注冊信息安全專業(yè)人員考試信息安全管理

注冊信息安全專業(yè)人員考試信息安全管理1、小陳學習了有關信息安全管理體系的內容后，認為組織建立信息安全管理體系并持續(xù)運行，比起簡單地實施信息安全管理，有更大的作用，他總結了四個方面的作用，其中總結錯誤的是（）A、可以建立起文檔化的信息安全管理規(guī)范，實現(xiàn)有“法”可依，有章可循，有據(jù)可查B、可以強化員工的信息安全意識，建立良好的安全作業(yè)習慣，培育組織的信息安全企業(yè)文化C、可以增強客戶、業(yè)務伙伴、投資人對該組織保障其業(yè)務平臺和數(shù)據(jù)信息的安全信心D、可以深化信息安全管理，提高安全防護效果，使組織通過國際標準化組織的ISO9001認證(正確答案)2、若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求，其信息安全控制措施通常需要在人力資源安全方面實施常規(guī)控制，人力資源安全劃分為3個控制階段，不包括哪一項（）A、任用之前B、任用中C、任用終止或變化D、任用后(正確答案)3、若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標準要求。其信息安全控制措施通常需要在物理和環(huán)境安全方面實施常規(guī)控制。物理和環(huán)境安全領域包括安全區(qū)域和設備安全兩個控制目標。安全區(qū)域的控制目標是防止對組織場所和信息的未授權物理訪問、損壞和干擾。關鍵或敏感的信息及信息處理設施應放在安全區(qū)域內并受到相應保護。該目標可以通過以下控制措施來實現(xiàn)，不包括哪一項（）A、物理安全邊界、物理入口控制B、辦公室、房間和設施的安全保護。外部和環(huán)境威脅的安全防護C、在安全區(qū)域工作。公共訪問、交接區(qū)安全D、人力資源安全(正確答案)4、關于信息安全管理體系的作用，下面理解錯誤的是（）A、對內而言，有助于建立起文檔化的信息安全管理規(guī)范，實現(xiàn)有“法”可依，有據(jù)可查B、對內而言，是一個光花錢不掙錢的事情，需要組織通過其他方法收入來彌補投入(正確答案)C、對外而言，有助于使各科室相關方對組織充滿信心D、對外而言，規(guī)范工作流程要求，幫助界定雙方各自信息安全責任5、ISO27002（Informationtechnology-SecuritytechniquesCodeofpracticeforinformationsecuritymanagement）是重要的信息安全管理標準之一，下圖是關于其演進變化示意圖，圖中括號空白處應填寫（）

A、BS7799.1.3B、ISO17799(正確答案)C、AS/NZS4630D、NISTSP800-376、我國標準《信息安全風險管理指南》（GB/Z24364）給出了信息安全風險管理的內容和過程，可以用下圖來表示。圖中空白處應該填寫（）

A、風險計算B、風險評價C、風險預測D、風險處理(正確答案)7、關于信息安全管理，下面理解片面的是（）A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實現(xiàn)其業(yè)務目標的重要保障B、信息安全管理是一個不斷演進、循環(huán)發(fā)展的動態(tài)過程，不是一成不變的C、在信息安全建設中，技術是基礎，管理是拔高，有效的管理依賴于良好的技術基礎(正確答案)D、堅持管理與技術并重的原則，是我國加強信息安全保障工作的主要原則之一8、小李去參加單位組織的信息安全培訓后，他把自己對管理信息管理體系ISMS的理解畫了一張圖，但是他還存在一個空白處未填寫，請幫他選擇一個合適的選項（）

A、監(jiān)控和反饋ISMSB、批準和監(jiān)督ISMSC、監(jiān)視和評審ISMS(正確答案)D、溝通和咨詢ISMS9、在戴明環(huán)(PDCA)模型中，處置(ACT)環(huán)節(jié)的信息安全管理活動是（）A、建立環(huán)境B、實施風險處理計劃C、持續(xù)的監(jiān)視與評審風險D、持續(xù)改進信息安全管理過程(正確答案)10、在信息系統(tǒng)設計階段，“安全產品選擇”處于風險管理過程的哪個階段?（）A、背景建立B、風險評估C、風險處理(正確答案)D、批準監(jiān)督11、以下關于“最小特權”安全管理原則理解正確的是：（）A、組織機構內的敏感崗位不能由一個人長期負責B、對重要的工作進行分解，分配給不同人員完成C、一個人有且僅有其執(zhí)行崗位所足夠的許可和權限(正確答案)D、防止員工由一個崗位變動到另一個崗位，累積越來越多的權限12、關于信息安全管理，說法錯誤的是（）A、信息安全管理是管理者為實現(xiàn)信息安全目標(信息資產的CIA等特性，以及業(yè)務運作的持續(xù))而進行的計劃、組織、指揮、協(xié)調和控制的一系列活動。