基础信息安全管理体系.docx
《基础信息安全管理体系.docx》由会员分享,可在线阅读,更多相关《基础信息安全管理体系.docx(26页珍藏版)》请在冰豆网上搜索。
基础信息安全管理体系
基础-信息安全管理体系
1、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为()级[单选题]
A、3
B、4
C、5(正确答案)
D、6
2、可信计算基维护与可被外部主体直接或间接访问到计算机信息系统资源(例如:
主体、存储客体、只读存储器)相关的敏感标记的等级是()[单选题]
A、二级、二级、四级
B、三级、四级、五级
C、四级、五级
D、五级(正确答案)
3、作为信息安全治理的成果,战略方针提供了()[单选题]
A、企业所需的安全要求(正确答案)
B、遵从最佳实务的安全基准
C、日常化、制度化的解决方案
D、风险暴露的理解
4、信息安全管理体系审核是用来确定()[单选题]
A、组织的管理效率
B、产品和服务符合有关法律法规程度
C、信息安全管理体系满足审核准则的程度(正确答案)
D、信息安全手册与标准的符合程度
5、信息安全控制措施是指()[单选题]
A、管理信息安全风险的一种方法(正确答案)
B、规程、指南
C、信息安全技术
D、以上都不对
6、以下关于认证机构的监督要求表述错误的是()[单选题]
A、认证机构宜能够针对客户组织的与信息安全相关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性
B、认证机构的监督方案应由认证机构和客户共同来制定(正确答案)
C、监督审核可以与其他管理体系的审核相结合
D、认证机构应对认证证书的使用进行监督
7审核原则要求()是审核的公正性和审核结论客观性的基础[单选题]
A、系统性
B、严格性
C、独立性(正确答案)
D、可追踪性
8、关于信息安全产品的使用,以下说法正确的是()[单选题]
A、对于所有的信息系统,信息安全产品的核心技术、关键部件应具有我国自主知识产权
B、对于三级以上信息系统,已列入信息安全产品认证目录的,应取得国家信息安全产品认证机构颁发的认证证书(正确答案)
C、对于四级以上信息系统,信息安全产品研制的主要技术人员应无犯罪记录
D、对于四级以上信息系统,信息安全产品研制单位应声明没有故意留有或设置漏洞
9、下列信息系统安全说法正确的是()[单选题]
A、加固所有的服务器和网络设备就可以保证网络的安全
B、只要资金允许就可以实现绝对的安全
C、断开所有的服务可以保证信息系统的安全
D、信息系统安全状态会随着业务的变化而变化,因此网络安全状态需要根据业务而调整相应的网络安全策略(正确答案)
10、以下不属于GB/T22080-2016与GB/T22080-2008主要关键词变化的是()[单选题]
A、将“Control”的定义由2008版的“控制措施’,改为“控制”
B、将“Imptement”的定义由2008版的“实施”改为“实现”
C、将“Assetowner”的定义由2008版的“资产责任人”改为“资产拥有者”
D、将“Contoxtoftheorganization”的定义由2008版的“组织背景”改为“组织环境”(正确答案)
11、在现场审核时,审核组有权自行决定变更的事项是:
()[单选题]
A、审核人日
B、审核的业务范围
C、审核日期
D、审核组任务调整(正确答案)
12、访问控制是为了保护信息的()[单选题]
A、完整性和机密性
B、可用性和机密性
C、可用性和完整性
D、以上都是(正确答案)
13、审核证据是指()[单选题]
A、与审核准则有关的,能够证实的记录、事实陈述或其他信息(正确答案)
B、在审核过程中收集到的所有记录、事实陈述或其他信息
C、组方针、程序或要求
D、以上都不对
14、许多计算机系统为诊断和服务支持的目的提供一些“维护账号”给系统带来的脆弱性,下面哪一种安全技术最不被先考虑使用()。
[单选题]
A、回叫确认
B、通讯加密
C、智能令牌卡
D、口令与用户名(正确答案)
15、访问控制是指确定()以及实施访问权限的过程[单选题]
A、用户权限
B、可给予哪些主体访问权利(正确答案)
C、可被用户访问的资源
D、系统是否遭受入侵
16、信息安全管理体系的要求类标准是()[单选题]
A、GB/T22080-2016(正确答案)
B、GB/T22081-2008
C、ISO/IEC27003
D、ISO/IEC27004
17、下列不属于GB/T22080-2016/ISO/IEC27001:
2013附录A中A8资产管理规定的控制目标是()[单选题]
A、资产归还
B、资产分发(正确答案)
C、资产的处理
D、资产清单
18、关于可信计算基,以下说法正确的是()[单选题]
A、指计算机系统中用作保护装置的硬件、固件、软件等的组合体(正确答案)
B、指配置有可信赖安全防护硬件、软件产品的计算机环境
C、指通过了国家有关安全机构认证的计算机信息系统
D、指通过了国家有关机构评测的计算机基础设施,含硬件、软件的配置
19风险识别过程中需要识别的方面包括:
资产识别、识别威胁、识别现有控制措施、和()[单选题]
A、识别可能性和影响
B、识别脆弱性和识别后果(正确答案)
C、识别脆弱性和可能性
D、识别脆弱性和影响
20、下面哪一种日志文件有助于评估计算机安全事例的危害程度?
