信息安全等级测评师初级技术选择题级简答题必看DOC.docx

1、信息安全等级测评师初级技术选择题级简答题必看DOC信息安全等级保护培训试题集二、多选题1根据关于信息安全等级保护的实施意见，信息系统安全等级保护应当遵循什么原则？（）A明确责任，共同保护B依照标准，自行保护C同步建设，动态调整D指导监督，保护重点2根据信息安全等级保护管理办法，关于信息系统安全保护等级的划分，下列表述正确的是（）。A第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益B第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全C第三级，信息系统受到破坏后，

2、会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害D第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害E第五级，信息系统受到破坏后，会对国家安全造成特别严重损害3根据广东省计算机信息系统安全保护条例，计算机信息系统（）应当同步落实相应的安全措施。A规划B设计C建设D维护4经测评，计算机信息系统安全状况未达到国家有关规定和标准的要求的，（）A委托单位应当根据测评报告的建议，完善计算机信息系统安全建设B重新提出安全测评委托C另行委托其他测评机构进行测评D自行进行安全测评5根据广东省信息安全等级测评工作细则，关于测评和自查工作，以下表述正确的是（）

3、。A第三级计算机信息系统应当每年至少进行一次安全自查和安全测评B第四级计算机信息系统应当每半年至少进行一次安全自查和安全测评C第五级计算机信息系统应当依据特殊安全要求进行安全自查和安全测评D自查报告连同测评报告应当由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门6根据广东省公安厅关于计算机信息系统安全保护的实施办法，关于公安机关的进行安全检查的要求，下列表述正确的是（）。A对第三级计算机信息系统每年至少检查一次B对第四级计算机信息系统每半年至少检查一次C对第五级计算机信息系统，应当会同国家指定的专门部门进行检查D对其他计算机信息系统应当不定期开展检查7根据广东省计算机

4、信息系统安全保护条例，计算机信息系统的运营、使用单位接到公安机关要求整改的通知后拒不按要求整改的，由公安机关处以（）。A罚款5000元B拘留15日C警告D停机整顿8根据广东省计算机信息系统安全保护条例规定，第二级以上计算机信息系统的运营、使用单位计算机信息系统投入使用前未经符合国家规定的安全等级测评机构测评合格的 ，由公安机关（）。A责令限期改正，给予警告B逾期不改的，对单位的主管人员、其他直接责任人员可以处五千元以下罚款，对单位可以处一万五千元以下罚款C有违法所得的，没收违法所得D情节严重的，并给予六个月以内的停止联网、停机整顿的处罚E必要时公安机关可以建议原许可机构撤销许可或者取消联网资格

5、9根据广东省公安厅关于计算机信息系统安全保护的实施办法，信息安全等级测评机构申请备案()A一般应当向地级以上市公安机关公共信息网络安全监察部门提出申请B承担省直和中央驻粤单位信息安全等级测评工作的机构，直接向省公安厅公共信息网络安全监察部门提出申请C一般应当向公安部公共信息网络安全监察部门提出申请D一般应当向县级以上市公安机关公共信息网络安全监察部门提出申请10根据信息安全等级保护管理办法，安全保护等级为第三级以上的计算机信息系统应当选用符合下列条件的安全专用产品：（）A产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格B产品的核心技术、关键

6、部件具有我国自主知识产权C产品研制、生产单位及其主要业务、技术人员无犯罪记录D产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能E对国家安全、社会秩序、公共利益不构成危害三、判断题1根据信息安全等级保护管理办法，第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。() 2根据信息安全等级保护管理办法，国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导()3根据信息安全等级保护管理办法，信息系统的运营、使用单位应当根据本办法和有关标准，确定信息系统的安全保护等级并报公安机关审核批

7、准。() 4根据信息安全等级保护管理办法，信息系统的运营、使用单位应当根据已确定的安全保护等级，依照本办法和有关技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，进行信息系统建设。()5根据信息安全等级保护管理办法，第十五条 已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续()6根据信息安全等级保护管理办法，公安机关应当掌握信息系统运营、使用单位的备案情况，发现不符合本办法及有关标准的，应建议其予以纠正。()7根据信息安全等级保护管理办法，公安机关检查发现信息系统安全保护状况不符合信息安

8、全等级保护有关管理规范和技术标准的，应当向运营、使用单位发出整改通知()8信息系统运营、使用单位应当依照相关规定和标准和行业指导意见自主确定信息系统的安全保护等级。即使有主管部门的，也不必经主管部门审核批准。（）二、实施指南二、多选题：1. 计算机信息网络国际联网安全保护管理办法规定，任何单位和个人不得从事下列危害计算机信息网络安全的活动：_。 A.故意制作、传播计算机病毒等破坏性程序的 B.未经允许，对计算机信息网络功能进行删除、修改或者增加的 C.未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的 D.未经允许，进入计算机信息网络或者使用计算机信息网络资

