1、精選優質文檔-傾情為你奉上1. 以下對信息安全描述不正確的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企業信息系統能夠連續、可靠、正常地運行，使安全事件對業務造成的影響減到最小，確保組織業務運行的連續性C.信息安全就是不出安全事故/事件D.信息安全不僅僅只考慮防止信息泄密就可以了【答案】 C2. 以下對信息安全管理的描述錯誤的是A.保密性、完整性、可用性B.抗抵賴性、可追溯性C.真實性私密性可靠性D.增值性【答案】 D3. 以下對信息安全管理的描述錯誤的是A.信息安全管理的核心就是風險管理B.人們常說，三分技術，七分管理，可見管理對信息安全的重要性C.安全技術是信息安

2、全的構筑材料，安全管理是真正的粘合劑和催化劑D.信息安全管理工作的重點是信息系統，而不是人【答案】 D4. 企業按照標準建立信息安全管理體系的過程中，對關鍵成功因素的描述不正確的是A. 不需要全體員工的參入，只要部門的人員參入即可B.    來自高級管理層的明確的支持和承諾C.對企業員工提供必要的安全意識和技能的培訓和教育D.  所有管理者、員工及其他伙伴方理解企業信息安全策略、指南和標準，并遵照執行【答案】 A5. 信息安全管理體系（ISMS）是一個怎樣的體系，以下描述不正確的是A. ISMS是一個遵循PDCA模式的動態發展的體系B. 

3、60;  ISMS是一個文件化、系統化的體系C.ISMS采取的各項風險控制措施應該根據風險評估等途徑得出的需求而定D.  ISMS應該是一步到位的，應該解決所有的信息安全問題【答案】 D6. PDCA特征的描述不正確的是 A. 順序進行，周而復始，發現問題，分析問題，然后是解決問題B.    大環套小環，安全目標的達成都是分解成多個小目標，一層層地解決問題C.階梯式上升，每次循環都要進行總結，鞏固成績，改進不足D.  信息安全風險管理的思路不符合PDCA的問題解決思路【答案】 D7. 以下哪個不是信息安全項目的需求來源A. 國家和地方

4、政府法律法規與合同的要求B.    風險評估的結果C.組織原則目標和業務需要D.  企業領導的個人意志【答案】 D8. ISO27001認證項目一般有哪幾個階段？A. 管理評估，技術評估，操作流程評估B.    確定范圍和安全方針，風險評估，風險控制（文件編寫），體系運行，認證C.產品方案需求分析，解決方案提供，實施解決方案D.  基礎培訓，RA培訓，文件編寫培訓，內部審核培訓【答案】 B9. 構成風險的關鍵因素有哪些？A. 人，財，物B.    技術，管理和操作C.資產，威脅和弱點D

5、.  資產，可能性和嚴重性【答案】 C10. 以下哪些不是應該識別的信息資產？A.   網絡設備B.客戶資料C. 辦公桌椅D. 系統管理員【答案】 C 11. 以下哪些是可能存在的威脅因素？BA.   設備老化故障B.病毒和蠕蟲C. 系統設計缺陷D. 保安工作不得力【答案】 B12. 以下哪些不是可能存在的弱點問題？A.   保安工作不得力B.應用系統存在BugC. 內部人員故意泄密D. 物理隔離不足【答案】 C13. 風險評估的過程中，首先要識別信息資產，資產識別時，以下哪個不是需要遵循的原則？A.  

6、 只識別與業務及信息系統有關的信息資產，分類識別B.所有公司資產都要識別C. 可以從業務流程出發，識別各個環節和階段所需要以及所產出的關鍵資產D. 資產識別務必明確責任人、保管者和用戶【答案】 B14. 風險分析的目的是？A.   在實施保護所需的成本與風險可能造成的影響之間進行技術平衡；B.在實施保護所需的成本與風險可能造成的影響之間進行運作平衡；C. 在實施保護所需的成本與風險可能造成的影響之間進行經濟平衡；D. 在實施保護所需的成本與風險可能造成的影響之間進行法律平衡；【答案】 C15. 對于信息安全風險的描述不正確的是？A. 企業信息安全風險管理就是要做到零風險B.

7、    在信息安全領域，風險（Risk）就是指信息資產遭受損壞并給企業帶來負面影響及其潛在可能性C.風險管理（Risk Management）就是以可接受的代價，識別控制減少或消除可能影響信息系統的安全風險的過程。D.  風險評估（Risk Assessment）就是對信息和信息處理設施面臨的威脅、受到的影響、存在的弱點以及威脅發生的可能性的評估。【答案】 A16. 有關定性風險評估和定量風險評估的區別，以下描述不正確的是A. 定性風險評估比較主觀，而定量風險評估更客觀B.    定性風險評估容易實施，定量風險評估往往數據準

