信息安全管理体系ISMS2016年6月考题

2016信息安全管理体系（ISMS）审核知识 试卷2016年2016年6月一、单选题1、 密码就是一种用于保护数据保密性的密码学技术、由（）方法及相应运行过程。A、 加密算法和密钥生成B、 加密算法、解密算法、密钥生成C、 解密算法、密钥生成D、 加密算法、解密算法2、 计算机安全保护等级的第三级是（）保护等级A、用户自主 B、安全标记 C、系统审计D、结构化3、隐蔽信道是指允许进程以（）系统安全策略的方式传输信息的通信信道A、补强 B、有益 C、保护D、危害4、4、6、ISMS关键成功因素之一是用于评价信息安全6、ISMS关键成功因素之一是用于评价信息安全A、测量 B、报告 C、传递D、评价7、防止恶语和移动代码是保护软件和信息的（）A、完整性 B、保密性C、可用性D、以上全部8、以下强健口令的是（）A、8、以下强健口令的是（）A、a8mom9y5fub33B、1234C、CnasD、Password9、开发、测试和（）设施应分离、以减少未授权访问或改变运行系统的风险A、系统 B、终端 C、配置D、运行10、 设备、（）或软件在授权之前不应带出组织场所A、手机 B、文件 C、信息 D、以上全部11、 包含储存介质的设备的所有项目应进行核查，以确保在处置之前，（）和注册软件已被删除或安全地写覆盖A、系统软件 B、游戏软件 C、杀毒软件 D、任何敏感信息12、 雇员、承包方人员和（）的安全角色和职责应按照组织的信息安全方针定义并形成文件A、第一方人员 B、第二方人员 C、第三方人员D、IT经理13、 对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包含在（）合同中。A、雇员 B、承包方人员C、第三方人员 D、A+B+C14、 ISMS文件的多少和详细程度取决于（）A、 组织的规模和活动的类型B、 过程及其相互作用的复杂程度C、 人员的能力D、 A+B+C15、 为确保信息资产的安全，设备、信息和软件在（）之前不应带出组织A、使用 B、授权C、检查合格 D、识别出薄弱环节16、 对于所有拟定的纠正和预防措施，在实施前应先通过（）过程进行评审。A、薄弱环节识别 B、风险分析C、管理方案 D、A+B17、 组织机构在应建立起评审ISMS时，应考虑（）A、风险评估的结果 B、管理方案 C、法律、法规和其它要素D、A+C18、 ISMS管理评审的输出应包括：A、可能影响ISMS的任何变更 B、以往风险评估没有充分强调的薄弱点或威胁C、风险评估和风险处理计划的更新D、改进的建议19、 在信息安全管理中进行（），可以有效解决人员安全意识薄弱问题。A、内容监控 B、安全教育和培训 C、责任追查和惩处D、访问控制20、 经过风险处理后遗留的风险是（）A、重大风险 B、有条件的接受风险C、不可接受的风险D、残余风险21、 （）是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。A、信息安全事态 B、信息安全事件C、信息安全事故D、信息安全故障22、 系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息，以便迅速（）。A、恢复全部程序B、回复网络设置C、回复所有数据D、恢复整个系统23、 不属于计算机病毒防治的策略的是（）。A、确认您手头常备一张真正“干净”的引导盘 B、及时、可靠升级反病毒产品C、新购置的计算机软件也要进行病毒检测 D、整理磁盘24、 为了取保布线安全，以下不正确的做法是（）。A、 使用同一电缆管道铺设电源电缆和通讯电缆B、 网络电缆采用明线架设，以便于探查故障和维修C、 配线盘应尽量放置在公共可访问区域，以便于应急管理D、 使用配线标记和设备标记，编制配线列表25、 不属于常见的危险密码是（）。A、跟用户名相同的密码B、使用生日作为密码C、只有4位数的密码D、10位数的综合型密码26、 在每天下午5点使用计算机结束时断开终端的连接属于（）。A、外部终端的物理安全 B、通信线的物理安全C、窃听数据 D、网络地址欺骗27、 不属于WEB服务器的安全措施的是（）。A、保证注册账户的时效性B、删除死账户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码28、 1999年，我国发布的第一个信息安全等级保护的国家标准GB17859-1999，提出将信息系统的安全等级划分为（）个等级，并提出每个级别的安全功能要求。A、7 B、8C、6 D、529、 文件初审是评价受审方ISMS文件的描述与审核准则的（）A、充分性和适宜性 B、有效性和符合性C、 适宜性、充分性和有效性D、以上都不对30、 在认证审核时、一阶段审核是（）。人、是了解受审方ISMS是否正常运行的过程 B、是必须进行的C、不是必须的过程 D、以上都不准确31、 末次会议包括（）A、 请受审方确认不符合报告、并签字B、 向受审核方递交审核报告。、双方就审核发现的不同意见进行讨论D、 以上都不准确32、 审核组长在末次会议上宣布的审核结论是依据（）得出的。A、审核目的 B、不符合项的严重程度C、所有的审核发现 D、A+B+C33、 将收集的审核证据对照（）进行评价的结果是审核发现A、GB/T22080标准 B、法律、法规要求C、审核准则 D、信息安全管理体系文件34-45未知三、阐述题（每题10分，共20分）46、审核员在现场审核时，发现公司存有一份软件清单，当询问清单上所列的软件是否都是通过正规途径购买的软件，管理员回答有的是到正规商店，有的是通过网络购买的。如果您是审核员，您会如何审核？47、什么是信息安全事态并举例说明。四、案例分析题（每题6分，5题，共30分）48、 审核员在公司的资产登记表中发现，公司于年初将一批2003年购置的电脑特价处理给了员工，这些电脑原用于核心业务系统，当询问系统管理员是否在出售前进行格式化处理，该系统管理员说："由于当时新进了许多新的电脑设备，需要安装测试，没空处理老的电脑，再说这些都是卖给自己员工的，他们本身就接触到这些信息、”。49、 审核员发现某软件开发公司在暑假期间聘请了三位大学生来做软件测试，但在人事部门未找到相关的保密协议，也未见有关要求的培训记录，人事经理解释说："他们在测试期间没有接触到软件的核心机密信息，所以不需要签保密协议，也不需要进行ISMS的培训”。50、 某财务外包公司办公作业现场员工正在使用的标准版金蝶财务软件为客户进行记账服务，其默认帐号是manage，不需要每次进系统时重新输入，业务主管解释说："由于没有外人，为了工作方便，所以，我们把登录口令也省掉了，不需要每次进系统前输入口令'。51、 XX银行在2008年一季度发生了10起开通网上转账客户的资金损失事故，左后经确认是密码系统