信息安全管理练习题Word文件下载.docx
- 文档编号:17051440
- 上传时间:2022-11-28
- 格式:DOCX
- 页数:40
- 大小:113.84KB
信息安全管理练习题Word文件下载.docx
《信息安全管理练习题Word文件下载.docx》由会员分享,可在线阅读,更多相关《信息安全管理练习题Word文件下载.docx(40页珍藏版)》请在冰豆网上搜索。
G类两者都有所关注。
26.如果信息系统只承载一项业务,可以直接为该信息系统确定安全等级,不必划分业务子系统。
27.信息系统生命周期包括5个阶段:
启动准备、设计/开发、实施/实现、运行维护和系统终止阶段。
而安全等级保护实施的过程与之相对应,分别是系统定级、安全规划设计、安全实施、安全运行维护和系统终止。
信息安全管理体系国家注册审核员培训班考试试题-2015
一、选择题(每题1分,共lO分)
(
)1.信息安全中的可用性是指_______
a)信息不能被未授权的个人,实体或者过程利用或知悉的特性
b)保护资产的准确和完整的特性
c)根据授权实体的要求可访问和利用的特性
d)以上都不对
)2.审核证据是指________
a)与审核准则有关的,能够证实的记录、事实陈述或其他信息
b)在审核过程中收集到的所有记录、事实陈述或其他信息
c)一组方针、程序或要求
)3.______
属于系统威胁。
a)不稳定的电力供应
b)硬件维护失误
c)软件缺乏审计记录
d)口令管理机制薄弱
)4.管理体系是指______
a)建立方针和目标并实现这些目标的体系
b)相互关联和相互作用的一组要素
c)指挥和控制组织的协调的活动
)5.信息安全管理实用规则ISO/IECl7799属于_____标准?
a)词汇类标准
b)要求类标准
c)指南类标准
)6.在信息安全管理体系____阶段应测量控制措施的有效性?
a)建立
b)实施和运行
c)监视和评审
d)保持和改进
)7.风险评价是指______
a)系统地使用信息来识别风险来源和估计风险
b)将估计的风险与给定的风险准则加以比较以确定风险严重性的过程
c)指导和控制一个组织相关风险的协调活动
d)以上都不对
)8.可使用_______来保护电子消息的保密性和完整性
a)密码技术
b)通信技术
c)控制技术
d)自动化技术
)9.现状不符合文件是指______
a)标准要求的没有写到
b)写到的没有做到
c)做到的没有达到目标
)10.以下属于计算机病毒感染事件的纠正措施的是_________
a)对计算机病毒事件进行响应和处理
b)将感染病毒的计算机从网络中隔离
c)对相关责任人进行处罚
d)以上都不是
二、判断题(每题1分,共10分)
你认为正确的在(
)中划“√”,错误的划“x”。
)1.客户资料不属于组织的信息资产。
)2.组织的安全要求全部来源于风险评估。
)3.通过使用资源和管理,将输入转化为输出的任意活动,称为过程。
)4.组织必须首先从ISO/IEC27001附录A的控制措施列表中选取控制措施。
)5.风险分析和风险评价的整个过程称为风险评估。
)6.控制措施可以降低安全事件发生的可能性,但不能降低安全事件的潜在影响。
)7.“资产责任人”,要求与信息处理设施有关的所有资产都应由指定人员承担责任。
)8.网站信息由于属于公共可用信息,因此无须实施安全保密措施。
)9.审核范围必须与受审核方信息安全管理体系范围一致。
)10.当组织信息安全管理体系的基础发生重大变化而增加的一次审核称为监督审核。
三、填空题(每题1分,共5分)
指出IS027001:
2005标准中适用于下述情景的某项条款,请将条款号填在横线上。
1.“信息安全管理部的员工根据风险评估的结果,正在选择适当的控制措施。
”
适用于这一情况的条款是——
2.“某公司规定无论离职或调职,员工的原有系统访问权一律撤销。
适用于这一情况的条款是——
3.“某公司在其机房内贴了一张行为准则,员工在机房内工作时必须遵守。
适用于这一情况的条款是——
4.“公司重要服务器的操作记录中没有任何管理员操作的记录。
5.“某公司的信息系统中使用了密码手段来保障其信息安全,但该公司的相关工作人员对我国密码方面的法律法规一无所知。
适用于这一情况的条款是______
四、问答题(1—3题每题5分,共15分;
4.5题每题15分,共30分;
共45分)
1.什么是信息安全?
