信息安全管理體系ISMS2016年6月考題

2016信息安全管理體系（ISMS）審核知識 試卷2016年2016年6月一、單選題1、 密碼就是一種用于保護數(shù)據(jù)保密性的密碼學(xué)技術(shù)、由（）方法及相應(yīng)運行過程。A、 加密算法和密鑰生成B、 加密算法、解密算法、密鑰生成C、 解密算法、密鑰生成D、 加密算法、解密算法2、 計算機安全保護等級的第三級是（）保護等級A、用戶自主 B、安全標(biāo)記 C、系統(tǒng)審計D、結(jié)構(gòu)化3、隱蔽信道是指允許進程以（）系統(tǒng)安全策略的方式傳輸信息的通信信道A、補強 B、有益 C、保護D、危害4、4、6、ISMS關(guān)鍵成功因素之一是用于評價信息安全6、ISMS關(guān)鍵成功因素之一是用于評價信息安全A、測量 B、報告 C、傳遞D、評價7、防止惡語和移動代碼是保護軟件和信息的（）A、完整性 B、保密性C、可用性D、以上全部8、以下強健口令的是（）A、8、以下強健口令的是（）A、a8mom9y5fub33B、1234C、CnasD、Password9、開發(fā)、測試和（）設(shè)施應(yīng)分離、以減少未授權(quán)訪問或改變運行系統(tǒng)的風(fēng)險A、系統(tǒng) B、終端 C、配置D、運行10、 設(shè)備、（）或軟件在授權(quán)之前不應(yīng)帶出組織場所A、手機 B、文件 C、信息 D、以上全部11、 包含儲存介質(zhì)的設(shè)備的所有項目應(yīng)進行核查，以確保在處置之前，（）和注冊軟件已被刪除或安全地寫覆蓋A、系統(tǒng)軟件 B、游戲軟件 C、殺毒軟件 D、任何敏感信息12、 雇員、承包方人員和（）的安全角色和職責(zé)應(yīng)按照組織的信息安全方針定義并形成文件A、第一方人員 B、第二方人員 C、第三方人員D、IT經(jīng)理13、 對于任用的終止或變化時規(guī)定職責(zé)和義務(wù)在任用終止后仍然有效的內(nèi)容應(yīng)包含在（）合同中。A、雇員 B、承包方人員C、第三方人員 D、A+B+C14、 ISMS文件的多少和詳細程度取決于（）A、 組織的規(guī)模和活動的類型B、 過程及其相互作用的復(fù)雜程度C、 人員的能力D、 A+B+C15、 為確保信息資產(chǎn)的安全，設(shè)備、信息和軟件在（）之前不應(yīng)帶出組織A、使用 B、授權(quán)C、檢查合格 D、識別出薄弱環(huán)節(jié)16、 對于所有擬定的糾正和預(yù)防措施，在實施前應(yīng)先通過（）過程進行評審。A、薄弱環(huán)節(jié)識別 B、風(fēng)險分析C、管理方案 D、A+B17、 組織機構(gòu)在應(yīng)建立起評審ISMS時，應(yīng)考慮（）A、風(fēng)險評估的結(jié)果 B、管理方案 C、法律、法規(guī)和其它要素D、A+C18、 ISMS管理評審的輸出應(yīng)包括：A、可能影響ISMS的任何變更 B、以往風(fēng)險評估沒有充分強調(diào)的薄弱點或威脅C、風(fēng)險評估和風(fēng)險處理計劃的更新D、改進的建議19、 在信息安全管理中進行（），可以有效解決人員安全意識薄弱問題。A、內(nèi)容監(jiān)控 B、安全教育和培訓(xùn) C、責(zé)任追查和懲處D、訪問控制20、 經(jīng)過風(fēng)險處理后遺留的風(fēng)險是（）A、重大風(fēng)險 B、有條件的接受風(fēng)險C、不可接受的風(fēng)險D、殘余風(fēng)險21、 （）是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護措施的失效，或是和安全關(guān)聯(lián)的一個先前未知的狀態(tài)。A、信息安全事態(tài) B、信息安全事件C、信息安全事故D、信息安全故障22、 系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復(fù)全部程序B、回復(fù)網(wǎng)絡(luò)設(shè)置C、回復(fù)所有數(shù)據(jù)D、恢復(fù)整個系統(tǒng)23、 不屬于計算機病毒防治的策略的是（）。