()[单选题]
A、联络日志
B、活动日志
C、事件日志(正确答案)
D、审计日志
21、符合性要求包括()[单选题]
A、知识产权保护
B、公司倍息保护
C、个人隐私的保护
D、以上都是(正确答案)
22、下面哪一种属于网络上的被动攻击()[单选题]
A、消息篡改
B、伪装
C、拒绝服务
D、流量分析(正确答案)
23、依据GB/T22080-2016/ISO/IEC27001:
2013标准,不属于第三方服务监视和评审范围的是()[单选题]
A、监视和评审服务级别协议的符合性
B、监视和评审服务方人员聘用和考核的流程(正确答案)
C、监视和评审服务交付遵从协议规定的安全要求的程度
D、监视和评审服务方跟踪处理信息安全事件的能力
24、构成风险的关键因素有()[单选题]
A、人、财、物
B、技术、管理和操作
C、资产、威胁和弱点(正确答案)
D、资产、可能性和严重性
25、一种基于信任而产生的并且很难防范的主要风险是()[单选题]
A、正确使用的授权访问
B、被滥用的授权访问(正确答案)
C、不成功的非授权访问
D、成功的非授权访问
26、关于入侵检测,以下不正确的是()[单选题]
A、入侵检测是一个采集知识的过程
B、入侵检测指信息安全事件响应过程(正确答案)
C、分析反常的使用模式是入侵检测模式之一
D、入侵检测包括收集被利用脆弱性发生的时间信息
27、关于文件管理下列说法错误的是()[单选题]
A、文件发布前应得到批准,以确保文件是适宜的
B、必要时对文件进行评审、更新并再次批准
C、应确保文件保持清晰,易于识别
D、作废文件应及时销毁,防止错误使用(正确答案)
28、风险责任人是指()[单选题]
A、具有责任和权限管理一项风险的个人或实体(正确答案)
B、实施风险评估的组织的法人
C、实施风险评估的项目负责人或项目任务责任人
D、信息及信息处理设施的使用
29、管理评审应包括评估信息安全管理体系改进的计划和变更的需求,管理评审的输入可以不包括()[单选题]
A、相关方的反馈
B、预防和纠正措施的状况
C、有效性测量的结果
D、业务连续性演练结果(正确答案)
30、目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规范制度。
()[单选题]
A、公安部
B、国家保密局(正确答案)
C、信息产业部
B、国家密码管理委员会办公室
31、管理体系是实现组织目标的方针、()、指南和相关资源的框架[单选题]
A、目标
B、规程(正确答案)
C、文件
D、记录
32、管理体系是指()[单选题]
A、建立方针和目标并实现这些目标的体系(正确答案)
B、相互关联和相互作用的一组要素
C、指挥和控制组织的协调活动
D、以上都不对
33、过程是指()[单选题]
A、有输入和输出的任意活动
B、通过使用资源和管理,将输入转化为输出的活动(正确答案)
C、所有业务活动的集合
D、以上都不对
34、下面哪一条措施不能防止数据泄漏()[单选题]
A、数据冗余(正确答案)
B、数据加密
C、访问控制
D、密码系统
35、如果信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,则应具备的保护水平为()[单选题]
A、三级(正确答案)
B、二级
C、四级
D、六级
36、资产是对组织()的任何东西[单选题]
A、有使用价值
B、拥有
C、有价值(正确答案)
D、购买
37、信息系统审计()[单选题]
A、是发现信息系统脆弱性的手段之一(正确答案)
B、应在系统运行期间进行,以便于准确地发现弱点
C、审核工具在组织内应公开可获取,以便于提升员工的能力
D、只要定期进行,就可以替代内部ISMS审核
38、描述与组织信息安全管理体系相关的和适用的控制措施的文档是()[单选题]
A、信息安全管理体系方针
