CISP信息安全管理习题

1、1 .根据相关标准，信息安全风险管理可以分为背景建立、风险评估，风险处理，批准监督、监控审查和沟通咨询等阶段。模拟该流程。文档风险分析报告应属于哪个阶段的输出成果（）。A风险评估B风险处理C批准监督D监控审查2 .某单位在实施信息安全风险评估后，形成了若干文档，下面（）中的文档不应属于风险评估“准备”阶段输出的文档。A风险评估工作计划，主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色进度安排等内容B风险评估方法和工具列表，主要包括拟用的风险评估方法和测试评估工具等内容C已有安全措施列表，主要包括经检查确认后的已有技术和管理各方面安全措施等内容D风险评估准则要

2、求，主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等内容3 .规范的实施流程和文档管理，是信息安全风险评估结果取得成果的重要基础，按照规范的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果（）A风险评估方案B重要保护的资产清单C风险计算报告D风险程度等级列表4 .定量风险分析是从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，准确度量风险的可能性和损失量，小王采用该方法来为单位机房计算火灾的风险大小，假设单位机房的总价值为200万元人民币，暴露系数（ErpomireFactor,EF）是乂，年度发生率（AnnualixedRatoofOccurre

3、nce,ARO）为0.1,而小王计算的年度预期损失（AnnualixedLossRrpectancy,ALE）值为5万元人民币。由此x值应该是（）5 .不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织机构应当根据各自的实际情况，选择适当的风险评估方法，下面的描述中，错误的是（）A定量风险分析是用从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，以度量风险的可能性和损失量B定量风险分析相比定性风险分析能得到准确的数值，所以在实际工作中应使用定量风险分析，而不应选择定性风险分析C定性风险分析过程中，往往需要凭借分析者的经验直接进行，所以分析结果和风险评估团队的素质、经验和知

4、识技能密切相关D定性风险分析更具有主观性，而定量风险分析更具客观性6 .某单位在一次信息安全风险管理活动中，风险评估报告提出服务器A的PTP服务存在高风险的漏洞，随后该单位在风险处理时选择了关闭PTP服务的处理措施，请问该措施属于哪种风险处理方式（）A风险降低B风险规避C风险转移D风险接受7 .残余风险是风险管理中的一个重要概念，在信息安全风险管理中，关于残余风险描述错误的是（）A残余风险是采取了安全措施后，仍然可能存在的风险，一般来说，是在综合考虑了安全成本与效益后不去控制的风险B残余风险应受到密切监理，它会随着时间的推移而发生变化，可能会在将来诱发新的安全事件C实施风险处理时，应将残余风险

5、清单告知信息系统所在组织的高管，使其了解残余风险的存在和可能造成的后果D信息安全风险处理的主要准则是尽可能降低和控制信息安全风险，以最小的残余风险值作为风险管理效果评估指标9 .某公司正在进行信息安全风险评估，在决定信息资产的分类与分级时，谁负有最终责任？A:部门经理B:高级管理层C：信息资产所有者D:最终用户10 .以下对信息安全风险管理理解最准确的说法是：A:了解风险B:转移风险C: 了解风险并控制风险D: 了解风险并转移风险11 .在信息安全风险管理工作中，识别风险时主要重点考虑的要素应包括：A：资产及其价值、威胁、脆弱性、现有的和计划的控制措施B：资产及其价值、系统的漏洞、脆弱性、现有

6、的和计划的控制措施C:完整性、可用性、机密性、不可抵赖性D:以上都不正确12 .以下哪一项不是信息安全风险分析过程中所要完成的工作：A：识别用户B：识别脆弱性C：评估资产价值D：计算机安全事件发生的可能性13 .王工是某单位系统管理员，他在某次参加了单位组织的风险管理工作时，发现当前案例中共有两个重要资产：资产A1和资产A2;其中资产A1面临两个主要威胁：威胁T1和威胁T2;而资产A2面临一个主要威胁：威胁T3;威胁T1可以利用的资产A1存在的两个脆弱性；脆弱性V1和脆弱性V2:威胁T2可以利用资产A1存在的三个脆弱性，脆弱性V3、脆弱性V4和脆弱性V5;威胁T3可以利用的资产A2存在的两个脆

