信息安全管理練習題

信息安全管理練習題-判斷題:1。信息安全保障階段中，安全方略是核心，對事先保護、事發(fā)檢測和響應、事后恢復起到了統(tǒng)一指導作用。（×）注釋：在統(tǒng)一安全方略的指導下，安全事件的事先防止（保護），事發(fā)解決（檢測Detection和響應Reaction）、事后恢復（恢復Restoration）四個重要環(huán)節(jié)互相配合,構成一種完整的保障體系，在這里安全方略只是指導作用，而非核心。2.一旦發(fā)現計算機違法犯罪案件，信息系統(tǒng)全部者應當在2天內快速向本地公安機關報案，并配合公安機關的取證和調查。（×）注釋：應在24小時內報案3.我國刑法中有關計算機犯罪的規(guī)定，定義了3種新的犯罪類型（×）注釋：共3種計算機犯罪，但只有2種新的犯罪類型。

單選題：1。信息安全經歷了三個發(fā)展階段，下列（B

）不屬于這三個發(fā)展階段。A.通信保密階段B。加密機階段C.信息安全階段D。安全保障階段2。信息安全階段將研究領域擴展到三個基本屬性,下列(C）不屬于這三個基本屬性。A.保密性B。完整性C.不可否認性D?？捎眯?。下面所列的（A）安全機制不屬于信息安全保障體系中的事先保護環(huán)節(jié)。A。殺毒軟件B.數字證書認證C。防火墻D.數據庫加密4?！缎畔踩珖覍W說》是（C）的信息安全基本大綱性文獻。A。法國B.美國C.俄羅斯D.英國注：美國在公布了《確保網絡空間安全的國家戰(zhàn)略》。5.信息安全領域內最核心和最單薄的環(huán)節(jié)是(D)。A.技術B.方略C。管理制度D.人6。信息安全管理領域權威的原則是（B）。A。ISO15408

B.ISO17799/ISO27001(英）

C.ISO9001

D.ISO140017?！队嬎銠C信息系統(tǒng)安全保護條例》是由中華人民共和國(A

)第147號公布的。A.國務院令B。全國人民代表大會令C.公安部令D。國家安全部令8。在PDR安全模型中最核心的組件是（A）。A.方略B.保護方法C.檢測方法D.響應方法9.在完畢了大部分方略的編制工作后,需要對其進行總結和提煉，產生的成果文檔被稱為(A）。A?？山邮苁褂梅铰訟UPB.安全方針C。合用性聲明D.操作規(guī)范10.互聯(lián)網服務提供者和聯(lián)網使用單位貫徹的統(tǒng)計留存技術方法,應當含有最少保存（C)天統(tǒng)計備份的功效.A.10

B。30

C。60

D。9011.下列不屬于防火墻核心技術的是（D）A.（靜態(tài)/動態(tài)）包過濾技術B。NAT技術C.應用代理技術

D。日志審計12.應用代理防火墻的重要優(yōu)點是（B

)A。加密強度更高B.安全控制更細化、更靈活C。安全服務的透明性更加好D.服務對象更廣泛13。對于遠程訪問型VPN來說，（A)產品經常與防火墻及NAT機制存在兼容性問題，造成安全隧道建立失敗。A.IPSecVPN

B.SSLVPN

C.MPLSVPN

D.L2TPVPN注：IPSec合同是一種應用廣泛，開放的VPN安全合同，現在已經成為最流行的VPN解決方案。在IPSec框架當中尚有一種必不可少的要素：Internet安全關聯(lián)和密鑰管理合同-—IKE（或者叫ISAKMP/Oakley)，它提供自動建立安全關聯(lián)和管理密鑰的功效.

14。1999年，我國公布的第一種信息安全等級保護的國標GB17859-1999，提出將信息系統(tǒng)的安全等級劃分為（D）個等級，并提出每個級別的安全功效規(guī)定。A.7

B。8

C。6

D.5注：該原則參考了美國的TCSEC原則,分自主保護級、指導保護級、監(jiān)督保護級、強制保護級、?？乇Ｗo級。15。公鑰密碼基礎設施PKI解決了信息系統(tǒng)中的(A）問題.A。身份信任

B。權限管理

C。安全審計

D。加密注：PKI（PublicKeyInfrastructure,公鑰密碼基礎設施），所管理的基本元素是數字證書.16.最后提交給普通終端顧客,并且規(guī)定其訂立和恪守的安全方略是（C）。A。口令方略

B.保密合同

C?？山邮苁褂梅铰訟UP

D.責任追究制度

知識點：1.《信息系統(tǒng)安全等級保護測評準則》將測評分為安全控制測試和系統(tǒng)整體測試兩個方面。2。安全掃描能夠彌補防火墻對內網安全威脅檢測局限性的問題。3.1994年2月18日國務院公布《計算機信息系統(tǒng)安全保護條例》。4。安全審計跟蹤是安全審計系統(tǒng)檢測并追蹤安全事件的過程。5。環(huán)境安全方略應當是簡樸而全方面。6.安全管理是公司信息安全的核心。7。信息安全方略和制訂和維護中，最重要是要確保其明確性和相對穩(wěn)定性.8.許多與PKI有關的合同原則等都是在X.509基礎上發(fā)展起來的。9.避免對系統(tǒng)非法訪問的重要辦法是訪問控制。10。災難恢復計劃或者業(yè)務持續(xù)性計劃關注的是信息資產的可用性屬性。11.RSA是最慣用的公鑰密碼算法。12。在信息安全管理進行安全教育和培訓,能夠有效解決人員安全意識單薄.13.我國正式公布電子簽名法，數字簽名機制用于實現抗否認。14。在安全評定過程中，采用滲入性測試手段，能夠模擬黑客入侵過程，檢測系統(tǒng)安全脆弱性。15.病毒網關在內外網絡邊界處提供更加主動和主動的病毒保護。16。信息安全評測系統(tǒng)CC是國際原則。17。安全保護能力有4級：1級－能夠對抗個人、普通的自然災難等；2級－對抗小型組織；3級－對抗大型的、有組織的團體，較為嚴重的自然災害，能夠恢復大部分功效；4級－能夠對抗敵對組織、嚴重的自然災害，能夠快速恢復全部功效。18。信息系統(tǒng)安全等級分5級：1－自主保護級；2－指導保護級;3－監(jiān)督保護級；4－強制保護級；5－?？乇Ｗo級。19。信息系統(tǒng)安全等級保護方法：自主保護、同時建設、重點保護、適宜調節(jié)。20。對信息系統(tǒng)實施等級保護的過程有5步：系統(tǒng)定級、安全規(guī)則、安全實施、安全運行和系統(tǒng)終止.21。定量評定慣用公式：SLE(單次資產損失的總值）＝AV（信息資產的估價）×EF（造成資產損失的程序）。22.SSL重要提供三方面的服務，即認證顧客和服務器、加密數據以隱藏被傳送的數據、維護數據的完整性。23.信息安全方略必須含有擬定性、全方面性和有效性。24。網絡入侵檢測系統(tǒng),既能夠對外部黑客的攻擊行為進行檢測,也能夠發(fā)現內部攻擊者的操作行為，普通布署在網絡交換機的監(jiān)聽端口、內網和外網的邊界。25。技術類安全分3類：業(yè)務信息安全類（S類）、業(yè)務服務確保類（A類）、通用安全保護類（G類）。其中S類關注的是保護數據在存儲、傳輸、解決過程中不被泄漏、破壞和免受未授權的修改；A類關注的是保護系統(tǒng)持續(xù)正常的運行等；G類兩者都有所關注.26。如果信息系統(tǒng)只承載一項業(yè)務,能夠直接為該信息系統(tǒng)擬定安全等級，不必劃分業(yè)務子系統(tǒng)。27。信息系統(tǒng)生命周期涉及5個階段：啟動準備、設計/開發(fā)、實施/實現、運行維護和系統(tǒng)終止階段.而安全等級保護實施的過程與之相對應，分別是系統(tǒng)定級、安全規(guī)劃設計、安全實施、安全運行維護和系統(tǒng)終止。信息安全管理體系國家注冊審核員培訓班考試試題—