9、源的 2. 我国信息安全等级保护的内容包括_。 A.对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护 B.对信息系统中使用的信息安全产品实行按等级管理 C.对信息安全从业人员实行按等级管理 D.对信息系统中发生的信息安全事件按照等级进行响应和处置 E.对信息安全违反行为实行按等级惩处 3. 目前，我国在对信息系统进行安全等级保护时，划分了5个级别，包括_。 A.专控保护级 B.强制保护级 C.监督保护级 D.指导保护级 E.自主保护级 答案三、定级指南1、根据等级保护相关管理文件，信息系统的安全保护等级分为几个级别：（）A.3 B

10、.4 C.5 D.62、等级保护对象受到破坏时所侵害的客体包括的三个方面为：（）A 公民、法人和其他组织的合法权益 B. 社会秩序、公共利益C. 国家安全 D. 个人利益3、等级保护对象受到破坏后对客体造成侵害的程度归结为哪三种（）A. 造成轻微损害 B. 造成一般损害 C. 造成严重损害 D. 造成特别严重损害 4、根据定级指南，信息系统安全包括哪两个方面的安全：（）A、业务信息安全 B、系统服务安全 C、系统运维安全 D、系统建设安全5、作为定级对象的信息系统应具有如下基本特征：（）A、具有唯一确定的安全责任单位 B、具有信息系统的基本要素 C、承载单一或相对独立的业务应用 D、单位具有独

11、立的法人 6、以下哪一项不属于侵害国家安全的事项（）A、影响国家政权稳固和国防实力 B、影响国家统一、民族团结和社会安定 C、影响国家对外活动中的政治、经济利益D、影响各种类型的经济活动秩序7、以下哪一项不属于侵害社会秩序的事项（）A、影响国家经济竞争力和科技实力 B、影响各种类型的经济活动秩序 C、影响各行业的科研、生产秩序 D、影响公众在法律约束和道德规范下的正常生活秩序等8、以下哪一项不属于影响公共利益的事项（）A、影响社会成员使用公共设施 B、影响社会成员获取公开信息资源C、影响社会成员接受公共服务等方面 D、影响国家重要的安全保卫工作9、信息安全和系统服务安全受到破坏后，可能产生以下

12、危害后果（）A、影响行使工作职能B导致业务能力下降C引起法律纠纷D导致财产损失10、进行等级保护定义的最后一个环节是：（）A、信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较低者决定 B、信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定 C、信息系统的安全保护等级由业务信息安全保护等级决定 D、信息系统的安全保护等级由系统服务安全保护等级决定11、信息安全等级保护工作直接作用的具体的信息和信息系统称为（）A、客体 B、客观方面 C、等级保护对象 D、系统服务12、受法律保护的、等级保护对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共

13、利益以及公民、法人或其他组织的合法权益,称为（）A、客体 B、客观方面 C、等级保护对象 D、系统服务13、对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等,称为（）A、客体 B、客观方面 C、等级保护对象 D、系统服务14、信息系统为支撑其所承载业务而提供的程序化过程,称为（）A、客体 B、客观方面 C、等级保护对象 D、系统服务15、信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害,在等保定义中应定义为第几级（）A、第一级 B、第二级 C、第三级 D、第四级E、第五级16、信息系统受到破坏后，会对国家安全造成特别严重损害,在等保定义中应定义为第几

14、级（）A、第一级 B、第二级 C、第三级 D、第四级E、第五级17、信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益,在等保定义中应定义为第几级（）A、第一级 B、第二级 C、第三级 D、第四级E、第五级18、信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全,在等保定义中应定义为第几级（）A、第一级 B、第二级 C、第三级 D、第四级E、第五级19、信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害,在等保定义中应定义为第几级（）A、第一级 B、

15、第二级 C、第三级 D、第四级E、第五级20、对公民、法人和其他组织的合法权益造成一般损害，定义为几级（）A、第一级 B、第二级 C、第三级 D、第四级E、第五级21、对公民、法人和其他组织的合法权益造成特别严重损害，定义为几级（）A、第一级 B、第二级 C、第三级 D、第四级E、第五级22、对社会秩序、公共利益造成一般损害，定义为几级（）A、第一级 B、第二级 C、第三级 D、第四级E、第五级23、对社会秩序、公共利益造成特别严重损害，定义为几级（）A、第一级 B、第二级 C、第三级 D、第四级E、第五级24、对国家安全造成一般损害，定义为几级（）A、第一级 B、第二级 C、第三级 D、第四