B、适用性声明(正确答案)
C、信息安全管理体系范围
D、风险评估程序
39、某种网络安全威胁是通过非法手段对数据进行恶意修改,这种安全威胁属于()[单选题]
A、窃听数据
B、破坏数据完整性(正确答案)
C、破坏数据可用性
D、物理安全威肋
40、容量管理的对象是()[单选题]
A、信息系统内存
B、办公室空间和基础设施
C、人力资源
D、A+B+C(正确答案)
41、公共密钥体系(PKI)的某一组成要素的主要功能是管理证书生命周期,包括证书目录维护、证书废止列表维护和证书发布,这个要素是()[单选题]
A、证书机构(CA)(正确答案)
B、数字签名
C、证书实践声明
D、注册机构(R)
42、下列说法不正确的是()[单选题]
A、残余风险需要获得管理者的批准
B、体系文件应能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果
C、所有的信息安全活动都必须记录(正确答案)
D、管理评审至少每年进行一次
43、依据《中华人民共和国网络安全法》,以下说法不正确的是()[单选题]
A、网络安全域采取必要措施防范对网络的攻击和侵入
B、网络安全措施包括防范对网络的破坏
C、网络安全即采取措施保护信息在网络中传输期间的安全(正确答案)
D、网络安全包括对信息收集、存储、传输、交换、处理系统的保护
44、信息安全风险(R)计算中涉及脆弱性(V),以下说法正确的是:
()[单选题]
A、脆弱性是资产性质决定的固有的弱点,其赋值不变
B、如果当前控制措施有效,资产脆弱性赋值可以降低(正确答案)
C、控制措施是管理范畴的概念,脆弱性是技术范畴的概念,二者没有关系
D、只要威胁存在,脆弱性就存在,二者的赋值同向增减
45、信息安个管理体系的设计应考虑()[单选题]
A、组织的战略
B、组织的目标和需求
C、组织的业务过程性质
D、以上全部(正确答案)
46、信息安全是保证信息的保密性、完整性、()[单选题]
A、充分性
B、适宜性
C、可用性(正确答案)
D、有效险
47、《中华人民共和国保守国家秘密法》第二章规定了国家秘密的范围和密级,国家秘密的密级分为:
()[单选题]
A、普密、商密两个级别
B、低级和高级两个级别
C、绝密、机密、秘密三个级别(正确答案)
D、一密、二密、三密、四密四个级别
48、依据GB/T22080-2016/ISO/IEC27001:
2013标准,信息安全管理体系文件应包括()[单选题]
A、信息安全管理体系的范围、适用性声
B、风险评估报告和风险处置计划
C、风险评估方法
D、以上全部(正确答案)
49、依据GB/T22080-2016/ISO/IEC27001:
2013标准,制定信息安全管理体系方针,应予以考虑的输入是()[单选题]
A、业务战略
B、法律法规要求
C、合同要求
D、以上全部(正确答案)
50、以下对GB/T22080-2016/ISO/IEC27002:
2013标准的描述,正确的是()[单选题]
A、该标准属于要求类标准
B、该标准属于指南类标准(正确答案)
C、该标准可用于一致性评估
D、组织在建立信息安全管理体系时,应满足该标准的所有要求
51主体访问权限的(),即仅执行授权活动所必需的那些权利被称为最小特定权限。
[单选题]
A、最高限度
B、最低限度(正确答案)
C、平均限度
D、次低限度
52、关于信息安全连续性,以下说法正确的是()[单选题]
A、信息安全连续性即IT设备运行的连续性
B、信息安全连续性应是组织业务连续性的一部分(正确答案)
C、信息处理设施的冗余即指两个或多个服务器互备
D、信息安全连续性指标由IT系统的性能决定
53、在一个分布式计算环境中,系统安全特别重要。
分布式计算环境中的网络攻击存在两种主要的类型:
被动攻击和主动攻击。
下面哪一种是属于被动攻击?