7、弱性，脆弱性V6和脆弱性V7.根据上述条件，请问:使用相乘法时，应该为资产A1计算几个风险值（）A2B3C5D614. A:内部计算机处理B:系统输入输出C:通讯和网络D：外部计算机处理15. 信息安全技术信息安全风险评估规范GB/T20984-2007中关于信息系统生命周期各阶段的风险评估描述不正确的是：A：规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等。B:设计阶段的风险评估需要根据规划阶段所明确的系统运行环境.资产重要性，提出安全功能需求。C：实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发.实施过程进行风险识别，并对系统建成后的安全功能进行验证。

8、D:运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种全面的风险评估，评估内容包括对真实运行的信息系统、资产、脆弱性等各方面。16. 以下关于项目的含义，理解错误的是（）A项目是为达到特定的目的，使用一定资源，在确定的期间内，为特定发起人而提供特定的产品，服务或成果而进行的一次性努力B项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定C项目资源指完成项目所需要的人、财、物等D项目目标要遵守SWAR原则，即项目的目标要求具体（Specific）、可测量（Measurehle）,需相关方的一致同意（Agree.to）、现实（Rcalistic）、有一定的时限（Tim

9、e-oriented）17. “CC标准是测评标准类的重要标准，从该标准的内容来看，下面哪项内容是针对具体的被评测对象，描述了该对象的安全要求及其相关安全功能和安全措施，相当于从厂商角度制定的产品或系统实现方案（）。A: 评估对象（TOE）B: 保护轮廓（PP）C: 安全目标（ST）D:评估保证级（EAD18Kp状于信息安全管理体系，国际上有标准InformationtechnologySecuritytechniquesInformationsecuritymanagementsystemsRequirements（ISO/IEC27001：2013），而我国发布了信息技术安全技术信息安全管

10、理体系要求（GB/T22080-2008），请问，这两个标准的关系是（）A:IDT（等同采用），此国家标准等同于该国际标准，仅有或没有编辑性修改B:EQV（等效采用），此国家标准等效于该国际标准，技术上只有很小差异C:NEQ（非等效采用）此国家标准不等效于该国际标准D:没有采用与否的关系，两者之间版本不同，不应直接比较19. 关于标准，下面哪项理解是错误的（）。A: 标准是在一定范围内为了获得最佳秩序，经协商一致制定并由公认机构批准，共同重复使用的一种规范性文件，标准是标准化活动的重要成果B: 国际标准是由国际标准化组织通过并公开发布的标准，同样是强制性标准，当国家标准和国际标准的条款发生冲突

11、时，应以国际标准条款为准C: 行业标准是针对没有国家标准而又需要在全国某个行业范围内统一的技术要求而制定的标准，同样是强制性标准，当行业标准和国家标准的条款发生冲突时，应以国家标准条款为准D：地方标准由省、自治区、直辖市标准化行政主管部门制定，并报国务院标准化行政主管部门和国务院有关行政主管部门备案，在公布国家标准之后，该地方标准即应废止20. 关于信息安全管理体系的作用，下面理解错误的是（）。A: 对内而言，有助于建立起文档化的信息安全管理规范，实现有“法”可依，有章可循，有据可查B: 对内而言，是一个光花钱不挣钱的事情，需要组织通过其他方面收入来弥补投入C: 对外而言，有助于使各利益相关方

12、对组织充满信心D：对外而言，能起到规范外包工作流程和要求，帮助界定双方各自信息安全责任21. 以下哪些是需要在信息安全策略中进行描述的：A: 组织信息系统安全架构B: 信息安全工作的基本原则C: 组织信息安全技术参数D：组织信息安全实施手段22. 下列哪些内容应包含在信息系统战略计划中？A: 已规划的硬件采购的规范B: 将来业务目标的分析C: 开发项目的目标日期D：信息系统不同的年度预算目标23.ISO27002中描述的11个信息安全管理的控制领域不包括：A: 信息安全组织B: 资产管理C: 内容安全D：人力资源安全24.SSE-CMM工程过程区域分为三类，即风险过程、工程过程、和保证过程,下

