安全管理体系基础单元测试答案

1、.网络空间是一个由（C）、用户及其关系所组成的虚拟世界，这是一个建立在信息技术基础上的完整空间选择一项：A.网路B.计算机C.机器D.电脑.自2011年4月美国发布（A）以来，英国、法国、德国、俄罗斯、澳大利亚、加拿大、韩国和新西兰等国家纷纷制定国家网络空间战略或网络空间安全战略，以争取和保持在信息化新阶段的国家安全的战略优势地位选择一项：A.网际空间国际战略B.网络空间安全法C.网络保密条例D.互联网保护条款3.ISO/IEC 27032:2012 对网络空间安全的定义如下：彳持网络空间信息的（A）,完整性和可用性，此外也包括如真实性，可核查性，不可否认性与可靠性等其他属性选择一项：A.机密

2、性B.保密性C.加密性D.秘密性TU-TX.1205中给出的定义：网络安全是能够用来保护网络环境和用户资产的工具、策略、安全概念、安全防护措施、指南、（ A ）、行动、培训、最佳实践、保障与技术的集合选择一项：A.风险管理方法B.风险评估方法C.风险控制方法D.风险规避方法.网络空间安全的正确英文翻译应该是（B ）选择一项：NETWORK SECURITYCYBERSPACE SECURITYINTERNET SECURITYNETSPACE SECURITY.组织和用户资产包括连接的计算设备，个人信息，（ C ）,应用，服务，电信系统以及所有的传输和/或存储在网络环境中的信息选择一项：A.公

3、共信息B.公共设备C.基础设施D.硬件设施C ）安全.整体而言，信息安全和网络空间安全都是为了获取并保持保密性、完整性与（ 属性选择一项:A.实用性B.可审核性广 C.可用性C D.机密性.由于保护的主体数据、信息和知识之间存在概念上的差异，因此导致了数据安全、信息安 全和（C ）也是不同范畴的词汇选择一项： A.计算机安全 B.通信安全C C.知识安全D.信息系统安全.信息安全，信息系统安全和（D）是并行存在的不同词汇选择一项：C A.网络安全C B.计算机安全C.信息系统安全D.网络空间安全10.ITU-TX.1205中给出的定义：网络安全是能够用来保护网络环境和用户资产的工具、策略、安全

4、概念、安全防护措施、指南、（ ABCD ）的集合选择一项或多项:A.保障与技术厂B.最佳实践厂C.行动厂 D.风险管理办法.（ B）是指提高组织的理解和能力，从而管理系统、资产和数据的网络空间安全风险选择一项：C A.探测 B.识别C.保护D D.恢复.识别包括如下资产管理，业务环境，治理，风险评估和（B ）选择一项：C A.风险应对战略C B.风险管理战略C.网络管理战略C D.安全管理战略.资产管理包括物理资产清单，软件及应用清单，（ D ）及外部信息系统清单选择一项：A.数据资产清单B.固定资产清单 C.银行资产清单C D.通信和数据流映射.业务环境包括在供应链中的位置和（ C ）,任务

5、、目标和行动的优先级，关键服务的依 赖关系，恢复力要求。选择一项：C A.供应链的重要程度B.在业务中的地位C.在关键基础设施与行业中的地位C D.供应链中的角色15.治理包括（D）和责任协调，法律法规要求，风险相关选择一项：A.任务目标和行动优先级B.信息安全策略C c.恢复丽要求D.信息安全方针16.风险评估指的是组织理解组织运行（C ）所面临的网络安全风险。选择一项：A.信息安全策略B.环境C.任务、职能、形象或声誉D.信息安全方针.风险评估六要素是（B ）选择一项：ATVCLISWEAPDAEVDLIWAMPD.风险评估六要素中的 A指的是（B ）选择一项：C A.控制C B.资产 C

6、.脆弱性C D.威胁.风险评估六要素中的 T指的是（A ）选择一项：C A.威胁C B.控制C C.资产D.脆弱性.风险评估中的脆弱性识别指的是（C ）选择一项:A.从信息分享论坛及来源接收的威胁与脆弱性信息广B.识别潜在的业务影响与可能性广C.识别并记录资产脆弱性C D.识别和记录内外部威胁.风险评估中的风险相应指的是（B ）选择一项：C A.识别潜在的业务影响与可能性C B.识别风险响应并按优先级排序C C.识别和记录内外部威胁C D.识别并记录资产脆弱性.风险管理战略指的是建立组织的优先权、限制、（ C ）以及假设，用以支持运维风险决 策。选择一项：C A.外部威胁C B.内部威胁C c

7、.风险容忍度D.风险评估.风险容忍度指的是（D）选择一项：A.识别潜在的业务影响与可能性 B.通过组织在关键基础设施的角色及其行业特殊风险分析传达风险接受的决定C C.建立和管理风险管理程序，并得到利益相关者同意匕D.确定组织风险容忍度并明确表达.保护（Protect）是指开发并应用恰当的防护措施，从而保障（ C ）服务的交付。选择一项：C A.核心设施C B.基础设备 C.关键设施 D.重要设施.访问控制是指访问资产及相关设施仅限（ C ）,过程或设备，以及授权的活动与事务选择一项：广 A.使用用户B.合法用户C C.授权用户C D.管理用户.访问控制中的身份凭证指的是（C ）选择一项：C