一、選擇題（每小題1分,共lO分)

(

)1．信息安全中的可用性是指_______a）信息不能被未授權的個人，實體或者過程運用或知悉的特性

b)保護資產的精確和完整的特性

c）根據授權實體的規(guī)定可訪問和運用的特性

d）以上都不對

(

）2．審核證據是指________

a)與審核準則有關的，能夠證明的統(tǒng)計、事實陳說或其它信息

b)在審核過程中收集到的全部統(tǒng)計、事實陳說或其它信息

c）一組方針、程序或規(guī)定

d）以上都不對

(

)3．______

屬于系統(tǒng)威脅.

a)不穩(wěn)定的電力供應

b）硬件維護失誤

c)軟件缺少審計統(tǒng)計

d）口令管理機制單薄

(

）4．管理體系是指______a)建立方針和目的并實現這些目的的體系b)互有關聯(lián)和互相作用的一組要素c）指揮和控制組織的協(xié)調的活動

d)以上都不對

（

）5．信息安全管理實用規(guī)則ISO／IECl7799屬于_____原則?a）詞匯類原則

b）規(guī)定類原則

c)指南類原則

d）以上都不對

(

)6．在信息安全管理體系____階段應測量控制方法的有效性？

a）建立

b）實施和運行

c)監(jiān)視和評審

d)保持和改善

（

）7．風險評價是指______

a)系統(tǒng)地使用信息來識別風險來源和預計風險b)將預計的風險與給定的風險準則加以比較以擬定風險嚴重性的過程

c）指導和控制一種組織有關風險的協(xié)調活動

d）以上都不對

（

）8．可使用_______來保護電子消息的保密性和完整性

a)密碼技術

b)通信技術

c)控制技術d)自動化技術

(

)9．現狀不符合文獻是指______

a)原則規(guī)定的沒有寫到

b）寫到的沒有做到

c)做到的沒有達成目的

d）以上都不對

(

）10．下列屬于計算機病毒感染事件的糾正方法的是_________

a)對計算機病毒事件進行響應和解決

b）將感染病毒的計算機從網絡中隔離

c）對有關負責人進行處分

d)以上都不是

二、判斷題(每小題1分，共10分）

你認為對的的在(

)中劃“√”,錯誤的劃“x”。

（

)1．客戶資料不屬于組織的信息資產。

(

）2．組織的安全規(guī)定全部來源于風險評定。

(

）3．通過使用資源和管理，將輸入轉化為輸出的任意活動，稱為過程.

(

）4．組織必須首先從ISO／IEC27001附錄A的控制方法列表中選用控制方法。

(

)5．風險分析和風險評價的整個過程稱為風險評定。

（

)6．控制方法能夠減少安全事件發(fā)生的可能性，但不能減少安全事件的潛在影響。

（

)7．“資產負責人”，規(guī)定與信息解決設施有關的全部資產都應由指定人員承當責任.

（

)8．網站信息由于屬于公共可用信息，因此不必實施安全保密方法.

（

）9．審核范疇必須與受審核方信息安全管理體系范疇一致。

(

)10．當組織信息安全管理體系的基礎發(fā)生重大變化而增加的一次審核稱為監(jiān)督審核。

三、填空題（每小題1分，共5分）

指出IS027001:原則中合用于下述情景的某項條款，請將條款號填在橫線上.

1．“信息安全管理部的員工根據風險評定的成果,正在選擇適宜的控制方法?！?/p>

合用于這一狀況的條款是——

2．“某公司規(guī)定無論離職或調職，員工的原有系統(tǒng)訪問權一律撤銷?！?/p>

合用于這一狀況的條款是--

3．“某公司在其機房內貼了一張行為準則,員工在機房內工作時必須恪守?！?/p>

合用于這一狀況的條款是—-

4．“公司重要服務器的操作統(tǒng)計中沒有任何管理員操作的統(tǒng)計?！?/p>

合用于這一狀況的條款是--

5．“某公司的信息系統(tǒng)中使用了密碼手段來保障其信息安全,但該公司的有關工作人員對我國密碼方面的法律法規(guī)一無所知?！?/p>

合用于這一狀況的條款是______

四、問答題(1—3題每小題5分，共15分；4．5題每小題15分，共30分;共45分)

1．什么是信息安全?組織的信息安全規(guī)定分為哪幾類？并簡要闡明.

2．ISO／IEC27001：附錄A所列出的控制方法中，哪些條款體現了“管理者作用”，最少舉出3條控制方法，并簡要闡明。

3．審核組進入審核現場后，普通會有哪些會議？各有什么作用?會議主持人普通由誰擔任?

4．如果某軟件開發(fā)公司涉及軟件外包業(yè)務，請列出在軟件外包的過程中所涉及的風險,并

從ISO／IEC27001：附錄A控制方法列表中選擇適宜的控制方法，作簡要闡明。

5．如何根據ISO／IEC27001：審核A．10．7，組織應避免資產遭受未授權泄露、修改、

移動或銷毀以及業(yè)務活動的中斷

五、案例分析題(每小題10分,共30分)

請根據所述狀況判斷：如能判斷有不符合項,請寫出不符合ISO/2700l：原則的條款號、內容和嚴重程度，并寫出不符合事實，如提供的證據不能足以判斷有不符合項時，請寫出進一步審核的思路。

判分原則：不符合條款2分,不符合原則的內容3分，不符合事實3分，不符合的嚴重程度2分。

1．審核員在看到某公司的意識及技能培訓計劃后,詢問某公司工作人員對信息安全管理體系的認識，該工作人員回答,由于前段時間始終出差在外，因此還沒有時問學習有關的體系文獻。

2．審核員詢問公司辦公系統(tǒng)中某機器的操作系統(tǒng)升級狀況時，使用人員說，我們使用的全部軟件都是正版的，因此我在使用時直接設立為操作系統(tǒng)自動更新了，并且始終也沒出現過什么問題，對業(yè)務沒有任何影響。