B、信息安全管理是一個多層面、多因素的過程，依賴于建立信息安全組織、明確信息安全角色及職責、制定信息安全方針策略標準規(guī)范、建立有效的監(jiān)督審計機制等多方面非技術性的努力。C、實現(xiàn)信息安全，技術和產品是基礎，管理是關鍵。D、信息安全管理是人員、技術、操作三者緊密結合的系統(tǒng)工程，是一個靜態(tài)過程。(正確答案)13、文檔體系建設是信息安全管理體系(ISMS)建設的直接體現(xiàn)，下列說法不正確的是（）A、組織內的信息安全方針文件、信息安全規(guī)章制度文件、信息安全相關操作規(guī)范文件等文檔是組織的工作標準，也是ISMS審核的依據(jù)B、組織內的業(yè)務系統(tǒng)日志文件、風險評估報告等文檔是對上一級文件的執(zhí)行和記錄，對這些記錄不需要保護和控制(正確答案)C、組織在每份文件的首頁，加上文件修訂跟蹤表，以顯示每一版本的版本號、發(fā)布日期、編寫人、審批人、主要修訂等內容D、層次化的文檔是ISMS建設的直接體現(xiàn)，文檔體系應當依據(jù)風險評估的結果建立14、關于信息安全管理體系（InformationSecurityManagementSystems,ISMS）,下面描述錯誤的是（）A、信息安全管理體系是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系，包括組織架構、方針、活動、職責及相關實踐要素(正確答案)B、管理體系（ManagementSystems）是為達到組織目標的策略、程序、指南和相關資源的框架，信息安全管理體系是管理體系思想和方法在信息安全領域的應用C、概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照ISO27001標準定義的管理體系，它是一個組織整體管理體系的組成部分D、同其他管理體系一樣，信息安全管理體系也要建立信息安全管理組織機構，健全信息安全管理制度、構建信息安全技術防護體系和加強人員的安全意識等內容15、以下哪一項是數(shù)據(jù)完整性得到保護的例子?（）A、某網(wǎng)站在訪問量突然增加時對用戶連接數(shù)量進行了限制，保證已登錄的用戶可以完成操作B、在提款過程中ATM終端發(fā)生故障，銀行業(yè)務系統(tǒng)及時對該用戶的賬戶余額進行了沖正操作(正確答案)C、某網(wǎng)管系統(tǒng)具有嚴格的審計功能，可以確定哪個管理員在何時對核心交換機進行了什么操作D、李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無法查看16、風險管理的監(jiān)控與審查不包含（）A、過程質量管理B、成本效益管理C、跟蹤系統(tǒng)自身或所處環(huán)境的變化D、協(xié)調內外部組織機構風險管理活動(正確答案)17、下面哪一項安全控制措施不是用來檢測未經授權的信息處理活動的（）A、設置網(wǎng)絡連接時限(正確答案)B、記錄并分析系統(tǒng)錯誤日志C、記錄并分析用戶和管理員操作日志D、啟用時鐘同步18、以下哪一項不是信息安全管理工作必須遵循的原則?（）A、風險管理在系統(tǒng)開發(fā)之初就應該予以充分考慮，并要貫穿于整個系統(tǒng)開發(fā)過程之中B、風險管理活動應成為系統(tǒng)開發(fā)、運行、維護、直至廢棄的整個生命周期內的持續(xù)性工作C、由于在系統(tǒng)投入使用后部署和應用風險控制措施針對性會更強，實施成本會相對較低(正確答案)D、在系統(tǒng)正式運行后，應注重殘余風險的管理，以提高快速反應能力19、以下哪些是需要在信息安全策略中進行描述的（）A、組織信息系統(tǒng)安全架構B、信息安全工作的基本原則(正確答案)C、組織信息安全技術參數(shù)D、組織信息安全實施手段20、下面的角色對應的信息安全職責不合理的是（）A、高級管理層——最終責任B、信息安全部門主管——提供各種信息安全工作必須的資源(正確答案)C、系統(tǒng)的普通使用者——遵守日常操作規(guī)范D、審計人員——檢查安全策略是否被遵從21、以下哪一項在防止數(shù)據(jù)介質被濫用時是不推薦使用的方法（）A、禁用主機的CD驅動、USB接口等I/O設備B、對不再使用的硬盤進行嚴格的數(shù)據(jù)清除C、將不再使用的紙質文件用碎紙機粉碎D、用快速格式化刪除存儲介質中的保密文件(正確答案)22、為了保證系統(tǒng)日志可靠有效，以下哪一項不是日志必需具備的特征。