信息安全管理练习题.docx
《信息安全管理练习题.docx》由会员分享,可在线阅读,更多相关《信息安全管理练习题.docx(50页珍藏版)》请在冰豆网上搜索。
信息安全管理练习题
信息平安管理练习题-2014
判断题:
1.信息平安保障阶段中,平安策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。
〔×〕
注释:
在统一平安策略的指导下,平安事件的事先预防〔保护〕,事发处理〔检测Detection和响应Reaction)、事后恢复〔恢复Restoration〕四个主要环节相互配合,构成一个完整的保障体系,在这里平安策略只是指导作用,而非核心。
2.一旦发现计算机犯罪案件,信息系统所有者应当在2天迅速向当地公安机关报案,并配合公安机关的取证和调查。
〔×〕
注释:
应在24小时报案
3.我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型 〔×〕
注释:
共3种计算机犯罪,但只有2种新的犯罪类型。
单项选择题:
1.信息平安经历了三个开展阶段,以下(B )不属于这三个开展阶段。
A.通信阶段 B.加密机阶段 C.信息平安阶段 D.平安保障阶段
2.信息平安阶段将研究领域扩展到三个根本属性,以下〔 C 〕不属于这三个根本属性。
A.性 B.完整性 C.不可否认性 D.可用性
3.下面所列的〔 A 〕平安机制不属于信息平安保障体系中的事先保护环节。
A.杀毒软件 B.数字证书认证 C.防火墙 D.数据库加密
4.《信息平安国家学说》是〔 C 〕的信息平安根本纲领性文件。
A.法国 B.美国 C.俄罗斯 D.英国
注:
美国在2003年公布了《确保网络空间平安的国家战略》。
5.信息平安领域最关键和最薄弱的环节是〔 D 〕。
A.技术 B.策略 C.管理制度 D.人
6.信息平安管理领域权威的标准是〔 B 〕。
A.ISO15408 B.ISO17799/ISO27001(英〕 C.ISO9001 D.ISO14001
7.《计算机信息系统平安保护条例》是由中华人民国〔A )第147号发布的。
A.国务院令 B.全国人民代表大会令 C.公安部令 D.国家平安部令
8.在PDR平安模型中最核心的组件是〔 A 〕。
A.策略 B.保护措施 C.检测措施 D.响应措施
9.在完成了大局部策略的编制工作后,需要对其进展总结和提炼,产生的结果文档被称为〔 A )。
A.可承受使用策略AUP B.平安方针 C.适用性声明 D.操作规
10.互联网效劳提供者和联网使用单位落实的记录留存技术措施,应当具有至少保存〔 C 〕天记录备份的功能。
A.10 B.30 C.60 D.90
11.以下不属于防火墙核心技术的是〔 D 〕
A.〔静态/动态)包过滤技术 B.NAT技术 C.应用代理技术 D.日志审计
12.应用代理防火墙的主要优点是〔 B )
A.加密强度更高 B.平安控制更细化、更灵活 C.平安效劳的透明性更好 D.效劳对象更广泛
13.对于远程访问型VPN来说,〔 A 〕产品经常与防火墙与NAT机制存在兼容性问题,导致平安隧道建立失败。
A.IPSecVPN B.SSLVPN C.MPLSVPN D.L2TPVPN
注:
IPSec协议是一个应用广泛,开放的VPN平安协议,目前已经成为最流行的VPN解决方案。
在IPSec框架当中还有一个必不可少的要素:
Internet平安关联和密钥管理协议——IKE(或者叫ISAKMP/Oakley),它提供自动建立平安关联和管理密钥的功能。
14.1999年,我国发布的第一个信息平安等级保护的国家标准GB17859-1999,提出将信息系统的平安等级划分为〔 D 〕个等级,并提出每个级别的平安功能要求。
A.7 B.8 C.6 D.5
注:
该标准参考了美国的TCSEC标准,分自主保护级、指导保护级、监视保护级、强制保护级、专控保护级。
15.公钥密码根底设施PKI解决了信息系统中的〔 A 〕问题。
A.身份信任 B.权限管理 C.平安审计 D.加密
注:
PKI〔PublicKeyInfrastructure,公钥密码根底设施),所管理的根本元素是数字证书。
16.最终提交给普通终端用户,并且要求其签署和遵守的平安策略是〔 C 〕。
A.口令策略 B.协议 C.可承受使用策略AUP D.责任追究制度
知识点:
1.《信息系统平安等级保护测评准那么》将测评分为平安控制测试和系统整体测试两个方面。
2.平安扫描可以弥补防火墙对网平安威胁检测缺乏的问题。
3.1994年2月18日国务院发布《计算机信息系统平安保护条例》。
4.平安审计跟踪是平安审计系统检测并追踪平安事件的过程。
5.环境平安策略应当是简单而全面。
6.平安管理是企业信息平安的核心。
7.信息平安策略和制定和维护中,最重要是要保证其明确性和相对稳定性。
8.许多与PKI相关的协议标准等都是在X.509根底上开展起来的。
9.防止对系统非法访问的主要方法是访问控制。
10.灾难恢复计划或者业务连续性计划关注的是信息资产的可用性属性。
11.RSA是最常用的公钥密码算法。
12.在信息平安管理进展平安教育和培训,可以有效解决人员平安意识薄弱。
13.我国正式公布电子签名法,数字签名机制用于实现抗否认。
14.在平安评估过程中,采取渗透性测试手段,可以模拟黑客入侵过程,检测系统平安脆弱性。
15.病毒网关在外网络边界处提供更加主动和积极的病毒保护。
16.信息平安评测系统CC是国际标准。
17.平安保护能力有4级:
1级-能够对抗个人、一般的自然灾难等;2级-对抗小型组织;3级-对抗大型的、有组织的团体,较为严重的自然灾害,能够恢复大局部功能;4级-能够对抗敌对组织、严重的自然灾害,能够迅速恢复所有功能。
18.信息系统平安等级分5级:
1-自主保护级;2-指导保护级;3-监视保护级;4-强制保护级;5-专控保护级。
19.信息系统平安等级保护措施:
自主保护、同步建立、重点保护、适当调整。
20.对信息系统实施等级保护的过程有5步:
系统定级、平安规那么、平安实施、平安运行和系统终止。
21.定量评估常用公式:
SLE〔单次资产损失的总值〕=AV〔信息资产的估价〕×EF〔造成资产损失的程序〕。
22.SSL主要提供三方面的效劳,即认证用户和效劳器、加密数据以隐藏被传送的数据、维护数据的完整性。
23.信息平安策略必须具备确定性、全面性和有效性。
24.网络入侵检测系统,既可以对外部黑客的攻击行为进展检测,也可以发现部攻击者的操作行为,通常部署在网络交换机的监听端口、网和外网的边界。
25.技术类平安分3类:
业务信息平安类〔S类〕、业务效劳保证类〔A类〕、通用平安保护类〔G类〕。
其中S类关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改;A类关注的是保护系统连续正常的运行等;G类两者都有所关注。
26.如果信息系统只承载一项业务,可以直接为该信息系统确定平安等级,不必划分业务子系统。
27.信息系统生命周期包括5个阶段:
启动准备、设计/开发、实施/实现、运行维护和系统终止阶段。
而平安等级保护实施的过程与之相对应,分别是系统定级、平安规划设计、平安实施、平安运行维护和系统终止。
信息平安管理体系国家注册审核员培训班考试试题-2015
一、选择题(每题1分,共lO分)
( )1.信息平安中的可用性是指_______
a)信息不能被未授权的个人,实体或者过程利用或知悉的特性
b)保护资产的准确和完整的特性
c)根据授权实体的要求可访问和利用的特性
d)以上都不对
( )2.审核证据是指________
a)与审核准那么有关的,能够证实的记录、事实述或其他信息
b)在审核过程中收集到的所有记录、事实述或其他信息
c)一组方针、程序或要求
d)以上都不对
( )3.______ 属于系统威胁。
a)不稳定的电力供给
b)硬件维护失误
c)软件缺乏审计记录
d)口令管理机制薄弱
( )4.管理体系是指______
a)建立方针和目标并实现这些目标的体系
b)相互关联和相互作用的一组要素
c)指挥和控制组织的协调的活动
d)以上都不对
( )5.信息平安管理实用规那么ISO/IECl7799属于_____标准?
a)词汇类标准
b)要求类标准
c)指南类标准
d)以上都不对
( )6.在信息平安管理体系____阶段应测量控制措施的有效性?
a)建立
b)实施和运行
c)监视和评审
d)保持和改良
( )7.风险评价是指______
a)系统地使用信息来识别风险来源和估计风险
b)将估计的风险与给定的风险准那么加以比拟以确定风险严重性的过程
c)指导和控制一个组织相关风险的协调活动
d)以上都不对
( )8.可使用_______来保护电子消息的性和完整性
a)密码技术
b)通信技术
c)控制技术
d)自动化技术
( )9.现状不符合文件是指______
a)标准要求的没有写到
b)写到的没有做到
c)做到的没有到达目标
d)以上都不对
( )10.以下属于计算机病毒感染事件的纠正措施的是_________
a)对计算机病毒事件进展响应和处理
b)将感染病毒的计算机从网络中隔离
c)对相关责任人进展处分
d)以上都不是
二、判断题(每题1分,共10分)
你认为正确的在( )中划“√〞,错误的划“x〞。
( )1.客户资料不属于组织的信息资产。
( )2.组织的平安要求全部来源于风险评估。
( )3.通过使用资源和管理,将输入转化为输出的任意活动,称为过程。
( )4.组织必须首先从ISO/IEC27001附录A的控制措施列表中选取控制措施。
( )5.风险分析和风险评价的整个过程称为风险评估。
( )6.控制措施可以降低平安事件发生的可能性,但不能降低平安事件的潜在影响。
( )7.“资产责任人〞,要求与信息处理设施有关的所有资产都应由指定人员承当责任。
( )8.信息由于属于公共可用信息,因此无须实施平安措施。
( )9.审核围必须与受审核方信息平安管理体系围一致。
( )10.当组织信息平安管理体系的根底发生重大变化而增加的一次审核称为监视审核。
三、填空题(每题1分,共5分)
指出IS027001:
2005标准中适用于下述情景的某项条款,请将条款号填在横线上。
1.“信息平安管理部的员工根据风险评估的结果,正在选择适当的控制措施。
〞 适用于这一情况的条款是——
2.“某公司规定无论离职或调职,员工的原有系统访问权一律撤销。
〞 适用于这一情况的条款是——
3.“某公司在其机房贴了一行为准那么,员工在机房工作时必须遵守。
〞
适用于这一情况的条款是——
4.“公司重要效劳器的操作记录中没有任何管理员操作的记录。
〞
适用于这一情况的条款是——
5.“某公司的信息系统中使用了密码手段来保障其信息平安,但该公司的相关工作人员对我国密码方面的法律法规一无所知。
〞
适用于这一情况的条款是______
四、问答题(1—3题每题5分,共15分;4.5题每题15分,共30分;共45分)
1.什么是信息平安?
组织的信息平安要求分为哪几类?
并简要说明。
2.ISO/IEC27001:
2005附录A所列出的控制措施中,哪些条款表达了“管理者作用〞,至少举出3条控制措施,并简要说明。
3.审核组进入审核现场后,通常会有哪些会议?
各有什么作用?
会议主持人一般由谁担任?