8、A.管理并保护对资产的物理访问B.管理远程访问c.管理授权设备与用户的身份与认证信息D.结合最少特权权利原则与职责分离原则管理访问许可.意识与培训（PR是指应该对组织的员工与合作方人员提供信息安全意识教育并充分培训，以确保他们能够按照相应的策略完成其信息安全相关的责任与义务。其中的角色不包括（B ）选择一项：A.特权用户B.普通员工C.利益相关者D.高层管理.数据安全中的介质处理指的是（ B）选择一项：A.保护传输中数据B.正式管理资产的移动，传输和处置C.应用数据防泄漏保护D.保护静态数据.数据安全中的可用性指的是（D）选择一项：A.开发和测试环境与生产环境隔离B.应用完整性检查以验证软件、

9、固件和信息的完整性C.应用数据防泄漏保护D.保证足够的能力获得可用性.信息保护过程与规程指维护和使用（D ），定义目的，角色，责任，管理承诺以及最值实体问合作，过程以及规程来管理保护信息系统与资产选择一项：C A.访问策略C B.安全工具C C.安全规则C D.安全策略.下面不属于信息保护过程与规程是（A ）选择一项：C A.环境隔离广B.生命周期管理广 C.基线配置C D.配置变更.改进（RS. IM）是指通过结合现在以及之前的探测/响应活动提高组织的响应活动，不包括（AC ）选择一项或多项：厂 A.改进计划 B.经验教训厂 C.更新方案 D.战略更新.沟通（RC. CO）是指与内外部各方，

10、例如合作中心，互联网服务提供商（ISP）,攻击系统所有者，受害者，CSIRTs以及供应商合作进行恢复活动，包括（ ABD ）选择一项或多项: 厂 A.公共关系厂 B.沟通各方厂C.战略更新厂D.声誉修复.资产管理是指识别并管理使组织实现业务目标的（ ABCD ）,使这些资产与他们在组织 业务目标和风险战略中的相对重要性相对一致。选择一项或多项：A.数据厂B.设备厂C.人员厂 D.系统以及设施.保护功能提供限制或遏制潜在的网络安全事件的影响，典型的分类包括：（BCD ）选择一项或多项：厂 A.风险评估 B.意识与培训C.数据安全厂 D.访问控制.识别包括如下：（ABCD ）选择一项或多项：A A

11、.治理（Governance）厂 B.业务环境(Business Environment)厂 C.风险评估(Risk Assessment )厂 D.资产管理(Asset Management).信息安全的特有审核原则有(CD )选择一项或多项：厂 A.基于证据的方法厂 B.独立性厂 C.保密性厂 D.基于风险.ISMS范围和边界的确定依据包扣( ABCD )选择一项或多项：厂 A.组织结构厂B.业务厂 C.物理位置 D.资产和技术.风险评估过程中威胁的分类一般应包括(ABCD )选择一项或多项：A.软硬件故障、物理环境影响厂 B.无作为或操作失误、管理不到位、越权或滥用C.泄密、篡改、抵赖厂

12、 D.网络攻击、物理攻击.信息安全体系文件应包含（ACD ）选择一项或多项：厂 A.风险评估报告厂B.服务目录C.适用性声明厂 D.风险处置计划.含有敏感信息的设备的处置可采取（BCD ）选择一项或多项：A.格式化处理厂 B.多次的写覆盖厂C.采取使原始信息不可获取的技术破坏或删除厂 D.彻底摧毁BCD ).信息安全管理的标准族在信息技术-安全技术”的总标题下包括的国标标准有（选择一项或多项：A. ISO19011B. ISO/IEC27000ISO/IEC27001ISO/IEC27005.风险评估过程一般包括（ABC ）选择一项或多项: 厂 A.风险评价厂 B.风险识别厂C.风险分析厂 D

13、.风险处置. （ ABCD ）是建立有效的计算机病毒防御体系所需要的技术措施选择一项或多项：厂 A.网络入侵检测厂B.杀毒软件厂C.防火墙厂 D.网络入侵检测.信息安全管理体系认证是：（ AD）选择一项或多项：厂A.与信息安全管理体系有关的规定要求得到满足的证实活动厂B.是信息安全风险管理的实施活动C.对信息系统是否满足有关的规定要求的评价D.信息安全管理体系认证是合格评定活动的一种.可以通过使用适宜的加密技术实现的安全目标包括：（ ABCD ）选择一项或多项：A.信息的真实性B.信息的抗抵赖性C.信息的保密性D.信息的完整性.关于商用密码技术和产品，一下说法正确的是：（ ACD）选择一项或多项：厂 A.商用密码产品的用户不得转让其他使用的商用密码产品B.任何组织不得随意进口密码产品，但可以出口商用密码产品厂 C.商用密码是对不涉及国家秘密的内容进行加密保护的产品厂 D.商用密码技术属于国家秘密.降低风险的处置措施可以是（AC）选择一项或多项：厂 A.降低某项威胁导致的后果严重程度 B.杜绝某项威胁的发生的可能性C.