力不强
47、以下哪一种人给公司带来了最大的安全风险?(D) A、临时工 当前的员工
48、以下哪种安全模型未使用针对主客体的访问控制机制?(C) A、基于角色模型 制模型
C、信息流模型 制模型
49、以下哪种措施既可以起到保护的作用还能起到恢复的作用?(C) A、对参观者进行登记 C、实施业务持续性计划
B、备份 D、口令
D、强制访问控
B、自主访问控
B、咨询人员
C、以前的员工 D、
50、以下哪种风险被定义为合理的风险?(B) A、最小的风险
B、可接受风险 D、总风险
C、残余风险
51、以下人员中,谁负有决定信息分类级别的责任?(B) A、用户 安全官
52、有三种基本的鉴别的方式:你知道什么,你有什么,以及(C)。 A、你需要什么 B、你看到什么 C、你是什么
D、你做什么
B、数据所有者
C、审计员
D、
53、在对一个企业进行信息安全体系建设中,下面哪种方法是最佳的?
(B)
A、自下而上 B、自上而下 C、上下同时开展
D、以上都不正确
54、在风险分析中,下列不属于软件资产的是(D) A、计算机操作系统
B、网络操作系统
D、外来恶意
C、应用软件源代码 代码
55、在国家标准中,属于强制性标准的是:(B) A、GB/T XXXX-X-200X XXXX-200X
C、DBXX/T XXX-200X QXXX-XXX-200X
B、GB
D、
56、在任何情况下,一个组织应对公众和媒体公告其信息系统中发生的信息安全事件?(A)
A、当信息安全事件的负面影响扩展到本组织意外时 B、只要发生了安全事件就应当公告
C、只有公众的什么财产安全受到巨大危害时才公告 D、当信息安全事件平息之后
57、在信息安全策略体系中,下面哪一项属于计算机或信息安全的强制性规则?(A)
A、标准(Standard) B、安全策略(Security policy)
C、方针(Guideline) D、流程(Proecdure)
58、在信息安全管理工作中“符合性”的含义不包括哪一项?(C) A、对法律法规的符合 B、对安全策略和标准的符合
C、对用户预期服务效果的符合 D、通过审计措施来验证符合情况
59、在许多组织机构中,产生总体安全性问题的主要原因是(A)。 A、缺少安全性管理 B、缺少故障管理
C、缺少风险分析 D、缺少技术控制机制
60、职责分离是信息安全管理的一个基本概念。其关键是权利不能过分集中在某一个人手中。职责分离的目的是确保没有单独的人员(单独进行操作)可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员访问安全系统软件的时候,会造成对“职责分离”原则的违背?(D)
A、数据安全管理员 B、数据安全分析员
C、系统审核员
D、系统程序员
61、中国电信的岗位描述中都应明确包含安全职责,并形成正式文件记录在案,对于安全职责的描述应包括(D)。
A、落实安全政策的常规职责 或活动的特定职责
C、保护具体资产的特定职责
B、执行具体安全程序
D、以上都对
62、终端安全管理目标:规范支撑系统中终端用户的行为,降低来自支撑系统终端的安全威胁,重点解决以下哪些问题?(A)。 A、终端接入和配置管理;终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理;终端防病毒管理
B、终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理;终端防病毒管理
C、终端接入和配置管理;桌面及主机设置管理;终端防病毒管理
D、终端接入和配置管理;终端账号、秘密、漏洞补丁等系统安全管理;桌面及主机设置管理 63、著名的橘皮书指的是(A)。
A、可信计算机系统评估标准(TCSEC) 术评估标准(ITSEC) C、美国联邦标准(FC)
D、通用准则(CC)
B、信息安全技
64、资产的敏感性通常怎样进行划分?(C) A、绝密、机密、敏感 敏感和公开
C、绝密、机密、秘密、敏感和公开等五类 D、绝密、高度机密、秘密、敏感和公开等五类
B、机密、秘密、
65、重要系统关键操作操作日志保存时间至少保存(C)个月。 A、1
B、2
C、3
D、4
66、安全基线达标管理办法规定:BSS系统口令设置应遵循的内控要求是(C)
A、数字+字母 B、数字+字母+符号
C、数字+字母+字母大小写 D、数字+符号 67、不属于安全策略所涉及的方面是(D)。 A、物理安全策略 策略
C、信息加密策略 D、防火墙策略
68、“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:(C)。 A、“普密”、“商密”两个级别 级”两个级别
C、“绝密”、“机密”、“秘密”三个级别 D、“一密”、“二密”,“三密”、“四密”四个级别
69、对MBOSS系统所有资产每年至少进行(A)次安全漏洞自评估。 A、1 B、2 C、3 D、4
70、下列情形之一的程序,不应当被认定为《中华人民共和国刑法》
B、“低级”和“高 B、访问控制