13、面对于保证过程的说法错误的是：A: 保证是指安全需求得到满足的可信任程度B: 信任程度来自于对安全工程过程结果质量的判断C: 自验证与证实安全的主要手段包括观察、论证、分析和测试D:PA”建立保证论据”为PA”验证与证实安全”提供了证据支持25.根据SSE-CMMT息安全工程过程可以划分为三个阶段，其中确立安全解决方案的置信度并且把这样的置信度传递给顾客。A: 保证过程B: 风险过程C: 工程和保证过程D:安全工程过程26. SSE-CM疝程过程区域中的风险过程包含哪些过程区域：A: 评估威胁、评估脆弱性、评估影响B: 评估威胁、评估脆弱性、评估安全风险C: 评估威胁、评估脆弱性、评估影响、评

14、估安全风险D：评估威胁、评估脆弱性、评估影响、验证和证实安全27. 一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进行规范的定义？A:2级计划和跟踪B:3级充分定义C:4级量化控制D:5级持续改进28. 在风险管理准备阶段“建立背景”（对象确立）过程中不应该做的是：A: 分析系统的体系结构B: 分析系统的安全环境C: 制定风险管理计划D:调查系统的技术特性29. 下面有关能力成熟度模型的说法错误的是:A: 能力成熟度模型可以分为过程能力方案（Continuous）和组织能力方案（Staged）两类B: 使用过程能力方案时，可以灵活选择评估和改进哪个或哪些过程域C: 使用组

15、织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程域DSSE-CMM1一种属于组织能力方案（Staged）的针对系统安全工程的能力成熟度模型30. 下列哪项不是信息系统安全工程能力成熟度模型（SSE-CMMJ主要过程:A: 风险过程B: 保证过程C: 工程过程D:评估过程31 .信息安全管理体系描述不正确的是:A: 是一个组织整体管理体系的组成部分B: 是有范围和边界的C: 是风险评估的手段D:其基本过程应遵循PDCA1环32 .对戴明环PDCA方法的描述不正确的是：A: “PDCA的含义是P-计划，D-实施，C-检查，A-改进B: “PDCA循环又叫戴明环C: “PDCA储环是只

16、能用于信息安全管理体系有效进行的工作程序D: “PDCA循环是可用于任何一项活动有效进行的工作程序33 .下述选项中对于风险管理的描述不正确的是:A: 风险管理是指导和控制一个组织相关风险的协调活动，它通常包括风险评估、风险处置、风险接受和风险沟通。B: 风险管理的目的是了解风险并采取措施处置风险并将风险消除。C: 风险管理是信息安全工作的重要基础，因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中。D：在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全需求和安全目标。34 .以下关于可信计算说法错误的是：A:可信的主要目的是要建立起主动防御的信息安全保障

17、体系B：可信计算机安全评价标准(TCSEC加第一次提出了可信计算机和可信计算机的概念C:可信的整体框架包含终端可信.终端应用可信.操作系统可信.网络互联可信.互联网交易等应用系统可信D：可信计算平台出现后会取代传统的安全防护体系和方法35. 风险是需要保护的()发生损失的可能性，它是()和()综合结果。A: 资产，攻击目标，威胁事件B: 设备，威胁，漏洞C: 资产，威胁，脆弱性D: 以上都不对36. 以下列哪种处置方法属于转移风险？A:部署综合安全审计系统B:对网络行为进行实时监控C:制订完善的制度体系D：聘用第三方专业公司提供维护外包服务37. 对操作系统打补丁和系统升级是以下哪种风险控制措

18、施?A: 降低风险B: 规避风险C: 转移风险D:接受风险38. 以下哪一项可认为是具有一定合理性的风险?A: 总风险B: 最小化风险C: 可接受风险D:残余风险39. 在风险管理工作中“监控审查”的目的，一是:二是。A: 保证风险管理过程的有效性，保证风险管理成本的有效性B: 保证风险管理结果的有效性，保证风险管理成本的有效性C: 保证风险管理过程的有效性，保证风险管理活动的决定得到认可D:保证风险管理结果的有效性，保证风险管理活动的决定得到认可40. 风险管理四个步骤的正确顺序是:A: 背景建立、风险评估、风险处理、批准监督B: 背景建立、风险评估、审核批准、风险控制C: 风险评估、对象确

