CISP試題及答案練習(xí)試題

第頁CISP試題及答案練習(xí)試題1.建立ISMS的步驟正確的是？A、明確ISMS范圍-確定ISMS策略-定義風(fēng)險(xiǎn)評估方法-進(jìn)行風(fēng)險(xiǎn)評估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾（審批）B、定義風(fēng)險(xiǎn)評估方法-進(jìn)行風(fēng)險(xiǎn)評估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾（審批）-確定ISMS策略C、確定ISMS策略-明確ISMS范圍-定義風(fēng)險(xiǎn)評估方法-進(jìn)行風(fēng)險(xiǎn)評估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾（審批）D、明確ISMS范圍-定義風(fēng)險(xiǎn)評估方法-進(jìn)行風(fēng)險(xiǎn)評估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-確定ISMS策略-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾（審批）【正確答案】：A2.為什么實(shí)現(xiàn)單點(diǎn)登錄的批處理文件及腳本文件需要被保護(hù)存儲？A、因?yàn)樽钚∈跈?quán)原則B、因?yàn)樗鼈儾豢梢员?操作員訪問到C、因?yàn)樗鼈兛赡馨脩羯矸菪畔、因?yàn)橹仨氃瓌t【正確答案】：C3.滲透測試作為網(wǎng)絡(luò)安全評估的一部分A、提供保證所有弱點(diǎn)都被發(fā)現(xiàn)B、在不需要警告所有組織的管理層的情況下執(zhí)行C、找到存在的能夠獲得未授權(quán)訪問的漏洞D、在網(wǎng)絡(luò)邊界上執(zhí)行不會破壞信息資產(chǎn)【正確答案】：C4.下列生物識別設(shè)備，哪一項(xiàng)的交差錯判率（CER）最高？A、虹膜識別設(shè)備B、手掌識別設(shè)備C、聲音識別設(shè)備D、指紋識別設(shè)備【正確答案】：C5.在確定威脅的可能性時，可以不考慮以下哪個？A、威脅源B、潛在弱點(diǎn)C、現(xiàn)有控制措施D、攻擊所產(chǎn)生的負(fù)面影響【正確答案】：D6.對于信息安全風(fēng)險(xiǎn)的描述不正確的是？A、企業(yè)信息安全風(fēng)險(xiǎn)管理就是要做到零風(fēng)險(xiǎn)B、在信息安全領(lǐng)域，風(fēng)險(xiǎn)（Risk）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負(fù)面影響及其潛在可能性C、風(fēng)險(xiǎn)管理（RiskManagement）就是以可接受的代價，識別控制減少或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程。D、風(fēng)險(xiǎn)評估（RiskAssessment）就是對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點(diǎn)以及威脅發(fā)生的可能性的評估?！菊_答案】：A7.在設(shè)計(jì)某公司技術(shù)性的恢復(fù)策略時,以下哪個方面是安全人員最為關(guān)注的?A、目標(biāo)恢復(fù)時間RTOB、業(yè)務(wù)影響分析C、從嚴(yán)重災(zāi)難中恢復(fù)的能力D、目標(biāo)恢復(fù)點(diǎn)RPO【正確答案】：B8.風(fēng)險(xiǎn)分析的目的是？A、在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行技術(shù)平衡；B、在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行運(yùn)作平衡；C、在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行經(jīng)濟(jì)平衡；D、在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行法律平衡；【正確答案】：C9.當(dāng)選擇的控制措施成本高于風(fēng)險(xiǎn)帶來的損失時，應(yīng)考慮A、降低風(fēng)險(xiǎn)B、轉(zhuǎn)移風(fēng)險(xiǎn)C、避免風(fēng)險(xiǎn)D、接受風(fēng)險(xiǎn)【正確答案】：D10.災(zāi)難性恢復(fù)計(jì)劃(DRP)基于:A、技術(shù)方面的業(yè)務(wù)連續(xù)性計(jì)劃B、操作部分的業(yè)務(wù)連續(xù)性計(jì)劃C、功能方面的業(yè)務(wù)連續(xù)性計(jì)劃D、總體協(xié)調(diào)的業(yè)務(wù)連續(xù)性計(jì)劃【正確答案】：C11.下面哪一個不是系統(tǒng)廢棄階段風(fēng)險(xiǎn)管理的工作內(nèi)容A、安全測試B、對廢棄對象的風(fēng)險(xiǎn)評估C、防止敏感信息泄漏D、人員培訓(xùn)【正確答案】：A12.下面對自由訪問控制（DAC）描述正確的是A、比較強(qiáng)制訪問控制而言不太靈活B、基于安全標(biāo)簽C、關(guān)注信息流D、在商業(yè)環(huán)境中廣泛使用【正確答案】：D13.處理報(bào)廢電腦的流程時，以下哪一個選項(xiàng)對于安全專業(yè)人員來說是最重要考慮的內(nèi)容？A、在扇區(qū)這個級別上，硬盤已經(jīng)被多次重復(fù)寫入，但是在離開組織前沒有進(jìn)行重新格式化。B、硬盤上所有的文件和文件夾都分別刪除了，并在離開組織進(jìn)行重新格式化。C、在離開組織前，通過在硬盤特定位置上洞穿盤片，進(jìn)行打洞，使得硬盤變得不可讀取。D、由內(nèi)部的安全人員將硬盤送到附近的金屬回收公司，對硬盤進(jìn)行登記并粉碎?！菊_答案】：B14.授權(quán)訪問信息資產(chǎn)的責(zé)任人應(yīng)該是A、資產(chǎn)保管員B、安全管理員C、資產(chǎn)所有人D、安全主管【正確答案】：C15.下列哪項(xiàng)是系統(tǒng)問責(zé)時不需要的？A、認(rèn)證B、鑒定C、授權(quán)D、審計(jì)【正確答案】：C16.在設(shè)計(jì)業(yè)務(wù)連續(xù)性計(jì)劃時，企業(yè)影響分析可以用來識別關(guān)鍵業(yè)務(wù)流程和相應(yīng)的支持程序，它主要會影響到下面哪一項(xiàng)內(nèi)容的制定？A、維護(hù)業(yè)務(wù)連續(xù)性計(jì)劃的職責(zé)B、選擇站點(diǎn)恢復(fù)供應(yīng)商的條件C、恢復(fù)策略D、關(guān)鍵人員的職責(zé)【正確答案】：C17.當(dāng)涉及到信息算計(jì)系統(tǒng)犯罪取證時，應(yīng)與哪個部門取得聯(lián)系？A、監(jiān)管機(jī)構(gòu)B、重要客戶C、供應(yīng)商D、政府部門【正確答案】：D18.有什么方法可以測試辦公部門的無線安全？A、Wardialing戰(zhàn)爭語言B、社會工程學(xué)C、戰(zhàn)爭駕駛D、密碼破解【正確答案】：B19.在信息系統(tǒng)安全中，風(fēng)險(xiǎn)由以下哪兩種因素共同構(gòu)成的？A、攻擊和脆弱性B、威脅和攻擊C、威脅和脆弱性D、威脅和破壞【正確答案】：C20.在TCP中的六個控制位哪一個是用來請求結(jié)束會話的A.SYNA、SYNB、ACKC、FIND、RST【正確答案】：A21.拒絕式服務(wù)攻擊會影響信息系統(tǒng)的哪個特性？A、完整性B、可用性C、機(jī)密性D、可控性【正確答案】：B22.資產(chǎn)清單可包括？A、服務(wù)及無形資產(chǎn)B、信息資產(chǎn)C、人員D、以上所有【正確答案】：D23.在邏輯訪問控制中如果用戶賬戶被共享，這種局面可能造成的最大風(fēng)險(xiǎn)是:A、非授權(quán)用戶可以使用ID擅自進(jìn)入.B、用戶訪問管理費(fèi)時.C、很容易猜測密碼.D、無法確定用戶責(zé)任【正確答案】：D24.關(guān)于控制措施選擇描述不正確的是A、總成本中應(yīng)考慮控制措施維護(hù)成本B、只要控制措施有效，不管成本都應(yīng)該首先選擇C、首先要考慮控制措施的成本效益D、應(yīng)該考慮控制措施實(shí)施的成熟度【正確答案】：B25.以下哪一種人給公司帶來最大的安全風(fēng)險(xiǎn)？A、臨時工B、咨詢?nèi)藛TC、以前員工D、當(dāng)前員工【正確答案】：D26.下面關(guān)于定性風(fēng)險(xiǎn)評估方法的說法不正確的是A、易于操作，可以對風(fēng)險(xiǎn)進(jìn)行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進(jìn)行標(biāo)識B、主觀性強(qiáng)，分析結(jié)果的質(zhì)量取決于風(fēng)險(xiǎn)評估小組成員的經(jīng)驗(yàn)和素質(zhì)C、"耗時短、成本低、可控性高"D、能夠提供量化的數(shù)據(jù)支持，易被管理層所理解和接受【正確答案】：D27.應(yīng)急響應(yīng)哪一個階段用來降低事件再次發(fā)生的風(fēng)險(xiǎn)A、遏制B、根除C、跟蹤D、恢復(fù)【正確答案】：D28.以下哪一項(xiàng)是兩家公司為災(zāi)難恢復(fù)簽訂互惠協(xié)議而面臨的最大風(fēng)險(xiǎn)？A、各自的發(fā)展將導(dǎo)致(互相間)軟硬件不兼容。B、當(dāng)需要時資源未必可用。C、恢復(fù)計(jì)劃無法演練。D、各家公司的安全基礎(chǔ)架構(gòu)可能不同?！菊_答案】：C29.以下關(guān)于標(biāo)準(zhǔn)的描述，那一項(xiàng)是正確的？A、標(biāo)準(zhǔn)是高級管理層對支持信息安全的聲明B、標(biāo)準(zhǔn)是建立有效安全策略的第一要素C、標(biāo)準(zhǔn)用來描述組織內(nèi)安全策略如何實(shí)施的D、標(biāo)準(zhǔn)是高級管理層建立信息系統(tǒng)安全的指示【正確答案】：B30.ISMS的內(nèi)部審核員（非審核組長）的責(zé)任不包括？A、熟悉必要的文件和程序；B、根據(jù)要求編制檢查列表；C、配合支持審核組長的工作，有效完成審核任務(wù)；D、負(fù)責(zé)實(shí)施整改內(nèi)審中發(fā)現(xiàn)的問題；【正確答案】：D31.以下哪些不是可能存在的弱點(diǎn)問題？A、保安工作不得力B、應(yīng)用系統(tǒng)存在BugC、內(nèi)部人員故意泄密D、物理隔離不足【正確答案】：C32.