组织的信息安全要求分为哪几类?
并简要说明。
2.ISO/IEC27001:
2005附录A所列出的控制措施中,哪些条款体现了“管理者作用”,至少举出3条控制措施,并简要说明。
3.审核组进入审核现场后,通常会有哪些会议?
各有什么作用?
会议主持人一般由谁担任?
4.如果某软件开发公司涉及软件外包业务,请列出在软件外包的过程中所涉及的风险,并
从ISO/IEC27001:
2005附录A控制措施列表中选择适当的控制措施,作简要说明。
5.如何依据ISO/IEC27001:
2005审核A.10.7,组织应防止资产遭受未授权泄露、修改、
移动或销毁以及业务活动的中断
五、案例分析题(每题10分,共30分)
请根据所述情况判断:
如能判断有不符合项,请写出不符合ISO/2700l:
2005标准的条款号、内容和严重程度,并写出不符合事实,如提供的证据不能足以判断有不符合项时,请写出进一步审核的思路。
判分标准:
不符合条款2分,不符合标准的内容3分,不符合事实3分,不符合的严重程度2分。
1.审核员在看到某公司的意识及技能培训计划后,询问某公司工作人员对信息安全管理体系的认识,该工作人员回答,由于前段时间一直出差在外,所以还没有时问学习相关的体系文件。
2.审核员询问公司办公系统中某机器的操作系统升级情况时,使用人员说,我们使用的所有软件都是正版的,所以我在使用时直接设置为操作系统自动更新了,而且一直也没出现过什么问题,对业务没有任何影响。
3.审核员在某公司信息安全部看到几份安全事故处理报告,原因栏写的都是感染计算机病毒,工作人员说,我们已经严格规定了防病毒软件的使用及升级周期,但还是没有效果。
信息安全管理体系审核员练习题-简单题和案例分析题-2015
一、简答
1.内审不符合项完成了30/35,审核员给开了不符合,是否正确?
你怎么审核?
[参考]不正确。
应作如下审核:
(1)询问相关人员或查阅相关资料(不符合项整改计划或验证记录),了解内审不符合项的纠正措施实施情况,分析对不符合的原因确定是否充分,所实施的纠正措施是否有效;
(2)所采取的纠正措施是否与相关影响相适宜,如对业务的风险影响,风险控制策略和时间点目标要求,与组织的资源能力相适应。
(3)评估所采取的纠正措施带来的风险,如果该风险可接受,则采取纠正措施,反之可采取适当的控制措施即可。
综上,如果所有纠正措施符合风险要求,与相关影响相适宜,则纠正措施适宜。
2、在人力资源部查看网管培训记录,负责人说证书在本人手里,培训是外包的,成绩从那里要,要来后一看都合格,就结束了审核,对吗?
[参考]不对。
应按照标准GB/T22080-2008条款5.2.2培训、意识和能力的要求进行如下审核:
(1)询问相关人员,了解是否有网管岗位说明书或相关职责、角色的文件?
(2)查阅网管职责相关文件,文件中如何规定网管的岗位要求,这些要求基于教育、培训、经验、技术和应用能力方面的评价要求,以及相关的培训规程及评价方法;
(3)查阅网管培训记录,是否符合岗位能力要求和培训规程的规定要求?
(4)了解相关部门和人员对网管培训后的工作能力确认和培训效果的评价,是否保持记录?
