信息安全管理真题精选Word格式文档下载.docx

信息安全管理真题精选Word格式文档下载.docx

《信息安全管理真题精选Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《信息安全管理真题精选Word格式文档下载.docx（15页珍藏版）》请在冰豆网上搜索。

B.1989年5月1日

C.1993年2月22日

D.2010年10月1日

4、信息备份的安全要求包括（）。

A.明确备份周期

B.明确备份套数

C.对备份介质进行标识

D.备份介质存放于适宜的环境

A,B,C,D

5、依据GB/T22080/ISO/IEC27001，信息分类方案的目的是（）

A.划分信息载体的不同介质以便于存储和处理，如纸张、光盘、磁盘

B.划分信息载体所属的职能以便于明确管理责任

C.划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则

D.划分信息的数据类型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析

C

参考解析：

信息分类的目的是对信息资料进行详细的区分，以确定信息存储、处理、处置的原则。

6、计算机的购置需根据部门实际工作需要提出申请，填写（）。

A.计算机维修申请单

B.计算机购置申请单

C.计算机购置审批单

D.计算机领取申请单

B

7、建立ISMS体系的目的，是为了充分保护信息资产并基于（）信心。

A.相关方

B.供应商

C.顾客

D.上级机关

A

[填空题]

8在中、西文兼容的计算机中，计算机如何区别西文字符和汉字符？

在计算机中，为了实现中、西文兼容，通常将汉字国标码的最高位置1来标识机内的某个码值是代表汉字。

9、ISMS是基于组织的（）风险角度建立的。

A.整体业务

B.财务部门

C.资产安全

D.信息部门

10什么是系统？

没有目标的相互联系的事物是否是系统？

为什么？

系统是一些部件为了某种目标而有机地结合的一个整体，这里目标、部件、联结是不可缺少的因素，按照一般系统论的观点，系统有五个要素：

系统在一定的时空范围内有一些主量集合；

系统的主量是随时间变化的；

系统的主量可表示于笛卡尔坐标上；

系统存在论域B和耦合C之间的关系；

系统是状态转化结构。

因此，系统有以下特点：

（1）系统是由部件组成的，部件处于运动状态；

（2）系统之间存在着联系；

（3）系统行为的输出也就是对目标的贡献，系统各主量和的贡献大于各主量贡献之和，即系统的观点1+1>

2。

（4）系统的状态是可以转换的，在某些情况下系统有输入和输出，系统状态的转换是可以控制的。

11、ISMS有效性的定期评审应考虑（）、事故、有效性策略结果等内容。

A.识别风险

B.风险评价

C.风险评估方法

D.安全评审结果

12什么是数据？

什么是信息？

试举几个实用例子加以描述。

数据是一组表示数量、行动和目标的非随机的可鉴别的符号，数据项可以按使用的目的组织成数据结构；

信息是经过加工后的数据，它对接收者的行为能产生影响，它对接收者的决策具有价值。

数据可喻为原料，而信息就是产品；

一个系统的信息可能是另一系统的数据，派车单对司机是信息，而对公司老总只是数据；

信息是一个社会概念，是人类共享的一切知识、学问以及客观现象加工提炼出来的各种消息之总和。

13、关于特权访问，说法正确的是（）

A.特权访问用户通常包含顾客

B.特权访问用户必须包含最高管理者

C.特权访问用户的访问权限最大权限原则的的应用

D.特殊访问权应与其职能角色一致

14管理的定义是什么？

管理和其他学科在性质上的区别是什么？

管理是为了某种目标，应用一切思想、理论和方法去合理地计划、组织、指挥、协调和控制他人，调度各种资源，如人、财、物、设备、技术和信息等，以求以最小的投入去获得最好或最大的产出目标。

管理既是艺术又是科学，任何事物当我们对它不甚了解时就表现为艺术，当完全了解并掌握了它们的规律，那么它就变成一种技术或工程；

定性是表示是或否、做或不做，当我们对一个事物不了解时只能定性，定量多依赖于科学和数学计算，定量是管理科学与一般管理的重要区别；

管理是一门独立的学科，理、工、农、医、文、法、管是平行的学科；

管理与经济不是等同的，可能管理是经济的一种手段，经济是管理的一个对象。

15、关于信息系统登录口令的管理，以下说法不正确的是（）

A.必要时，使用密码技术，生物特征等代替口令

B.用提示信息告知用户输入的口令是否正确

C.明确告知用户应遵从的优质口令策略

D.使用互动式管理确保用户使用优质口令

[判断题]