8、確性很難保證C.定性風險評估更成熟，定量風險評估還停留在理論階段D.  定性風險評估和定量風險評估沒有本質區別，可以通用【答案】 D17. 降低企業所面臨的信息安全風險，可能的處理手段不包括哪些A. 通過良好的系統設計、及時更新系統補丁，降低或減少信息系統自身的缺陷B.    通過數據備份、雙機熱備等冗余手段來提升信息系統的可靠性；C.建立必要的安全制度和部署必要的技術手段，防范黑客和惡意軟件的攻擊D.  通過業務外包的方式，轉嫁所有的安全風險【答案】 D18. 風險評估的基本過程是怎樣的？A. 識別并評估重要的信息資產，識別各種可能的威脅和嚴

9、重的弱點，最終確定風險B.    通過以往發生的信息安全事件，找到風險所在C.風險評估就是對照安全檢查單，查看相關的管理和技術措施是否到位D.  風險評估并沒有規律可循，完全取決于評估者的經驗所在【答案】 A19. 企業從獲得良好的信息安全管控水平的角度出發，以下哪些行為是適當的A. 只關注外來的威脅，忽視企業內部人員的問題B.    相信來自陌生人的郵件，好奇打開郵件附件C.開著電腦離開，就像離開家卻忘記關燈那樣D.  及時更新系統和安裝系統和應用的補丁【答案】 D20. 以下對ISO27001標準的描述不正確的

10、是A. 企業通過ISO27001認證則必須符合ISO27001信息安全管理體系規范的所有要求B.    ISO27001標準與信息系統等級保護等國家標準相沖突C.ISO27001是源自于英國的國家標準BS7799D.  ISO27001是當前國際上最被認可的信息安全管理標準【答案】 B21. 對安全策略的描述不正確的是A. 信息安全策略（或者方針）是由組織的最高管理者正式制訂和發布的描述企業信息安全目標和方向，用于指導信息安全管理體系的建立和實施過程B.    策略應有一個屬主，負責按復查程序維護和復查該策略C.安全策略的內

11、容包括管理層對信息安全目標和原則的聲明和承諾；D.  安全策略一旦建立和發布，則不可變更；【答案】 D22. 以下對企業信息安全活動的組織描述不正確的是A. 企業應該在組織內建立發起和控制信息安全實施的管理框架。B.    企業應該維護被外部合作伙伴或者客戶訪問和使用的企業信息處理設施和信息資產的安全。C.在沒有采取必要控制措施，包括簽署相關協議之前，不應該授權給外部伙伴訪問。應該讓外部伙伴意識到其責任和必須遵守的規定。D.  企業在開展業務活動的過程中，應該完全相信員工，不應該對內部員工采取安全管控措施【答案】 D23. 企業信息資產的管理和

12、控制的描述不正確的是A. 企業應該建立和維護一個完整的信息資產清單，并明確信息資產的管控責任；B.    企業應該根據信息資產的重要性和安全級別的不同要求，采取對應的管控措施；C.企業的信息資產不應該分類分級，所有的信息系統要統一對待D.  企業可以根據業務運作流程和信息系統拓撲結構來識別所有的信息資產【答案】 C24. 有關人員安全的描述不正確的是A. 人員的安全管理是企業信息安全管理活動中最難的環節B.    重要或敏感崗位的人員入職之前，需要做好人員的背景檢查C.企業人員預算受限的情況下，職責分離難以實施，企業對此無能

13、為力，也無需做任何工作D.  人員離職之后，必須清除離職員工所有的邏輯訪問帳號【答案】 C25. 以下有關通信與日常操作描述不正確的是A. 信息系統的變更應該是受控的B.    企業在崗位設計和人員工作分配時應該遵循職責分離的原則C.移動介質使用是一個管理難題，應該采取有效措施，防止信息泄漏 D.  內部安全審計無需遵循獨立性、客觀性的原則【答案】 D26. 以下有關訪問控制的描述不正確的是A. 口令是最常見的驗證身份的措施，也是重要的信息資產，應妥善保護和管理B.    系統管理員在給用戶分配訪問權限時，應該遵循

14、“最小特權原則”，即分配給員工的訪問權限只需滿足其工作需要的權限，工作之外的權限一律不能分配C.單點登錄系統（一次登錄/驗證，即可訪問多個系統）最大的優勢是提升了便利性，但是又面臨著“把所有雞蛋放在一個籃子”的風險；D.  雙因子認證（又稱強認證）就是一個系統需要兩道密碼才能進入；【答案】 D27. 有關信息系統的設計、開發、實施、運行和維護過程中的安全問題，以下描述錯誤的是A. 信息系統的開發設計，應該越早考慮系統的安全需求越好B.    信息系統的設計、開發、實施、運行和維護過程中的安全問題，不僅僅要考慮提供一個安全的開發環境，同時還要考慮開發出安全

15、的系統C.信息系統在加密技術的應用方面，其關鍵是選擇密碼算法，而不是密鑰的管理D.  運營系統上的敏感、真實數據直接用作測試數據將帶來很大的安全風險【答案】 C28. 有關信息安全事件的描述不正確的是A. 信息安全事件的處理應該分類、分級B.    信息安全事件的數量可以反映企業的信息安全管控水平C.某個時期內企業的信息安全事件的數量為零，這意味著企業面臨的信息安全風險很小D.  信息安全事件處理流程中的一個重要環節是對事件發生的根源的追溯，以吸取教訓、總結經驗，防止類似事情再次發生【答案】 C29. 以下有關信息安全方面的業務連續性管理的描述