A、確認您手頭常備一張真正“干凈”的引導(dǎo)盤 B、及時、可靠升級反病毒產(chǎn)品C、新購置的計算機軟件也要進行病毒檢測 D、整理磁盤24、 為了取保布線安全，以下不正確的做法是（）。A、 使用同一電纜管道鋪設(shè)電源電纜和通訊電纜B、 網(wǎng)絡(luò)電纜采用明線架設(shè)，以便于探查故障和維修C、 配線盤應(yīng)盡量放置在公共可訪問區(qū)域，以便于應(yīng)急管理D、 使用配線標(biāo)記和設(shè)備標(biāo)記，編制配線列表25、 不屬于常見的危險密碼是（）。A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位數(shù)的綜合型密碼26、 在每天下午5點使用計算機結(jié)束時斷開終端的連接屬于（）。A、外部終端的物理安全 B、通信線的物理安全C、竊聽數(shù)據(jù) D、網(wǎng)絡(luò)地址欺騙27、 不屬于WEB服務(wù)器的安全措施的是（）。A、保證注冊賬戶的時效性B、刪除死賬戶C、強制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼28、 1999年，我國發(fā)布的第一個信息安全等級保護的國家標(biāo)準GB17859-1999，提出將信息系統(tǒng)的安全等級劃分為（）個等級，并提出每個級別的安全功能要求。A、7 B、8C、6 D、529、 文件初審是評價受審方ISMS文件的描述與審核準則的（）A、充分性和適宜性 B、有效性和符合性C、 適宜性、充分性和有效性D、以上都不對30、 在認證審核時、一階段審核是（）。人、是了解受審方ISMS是否正常運行的過程 B、是必須進行的C、不是必須的過程 D、以上都不準確31、 末次會議包括（）A、 請受審方確認不符合報告、并簽字B、 向受審核方遞交審核報告。、雙方就審核發(fā)現(xiàn)的不同意見進行討論D、 以上都不準確32、 審核組長在末次會議上宣布的審核結(jié)論是依據(jù)（）得出的。A、審核目的 B、不符合項的嚴重程度C、所有的審核發(fā)現(xiàn) D、A+B+C33、 將收集的審核證據(jù)對照（）進行評價的結(jié)果是審核發(fā)現(xiàn)A、GB/T22080標(biāo)準 B、法律、法規(guī)要求C、審核準則 D、信息安全管理體系文件34-45未知三、闡述題（每題10分，共20分）46、審核員在現(xiàn)場審核時，發(fā)現(xiàn)公司存有一份軟件清單，當(dāng)詢問清單上所列的軟件是否都是通過正規(guī)途徑購買的軟件，管理員回答有的是到正規(guī)商店，有的是通過網(wǎng)絡(luò)購買的。如果您是審核員，您會如何審核？47、什么是信息安全事態(tài)并舉例說明。四、案例分析題（每題6分，5題，共30分）48、 審核員在公司的資產(chǎn)登記表中發(fā)現(xiàn)，公司于年初將一批2003年購置的電腦特價處理給了員工，這些電腦原用于核心業(yè)務(wù)系統(tǒng)，當(dāng)詢問系統(tǒng)管理員是否在出售前進行格式化處理，該系統(tǒng)管理員說："由于當(dāng)時新進了許多新的電腦設(shè)備，需要安裝測試，沒空處理老的電腦，再說這些都是賣給自己員工的，他們本身就接觸到這些信息、”。49、 審核員發(fā)現(xiàn)某軟件開發(fā)公司在暑假期間聘請了三位大學(xué)生來做軟件測試，但在人事部門未找到相關(guān)的保密協(xié)議，也未見有關(guān)要求的培訓(xùn)記錄，人事經(jīng)理解釋說："他們在測試期間沒有接觸到軟件的核心機密信息，所以不需要簽保密協(xié)議，也不需要進行ISMS的培訓(xùn)”。50、 某財務(wù)外包公司辦公作業(yè)現(xiàn)場員工正在使用的標(biāo)準版金蝶財務(wù)軟件為客戶進行記賬服務(wù)，其默認帳號是manage，不需要每次進系統(tǒng)時重新輸入，業(yè)務(wù)主管解釋說："由于沒有外人，為了工作方便，所以，我們把登錄口令也省掉了，不需要每次進系統(tǒng)前輸入口令'。51、 XX銀行在2008年一季度發(fā)生了10起開通網(wǎng)上轉(zhuǎn)賬客戶的資金損失事故，左后經(jīng)確認是密碼系統(tǒng)