為了保護(hù)企業(yè)的知識產(chǎn)權(quán)和其它資產(chǎn)，當(dāng)終止與員工的聘用關(guān)系時下面哪一項(xiàng)是最好的方法？A、進(jìn)行離職談話，讓員工簽署保密協(xié)議，禁止員工賬號，更改密碼B、進(jìn)行離職談話，禁止員工賬號，更改密碼C、讓員工簽署跨邊界協(xié)議D、列出員工在解聘前需要注意的所有責(zé)任【正確答案】：A33.以下哪一個不是安全審計(jì)的作用？A、記錄系統(tǒng)被訪問的過程及系統(tǒng)保護(hù)機(jī)制的運(yùn)行狀態(tài)。B、發(fā)現(xiàn)試圖繞過保護(hù)機(jī)制的行為。C、及時發(fā)現(xiàn)并阻止用戶身份的變化D、報(bào)告并阻礙繞過保護(hù)機(jī)制的行為并記錄相關(guān)進(jìn)程，為災(zāi)難恢復(fù)提供信息?！菊_答案】：C34.信息安全管理體系（ISMS）是一個怎樣的體系，以下描述不正確的是A、ISMS是一個遵循PDCA模式的動態(tài)發(fā)展的體系B、ISMS是一個文件化、系統(tǒng)化的體系C、ISMS采取的各項(xiàng)風(fēng)險(xiǎn)控制措施應(yīng)該根據(jù)風(fēng)險(xiǎn)評估等途徑得出的需求而定D、ISMS應(yīng)該是一步到位的，應(yīng)該解決所有的信息安全問題【正確答案】：D35.TCP/IP協(xié)議的4層概念模型是？A、應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層B、應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和物理層C、應(yīng)用層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層D、會話層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層【正確答案】：A36.外部組織使用組織敏感信息資產(chǎn)時，以下正確的做法是？A、確保使用者得到正確的信息資產(chǎn)。B、與信息資產(chǎn)使用者簽署保密協(xié)議。C、告知信息資產(chǎn)使用的時間限制。D、告知信息資產(chǎn)的重要性?！菊_答案】：B37.以下哪些不是網(wǎng)絡(luò)類資產(chǎn)：A、網(wǎng)絡(luò)設(shè)備B、基礎(chǔ)服務(wù)平臺C、網(wǎng)絡(luò)安全設(shè)備D、主干線路【正確答案】：B38.對業(yè)務(wù)應(yīng)用系統(tǒng)授權(quán)訪問的責(zé)任屬于：A、數(shù)據(jù)所有者B、安全管理員C、IT安全經(jīng)理D、申請人的直線主管【正確答案】：A39.當(dāng)發(fā)生災(zāi)難時，以下哪一項(xiàng)能保證業(yè)務(wù)交易的有效性A、從當(dāng)前區(qū)域外的地方持續(xù)每小時1次地傳送交易磁帶B、從當(dāng)前區(qū)域外的地方持續(xù)每天1次地傳送交易磁帶C、抓取交易以整合存儲設(shè)備D、從當(dāng)前區(qū)域外的地方實(shí)時傳送交易磁帶【正確答案】：C40.數(shù)據(jù)庫管理員執(zhí)行以下那個動作可能會產(chǎn)生風(fēng)險(xiǎn)?A、根據(jù)變更流程執(zhí)行數(shù)據(jù)庫變更B、安裝操作系統(tǒng)的補(bǔ)丁和更新C、排列表空間并考慮表合并的限制D、執(zhí)行備份和恢復(fù)流程【正確答案】：B41.某公司的在實(shí)施一個DRP項(xiàng)目,項(xiàng)目按照計(jì)劃完成后。聘請了專家團(tuán)隊(duì)進(jìn)行評審，評審過程中發(fā)現(xiàn)了幾個方而的問題,以下哪個代表最大的風(fēng)險(xiǎn)A、沒有執(zhí)行DRP測試B、災(zāi)難恢復(fù)策略沒有使用熱站進(jìn)行恢復(fù)C、進(jìn)行了BIA，但其結(jié)果沒有被使用D、災(zāi)難恢復(fù)經(jīng)理近期離開了公司【正確答案】：C42.以下不是信息資產(chǎn)是哪一項(xiàng)？A、服務(wù)器B、機(jī)房空調(diào)C、鼠標(biāo)墊D、U盤【正確答案】：C43.對于在ISMS內(nèi)審中所發(fā)現(xiàn)的問題，在審核之后應(yīng)該實(shí)施必要的改進(jìn)措施并進(jìn)行跟蹤和評價，以下描述不正確的是？A、改進(jìn)措施包括糾正和預(yù)防措施B、改進(jìn)措施可由受審單位提出并實(shí)施C、不可以對體系文件進(jìn)行更新或修改D、對改進(jìn)措施的評價應(yīng)該包括措施的有效性的分析【正確答案】：C44.減少與釣魚相關(guān)的風(fēng)險(xiǎn)的最有效控制是：A、系統(tǒng)的集中監(jiān)控B、釣魚的信號包括在防病毒軟件中C、在內(nèi)部網(wǎng)絡(luò)上發(fā)布反釣魚策略D、對所有用戶進(jìn)行安全培訓(xùn)【正確答案】：D45.信息安全活動應(yīng)由來自組織不同部門并具備相關(guān)角色和工作職責(zé)的代表進(jìn)行，下面哪項(xiàng)包括非典型的安全協(xié)調(diào)應(yīng)包括的人員？A、管理人員、用戶、應(yīng)用設(shè)計(jì)人員B、系統(tǒng)運(yùn)維人員、內(nèi)部審計(jì)人員、安全專員C、內(nèi)部審計(jì)人員、安全專員、領(lǐng)域?qū)＜褼、應(yīng)用設(shè)計(jì)人員、內(nèi)部審計(jì)人員、離職人員【正確答案】：D46.以下不屬于Linux安全加固的內(nèi)容是什么？A、配置iptablesB、配置TcpwapperC、啟用SelinuxD、修改root的UID【正確答案】：D47.軟件的盜版是一個嚴(yán)重的問題。在下面哪一種說法中反盜版的策略和實(shí)際行為是矛盾的？A、員工的教育和培訓(xùn)B、遠(yuǎn)距離工作（Telecommuting）與禁止員工攜帶工作軟件回家C、自動日志和審計(jì)軟件D、策略的發(fā)布與策略的強(qiáng)制執(zhí)行【正確答案】：B48.下列哪個選項(xiàng)是描述*-完整性公理的？A、Biba模型中不能向上寫B(tài)iba模型中不能向下讀C、BLP模型中不能向下寫D、BLP模型中不能向上讀【正確答案】：C49.企業(yè)的業(yè)務(wù)持續(xù)性計(jì)劃中應(yīng)該以記錄以下內(nèi)容的預(yù)定規(guī)則為基礎(chǔ)A、損耗的持續(xù)時間B、損耗的類型C、損耗的可能性D、損耗的原因【正確答案】：C50.以下哪些不是應(yīng)該識別的信息資產(chǎn)？A、網(wǎng)絡(luò)設(shè)備B、客戶資料C、辦公桌椅D、系統(tǒng)管理員【正確答案】：C51.個人問責(zé)不包括下列哪一項(xiàng)？A、訪問規(guī)則。B、策略與程序。C、審計(jì)跟蹤。D、唯一身份標(biāo)識符?！菊_答案】：B52.以下哪一個不是安全審計(jì)需要具備的功能？A、記錄關(guān)鍵事件B、提供可集中處理審計(jì)日志的數(shù)據(jù)形式C、實(shí)時安全報(bào)警D、審計(jì)日志訪問控制【正確答案】：D53.組織實(shí)施了災(zāi)難恢復(fù)計(jì)劃。下列哪些步驟應(yīng)下一步執(zhí)行？A、取得高級管理人員認(rèn)可B、確定的業(yè)務(wù)需求C、進(jìn)行紙面測試D、進(jìn)行系統(tǒng)還原測試【正確答案】：B54.在一份熱站、溫站或冷站協(xié)議中，協(xié)議條款應(yīng)包含以下哪一項(xiàng)需考慮的事項(xiàng)A、具體的保證設(shè)施B、訂戶的總數(shù)C、同時允許使用設(shè)施的訂戶數(shù)量D、涉及的其他用戶【正確答案】：B55.在正常情況下，應(yīng)急計(jì)劃應(yīng)該至少多久進(jìn)行一次針對正確性和完整性的檢查A、1年B、2年C、半年D、5年【正確答案】：A56.信息安全風(fēng)險(xiǎn)管理的最終責(zé)任人是？A、決策層B、管理層C、執(zhí)行層D、支持層【正確答案】：A57.內(nèi)部審計(jì)部門,從組織結(jié)構(gòu)上向財(cái)務(wù)總監(jiān)而不是審計(jì)委員會報(bào)告,最有可能：A、導(dǎo)致對其審計(jì)獨(dú)立性的質(zhì)疑B、報(bào)告較多業(yè)務(wù)細(xì)節(jié)和相關(guān)發(fā)現(xiàn)C、加強(qiáng)了審計(jì)建議的執(zhí)行D、在建議中采取更對有效行動【正確答案】：A58.我國的信息安全保障基本原則是？A、正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全。B、立足國情，以我為主，堅(jiān)持管理與技術(shù)并重。C、強(qiáng)化未來安全環(huán)境，增強(qiáng)研究、開發(fā)和教育以及投資先進(jìn)的技術(shù)來構(gòu)建將來的環(huán)境。D、明確國家、企業(yè)、個人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系?！菊_答案】：C59.那種測試結(jié)果對開發(fā)人員的影響最大A、單元測試和集成測試B、系統(tǒng)測試C、驗(yàn)收測試D、滲透測試【正確答案】：C60.ISMS的審核的層次不包括以下哪個？A、符合性審核B、有效性審核C、正確性審核D、文件審核【正確答案】：C61.建立應(yīng)急響應(yīng)計(jì)劃時候第一步應(yīng)該做什么？A、建立備份解決方案B、實(shí)施業(yè)務(wù)影響分析C、建立業(yè)務(wù)恢復(fù)計(jì)劃D、確定應(yīng)急人員名單【正確答案】：D62.合適的信息資產(chǎn)存放的安全措施維護(hù)是誰的責(zé)任A、安全管理員B、系統(tǒng)管理員C、數(shù)據(jù)和系統(tǒng)所有者D、系統(tǒng)運(yùn)行組【正確答案】：C63.以下哪些不是無形資產(chǎn)A、客戶關(guān)系B、電子數(shù)據(jù)C、商業(yè)信譽(yù)D、企業(yè)品牌【正確答案】：B64.向外部機(jī)構(gòu)提供其信息處理設(shè)施的物理訪問權(quán)限前，組織應(yīng)當(dāng)做什么？A、該外部機(jī)構(gòu)的過程應(yīng)當(dāng)可以被獨(dú)立機(jī)構(gòu)進(jìn)行IT審計(jì)B、該組織應(yīng)執(zhí)行一個風(fēng)險(xiǎn)評估，設(shè)計(jì)并實(shí)施適當(dāng)?shù)目刂艭、該外部機(jī)構(gòu)的任何訪問應(yīng)被限制在DMZ區(qū)之內(nèi)D、應(yīng)當(dāng)給該外部機(jī)構(gòu)的員工培訓(xùn)其安全程序【正確答案】：B65.