件”和“一般事件”三个级别 75、“配置管理”是系统工程中的重要概念,它在软件工程和信息安全工程中得到了广泛的应用,下面对“配置管理”的解释最准确的是?
A、配置管理的本质是变更流程管理 B、管理配置是对信息系统的技术参数进行管理
C、配置管理是一个对系统(包括软件、硬件、文档、测试设备、开发/维护设备)的所有变化进行控制的过程
D、管理配置是对系统基线和源代码的版本进行管理 76、信息化建设和信息安全建设的关系应当是: A、信息化建设的结束就是信息安全建设的开始
B、信息化建设和信息安全建设应同步规划、同步实施
C、信息化建设和信息安全建设是交替进行的,无法区分谁先谁后 D、以上说法都正确
77、下面对能力成熟度模型解释最准确的是?
A、它认为组织的能力依赖于严格定义、管理完善、可测可控的有效业务过程 B、它通过严格考察工程成果来判断工程能力
C、它与统计过程控制理论的出发点不同,所以应用于不同领域 D、它是随着信息安全的发展而诞生的重要概念
78、系统安全工程能力成熟模型(SSE-CMM)使用“两维”结构在整个安全工程范围内决定安全工程组织的成熟性,“两维”是指:
A、域维、能力维 B、事件维、能力维 C、过程维、特征维 D、实践维、特征维
79、下面对SSE-CMM说法错误的是?
A、它通过域维和能力维共同形成对安全工程能力的评价 B、域维定义了实施安全工程的所有实施活动 C、能力维定义了工程能力的判断标准 D、“公共特征”是域维中对获得过程区目标的必要步骤的定义
80、一个组织的系统安全能力成熟度达到哪个级别以后,就可以对组织层面的过程进行规范的定义?
A、2级—计划和跟踪 B、3级—充分定义 C、4级—量化控制 D、5级—持续改进
81、SSE-CMM,即系统安全工程—能力成熟度模型,它包含六个级别,其中计划和跟踪级别重于:
A、规范化地裁剪组织层面的过程定义 B、项目层面定义、计划和执行问题
C、测量 D、一个组织或项目执行了包含基本实施的过程
82、下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM)的主要过程: A、风险过程 B、保证过程 C、工程过程 D、评估过程
83、某单位欲开展信息安全工程建设工作,首先委托第三方测评机构对其进行了系统安全评估工作,发现了系统存在的安全隐患,并以此为依据提出了信息安全建设项目技术需求,以上描述属于SSE-CMM工程过程区域的哪个阶段? A、风险过程 B、工程过程 C、保障工程 D、评估过程 84、下面哪一项为系统安全工程能力成熟度模型提供了评估方法:
- 31 -
A、ISSE B、SSAM C、SSR D、CEM
85、在信息安全工程招标阶段,你作为工程的管理者之一,需要在招标文件中规定对参与投标企业的资质要求,这时您应当重点考虑:
A、工程的成本、进度和质量要求 B、工程实施的地域特点 C、领导的意图及系统用户的意见 D、工程的类型、规模和特点
86、信息系统安全保障工程是一门跨学科的工程管理过程,它是基于对信息系统安全保障需求的发掘和对——的理解,以经济、科学的方法来设计、开发和建设信息系统,以便他能满足用户安全保障需求的科学和艺术。
A、安全风险 B、安全保障 C、安全技术 D、安全管理
87、信息安全保障工程生命周期一般分为立项阶段、开发采购阶段、工程实施阶段、运输维护阶段和废弃阶段等五个阶段,其每个阶段均应有相应的成果文件,以下每个阶段对应的成果文件对应错误的是:
A、立项阶段—信息安全保障方案 B、开发采购阶段—安全保障工程实施方案
C、工程实施阶段—终验报告 D、运行维护阶段—系统认证证书 88、信息系统安全工程(ISSE)是按照:“确定安全能力需求—分析安全要求和研究安全概念—设计系统安全体系结构—实现安全设计并进行系统安全测试—实施安全操作和生命周期支持”的模型实现的,以下对ISSE的描述正确的是: A、ISSE是按照系统生命周期的顺序来描述信息安全工程的 B、ISSE并不涉及对系统进行风险识别的过程 C、ISSE主要应用于专门的信息安全建设项目 D、消除系统面临的安全风险是ISSE的目标之一 89、信息安全工程监理模型不包括下面哪一项?