（）A、統(tǒng)一而精確地的時間B、全面覆蓋系統(tǒng)資產C、包括訪問源、訪問目標和訪問活動等重要信息D、可以讓系統(tǒng)的所有用戶方便的讀取(正確答案)23、層次化的文檔是信息安全管理體系《informationSecurityManagementSystem,ISMS》建設的直接體系，也ISMS建設的成果之一，通常將ISMS的文檔結構規(guī)劃為4層金字塔結構，那么，以下選項應放入到一級文件中.（）A、《風險評估報告》B、《人力資源安全管理規(guī)定》C、《ISMS內部審核計劃》D、《單位信息安全方針》(正確答案)24、信息安全管理體系（InformationSecurityManagementSystem,ISMS）的實施和運行ISMS階段，是ISMS過程模型的實施階段（Do），下面給出了一些備選的活動①制定風險處理計劃②實施風險處理計劃③開發(fā)有效性測量程序④實施培訓和意識教育計劃⑤管理ISMS的運行⑥管理ISMS的資源⑦執(zhí)行檢測事態(tài)和響應事件的程序⑧實施內部審核⑨實施風險再評估，選項哪一個描述了在此階段組織應進行的活動。（）A、①②③④⑤⑥B、①②③④⑤⑥⑦(正確答案)C、①②③④⑤⑥⑦⑧D、①②③④⑤⑥⑦⑧⑨25、金女士經常通過計算機在互聯(lián)網(wǎng)上購物，從安全角度看，下面哪項是不好的習慣（）A、使用專用上網(wǎng)購物用計算機，安裝好軟件后不要對該計算機上的系統(tǒng)軟件、應用軟件進行升級(正確答案)B、為計算機安裝具有良好聲譽的安全防護軟件，包括病毒查殺，安全檢查和安全加固方面的軟件C、在IE的配置中，設置只能下載和安裝經過簽名的，安全的ActiveX控件D、在使用網(wǎng)絡瀏覽器時，設置不在計算機中保留網(wǎng)絡歷史紀錄和表單數(shù)據(jù)26、某銀行信息系統(tǒng)為了滿足業(yè)務的需要準備進行升級改造，以下哪一項不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素（）A、信息系統(tǒng)安全必須遵循的相關法律法規(guī)，國家以及金融行業(yè)安全標準B、信息系統(tǒng)所承載該銀行業(yè)務正常運行的安全需求C、消除或降低該銀行信息系統(tǒng)面臨的所有安全風險(正確答案)D、該銀行整體安全策略27、某單位發(fā)生的管理員小張在繁忙的工作中接到了一個電話，來電者：小張嗎？我是科技處的李強，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收割郵件，麻煩你先幫我把密碼改成１２３，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求，隨后，李強發(fā)現(xiàn)郵箱系統(tǒng)登陸異常，請問下列說法哪個是正確的（）A、小張服務態(tài)度不好，如果把李強的郵件收下來親自交給李強就不會發(fā)生這個問題B、事件屬于服務器故障，是偶然事件，應向單位領導申請購買新的服務器C、單位缺乏良好的密碼修改操作流程或小張沒按照操作流程工作(正確答案)D、事件屬于郵件系統(tǒng)故障，是偶然事件，應向單位領導申請郵件服務軟件28、小明是某大學計算科學與技術專業(yè)的畢業(yè)生，大四上學期開始找工作，期望謀求一份技術管理的職位，一次面試中，某公司的技術經理讓小王談一談信息安全風險管理中的背景建立的幾個概念與認識，小明的主要觀點包括（1）背景建立的目的是為了明確信息安全風險管理的范圍和對象，以及對象的特性和安全要求，完成信息安全風險管理項目的規(guī)劃和準備；（2）背景建立根據(jù)組織機構相關的行業(yè)經驗執(zhí)行，雄厚的經驗有助于達到事半功倍的效果；（3）背景建立包括：風險管理準備、信息系統(tǒng)調查、信息系統(tǒng)分析和信息安全分析；（4）背景建立的階段性成果包括：風險管理計劃書、信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報告、信息系統(tǒng)的安全要求報告。