系統(tǒng)管理員屬于？A、決策層B、管理層C、執(zhí)行層D、既可以劃為管理層，又可以劃為執(zhí)行層【正確答案】：C66.以下哪一個是數(shù)據(jù)保護(hù)的最重要的目標(biāo)？A、確定需要訪問信息的人員B、確保信息的完整性C、拒絕或授權(quán)對系統(tǒng)的訪問D、監(jiān)控邏輯訪問【正確答案】：A67.關(guān)于標(biāo)準(zhǔn)、指南、程序的描述，哪一項(xiàng)是最準(zhǔn)確的？A、標(biāo)準(zhǔn)是建議性的策略，指南是強(qiáng)制執(zhí)行的策略B、程序?yàn)榉蠌?qiáng)制性指南的一般性建議C、程序是為符合強(qiáng)制性指南的一般性建議D、程序是為符合強(qiáng)制性標(biāo)準(zhǔn)的的說明【正確答案】：C68.組織內(nèi)數(shù)據(jù)安全官的最為重要的職責(zé)是：A、推薦并監(jiān)督數(shù)據(jù)安全策略B、在組織內(nèi)推廣安全意識C、制定IT安全策略下的安全程序/流程D、管理物理和邏輯訪問控制【正確答案】：A69.信息安全需求獲取的主要手段A、信息安全風(fēng)險(xiǎn)評估B、領(lǐng)導(dǎo)的指示C、信息安全技術(shù)D、信息安全產(chǎn)品【正確答案】：A70.一個備份站點(diǎn)包括電線、空調(diào)和地板，但不包括計(jì)算機(jī)和通訊設(shè)備，那么它屬于A、冷站B、溫站C、直線站點(diǎn)D、鏡像站點(diǎn)【正確答案】：C71.一個組織將制定一項(xiàng)策略以定義了禁止用戶訪問的WEB站點(diǎn)類型。為強(qiáng)制執(zhí)行這一策略，最有效的技術(shù)是什么？A、狀態(tài)檢測防火墻B、WE內(nèi)容過濾器C、WEB緩存服務(wù)器D、應(yīng)該代理服務(wù)器【正確答案】：B72.Kerberos依賴什么加密方式？A、ElGamal密碼加密B、秘密密鑰加密。C、Blowfish加密。D、公鑰加密?！菊_答案】：B73.監(jiān)視惡意代碼主體程序是否正常的技術(shù)是？A、進(jìn)程守護(hù)B、備份文件C、超級權(quán)限D(zhuǎn)、HOOK技術(shù)【正確答案】：A74.在提供給一個外部代理商訪問信息處理設(shè)施前，一個組織應(yīng)該怎么做？A、外部代理商的處理應(yīng)該接受一個來自獨(dú)立代理進(jìn)行的IS審計(jì)。B、外部代理商的員工必須接受該組織的安全程序的培訓(xùn)。C、來自外部代理商的任何訪問必須限制在停火區(qū)（DMZ）D、該組織應(yīng)該進(jìn)行風(fēng)險(xiǎn)評估，并制定和實(shí)施適當(dāng)?shù)目刂??！菊_答案】：D75.業(yè)務(wù)影響分析的主要目的是：A、在災(zāi)難之后提供一個恢復(fù)行動的計(jì)劃B、識別能夠影響組織運(yùn)營持續(xù)性的事件C、公布組織對物理和邏輯安全的義務(wù)D、提供一個有效災(zāi)難恢復(fù)計(jì)劃的框架【正確答案】：A76.如果將風(fēng)險(xiǎn)管理分為風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)減緩，那么以下哪個不屬于風(fēng)險(xiǎn)減緩的內(nèi)容？A、計(jì)算風(fēng)險(xiǎn)B、選擇合適的安全措施C、實(shí)現(xiàn)安全措施D、接受殘余風(fēng)險(xiǎn)【正確答案】：A77.在TCP中的六個控制位哪一個是用來請求同步的A、SYNB、ACKC、FIND、RST【正確答案】：A78.管理評審的最主要目的是A、確認(rèn)信息安全工作是否得到執(zhí)行B、檢查信息安全管理體系的有效性C、找到信息安全的漏洞D、考核信息安全部門的工作是否滿足要求【正確答案】：B79.下列哪一項(xiàng)體現(xiàn)了適當(dāng)?shù)穆氊?zé)分離？A、磁帶操作員被允許使用系統(tǒng)控制臺。B、操作員是不允許修改系統(tǒng)時間。C、允許程序員使用系統(tǒng)控制臺。D、控制臺操作員被允許裝載磁帶和磁盤?！菊_答案】：B80.有關(guān)信息系統(tǒng)的設(shè)計(jì)、開發(fā)、實(shí)施、運(yùn)行和維護(hù)過程中的安全問題，以下描述錯誤的是A、信息系統(tǒng)的開發(fā)設(shè)計(jì)，應(yīng)該越早考慮系統(tǒng)的安全需求越好B、信息系統(tǒng)的設(shè)計(jì)、開發(fā)、實(shí)施、運(yùn)行和維護(hù)過程中的安全問題，不僅僅要考慮提供一個安全的開發(fā)環(huán)境，同時還要考慮開發(fā)出安全的系統(tǒng)C、信息系統(tǒng)在加密技術(shù)的應(yīng)用方面，其關(guān)鍵是選擇密碼算法，而不是密鑰的管理D、運(yùn)營系統(tǒng)上的敏感、真實(shí)數(shù)據(jù)直接用作測試數(shù)據(jù)將帶來很大的安全風(fēng)險(xiǎn)【正確答案】：C81.如果恢復(fù)時間目標(biāo)增加，則A、災(zāi)難容忍度增加B、恢復(fù)成本增加C、不能使用冷備援計(jì)算機(jī)中心D、數(shù)據(jù)備份頻率增加【正確答案】：C82.在數(shù)據(jù)鏈路層中MAC子層主要實(shí)現(xiàn)的功能是A、介質(zhì)訪問控制B、物理地址識別C、通信協(xié)議產(chǎn)生D、數(shù)據(jù)編碼【正確答案】：C83.信息安全管理體系策略文件中第一層文件是？A、信息安全工作程序B、信息安全方針政策C、信息安全作業(yè)指導(dǎo)書D、信息安全工作記錄【正確答案】：B84.業(yè)務(wù)影響分析的主要目的是：A、在災(zāi)難之后提供一個恢復(fù)行動的計(jì)劃B、識別能夠影響組織運(yùn)營持續(xù)性的事件C、公布組織對物理和邏輯安全的義務(wù)D、提供一個有效災(zāi)難恢復(fù)計(jì)劃的框架【正確答案】：A85.以下哪些是信息資產(chǎn)無需明確的A、所有者B、管理者C、廠商D、使用者【正確答案】：C86.干管滅火器系統(tǒng)使用A、水，但是只有在發(fā)現(xiàn)火警以后水才進(jìn)入管道B、水，但是水管中有特殊的防水劑CO2代替水D、哈龍代替水【正確答案】：A87.在信息安全管理日常工作中，需要與哪些機(jī)構(gòu)保持聯(lián)系？A、政府部門B、監(jiān)管部門C、外部專家D、以上都是【正確答案】：D88.項(xiàng)目經(jīng)理欲提高信息系統(tǒng)安全性，他首先要做的工作是A、考慮安全開發(fā)需要什么樣的資源與預(yù)算B、考慮安全開發(fā)在開發(fā)生命周期各階段應(yīng)開展哪些工作C、對開發(fā)團(tuán)隊(duì)進(jìn)行信息安全培訓(xùn)D、購買一定的安全工具，如代碼掃描工具等【正確答案】：B89.信息安全管理最關(guān)注的是？A、外部惡意攻擊B、病毒對PC的影響C、內(nèi)部惡意攻擊D、病毒對網(wǎng)絡(luò)的影響【正確答案】：C90.如果出現(xiàn)IT人員和最終用戶職責(zé)分工的問題，下面哪個選項(xiàng)是合適的補(bǔ)償性控制？A、限制物理訪問計(jì)算機(jī)設(shè)備B、檢查應(yīng)用及事務(wù)處理日志C、在聘請IT人員之前進(jìn)行背景檢查D、在不活動的特定時間后，鎖定用戶會話【正確答案】：D91.下列哪項(xiàng)是系統(tǒng)問責(zé)所需要的？A、授權(quán)。B、多人共用同一帳號。C、審計(jì)機(jī)制。D、系統(tǒng)設(shè)計(jì)的形式化驗(yàn)證【正確答案】：C92.以下有關(guān)信息安全方面的業(yè)務(wù)連續(xù)性管理的描述，不正確的是A、信息安全方面的業(yè)務(wù)連續(xù)性管理就是要保障企業(yè)關(guān)鍵業(yè)務(wù)在遭受重大災(zāi)難/破壞時，能夠及時恢復(fù)，保障企業(yè)業(yè)務(wù)持續(xù)運(yùn)營B、企業(yè)在業(yè)務(wù)連續(xù)性建設(shè)項(xiàng)目一個重要任務(wù)就是識別企業(yè)關(guān)鍵的、核心業(yè)務(wù)C、業(yè)務(wù)連續(xù)性計(jì)劃文檔要隨著業(yè)務(wù)的外部環(huán)境的變化，及時修訂連續(xù)性計(jì)劃文檔D、信息安全方面的業(yè)務(wù)連續(xù)性管理只與IT部門相關(guān)，與其他業(yè)務(wù)部門人員無須參入【正確答案】：D93.如何對信息安全風(fēng)險(xiǎn)評估的過程進(jìn)行質(zhì)量監(jiān)控和管理？A、對風(fēng)險(xiǎn)評估發(fā)現(xiàn)的漏洞進(jìn)行確認(rèn)B、針對風(fēng)險(xiǎn)評估的過程文檔和結(jié)果報(bào)告進(jìn)行監(jiān)控和審查C、對風(fēng)險(xiǎn)評估的信息系統(tǒng)進(jìn)行安全調(diào)查D、對風(fēng)險(xiǎn)控制測措施有有效性進(jìn)行測試【正確答案】：B94.以下哪些不是設(shè)備資產(chǎn)：A、機(jī)房設(shè)施B、周邊設(shè)施C、管理終端D、操作系統(tǒng)【正確答案】：D95.系統(tǒng)上線前應(yīng)當(dāng)對系統(tǒng)安全配置進(jìn)行檢查，不包括下列哪種安全檢查A、主機(jī)操作系統(tǒng)安全配置檢查B、網(wǎng)絡(luò)設(shè)備安全配置檢查C、系統(tǒng)軟件安全漏洞檢查D、數(shù)據(jù)庫安全配置檢查【正確答案】：C96.以下哪一項(xiàng)對安全風(fēng)險(xiǎn)的描述是準(zhǔn)確的？A、安全風(fēng)險(xiǎn)是指一種特定脆弱性利用一種或一組威脅造成組織的資產(chǎn)損失或損害的可能性。B、安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失事實(shí)。C、安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性D、安全風(fēng)險(xiǎn)是指資產(chǎn)的脆弱性被威脅利用的情形?！菊_答案】：C97.當(dāng)審核一個組織的業(yè)務(wù)連續(xù)性計(jì)劃時，某IS審計(jì)師觀察到這個被審計(jì)組織的數(shù)據(jù)和軟件文件被周期性的進(jìn)行了備份。有效性計(jì)劃哪一個特性在這里被證明？A、防止B、減輕C、恢復(fù)D、響應(yīng)【正確答案】：D98.以下標(biāo)準(zhǔn)內(nèi)容為“信息安全管理體系要求”的是哪個？A、ISO27000B、ISO27001C、ISO27002D、ISO27003【正確答案】：B99.以下信息安全原則，哪一項(xiàng)是錯誤的？