16、，不正確的是A. 信息安全方面的業務連續性管理就是要保障企業關鍵業務在遭受重大災難/破壞時，能夠及時恢復，保障企業業務持續運營B.    企業在業務連續性建設項目一個重要任務就是識別企業關鍵的、核心業務C.業務連續性計劃文檔要隨著業務的外部環境的變化，及時修訂連續性計劃文檔D.  信息安全方面的業務連續性管理只與IT部門相關，與其他業務部門人員無須參入【答案】 D30. 企業信息安全事件的恢復過程中，以下哪個是最關鍵的？A. 數據B.    應用系統C.通信鏈路D.  硬件/軟件【答案】 A31. 企業ISMS(信

17、息安全管理體系)建設的原則不包括以下哪個A. 管理層足夠重視B.    需要全員參與C.不必遵循過程的方法D.  需要持續改進【答案】 C32. PDCA特征的描述不正確的是 A. 順序進行，周而復始，發現問題，分析問題，然后是解決問題B.    大環套小環，安全目標的達成都是分解成多個小目標，一層層地解決問題C.階梯式上升，每次循環都要進行總結，鞏固成績，改進不足D.  信息安全風險管理的思路不符合PDCA的問題解決思路【答案】 D33. 對于在ISMS內審中所發現的問題，在審核之后應該實施必要的改進措施并進行跟

18、蹤和評價，以下描述不正確的是？A. 改進措施包括糾正和預防措施B.    改進措施可由受審單位提出并實施C.不可以對體系文件進行更新或修改D.  對改進措施的評價應該包括措施的有效性的分析【答案】 C34. ISMS的審核的層次不包括以下哪個？A. 符合性審核B.    有效性審核C.正確性審核D.  文件審核【答案】 C35. 以下哪個不可以作為ISMS管理評審的輸入A. ISMS審計和評審的結果B.    來自利益伙伴的反饋C. 某個信息安全項目的技術方案D.  預防和糾

19、正措施的狀態【答案】 C36. 有關認證和認可的描述，以下不正確的是 A. 認證就是第三方依據程序對產品、過程、服務符合規定要求給予書面保證（合格證書）B.    根據對象的不同，認證通常分為產品認證和體系認證C.認可是由某權威機構依據程序對某團體或個人具有從事特定任務的能力給予的正式承認D.  企業通過ISO27001認證則說明企業符合ISO27001和ISO27002標準的要求【答案】 D37. 信息的存在及傳播方式A.  存在于計算機、磁帶、紙張等介質中B.     記憶在人的大腦里C. 

20、     通過網絡打印機復印機等方式進行傳播D.    通過投影儀顯示【答案】 D38. 下面哪個組合不是是信息資產A.  硬件、軟件、文檔資料B.     關鍵人員C.      組織提供的信息服務D.    桌子、椅子【答案】 D39. 實施ISMS內審時，確定ISMS的控制目標、控制措施、過程和程序應該要符合相關要求，以下哪個不是？A.   約定的標準及相關法律的要求B.

21、已識別的安全需求C. 控制措施有效實施和維護D. ISO13335風險評估方法【答案】 D40. 以下對審核發現描述正確的是A.   用作依據的一組方針、程序或要求B.與審核準則有關的并且能夠證實的記錄、事實陳述或其他信息C. 將收集到的審核證據依照審核準則進行評價的結果，可以是合格/符合項，也可以是不合格/不符合項D. 對審核對象的物理位置、組織結構、活動和過程以及時限的描述【答案】 C41. ISMS審核常用的審核方法不包括？A.   糾正預防B.文件審核C. 現場審核D. 滲透測試【答案】 A42. ISMS的內部審核員（非審核組長）的責任不包括？

22、A.   熟悉必要的文件和程序；B.根據要求編制檢查列表；C. 配合支持審核組長的工作，有效完成審核任務；D. 負責實施整改內審中發現的問題；【答案】 D43. 審核在實施審核時，所使用的檢查表不包括的內容有？A.   審核依據B.審核證據記錄C. 審核發現D. 數據收集方法和工具【答案】 C44. ISMS審核時，首次會議的目的不包括以下哪個？A.   明確審核目的、審核準則和審核范圍B.明確審核員的分工C. 明確接受審核方責任，為配合審核提供必要資源和授權D. 明確審核進度和審核方法，且在整個審核過程中不可調整【答案】 D45.

23、ISMS審核時，對審核發現中，以下哪個是屬于嚴重不符合項？A.   關鍵的控制程序沒有得到貫徹，缺乏標準規定的要求可構成嚴重不符合項B.風險評估方法沒有按照ISO27005（信息安全風險管理）標準進行C. 孤立的偶發性的且對信息安全管理體系無直接影響的問題；D. 審核員識別的可能改進項【答案】 D46. 以下關于ISMS內部審核報告的描述不正確的是？A.   內審報告是作為內審小組提交給管理者代表或最高管理者的工作成果B.內審報告中必須包含對不符合性項的改進建議C. 內審報告在提交給管理者代表或者最高管理者之前應該受審方管理者溝通協商，核實報告內容。D.