19、立、审核批准、风险控制D:风险评估、风险控制、对象确立、审核批准41.在风险管理的过程中，建立背景（即对象确立）的过程是哪四个活动?A: 风险管理准备、信息系统调查、信息系统分析、信息安全分析B: 风险管理准备、信息系统分析、信息安全分析、风险政策的制定C: 风险管理准备、风险管理政策的制定、信息系统分析、信息安全分析D:确定对象、分析对象、审核对象、总结对象42. 下列对风险分析方法的描述正确的是：A: 定量分析比定性分析方法使用的工具更多B: 定性分析比定量分析方法使用的工具更多C: 同一组织只能使用一种方法进行评估D：符合组织要求的风险评估方法就是最优方法43. 在一个有充分控制的信息处

20、理计算中心中，下面哪一项可以由同一个人执行?A: 安全管理和变更管理B: 计算机操作和系统开发C: 系统开发和变更管理D:系统开发和系统维护44. 以下关于“最小特权”安全管理原则理解正确的是:A: 组织机构内的敏感岗位不能由一个人长期负责B: 对重要的工作进行分解，分配给不同人员完成C: 一个人有且仅有其执行岗位所足够的许可和权限D:防止员工由一个岗位变动到另一个岗位，累积越来越多的权限45. 以下哪一个是对“岗位轮换”这一人员安全管理原则的正确理解?A: 组织机构内的敏感岗位不能由一个人长期负责B: 对重要的工作进行分解，分配给不同人员完成C: 一个人有且仅有其执行岗位所足够的许可和权限D

21、:防止员工由一个岗位变动到另一个岗位，累积越来越多的权限46. 在构建一个单位的内部安全管理组织体系的时候，以下哪一项不是必需考虑的内容?A: 高级管理层承诺对安全工作的支持B: 要求雇员们遵从安全策略的指示C: 在第三方协议中强调安全D：清晰地定义部门的岗位的职责47. 风险管理中使用的控制措施，不包括以下哪种类型？A: 预防性控制措施B: 管理性控制措施C: 检查性控制措施D:纠正性控制措施48. 风险管理中的控制措施不包括以下哪一方面？A: 行政B: 道德C: 技术D:管理49. 风险评估不包括以下哪个活动？A: 中断引入风险的活动B: 识别资产C: 识别威胁D:分析风险50. 在信息安

22、全风险管理工作中，识别风险时主要重点考虑的要素应包括：A: 资产及其价值、威胁、脆弱性、现有的和计划的控制措施B: 资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施C: 完整性、可用性、机密性、不可抵赖性D: 以上都不正确51. 以下哪一项不是信息安全风险分析过程中所要完成的工作：A: 识别用户B: 识别脆弱性C: 评估资产价值D：计算机安全事件发生的可能性52. p状于外包的论述不正确的是：A: 企业经营管理中的诸多操作服务都可以外包B: 通过业务外包，企业也把相应的风险承担者转移给了外包商，企业从此不必对外包业务负任何直接或间接的责任C: 虽然业务可以外包，但是对与外包业务的可能的

23、不良后果，企业仍然承担责任D：过多的外包业务可能产生额外的操作风险或其他隐患53. 以下对PDCA!环解释不正确的是：A: 处理B: 实施C: 检查D：行动以下工作哪个不是计算机取证准备阶段的工作A: 获得授权B: 准备工具C: 介质准备D：保护数据以下关于ISO/IEC27001标准说法不正确的是：A: 本标准可被内部和外部相关方用于一致性评估，审核的重点就是组织信息安全的现状，对布属的信息安全控制是好的还是坏的做出评判B: 本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMSC: 目前国际标准化组织推出的四个管理体系标准：质量管理体系，职业健康安全管理体系、环

