信息安全管理体系复习

1、信息安全管理体系复习信息安全管理体系复习 对于信息系统访问控制说法错误的是？ b a、应该根据业务需求和安全要求置顶清晰地访问控制策略， 并根据需要进行评审和改进 b、网络访问控制是访问控制的重中之重，网络访问控制做好 了操作系统和应用层次的访问控制问题就可以得到解决 c、做好访问控制工作不仅要对用户的访问活动进行严格管理， 还要明确用户在访问控制中的有关责任 d、移动计算和远程工作技术在广泛应用给访问控制带来了新 的问题，因此在访问控制工作中要重点考虑对移动计算设备 和远程工作用户的控制措施 下面哪一项最好地描述了组织机构的安全策略？ a a、定义了访问控制需求的总体指导方针 b、建议了如何

2、符合标准 c、表明管理者意图的高层陈述 d、表明所使用的技术控制措施的高层陈述 资产管理师信息安全管理的重要内容，而清楚的识别信息系统 相关的财产，并编制资产清单是资产管理的重要步骤。下面关 于资产清单的说法错误的是： b a、资产清单的编制是风险管理的一个重要的先决条件 b、信息安全管理中所涉及的信息资产，即业务数据、合同协议、 培训材料等 c、在制定资产清单的时候应根据资产的重要性、业务价值和安 全分类，确定与资产重要性相对应的保护级别 d、资产清单中应当包括将资产从灾难中恢复而需要的信息，如 资产类型、格式、位置、备份信息、许可信息等 信息分类是信息安全管理工作的重要环节，下面那一项不是

3、对 信息进行分类时需要重点考虑的？ c a、信息的价值 b、信息的时效性 c、信息的存储方式 d、法律法规的规定 下面哪一项关于对违反安全规定的员工进行惩戒的说法是错误 的？ c a、对安全违规的发现和验证是进行惩戒的重要前提 b、惩戒措施的一个重要意义在于它的威慑性 c、出于公平，进行惩戒时不应考虑员工是否是初犯，是否接受过 培训 d、尽管法律诉讼是一种严厉有效的惩戒手段，但使用它时一定要 十分慎重 对程序源代码进行访问控制管理时，以下那种做法是 错误的？ c a若有可能，在实际生产系统中不保留源程序库。 b对源程序库的访问进行严格的审计 c技术支持人员应可以不受限制的访问源程序 d对源程序

4、库的拷贝应受到严格的控制规程的制约 以下对系统日志信息的操作中哪项是最不应当发生的？ a a、对日志内容进行编辑 b、只抽取部分条目进行保存和查看 c、用新的日志覆盖旧的日志 d、使用专用工具对日志进行分析 在信息安全管理工作中“符合性”的含义不包括哪一项？ c a、对法律法规的符合 b、对安全策略和标准的符合 c、对用户预期服务效果的符合 d、通过审计措施来验证符合情况 在何种情况下，一个组织应对公众和媒体公告其信息系统中发 生的信息安全事件？ a a、当信息安全事件的负面影响扩展到本组织以外时 b、只要发生了安全事件就应当公告 c、只有公众的什么财产安全受到巨大危害时才公告 d、当信息安全

5、事件平息之后 下面对iso27001 的说法最准确的是： d a、该标准的题目是信息安全管理体系实施指南 b、该标准为度量信息安全管理体系的开发和实施提供的一套标准 c、该标准提供了一组信息安全管理相关的控制和最佳实践 d、该标准为建立、实施、运行、监控、审核、维护和改进信息安 全体系提供了一个模型 iso27002、itil 和cobit 在it 管理内容上各有优势、但侧重点 不同，其各自重点分别在于： b a、it 安全控制、it 过程管理和it 控制和度量评价 b、it 过程管理、it 安全控制和it 控制和度量评价 c、it 控制和度量评价、it 安全控制和it 安全控制 d、it 过

6、程管理、it 控制和度量评价、it 安全控制 为了有效的完成工作，信息系统安全部门员工最需要以下哪一为了有效的完成工作，信息系统安全部门员工最需要以下哪一 项技能？项技能？ a. 人际关系技能 b. 项目管理技能 c. 技术技能 d. 沟通技能 答案：答案：d。 以下哪一种人给公司带来了最大的安全风险？以下哪一种人给公司带来了最大的安全风险？ a. 临时工临时工 b. 咨询人员咨询人员 c. 以前的员工以前的员工 d. 当前的员工当前的员工 答案：答案：d。 在计算机中心，下列哪一项是磁介质上信息擦除的最彻底形式在计算机中心，下列哪一项是磁介质上信息擦除的最彻底形式? a. 清除 b. 净化

7、c. 删除 d. 破坏 答案：答案：d。 系统管理员属于系统管理员属于 a. 决策层决策层 b. 管理层管理层 c. 执行层执行层 d. 既可以划为管理层，又可以划为执行层既可以划为管理层，又可以划为执行层 答案：答案：c。 为了保护企业的知识产权和其它资产，当终止与员工的聘用关系时下面哪为了保护企业的知识产权和其它资产，当终止与员工的聘用关系时下面哪 一项是最好的方法？一项是最好的方法？ a.进行离职谈话，让员工签署保密协议，禁止员工账号，更改密码 b.进行离职谈话，禁止员工账号，更改密码 c. 让员工签署跨边界协议 d. 列出员工在解聘前需要注意的所有责任 答案：答案：a。 职责分离是信息

8、安全管理的一个基本概念。其关键是权力不能过分集中在职责分离是信息安全管理的一个基本概念。其关键是权力不能过分集中在 某一个人手中。职责分离的目的是确保没有单独的人员（单独进行操作）某一个人手中。职责分离的目的是确保没有单独的人员（单独进行操作） 可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员访问安可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员访问安 全系统软件的时候，会造成对全系统软件的时候，会造成对“职责分离职责分离”原则的违背？原则的违背？ a.数据安全管理员 b.数据安全分析员 c. 系统审核员 d. 系统程序员 答案：d。 对于一个机构的高级管理人员来说，关于信息系统安全操作的对于一个机构的高级管理人员来说，关于信息系统安全操作的 最普遍的观点是：最普遍的观点是： a. 费用中心 b. 收入中心 c. 利润中心 d. 投资中心 在信息安全策略体系中，下面哪一项属于计算机或信息安全的在信息安全策略体系中，下面哪一项属于计算机或信息安全的 强制性规则？强制性规则？ a. 标准（standard） b. 安全策略（security policy） c. 方针（guideline） d. 流程（procedure） 答案：答案：a。 信息安全管理体系 信息分类是信息安全管理工作的重要环节，下面那一 项不是