24、 內審報告中必須包括對糾正預防措施實施情況的跟蹤【答案】 D47. 信息系統審核員應該預期誰來授權對生產數據和生產系統的訪問？A.流程所有者B.系統管理員C.安全管理員D.數據所有者【答案】 D48. 當保護組織的信息系統時，在網絡防火墻被破壞以后，通常的下一道防線是下列哪一項？A. 個人防火墻B.防病毒軟件C.入侵檢測系統D.虛擬局域網設置【答案】 C 49. 負責授權訪問業務系統的職責應該屬于：A.數據擁有者B.安全管理員C. IT 安全經理D.請求者的直接上司【答案】 A50. 在提供給一個外部代理商訪問信息處理設施前，一個組織應該怎么做？A.外部代理商的處理應該接受一個來自獨立代理進行

25、的IS 審計。B.外部代理商的員工必須接受該組織的安全程序的培訓。C. 來自外部代理商的任何訪問必須限制在停火區（DMZ）D.該組織應該進行風險評估，并制定和實施適當的控制。【答案】 D51. 處理報廢電腦的流程時，以下哪一個選項對于安全專業人員來說是最重要考慮的內容？A.在扇區這個級別上，硬盤已經被多次重復寫入，但是在離開組織前沒有進行重新格式化。B.硬盤上所有的文件和文件夾都分別刪除了，并在離開組織進行重新格式化。C. 在離開組織前，通過在硬盤特定位置上洞穿盤片，進行打洞，使得硬盤變得不可讀取。D.由內部的安全人員將硬盤送到附近的金屬回收公司，對硬盤進行登記并粉碎。【答案】 B52. 一個

26、組織已經創建了一個策略來定義用戶禁止訪問的網站類型。哪個是最有效的技術來達成這個策略？A.A.狀態檢測防火墻B.B.網頁內容過濾C.網頁緩存服務器D.D.代理服務器【答案】 B 53. 當組織將客戶信用審查系統外包給第三方服務提供商時，下列哪一項是信息安全專業人士最重要的考慮因素？該提供商：A.滿足并超過行業安全標準B.同意可以接受外部安全審查C.其服務和經驗有很好的市場聲譽D.符合組織的安全策略【答案】 D54. 一個組織將制定一項策略以定義了禁止用戶訪問的WEB 站點類型。為強制執行這一策略，最有效的技術是什么？A.狀態檢測防火墻B.WE內容過濾器C.WEB 緩存服務器D.應該代理服務器【

27、答案】 B55. 在制定一個正式的企業安全計劃時，最關鍵的成功因素將是？A.成立一個審查委員會B.建立一個安全部門C.向執行層發起人提供有效支持D.選擇一個安全流程的所有者【答案】 C56. 對業務應用系統授權訪問的責任屬于：A.數據所有者B.安全管理員C.IT 安全經理D.申請人的直線主管【答案】 A57. 下列哪一項是首席安全官的正常職責？A.定期審查和評價安全策略B.執行用戶應用系統和軟件測試與評價C.授予或廢除用戶對IT 資源的訪問權限D.批準對數據和應用系統的訪問權限【答案】 B58. 向外部機構提供其信息處理設施的物理訪問權限前，組織應當做什么？A.該外部機構的過程應當可以被獨立機

28、構進行IT 審計B.該組織應執行一個風險評估，設計并實施適當的控制C.該外部機構的任何訪問應被限制在DMZ 區之內D.應當給該外部機構的員工培訓其安全程序【答案】 B59. 某組織的信息系統策略規定，終端用戶的ID 在該用戶終止后90 天內失效。組織的信息安全內審核員應：A.報告該控制是有效的，因為用戶ID 失效是符合信息系統策略規定的時間段的B.核實用戶的訪問權限是基于用所必需原則的C.建議改變這個信息系統策略，以保證用戶ID 的失效與用戶終止一致D.建議終止用戶的活動日志能被定期審查【答案】 C60. 減少與釣魚相關的風險的最有效控制是：A.系統的集中監控B.釣魚的信號包括在防病毒軟件中C

29、.在內部網絡上發布反釣魚策略D.對所有用戶進行安全培訓【答案】 D61. 在人力資源審計期間，安全管理體系內審員被告知在IT 部門和人力資源部門中有一個關于期望的IT 服務水平的口頭協議。安全管理體系內審員首先應該做什么？A.為兩部門起草一份服務水平協議B.向高級管理層報告存在未被書面簽訂的協議C.向兩部門確認協議的內容D.推遲審計直到協議成為書面文檔【答案】 C62. 下面哪一個是定義深度防御安全原則的例子？A.使用由兩個不同提供商提供的防火墻檢查進入網絡的流量B.在主機上使用防火墻和邏輯訪問控制來控制進入網絡的流量C.在數據中心建設中不使用明顯標志D.使用兩個防火墻檢查不同類型進入網絡的流