A、监理咨询服务 B、咨询监理支撑要素 C、监理咨询阶段过程 D、控制管理措施
90、下列对ISO27001的说法最准确的是:
A、该标准的题目是信息安全管理体系实施指南
B、该标准为度量信息安全管理体系的开发和实施过程提供的一套标准 C、该标准提供了一组信息安全管理相关的控制措施和最佳实践
D、该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型
91、ISO27002、ITIL和COBIT在IT管理内容上各有优势,但侧重点不同,其各自重点分别在于:
A、IT安全控制、IT过程管理和IT控制和度量评价 B、IT过程管理、IT安全控制和IT控制和度量评价 C、IT控制和度量评价、IT安全控制和IT过程管理 D、IT过程管理、IT控制和度量评价、IT安全控制 92、国际标准化组织ISO下属208个技术委员会(TCs),531个分技术委员会(SCs),23个工作组(WCs),其中负责信息安全技术标准化的组织是: A、ISO/IEC B、ISO/IEC JTC1 C、ISO/IEC JTC 1/SC 27 D、ISO/IEC JTC 1/SC 37
93、以下哪一项不一定构成违反刑法的计算机犯罪行为?
A、违反国家规定,对计算机系统功能进行删除或修改造成严重后果 B、传播计算机病毒,造成严重后果
- 32 -
C、故意制作计算机病毒,他人使用此病毒造成严重破坏 D、利用计算机挪用公款 94、下面对国家秘密定级和范围的描述中,哪项不符合《保守国家秘密法》要求: A、国家秘密及其密级的具体范围,由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关机关规定
B、各级国家机关、单位对所产生的国家秘密事项,应当按照国家秘密及其密级具体范围的规定确定密级
C、对是否属于国家秘密和属于何种密级不明确的事项,可由各单位自行参考国家要求确定和定级,然后报国家保密工作部门备案、 D、对是否属于国家秘密和属于何种秘密不明确的事项,由国家保密工作部门,省、自治区、直辖市的保密工作部门,省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或者国家保密工作部门审定的机关确定 95、以下关于我国信息安全政策和法律法规的说法错误的是?
A、中办发【2003】27号文提出“加快信息安全人员培养,增强全民信息安全意识”
B、2008年4月国务院办公厅发布了《关于加强政府信息系统安全和保密管理工作的通知》
C、2007年我国四部委联合发布了《信息安全等级保护管理办法》
D、2006年5月全国人大常委会审议通过了《中国人民共和国信息安全法》 96、我国信息安全等级保护政策中,将信息系统安全保护等级分为几级? A、2级 B、3级 C、4级 D、5级
97、目前我国信息技术产品安全性评估依据的标准和配套的评估方法是:
A、TCSEC和 CEM B、 CC和 CEM C、CC和 TCSEC D、 TCSEC和 CEM
98、下列关于ISO27000系列标准的说法正确的是: A、ISO 27001 给出了信息安全风险评估的指南 B、ISO 27001 描述了信息安全管理体系要求
C、ISO 27001 并不局限于IT,也不依赖于专门的技术,它是由长期积累的最佳实践构成的
D、ISO 27001提出了实现IT安全控制所需采用的各项技术及要求 99、实施信息系统安全等级保护制度的一般工作流程是— A、定级—检查—建设整改—等级测评—备案 B、等级测评—建设整改—监督检查
C、定级—备案—建设整改—等级测评—监督检查 D、定级—等级测评—备案—建设整改—监督检查 100、下面有关我国信息安全管理体制的说法错误的是:
A、目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面、
B、我国的信息安全保障工作综合利用法律、管理和技术的手段
C、我国的信息安全管理应坚持综合治理、及时检测、快速响应的方针 D、我国对于信息安全责任的原则是谁主管谁负责、谁经营、谁负责
- 33 -