机病毒防御体系所需要的技术措施。 (A)防火墙
(B)补丁管理系统 (C)网络入侵检测
(D)杀毒软件
(E)漏洞扫描
8、审核范围的确定应考虑:( )。 (A)组织的管理权限 (C)组织的现场区域
(B)组织的活动领域 (D)覆盖的时期
9、审核原则是审核员从事审核活动应遵循的基本要求,以下什么是审核员应遵循的原则() (A)道德行为 (B)保守机密 (C)公正表达
(D)职业素如
(E)独立性
10、根据国家发布的<认证及认证培训咨询人员管埋办法>规定,以下哪些人员不得在一个认证机构从事认证活动( )。
(A)已经在另外一个认证机构从事认证活动的人员 (B)国家公务员
(C)从事认证咨询活动的人员
(D)已经与认证咨询机构签订合同的认证咨询人员 11、信息安全管理体系认证审核的范围即( )。 (A)组织的全部经营管理范围。 (B)组织的全部信息安全管理范围。
(C)组织根据其业务、组织、位置、资产和技术等方面的特性确定信息安企管理体系范围。 (D)组织承诺按照GB/T 22080标准要求建立、实施和保持信息安全管理体系的范围。 12、为防止业务中断,保护关键业务过程免受信息系统失误或灾难的影响,应( )。 (A)定义恢复的优先顺序; (B)定义恢复时间指标; (C)按事件管
19
理流程进行处
置;
(D)针对业务中断进行风险评估。 13、信息安全管理体系认证是:( )。
(A)与信息安全管理体系有关的规定要求得到满足的证实活动。 (B)对信息系统是否满足有关的规定要求的评价。 (C)信息安全管理体系认证是合格评定活动的一种。 (D)是信息安全风险管理的实施活动。 14、以下符合“责任分割”原则的做法是:( )。
(A)不同职级人员工作区域隔离。 (B)保持安全审核人员的独立性。
(C)授权者、操作者和监视者三者责任分离。 (D)事件报告人员与事件处理人员职责分离。 15、访问信息系统的用户注册的管理是:( )。 (A)对用户访问信息系统和服务的授权的管理。
(B)对用户予以注册时须同时考虑与访问控制策略的一致性。 (C)当I(D)资源充裕时可允许用户使用多个I(D)
(D)用户在组织内变换丁.作岗位吋不必重新评审其所用I(D)的访问权。16、对于用户访问信息系统使用的口令,以下说法正确的是:( )。 (A)口令必须定期更换。
(B)同一工作组的成员可以共享口令。 (C)如果使用生物识别技术,可替代口令。 (D)如果使
20
用智能卡鉴别
技术,可替代U令。
17、可以通过使用适宜的加密技术实现的安全目标包括:( (A)信息的保密性 (B)信息的完整性 (C)信息的真实性 (D)信息的抗抵赖性 18、信息安全管理体系审核的抽样过程是:( )。
(A)调查性质的抽样。 (B)验收性质的抽样。
(C)通过对样本的评价来推断总体。 (D)有弃真的风险和取伪的风险。 19、关于商用密码技术和产品,以下说法正确的是:(
)。
)。
(A)任何组织不得随意进口密码产品,但可以出口商用密码产品。 (B)商用密码技术属于国家秘密。
(C)商用密码是对不涉及国家秘密的内容进行加密保护的产品。 (D)商用密码产品的用户不得转让其使用的商用密码产品。 20、可被视为可靠的电子签名须同时符合以下条件:(
)。
(A)电子签名制作数据用于电子签名时,属于电子签名人专有。 (B)签署时电子签名制作数据仅由电子签名人控制。 (C)签署后对电子签名的任何改动能够被发现。
(D)签署后对数据电文内容和形式的任何改的那个能够被发现。 21、降低风险的处置措施可以是()
(A)降低某项威胁发生的可能性 (B)降低某项威胁导致的后果严重程度 (C)杜绝某项威胁的发生的可能性 (D)杜绝威胁导致的后果 22、以下说法正确的是:() (A)应考虑组
21
织架构与业务
目标的变化对风险评估结果进行再评审。
(B)应考虑以往未充分识别的威胁对风险评估结果进行再评审。 (C)制造部增加的生产场所对信息安全风险无影响。 (D)安全计划应适时更新。 23、信息系统审计需考虑:()
(A)信息系统审计的控制措施 (B)信息系统审计工具的保护 (C)技术符含性核查 (D)知识产权
24、从安全的角度来看,能提前做好安全防范准备的组织,对安全事件的处理不恰当的是( ) (A)较高的成本,较小的事件,较慢的恢复 (B)中等成本,中等的事件,屮等速度的恢复 (C)较低的成本,较小的事件,较快的恢复 (D)较高的成本,较大的事件,较快的恢复
25、使用电子通信设施进行信息交换的规程和控制宜考虑( (A)电子通信设施可接受使用的策略或指南
(B)检测和防止可能通过使用电子通信传输的恶意代码的规程 (C)维护数据的授权接受者的正式记录 (D)密码技术的使用
26、应用结束时终止活动的会话,除非采—种合造的锁定机制保证其安全,符合信息安全的( )措施
(A)使用网络服务的策略 (B)清空桌雨和屏幕策略 (C)无人值守的用P设备 (D)使用密码的控制策略 27、在网络访
22
)
问控制中,对
外部连接的用户鉴别时,宜考虑:( ) (A)回拨规程 (B)硬件令牌或询问
(C)使用回拨调制解调器控制措施,可以使用呼叫转发的网络服务 (D)基于密码技术的方法
28、关于口令管理系统,描述正确的有:(
)
(A)口令是确认用户具有访问计算机服务的授权的主要手段之一 (B)维护用户以前使用的口令的记录,并防止重复使用 (C)分开存储口令文件和应用系统数据 (D)不允许用户变更自己的口令
29、开发和支持过程中的安全,包括:( )
(A)变更控制规程 (B)操作系统变更后应用的技术评审 (C)对程序源代码的访问控制 (D)软件包变更的限制
30、对技术符合性进行核查,若使用渗透测试或脆弱性评估时:( ) (A)测试宜预先计划,并形成文件
(B)需要专业技术专家执行
(C)计划可重复执行 (D)可以代替风险评估 31、在业务连续性管理过程中的关键要素包括:(
)
(A)确保人员的安全、信息处理设施和组织财产得到保护 (B)定期测试和更新已有的计划和过程 (C)调整或增加访问控制措施
(D)识别关键业务过程中涉及的所有资产 32、对程序源
23
代码访问控制