A、實(shí)施最小授權(quán)原則B、假設(shè)外部系統(tǒng)是不安全的C、消除所有級別的信息安全風(fēng)險(xiǎn)D、最小化可信任的系統(tǒng)組件【正確答案】：B100.PDCA特征的描述不正確的是A、順序進(jìn)行，周而復(fù)始，發(fā)現(xiàn)問題，分析問題，然后是解決問題B、大環(huán)套小環(huán)，安全目標(biāo)的達(dá)成都是分解成多個小目標(biāo)，一層層地解決問題C、階梯式上升，每次循環(huán)都要進(jìn)行總結(jié)，鞏固成績，改進(jìn)不足D、信息安全風(fēng)險(xiǎn)管理的思路不符合PDCA的問題解決思路【正確答案】：D101.以下哪個選項(xiàng)不是信息中心（IC）工作職能的一部分？A、準(zhǔn)備最終用戶的預(yù)算B、選擇PC的硬件和軟件C、保持所有PC的硬件和軟件的清單D、提供被認(rèn)可的硬件和軟件的技術(shù)支持【正確答案】：A102.下列哪項(xiàng)是用于降低風(fēng)險(xiǎn)的機(jī)制A、安全和控制實(shí)踐B、財(cái)產(chǎn)和責(zé)任保險(xiǎn)C、審計(jì)與認(rèn)證D、合同和服務(wù)水平協(xié)議【正確答案】：A103.以下對企業(yè)信息安全活動的組織描述不正確的是A、企業(yè)應(yīng)該在組織內(nèi)建立發(fā)起和控制信息安全實(shí)施的管理框架。B、企業(yè)應(yīng)該維護(hù)被外部合作伙伴或者客戶訪問和使用的企業(yè)信息處理設(shè)施和信息資產(chǎn)的安全。C、在沒有采取必要控制措施，包括簽署相關(guān)協(xié)議之前，不應(yīng)該授權(quán)給外部伙伴訪問。應(yīng)該讓外部伙伴意識到其責(zé)任和必須遵守的規(guī)定。D、企業(yè)在開展業(yè)務(wù)活動的過程中，應(yīng)該完全相信員工，不應(yīng)該對內(nèi)部員工采取安全管控措施【正確答案】：D104.及時審查系統(tǒng)訪問審計(jì)記錄是以下哪種基本安全功能？A、威懾。B、規(guī)避。C、預(yù)防。D、檢測。【正確答案】：D105.默認(rèn)情況下Linux主機(jī)在機(jī)房托管期間被惡意用戶進(jìn)行了SSH遠(yuǎn)程的暴力破解，此時安全工程師需要拒絕其訪問的源地址，應(yīng)該使用那種方式查詢其訪問的記錄？A、cat/var/log/secureB、whoC、whoamiD、cat/etc/security/access.log【正確答案】：A106.面向?qū)ο蟮拈_發(fā)方法中，以下哪些機(jī)制對安全有幫助A、封裝B、多態(tài)C、繼承D、重載【正確答案】：A107.為了解決操作人員執(zhí)行日常備份的失誤，管理層要求系統(tǒng)管理員簽字日常備份，這是一個風(fēng)險(xiǎn),,例子：A、防止B、轉(zhuǎn)移C、緩解D、接受【正確答案】：C108.企業(yè)從獲得良好的信息安全管控水平的角度出發(fā)，以下哪些行為是適當(dāng)?shù)腁、只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題B、相信來自陌生人的郵件，好奇打開郵件附件C、開著電腦離開，就像離開家卻忘記關(guān)燈那樣D、及時更新系統(tǒng)和安裝系統(tǒng)和應(yīng)用的補(bǔ)丁【正確答案】：D109.以下哪一個不是風(fēng)險(xiǎn)控制的主要方式A、規(guī)避方式B、轉(zhuǎn)移方式C、降低方式D、隔離方式【正確答案】：D110.信息系統(tǒng)審核員應(yīng)該預(yù)期誰來授權(quán)對生產(chǎn)數(shù)據(jù)和生產(chǎn)系統(tǒng)的訪問？A、流程所有者B、系統(tǒng)管理員C、安全管理員D、數(shù)據(jù)所有者【正確答案】：D111.如果可能最應(yīng)該得到第一個應(yīng)急事件通知的小組是A、應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組B、應(yīng)急響應(yīng)日常運(yùn)行小組C、應(yīng)急響應(yīng)技術(shù)保障小組D、應(yīng)急響應(yīng)實(shí)施小組【正確答案】：A112.戴明循環(huán)執(zhí)行順序，下面哪項(xiàng)正確？A、PLAN-ACT-DO-CHECKB、CHECK-PLAN-ACT-DOC、PLAN-DO-CHECK-ACTD、ACT-PLAN-CHECK-DO【正確答案】：C113.ISMS文檔體系中第一層文件是？A、信息安全方針政策B、信息安全工作程序C、信息安全作業(yè)指導(dǎo)書D、信息安全工作記錄【正確答案】：A114.信息安全管理最關(guān)注的是？A、外部惡意攻擊B、病毒對PC的影響C、內(nèi)部惡意攻擊D、病毒對網(wǎng)絡(luò)的影響【正確答案】：C115.管理體系審計(jì)員進(jìn)行通信訪問控制審查，首先應(yīng)該關(guān)注：A、維護(hù)使用各種系統(tǒng)資源的訪問日志B、在用戶訪問系統(tǒng)資源之前的授權(quán)和認(rèn)證C、通過加密或其他方式對存儲在服務(wù)器上數(shù)據(jù)的充分保護(hù)D、確定是否可以利用終端系統(tǒng)資源的責(zé)任制和能力.【正確答案】：D116.下面哪一個不是系統(tǒng)運(yùn)行維護(hù)階段風(fēng)險(xiǎn)管理的工作內(nèi)容A、安全運(yùn)行和管理B、安全測試C、變更管理D、風(fēng)險(xiǎn)再次評估【正確答案】：B117.以下哪一種人最有可能給公司帶來最大的安全風(fēng)險(xiǎn)？A、臨時工B、當(dāng)前員工C、以前員工D、咨詢?nèi)藛T【正確答案】：B118.在實(shí)施風(fēng)險(xiǎn)分析期間，識別出威脅和潛在影響后應(yīng)該A、識別和評定管理層使用的風(fēng)險(xiǎn)評估方法B、識別信息資產(chǎn)和基本系統(tǒng)C、揭示對管理的威脅和影響D、識別和評價現(xiàn)有控制【正確答案】：D119.信息安全管理工作小組可就哪些問題向外部安全專家或特定外部組織尋求信息安全方面的建議？A、相關(guān)安全信息的最佳實(shí)踐和最新狀態(tài)知識。B、盡早接受到關(guān)于攻擊和脆弱點(diǎn)的警告、建議和補(bǔ)丁C、分享和交換關(guān)于新的技術(shù)、產(chǎn)品、威脅或脆弱點(diǎn)信息D、以上都是【正確答案】：D120.當(dāng)更新一個正在運(yùn)行的在線訂購系統(tǒng)時，更新都記錄在一個交易磁帶和交易日志副本。在一天業(yè)務(wù)結(jié)束后，訂單文件備份在磁帶上。在備份過程中，驅(qū)動器故障和訂單文件丟失。以下哪項(xiàng)對于恢復(fù)文件是必須的？A、前一天的備份文件和當(dāng)前的交易磁帶B、前一天的交易文件和當(dāng)前的交易磁帶C、當(dāng)前的交易磁帶和當(dāng)前的交易日志副本D、當(dāng)前的交易日志副本和前一天的交易交易文件【正確答案】：A121.BS7799這個標(biāo)準(zhǔn)是由下面哪個機(jī)構(gòu)研發(fā)出來的？A、美國標(biāo)準(zhǔn)協(xié)會B、英國標(biāo)準(zhǔn)協(xié)會C、中國標(biāo)準(zhǔn)協(xié)會D、國際標(biāo)準(zhǔn)協(xié)會【正確答案】：B122.由于病毒攻擊、非法入侵等原因，校園網(wǎng)整體癱瘓，或者校園網(wǎng)絡(luò)中心全部DNS、主WEB服務(wù)器不能正常工作；由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因，造成校園網(wǎng)出口中斷，屬于以下哪種級別事件A、特別重大事件B、重大事件C、較大事件D、一般事件【正確答案】：B123.以下有關(guān)通信與日常操作描述不正確的是A、信息系統(tǒng)的變更應(yīng)該是受控的B、企業(yè)在崗位設(shè)計(jì)和人員工作分配時應(yīng)該遵循職責(zé)分離的原則C、移動介質(zhì)使用是一個管理難題，應(yīng)該采取有效措施，防止信息泄漏D、內(nèi)部安全審計(jì)無需遵循獨(dú)立性、客觀性的原則【正確答案】：D124.關(guān)于信息安全策略文件以下說法不正確的是哪個？A、信息安全策略文件應(yīng)由管理者批準(zhǔn)、發(fā)布。B、信息安全策略文件并傳達(dá)給所有員工和外部相關(guān)方。C、信息安全策略文件必須打印成紙質(zhì)文件進(jìn)行分發(fā)。D、信息安全策略文件應(yīng)說明管理承諾，并提出組織的管理信息安全的方法。【正確答案】：C125.恢復(fù)階段的行動一般包括A、建立臨時業(yè)務(wù)處理能力B、修復(fù)原系統(tǒng)損害C、在原系統(tǒng)或新設(shè)施中恢復(fù)運(yùn)行業(yè)務(wù)能力D、避免造成更大損失【正確答案】：B126.有關(guān)認(rèn)證和認(rèn)可的描述，以下不正確的是A、認(rèn)證就是第三方依據(jù)程序?qū)Ξa(chǎn)品、過程、服務(wù)符合規(guī)定要求給予書面保證（合格證書）B、根據(jù)對象的不同，認(rèn)證通常分為產(chǎn)品認(rèn)證和體系認(rèn)證C、認(rèn)可是由某權(quán)威機(jī)構(gòu)依據(jù)程序?qū)δ硤F(tuán)體或個人具有從事特定任務(wù)的能力給予的正式承認(rèn)D、企業(yè)通過ISO27001認(rèn)證則說明企業(yè)符合ISO27001和ISO27002標(biāo)準(zhǔn)的要求【正確答案】：D127.信息安全策略,聲稱"密碼的顯示必須以掩碼的形式"的目的是防范下面哪種攻擊風(fēng)險(xiǎn)？A、尾隨B、垃1圾搜索C、肩窺D、冒充【正確答案】：C128.由于IT的發(fā)展，災(zāi)難恢復(fù)計(jì)劃在大型組織中的應(yīng)用也發(fā)生了變化。如果新計(jì)劃沒有被測試下面哪項(xiàng)是最主要的風(fēng)險(xiǎn)A、災(zāi)難性的斷電B、資源的高消耗C、"恢復(fù)的總成本不能被最小化D、用戶和恢復(fù)團(tuán)隊(duì)在實(shí)施計(jì)劃時可能面臨服務(wù)器問題【正確答案】：B129.下面關(guān)于定性風(fēng)險(xiǎn)評估方法的說法正確的是A、通過將資產(chǎn)價值和風(fēng)險(xiǎn)等量化為財(cái)務(wù)價值和方式來進(jìn)行計(jì)算的一種方法B、采用文字形式或敘述性的數(shù)值范圍來描述潛在后果的大小程度及這些后果發(fā)生的可能性C、在后果和可能性分析中采用數(shù)值，并采用從各種各樣的來源中得到的數(shù)據(jù)D、定性風(fēng)險(xiǎn)分析提供了較好的成本效益分析【正確答案】：B130.