(5)如果岗位能力经评价不能满足要求时,组织是否按规定要求采取适当的措施,以保证岗位人员的能力要求。
二、案例分析
1、查某公司设备资产,负责人说台式机放在办公室,办公室做了来自环境的威胁的预防;
笔记本经常带入带出,有时在家工作,领导同意了,在家也没什么不安全的。
A9.2.5
组织场所外的设备安全
应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险
2、某公司操作系统升级都直接设置为系统自动升级,没出过什么事,因为买的都是正版。
A12.5.2操作系统变更后应用的技术评审
当操作系统发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。
3、创新公司委托专业互联网运营商提供网络运营,供应商为了提升服务级别,采用了新技术,也通知了创新公司,但创新认为新技术肯定更好,就没采取任何措施,后来因为软件不兼容造成断网了。
A10.2.3第三方服务的变更管理应管理服务提供的变更,包括保持和改进现有的信息安全策略、规程和控制措施,并考虑到业务系统和涉及过程的关键程度及风险的评估。
4、查某公司信息安全事件处理时,有好几份处理报告的原因都是感染计算机病毒,负责人说我们严格的杀毒软件下载应用规程,不知道为什么没有效,估计其它方法更没用了。
8.2纠正措施
5、查看web服务器日志发现,最近几次经常重启,负责人说刚买来还好用,最近总死机,都联系不上供应商负责人了。
A10.2.1应确保第三方实施、运行和保持包含在第三方服务交付服务交付协议中的安全控制措施、服务定义和交付水准。
信息安全管理体系审核员练习题-简述题-2015
简述题
1、审核员在某公司审核时,发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁。
公司主管信息安全的负责人解释说,因保安负责公司的物理区域安全,他们夜里以及节假日要值班和巡查所有区域,所以只能给保安全权限门卡。
审核员对此解释表示认同。
如果你是审核员,你将如何做?
答:
应根据标准GB/T22080-2008条款A.11.1.1审核以下内容:
(1)是否有形成文件的访问控制策略,并且包含针对公司每一部分物理区域的访问控制策略的内容?
(2)访问控制策略是否基于业务和访问的安全要素进行过评审?
(3)核实保安角色是否在访问控制策略中有明确规定?
(4)核实访问控制策略的制定是否与各物理区域风险评价的结果一致?
(5)核实发生过的信息安全事件,是否与物理区域非授权进入有关?
(6)核实如何对保安进行背景调查,是否明确了其安全角色和职责?
2、请阐述对GB/T22080中A.13.2.2的审核思路。
(1)询问相关责任人,查阅文件3-5份,了解如何规定对信息安全事件进行总结的机制?
该机制中是否明确定义了信息安全事件的类型?
该机制是否规定了量化和监视信息安全事件类型、数量和代价的方法和要求,并包括成功的和未遂事件?
(2)查阅监视或记录3-15条,查阅总结报告文件3-5份,了解是否针对信息安全事件进行测量,是否就类型、数量和代价进行了量化的总结,并包括成功的和未遂事件。
(3)查阅文件和记录以及访问相关责任人,核实根据监视和量化总结的结果采取后续措施有效防止同类事件的再发生。
ISO27001信息安全管理体系审核员培训测试-2015
一、以下对于信息安全管理体系的叙述,哪个个是不正确的?
A.只规范公司高层与信息安全人员的行为;
B.针对组织内部所使用的信息,实施全面性的管理;
C.为了妥善保护信息的机密性、完整性和可用性;
D.降低信息安全事件的冲击至可承受的范围;
E.分为PDCA(计划—执行—检查—行动)四大部份,循环执行,不断改进。
二、以下对于PDCA(计划—执行—检查—行动)的叙述,哪个是正确的?
A.其中的重点在于P(计划);
B.依据PDCA的顺序顺利执行完一次,即可确保信息安全;
C.需依据管理层审查结果采取矫正与预防措施,以达到持续改进的目的;
D.如果整体执行过程中C(检查)的过程过于繁复,可予以略过;
E.以上皆非。
三、下列那个项目不属于ISO27001认证标准所涵盖的十一个管理要项?
A.信息安全政策;
B.组织安全;
C.人员安全;
D.复杂性;
E.访问控制。
四、下列对于风险的叙述,哪个是正确的?
A.风险分析:
针对无法改善的风险进行分析;
B.风险管理:
列出所有可能存在的风险清单;
C.风险评估:
把所估计的风险与已知的风险标准作比较,以决定风险的重要性;
D.风险处理:
为了将风险降为零风险所采取的行动;
E.可接受风险:
可接受进行改善的风险。
五、以下哪项符合信息安全管理体系有关“文件记录控制”的要求?
A.文件都必须电子化;
B.信息安全管理体系所需的文件仅需保护,但无须控制;
C.所有文件应依据信息安全管理体系的政策要求在需要时即可供被授权人取用;
D.文件纪录必须全部由一人保管;
E.为提供信息安全管理体系有效运作的证据所建立之纪录不属于管制范围。
六、对于“信息安全管理体系”,下列哪些不属于管理层的责任?