30、量【答案】 A63. 下面哪一種是最安全和最經濟的方法，對于在一個小規模到一個中等規模的組織中通過互聯網連接私有網絡？A.   虛擬專用網B.專線C. 租用線路D. 綜合服務數字網.【答案】 A64. 通過社會工程的方法進行非授權訪問的風險可以通過以下方法避免：A.   安全意識程序B.非對稱加密C. 入侵偵測系統D. 非軍事區【答案】 A65. 在安全人員的幫助下，對數據提供訪問權的責任在于：A.   數據所有者.B.程序員C. 系統分析師.D. 庫管員【答案】 A66. 信息安全策略,聲稱"密碼的顯示必須以掩碼的形式&q

31、uot;的目的是防范下面哪種攻擊風險？A.   尾隨B.垃圾搜索C. 肩窺 D. 冒充 【答案】 Cn67. 管理體系審計員進行通信訪問控制審查，首先應該關注：A.   維護使用各種系統資源的訪問日志B.在用戶訪問系統資源之前的授權和認證C. 通過加密或其他方式對存儲在服務器上數據的充分保護D. 確定是否可以利用終端系統資源的責任制和能力. 【答案】 D68. 下列哪一種防病毒軟件的實施策略在內部公司網絡中是最有效的：A.   服務器防毒軟件B.病毒墻 C. 工作站防病毒軟件 D. 病毒庫及時更新 【答案】 D69. 測試程序變更管理

32、流程時，安全管理體系內審員使用的最有效的方法是：A.由系統生成的信息跟蹤到變更管理文檔B.檢查變更管理文檔中涉及的證據的精確性和正確性C. 由變更管理文檔跟蹤到生成審計軌跡的系統D. 檢查變更管理文檔中涉及的證據的完整性【答案】 A70. 內部審計部門,從組織結構上向財務總監而不是審計委員會報告,最有可能：A.導致對其審計獨立性的質疑B.報告較多業務細節和相關發現C. 加強了審計建議的執行D. 在建議中采取更對有效行動【答案】 A71. 下面哪一種情況可以使信息系統安全官員實現有效進行安全控制的目的?A.完整性控制的需求是基于風險分析的結果B.控制已經過了測試C. 安全控制規范是基于風險分析的

33、結果D. 控制是在可重復的基礎上被測試的【答案】 D72. 下列哪一種情況會損害計算機安全策略的有效性？A.發布安全策略時B.重新檢查安全策略時C. 測試安全策略時D. 可以預測到違反安全策略的強制性措施時【答案】 D 73. 組織的安全策略可以是廣義的，也可以是狹義的，下面哪一條是屬于廣義的安全策略？A.應急計劃B.遠程辦法C. 計算機安全程序D. 電子郵件個人隱私【答案】 C74. 基本的計算機安全需求不包括下列哪一條：A.安全策略和標識B.絕對的保證和持續的保護C. 身份鑒別和落實責任D. 合理的保證和連續的保護【答案】 B 75. 軟件的盜版是一個嚴重的問題。在下面哪一種說法中反盜版的

34、策略和實際行為是矛盾的？A.員工的教育和培訓B.遠距離工作（Telecommuting）與禁止員工攜帶工作軟件回家C. 自動日志和審計軟件D. 策略的發布與策略的強制執行【答案】 B76. 組織內數據安全官的最為重要的職責是：A.推薦并監督數據安全策略B.在組織內推廣安全意識C. 制定IT安全策略下的安全程序/流程D. 管理物理和邏輯訪問控制【答案】 A77. 下面哪一種方式，能夠最有效的約束雇員只能履行其分內的工作？A.應用級訪問控制B.數據加密C. 卸掉雇員電腦上的軟盤和光盤驅動器D. 使用網絡監控設備【答案】 A78. 內部審計師發現不是所有雇員都了解企業的信息安全策略。內部審計師應當得

35、出以下哪項結論：A.這種缺乏了解會導致不經意地泄露敏感信息B.信息安全不是對所有職能都是關鍵的C. IS審計應當為那些雇員提供培訓D. 該審計發現應當促使管理層對員工進行繼續教育【答案】 A 79. 設計信息安全策略時，最重要的一點是所有的信息安全策略應該:A.     非現場存儲B.b)     由IS經理簽署C.   發布并傳播給用戶D.   經常更新【答案】 C80. 負責制定、執行和維護內部安全控制制度的責任在于:A. IS審計員.B.管理層.C.外部審計師. D.程

36、序開發人員. 【答案】 B81. 組織與供應商協商服務水平協議，下面哪一個最先發生？A.制定可行性研究. B.檢查是否符合公司策略. C.草擬服務水平協議. D.草擬服務水平要求 【答案】 B82. 以下哪一個是數據保護的最重要的目標？A.確定需要訪問信息的人員B.確保信息的完整性C.拒絕或授權對系統的訪問D.監控邏輯訪問【答案】 A83. 在邏輯訪問控制中如果用戶賬戶被共享，這種局面可能造成的最大風險是:A.非授權用戶可以使用ID擅自進入.B.用戶訪問管理費時.C.很容易猜測密碼.D.無法確定用戶責任【答案】 D84. 作為信息安全治理的成果,戰略方針提供了:A.企業所需的安全要求B.遵從最