3．審核員在某公司信息安全部看到幾份安全事故解決報告，因素欄寫的都是感染計算機病毒，工作人員說,我們已經嚴格規(guī)定了防病毒軟件的使用及升級周期，但還是沒有效果。信息安全管理體系審核員練習題-簡樸題和案例分析題—一、簡答

1。內審不符合項完畢了30/35，審核員給開了不符合，與否對的？你怎么審核？［參考］不對的。應作以下審核：(1)詢問有關人員或查閱有關資料(不符合項整治計劃或驗證統(tǒng)計)，理解內審不符合項的糾正方法實施狀況,分析對不符合的因素擬定與否充足,所實施的糾正方法與否有效；(2）所采用的糾正方法與否與有關影響相適宜,如對業(yè)務的風險影響，風險控制方略和時間點目的規(guī)定，與組織的資源能力相適應。（3）評定所采用的糾正方法帶來的風險，如果該風險可接受，則采用糾正方法，反之可采用適宜的控制方法即可。綜上,如果全部糾正方法符合風險規(guī)定,與有關影響相適宜，則糾正方法適宜.

2、在人力資源部查看網管培訓統(tǒng)計，負責人說證書在本人手里，培訓是外包的，成績從那里要，要來后一看都合格，就結束了審核，對嗎？[參考］不對。應按照原則GB/T22080—條款5.2。2培訓、意識和能力的規(guī)定進行以下審核：(1）詢問有關人員,理解與否有網管崗位闡明書或有關職責、角色的文獻？(2）查閱網管職責有關文獻，文獻中如何規(guī)定網管的崗位規(guī)定，這些規(guī)定基于教育、培訓、經驗、技術和應用能力方面的評價規(guī)定,以及有關的培訓規(guī)程及評價辦法；（3）查閱網管培訓統(tǒng)計，與否符合崗位能力規(guī)定和培訓規(guī)程的規(guī)定規(guī)定？（4）理解有關部門和人員對網管培訓后的工作能力確認和培訓效果的評價，與否保持統(tǒng)計？（5)如果崗位能力經評價不能滿足規(guī)定時，組織與否按規(guī)定規(guī)定采用適宜的方法，以確保崗位人員的能力規(guī)定.

二、案例分析1、查某公司設備資產，負責人說臺式機放在辦公室，辦公室做了來自環(huán)境的威脅的防止；筆記本經常帶入帶出，有時在家工作,領導同意了，在家也沒什么不安全的。A9。2。5

組織場合外的設備安全

應對組織場合的設備采用安全方法，要考慮工作在組織場因此外的不同風險

2、某公司操作系統(tǒng)升級都直接設立為系統(tǒng)自動升級，沒出過什么事，由于買的都是正版。A12.5。2操作系統(tǒng)變更后應用的技術評審

當操作系統(tǒng)發(fā)生變更時,應對業(yè)務的核心應用進行評審和測試，以確保對組織的運行和安全沒有負面影響。

3、創(chuàng)新公司委托專業(yè)互聯(lián)網運行商提供網絡運行，供應商為了提高服務級別，采用了新技術，也告知了創(chuàng)新公司，但創(chuàng)新認為新技術必定更加好,就沒采用任何方法,后來由于軟件不兼容造成斷網了.A10。2.3第三方服務的變更管理應管理服務提供的變更,涉及保持和改善現有的信息安全方略、規(guī)程和控制方法，并考慮到業(yè)務系統(tǒng)和涉及過程的核心程度及風險的評定。

4、查某公司信息安全事件解決時，有好幾份解決報告的因素都是感染計算機病毒，負責人說我們嚴格的殺毒軟件下載應用規(guī)程，不懂得為什么沒有效，預計其它辦法更沒用了.8。2糾正方法

5、查看web服務器日志發(fā)現，近來幾次經常重啟，負責人說剛買來還好用，近來總死機，都聯(lián)系不上供應商負責人了.A10。2。1應確保第三方實施、運行和保持包含在第三方服務交付服務交付合同中的安全控制方法、服務定義和交付水準。信息安全管理體系審核員練習題—簡述題-簡述題1、審核員在某公司審核時，發(fā)現該公司從保安公司聘任的保安的門卡可通行公司全部的門禁。公司主管信息安全的負責人解釋說，因保安負責公司的物理區(qū)域安全，他們夜里以及節(jié)假日要值班和巡邏全部區(qū)域,因此只能給保安全權限門卡.審核員對此解釋表達認同。如果你是審核員，你將如何做？答：應根據原則GB/T22080—條款A。11.1.1審核下列內容:（1）與否有形成文獻的訪問控制方略，并且包含針對公司每一部分物理區(qū)域的訪問控制方略的內容？（2）訪問控制方略與否基于業(yè)務和訪問的安全要素進行過評審?（3）核算保安角色與否在訪問控制方略中有明確規(guī)定?(4）核算訪問控制方略的制訂與否與各物理區(qū)域風險評價的成果一致？（5）核算發(fā)生過的信息安全事件，與否與物理區(qū)域非授權進入有關?（6)核算如何對保安進行背景調查，與否明確了其安全角色和職責？

2、請論述對GB/T22080中A。13.2。2的審核思路。答:（1)詢問有關負責人，查閱文獻3-5份，理解如何規(guī)定對信息安全事件進行總結的機制？該機制中與否明擬定義了信息安全事件的類型？該機制與否規(guī)定了量化和監(jiān)視信息安全事件類型、數量和代價的辦法和規(guī)定，并涉及成功的和未遂事件？（2)查閱監(jiān)視或統(tǒng)計3-15條，查閱總結報告文獻3—5份,理解與否針對信息安全事件進行測量，與否就類型、數量和代價進行了量化的總結,并涉及成功的和未遂事件。（3）查閱文獻和統(tǒng)計以及訪問有關負責人，核算根據監(jiān)視和量化總結的成果采用后續(xù)方法有效避免同類事件的再發(fā)生。ISO27001信息安全管理體系審核員培訓測試-一、下列對于信息安全管理體系的敘述，哪個個是不對的的？A。只規(guī)范公司高層與信息安全人員的行為；B。針對組織內部所使用的信息，實施全方面性的管理;C.為了妥善保護信息的機密性、完整性和可用性；D.減少信息安全事件的沖擊至可承受的范疇；E。分為PDCA（計劃—執(zhí)行—檢查—行動）四大部份，循環(huán)執(zhí)行，不停改善。

二、下列對于PDCA（計劃—執(zhí)行—檢查—行動）的敘述，哪個是對的的？A。其中的重點在于P（計劃）；B.根據PDCA的次序順利執(zhí)行完一次,即可確保信息安全；C.需根據管理層審查成果采用矯正與防止方法，以達成持續(xù)改善的目的；D。如果整體執(zhí)行過程中C（檢查)的過程過于繁復，可予以略過；E。以上皆非。

三、下列那個項目不屬于ISO27001認證原則所涵蓋的十一種管理要項？

A.信息安全政策;B。組織安全;C。人員安全；D.復雜性；E。訪問控制。

四、下列對于風險的敘述，哪個是對的的?