A.提供信息安全管理工作的必要资源;
B.决定可接受风险的等级;
C.定期举行相关教育训练,增进员工信息安全的认知;
D.为信息安全系统购买保险;
E.建立一份信息安全政策。
七、以下针对信息安全系统审计的叙述,哪个是不正确的?
A.审计方案应予以事先规划;
B.目的在于确保信息安全管理体系的控制目标与控制措施是否有效地实施与维持;
C.基于对业务的了解,应由各部门主管审计其所负责的业务;
D.对于审计结果应有适当的跟进措施;
E.审计人员的遴选与审计的执行,应确保审计过程的客观性与公正性。
八、以下对于信息安全管理体系改进的叙述,哪个是不正确的?
A.改进的目的在于确认信息安全管理系统的有效性;
B.为了防止不符合事项再度发生,应将该事项从信息安全管理体系中移除;
C.包含矫正措施与预防措施;
D.应在信息安全管理体系中制定相应的文件化程序;
E.应决定相关措施,以消除未来不符合信息安全管理体系要求的事项。
九、以下对于“安全方针”的叙述,哪个是不正确的?
A.管理层应设定一个明确的政策方向,展现对信息安全的支持与承诺;
B.安全方针应以适当方式向所有员工公布与宣导;
C.安全方针应有专人依据规定的审核过程对其进行维护与审核;
D.安全方针一经确定即无法随意修改;
E.方针应说明组织管理信息安全的方法。
十、以下对于“信息安全组织”的叙述,哪个是不正确的?
A.其目标为在组织中管理信息安全;
B.个别资产的保护责任及执行特定安全程序的责任应明确划分;
C.应参考信息安全专家的建议;
D.应减少与其它组织间的合作;
E.需有独立的信息安全审计。
十一、针对“第三方存取”与“外包作业”的叙述,哪个是正确的?
A.为了降低风险,应减少「第三方存取」与「外包作业」;
B.第三方存取组织信息处理设施的风险应予评估,并实施适当的安全控制措施;
C.将信息处理责任外包时,信息安全的责任也随之转嫁;
D.应限制外包单位不得使用组织的任何信息设备;
E.由于已签订外包合同,对于第三方存取组织的信息处理设施无须控制。
十二、以下对于“资产分类及控制”之叙述,哪个是不正确的?
A.所有主要的信息资产应由高级管理人员负责保管;
B.应制作所有与每一信息系统相关重要资产的清册并进行维护;
C.应制订一套与组织采用的分类方式相符的信息标识和处理流程;
D.信息分类与相关保护控制措施应考虑企业共享或限制信息的需求;
E.其目标在于维护组织资产并给予适当的保护。
十三、以下对于“人力资源安全”的叙述,哪个是不正确的?
A.组织信息安全方针中规定的安全角色与职务应在工作职责中予以文件化;
B.组织内所有员工及相关第三方的用户皆应接受适当的信息安全教育训练;
C.目标在于确保员工的人身安全,避免发生意外;
D.正式员工、承包商及临时工在申请工作时即应进行背景调查;
E.员工应签署保密协议,作为任用的首要条件和限制的一部分。
十四、员工察觉“安全及失效事件”发生时,应立即采取何种行动?
A.分析事件发生的原因;
B.尽快将事件掩盖过去;
C.修正信息安全目标;
D.查阅信息安全相关文件;
E.遵循适当的管理途径尽快通报。
十五、以下对于“安全区域”的说明,哪个是不正确的?
A.其目标是避免营运场所及信息遭XX存取、损害与干扰;
B.划设为安全区域的场所已有适当控管,可容许任何人进出;
C.应设立安全区域,以提供特殊安全需求;
D.在安全区域内工作时应采取额外的控制措施及指引,以强化该区域的安全性;
E.装卸区应予管制,若可能,应与信息处理设施隔离,避免遭未授权进入。
十六、以下对于“设备安全”的相关行为,哪个是不适当的?
A.应保护设备降低来自环境的威胁及灾害;
B.保护设备不受电力故障及其他电力异常影响;
C.保护传送数据或支持信息服务的电源与通讯缆线,以防止窃听或破坏;
D.设备在报废或再使用前将信息清除;
E.设备一律禁止携出组织外使用。
十七、以下何种行为不符合“通信和操作安全”的要求?