24、境管理体系、信息安全管理体系，都采用了相同的方法，即PDCA模型D:本标准注重监视和评审，因为监视和评审是持续改进的基础，如果缺乏对执行情况和有效性的测量，改进就成了“无的放矢”平行模拟法是指A. 开发一个模拟系统，将被审计单位真实数据放入模拟系统中运行，观察其输出是否与被审计单位信息系统相一致B. 在信息系统中建立虚拟实体，然后将有关数据与真实运行数据一起输入信息系统中处理，将虚拟实体的运行结果与预期进行比较C. 将已处理过的真实数据在相同的信息系统或程序副本上再处理一次，将二次结果与以前结果进行比较D. 以上都不对下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的：A: 设置网络连

25、接时限B: 记录并分析系统错误日志C: 记录并分析用户和管理员操作日志D：启用时钟同步下列安全控制措施的分类中，哪个分类是正确的（P-预防性的，D-检测性的以及C-纠正性的控制）：1.网络防火墙2.RAID级别33.银行账单的监督复审4.分配计算机用户标识5.交易日志A:P，P，C，D，andCB:D，C，C，D，andDC:P，C，D，P，andDD:P，D，P，P，andC风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程，关于这些过程，以下的说法哪一个是正确的？A: 风险分析准备的内容是识别风险的影响和可能性B: 风险要素识别的内容是识别可能发生的安全事件对信

26、息系统的影响程度C: 风险分析的内容是识别风险的影响和可能性D:风险结果判定的内容是发生系统存在的威胁、脆弱性和控制措施你来到服务器机房隔壁的一间办公室，发现窗户坏了。由于这不是你的办公室，你要求在这里办公的员工请维修工来把窗户修好。你离开后，没有再过问这扇窗户的事情。这件事的结果对与特定脆弱性相关的威胁真正出现的可能性会有什么影响？A: 如果窗户被修好，威胁真正出现的可能性会增加B: 如果窗户被修好，威胁真正出现的可能性会保持不变C: 如果窗户没有被修好，威胁真正出现的可能性会下降D:如果窗户没有被修好，威胁真正出现的可能性会增加计算机应急响应小组的简称是？A:CERTB:FIRSTC:SA

27、NAD:CEAT在金融交易的电子数据交换（EDI）通信过程中，对金额字段计算校验和是为确保A. 完整性B. 实性C. 授权D.不可否认性数据输入、处理和输出控制审计属于下列哪一项审计的范畴A. 应用控制审计B. 一般控制审计C. 项目管理审计D. 以上都不对选择审计流程时，信息安全审计师应运用自己的专业性判断，以确保A. 收集充分的证据B. 所有识别出的重大缺陷在合理的期限内均得以纠正C. 识别出所有严重漏洞D.将审计成本控制在最低水平执行计算机取证调查时，对于收集到证据，IS审计师最应关注的是A. 证据的分析B. 证据的评估C. 证据的保存D.证据的泄露下列哪种说法针对审计证据可靠性的说法是

28、错误的A. 间接获取的审计证据比直接获取的审计证据更可靠B. 从被审计单位直接观察测试获取的审计证据比经被审计单位加工处理后提交的审计证据更可靠C.原件形式的审计证据比复制件形式的审计证据更可靠D.以上都不对在以下那种情况下，组织应当对公众和媒体告知其信息系统中发生的信息安全事件？A当信息安全事件的负面影响扩展到本组织以外时B只要发生了安全事件就应当公告C只有公众的生命财产安全受到巨大危害时才公告D当信息安全事件平息后信息安全管理体系(informationSecurltyManagementSystem.简称ISMS)要求建立过程体系，该过程体系是在如下()基础上构建的。A:IATF(Inf

29、ormationAssuranceTechnicalFramework)B:P2DR(Policy，Protection，Detection，Response)C:PDCER(FPreparation，Detection，Containment，Eradication，Recovery，Follow-up)D:PDCA(Plan，Do，Check，Act)关于风险要素识别阶段工作内容叙述错误的是：A: 资产识别是指对需要保护的资产和系统等进行识别和分类B: 威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性C: 脆弱性识别以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的

