信息安全管理真题精选Word格式文档下载.docx

1、B.1989年5月1日C.1993年2月22日D.2010年10月1日4、信息备份的安全要求包括（）。A.明确备份周期B.明确备份套数C.对备份介质进行标识D.备份介质存放于适宜的环境A,B,C,D5、依据GB/T22080/ISO/IEC27001，信息分类方案的目的是（）A.划分信息载体的不同介质以便于存储和处理，如纸张、光盘、磁盘B.划分信息载体所属的职能以便于明确管理责任C.划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则D.划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析C参考解析： 信息分类的目的是对信息资料进行详

2、细的区分，以确定信息存储、处理、处置的原则。 6、计算机的购置需根据部门实际工作需要提出申请，填写（）。A.计算机维修申请单B.计算机购置申请单C.计算机购置审批单D.计算机领取申请单B7、建立ISMS体系的目的，是为了充分保护信息资产并基于（）信心。A.相关方B.供应商C.顾客D.上级机关A填空题8在中、西文兼容的计算机中，计算机如何区别西文字符和汉字符？ 在计算机中，为了实现中、西文兼容，通常将汉字国标码的最高位置1来标识机内的某个码值是代表汉字。9、ISMS是基于组织的（）风险角度建立的。A.整体业务B.财务部门C.资产安全D.信息部门10什么是系统？没有目标的相互联系的事物是否是系统？

3、为什么？ 系统是一些部件为了某种目标而有机地结合的一个整体，这里目标、部件、联结是不可缺少的因素，按照一般系统论的观点，系统有五个要素：系统在一定的时空范围内有一些主量集合；系统的主量是随时间变化的；系统的主量可表示于笛卡尔坐标上；系统存在论域B和耦合C之间的关系；系统是状态转化结构。因此，系统有以下特点：（1）系统是由部件组成的，部件处于运动状态；（2）系统之间存在着联系；（3）系统行为的输出也就是对目标的贡献，系统各主量和的贡献大于各主量贡献之和，即系统的观点1+12。（4）系统的状态是可以转换的，在某些情况下系统有输入和输出，系统状态的转换是可以控制的。11、ISMS有效性的定期评审应考

4、虑（）、事故、有效性策略结果等内容。A.识别风险B.风险评价C.风险评估方法D.安全评审结果12什么是数据？什么是信息？试举几个实用例子加以描述。 数据是一组表示数量、行动和目标的非随机的可鉴别的符号，数据项可以按使用的目的组织成数据结构；信息是经过加工后的数据，它对接收者的行为能产生影响，它对接收者的决策具有价值。数据可喻为原料，而信息就是产品；一个系统的信息可能是另一系统的数据，派车单对司机是信息，而对公司老总只是数据；信息是一个社会概念，是人类共享的一切知识、学问以及客观现象加工提炼出来的各种消息之总和。13、关于特权访问，说法正确的是（）A.特权访问用户通常包含顾客B.特权访问用户必须

5、包含最高管理者C.特权访问用户的访问权限最大权限原则的的应用D.特殊访问权应与其职能角色一致14管理的定义是什么？管理和其他学科在性质上的区别是什么？ 管理是为了某种目标，应用一切思想、理论和方法去合理地计划、组织、指挥、协调和控制他人，调度各种资源，如人、财、物、设备、技术和信息等，以求以最小的投入去获得最好或最大的产出目标。管理既是艺术又是科学，任何事物当我们对它不甚了解时就表现为艺术，当完全了解并掌握了它们的规律，那么它就变成一种技术或工程；定性是表示是或否、做或不做，当我们对一个事物不了解时只能定性，定量多依赖于科学和数学计算，定量是管理科学与一般管理的重要区别；管理是一门独立的学科，

6、理、工、农、医、文、法、管是平行的学科；管理与经济不是等同的，可能管理是经济的一种手段，经济是管理的一个对象。15、关于信息系统登录口令的管理，以下说法不正确的是（）A.必要时，使用密码技术，生物特征等代替口令B.用提示信息告知用户输入的口令是否正确C.明确告知用户应遵从的优质口令策略D.使用互动式管理确保用户使用优质口令判断题16、风险评价准则应当与组织的风险管理方针一致。对17、对于可能超越系统和应用控制的实用程序，以下做法正确的是（）A.实用程序的使用不在审计范围内B.建立禁止使用的实用程序清单C.紧急响应时所使用的实用程序不需要授权D.建立、授权机制和许可使用的实用程序清单18、风险处