請問小明的論點中錯誤的是哪項（）A、第一個觀點B、第二個觀點(正確答案)C、第三個觀點D、第四個觀點29、在信息安全管理的實施過程中，管理者的作用于信息安全管理體系能否成功實施非常重要，但是一下選項中不屬于管理者應有職責的是（）A、制定并頒發(fā)信息安全方針，為組織的信息安全管理體系建設指明方向并提供總體綱領，明確總體要求B、確保組織的信息安全管理體系目標和相應的計劃得以制定，目標應明確、可度量，計劃應具體、可事實C、向組織傳達滿足信息安全的重要性，傳達滿足信息安全要求、達成信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性D、建立健全信息安全制度，明確安全風險管理作用，實施信息安全風險評過過程、確保信息安全風險評估技術選擇合理、計算正確(正確答案)30、信息安全管理體系（InformationSecurityManagementSystem,ISMS）的內部審核和管理審核是兩項重要的管理活動，關于這兩者，下面描述的錯誤是（）A、內部審核和管理評審都很重要，都是促進ISMS持續(xù)改進的重要動力，也都應當按照一定的周期實施B、內部審核的實施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實施方式多采用召開管理評審會議形式進行C、內部審核的實施主體組織內部的ISMS內審小組，而管理評審的實施主體是由國家政策指定的第三方技術服務機構(正確答案)D、組織的信息安全方針、信息安全目標和有關ISMS文件等，在內部審核中作為審核標準使用，但在管理評審總，這些文件時被審對象31、關于信息安全管理體系，國際上有標準（ISO/IEC27001:2013）而我國發(fā)布了《信息技術安全技術信息安全管理體系要求》(GB/T22080-2008）請問，這兩個標準的關系是（）A、IDT(等同采用)，此國家標準等同于該國際標準，僅有或沒有編輯性修改(正確答案)B、EQV(等效采用)，此國家標準不等效于該國際標準C、NEQ(非等效采用)，此國家標準不等效于該國際標準D、沒有采用與否的關系，兩者之間版本不同，不應該直接比較32、ISO/IEC27001《信息技術安全技術信息安全管理體系要求》的內容是基于。（）A、BS7799-1《信息安全實施細則》B、BS7799-2《信息安全管理體系規(guī)范》(正確答案)C、信息技術安全評估準則(簡稱ITSEC)D、信息技術安全評估通用標準(簡稱CC)33、信息安全風險管理過程的模型如圖所示。按照流程，請問，信息安全風險管理包括六個方面的內容。是信息安全風險管理的四個基本步驟，則貫穿于這四個基本步驟中（）A、背景建立、風險評估、風險外理、批準監(jiān)督、監(jiān)控審查和溝通咨詢；背景建立、風險評估、風險處理和批準監(jiān)督；監(jiān)控審查和溝通咨詢(正確答案)B、背景建立、風險評估、風險外理、批準監(jiān)督、監(jiān)控審査和溝通咨詢；背景建立、風險評估、風險處理和監(jiān)控審查；批準監(jiān)督和溝通咨詢C、背景建立、風險評估、風險外理、批準監(jiān)督、監(jiān)控審査和溝通咨詢；背景建立、風險評估、風險處理和溝通咨詢；監(jiān)控審查和批準監(jiān)督D、背景建立、風險評估、風險外理、批準監(jiān)督、監(jiān)控審査和溝通咨詢；背景建立、風險評估、監(jiān)控審查和批準監(jiān)督；風險處理和溝通咨詢34、信息安全是通過實施一組合適的而達到的，包括策略、過程、規(guī)程、以及軟件和硬件功能。在必要時需建立、實施、監(jiān)視、評審和改進包含這些控制措施的過程。以確保滿足該組織的特定安全和。這個過程宜與其他業(yè)務聯(lián)合進行（）A、信息安全管理:控制措施:組織結構:業(yè)務目標:管理過程B、組織結構:控制措施:信息安全管理:業(yè)務目標:管理過程C、控制措施:組織結構:信息安全管理:業(yè)務目標:管理過程(正確答案)D、控制措施:組織結構:業(yè)務目標:信息安全管理:管理過程35、信息安全管理體系也采用了模型可應用于所有的。ISMS把相關方的信息安全要求和期望作為輸入，并通過必要的，產生滿足這些要求和期望的。（）A、ISMS:PDCA過程:行動和過程:信息安全結果B、PDCA:ISMS過程:行動和過程:信息安全結果(正確答案)C、ISMS:PDCA過程:信息安全結果:行動和過程D、PDCA:ISMS過程:信息安全結果:行動和過程36、“規(guī)劃（Pan）-實施（Do）-檢查（Check）-處置（Act）”（PDCA過程）又叫，是管理學中的一個通用模型，最早由于1990年構想，后來被美國質量管理專家博士在1950年再度挖掘出來，并加以廣泛直傳和運用于持續(xù)改善產品質量的過程，PDCA循環(huán)就是按照“規(guī)劃、實施、檢查、處置”的順序進行質量管理，并且循環(huán)不止地進行下去