()[单选题]
A、企业登录到别人的帐号上
B、在网络电缆上安装侦听设备,并产生错误消息
C、拒绝为合法用户提供服务
D、当用户键入系统口令时,进行窃听(正确答案)
54、组织进行业务连续性管理主要是为了保护信息的()[单选题]
A、机密性
B、完整性
C、可用性(正确答案)
D、A+B+C
55、某工厂M为某手机品牌S代工,S要求B将其手机设计信息敏感性等级确定为最高级,M的以下做法正确的是()[单选题]
A、限制S手机外观设计图纸仅在PLM系统中流传,并限制访问权限
B、将测试用S手机主板存放于密码柜中,并限制密码知悉人
C、将生产线上报废的S手机部件废品粉碎后送环保公司处置
D、以上都对(正确答案)
56、确保信息没有非授权泄密,即确保信息不泄露给非授权的个人、实体或进程,其所用,是指()[单选题]
A、完整性
B、可用性
C、机密性(正确答案)
D、抗抵赖性
57、对于获准认可的认证机构,认可机构证明()[单选题]
A、认证机构能够开展认证活动
B、其在特定范围内按照标准具有从事认证活动的能力(正确答案)
C、认证机构的每张认证证书都特合要求
D、认证机构具有人事相应认证活动的能力
58、适用性声明文件应()[单选题]
A、描述与组织相关和适用的控制目标和控制措施(正确答案)
B、版本应保持稳定不变
C、应包含标准GB/T22080附录A的所有条款
D、应删除组织不拟实施的控制措施
59、内部审核是为了确定信息安全体系的()[单选题]
A、有效性和适宜性
B、适宜性和充分性
C、有效性和符合性(正确答案)
D、适宜性和充分性
60、测量控制措施的有效性以验证安全要求是否被满足是()的活动[单选题]
A、ISMS建立阶段
B、ISMS实施和运行阶段
C、ISMS监视和评审阶段(正确答案)
D、ISMS保持和改进阶段
61、ISMS文件的多少和详细程度取决于()[单选题]
A、组织的规模和活动的类型
B、过程及其相互作用的复杂程度
C、人员的能力
D、以上都对(正确答案)
62、关于信息安全风险评估,以下说法正确的是()[单选题]
A、如果集团企业的各地分/子公司业务性质相同,则针对一介分/子公司识别,评估风险即可,其风险评估过程和结果文件其他分/子公司可直接采用,以节省重要识别和计算的工作量
B、风险评估过程中各参数的赋值一旦确定,不应轻易改变,以维持风险评估的稳定性
C、组织应基于其整体业务活动所在的环境和风险考虑其ISMS设计(正确答案)
D、以上都对
63、管理评审是为了确保信息安全管理体系持续的()[单选题]
A、适宜性
B、充分性
C、有效性
D、以上都是(正确答案)
64、加强网络安全性的最重要的基础措施是()[单选题]
A、设计有效的网络安全策略(正确答案)
B、选择更安全的操作系统
C、安装杀毒软件
D、加强安全教育
65、拒绝服务攻击损害了下列哪种信息安全特性?
()[单选题]
A、完整性
B、可用性(正确答案)
C、机密性
D、可靠性
66、渗透测试()[单选题]
A、可能会导致业务系统无法正常运行
B、是通过模拟恶意黑客攻击方法,来评估计算机网络系统安全的一种评估方法(正确答案)
C、渗透测试人员在局域网中进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告
D、必须在计算机网络系统首次使用前进行,以确保系统安全
67、下面哪一种功能不是防火墙的主要功能?
()[单选题]
A、协议过滤
B、应用网关
C、扩展的日志记录能力
D、包交换(正确答案)
68、关于信息安全管理体系认证,以下说法正确的是()[单选题]
A、负责作出认证决定的人员中应至少有一人参与了审核
B、负责作出认证决定的人员必须是审核组组长
C、负责作出认证决定的人员不应参与审核(正确答案)
D、负责作出认证决定的人员应包含参与了预审核的人员
69、《信息安全等级保护管理办法》规定,应加强涉密倍息系统运行中的保密监督检查。
对秘密级、机密系统每()至少进行一次保密检查或者系统测评[单选题]
A、半年
B、1年
C、1.5年
D、2年(正确答案)
70、以下哪一项有助于检测入侵者对服务器系统日志的改动?