7、置必须采取措施，将风险降低到可接受级别。19、物理安全周边的安全设置应考虑（）A.区域内信息和资产的敏感性分类B.重点考虑计算机机房，而不是办公区或其他功能区C.入侵探测和报警机制D.A+C20、风险识别是发现、列举和描述风险要素的过程。21、风险评价准则需体现组织的风险承受度，应反映组织的价值观、目标和资源。更多内容请访问睦霖题库微信公众号22、信息系统的变更管理不包括（）A.软件的升级B.系统硬件以旧换新C.系统终端设备物理位置变更23、信息安全风险主要有哪些（）A.信息存储风险B.信息传输风险C.信息访问风险D.以上都正确24、以下属于安全办公区域控制的措施是（）A.敏感信息处理设施避免

8、放置在和外部方共用的办公区B.显著标记“敏感档案存储区，闲人免进”标识牌C.告知全体员工敏感区域的位置信息，教育员工保护其安全D.以上都对25、风险评估方法可以是（）A.必须使用标准要求的B.组织可以随意选择C.组织自己选择，但要求是可再现的D.以上都不对26、设备维护维修时，应考虑的安全措施包括（）A.维护维修前，按规定程序处理或清除其中的信息B.维护维修后，检查是否有未授权的新增功能C.敏感部件进行物理销毁而不予送修27、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包括在（）的合同中。A.雇员B.承包方人员C.第三方人员D.a+b+c28、下列关于“风险评价准则”描述不

9、准确的是（）A.风险评价准则是评价风险主要程度的依据，不能被改变B.风险评价准则应尽可能在风险管理过程开始时制定C.风险评价准则应当与组织的风险管理方针一致D.风险评价准则需体现组织的风险承受度，应反映组织的价值观、目标和资源29、容量管理的对象包括（）A.信息系统内存B.办公室空间和基础设施C.人力资源D.A+B+C30、ISO/IEC27001从（）的角度，建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。A.客户安全要求B.组织整体业务风险C.信息安全法律法规31、为确保信息资产的安全，设备、信息或软件在（）之前不应带出组织场所。A.使用B.授权C.检查合格D.识别出薄

10、弱环节32、以下有关残余风险的说法错误的是（）。A.残余风险不包含未识别的风险B.残余风险还可被称为“保留风险”C.残余风险是风险处置后剩余的风险D.管理者应对建议的残余风险进行批准33、在运行系统上安装软件，以下说法不正确的是（）A.对于复杂的系统应采取分步部署的策略B.应在安装前在隔离的环境中完成验收测试C.应在安装前完成单元测试，随之进行安装然后进行验收测试D.安装运行后应评审对关键业务应用的影响34、一个风险的大小，可以由（）的结合来表示。A.风险的后果和发生可能性B.风险后果和风险源C.风险发生可能性和风险源D.风险源和风险原因35、依据GB/T22080/ISO/IEC27001，

11、信息系统审计是（）A.发现信息系统脆弱性的手段之一B.应在系统运行期间进行，以便于准确地发现弱电C.审计工具在组织内应公开可获取，以便于提升员工的能力D.只要定期进行，就可以替代内部ISMS审核36、下列哪项不在风险评估之列（）A.风险识别B.风险分析C.风险评价D.风险处置37、以下不属于可降低信息传输中的信息安全风险的措施是（）A.规定使用通信设施的限制规则B.使用铠甲线缆以及数据加密C.双路供电以及定期测试备份电机D.记录物理介质运输全程的交接信息38什么是系统安全政策？ 安全政策。定义如何配置系统和网络，如何确保计算机机房和数据中心的安全以及如何进行身份鉴别和身份认证。同时，还确定如何

12、进行访问控制、审计、报告和处理网络连接、加密和反病毒。还规定密码选择、账户到期、登录尝试失败处理等相关领域的程序和步骤。39、某台服务器在每个月150小时工作时间内正常工作时间为145小时，该服务器的可用性为（）A.145/295B.150/295C.145/150D.150/14540、防火墙管理员应承担下面哪些责任（）A.规划和部署，策略制定，规则配置与测试B.防火墙状态监控C.防火墙日志审计分析D.安全事件的响应处理41、关于审核准则正确的描述是（）A.与审核依据有关，能够证实的记录、事实陈诉或其他信息B.一组方针、程序或要求C.在审核过程中收集到的所有记录、事实陈诉或其他信息D.将收集