A.風險分析：針對無法改善的風險進行分析;B.風險管理：列出全部可能存在的風險清單；C。風險評定：把所預計的風險與已知的風險原則作比較,以決定風險的重要性；D。風險解決：為了將風險降為零風險所采用的行動；E.可接受風險：可接受進行改善的風險.

五、下列哪項符合信息安全管理體系有關“文獻統(tǒng)計控制”的規(guī)定？

A。文獻都必須電子化；B.信息安全管理體系所需的文獻僅需保護，但不必控制;C。全部文獻應根據信息安全管理體系的政策規(guī)定在需要時即可供被授權人取用；D.文獻紀錄必須全部由一人保管；E.為提供信息安全管理體系有效運作的證據所建立之紀錄不屬于管制范疇。

六、對于“信息安全管理體系”，下列哪些不屬于管理層的責任？

A.提供信息安全管理工作的必要資源；B.決定可接受風險的等級；C.定時舉辦有關教育訓練，增進員工信息安全的認知;D.為信息安全系統(tǒng)購置保險;E。建立一份信息安全政策。

七、下列針對信息安全系統(tǒng)審計的敘述，哪個是不對的的?

A。審計方案應予以事先規(guī)劃；B.目的在于確保信息安全管理體系的控制目的與控制方法與否有效地實施與維持；C.基于對業(yè)務的理解,應由各部門主管審計其所負責的業(yè)務;D。對于審計成果應有適宜的跟進方法；E。審計人員的遴選與審計的執(zhí)行，應確保審計過程的客觀性與公正性.

八、下列對于信息安全管理體系改善的敘述，哪個是不對的的？

A.改善的目的在于確認信息安全管理系統(tǒng)的有效性;B.為了避免不符合事項再度發(fā)生，應將該事項從信息安全管理體系中移除；C.包含矯正方法與防止方法;D.應在信息安全管理體系中制訂對應的文獻化程序;E.應決定有關方法，以消除將來不符合信息安全管理體系規(guī)定的事項.

九、下列對于“安全方針”的敘述,哪個是不對的的？

A.管理層應設定一種明確的政策方向，呈現對信息安全的支持與承諾；B。安全方針應以適宜方式向全部員工公布與宣導；C。安全方針應有專人根據規(guī)定的審核過程對其進行維護與審核；D。安全方針一經擬定即無法隨意修改;E.方針應闡明組織管理信息安全的辦法。

十、下列對于“信息安全組織”的敘述，哪個是不對的的?

A。其目的為在組織中管理信息安全；B.個別資產的保護責任及執(zhí)行特定安全程序的責任應明確劃分；C.應參考信息安全專家的建議；D.應減少與其它組織間的合作；E。需有獨立的信息安全審計。

十一、針對“第三方存取”與“外包作業(yè)"的敘述，哪個是對的的?

A。為了減少風險,應減少「第三方存取」與「外包作業(yè)」；B.第三方存取組織信息解決設施的風險應予評定,并實施適宜的安全控制方法；C。將信息解決責任外包時，信息安全的責任也隨之轉嫁;D.應限制外包單位不得使用組織的任何信息設備；E。由于已訂立外包合同，對于第三方存取組織的信息解決設施不必控制。

十二、下列對于“資產分類及控制”之敘述，哪個是不對的的？

A.全部重要的信息資產應由高級管理人員負責保管；B。應制作全部與每一信息系統(tǒng)有關重要資產的清冊并進行維護;C.應制訂一套與組織采用的分類方式相符的信息標記和解決流程；D。信息分類與有關保護控制方法應考慮公司共享或限制信息的需求；E.其目的在于維護組織資產并予以適宜的保護.

十三、下列對于“人力資源安全”的敘述，哪個是不對的的？

A.組織信息安全方針中規(guī)定的安全角色與職務應在工作職責中予以文獻化；B.組織內全部員工及有關第三方的顧客皆應接受適宜的信息安全教育訓練;C。目的在于確保員工的人身安全，避免發(fā)生意外；

D。正式員工、承包商及臨時工在申請工作時即應進行背景調查;E。員工應訂立保密合同，作為任用的首要條件和限制的一部分。

十四、員工察覺“安全及失效事件”發(fā)生時,應立刻采用何種行動？

A.分析事件發(fā)生的因素；B.盡快將事件掩蓋過去；C.修正信息安全目的;D。查閱信息安全有關文獻；E。遵照適宜的管理途徑盡快通報。

十五、下列對于“安全區(qū)域”的闡明，哪個是不對的的？A。其目的是避免營運場合及信息遭未經授權存取、損害與干擾；B.劃設為安全區(qū)域的場合已有適宜控管,可允許任何人進出；C。應設立安全區(qū)域，以提供特殊安全需求；D.在安全區(qū)域內工作時應采用額外的控制方法及指導，以強化該區(qū)域的安全性；E。裝卸區(qū)應予管制，若可能，應與信息解決設施隔離，避免遭未授權進入。

十六、下列對于“設備安全”的有關行為,哪個是不適宜的?

A.應保護設備減少來自環(huán)境的威脅及災害；B。保護設備不受電力故障及其它電力異常影響；C.保護傳送數據或支持信息服務的電源與通訊纜線，以避免竊聽或破壞；D.設備在報廢或再使用前將信息去除；E.設備一律嚴禁攜出組織外使用。

十七、下列何種行為不符合“通信和操作安全”的規(guī)定？

A.信息解決設施與系統(tǒng)的變更應予控制;B。職務與責任范疇應予辨別，以減少信息或服務遭未授權修改或誤用的機會；C。安全政策所規(guī)定的作業(yè)程序應制作文獻紀錄并進行維護；D.開發(fā)與測試工作可在正式生產設備上進行，以減少營運成本;E.使用外部設施管理服務前,應識別風險并制訂適宜的控制方法。

十八、下列對于“信息的交換"的敘述，哪個是不對的的?

A.組織間交換信息與軟件的行為應有合同或合約規(guī)范；B.應制訂電子郵件使用政策，嚴格執(zhí)行控管；C。使用網絡及時通訊軟件（如MSN）進行文獻傳送方便于實現傳送的方便性及隱密性；D.重要信息對外公開前應有正式授權程序,且該信息的完整性應予保護;E.運輸的儲存媒體應予保護，避免未經授權遭存取。

十九、下列對于“顧客訪問控制"的敘述，哪個是不對的的?