()[单选题]
A、在另一台服务器镜像该系统日志
B、在一块一次写磁盘上同时复制该系统日志(正确答案)
C、将保存系统日志的目录设为写保护
D、异地保存该系统日志的备份
71、加密技术可以保护信息的()[单选题]
A、机密性
B、完整性
C、可用性
D、A+B(正确答案)
72、根据《互联网信息服务管理办法》规定,国家对经营性互联网信息服务实行()[单选题]
A、国家经营
B、地方经营
C、许可制度(正确答案)
D、备案制度
73关于《中华人民共和国网络安全法》中的“三同步”要求,以下说法正确的是()[单选题]
A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用(正确答案)
B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用
C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用
D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用
74、在实施技术符合性评审时,以下说法正确的是()[单选题]
A、技术符合性评审即渗透测试
B、技术符合性评审即漏洞扫描与渗透测试的结合
C、渗透测试与漏洞描述可以替代风险评估
D、渗透测试与漏洞描述不可替代风险评估(正确答案)
75、以下做法不正确的是()[单选题]
A、保留含有敏感信息的介质的处置记录
B、将大量含有信息的介质汇集在一起时提高其总体敏感性等级
C、将所有的已用过一面的复印纸分配各部门复用以符合组织的节能降耗策略。
(正确答案)
D、依据风险评估的结果将维修更换下来的磁盘交第兰方按双方约定的程序进行处置
76、《中华人民共和国认证认可条例》规定,认证人员自被撤销职业资格之日起()内,认可机构不再接受其注册申请。
[单选题]
A、2年
B、3年
C、4年
D、5年(正确答案)
77、以下关于入侵检测系统功能的叙述中,()是不正确的。
[单选题]
A、仅保护内部网络免受非法用户的侵入(正确答案)
B、评估系统关键资源和数据文件的完整性
C、识别已知的攻击行为
D、统计分析异常行为
78、信息安全管理体系标准族中关于信息安全风险管理的标准是()[单选题]
A、ISO/IEC27002
B、ISO/IEC27003
C、ISO/IEC27004
D、ISO/IEC27005(正确答案)
79、一个信息安全事件由单个的或一系列的有害或一系列()信息安全事态组成,它们具有损害业务动作和威肋信息安全的极大的可能性。
()[单选题]
A、已经发生
B、可能发生
C、意外(正确答案)
D、A+B+C
80、数据签名可以有效对付哪一种信息安全的风险?
()[单选题]
A、非授权地阅读
B、盗窃
C、非授权地复利
D、篡改(正确答案)
二、多选题
81、GB/T22080-2016/ISO/IEC27001:
2013标准可用于()
A、指导组织建立信息安全管理体系(正确答案)
B、为组织建立信息安全管理体系提供控制措施的实施指南
C、审核员实施审核的依据(正确答案)
D、以上都不对
82、撤销对信息和信息处理设施的访问权针对的是()
A、组织雇员离职的情况(正确答案)
B、组织雇员转岗的情况(正确答案)
C、临时任务结束的情况(正确答案)
B、员工出差
83、信息安全管理体系绩效测量的开发包括()
A、选择目标和特性(正确答案)
B、确定分析模型(正确答案)
C、确定测量指标(正确答案)
D、确定决策准则(正确答案)
84、以下哪几项可以实现和保持对组织信息资产的适当保护()
A、形成重要资产清单,并加以维护(正确答案)
B、购买相同设备类类中价值最高的产品
C、确定所有资产的责任人(正确答案)
D、制定合乎公司要求的资产使用规则(正确答案)
85、网络攻击的方式包括()
A、信息搜集(正确答案)
B、信息窃取(正确答案)
C、系统利用(正确答案)
D、资源损耗(正确答案)
86、对于某企业作为数据中心备用发电机用没的20吨油库,以下符合GB/T22080-2016/ISO/IEC27001:
2013标准要求的做法是()
A、将油库识别为重要危险源进行风险防控(正确答案)
B、油库的防雷检测不列为信息安全管理体系审核范围
C、对备用发电机定期进行带载测试(正确答案)
D、油库通过了当地消防部门的验收,可替代定期风险评估
87、以下说法不正确的是()
A、信息安全管理体系审核是信息系统审计的一种(正确答案)
B、信息安全技术应用的程度决定信息安全管理体系认证审核的结论(正确答案)
C、组织对信息安全威胁的分析必须是信息安全管理体系审核关注的要素
D、如果组织已获得业务连续性管理体系认证,则信息安全管理体系审核可略过风险评估(正确答案)
88、按覆盖的地理范围进行分类,计算机网络可以分为()
A、局域网(正确答案)
B、城域网(正确答案)
C、广域网(正确答案)
D、区域网
89、以下符合GB/T22080-2016/ISO/IEC27001:
2013标准A17要求的情况是()
A、银监会规定业务中断后须在4小时内恢复,因此某银行IT运维中心规定:
如发生网络中断、数据库系统运行中断等,均应在4小时内恢复(正确答案)
B、某公司所在市区历来供电稳定,因此核心业务机房采用单路市电及单台UPS为所有系统设备供电(正确答案)
C、某金融押运服务公司在A、B
升级会员 