4.如果某软件开发公司涉与软件外包业务,请列出在软件外包的过程中所涉与的风险,并
从ISO/IEC27001:
2005附录A控制措施列表中选择适当的控制措施,作简要说明。
5.如何依据ISO/IEC27001:
2005审核A.10.7,组织应防止资产遭受未授权泄露、修改、
移动或销毁以与业务活动的中断
五、案例分析题(每题10分,共30分)
请根据所述情况判断:
如能判断有不符合项,请写出不符合ISO/2700l:
2005标准的条款号、容和严重程度,并写出不符合事实,如提供的证据不能足以判断有不符合项时,请写出进一步审核的思路。
判分标准:
不符合条款2分,不符合标准的容3分,不符合事实3分,不符合的严重程度2分。
1.审核员在看到某公司的意识与技能培训计划后,询问某公司工作人员对信息平安管理体系的认识,该工作人员答复,由于前段时间一直出差在外,所以还没有时问学习相关的体系文件。
2.审核员询问公司办公系统中某机器的操作系统升级情况时,使用人员说,我们使用的所有软件都是正版的,所以我在使用时直接设置为操作系统自动更新了,而且一直也没出现过什么问题,对业务没有任何影响。
3.审核员在某公司信息平安部看到几份平安事故处理报告,原因栏写的都是感染计算机病毒,工作人员说,我们已经严格规定了防病毒软件的使用与升级周期,但还是没有效果。
信息平安管理体系审核员练习题-简单题和案例分析题-2015
一、简答
1.审不符合项完成了30/35,审核员给开了不符合,是否正确?
你怎么审核?
[参考]不正确。
应作如下
〔1〕询问相关人员或查阅相关资料〔不符合项整改计划或验证记录〕,了解审不符合项的纠正措施实施情况,分析对不符合的原因确定是否充分,所实施的纠正措施是否有效;
〔2〕所采取的纠正措施是否与相关影响相适宜,如对业务的风险影响,风险控制策略和时间点目标要求,与组织的资源能力相适应。
〔3〕评估所采取的纠正措施带来的风险,如果该风险可承受,那么采取纠正措施,反之可采取适当的控制措施即可。
综上,如果所有纠正措施符合风险要求,与相关影响相适宜,那么纠正措施适宜。
2、在人力资源部查看网管培训记录,负责人说证书在本人手里,培训是外包的,成绩从那里要,要来后一看都合格,就完毕了审核,对吗?
[参考]不对。
〔1〕询问相关人员,了解是否有网管岗位说明书或相关职责、角色的文件?
〔2〕查阅网管职责相关文件,文件中如何规定网管的岗位要求,这些要求基于教育、培训、经历、技术和应用能力方面的评价要求,以与相关的培训规程与评价方法;
〔3〕查阅网管培训记录,是否符合岗位能力要求和培训规程的规定要求?
〔4〕了解相关部门和人员对网管培训后的工作能力确认和培训效果的评价,是否保持记录?
〔5〕如果岗位能力经评价不能满足要求时,组织是否按规定要求采取适当的措施,以保证岗位人员的能力要求。
二、案例分析
1、查某公司设备资产,负责人说台式机放在办公室,办公室做了来自环境的威胁的预防;笔记本经常带入带出,有时在家工作,领导同意了,在家也没什么不平安的。
2、某公司操作系统升级都直接设置为系统自动升级,没出过什么事,因为买的都是正版。
3、创新公司委托专业互联网运营商提供网络运营,供给商为了提升效劳级别,采用了新技术,也通知了创新公司,但创新认为新技术肯定更好,就没采取任何措施,后来因为软件不兼容造成断网了。
4、查某公司信息平安事件处理时,有好几份处理报告的原因都是感染计算机病毒,负责人说我们严格的杀毒软件下载应用规程,不知道为什么没有效,估计其它方法更没用了。
8.2纠正措施
5、查看web效劳器日志发现,最近几次经常重启,负责人说刚买来还好用,最近总死机,都联系不上供给商负责人了。
信息平安管理体系审核员练习题-简述题-2015
简述题
1、审核员在某公司审核时,发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁。
公司主管信息平安的负责人解释说,因保安负责公司的物理区域平安,他们夜里以与节假日要值班和巡查所有区域,所以只能给保平安权限门卡。
审核员对此解释表示认同。
如果你是审核员,你将如何做?