A.應制訂正式顧客注冊及注銷流程；B。特殊權限的分派與使用應受限制與控管;C.要確保信息系統(tǒng)的訪問權限被恰本地授權、配備及維護；D。為減少賬號個數,減少日常作業(yè)成本，可采多人共享一組賬號密碼的方式;E。管理層應定時執(zhí)行正式程序復核顧客訪問權限。

二十、下列行為哪個不符合“網絡訪問控制”的安全需求？

A。網絡應有控制方法，將信息服務、顧客及信息系統(tǒng)群組分離;B。顧客網絡聯(lián)機能力應僅限于共享網絡；C。組織應對其使用的全部網絡服務的安全特性提供一份清晰闡明的文獻；D。遠程使用者的存取應有身份鑒別；E。為便利顧客，應設立開放的網絡環(huán)境，以確保顧客可直接存取任何他所想使用的服務。

二一、對于“監(jiān)控系統(tǒng)”的存取與使用,下列哪個是對的的？

A.監(jiān)控系統(tǒng)所產生的統(tǒng)計可由顧客任意存取；B.計算機系統(tǒng)時鐘應予同時；C。只有當系統(tǒng)發(fā)生異常事件及其它安全有關事件時才需進行監(jiān)控；D。監(jiān)控系統(tǒng)投資額龐大，并會影響系統(tǒng)效能，因此能夠予以臨時省略;E.以上皆非.

二二、下列各項行為，哪個不能確?！皯孟到y(tǒng)的安全”?

A.輸入、輸出數據應進行確認;B。對于有保護消息內容完整性的安全規(guī)定的應用程序,應采用消息鑒別機制；C.要有適宜的審計統(tǒng)計或活動日志;D.系統(tǒng)內應有確認檢查機制,以檢測所解決數據的完整性;E。為加緊數據傳輸時的速度，減少系統(tǒng)反映時間，任何數據皆可使用明碼傳輸。

二三、下列哪項不是維護“開發(fā)和支持過程中的安全”的辦法？

A。應制止顧客修改軟件包，必要的修改應嚴格管制；B。應用系統(tǒng)若有變更，應進行適宜審核與測試;C。應采用正式變更管理程序以嚴格控制變更作業(yè)的實施；D。軟件應盡量采用自行開發(fā)避免外包或采購;E.軟件的采購應注意其與否內藏隱密通道及特洛依木馬程序。

二四、為確?！皹I(yè)務持續(xù)性管理”,下列哪些行為應當加以避免？

A.應分析多種災難、安全缺失和損失服務對業(yè)務所可能產生的后果；B。全組織持續(xù)營運方法的制訂與維護,有明確管理的過程；C。應等待公司營運過程發(fā)生中斷或失效時,再來制訂有關的方略計劃；D。應維持單一營運持續(xù)計劃的框架，以確保全部計劃皆一致；E.營運持續(xù)計劃應定時測試,并通過定時審查加以維護。

二五、下列對于信息安全管理體系中“符合性”的敘述,哪個是不對的的?

A。清晰識別全部與信息系統(tǒng)有關的法規(guī)；B.組織重要統(tǒng)計應予文獻化后進行保護；C。避免使用品有知識產權的專利軟件產品;D。要保護個人信息的數據與隱私；E.信息系統(tǒng)的管理要根據行政命令、法律規(guī)章或合同的安全規(guī)定。信息技術服務管理體系審核員練習—一．選擇題（請選出最佳答案，每小題2分，共20分）1.01修改SLA和支持文獻應屬于哪個流程的一部分:a）變更管理b）配備管理c）公布管理d）業(yè)務持續(xù)性和可用性管理e)以上都不是

1.02服務目錄不涉及下列哪個信息。服務名稱服務成本目的,如：安裝一種打印機的回應時間，恢復一種重大事故的時間等聯(lián)系點以上都是

1.03下列哪個不是IT服務管理的工具交互語音應答系統(tǒng)安全服務自學知識庫網絡管理工具包含配備管理項的excel表

1。04事件管理程序運行一段時間后，為反映事件升級新的途徑，事件經抱負對事件管理程序文獻進行修改，并得到IT服務管理委員會的同意，在這個過程中,審核員要優(yōu)先考慮下列哪方面的審核：能力、意識和培訓文獻控制事件管理流程的設計更改事件管理流程與其它流程的接口

1。05哪些內容應涉及在對員工進行的IT服務培訓中服務管理方針方略事故解決SLA

如何使用服務臺工具以上都是

1。06“在變更之前應評定控制方法變更的影響”是哪個流程中提到的.配備管理信息安全管理變更管理計劃和實施新的或變更的服務以上都不是

1.07認證一種組織的ITSMS是根據：ISO/IEC0—1：ISO/IEC0—2:ISO19011：以上都是以上都不是

1.08風險分析是指導和控制一種組織的風險的聯(lián)合行動選擇和實施測量機制以修改風險的處置決定。接受風險的決定系統(tǒng)化的使用信息以識別風險的來源并預計風險的大小以上都不是

1。09

根據ISO0—1的規(guī)定,下列那個活動需要一種文獻化的程序。管理評審管理責任改善IT服務管理體系糾正方法以上都不是

1。10貫徹資金、預算、角色、責任、文獻化和維護方針方略、計劃、程序和定義等是PDCA辦法的那個階段策劃實施檢查改善以上都是

二．簡答題（每個問題5分，共20分）

2。01列出最少5個實施IT服務管理體系對組織的好處（5分）

2。02列出最少五個盼望ISO0—1審核小組所含有的能力.(5分）

2。03舉出最少5個內部審核員在準備內審計劃時需要獲得的信息（5分)

2。04作為審核員，當你對防火墻方略變更進行審核時，應查找哪些客觀證據？

三．問答題

請在空白處,寫出下面兩個問題的具體答案,適宜時，寫出ISO0—1有關的條款.每個問題10分。

3.01清晰解釋被審核方于對內審所提出的不符合事項普通所采用的糾正方法的環(huán)節(jié)（由開始識別到不符合事項至關閉此不符合事項）。并鑒別各階段誰應負責(例：審核員或被審核方）

3。02審核員正在計劃給一種提供災備服務的組織進行ISO0—1內部審核，識別最少包含5個審核要項的檢查表來審核配備管理過程。

四．案例分析

下列是三個事件是在ITSMS內審審核時發(fā)現的，他們包含了可能產生不符合事項（需要書寫不符合事項的報告）的狀況,認真考慮每種狀況，然后采用下面的某個方法。如果你認為有足夠的不符合的客觀證據，應完畢一種不符合事項報告，并將不符合分類為重大(嚴重）不符合或輕微（普通）不符合如果你不認為有足夠的客觀證據提出一種不符合報告,你需要在報告下面的空白處陳說自己的理由,你必須同時陳說審核員下一步需要做什么。4。01事件1在對一種內部IT服務部門進行第三方審核時，發(fā)現不存在《持續(xù)性計劃》.經理對審核員解釋說,持續(xù)性管理是與可用性管理的流程寫在一起的，《可用性管理計劃》里已經描寫了在發(fā)生火災時的應對方法，在去年9月份作了測試和演習。

4.02事件2在審核一種數據解決中心時，檢查培訓統(tǒng)計時發(fā)現諸多的培訓已完畢，但是沒有發(fā)現出現針對服務管理的培訓課程完畢的證據，解決中心的經理解釋正式的培訓要延期到下一年。由于培訓的財務經費困難,一種系列的服務培訓已經通過網絡進行并且已經跟全部人討論過了。