16、级E、第五级25、对国家安全造成特别严重损害，定义为几级（）A、第一级 B、第二级 C、第三级 D、第四级E、第五级26、从业务信息安全角度反映的信息系统安全保护等级称（）A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级27、从系统服务安全角度反映的信息系统安全保护等级称（）A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级28、一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可采取什么样的定级措施（）A、可将较大的信息系统划分为若干个

17、较小的、可能具有不同安全保护等级的定级对象 B、作为一个信息系统来定级 29、确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家安全（）A、国家安全 B、社会秩序或公众利益 C、公民、法人和其他组织的合法权益 30、在信息系统的运行过程中，安全保护等级是否需要随着信息系统所处理的信息和业务状态的变化进行适当的变更。（）A、需要 B、不需要 四、基本要求一、选择题1、基本要求分为技术要求和管理要求，其中技术要求包括物理安全、网络安全、主机系统安全、应用安全和 ？A、整体安全 B、数据安全 C、操作系统安全 D、数据库安全2、基本要求中管理要求中，下面那一个不是其中的内容？

18、A、安全管理机构 B、安全管理制度 C、人员安全管理 D、病毒安全管理3、技术类安全要求按其保护的测重点不同，将依据三类控制点进行分类，其中S类代表是业务信息安全类，A类代表是什么?A、通用安全保护等级B、业务服务保证类（应为系统服务保证类）C、用户服务保证类D业务安全保证类4、物理层面安全要求包括物理位置、物理访问控制、防盗窃和防破坏等，其中不是物理安全范围的是什么？A、防静电 B、防火 C、防水和防潮 D、防攻击5、应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难，所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时

19、间内恢复部分功能是几级要求。A、 一级 B、 二级 C、三级 D、四级6、网络安全主要关注的方面包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、 等七个控制点。A、网络设备防护 B、网络设备自身安全C、网络边界D、网络数据7、管理要求包括 项？（应为基本要求包括多少类？）A、10 B、11 C、12 D、13 8、测评准则和 是对用户系统测评的依据 （测评准则现已被测评要求替代）A、信息系统安全等级保护实施指南 B、信息系统安全保护等级定级指南C、信息系统安全等级保护基本要求D、信息系统安全等级保护管理办法9、应用安全包括身份鉴别、访问控制、安全审计、剩余信息保护、

20、通信完整性、通信保密性和_。A、抗抵赖、软件容错、资源控制B、不可否认性、软件容错、资源控制C、抗抵赖、软件删除、资源控制D、抗抵赖、软件容错、系统控制10、安全管理机构包括_控制点A、3 B、4 C、5 D、611、基本要求是针对一至 级的信息系统给出基本的安全保护要求。（注意基本要求第9章为空白）A、2 B、3 C、4 D、512、基本要求的选择和使用中，定级结果为S3A2，保护类型应该是 。A、 S3A2G1 B 、S3A2G2 C、S3A2G3 D、S3A2G4 13、二级信息系统保护要求的组合包括: S1A2G2，S2A2G2， 。A、S2A1G2 B、S1A2G3 C、S2A2G3

21、 D、S2A3G214、安全管理制度主要包括：管理制度、制定和发布、 三个控制点。A、评审和修订 B、修改 C、 审核 D、 阅读15、数据安全包括：数据完整性、数据保密性、 。A、数据备份 B、数据机密性 C、数据不可否认性 D、数据删除性16、结构安全、访问控制、安全审计是 层面的要求。（注意：主机安全和应用安全均有访问控制和安全审计控制点，但没有结构安全控制点。结构安全控制点是网络安全类独有控制点）A、网络 B、主机 C、 系统 D、物理17、电磁防护是 层面的要求。A、网络 B、主机 C、 系统 D、物理18、运营、使用单位应当参照信息安全技术信息系统安全管理要求GB/T20269-2

22、006）、信息安全技术信息系统安全工程管理要求 管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度A、测评准则 B、基本要求 C、定级指南 D、实施指南19、主机系统安全涉及的控制点包括：身份鉴别、安全标记、访问控制、可信路径、安全审计等 个控制点A、8 B、9 C、10 D、720 、数据安全及备份恢复涉及到 、 、 3个控制点A、数据完整性 数据保密性 备份和恢复 B、数据完整性 数据保密性 不可否认性 C、数据完整性 不可否认性 备份和恢复 D、不可否认性 数据保密性 备份和恢复21、_标准为评估机构提供等级保护评估依据。A、基本要求 B、测评指南 C、评估实施指南 D、定级指