30、弱点，并对脆弱性的严重程度进行评估D:确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系统平台、网络平台和应用平台企业资源规划中的总帐设置功能允许设定会计期间。对此功能的访问被授予财务、仓库和订单录入部门的用户。这种广泛的访问最有可能是因为：A: 经常性地修改会计期间的需要B: 需要向关闭的会计期间过入分录C:缺乏适当的职责分工政策和步骤D:需要创建和修改科目表及其分配许多组织强制要求雇员休假一周或更长时间，以便：A:确保雇员维持生产质量，从而生产力更高B:减少雇员从事不当或非法行为的机会C:为其他雇员提供交叉培训D:消除当某个雇员一次休假一天造成的潜在的混乱文档体系建设

31、是信息安全管理体系（ISMS）建设的直接体现，下列说法不正确的是：A: 组织内的信息安全方针文件.信息安全规章制度文件.信息安全相关操作规范文件等文档是组织的工作标准，也是ISMS审核的依据B: 组织内的业务系统日志文件.风险评估报告等文档是对上一级文件的执行和记录，对这些记录不需要保护和控制C: 组织在每份文件的首页，加上文件修订跟踪表，以显示每一版本的版本号.发布日期.编写人.审批人.主要修订等内容D:层次化的文档是ISMS建设的直接体现，文档体系应当依据风险评估的结果建信息安全风险的三要素是指：A: 资产、威胁、脆弱性B: 资产、使命、威胁C: 使命、威胁、脆弱性D：威胁、脆弱性、使命下

32、列哪个领域经常面临微型计算机迅速发展带来的风险？1、备份和恢复。2、应用程序开发成本。3、记录的批量更新。4、访问的安全。5、违反版权法。A:4、2、2B:2、3、4C:3、4、5D:1、4、5如果已决定买进软件而不是内部自行开发，那么这一决定通常发生于：A:项目需求定义阶段B:项目可行性研究阶段C:项目详细设计阶段D:项目编程阶段某银行信息系统为了满足业务发展的需要准备进行升级改造，以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素?A: 信息系统安全必须遵循的相关法律法规，国家以及金融行业安全标准B: 信息系统所承载该银行业务正常运行的安全需求C: 消除或降低该银行信息系统

33、面临的所有安全风险D:该银行整体安全策略某集团公司根据业务需要，在各地分支机构部署前置机，为了保证安全，集团总部要求前置机开放日志共享，由总部服务器采集进行集中分析，在运行过程中发现攻击者也可通过共享从前置机中提取日志，从而导致部分敏感信息泄露，根据降低攻击面的原则，应采取以下哪项处理措施?A: 由于共享导致了安全问题，应直接关闭日志共享，禁止总部提取日志进行分析B: 为配合总部的安全策略，会带来一定的安全问题，但不影响系统使用，因此接受此风险C: 日志的存在就是安全风险，最好的办法就是取消日志，通过设置让前置机不记录日志D:只允许特定的IP地址从前置机提取日志，对日志共享设置访问密码且限定访

34、问的时间在契约性协议包含源代码第三方保存契约(escrow)的目的是：A: 保证在供应商不存在时源代码仍然有效B: 允许定制软件以满足特定的业务需求C: 审核源代码以保证控制的充分性D:保证供应商已遵从法律要求为了保护企业的知识产权和其它资产，当终止与员工的聘用关系时下面哪一项是最好的方法？A: 进行离职谈话，让员工签署保密协议，禁止员工账号，更改密码B: 进行离职谈话，禁止员工账号，更改密码C: 让员工签署跨边界协议D:列出员工在解聘前需要注意的所有责任下面哪种方法产生的密码是最难记忆的？A: 将用户的生日倒转或是重排B: 将用户的年薪倒转或是重排C: 将用户配偶的名字倒转或是重排D：用户随