〔1〕是否有形成文件的访问控制策略,并且包含针对公司每一局部物理区域的访问控制策略的容?
〔2〕访问控制策略是否基于业务和访问的平安要素进展过评审?
〔3〕核实保安角色是否在访问控制策略中有明确规定?
〔4〕核实访问控制策略的制定是否与各物理区域风险评价的结果一致?
〔5〕核实发生过的信息平安事件,是否与物理区域非授权进入有关?
〔6〕核实如何对保安进展背景调查,是否明确了其平安角色和职责?
答:
〔1〕询问相关责任人,查阅文件3-5份,了解如何规定对信息平安事件进展总结的机制?
该机制中是否明确定义了信息平安事件的类型?
该机制是否规定了量化和监视信息平安事件类型、数量和代价的方法和要求,并包括成功的和未遂事件?
〔2〕查阅监视或记录3-15条,查阅总结报告文件3-5份,了解是否针对信息平安事件进展测量,是否就类型、数量和代价进展了量化的总结,并包括成功的和未遂事件。
〔3〕查阅文件和记录以与访问相关责任人,核实根据监视和量化总结的结果采取后续措施有效防止同类事件的再发生。
ISO27001信息平安管理体系审核员培训测试-2015
一、以下对于信息平安管理体系的表达,哪个个是不正确的?
A.只规公司高层与信息平安人员的行为;
B.针对组织部所使用的信息,实施全面性的管理;
C.为了妥善保护信息的性、完整性和可用性;
D.降低信息平安事件的冲击至可承受的围;
E.分为PDCA〔计划—执行—检查—行动〕四大部份,循环执行,不断改良。
二、以下对于PDCA〔计划—执行—检查—行动〕的表达,哪个是正确的?
A.其中的重点在于P〔计划〕;
B.依据PDCA的顺序顺利执行完一次,即可确保信息平安;
C.需依据管理层审查结果采取矫正与预防措施,以到达持续改良的目的;
D.如果整体执行过程中C〔检查〕的过程过于繁复,可予以略过;
E.以上皆非。
三、以下那个项目不属于ISO27001认证标准所涵盖的十一个管理要项?
A.信息平安政策;
B.组织平安;
C.人员平安;
D.复杂性;
E.访问控制。
四、以下对于风险的表达,哪个是正确的?
A.风险分析:
针对无法改善的风险进展分析;
B.风险管理:
列出所有可能存在的风险清单;
C.风险评估:
把所估计的风险与的风险标准作比拟,以决定风险的重要性;
D.风险处理:
为了将风险降为零风险所采取的行动;
E.可承受风险:
可承受进展改善的风险。
五、以下哪项符合信息平安管理体系有关“文件记录控制〞的要求?
A.文件都必须电子化;
B.信息平安管理体系所需的文件仅需保护,但无须控制;
C.所有文件应依据信息平安管理体系的政策要求在需要时即可供被授权人取用;
D.文件纪录必须全部由一人保管;
E.为提供信息平安管理体系有效运作的证据所建立之纪录不属于管制围。
六、对于“信息平安管理体系〞,以下哪些不属于管理层的责任?
A.提供信息平安管理工作的必要资源;
B.决定可承受风险的等级;
C.定期举行相关教育训练,增进员工信息平安的认知;
D.为信息平安系统购置保险;
E.建立一份信息平安政策。
七、以下针对信息平安系统审计的表达,哪个是不正确的?