23、南22、人员管理主要是对人员的录用、人员的离岗、 、安全意识教育和培训、第三方人员访问管理5个方面A、人员教育 B、人员裁减 C、人员考核 D、人员审核23、安全管理制度包括管理制度、制定和发布和_A、审核 B、评审和修订 C、 修订 D、评审24、每个级别的信息系统按照 进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态。A、基本要求 B、分级要求 C、测评准则 D、实施指南25、基本要求的管理部分包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、_。A、系统运维 B、人员录用 C、管理运行 D、系统运行26、环境管理、资产管理、介质管理都属于安全管理部分的

24、_管理。A、人员管理 B、安全管理机构 C安全管理制度、 D、系统运维管理27、系统建设管理中要求，对新建系统首先要进行_，在进行方案设计。A、定级 B、规划 C、需求分析 D、测评28、从_级系统开始，基本要求中有规定要作异地备份。A、2 B、3 C、4 D、529、系统定级、安全方案设计、产品采购等是_部分要求。A、系统建设管理 B、系统运维 C、数据安全 D、主机安全30、四级系统中，物理安全要求共有_项A、8 B、9 C、10 D、11答案:五、测评准则（已被测评要求替代）1、信息安全等级保护管理办法中要求，第三级信息系统应当每年至少进行 次等级测评A、一 B、二 C、三 D、四2、信

25、息安全等级保护管理办法中要求第三级以上信息系统应当选择符合下列条件 () 的等级保护测评机构进行测评：A、在中华人民共和国境内注册成立；B、由中国公民投资、中国法人投资或者国家投资的企事业单位；C、具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；D、工作人员仅限于中国公民。3、信息安全等级保护管理办法中要求从事信息系统安全等级测评的机构，应当履行下列 () 义务。A、遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果。B、保守在测评活动中知悉的国家秘密、商业秘密和个人隐私。C、防范测评风险。D、对测评人员进行安全保密教育，与其签订

26、安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。4、广东省公安厅关于计算机信息系统安全保护的实施办法规定测评机构实施 制度。A、审批 B、备案 C、审批+备案 5、在广东省公安厅关于计算机信息系统安全保护的实施办法中规定第 级以上的计算机信息系统建设完成后，使用单位应当委托符合规定的测评机构安全测评合格方可投入使用。A、一 B、二 C、三 D、四6、计算机信息系统运营、使用单位委托安全测评机构测评，应当提交下列资料的主要有： 。A、安全测评委托书。B、定级报告。C、计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改

27、建实施方案、系统软件硬件和信息安全产品清单。D、安全策略文档。7、信息安全等级测评机构对计算机信息系统进行使用前安全测评，应当预先报告 () 公共信息网络安全监察部门。A、县级以上公安机关 B、地级以上市公安机关 C、省公安厅 D、公安部8、信息安全等级测评机构有下列行为之一的 ，由所在地公安机关公共信息网络安全监察部门责令改正，并予以通报。对已办理备案的，收回备案证书。触犯有关法律、法规和规章的，依法追究法律责任。A、伪造、冒用信息安全等级测评机构备案证书的；B、转让、转借信息安全等级测评机构备案证书的；C、出具虚假、失实的信息安全等级测评结论的；D、泄露测评活动中掌握的国家秘密、商业秘密和

28、个人隐私的；9、计算机信息系统投入使用后，存在下列情形之一的() ，应当进行安全自查，同时委托安全测评机构进行安全测评： A、变更关键部件。 B、安全测评时间满一年。C、发生危害计算机信系统安全的案件或安全事故。D、公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评。 10、申请单位认为安全测评报告的合法性和真实性存在重大问题的，可以向 () 公共信息网络安全监察部门提出申诉，提交异议申诉书及有关证明材料。A、本单位所在地公安机关 B、地级以上市公安机关 C、省公安厅 D、公安部11、等级保护测评的执行主体最好选择： 。A、独立的第三方测评服务机构。B、具有相关资质的、

29、独立的第三方测评服务机构。C、从事系统集成和信息安全产品开发等安全服务机构。D、具有相关资质的、从事系统集成和信息安全产品开发等安全服务机构。12、安全保护等级为第三级以上的计算机信息系统应当选用符合下列条件 () 的安全专用产品：A、产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格。B、产品的核心技术、关键部件具有我国自主知识产权。C、产品研制、生产单位及其主要业务、技术人员无犯罪记录。 D、产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能。13、三级及以上信息系统的物理访问控制应满足以下 要求：A、机房出入口应安排

30、专人值守，控制、鉴别和记录进入的人员。B、需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。C、应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域。D、重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。14、三级及以上信息系统的网络安全审计应满足以下 要求：A、应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；B、审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；C、应能够根据记录数据进行分析，并生成审计报表；D、应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。15、三级及以上信息系统的应用安全