37、佳實務的安全基準C. 日常化制度化的解決方案D. 風險暴露的理解【答案】 A85. 企業由于人力資源短缺，IT支持一直以來由一位最終用戶兼職，最恰當的補償性控制是：A.限制物理訪問計算設備B.檢查事務和應用日志C. 雇用新IT員工之前進行背景調查D. 在雙休日鎖定用戶會話【答案】 B 86. 關于安全策略的說法，不正確的是A.得到安全經理的審核批準后發布B. 應采取適當的方式讓有關人員獲得并理解最新版本的策略文檔C.控制安全策略的發布范圍，注意保密D.系統變更后和定期的策略文件評審和改進【答案】 A87. 哪一項不是管理層承諾完成的？A.確定組織的總體安全目標B. 購買性能良好的信息安全產品C

38、.推動安全意識教育D. 評審安全策略的有效性【答案】 B88. 安全策略體系文件應當包括的內容不包括A.信息安全的定義、總體目標、范圍及對組織的重要性B.對安全管理職責的定義和劃分C. 口令、加密的使用是阻止性的技術控制措施；D. 違反安全策略的后果【答案】 C89. 對信息安全的理解，正確的是A.信息資產的保密性、完整性和可用性不受損害的能力，是通過信息安全保障措施實現的B. 通過信息安全保障措施，確保信息不被丟失C. 通過信息安全保證措施，確保固定資產及相關財務信息的完整性D. 通過技術保障措施，確保信息系統及財務數據的完整性、機密性及可用性【答案】 A90. 以下哪項是組織中為了完成信息

39、安全目標，針對信息系統，遵循安全策略，按照規定的程序，運用恰當的方法，而進行的規劃、組織、指導、協調和控制等活動？A.反應業務目標的信息安全方針、目標以及活動；B.來自所有級別管理者的可視化的支持與承諾；C.提供適當的意識、教育與培訓D.以上所有【答案】 D91. 信息安全管理體系要求的核心內容是？A.風險評估B.關鍵路徑法C.PDCA循環D.PERT【答案】 C92. 有效減少偶然或故意的未授權訪問、誤用和濫用的有效方法是如下哪項？A.訪問控制B.職責分離C.加密D.認證【答案】 B93. 下面哪一項組成了CIA三元組？A.保密性，完整性，保障B.保密性，完整性，可用性C.保密性，綜合性，保

40、障D.保密性，綜合性，可用性【答案】 B94. 在信息安全策略體系中，下面哪一項屬于計算機或信息安全的強制性規則？ A.標準（Standard）B.安全策略（Security policy）C.方針（Guideline）D.流程（Procedure）【答案】 A95. 在許多組織機構中，產生總體安全性問題的主要原因是：A.缺少安全性管理B.缺少故障管理C.缺少風險分析D.缺少技術控制機制【答案】 A96. 下面哪一項最好地描述了風險分析的目的？ A.識別用于保護資產的責任義務和規章制度B.識別資產以及保護資產所使用的技術控制措施C.識別資產、脆弱性并計算潛在的風險D.識別同責任義務有直接關系的

41、威脅【答案】 C97. 以下哪一項對安全風險的描述是準確的？A.安全風險是指一種特定脆弱性利用一種或一組威脅造成組織的資產損失或損害的可能性。B.安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失事實。C.安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失或損害的可能性D.安全風險是指資產的脆弱性被威脅利用的情形。【答案】 C98. 以下哪些不屬于脆弱性范疇？A.黑客攻擊B.操作系統漏洞C.應用程序BUGD.人員的不良操作習慣【答案】 A99. 依據信息系統安全保障模型，以下那個不是安全保證對象A.機密性B.管理C.過程D.人員【答案】 A100. 以下哪一項是已經

42、被確認了的具有一定合理性的風險？A.總風險B.最小化風險C.可接受風險D.殘余風險【答案】 C101. 以下哪一種人給公司帶來最大的安全風險？A.臨時工B.咨詢人員C.以前員工D.當前員工【答案】 D102. 一組將輸入轉化為輸出的相互關聯或相互作用的什么叫做過程？A.數據B.信息流C.活動D.模塊【答案】 C103. 系統地識別和管理組織所應用的過程，特別是這些過程之間的相互作用，稱為什么？A.戴明循環B.過程方法C.管理體系D. 服務管理【答案】 B104. 拒絕式服務攻擊會影響信息系統的哪個特性？A.完整性B.可用性C.機密性D.可控性【答案】 B105. 在信息系統安全中，風險由以下哪

43、兩種因素共同構成的？A.攻擊和脆弱性B.威脅和攻擊C.威脅和脆弱性D.威脅和破壞【答案】 C106. 在信息系統安全中，暴露由以下哪兩種因素共同構成的？A.攻擊和脆弱性B.威脅和攻擊C.威脅和脆弱性D.威脅和破壞【答案】 A107. 信息安全管理最關注的是？A.外部惡意攻擊B.病毒對PC的影響 C.內部惡意攻擊D. 病毒對網絡的影響【答案】 C108. 從風險管理的角度，以下哪種方法不可取？A.接受風險B.分散風險C.轉移風險D.拖延風險【答案】 D109. ISMS文檔體系中第一層文件是？A.信息安全方針政策B.信息安全工作程序C.信息安全作業指導書D.信息安全工作記錄【答案】 A110.