A.审计方案应予以事先规划;
B.目的在于确保信息平安管理体系的控制目标与控制措施是否有效地实施与维持;
C.基于对业务的了解,应由各部门主管审计其所负责的业务;
D.对于审计结果应有适当的跟进措施;
E.审计人员的遴选与审计的执行,应确保审计过程的客观性与公正性。
八、以下对于信息平安管理体系改良的表达,哪个是不正确的?
A.改良的目的在于确认信息平安管理系统的有效性;
B.为了防止不符合事项再度发生,应将该事项从信息平安管理体系中移除;
C.包含矫正措施与预防措施;
D.应在信息平安管理体系中制定相应的文件化程序;
E.应决定相关措施,以消除未来不符合信息平安管理体系要求的事项。
九、以下对于“平安方针〞的表达,哪个是不正确的?
A.管理层应设定一个明确的政策方向,展现对信息平安的支持与承诺;
B.平安方针应以适当方式向所有员工公布与宣导;
C.平安方针应有专人依据规定的审核过程对其进展维护与审核;
D.平安方针一经确定即无法随意修改;
E.方针应说明组织管理信息平安的方法。
十、以下对于“信息平安组织〞的表达,哪个是不正确的?
A.其目标为在组织中管理信息平安;
B.个别资产的保护责任与执行特定平安程序的责任应明确划分;
C.应参考信息平安专家的建议;
D.应减少与其它组织间的合作;
E.需有独立的信息平安审计。
十一、针对“第三方存取〞与“外包作业〞的表达,哪个是正确的?
A.为了降低风险,应减少「第三方存取」与「外包作业」;
B.第三方存取组织信息处理设施的风险应予评估,并实施适当的平安控制措施;
C.将信息处理责任外包时,信息平安的责任也随之转嫁;
D.应限制外包单位不得使用组织的任何信息设备;
E.由于已签订外包合同,对于第三方存取组织的信息处理设施无须控制。
十二、以下对于“资产分类与控制〞之表达,哪个是不正确的?
A.所有主要的信息资产应由高级管理人员负责保管;
B.应制作所有与每一信息系统相关重要资产的清册并进展维护;
C.应制订一套与组织采用的分类方式相符的信息标识和处理流程;
D.信息分类与相关保护控制措施应考虑企业共享或限制信息的需求;
E.其目标在于维护组织资产并给予适当的保护。
十三、以下对于“人力资源平安〞的表达,哪个是不正确的?
A.组织信息平安方针中规定的平安角色与职务应在工作职责中予以文件化;
B.组织所有员工与相关第三方的用户皆应承受适当的信息平安教育训练;
C.目标在于确保员工的人身平安,防止发生意外;
D.正式员工、承包商与临时工在申请工作时即应进展背景调查;
E.员工应签署协议,作为任用的首要条件和限制的一局部。
十四、员工发觉“平安与失效事件〞发生时,应立即采取何种行动?
A.分析事件发生的原因;
B.尽快将事件掩盖过去;
C.修正信息平安目标;
D.查阅信息平安相关文件;
E.遵循适当的管理途径尽快通报。
十五、以下对于“平安区域〞的说明,哪个是不正确的?
A.其目标是防止营运场所与信息遭XX存取、损害与干扰;
B.划设为平安区域的场所已有适当控管,可容许任何人进出;
C.应设立平安区域,以提供特殊平安需求;
D.在平安区域工作时应采取额外的控制措施与指引,以强化该区域的平安性;
E.装卸区应予管制,假设可能,应与信息处理设施隔离,防止遭未授权进入。
十六、以下对于“设备平安〞的相关行为,哪个是不适当的?
A.应保护设备降低来自环境的威胁与灾害;
B.保护设备不受电力故障与其他电力异常影响;
C.保护传送数据或支持信息效劳的电源与通讯缆线,以防止窃听或破坏;
D.设备在报废或再使用前将信息去除;
E.设备一律禁止携出组织外使用。
十七、以下何种行为不符合“通信和操作平安〞的要求?
A.信息处理设施与系统的变更应予控制;
B.