35、机给出的字母在信息安全策略体系中，下面哪一项属于计算机或信息安全的强制性规则？A: 标准(Standard)B: 安全策略(Securitypolicy)C: 方针(Guideline)D:流程(Procedure)软件的供应商或是制造商可以在他们自己的产品中或是客户的计算机系统上安装一个“后门”程序。以下哪一项是这种情况面临的最主要风险？A: 软件中止和黑客入侵B: 远程监控和远程维护C:软件中止和远程监控D:远程维护和黑客入侵以下哪一项计算机安全程序的组成部分是其它组成部分的基础？A: 制度和措施B: 漏洞分析C: 意外事故处理计划D:采购计划ISMS所要求的文件应予以保护和控制，应编制形

36、成文件控制程序，下列哪项不是该程序所规定的管理措施？A: 确保文件的更改和现行修订状态得到标识B: 防止作废文件的非预期使用C: 确保文件可以为需要者所获得，但防止需要者对文件进行转移、存储和销毁D：确保在使用处可获得适用文件的最新版本以下对于信息安全事件理解错误的是：A: 信息安全事件，是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件B: 对信息安全事件进行有效管理和响应，最小化事件所造成的损失和负面影响，是组织信息安全战略的一部分C: 应急响应是信息安全事件管理的重要内容D:通过部署信息安全策略并配合部署防护措施，能够对信息

37、及信息系统提供保护，杜绝信息安全事件的发生小王是某大学计算科学与技术专业的毕业生，大四上学期开始找工作，期望谋求一份技术管理的职位，一次面试中，某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立”的基本概念与认识，小王的主要观点包括：(1)背景建立的目的是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求，完成信息安全风验管理项目的规划和准备；(2)背景建立根据组织机构相关的行业经验执行，雄厚的经验有助于达到事半功倍的效果；(3)背景建立包括：风险管理准备.信息系统调查.信息系统分析和信息安全分析；(4)背景建立的阶段性成果包括：风险管理计划书，信息系统的描述报告，信息系统

38、的分析报告，信息系统的安全要求报告。请问小王的所述论点中错误的是哪项：A: 第一个观点，背景建立的目的只是为了明确信息安全风险管理的范围和对象B: 第二个观点，背景建立的依据是国家.地区域行业的相关政策、法律、法规和标准C: 第三个观点，背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字D:第四个观点，背景建立的阶段性成果中不包括有风险管理计划书关于信息安全管理，说法错误的是：A: 信息安全管理是管理者为实现信息安全目标(信息资产的CIA等特性，以及业务运作的持续)而进行的计划、组织、指挥和控制的一系列活动。B: 信息安全管理是一个多层面.多因素的过程，依赖于建立信息安全组织、明确

39、信息安全角色及职责、制订信息安全方针策略标准规范、建立有效的监督审计机制等多方面的非技术性的努力。C: 实现信息安全，技术和产品是基础，管理是关键。D：信息安全是人员、技术、操作三者紧密合作的系统工程，是一个静态过程。职责分离的主要目的是：A: 不允许任何一个人可以从头到尾控制某一工作的整个流程B: 不同部门的雇员不可以在一起工作C: 对于所有的资源都必须有保护措施D：对于所有的设备都必须有操作控制措施以下哪一个是对人员安全管理中“授权蔓延”这概念的正确理解？A: 往来人员在进行系统维护时没有受到足够的监控B: 一个人拥有了不是其完成工作所必要的权限C: 敏感岗位和重要操作长期有一个人独自负责

40、D：员工有一个岗位变动到另一个岗位，累积越来越多的权限信息系统的业务特性应该从哪里获取?A: 机构的使命B: 机构的战略背景和战略目标C: 机构的业务内容和业务流程D:机构的组织结构和管理制度注重安全管理体系建设，人员意识的培训和教育，是信息安全发展哪一个阶段的特点？A: 通信安全B: 计算机安全C: 信息安全D：信息安全保障能够最佳地提供本地服务器上的将处理的工资数据的访问控制的是：A: 将每次访问记入个人信息（即：作日志）B:对敏感的交易事务使用单独的密码/口令C:使用软件来约束授权用户的访问D:限制只有营业时间内才允许系统访问以下哪一项在防止数据介质被滥用时是不推荐使用的方法：A:禁用主