44、以下哪種風險被定義為合理的風險？A.最小的風險B.可接收風險C.殘余風險D.總風險【答案】 B111. 從目前的情況看，對所有的計算機系統來說，以下哪種威脅是最為嚴重的，可能造成巨大的損害？A.沒有充分訓練或粗心的用戶B.第三方C.黑客 D.心懷不滿的雇員【答案】 D112. 如果將風險管理分為風險評估和風險減緩，那么以下哪個不屬于風險減緩的內容？A.計算風險B.選擇合適的安全措施C.實現安全措施D.接受殘余風險【答案】 A113. 通常最好由誰來確定系統和數據的敏感性級別？A.審計師B.終端用戶C.擁有者D.系統分析員【答案】 C114. 風險分析的目的是？A.在實施保護所需的成本與風險可能

45、造成的影響之間進行技術平衡；B.在實施保護所需的成本與風險可能造成的影響之間進行運作平衡；C.在實施保護所需的成本與風險可能造成的影響之間進行經濟平衡；D.在實施保護所需的成本與風險可能造成的影響之間進行法律平衡；【答案】 C115. 以下哪個不屬于信息安全的三要素之一？A. 機密性B. 完整性C.抗抵賴性D.可用性【答案】 C116. ISMS指的是什么？A.信息安全管理B.信息系統管理體系C.信息系統管理安全D.信息安全管理體系【答案】 D117. 在確定威脅的可能性時，可以不考慮以下哪個？A. 威脅源B.潛在弱點C.現有控制措施D.攻擊所產生的負面影響【答案】 D118. 在風險分析中，

46、以下哪種說法是正確的？A.定量影響分析的主要優點是它對風險進行排序并對那些需要立即改善的環節進行標識。B. 定性影響分析可以很容易地對控制進行成本收益分析。C.定量影響分析不能用在對控制進行的成本收益分析中。D. 定量影響分析的主要優點是它對影響大小給出了一個度量【答案】 D119. 通常情況下，怎樣計算風險？A.將威脅可能性等級乘以威脅影響就得出了風險。B. 將威脅可能性等級加上威脅影響就得出了風險。C.用威脅影響除以威脅的發生概率就得出了風險。D. 用威脅概率作為指數對威脅影響進行乘方運算就得出了風險。【答案】 A120. 資產清單可包括？A.服務及無形資產 B.信息資產 C.人員D.以上

47、所有【答案】 D121. 評估IT風險被很好的達到，可以通過：A.評估IT資產和IT項目總共的威脅B.用公司的以前的真的損失經驗來決定現在的弱點和威脅C.審查可比較的組織出版的損失數據D.一句審計拔高審查IT控制弱點【答案】 A122. 在部署風險管理程序的時候，哪項應該最先考慮到：A.組織威脅，弱點和風險概括的理解B. 揭露風險的理解和妥協的潛在后果C. 基于潛在結果的風險管理優先級的決心D. 風險緩解戰略足夠在一個可以接受的水平上保持風險的結果【答案】 A123. 為了解決操作人員執行日常備份的失誤，管理層要求系統管理員簽字日常備份，這是一個風險例子： A.防止B.轉移C. 緩解D.接受【

48、答案】 C124. 以下哪項不屬于PDCA循環的特點？A.按順序進行，它靠組織的力量來推動，像車輪一樣向前進，周而復始，不斷循環B.組織中的每個部分，甚至個人，均可以PDCA循環，大環套小環，一層一層地解決問題C.每通過一次PDCA 循環，都要進行總結，提出新目標，再進行第二次PDCA 循環D.D組織中的每個部分，不包括個人，均可以PDCA循環，大環套小環，一層一層地解決問題【答案】 D125. 戴明循環執行順序，下面哪項正確？A.PLAN-ACT-DO-CHECKB. CHECK-PLAN-ACT-DOC. PLAN-DO-CHECK-ACTD. ACT-PLAN-CHECK-DO【答案】

49、C126. 建立ISMS的第一步是？A.風險評估B.設計ISMS文檔C. 明確ISMS范圍D. 確定ISMS 策略【答案】 C127. 建立ISMS的步驟正確的是？A.明確ISMS范圍-確定ISMS策略-定義風險評估方法-進行風險評估-設計和選擇風險處置方法-設計ISMS文件-進行管理者承諾（審批）B.定義風險評估方法-進行風險評估-設計和選擇風險處置方法-設計ISMS文件-進行管理者承諾（審批）-確定ISMS策略C.確定ISMS策略-明確ISMS范圍-定義風險評估方法-進行風險評估-設計和選擇風險處置方法-設計ISMS文件-進行管理者承諾（審批）D.明確ISMS范圍-定義風險評估方法-進行風

