级。
(D)以上都不对。
5、定期备份和测试信息是指:( )
(A )每次备份完成时对备份结果进行检査,以确保备份效果。 (B )对系统测试记录进行定期备份。
(C )定期备份,定期对备份麵的完整性和可用性进行测试。 (D)定期检査备份存储介质的容量。
6、一个组织或安全域内所有信息处理设施与已设精确时钟源同步是为了:( ) (A)便于针对使用信息处理设施的人员计算工时 (B )便于探测未经授权的信息处理活动的发生 (C )确保信息处理的及时性得到控制 (D)人员异地工作时统一作息时间。 7、为防止对网络服务的未授权访问,组织应( )
(A)制定安全策略,确保用户应仅能访问已获专门授权使用的服务。 (B)禁止内部人员访问互联网。 (C)禁止外部人员访问组织局域网。 (D)以上都对。
8、组织应进行安全需求分析,规定对安全控制的要求,当:( )
(A)组织需建立新的信息系统时; (B)组织的原有信息系统扩容或升级时; (C)组织向顾客交付软件系统时; (D)A+B 9、确定资产的可用性要求须依据:( ) (A)授权实体
34
的需求。
(B)信息系统的实际性能水平。
(C)组织可支付的经济成本。 (D)最高管理者的决定。 10、残余风险是:(
)
(A)低于可接受风险水平的风险。 (B)高于可接受风险水平的风险。 (C)经过风险处置后剩余的风险。 (D)未经处置的风险。
11、对计算机病毒和危害社会公共安全的有害数据的防治研究工作由:() (A)工业和信息化部归口難。 (B)公安部归口管理。
(C)国家互联网信息办公室归口管理。 (D)信息安全产品研制企业自行管理。 12、网络路由控制应遵从:( )
(A)端到端连接最短路径策略; (B)信息系统应用的最佳效率策略; (C)确保计算机连接和信息流不违反业务应用的访问控制策略, (D)A+B+C 13、对于第三方服务提供方,以下描述正确的是:( )
(A)为了监视和评审第三方提供的服务,第三方人员提供服务时应有人员全程陪同 (B)应定期度量和评价第三方遵从商定的安全策略和服务水平的程度。 (C)第三方服务提供方应有符合ITIL的流程。 (D)第三方服务的变更须向组织呈报以备案。 14、为了确保布缆安全,以下正确的做法是:( ) (A)使用同一电缆管道铺设电源电缆和通信电缆。 (B)网络电缆采用明线架设,以便于探査故障和维修。 (C)配线盘应尽量放置在公共可访问区域,以便于应急管理。 (D)使用配线标记和设备标记,编制配线列表。 15、对于针对
35
信息系统的软
件包,以下说法正确的是:( )
(A)组织应具有有能力的人员,以便随时对软件包进行适用性修改。 (B)应尽量劝阻对软件包实施变更,以规避变更的风险。 (C)软件包不必作为配置项进行管理。 (D)软件包的安装必须由其开发商实施安装。 16、以下不属于信息安全事态或事件的是:( )
(A)服务、设备或设施的丟失 (B)系统故障或超负载 (C)物理安全要求的违规 (D)安全策略变更的临时通知
17、设立信息安全管理体系认证机构,须得到以下哪个机构的批准,方可在中国境内从事认证活动 ( )
(A)中国合格评定国家认可委员会 (B)中国国家认证认可监督管理委员会 (C)中国认证认可协会 (D)工商注册管理部门 18、国家信息安全等级保护采取。( ) (A)自主定级、自主保护的原则。 (B)国家保密部门定级、自主保护的原则。 (C)公安部门定级、自主保护的原则。
(D)国家保密部门定级、公安部门监督保护的原则。 19、信息安全管理中,关于脆弱性,以下说法正确的是:() (A)组织使用的开源软件不须考虑其技术脆弱性。 (B)软件开发人员为方便维护留的后门是脆弱性的一种。
(C)识别资产脆弱性时应考虑资产的固有特性,不包括当前安全控制措施。 (D)使信息系
36
统与网络物理
隔离可社绝其脆弱性被威胁利用的机会。
20、信息安全管理中,对于安全违规人员的正式纪律处理过程中必不可少的活动是( ) (A)警告与罚款。 (B)就违规的详情向所有人员通报。 (C)评估违规对业务造成的影响。 (D)责成违规人员修复造成的损害。 21、信息安全管理中,关于撤销访问权,不包括以下哪种情况:(
)
(A)员工离职时。 (B)组织内项目人员调换到不同的项目组时。 (C)顾客或第三方人员结束访问时。(D)以上都不对。
22、依据GB/T22080,信息系统在开发时应考虑信息安全要求,这包括:( (A)管理人员应提醒使用者在使用应用系统时注意确认输入输出_。 (B)质量人员介入验证输入输出数据。
(C)应用系统在设计时考虑对输入数据、内部处理和输出数据进行确认的措施。 (D)在用户须知中增加“提醒”或\警告\内容。 23、监视和评审ISMS,应考虑:( )
(A)统计和评估已造成不良后果的安全违规和事件,不包括未造成不良后果的事件。 (B)针对网络安全事件,不包括管理性安全措施执行情况。
(C)迅速识别试图的和得逞的安全违规事件,包括技术符合性事件和管理性安全措施执行情况。
(D)针对管理性安全措施执行情况,不包括技术符合性事件。 24、依据GB/T22080 ,业务连续性管理活动不包括:( )
(A)针对业务中断进行风险评估。 (B)定义恢复的优先顺序。 (C)定义恢复时间指标。 (D)按事件管理流程进行处置。 25、以下不属
37
)
于\责任分割\
原则范畴的做法是:()
(A)不同职级人员工作区域隔离。 (B)保持安全审核人员的独立性。
(C)授权者、操作者和监视者三者责任分离。 (D)事件报告人员与事件处理人员职责分离。
26、访问信息系统的用户注册的管理不正确的做法是:() (A)对用户访问信息系统和服务的授权的管理。
(B)对用户予以注册时须同时考虑与访问控制策略的一致性。 (C)当ID资源充裕时可允许用户使用多个ID.
(D)用户在组织内变换工作岗位时须重新评审其所用ID的访问权。 27、对于用户访问信息系统使用的口令,以下说法正确的是:(
)
(A)口令必酿期更换。 (B)同一工作组的成员可以共享口令。 (C)如果使用生物识别技术,可替代口令。 (D)以上全部。 28、关于保密性,以下说法正确的是:(
)
(A)规定被授权的个人和实体,同时规定访问时间和访问范围以及访问类型。 (B)职级越高可访问信息范围越大。
(C)默认情况下IT系统维护人员可以任何类型访问所有信息。 (D)顾客对信息的访问权按顾客需求而定。
29、关于商用密码技术和产品,以下说法不正确的是:( )
(A)任何组织不得随意进口密码产品,但可以出口商用密码产品。 (B)商用密码技术属于国家秘密。 (C)商用密码
38
是对不涉及国