划(D) 风险评估程序 第 97 题:单选题(本题1分)160. 管理者应() (A)制定ISMS方针(B)制定ISMS目标和计划(C)实施ISMS内部审核 (D)确保ISMS管理评审的执行 第 98 题:单选题(本题1分)7. 依据GB/T22080/IS0/IEC27001,关于网络服务的访问控制策略,以下正确的是()(A) 没有陈述为禁止访问的网络服务,视为允许访问的网络服务(B) 对于允许访问的网络服务,默认可通过无线、VPN等多种手段链接 (C)
35、对于允许访问的网络服务,按照规定的授权机制进行授权(D) 以上都对第 99 题:单选题(本题1分)8. 为信息系统用户注册时,以下正确的是: (A) 按用户的职能或业务角色设定访问权(B) 组共享用户ID按组任务的最大权限注册(C) 预设固定用户ID并留有冗余,以保障可用性 (D) 避免频繁变更用户访问权第 100 题:单选题(本题1分)9. 关于特权访问,以下说法正确的是:() (A)特权访问用户通常须包含顾客 (B) 特权访问用户必须包含最高管理者 (C) 特权访问用户的访问权限最大权限原则的应用(D)特殊访问权应与其职能角色一致 ISMS题库第 101 题:单选题(本题1分)10. 关于
36、用户访问权,以下做法正确的是: (A) 用户岗位变更时,其原访问权应终止或撤销(B) 抽样进行针对信息系统用户访问权的定期评审(C) 组织主动解聘员工时可不必复审员工访问权(D) 使用监控系统可替代用户访问权评审第 102 题:单选题(本题1分)11. 关于信息系统登录口令的管理,以下做法不正确的是: (A) 必要时,使用密码技术、生物识别等替代口令 (B) 用提示信息告知用户输入的口令是否正确(C) 明确告知用户应遵从的优质口令策略 (D) 使用互动式管理确保用户使用优质口令 第 103 题:单选题(本题1分)12. 对于可能超越系统和应用控制的实用程序,以下说法正确的是:()(A) 实f程
37、序的使用不在审计范围内(B) 建立禁止使用的实用程序清单(C) 应急响应时需使用的实用程序不需额外授权(D) 建立鉴别、授权机制和许可使用的实用程序清单第 104 题:单选题(本题1分)13. 关于密码技术和密码产品,以下说法正确的是: (A) 未经批准,禁止出口密码技术和密码产品,但进口不受限 (B) 未经许可,禁止销售商用密码产品,但自行研发供自行使用不受限 (C) 未经指定,禁止生产商用密码产品 (D) 密码技术和密码产品均是国家秘密,须实行专控管理 第 105 题:单选题(本题1分)14. 物理安全周边的安全设置应考虑:() (A)区域内信息和资产的敏感性分类(B)重点考虑计算机机房,
38、而不是办公区域或其他功能区(C)入侵探测和报警机制 (D)A+C第 106 题:单选题(本题1分) 161 完整性是指()(A) 根据授权实体的要求可访问的特性 (B) 信息不被未授权的个人、实体或过程利用或知悉的特性 (C) 保护资产准确和完整的特性 (D) 以上都不对第 107 题:单选题(本题1分)162. 关于信息安全策略,下列说法正确的是()(A) 信息安全策略可以分为上层策略和下层策略 (B) 信息安全方针是信息安全策略的上层部分 (C)信息安全策略必须在体系建设之初确定并发布 (D) 信息安全策略需要定期或在重大变化时进行评审第 108 题:单选题(本题1分)163. 下列说法不
39、正确的是()(A) 残余风险需要获得风险责任人的批准 (B) 适用性声明需要包含必要的控制及其选择的合理性说明 (C)所有的信息安全活动都必须有记录 (D)组织控制下的员工应了解信息安全方针第 109 题:单选题(本题1分)164. 附录A有()安全域 (A)18个(B)16个(C)15个(D) 14第 110 题:单选题(本题1分)165. 文件化信息是指()(A) 组织创建的文件 (B) 组织拥有的文件 (C) 组织要求控制和维护的信息及包含该信息的介质(D) 对组织有价值的文件 ISMS题库第 111 题:单选题(本题1分)166. 设施维护维修时,应考虑的安全措施包括()(A) 维护维
40、修前,按规定程序处理或清除其中的信息 (B) 维护维修后,检查是否有未授权的新增功能 (0敏感部件进行物理销毁而不予送修 (D)以上全部 第 112 题:单选题(本题1分)167. 信息安全管理体系国际标准族中关于信息安全管理测量的标准是() (A)ISO/IEC27002(B)IS0/IEC27003 (C)ISO/IEC27004(D)IS0/IEC27005第 113 题:单选题(本题1分)168. 某公司为软件开发企业,在建立ISMS时却对附录A的“(A) 14. 1. 1安全要求分析和说 明”进行了删减,删减理由为公司使用的系统为非定制系统,相关风险可以接受()(A)不合理(B)合理
41、(C)不一(D)以上都不对第 114 题:单选题(本题1分)169. 文件化信息创建和更新时,下列哪个活动不是必须的?()(A) 组织应确保适当的标识和描述 (B) 组织应确保适当的格式和介质(C) 组织应确保适当的对适应性和充分性进行评审和批准 (D) 组织应确保适当的访问控制 第 115 题:单选题(本题1分)170. 信息系统审核()(A) 是发现信息系统脆弱性的手段之一 (B) 应在系统运行期间进行,以便于准确地发现弱点(C) 审核工具在组织内应公开可获取,以便于提升员工的能力 (D) 只要定期进行,就可以替代内部ISMS审核 第 116 题:单选题(本题1分)171. 在ISO/IE
42、C27005信息安全风险管理中风险管理过程包括确定 险处置、()、风险沟通和风险监视和评审 (A)风险接受(B)风险再评估(C)风险保持(D)风险维护第 117 题:单选题(本题1分)172. 在我国信息系统安全等级保护的基本要求中针对每一 (A)设备要求和网络要求(B)硬件要求和软件要求(C)物理要求和应用要求(D)技术要求和管理要求 第 118 题:单选题(本题1分)173. 在风险评估中进行资产的价值估算时,下列哪个不会影响资产的价值() (A)资产的替代价值(B)资产丧失或损坏的业务影响 (C)资产本身的购买价值(D)资产的存放位置 第 119 题:单选题(本题1分)174. 某公司进
43、行风险评估后发现公司的无线网络存在大的安全隐患,为了处置这个风险,公 司不再提供无线网络用于办公,这种处置方式属于()(A) 风险接受(B)风险规避(C)风险转移(D)风险减缓第 120 题:单选题(本题1分) 175.密码技术可以保护信息的() (A)保密性 (B) 完整性(C)可用性 (D) A+BISMS题库第 121 题:单选题(本题1分)176. 设置防永墙策略是为了()(A) 进行访问控制(B)进行病毒防范(C)进行邮件内容过滤(D)进行流量控制 第 122 题:单选题(本题1分)177. 审核计划中应包括()(题目错误应为多选) (A)本次机其后续审核的时间安排 (B) 审核准则(C) 审核组成员及分工(D)审核的日程安排 第 123 题:单选题(本题1分)178. 审核发现是指()(A) 审核中观察到的事实(B) 审核的不符合项(C) 审核中收集到的审核证据对照审核准则评价的结果 (D) 审核中的观察项第 124 题:单选题(本题1分)179. 以下哪个选项不是ISMS第一价段审核的目的()(A) 获取对组织信息安全管理体系的了解和认识(B) 了