50、險評估-設計和選擇風險處置方法-確定ISMS策略-設計ISMS文件-進行管理者承諾（審批）【答案】 A128. 除以下哪項可作為ISMS審核（包括內審和外審）的依據，文件審核、現場審核的依據？A.機房登記記錄B.信息安全管理體系 C.權限申請記錄D.離職人員的口述【答案】 D129. 以下哪項是 ISMS文件的作用？A. 是指導組織有關信息安全工作方面的內部“法規”-使工作有章可循。B.是控制措施（controls）的重要部分C.提供客觀證據-為滿足相關方要求，以及持續改進提供依據D.以上所有【答案】 D130. 以下哪項不是記錄控制的要求？A.清晰、易于識別和檢索B.記錄的標識、貯存、保護、

51、檢索、保存期限和處置所需的控制措施應形成文件并實施C. 建立并保持，以提供證據D.記錄應盡可能的達到最詳細【答案】 D131. 下面哪項是信息安全管理體系中CHECK（檢查）中的工作內容？A.按照計劃的時間間隔進行風險評估的評審B.實施所選擇的控制措施C.采取合適的糾正和預防措施。從其它組織和組織自身的安全經驗中吸取教訓D.確保改進達到了預期目標【答案】 A132. 指導和規范信息安全管理的所有活動的文件叫做？A.過程B.安全目標C.安全策略D.安全范圍【答案】 C133. 信息安全管理措施不包括：A. 安全策略B.物理和環境安全C.訪問控制D.安全范圍【答案】 D134. 下面安全策略的特性

52、中，不包括哪一項？A. 指導性B.靜態性C.可審核性D.非技術性【答案】 B135. 信息安全活動應由來自組織不同部門并具備相關角色和工作職責的代表進行，下面哪項包括非典型的安全協調應包括的人員？A.管理人員、用戶、應用設計人員B.系統運維人員、內部審計人員、安全專員C.內部審計人員、安全專員、領域專家D.應用設計人員、內部審計人員、離職人員【答案】 D136. 下面那一項不是風險評估的目的？A.分析組織的安全需求B.制訂安全策略和實施安防措施的依據C.組織實現信息安全的必要的、重要的步驟D.完全消除組織的風險【答案】 D137. 下面那個不是信息安全風險的要素？A.資產及其價值B.數據安全C

53、.威脅D.控制措施【答案】 B138. 信息安全風險管理的對象不包括如下哪項A.信息自身B.信息載體C.信息網絡D.信息環境【答案】 C139. 信息安全風險管理的最終責任人是？A.決策層B.管理層C.執行層D.支持層【答案】 A140. 信息安全風險評估對象確立的主要依據是什么A.系統設備的類型B.系統的業務目標和特性C.系統的技術架構D.系統的網絡環境【答案】 B141. 下面哪一項不是風險評估的過程？A.風險因素識別B.風險程度分析C.風險控制選擇D.風險等級評價【答案】 C142. 風險控制是依據風險評估的結果，選擇和實施合適的安全措施。下面哪個不是風險控制的方式？A.規避風險B.轉移

54、風險C.接受風險D.降低風險【答案】 C143. 降低風險的控制措施有很多，下面哪一個不屬于降低風險的措施？A.在網絡上部署防火墻B.對網絡上傳輸的數據進行加密C.制定機房安全管理制度D.購買物理場所的財產保險【答案】 D144. 信息安全審核是指通過審查、測試、評審等手段，檢驗風險評估和風險控制的結果是否滿足信息系統的安全要求，這個工作一般由誰完成？A.機構內部人員B.外部專業機構C.獨立第三方機構D.以上皆可【答案】 D145. 如何對信息安全風險評估的過程進行質量監控和管理？A.對風險評估發現的漏洞進行確認B.針對風險評估的過程文檔和結果報告進行監控和審查C.對風險評估的信息系統進行安全

55、調查D.對風險控制測措施有有效性進行測試【答案】 B146. 信息系統的價值確定需要與哪個部門進行有效溝通確定？A.系統維護部門B.系統開發部門C.財務部門D.業務部門【答案】 D147. 下面哪一個不是系統規劃階段風險管理的工作內容A.明確安全總體方針B.明確系統安全架構C.風險評價準則達成一致D.安全需求分析【答案】 B148. 下面哪一個不是系統設計階段風險管理的工作內容A.安全技術選擇B.軟件設計風險控制C.安全產品選擇D.安全需求分析【答案】 D149. 下面哪一個不是系統實施階段風險管理的工作內容A.安全測試B.檢查與配置C.配置變更D.人員培訓【答案】 C150. 下面哪一個不是系統運行維護階段風險管理的工作內容A.安全運行和管理B.安全測試C.變更管理D.風險再次評估【答案】 B151. 下面哪一個不是系統廢棄階段風險管理的工作內容A.安全測試B.對廢棄對象的風險評估C.防止敏感信息泄漏D.人員培訓【答案】 A152. 系統上線前應當對系統安全配置進行檢查，不包括下列哪種安全檢查A.主機操作系統安全配置檢查B.網絡設備安全配置檢查C.系統軟件安全漏洞檢查D.數據庫安全配置檢查【答案】 C153. 風險評估實施過程中資產識別的依據是什么A.依據資產分類分級的標準B.依據資產調查的結果C.依據人員訪談的結果D.依據技術人員提供的資產清單【答案