4。03事件3在對一種IT服務機構的ISO0-1審核時，發(fā)現有一種有關服務質量的客戶投訴，該投訴已經由投訴經理解決，并作了統(tǒng)計.與投訴有關的一項技術問題的解決。轉給了問題管理流程，還沒有得到反饋;當審核員詢問問題管理經理這個問題的解決狀態(tài)時，問題經理回答，由于問題比較復雜，正在解決過程中,當審核員規(guī)定察看解決狀態(tài)的統(tǒng)計時，問題經理說，不需要統(tǒng)計，由于解決問題的幾位同事都很清晰現在的狀態(tài)。

信息技術服務管理體系審核員練習模擬題一、 選擇題（共30題，每小題2分,總60分)1) 下面哪句話最恰當描述了IT服務管理？

A。 經濟有效地管理IT服務的質量B。 根據ITIL最佳實踐進行IT基礎設施的管理工作C. 以流程的方式管理IT基礎設施。這種方式可讓IT組織能夠以專業(yè)的方式為客戶提供IT產品和服務D。 增進更多的人理解IT服務

2） IT服務管理是如何改善IT服務的質量的。A. 以正式的內部、外部客戶以及供應商的服務合同B. 定義服務級別普遍合用的原則C。 提高IT組織中全部員工的客戶關注程度D. 計劃、實施、管理一系列流程以提供IT服務

3） 硬件、系統(tǒng)和應用軟件以及數據通訊設施都是IT基礎架構（ITinfrastructure）的構成部分。下面哪些組件也能夠被視為IT基礎架構的一部分？1程序

2文檔

3人員A。 1和2B. 1和3C. 2和3D。 1，2和3

4） 事件管理流程能夠從哪份文檔獲得有關何時有必要將問題升級和將問題升級給誰等方面的信息？A。 服務改善計劃B。 服務目錄C. 組織構造圖D. 服務級別合同

5) 考慮下列說法:1。 SLA應當定義合同雙方的角色和職責2。 對SLA的實現狀況應當進行監(jiān)控,定時制作服務級別報告并報送有關人員3. 在SLA訂立之前應當對支撐合同進行評審A。 沒有一種是對的的B. 1和2是對的的C. 2和3是對的的D. 上述三個說法都是對的的

6） 在某個保險公司里，由于電力的中斷造成局域網和全部PC都宕機了。因此，該公司的業(yè)務受理系統(tǒng)和理賠系統(tǒng)都不能正常使用.一種小時后，電力中斷的故障被解決了，服務也恢復至電力中斷之前的狀態(tài).該事件對服務提供造成了哪種影響？A. 影響很小，由于在一種小時內客戶就被告知電話告知能夠繼續(xù)辦理業(yè)務了,并且客戶對這種狀況表達理解。B。 影響重大，由于該事件使得正常的服務提供不能實現。這對公司的形象造成了損害。C。 沒有影響，由于全部的數據都能夠先統(tǒng)計在紙質文檔上并能夠在電力恢復后在錄入系統(tǒng).D。 影響非常小,由于該事件是由電力故障而不是硬件或軟件錯誤引發(fā)的。

7) 下列哪一項是IT服務持續(xù)性管理流程的典型活動？A。 告知終端顧客有關系統(tǒng)故障方面的狀況B. 將后備方案（FallbackArrangement)文檔化C。 提供可用性方面的報告D. 確保配備項始終是最新的

8) 某鋼鐵公司被競爭對手兼并。IT部門以及兩個公司的IT基礎架構需要整合，IT基礎架構整合后運行應用程序所需要的磁盤空間將由下列哪項流程決定。A。 可用性管理B. 能力管理C。 計算機操作管理D。 公布管理

9） 有關IT服務持續(xù)性計劃,某個災難的嚴重程度取決于：A。 災難持續(xù)的天數B. 恢復災難可用的人員數量C。 災難的類型,如洪水、火災等D. 對客戶業(yè)務的影響

10） 因對信息系統(tǒng)的依賴逐步增強，某房地產公司規(guī)定確保系統(tǒng)運行發(fā)生中斷后仍可獲得IT服務.下面哪個流程可提供這樣的服務.A. 可用性管理B。 持續(xù)性管理C. 服務級別管理D。 服務管理

11） 下面哪些屬于可用性管理的首要職責？1。計劃在SLA中商定的IT服務的可用性并進行監(jiān)控2。就SLA中的可用性級別與客戶進行談判3.統(tǒng)計不可用事件的具體狀況4。提出變更以防止有損可用性的故障A。 1和2B. 3和4C。 全部的都對的D. 1和4

12） 可用性百分率的計算公式為：A. （宕機時間＊100）/商定服務時間B。 （商定服務時間＊100)/宕機時間C。 （（商定服務時間—宕機時間)*100)/商定服務時間D。 商定服務時間/(商定服務時間-宕機時間)

13) 某公司針對某項特定的IT服務沒有任何持續(xù)性計劃，下面哪個將是適宜的理由?A。 IT部門不含有開發(fā)持續(xù)性計劃的技巧和能力B. IT部門業(yè)務災難的風險是極少的C。 業(yè)務方的有關人員沒有時間參加開發(fā)持續(xù)性計劃D。 在進行業(yè)務影響評定之后所作出的管理決策

14） 概念不屬于IT服務的預算及核算管理？A. 預算編制B. 計費C. 采購D. 核算

15） 網絡部門與外部組織就提供內部服務方面達成合同，將在何處闡明此合同？A。 運行級別合同B。 服務級別合同C. 服務級別需求D. 支持合同

16） 下面有關IT服務的預算及核算管理表述中哪一項是不對的的？A。 IT服務財務經理需要負責確認和計量IT成本并為所提供的IT服務制訂價格B。 為了能夠建立IT服務預算和核算體系,應當先訂立SLA和OLAC. 只有當對客戶使用的服務進行計費時才有可能提高成本意識D。 IT服務的預算及核算管理必須在建立成本核算模型之前與客戶就收費問題達成合同

17) 哪個流程負責為需求中的IT服務的購置事宜制訂(長久)計劃?A. 可用性管理B. 能力管理C。 配備管理D. 服務級別管理

18) 保密性是安全管理流程要實現的目的之一。下列哪項對的地闡明了“保密性”這個術語的含義？A。 對數據的保護以避免未經授權的訪問和使用B. 隨時訪問數據的能力C。 驗證數據對的性的能力D. 數據的對的性

19) 你是某個IT組織中的服務臺人員.有一種顧客呼喊電話說它的某個終端設備不能使用了.請問這是一種?A。 事件B。 已知錯誤C. 問題D。 變更請求

20） 一種良好的事件管理流程將能夠：A. 確保錯誤的修改像解決緊急變更同樣進行解決B. 快速地診療事件發(fā)生的潛在因素C. 在事件發(fā)生后盡快地恢復正常的服務運作D. 以上三項都是

