ISO27001-2013 信息安全管理體系培訓(xùn)考試

ISO27001-2013信息安全管理體系培訓(xùn)考試一、選擇題1、依據(jù)GB/T22080/ISO/IEC27001，制定信息安全管理體系方針，應(yīng)予以考慮的輸入是（A）業(yè)務(wù)戰(zhàn)略（B）法律法規(guī)要求（C）合同要求（D）以上全部(正確答案)2、風(fēng)險(xiǎn)評(píng)估過(guò)程一般應(yīng)包括（A）風(fēng)險(xiǎn)識(shí)別（B）風(fēng)險(xiǎn)分析（C）風(fēng)險(xiǎn)評(píng)價(jià)（D）以上都是(正確答案)3、依據(jù)GB/T22080/ISO/IEC27001，以下符合責(zé)任分割原則的是：（A）某數(shù)據(jù)中心機(jī)房運(yùn)維工程師權(quán)某負(fù)責(zé)制定機(jī)房訪問(wèn)控制策略，為方便巡檢，登錄門禁系統(tǒng)為自己配置了各個(gè)機(jī)房的不限時(shí)門禁權(quán)限。（B）某公司由信息安全官（CIO）負(fù)責(zé)制定訪問(wèn)控制策略，為信息系統(tǒng)管理員的登錄權(quán)限授權(quán)時(shí)，由另外5位副總到場(chǎng)分別輸入自己的口令然后完成授權(quán)。(正確答案)（C）某公司制定了訪問(wèn)權(quán)限列表，信息系統(tǒng)權(quán)限分配為：董事長(zhǎng)擁有全部權(quán)限，其次為副總，再其次為主管經(jīng)理，依次類推，運(yùn)維工程師因職務(wù)最低，故擁有最少權(quán)限。（D）以上均符合責(zé)任分割原則。4、目前在用的中華人民共和國(guó)保守國(guó)家秘密法是在正式實(shí)施的。（A）1951年6月1日（B）1989年5月1日（C）1993年2月22日（D）2010年10月1日(正確答案)5、資產(chǎn)是指對(duì)組織有的任何東西（A）價(jià)值(正確答案)（B）使用價(jià)值（C）有形價(jià)值（D）無(wú)形價(jià)值6、依據(jù)GB/T22080/ISO/IEC27001，建立資產(chǎn)清單即：（A）列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，明確其對(duì)組織業(yè)務(wù)的關(guān)鍵性。（B）完整采用組織的固定資產(chǎn)臺(tái)賬，同時(shí)指定資產(chǎn)責(zé)任人。（C）資產(chǎn)價(jià)格越高，往往意味著功能越全，因此資產(chǎn)重要性等級(jí)就越高。（D）A+B(正確答案)7、以下不正確說(shuō)法是：（A）保留含有敏感信息的介質(zhì)的處置記錄（B）將大量含有信息的介質(zhì)匯集在一起時(shí)提高其集體敏感性等級(jí)。（C）將所有的已用過(guò)一遍的復(fù)印紙分配各部門復(fù)用以符合組織的節(jié)能策略。(正確答案)（D）根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果將轉(zhuǎn)移更換下列的磁盤交第三方進(jìn)行處置。8、信息安全管理實(shí)用規(guī)則GB/T22081-2016屬于標(biāo)準(zhǔn)（A）術(shù)語(yǔ)類（B）要求類（C）指南類(正確答案)（D）相關(guān)類9、信息安全是保證信息的保密性、完整性、（A）充分性（B）適宜性（C）可用性(正確答案)（D）有效性10、建立ISMS體系的目的，是為了充分保護(hù)信息資產(chǎn)并基于信心。（A）相關(guān)方(正確答案)（B）供應(yīng)商（C）顧客（D）上級(jí)機(jī)關(guān)11、依據(jù)GB/T22080/ISO/IEC27001，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問(wèn)控制策略，以下正確的說(shuō)法是：（A）沒有描述為禁止訪問(wèn)的網(wǎng)絡(luò)服務(wù)，應(yīng)為允許訪問(wèn)的網(wǎng)絡(luò)服務(wù)（B）對(duì)于允許訪問(wèn)的網(wǎng)絡(luò)服務(wù)，默認(rèn)可通過(guò)無(wú)線、VPN等多種手段連接（C）對(duì)于允許訪問(wèn)的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機(jī)制進(jìn)行授權(quán)(正確答案)（D）以上都對(duì)12、信息安全的重要性體現(xiàn)在以下方面（A）信息安全是國(guó)家安全的需要（B）信息安全是組織持續(xù)發(fā)展的需要（C）信息安全是保護(hù)個(gè)人隱私與財(cái)產(chǎn)的需要（D）A+B+C(正確答案)13、在工作當(dāng)中，“上傳下載”的應(yīng)用存在的風(fēng)險(xiǎn)包括（A）病毒木馬傳播（B）身份偽造（C）機(jī)密泄露（D）A+B+C(正確答案)14、客戶端安全的必要措施包括（A）安全密碼（B）安全補(bǔ)丁更新、防病毒（C）個(gè)人防火墻、應(yīng)用程序使用安全（D）A+B+C(正確答案)15、信息安全管理現(xiàn)狀已有的措施包括（A）兼職的安全管理員（B）物理安全保護(hù)（C）機(jī)房安全管理制度（D）A+B+C(正確答案)二、判斷題：每題3分共30分1、電子商務(wù)應(yīng)用不可能存在賬號(hào)失竊的問(wèn)題。對(duì)錯(cuò)(正確答案)2、為了信息安全，在使用密碼時(shí)建議使用大寫字母、小寫字母、數(shù)字、特殊符號(hào)組成的密碼。對(duì)(正確答案)錯(cuò)3、員工缺乏基本的安全意識(shí)，缺乏統(tǒng)一規(guī)范的安全教育培訓(xùn)是信息安全管理現(xiàn)狀存在的問(wèn)題之一。對(duì)(正確答案)錯(cuò)4、超過(guò)70%的信息安全事件，如果事先加強(qiáng)管理，都可以得到避免。對(duì)(正確答案)錯(cuò)5、由于許多信息系統(tǒng)并非在設(shè)計(jì)時(shí)充分考慮了安全，依靠技術(shù)手段實(shí)現(xiàn)安全很有限，必須依靠必要的管理手段來(lái)支持。對(duì)(正確答案)錯(cuò)6、企業(yè)需要建造一個(gè)全面、均衡的測(cè)量體系，用于評(píng)估信息安全管理的效用以及改進(jìn)反饋建議。對(duì)(正確答案)錯(cuò)7、通過(guò)合理的組織體系、規(guī)章制度和控管措施，把具有信息安全保障功能的軟硬件設(shè)施和管理以及使用信息的人整合在一起，以此確保整個(gè)組織達(dá)到預(yù)定程度的信息安全，稱為信息安全管理。對(duì)錯(cuò)(正確答案)8、審核類型將由審核員和被審核組織的關(guān)系來(lái)確定，因此內(nèi)部審核又稱為第一方審核。對(duì)(正確答案)錯(cuò)9、組織通過(guò)信息安全管理體系認(rèn)證則表明體系具備保護(hù)組織信息資產(chǎn)的能力對(duì)(正確答案)錯(cuò)10、因信息安全問(wèn)題在任何組織中都可能存在，所以組織在實(shí)施ISMS時(shí)，不能刪減標(biāo)準(zhǔn)中任何安全控制措施的條款。對(duì)錯(cuò)(正確答案)三、案例分析，請(qǐng)判斷以下說(shuō)法是否正確，若不正確，違反了哪個(gè)條款，并簡(jiǎn)述理由（25分，每1題8-9分）1、查某公司設(shè)備資產(chǎn)，負(fù)責(zé)人說(shuō)臺(tái)式機(jī)放在辦公室，辦公室做了來(lái)自環(huán)境的威脅的預(yù)防；筆記本經(jīng)常帶入帶出，有時(shí)在家工作，領(lǐng)導(dǎo)同意了，在家也沒什么不安全的。(答案：答:A.11.2.6組織場(chǎng)所外的設(shè)備安全以應(yīng)對(duì)組織場(chǎng)所的設(shè)備采取安全措施,要考慮工作在組織場(chǎng)所外的不同風(fēng)險(xiǎn)。)2、某公司操作系統(tǒng)升級(jí)都直接設(shè)置為系統(tǒng)自動(dòng)升級(jí)，沒出過(guò)什么事，因?yàn)橘I的都是正版。(答案：答:A14.2.2操作系統(tǒng)變更控制規(guī)程當(dāng)操作系統(tǒng)發(fā)生變更時(shí),應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評(píng)