以下哪個進(jìn)程不屬于NFS服務(wù)器端的進(jìn)程？A、statdB、mountdC、nfsdD、Automounter【正確答案】：A131.下列哪項(xiàng)不是Kerberos密鑰分發(fā)服務(wù)（KDS）的一部分？A、Kerberos票證授予服務(wù)器（TGS）。B、Kerberos身份驗(yàn)證服務(wù)器（KAS）。C、存放用戶名和密碼的數(shù)據(jù)庫。D、Kerberos票證吊銷服務(wù)器（TRS）?！菊_答案】：D132.以下哪項(xiàng)不屬于信息安全管理的工作內(nèi)容A、信息安全培訓(xùn)B、信息安全考核C、信息安全規(guī)劃D、安全漏洞掃描【正確答案】：D133.要很好的評估信息安全風(fēng)險(xiǎn)，可以通過：A、評估IT資產(chǎn)和IT項(xiàng)目的威脅B、用公司的以前的真的損失經(jīng)驗(yàn)來決定現(xiàn)在的弱點(diǎn)和威脅C、審查可比較的組織公開的損失統(tǒng)計(jì)D、審查在審計(jì)報(bào)告中的可識別的IT控制缺陷【正確答案】：A134.作為信息安全治理的成果,戰(zhàn)略方針提供了:A、企業(yè)所需的安全要求B、遵從最佳實(shí)務(wù)的安全基準(zhǔn)C、日?；贫然慕鉀Q方案D、風(fēng)險(xiǎn)暴露的理解【正確答案】：A135.以下關(guān)于安全控制措施的選擇，哪一個選項(xiàng)是錯誤的?A、維護(hù)成本需要被考慮在總體控制成本之內(nèi)B、最好的控制措施應(yīng)被不計(jì)成本的實(shí)施C、應(yīng)考慮控制措施的成本效益D、在計(jì)算整體控制成本的時候，應(yīng)考慮多方面的因素【正確答案】：D136.我國信息安全事件分級不考慮下列哪一個要素？A、信息系統(tǒng)的重要程度B、系統(tǒng)損失C、社會影響D、業(yè)務(wù)損失【正確答案】：A137.以下對審核發(fā)現(xiàn)描述正確的是A、用作依據(jù)的一組方針、程序或要求B、與審核準(zhǔn)則有關(guān)的并且能夠證實(shí)的記錄、事實(shí)陳述或其他信息C、將收集到的審核證據(jù)依照審核準(zhǔn)則進(jìn)行評價的結(jié)果，可以是合格/符合項(xiàng)，也可以是不合格/不符合項(xiàng)D、對審核對象的物理位置、組織結(jié)構(gòu)、活動和過程以及時限的描述【正確答案】：C138.組織與供應(yīng)商協(xié)商服務(wù)水平協(xié)議，下面哪一個最先發(fā)生？A、制定可行性研究.B、檢查是否符合公司策略.C、草擬服務(wù)水平協(xié)議.D、草擬服務(wù)水平要求【正確答案】：B139.哪一項(xiàng)不是管理層承諾完成的？A、確定組織的總體安全目標(biāo)B、購買性能良好的信息安全產(chǎn)品C、推動安全意識教育D、評審安全策略的有效性【正確答案】：B140.根據(jù)組織業(yè)務(wù)連續(xù)性計(jì)劃（BCP）的復(fù)雜程度，可以建立多個計(jì)劃來滿足業(yè)務(wù)連續(xù)和和災(zāi)難恢復(fù)的各方面。在這種情況下，有必要：A、每個計(jì)劃和其它計(jì)劃保持協(xié)調(diào)一致B、所有的計(jì)劃要整合到一個計(jì)劃中C、每個計(jì)劃和其他計(jì)劃相互依賴D、指定所有計(jì)劃實(shí)施的順序【正確答案】：A141.作為信息安全管理人員，你認(rèn)為變更管理過程最重要的是？A、變更過程要留痕B、變更申請與上線提出要經(jīng)過審批C、變更過程要堅(jiān)持環(huán)境分離和人員分離原則D、變更要與容災(zāi)預(yù)案同步【正確答案】：B142.通過社會工程的方法進(jìn)行非授權(quán)訪問的風(fēng)險(xiǎn)可以通過以下方法避免：A、安全意識程序B、非對稱加密C、入侵偵測系統(tǒng)D、非軍1事區(qū)【正確答案】：A143.以下哪項(xiàng)不屬于造成信息安全問題的自然環(huán)境因素？A、縱火。B、地震。C、極端天氣。D、洪水?！菊_答案】：A144.風(fēng)險(xiǎn)評估的過程中，首先要識別信息資產(chǎn)，資產(chǎn)識別時，以下哪個不是需要遵循的原則？A、只識別與業(yè)務(wù)及信息系統(tǒng)有關(guān)的信息資產(chǎn)，分類識別B、所有公司資產(chǎn)都要識別C、可以從業(yè)務(wù)流程出發(fā)，識別各個環(huán)節(jié)和階段所需要以及所產(chǎn)出的關(guān)鍵資產(chǎn)D、資產(chǎn)識別務(wù)必明確責(zé)任人、保管者和用戶【正確答案】：B145.程序設(shè)計(jì)和編碼的問題引入的風(fēng)險(xiǎn)為：A、"網(wǎng)絡(luò)釣魚B、"緩沖區(qū)溢出"C、"SYN攻擊D、暴力破解【正確答案】：B146.以下對信息安全管理的描述錯誤的是A、信息安全管理的核心就是風(fēng)險(xiǎn)管理B、人們常說，三分技術(shù)，七分管理，可見管理對信息安全的重要性C、安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑D、信息安全管理工作的重點(diǎn)是信息系統(tǒng)，而不是人【正確答案】：D147.以下哪個是數(shù)據(jù)庫管理員（DBA）可以行使的職責(zé)？A、計(jì)算機(jī)的操作B、應(yīng)用程序開發(fā)C、系統(tǒng)容量規(guī)劃D、應(yīng)用程序維護(hù)【正確答案】：C148.有關(guān)信息安全事件的描述不正確的是A、信息安全事件的處理應(yīng)該分類、分級B、信息安全事件的數(shù)量可以反映企業(yè)的信息安全管控水平C、某個時期內(nèi)企業(yè)的信息安全事件的數(shù)量為零，這意味著企業(yè)面臨的信息安全風(fēng)險(xiǎn)很小D、信息安全事件處理流程中的一個重要環(huán)節(jié)是對事件發(fā)生的根源的追溯，以吸取教訓(xùn)、總結(jié)經(jīng)驗(yàn)，防止類似事情再次發(fā)生【正確答案】：C149.下面哪一個不是高層安全方針?biāo)P(guān)注的A、識別關(guān)鍵業(yè)務(wù)目標(biāo)B、定義安全組織職責(zé)C、定義安全目標(biāo)D、定義防火墻邊界防護(hù)策略【正確答案】：D150.對安全策略的描述不正確的是A、信息安全策略（或者方針）是由組織的最高管理者正式制訂和發(fā)布的描述企業(yè)信息安全目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實(shí)施過程B、策略應(yīng)有一個屬主，負(fù)責(zé)按復(fù)查程序維護(hù)和復(fù)查該策略C、安全策略的內(nèi)容包括管理層對信息安全目標(biāo)和原則的聲明和承諾；D、安全策略一旦建立和發(fā)布，則不可變更；【正確答案】：D151.對緩沖區(qū)溢出攻擊預(yù)防沒有幫助的做法包括A、輸入?yún)?shù)過濾，安全編譯選項(xiàng)B、操作系統(tǒng)安全機(jī)制、禁止使用禁用APIC、安全編碼教育D、滲透測試【正確答案】：D152.誰對組織的信息安全負(fù)最終責(zé)任？A、安全經(jīng)理B、高管層C、IT經(jīng)理D、業(yè)務(wù)經(jīng)理【正確答案】：B153.下面哪一層可以實(shí)現(xiàn)編碼，加密A、傳輸層B、會話層C、網(wǎng)絡(luò)層D、物理層【正確答案】：D154.用于跟蹤路由的命令是A、nestatB、regeditC、systeminfoD、tracert【正確答案】：A155.安全策略體系文件應(yīng)當(dāng)包括的內(nèi)容不包括A、信息安全的定義、總體目標(biāo)、范圍及對組織的重要性B、對安全管理職責(zé)的定義和劃分C、口令、加密的使用是阻止性的技術(shù)控制措施；D、違反安全策略的后果【正確答案】：C156.信息安全管理組織說法以下說法不正確的是？A、信息安全管理組織人員應(yīng)來自不同的部門。B、信息安全管理組織的所有人員應(yīng)該為專職人員。C、信息安全管理組織應(yīng)考慮聘請外部專家。D、信息安全管理組織應(yīng)建立溝通、協(xié)調(diào)機(jī)制。【正確答案】：B157.對于Linux的安全加固項(xiàng)說法錯誤的是哪項(xiàng)？A、使用uname-a確認(rèn)其內(nèi)核是否有漏洞B、檢查系統(tǒng)是否有重復(fù)的UID用戶C、查看login.defs文件對于密碼的限制D、查看hosts文件確保Tcpwapper生效【正確答案】：D158.以下哪一個是包過濾防火墻的優(yōu)點(diǎn)？A、可以與認(rèn)證、授權(quán)等安全手段方便的集成。B、與應(yīng)用層無關(guān)，無須改動任何客戶機(jī)和主機(jī)的應(yīng)用程序，易于安裝和使用。C、提供透明的加密機(jī)制D、可以給單個用戶授權(quán)【正確答案】：C159.以下關(guān)于ISMS內(nèi)部審核報(bào)告的描述不正確的是？A、內(nèi)審報(bào)告是作為內(nèi)審小組提交給管理者代表或最高管理者的工作成果B、內(nèi)審報(bào)告中必須包含對不符合性項(xiàng)的改進(jìn)建議C、內(nèi)審報(bào)告在提交給管理者代表或者最高管理者之前應(yīng)該受審方管理者溝通協(xié)商，核實(shí)報(bào)告內(nèi)容。D、內(nèi)審報(bào)告中必須包括對糾正預(yù)防措施實(shí)施情況的跟蹤【正確答案】：D160.射頻識別(RFID)標(biāo)簽容易受到以下哪種風(fēng)險(xiǎn)?A、進(jìn)程劫持B、竊聽C、惡意代碼D、Phishing【正確答案】：D161.以下哪個選項(xiàng)是缺乏適當(dāng)?shù)陌踩刂频谋憩F(xiàn)A、威脅B、脆弱性C、資產(chǎn)D、影響【正確答案】：C162.發(fā)現(xiàn)一臺被病毒感染的終端后，首先應(yīng)：A、拔掉網(wǎng)線B、判斷病毒的性質(zhì)、采用的端口C、在網(wǎng)上搜尋病毒解決方法D、呼叫公司技術(shù)人員【正確答案】：B163.通常情況下，怎樣計(jì)算風(fēng)險(xiǎn)？A、將威脅可能性等級乘以威脅影響就得出了風(fēng)險(xiǎn)。B、將威脅可能性等級加上威脅影響就得出了風(fēng)險(xiǎn)。C、用威脅影響除以威脅的發(fā)生概率就得出了風(fēng)險(xiǎn)。D、用威脅概率作為指數(shù)對威脅影響進(jìn)行乘方運(yùn)算就得出了風(fēng)險(xiǎn)?！菊_答案】：A164.信息安全管理手段不包括以下哪一項(xiàng)A、技術(shù)B、流程C、人員D、市場【正確答案】：B165.