16、风险评价准则应当与组织的风险管理方针一致。

对

17、对于可能超越系统和应用控制的实用程序，以下做法正确的是（）

A.实用程序的使用不在审计范围内

B.建立禁止使用的实用程序清单

C.紧急响应时所使用的实用程序不需要授权

D.建立、授权机制和许可使用的实用程序清单

18、风险处置必须采取措施，将风险降低到可接受级别。

19、物理安全周边的安全设置应考虑（）

A.区域内信息和资产的敏感性分类

B.重点考虑计算机机房，而不是办公区或其他功能区

C.入侵探测和报警机制

D.A+C

20、风险识别是发现、列举和描述风险要素的过程。

21、风险评价准则需体现组织的风险承受度，应反映组织的价值观、目标和资源。

更多内容请访问《睦霖题库》微信公众号

22、信息系统的变更管理不包括（）

A.软件的升级

B.系统硬件以旧换新

C.系统终端设备物理位置变更

23、信息安全风险主要有哪些（）

A.信息存储风险

B.信息传输风险

C.信息访问风险

D.以上都正确

24、以下属于安全办公区域控制的措施是（）

A.敏感信息处理设施避免放置在和外部方共用的办公区

B.显著标记“敏感档案存储区，闲人免进”标识牌

C.告知全体员工敏感区域的位置信息，教育员工保护其安全

D.以上都对

25、风险评估方法可以是（）

A.必须使用标准要求的

B.组织可以随意选择

C.组织自己选择，但要求是可再现的

D.以上都不对

26、设备维护维修时，应考虑的安全措施包括（）

A.维护维修前，按规定程序处理或清除其中的信息

B.维护维修后，检查是否有未授权的新增功能

C.敏感部件进行物理销毁而不予送修

27、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包括在（）的合同中。

A.雇员

B.承包方人员

C.第三方人员

D.a+b+c

28、下列关于“风险评价准则”描述不准确的是（）

A.风险评价准则是评价风险主要程度的依据，不能被改变

B.风险评价准则应尽可能在风险管理过程开始时制定

C.风险评价准则应当与组织的风险管理方针一致

D.风险评价准则需体现组织的风险承受度，应反映组织的价值观、目标和资源

29、容量管理的对象包括（）

A.信息系统内存

B.办公室空间和基础设施

C.人力资源

D.A+B+C

30、ISO/IEC27001从（）的角度，建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。

A.客户安全要求

B.组织整体业务风险

C.信息安全法律法规

31、为确保信息资产的安全，设备、信息或软件在（）之前不应带出组织场所。

A.使用

B.授权

C.检查合格

D.识别出薄弱环节

32、以下有关残余风险的说法错误的是（）。

A.残余风险不包含未识别的风险

B.残余风险还可被称为“保留风险”

C.残余风险是风险处置后剩余的风险

D.管理者应对建议的残余风险进行批准

33、在运行系统上安装软件，以下说法不正确的是（）

A.对于复杂的系统应采取分步部署的策略

B.应在安装前在隔离的环境中完成验收测试

C.应在安装前完成单元测试，随之进行安装然后进行验收测试

D.安装运行后应评审对关键业务应用的影响

34、一个风险的大小，可以由（）的结合来表示。

A.风险的后果和发生可能性

B.风险后果和风险源

C.风险发生可能性和风险源

D.风险源和风险原因

35、依据GB/T22080/ISO/IEC27001，信息系统审计是（）

A.发现信息系统脆弱性的手段之一

B.应在系统运行期间进行，以便于准确地发现弱电

C.审计工具在组织内应公开可获取，以便于提升员工的能力

D.只要定期进行，就可以替代内部ISMS审核

36、下列哪项不在风险评估之列（）

A.风险识别

B.风险分析

C.风险评价

D.风险处置

37、以下不属于可降低信息传输中的信息安全风险的措施是（）

A.规定使用通信设施的限制规则

B.使用铠甲线缆以及数据加密

C.双路供电以及定期测试备份电机

D.记录物理介质运输全程的交接信息

38什么是系统安全政策？

安全政策。

定义如何配置系统和网络，如何确保计算机机房和数据中心的安全以及如何进行身份鉴别和身份认证。

同时，还确定如何进行访问控制、审计、报告和处理网络连接、加密和反病毒。

还规定密码选择、账户到期、登录尝试失败处理等相关领域的程序和步骤。

39、某台服务器在每个月150小时工作时间内正常工作时间为145小时，该服务器的可用性为（）

A.145/295

B.150/295

C.145/150

D.150/145

40、防火墙管理员应承担下面哪些责任（）

A.规划和部署，策略制定，规则配置与测试

B.防火墙状态监控

C.防火墙日志审计分析

D.安全事件的响应处理

41、关于审核准则正确的描述是（）

A.与审核依据有关，能够证实的记录、事实陈诉或其他信息

B.一组方针、程序或要求

C.在审核过程中收集到的所有记录、事实陈诉或其他信息

D.将收集