A.信息处理设施与系统的变更应予控制;
B.职务与责任范围应予区分,以降低信息或服务遭未授权修改或误用的机会;
C.安全政策所规定的作业程序应制作文件纪录并进行维护;
D.开发与测试工作可在正式生产设备上进行,以降低营运成本;
E.使用外部设施管理服务前,应识别风险并制订适当的控制措施。
十八、下列对于“信息的交换”的叙述,哪个是不正确的?
A.组织间交换信息与软件的行为应有协议或合约规范;
B.应制定电子邮件使用政策,严格执行控管;
C.使用网络及时通讯软件(如MSN)进行文件传送以便于实现传送的方便性及隐密性;
D.重要信息对外公开前应有正式授权程序,且该信息的完整性应予保护;
E.运送的储存媒体应予保护,防止XX遭存取。
十九、下列对于“用户访问控制”的叙述,哪个是不正确的?
A.应制定正式用户注册及注销流程;
B.特殊权限的分配与使用应受限制与控管;
C.要确保信息系统的访问权限被恰当地授权、配置及维护;
D.为减少账号个数,降低日常作业成本,可采多人共享一组账号密码的方式;
E.管理层应定期执行正式程序复核用户访问权限。
二十、下列行为哪个不符合“网络访问控制”的安全需求?
A.网络应有控制措施,将信息服务、用户及信息系统群组分离;
B.用户网络联机能力应仅限于共享网络;
C.组织应对其使用的所有网络服务的安全特性提供一份清楚说明的文件;
D.远程使用者的存取应有身份鉴别;
E.为便利用户,应设置开放的网络环境,以确保用户可直接存取任何他所想使用的服务。
二一、对于“监控系统”的存取与使用,下列哪个是正确的?
A.监控系统所产生的记录可由用户任意存取;
B.计算机系统时钟应予同步;
C.只有当系统发生异常事件及其他安全相关事件时才需进行监控;
D.监控系统投资额庞大,并会影响系统效能,因此可以予以暂时省略;
二二、以下各项行为,哪个不能确保“应用系统的安全”?
A.输入、输出数据应进行确认;
B.对于有保护消息内容完整性的安全要求的应用程序,应采用消息鉴别机制;
C.要有适当的审计记录或活动日志;
D.系统内应有确认检查机制,以检测所处理数据的完整性;
E.为加快数据传输时的速度,降低系统反应时间,任何数据皆可使用明码传输。
二三、下列哪项不是维护“开发和支持过程中的安全”的方法?
A.应阻止用户修改软件包,必要的修改应严格管制;
B.应用系统若有变更,应进行适当审核与测试;
C.应采取正式变更管理程序以严格控制变更作业的实施;
D.软件应尽量采用自行开发避免外包或采购;
E.软件的采购应注意其是否内藏隐密通道及特洛依木马程序。
二四、为确保“业务连续性管理”,以下哪些行为应该加以避免?
A.应分析各种灾难、安全缺失和损失服务对业务所可能产生的后果;
B.全组织连续营运措施的制订与维护,有明确管理的过程;
C.应等待企业营运过程发生中断或失效时,再来制订相关的策略计划;
D.应维持单一营运持续计划的框架,以确保所有计划皆一致;
E.营运持续计划应定时测试,并通过定期审查加以维护。
二五、以下对于信息安全管理体系中“符合性”的叙述,哪个是不正确的?
A.清楚识别所有与信息系统有关的法规;
B.组织重要记录应予文件化后进行保护;
C.避免使用具有知识产权的专利软件产品;
D.要保护个人信息的数据与隐私;
E.信息系统的管理要依据行政命令、法律规章或合同的安全要求。
信息技术服务管理体系审核员练习-2015
一.选择题(请选出最佳答案,每题2分,共20分)
1.01修改SLA和支持文件应属于哪个流程的一部分:
a)变更管理
b)配置管理
c)发布管理
d)业务持续性和可用性管理
e)以上都不是
1.02服务目录不包括以下哪个信息。
服务名称
服务成本
目标,如:
安装一个打印机的回应时间,恢复一个重大
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全管理 练习题
![提示](https://static.bdocx.com/images/bang_tan.gif)