風(fēng)險(xiǎn)評估實(shí)施過程中資產(chǎn)識別的范圍主要包括什么類別A、網(wǎng)絡(luò)硬件資產(chǎn)B、數(shù)據(jù)資產(chǎn)C、軟件資產(chǎn)D、以上都包括【正確答案】：D166.年度損失值（ALE）的計(jì)算方法是什么ALE=ARO*AVB、ALE=AV*SLEC、"ALE=ARO*SLE"D、ALE=AV*EF【正確答案】：C167.在人力資源審計(jì)期間，安全管理體系內(nèi)審員被告知在IT部門和人力資源部門中有一個關(guān)于期望的IT服務(wù)水平的口頭協(xié)議。安全管理體系內(nèi)審員首先應(yīng)該做什么？A、為兩部門起草一份服務(wù)水平協(xié)議B、向高級管理層報(bào)告存在未被書面簽訂的協(xié)議C、向兩部門確認(rèn)協(xié)議的內(nèi)容D、推遲審計(jì)直到協(xié)議成為書面文檔【正確答案】：C168.內(nèi)部審計(jì)師發(fā)現(xiàn)不是所有雇員都了解企業(yè)的信息安全策略。內(nèi)部審計(jì)師應(yīng)當(dāng)?shù)贸鲆韵履捻?xiàng)結(jié)論：A、這種缺乏了解會導(dǎo)致不經(jīng)意地泄露敏感信息B、信息安全不是對所有職能都是關(guān)鍵的C、IS審計(jì)應(yīng)當(dāng)為那些雇員提供培訓(xùn)D、該審計(jì)發(fā)現(xiàn)應(yīng)當(dāng)促使管理層對員工進(jìn)行繼續(xù)教育【正確答案】：A169.應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組組長應(yīng)由以下哪個選項(xiàng)擔(dān)任？A、最高管理層B、信息技術(shù)部門領(lǐng)導(dǎo)C、業(yè)務(wù)部門領(lǐng)導(dǎo)D、外部專家【正確答案】：D170.負(fù)責(zé)制定、執(zhí)行和維護(hù)內(nèi)部安全控制制度的責(zé)任在于:A、IS審計(jì)員.B、管理層.C、外部審計(jì)師.D、程序開發(fā)人員.【正確答案】：B171.組織在制定災(zāi)難恢復(fù)計(jì)劃時，應(yīng)該最先針對以下哪點(diǎn)制定A、所有信息系統(tǒng)流程B、所有應(yīng)用系統(tǒng)流程C、信息系統(tǒng)經(jīng)理指派的路程D、業(yè)務(wù)經(jīng)理定義的流程優(yōu)先級【正確答案】：C172.PDCA特征的描述不正確的是A、順序進(jìn)行，周而復(fù)始，發(fā)現(xiàn)問題，分析問題，然后是解決問題B、大環(huán)套小環(huán)，安全目標(biāo)的達(dá)成都是分解成多個小目標(biāo)，一層層地解決問題C、階梯式上升，每次循環(huán)都要進(jìn)行總結(jié)，鞏固成績，改進(jìn)不足D、信息安全風(fēng)險(xiǎn)管理的思路不符合PDCA的問題解決思路【正確答案】：D173.維持對于信息資產(chǎn)的適當(dāng)?shù)陌踩胧┑呢?zé)任在于A、安全管理員B、系統(tǒng)管理員C、數(shù)據(jù)和系統(tǒng)的所有者D、系統(tǒng)作業(yè)人員【正確答案】：C174.下列關(guān)于Kerberos的描述，哪一項(xiàng)是正確的？A、埃及神話中的有三個頭的狗。B、安全模型。C、遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)器。D、一個值得信賴的第三方認(rèn)證協(xié)議。【正確答案】：D175.定義ISMS范圍時，下列哪項(xiàng)不是考慮的重點(diǎn)A、組織現(xiàn)有的部門B、信息資產(chǎn)的數(shù)量與分布C、信息技術(shù)的應(yīng)用區(qū)域D、IT人員數(shù)量【正確答案】：D176.如果數(shù)據(jù)中心發(fā)生災(zāi)難，下列那一項(xiàng)完整恢復(fù)一個關(guān)鍵數(shù)據(jù)庫的策略是最適合的?A、每日備份到磁帶并存儲到異地B、實(shí)時復(fù)制到異地C、硬盤鏡像到本地服務(wù)器D、實(shí)時數(shù)據(jù)備份到本地網(wǎng)格存儲【正確答案】：A177.以下哪些不是介質(zhì)類資產(chǎn)：A、紙質(zhì)文檔B、存儲介質(zhì)C、軟件介質(zhì)D、憑證【正確答案】：A178.下列崗位哪個在招聘前最需要進(jìn)行背景調(diào)查？A、采購人員B、銷售人員C、財(cái)務(wù)總監(jiān)D、行政人員【正確答案】：C179.相對于不存在災(zāi)難恢復(fù)計(jì)劃，和當(dāng)前災(zāi)難恢復(fù)計(jì)劃的成本對比，最接近的是：A、增加B、減少C、保持不變D、不可預(yù)知【正確答案】：B180.以下有關(guān)訪問控制的描述不正確的是A、口令是最常見的驗(yàn)證身份的措施，也是重要的信息資產(chǎn)，應(yīng)妥善保護(hù)和管理B、系統(tǒng)管理員在給用戶分配訪問權(quán)限時，應(yīng)該遵循“最小特權(quán)原則”，即分配給員工的訪問權(quán)限只需滿足其工作需要的權(quán)限，工作之外的權(quán)限一律不能分配C、單點(diǎn)登錄系統(tǒng)（一次登錄/驗(yàn)證，即可訪問多個系統(tǒng)）最大的優(yōu)勢是提升了便利性，但是又面臨著“把所有雞蛋放在一個籃子”的風(fēng)險(xiǎn)；D、雙因子認(rèn)證（又稱強(qiáng)認(rèn)證）就是一個系統(tǒng)需要兩道密碼才能進(jìn)入；【正確答案】：D181.在正常情況下，應(yīng)急響應(yīng)計(jì)劃培訓(xùn)應(yīng)該至少多久一次A、1年B、2年C、半年D、5年【正確答案】：D182.下面哪項(xiàng)不是實(shí)施信息安全管理的關(guān)鍵成功因素A、理解組織文化B、得到高層承諾C、部署安全產(chǎn)品D、納入獎懲機(jī)制【正確答案】：C183.防范密碼嗅探攻擊計(jì)算機(jī)系統(tǒng)的控制措施包括下列哪一項(xiàng)？A、靜態(tài)和重復(fù)使用的密碼。B、加密和重復(fù)使用的密碼。C、一次性密碼和加密。D、靜態(tài)和一次性密碼?！菊_答案】：C184.ISO27004是指以下哪個標(biāo)準(zhǔn)A、《信息安全管理體系要求》B、《信息安全管理實(shí)用規(guī)則》C、《信息安全管理度量》D、《ISMS實(shí)施指南》【正確答案】：C185.評估應(yīng)急響應(yīng)計(jì)劃時，下列哪一項(xiàng)應(yīng)當(dāng)最被關(guān)注：A、災(zāi)難等級基于受損功能的范圍，而不是持續(xù)時間B、低級別災(zāi)難和軟件事件之間的區(qū)別不清晰C、總體應(yīng)急響應(yīng)計(jì)劃被文檔化，但詳細(xì)恢復(fù)步驟沒有規(guī)定D、事件通告的職責(zé)沒有被識別【正確答案】：B186.由于病毒攻擊、非法入侵等原因，校園網(wǎng)部分樓宇出現(xiàn)網(wǎng)絡(luò)癱瘓，或者FTP及部分網(wǎng)站服務(wù)器不能響應(yīng)用戶請求，屬于以下哪種級別事件A、特別重大事件B、重大事件C、較大事件D、一般事件【正確答案】：D187.在軟件程序測試的哪個階段一個組織應(yīng)該進(jìn)行體系結(jié)構(gòu)設(shè)計(jì)測試?A、可接受性測試B、系統(tǒng)測試C、集成測試D、單元測試【正確答案】：C188.除以下哪項(xiàng)可作為ISMS審核（包括內(nèi)審和外審）的依據(jù)，文件審核、現(xiàn)場審核的依據(jù)？A、機(jī)房登記記錄B、信息安全管理體系C、權(quán)限申請記錄D、離職人員的口述【正確答案】：D189.在計(jì)算可接受的關(guān)鍵業(yè)務(wù)流程恢復(fù)時間時A、只需考慮停機(jī)時間的成本B、需要分析恢復(fù)操作的成本C、停機(jī)時間成本和恢復(fù)操作成本都需要考慮D、可以忽略間接的停機(jī)成本【正確答案】：A190.從目前的情況看，對所有的計(jì)算機(jī)系統(tǒng)來說，以下哪種威脅是最為嚴(yán)重的，可能造成巨大的損害？A、沒有充分訓(xùn)練或粗心的用戶B、第三方C、黑客D、心懷不滿的雇員【正確答案】：D191.對于信息安全風(fēng)險(xiǎn)的描述不正確的是A、企業(yè)信息安全風(fēng)險(xiǎn)管理就是要做到零風(fēng)險(xiǎn)B、在信息安全領(lǐng)域，風(fēng)險(xiǎn)就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負(fù)面影響及其潛在可能性C、風(fēng)險(xiǎn)管理就是以可接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程。D、風(fēng)險(xiǎn)評估就是對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點(diǎn)以及威脅發(fā)生的可能性的評估?！菊_答案】：A192.評估業(yè)務(wù)連續(xù)計(jì)劃效果最好的方法是：A、使用適當(dāng)?shù)臉?biāo)準(zhǔn)進(jìn)行規(guī)劃和比較B、之前的測試結(jié)果C、緊急預(yù)案和員工培訓(xùn)D、環(huán)境控制和存儲站點(diǎn)【正確答案】：C193.以下哪個不屬于信息安全的三要素之一？A、機(jī)密性B、完整性C、抗抵賴性D、可用性【正確答案】：C194.以下哪個命令可以查看端口對應(yīng)的PIDA、netstat-anoB、ipconfig/allC、tracertD、netsh【正確答案】：C195.以下有關(guān)通信與日常操作描述不正確的是？A、信息系統(tǒng)的變更應(yīng)該是受控的B、企業(yè)在崗位設(shè)計(jì)和人員工作分配時應(yīng)該遵循職責(zé)分離的原則C、移動介質(zhì)使用是一個管理難題，應(yīng)該采取有效措施，防止信息泄漏D、所有日常操作按照最佳實(shí)踐來進(jìn)行操作，無需形成操作手冊?！菊_答案】：C196.BIBA模型基于兩種規(guī)則來保障數(shù)據(jù)的完整性的保密性，分別是：A、上讀，主體不可讀安全級別高于它的數(shù)據(jù)；下寫，主體不可寫安全級別低于它的數(shù)據(jù)B、下讀，主體不可讀安全級別高于它的數(shù)據(jù)；上寫，主體不可寫安全級別低于它的數(shù)據(jù)C、上讀，主體不可讀安全級別低于它的數(shù)據(jù)；下寫，主體不可寫安全級別高于它的數(shù)據(jù)D、下讀，主體不可讀安全級別低于它的數(shù)據(jù)；上寫，主體不可寫安全級別高于它的數(shù)據(jù)【正確答案】：B197.在一家企業(yè)的業(yè)務(wù)持續(xù)性計(jì)劃中，什么情況被宣布為一個危機(jī)沒有被定義。