21) 下列哪項活動屬于事件管理的職責？A。 變更在基礎架構中的應用B. 檢測事件產生的因素C。 識別事件背后的潛在問題D. 事件的排除

22) 由于產品本身的問題，顧客現有的聲卡被一塊新的聲卡替代。為方便后來參考，需對這塊由另外一種制造廠商生產的新聲卡進行登記.請問這項工作應由哪個流程負責執(zhí)行?A. 變更管理B。 配備管理C。 事件管理D。 問題管理

23) “已知錯誤（KnownError）”與“問題”在ISO0中的不同之處體現在哪些方面？A。 造成已知錯誤的潛在因素是已知的，而造成問題的潛在因素是未知的B。 已知錯誤與IT基礎架構中出現的錯誤有關，而問題則與其無關C。 已知錯誤普通某個事件,而問題則不完全是這樣的D。 對問題而言，與其有關的配備項已經發(fā)現和確認，而與已知錯誤有關的配備項普通仍未發(fā)現

24) 下列哪項活動屬于主動問題管理？A. 解決變更請求（RFC）B. 進行趨勢分析，發(fā)現潛在的事件的問題C。 跟蹤全部的事件和服務中斷D。 盡量減少由于IT環(huán)境的變更而造成的服務中斷

25） 某公司財務管理數據只能提供應授權的顧客，安全管理采用方法來確保這點。這樣做能夠確保數據的哪個方面的安全性得到確保?A。 可用性B. 完整性C。 穩(wěn)定性D。 機密性

26） 一種顧客向服務臺埋怨說，當他使用某個應用系統(tǒng)的時候，有一種錯誤總是重復地出現，從而造成網絡連接的中斷。下面哪個流程負責檢測該錯誤產生的因素？A。 事件管理B. 網絡管理C. 問題管理D。 系統(tǒng)開發(fā)

27） 當某個軟件包的最新版本被安裝到某個臺式機時，它可能會影響其它軟件包。哪個流程負責檢查和判斷其它軟件包與否有必要測試或者重新安裝？A。 變更管理B。 IT服務持續(xù)性管理C. 問題管理D。 公布管理

28) 下列哪項變更必須經變更管理流程同意后才干實施？A。 顧客錄入數據到數據庫中B. 變化密碼C. 給系統(tǒng)增加一位新顧客D. 將打印機從二樓移到三樓

29） 配備管理數據庫(CMDB）中的哪個屬性有助于查明某個時刻的哪些配備項正在進行維護？A. 購置日期B。 負責人（Owner）C. 位置D. 狀態(tài)

30） 下列哪項是配備基線？A. 配備管理數據庫中的原則配備B. 原則配備項的描述C. 以交付的一系列配備項D. 有關一項產品或服務的“快照",以作為配備審計和變更回撤的基準

二、 簡樸題（共2題,每小題5分,總10分）1。 請闡明ITSM的定義。ITSM:是一套面對過程、以客戶為中心的規(guī)范的管理辦法，它通過集成IT服務和業(yè)務，協(xié)助公司提高其IT服務提供和支持能力。

2. 請描述在貴單位實施ISO0的意義。實施ISO0能提高公司整體效益就服務質量和服務承諾與業(yè)務及供貨商達成一致，建立和業(yè)務及供貨商統(tǒng)一的溝通平臺（服務臺)；達成有關利益方均滿意的IT服務管理目的;進一步提高IT服務的可用性、完整性和保密性，為業(yè)務顧客提供高質量的服務；能夠有持續(xù)性優(yōu)化服務流程，提高服務水平，提高業(yè)務滿意度；進一步提高項目的可提供性并確保如期交付；從總體上提高公司IT投資的酬勞率,提高公司的綜合競爭力；建立IT部門一整套行之有效的持續(xù)改善機制和內控機制；明確IT管理成本和公司業(yè)務戰(zhàn)略以及IT戰(zhàn)略目的的結合點,完善現有IT服務構造和資源配備,使各項IT資源的運用符合公司業(yè)務。實施ISO0戰(zhàn)略和IT戰(zhàn)略目的；通過建立優(yōu)化、透明的管理流程和權責的定義，監(jiān)控管理流程、進行績效評價;減少IT運行的管理成本和風險；將現有管理體系和業(yè)務流程整合，規(guī)范IT部門服務水平，規(guī)范工作流程，減少由人員變動造成的風險；提高IT部門有關員工的專業(yè)素質，提高員工的服務能力和工作效率；提高IT部門整體運作及各部門間溝通的能力。

三、 問答題（共3題，每小題10分,總30分)1.ISO0規(guī)定服務供應商編制服務報告，請問服務報告涉及哪些方面的內容。

服務目的以及服務目的針對的對象服務的內容總結服務內容分析服務的趨勢對后來的一種改善方法盼望規(guī)定

2.針對ISO0原則中所包含的13個控制流程，列出您的工作中涉及到的服務流程,并畫出其中一種服務流程的流程圖。2。ISO0規(guī)定服務提供商需要實施事件管理、問題管理、變更管理、公布管理、配備管理，請描述這五大流程的目的及它們之間的關系？目的:事件管理在最快的時間內將服務恢復到“正常狀態(tài)”問題管理查找事件或問題產生的根本因素，并徹底解決，以防再次發(fā)生變更管理控制需要變更的信息并得以解決公布管理計劃和協(xié)調軟硬件組件的公布以及進行實際的運行操作配備管理更加好的管理IT資產的配備組件并提供有效精確的信息T服務管理培訓考試答題卷IT服務管理培訓考試答題卷一．

選擇題1Ｂ6Ａ11Ｄ16Ｂ21Ｂ26Ｃ2Ｂ7Ａ12Ｃ17Ｂ22Ｄ27Ｄ3Ａ8Ｂ13Ｄ18Ａ23Ａ28Ｄ4Ａ9Ｄ14Ｃ19Ａ24Ｂ29Ｄ5C10Ｂ15Ｂ20Ｃ25Ｄ30Ｄ二． 簡答題１．請闡明ITSM的定義。ITSM:是一套面對過程、以客戶為中心的規(guī)范的管理辦法，它通過集成IT服務和業(yè)務，協(xié)助公司提高其IT服務提供和支持能力。

２．請描述在貴單位實施ISO0的意義。實施ISO0能提高公司整體效益就服務質量和服務承諾與業(yè)務及供貨商達成一致，建立和業(yè)務及供貨商統(tǒng)一的溝通平臺(服務臺)；達成有關利益方均滿意的IT服務管理目的；進一步提高IT服務的可用性、完整性和保密性，為業(yè)務顧客提供高質量的服務；能夠有持續(xù)性優(yōu)化服務流程，提高服務水平，提高業(yè)務滿意度;進一步提高項目的可提供性并確保如期交付；從總體上提高公司IT投資的酬勞率，提高公司的綜合競爭力;建立IT部門一整套行之有效的持續(xù)改善機制和內控機制;明確IT管理成本和公司業(yè)務戰(zhàn)略以及IT戰(zhàn)略目的的結合點，完善現有IT服務構造和資源配備，使各項IT資源的運用符合公司業(yè)務。實施ISO0戰(zhàn)略和IT戰(zhàn)略目的；通過建立優(yōu)化、透明的管理流程和權責的定義，監(jiān)控管理流程、進行績效評價;減少IT運行的管理成本和風險;將現有管理體系和業(yè)務流程整合,規(guī)范IT部門服務水平，規(guī)范工作流程，減少由人員變動造成的風險；提高IT部門有關員工的專業(yè)素質，提高員工的服務能力和工作效率；提高IT部門整體運作及各部門間溝通的能力。