41、机的CD驱动、USBg口等I/O设备B: 对不再使用的硬盘进行严格的数据清除C: 将不再使用的纸质文件用碎纸机粉碎D：用快速格式化删除存储介质中的保密文件以下关于CSIRT的说法错误的是：A:CSIRT是“计算机安全应急响应小组”的英文缩写B:CSIRT应当包括法律、技术和其他专家，以及刑侦管理人员C:CSIRT应当是一个常设机构，其成员应当专职从事应急响应，以便最快速地做出反应D:应急响应工作本质上是被动的，因此CSIRT应当在事件发生前做好充分准备,尽可能争取主动随着（）的增加，信息系统的安全风险降低。A: 威胁B: 脆弱性C: 资产的重要度D：控制措施以下哪一项措施不是用来支持“最小权限

42、原则”的：A: 严格限制系统管理员的数量B: 管理员应使用普通用户身份进行常规操作，如阅读邮件C: 将系统用户的角色分为管理员、审计员和普通用户D:只允许系统软件和应用系统需要使用的数据通过防火墙在信息系统设计阶段，“安全产品选择”处于风险管理过程的哪个阶段？A: 背景建立B: 风险评估C: 风险处理D:批准监督以下哪个不是计算机取证工作的作用？A: 通过证据查找肇事者B:通过证据推断犯罪过程C:通过证据判断受害者损失程度D：恢复数据降低损失信息系统生命周期阶段正确的划分是：A:设计、实施、运维、废弃B: 规划、实施、运维、废弃C: 规划、设计、实施、运维、废弃D:设计、实施、运行某网站为了开

43、发的便利，SA连接数据库，由于网站脚本中被发现存在SQL注入漏洞，导致攻击者利用内置存储过程xp_cmdshell删除了系统中的一个重要文件，在进行问题分析时，作为安全专家，你应该指出该网站设计违反了以下哪项原则：A: 权限分离原则B: 最小特权原则C: 保护最薄弱环节的原则D：纵深防御的原则对每个字符和每一帧都传输冗余信息，可以实现对错误的检测和校正，这种方法称为：A: 反馈错误控制B: 块求和校验C: 转发错误控制D:循环冗余校验以下哪一个不是我国信息安全事件分级的分级要素？A: 信息系统的重要程度B: 系统损失C: 系统保密级别D:社会影响“通知相关人员ISMS的变更”是建立信息安全管理

44、体系哪个阶段的活动?A: 规划和建立B: 实施和运行C: 监视和评审D:保持和改进以下哪项不是信息安全策略变更的原因？A: 每年至少一次管理评审B: 业务发生重大变更C: 管理机构发生变更D:设备发生变更以下哪项不是风险评估阶段应该做的？A:对ISMS范围内的信息资产进行鉴定和估价B: 对信息资产面对的各种威胁和脆弱性进行评估C: 对已存在的成规划的安全控制措施进行界定。D：根据评估结果实施相应的安全控制措施以下哪个选项不是信息安全需求较为常见的来源？A: 法律法规与合同条约的要求B: 组织的原则、目标和规定C: 风险评估的结果D：安全架构和安全厂商发布的漏洞、病毒预警）的方法，来建立、实施、

45、运作、监视、评审、保信息安全管理体系是基于（持和改进信息安全。A: 信息安全B: 业务风险C: 信息系统防护D:安全风险依照信息安全事件分级分类指南中对信息安全事件分类的规定，以下哪一项属于有害程序事件？A: 信息被篡改B: 黄色反动信息传播C: 网络钓鱼D:木马攻击以下哪一项不是信息安全事件分级分类指南中信息安全事件分级需要参考的三个重要因素之一？A: 信息系统的重要程度B: 信息系统的用户数量C: 事件造成的系统损失D：事件造成的社会影响如果对于程序变动的手工控制收效甚微，以下哪一种方法将是最有效的？A: 自动软件管理B: 书面化制度C: 书面化方案D:书面化标准在许多组织机构中，产生总体安全性问题的主要原因是：A: 缺少安全性管理B: 缺少故障管理C: 缺少风险分析D:缺少技术控制机制从风险的观点来看，一个具有任务紧急性，核心功能性的计算机应用程序系统的开发和维护项目应该：A: 内部实现B: 外部