這一點(diǎn)關(guān)系到的主要風(fēng)險(xiǎn)是：A、對這種情況的評估可能會延遲B、災(zāi)難恢復(fù)計(jì)劃的執(zhí)行可能會被影響C、團(tuán)隊(duì)通知可能不會發(fā)生D、對潛在危機(jī)的識別可能會無效【正確答案】：B198.給計(jì)算機(jī)系統(tǒng)的資產(chǎn)分配的記號被稱為什么A、安全屬性B、安全特征C、安全標(biāo)記D、安全級別【正確答案】：A199.降低風(fēng)險(xiǎn)的控制措施有很多，下面哪一個不屬于降低風(fēng)險(xiǎn)的措施？A、在網(wǎng)絡(luò)上部署防火墻B、對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密C、制定機(jī)房安全管理制度D、購買物理場所的財(cái)產(chǎn)保險(xiǎn)【正確答案】：D200.企業(yè)信息資產(chǎn)的管理和控制的描述不正確的是A、企業(yè)應(yīng)該建立和維護(hù)一個完整的信息資產(chǎn)清單，并明確信息資產(chǎn)的管控責(zé)任；B、企業(yè)應(yīng)該根據(jù)信息資產(chǎn)的重要性和安全級別的不同要求，采取對應(yīng)的管控措施；C、企業(yè)的信息資產(chǎn)不應(yīng)該分類分級，所有的信息系統(tǒng)要統(tǒng)一對待D、企業(yè)可以根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來識別所有的信息資產(chǎn)【正確答案】：C201.一個公司解雇了一個數(shù)據(jù)庫管理員,并且解雇時立刻取消了數(shù)據(jù)庫管理員對公司所有系統(tǒng)的訪問權(quán),但是數(shù)據(jù)管理員威脅說數(shù)據(jù)庫在兩個月內(nèi)將被刪除，除非公司付他一大筆錢。數(shù)據(jù)管理員最有可能采用下面哪種手段刪除數(shù)據(jù)庫？A、放置病毒B、蠕蟲感染C、DoS攻擊D、邏輯炸1彈攻擊【正確答案】：D202.在準(zhǔn)備災(zāi)難恢復(fù)計(jì)劃時下列哪項(xiàng)應(yīng)該首先實(shí)施？A、做出恢復(fù)策略B、執(zhí)行業(yè)務(wù)影響分析C、明確軟件系統(tǒng)、硬件和網(wǎng)絡(luò)組件結(jié)構(gòu)D、委任具有明確的雇員、角色和層級的恢復(fù)團(tuán)隊(duì)【正確答案】：D203.以下哪項(xiàng)描述是錯誤的A、應(yīng)急響應(yīng)計(jì)劃與應(yīng)急響應(yīng)這兩個方面是相互補(bǔ)充與促進(jìn)的關(guān)系B、應(yīng)急響應(yīng)計(jì)劃為信息安全事件發(fā)生后的應(yīng)急響應(yīng)提供了指導(dǎo)策略和規(guī)程C、應(yīng)急響應(yīng)可能發(fā)現(xiàn)事前應(yīng)急響應(yīng)計(jì)劃的不足D、應(yīng)急響應(yīng)必須完全依照應(yīng)急響應(yīng)計(jì)劃執(zhí)行【正確答案】：D204.在檢查IT安全風(fēng)險(xiǎn)管理程序，安全風(fēng)險(xiǎn)的測量應(yīng)該A、列舉所有的網(wǎng)絡(luò)風(fēng)險(xiǎn)B、對應(yīng)IT戰(zhàn)略計(jì)劃持續(xù)跟蹤C(jī)、考慮整個IT環(huán)境D、識別對(信息系統(tǒng))的弱點(diǎn)的容忍度的結(jié)果【正確答案】：C205.下面安全策略的特性中，不包括哪一項(xiàng)？A、指導(dǎo)性B、靜態(tài)性C、可審核性D、非技術(shù)性【正確答案】：B206.下列哪一項(xiàng)是首席安全官的正常職責(zé)？A、定期審查和評價安全策略B、執(zhí)行用戶應(yīng)用系統(tǒng)和軟件測試與評價C、授予或廢除用戶對IT資源的訪問權(quán)限D(zhuǎn)、批準(zhǔn)對數(shù)據(jù)和應(yīng)用系統(tǒng)的訪問權(quán)限【正確答案】：B207.災(zāi)難恢復(fù)SHARE78的第三層是指A、卡車運(yùn)送B、電子鏈接C、活動狀態(tài)的備份中心D、0數(shù)據(jù)丟失【正確答案】：B208.構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有哪些？A、人，財(cái)，物B、技術(shù)，管理和操作C、資產(chǎn)，威脅和弱點(diǎn)D、資產(chǎn)，可能性和嚴(yán)重性【正確答案】：C209.在信息處理設(shè)施（IPF）的硬件更換之后，業(yè)務(wù)連續(xù)性流程經(jīng)理首先應(yīng)該實(shí)施下列哪項(xiàng)活動？A、驗(yàn)證與熱門站點(diǎn)的兼容性B、檢查實(shí)施報(bào)告C、進(jìn)行災(zāi)難恢復(fù)計(jì)劃的演練D、更新信息資產(chǎn)清單【正確答案】：B210.對信息安全的理解，正確的是A、信息資產(chǎn)的保密性、完整性和可用性不受損害的能力，是通過信息安全保障措施實(shí)現(xiàn)的B、通過信息安全保障措施，確保信息不被丟失C、通過信息安全保證措施，確保固定資產(chǎn)及相關(guān)財(cái)務(wù)信息的完整性D、通過技術(shù)保障措施，確保信息系統(tǒng)及財(cái)務(wù)數(shù)據(jù)的完整性、機(jī)密性及可用性【正確答案】：A211.下列哪項(xiàng)是多級安全策略的必要組成部分？A、主體、客體的敏感標(biāo)簽和自主訪問控制。B、客體敏感標(biāo)簽和強(qiáng)制訪問控制。C、主體的安全憑證、客體的安全標(biāo)簽和強(qiáng)制訪問控制。D、主體、客體的敏感標(biāo)簽和對其“系統(tǒng)高安全模式”的評價【正確答案】：C212.一個個人經(jīng)濟(jì)上存在問題的公司職員有權(quán)獨(dú)立訪問高敏感度的信息，他可能竊取這些信息賣給公司的競爭對手，如何控制這個風(fēng)險(xiǎn)A、開除這名職員B、限制這名職員訪問敏感信息C、刪除敏感信息D、將此職員送公1安部門【正確答案】：B213.以下哪種做法是正確的“職責(zé)分離”做法？A、程序員不允許訪問產(chǎn)品數(shù)據(jù)文件B、程序員可以使用系統(tǒng)控制臺C、控制臺操作員可以操作磁帶和硬盤D、磁帶操作員可以使用系統(tǒng)控制臺【正確答案】：A214.建立應(yīng)急響應(yīng)計(jì)劃最重要的是A、業(yè)務(wù)影響分析B、測試及演練C、各部門的參與D、管理層的支持【正確答案】：B215.信息資產(chǎn)敏感性指的是：A、機(jī)密性B、完整性C、可用性D、安全性【正確答案】：A216.下面哪一個描術(shù)錯誤的A、ＴＣＰ是面向連接可靠的傳輸控制協(xié)議B、UDP是無連接用戶數(shù)據(jù)報(bào)協(xié)議C、UDP相比TCP的優(yōu)點(diǎn)是速度快D、TCP/IP協(xié)議本身具有安全特性【正確答案】：B217.在業(yè)務(wù)持續(xù)性計(jì)劃中，下面哪一項(xiàng)具有最高的優(yōu)先級？A、恢復(fù)關(guān)鍵流程B、恢復(fù)敏感流程C、恢復(fù)站點(diǎn)D、將運(yùn)行過程重新部署到一個替代的站點(diǎn)【正確答案】：B218.下面哪個是管理業(yè)務(wù)連續(xù)性計(jì)劃中最重要的方面?A、備份站點(diǎn)安全以及距離主站點(diǎn)的距離。B、定期測試恢復(fù)計(jì)劃C、完全測試過的備份硬件在備份站點(diǎn)可有D、多個網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)連接是可用【正確答案】：B219.恢復(fù)策略的選擇最可能取決于A、基礎(chǔ)設(shè)施和系統(tǒng)的恢復(fù)成本B、恢復(fù)站點(diǎn)的可用性C、關(guān)鍵性業(yè)務(wù)流程D、事件響應(yīng)流程【正確答案】：C220.下面那個不是信息安全風(fēng)險(xiǎn)的要素？A、資產(chǎn)及其價值B、數(shù)據(jù)安全C、威脅D、控制措施【正確答案】：B221.高層管理者對信息安全管理的承諾以下說法不正確的是？A、制定、評審、批準(zhǔn)信息安全方針。B、為信息安全提供明確的方向和支持。C、為信息安全提供所需的資源。D、對各項(xiàng)信息安全工作進(jìn)行執(zhí)行、監(jiān)督與檢查?！菊_答案】：D222.《關(guān)于信息安全等級保護(hù)的實(shí)施意見》中信息和信息系統(tǒng)安全保護(hù)等級的第三級的定義是A、自主保護(hù)級B、指導(dǎo)保護(hù)級C、強(qiáng)制保護(hù)級D、監(jiān)督保護(hù)級【正確答案】：D223.下列哪一項(xiàng)是一個適當(dāng)?shù)臏y試方法適用于業(yè)務(wù)連續(xù)性計(jì)劃(BCP)?A、試運(yùn)行B、紙面測試C、單元D、系統(tǒng)【正確答案】：D224.對于Linux操作系統(tǒng)中shadow文件說法不正確的是？A、shadow文件可以指定用戶的目錄B、shadow文件中定義了密碼的使用期限C、讀取shadow文件能夠發(fā)現(xiàn)秘鑰的加密方法D、shadow文件對于任何人是不可以讀取的【正確答案】：A225.信息資產(chǎn)分級的最關(guān)鍵要素是A、價值B、時間C、安全性D、所有者【正確答案】：A226.“如果一條鏈路發(fā)生故障，那么只有和該鏈路相連的終端才會受到影響”，這一說法是適合于以下哪一種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)的？A、星型B、樹型C、環(huán)型D、復(fù)合型【正確答案】：A227.哪一項(xiàng)不是業(yè)務(wù)影響分析（BIA）的工作內(nèi)容A、確定應(yīng)急響應(yīng)的恢復(fù)目標(biāo)B、確定公司的關(guān)鍵系統(tǒng)和業(yè)務(wù)C、確定業(yè)務(wù)面臨風(fēng)險(xiǎn)時的潛在損失和影響D、確定支持公司運(yùn)行的關(guān)鍵系統(tǒng)【正確答案】：C228.有關(guān)Kerberos說法下列哪項(xiàng)是正確的？A、它利用公鑰加密技術(shù)。B、它依靠對稱密碼技術(shù)。C、它是第二方的認(rèn)證系統(tǒng)。D、票據(jù)授予之后將加密數(shù)據(jù)，但以明文方式交換密碼【正確答案】：B229.信息安全屬性不包括以下哪個？A、保密性B、完整性C、可用性D、增值性【正確答案】：D230.