三． 問答題1.ISO0規(guī)定服務供應商編制服務報告，請問服務報告涉及哪些方面的內容？

服務目的以及服務目的針對的對象服務的內容總結服務內容分析服務的趨勢對后來的一種改善方法盼望規(guī)定

2.ISO0規(guī)定服務提供商需要實施事件管理、問題管理、變更管理、公布管理、配備管理，請描述這五大流程的目的及它們之間的關系?目的:事件管理在最快的時間內將服務恢復到“正常狀態(tài)”問題管理查找事件或問題產生的根本因素,并徹底解決，以防再次發(fā)生變更管理控制需要變更的信息并得以解決公布管理計劃和協(xié)調軟硬件組件的公布以及進行實際的運行操作配備管理更加好的管理IT資產的配備組件并提供有效精確的信息

信息安全管理培訓考核試題

一、選擇題1。下列哪個是信息安全管理原則?A.ISO15408B.ISO14000C。ISO9000D.ISO27001/ISO17799

2.下列哪個原則涉及風險評定規(guī)定？A。ISO27001/ISO17799B。ISO14000C。ISO9000D.ISO15408

3。ISO17799：增加了下列那部分內容?A。資產管理B.信息安全事件管理C。人力資源安全D.信息系統(tǒng)得獲取、開發(fā)和維護

4.下列有關信息安全資產的答案哪個是對的的？A。人員是資產B.公司形象是資產C。數據是資產D.A、B、C都是

5.殘存風險是風險解決后殘留的風險,我們不需要對其進行監(jiān)控.這種說法是？A.對的的B.錯誤的

6。

為了工作方便和工作效率，在內審時內審員能夠審核自己的工作，這種做法是？A.錯誤的B.對的的

7。在方略生命周期中，下列哪個是對的的：(

)A.需求分析、制訂、公布、推行、審核、廢除B.制訂、公布、推行、審核、修訂、廢除C。需求分析、制訂、公布、推行、審核、修訂D.需求分析、制訂、公布、推行、審核、修訂、廢除

8。與信息資產有關的弱點或安全隱患對資產構成威脅，這種說法是？A。錯誤的B.對的的

9。風險評定重要涉及下列哪幾個方面的評定?A.資產、威脅、弱點B。資產及價值、威脅、弱點、已有控制方法C.資產及價值、威脅、弱點D.資產、威脅、弱點、已有控制方法

10．在BS779-2：中，下列對P—D—C—A過程的描述錯誤的是？A.P代表PLAN,即建立ISMS環(huán)境＆風險評定B.D代表DO，即實現并運行ISMSC.C代表CHECK，即監(jiān)控和審查ISMSD。A代表ACT，即執(zhí)行ISMS

11．ISO/IEC17799源于下列哪個原則？A。BS7799—1B.BS7799-2C。BS7799—3D。GB7799

12．ISMS指的是什么?A。信息安全管理B.信息系統(tǒng)管理體系C.信息系統(tǒng)管理安全D。信息安全管理體系

13．下列哪個不屬于信息安全的三要素之一？A.機密性

B。完整性C.抗抵賴性D.可用性

14．ISMS文檔體系中第一層文獻是？A.信息安全方針政策B.信息安全工作程序

C。信息安全作業(yè)指導書D。信息安全工作統(tǒng)計

15．在信息系統(tǒng)安全中,資產所含有的風險由下列哪兩種因素共同構成的？A．攻擊和脆弱性B．威脅和攻擊C．威脅和脆弱性D．威脅和破壞

序號答案序號答案序號答案序號答案序號答案1D2A3B4D5B6A7D8A9B10D11A12D13C14A15C

二、簡答題1、

ISO/IEC17799的十一種管理要項（十一種范疇）是什么?2、

請簡要描述信息安全風險的有關要素？

二、簡答題1、ISO/IEC17799的十一種管理要項（十一種范疇)是什么？

安全方針信息安全組織資產管理人力資源安全物理與環(huán)境安全通信和運作管理訪問控制信息系統(tǒng)的獲取、開發(fā)與維護信息安全事件管理業(yè)務持續(xù)性管理符合

2、請簡要描述信息安全風險的有關要素？資產：是任何對組織有價值的東西威脅：可能造成信息安全事故和組織信息資產損失的活動，威脅是運用脆弱性來造成后果脆弱性：與信息資產有關的弱點或安全隱患,脆弱性本身并不對資產構成危害，但是在一定條件得到滿足時，脆弱性會被威脅加以運用來對信息資產造成危害。安全方法：能夠減少威脅運用脆弱性造成安全事件發(fā)生的可能性。安全風險：是指一種特定的威脅運用一種或一組脆弱性造成組織的資產損失或損害的可能性.信息安全管理練習題判斷題:1.信息安全保障階段中,安全方略是核心，對事先保護、事發(fā)檢測和響應、事后恢復起到了統(tǒng)一指導作用。（×)注釋：在統(tǒng)一安全方略的指導下，安全事件的事先防止（保護），事發(fā)解決（檢測Detection和響應Reaction）、事后恢復（恢復Restoration）四個重要環(huán)節(jié)互相配合，構成一種完整的保障體系，在這里安全方略只是指導作用，而非核心。2。一旦發(fā)現計算機違法犯罪案件，信息系統(tǒng)全部者應當在2天內快速向本地公安機關報案，并配合公安機關的取證和調查.(×）注釋：應在24小時內報案3.我國刑法中有關計算機犯罪的規(guī)定，定義了3種新的犯罪類型（×）注釋:共3種計算機犯罪，但只有2種新的犯罪類型。

單選題：1。信息安全經歷了三個發(fā)展階段,下列(B

）不屬于這三個發(fā)展階段。A.通信保密階段B.加密機階段C.信息安全階段D.安全保障階段2。信息安全階段將研究領域擴展到三個基本屬性，下列（C)不屬于這三個基本屬性.A。保密性B.完整性C.不可否認性D。可用性3.下面所列的（A)安全機制不屬于信息安全保障體系中的事先保護環(huán)節(jié)。A。殺毒軟件B。數字證書認證C。防火墻D.數據庫加密4.《信息安全國家學說》是（C）的信息安全基本大綱性文獻。A.法國B。美國C。俄羅斯D。英國注：美國在公布了《確保網絡空間安全的國家戰(zhàn)略》.5。信息安全領域內最核心和最單薄的環(huán)節(jié)是（D).A。技術B。方略C.管理制度D.人6.信息安全管理領域權威的原則是（B）。A.ISO15408

B。ISO17799/ISO27001(英）

C.ISO9001

D。ISO140017.《計算機信息系