在評估一個高可用性網(wǎng)絡(luò)的恢復(fù)能力時，下列情況風(fēng)險(xiǎn)最高：A、設(shè)備在地理位置上分散B、網(wǎng)絡(luò)服務(wù)器位于同一地點(diǎn)C、熱站就緒可以被激活D、網(wǎng)絡(luò)執(zhí)行了不同行程【正確答案】：B231.以下哪個模型主要用于金融機(jī)構(gòu)信息系統(tǒng)的保護(hù)？A、Chinesewall模型BIBA模型Clark－Wilson模型D、BMA模型【正確答案】：D232.對一項(xiàng)應(yīng)用的控制進(jìn)行了檢查,將會評估A、該應(yīng)用在滿足業(yè)務(wù)流程上的效率B、任何被發(fā)現(xiàn)風(fēng)險(xiǎn)影響C、業(yè)務(wù)流程服務(wù)的應(yīng)用D、應(yīng)用程序的優(yōu)化【正確答案】：B233.下面那一項(xiàng)不是風(fēng)險(xiǎn)評估的目的？A、分析組織的安全需求B、制訂安全策略和實(shí)施安防措施的依據(jù)C、組織實(shí)現(xiàn)信息安全的必要的、重要的步驟D、完全消除組織的風(fēng)險(xiǎn)【正確答案】：D234.為了有效的完成工作，信息系統(tǒng)安全部門員工最需要以下哪一項(xiàng)技能？A、人際關(guān)系技能B、項(xiàng)目管理技能C、技術(shù)技能D、溝通技能【正確答案】：D235.當(dāng)保護(hù)組織的信息系統(tǒng)時，在網(wǎng)絡(luò)防火墻被破壞以后，通常的下一道防線是下列哪一項(xiàng)？A、個人防火墻B、防病毒軟件C、入侵檢測系統(tǒng)D、虛擬局域網(wǎng)設(shè)置【正確答案】：C236.ISMS審核時，對審核發(fā)現(xiàn)中，以下哪個是屬于嚴(yán)重不符合項(xiàng)？A、關(guān)鍵的控制程序沒有得到貫徹，缺乏標(biāo)準(zhǔn)規(guī)定的要求可構(gòu)成嚴(yán)重不符合項(xiàng)B、風(fēng)險(xiǎn)評估方法沒有按照ISO27005（信息安全風(fēng)險(xiǎn)管理）標(biāo)準(zhǔn)進(jìn)行C、孤立的偶發(fā)性的且對信息安全管理體系無直接影響的問題；D、審核員識別的可能改進(jìn)項(xiàng)【正確答案】：D237.有效減少偶然或故意的未授權(quán)訪問、誤用和濫用的有效方法是如下哪項(xiàng)？A、訪問控制B、職責(zé)分離C、加密D、認(rèn)證【正確答案】：B238.風(fēng)險(xiǎn)評估的基本過程是怎樣的？A、識別并評估重要的信息資產(chǎn)，識別各種可能的威脅和嚴(yán)重的弱點(diǎn)，最終確定風(fēng)險(xiǎn)B、通過以往發(fā)生的信息安全事件，找到風(fēng)險(xiǎn)所在C、風(fēng)險(xiǎn)評估就是對照安全檢查單，查看相關(guān)的管理和技術(shù)措施是否到位D、風(fēng)險(xiǎn)評估并沒有規(guī)律可循，完全取決于評估者的經(jīng)驗(yàn)所在【正確答案】：A239.較低的恢復(fù)時間目標(biāo)（恢復(fù)時間目標(biāo)）的會有如下結(jié)果：A、更高的容災(zāi)B、成本較高C、更長的中斷時間D、更多許可的數(shù)據(jù)丟失【正確答案】：D240.使用熱站作為備份的優(yōu)點(diǎn)是：A、熱站的費(fèi)用低B、熱站能夠延長使用時間C、熱站在短時間內(nèi)可運(yùn)作D、熱站不需要和主站點(diǎn)兼容的設(shè)備和系統(tǒng)軟件【正確答案】：A241.在開發(fā)一個風(fēng)險(xiǎn)管理程序時，什么是首先完成的活動A、威脅評估B、數(shù)據(jù)分類C、資產(chǎn)清單D、關(guān)鍵程度分析【正確答案】：C242.信息資產(chǎn)面臨的主要威脅來源主要包括A、自然災(zāi)害B、系統(tǒng)故障C、內(nèi)部人員操作失誤D、以上都包括【正確答案】：D243.以下哪些不屬于敏感性標(biāo)識A、不干貼方式B、印章方式C、電子標(biāo)簽D、個人簽名【正確答案】：D244.在完成了業(yè)務(wù)影響分析（BIA）后，下一步的業(yè)務(wù)持續(xù)性計(jì)劃應(yīng)該是什么A、測試和維護(hù)業(yè)務(wù)持續(xù)性計(jì)劃B、制定一個針對性計(jì)劃C、制定恢復(fù)策略D、實(shí)施業(yè)務(wù)持續(xù)性計(jì)劃【正確答案】：C245.如果雙方使用的密鑰不同，從其中的一個密鑰很難推出另外一個密鑰，這樣的系統(tǒng)稱為A、常規(guī)加密系統(tǒng)B、單密鑰加密系統(tǒng)C、公鑰加密系統(tǒng)D、對稱加密系統(tǒng)【正確答案】：B246.對于信息安全管理，風(fēng)險(xiǎn)評估的方法比起基線的方法，主要的優(yōu)勢在于它確保A、信息資產(chǎn)被過度保護(hù)B、不考慮資產(chǎn)的價值，基本水平的保護(hù)都會被實(shí)施C、對信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)D、對所有信息資產(chǎn)保護(hù)都投入相同的資源【正確答案】：C247.在一個業(yè)務(wù)繼續(xù)計(jì)劃的模擬演練中，發(fā)現(xiàn)報(bào)警系統(tǒng)嚴(yán)重受到設(shè)施破壞。下列選項(xiàng)中，哪個是可以提供的最佳建議：A、培訓(xùn)救護(hù)組如何使用報(bào)警系統(tǒng)B、報(bào)警系統(tǒng)為備份提供恢復(fù)C、建立冗余的報(bào)警系統(tǒng)D、把報(bào)警系統(tǒng)存放地窖里【正確答案】：D248.以下哪些不屬于脆弱性范疇？A、黑客攻擊B、操作系統(tǒng)漏洞C、應(yīng)用程序BUGD、人員的不良操作習(xí)慣【正確答案】：A249.在系統(tǒng)實(shí)施后評審過程中，應(yīng)該執(zhí)行下面哪個活動？A、用戶驗(yàn)收測試B、投資收益分析C、激活審計(jì)模塊D、更新未來企業(yè)架構(gòu)【正確答案】：B250.計(jì)算機(jī)安全事故發(fā)生時，下列哪些人不被通知或者最后才被通知：A、系統(tǒng)管理員B、律師C、恢復(fù)協(xié)調(diào)員D、硬件和軟件廠商【正確答案】：B251.以下哪種風(fēng)險(xiǎn)被定義為合理的風(fēng)險(xiǎn)？A、最小的風(fēng)險(xiǎn)B、可接收風(fēng)險(xiǎn)C、殘余風(fēng)險(xiǎn)D、總風(fēng)險(xiǎn)【正確答案】：B252.以下哪組全部是完整性模型？A、BLP模型和BIBA模型BIBA模型和Clark－Wilson模型Chinesewall模型和BIBA模型D、Clark－Wilson模型和Chinesewall模型【正確答案】：D253.下面哪一個不是脆弱性識別的手段A、人員訪談B、技術(shù)工具檢測C、信息資產(chǎn)核查D、安全專家人工分析【正確答案】：C254.在招聘過程中，如果在崗位人員的背景調(diào)查中出現(xiàn)問題時，以下做法正確的是？A、繼續(xù)執(zhí)行招聘流程。B、停止招聘流程，取消應(yīng)聘人員資格。C、與應(yīng)聘人員溝通出現(xiàn)的問題。D、再進(jìn)行一次背景調(diào)查。【正確答案】：B255.以下哪一個選項(xiàng)是從軟件自身功能出發(fā)，進(jìn)行威脅分析A、攻擊面分析B、威脅建模C、架構(gòu)設(shè)計(jì)D、詳細(xì)設(shè)計(jì)【正確答案】：C256.以下描述中不屬于SSH用途的為？A、用于遠(yuǎn)程的安全管理，使用SSH客戶端連接遠(yuǎn)程SSH服務(wù)器，建立安全的Shell交互環(huán)境B、用于本地到遠(yuǎn)程隧道的建立，進(jìn)而提供安全通道，保證某些業(yè)務(wù)安全傳輸C、進(jìn)行對本地?cái)?shù)據(jù)使用SSH的秘鑰進(jìn)行加密報(bào)錯，以提高其業(yè)務(wù)的可靠性D、SCP遠(yuǎn)程安全數(shù)據(jù)復(fù)制借助SSH協(xié)議進(jìn)行傳輸，SSH提供其安全隧道保障【正確答案】：C257.安全評估人員正為某個醫(yī)療機(jī)構(gòu)的生產(chǎn)和測試環(huán)境進(jìn)行評估。在訪談中，注意到生產(chǎn)數(shù)據(jù)被用于測試環(huán)境測試，這種情況下存在哪種最有可能的潛在風(fēng)險(xiǎn)？A、測試環(huán)境可能沒有充足的控制確保數(shù)據(jù)的精確性B、測試環(huán)境可能由于使用生產(chǎn)數(shù)據(jù)而產(chǎn)生不精確的結(jié)果C、測試環(huán)境的硬件可能與生產(chǎn)環(huán)境的不同D、測試環(huán)境可能沒有充分的訪問控制以確保數(shù)據(jù)機(jī)密性【正確答案】：D258.下面哪一項(xiàng)不是風(fēng)險(xiǎn)評估的過程？A、風(fēng)險(xiǎn)因素識別B、風(fēng)險(xiǎn)程度分析C、風(fēng)險(xiǎn)控制選擇D、風(fēng)險(xiǎn)等級評價【正確答案】：C259.關(guān)于信息安全策略文件的評審以下說法不正確的是哪個？A、信息安全策略應(yīng)由專人負(fù)責(zé)制定、評審。B、信息安全策略評審每年應(yīng)進(jìn)行兩次，上半年、下半年各進(jìn)行一次。C、在信息安全策略文件的評審過程中應(yīng)考慮組織業(yè)務(wù)的重大變化。D、在信息安全策略文件的評審過程中應(yīng)考慮相關(guān)法律法規(guī)及技術(shù)環(huán)境的重大變化?！菊_答案】：B260.在實(shí)施風(fēng)險(xiǎn)管理程序的時候，下列哪一項(xiàng)應(yīng)該被最先考慮到：A、組織的威脅，弱點(diǎn)和風(fēng)險(xiǎn)概貌的理解B、揭露風(fēng)險(xiǎn)的理解和妥協(xié)的潛在后果C、基于潛在結(jié)果的風(fēng)險(xiǎn)管理優(yōu)先級的決心D、風(fēng)險(xiǎn)緩解戰(zhàn)略足夠使風(fēng)險(xiǎn)的結(jié)果保持在一個可以接受的水平上【正確答案】：A261.以下關(guān)于風(fēng)險(xiǎn)評估的描述不正確的是？A、作為風(fēng)險(xiǎn)評估的要素之一，威脅發(fā)生的可能需要被評估B、作為風(fēng)險(xiǎn)評估的要素之一，威脅發(fā)生后產(chǎn)生的影響需要被評估C、風(fēng)險(xiǎn)評估是風(fēng)險(xiǎn)管理的第一步D、風(fēng)險(xiǎn)評估是風(fēng)險(xiǎn)管理的最終結(jié)果【正確答案】：B262.在Linux操作系統(tǒng)中，為了授權(quán)用戶具有管理員的某些個性需求的權(quán)限所采取的措施是什么？A、告訴其他用戶root密碼B、將普通用戶加入到管理員組C、使用visudo命令授權(quán)用戶的個性需求D、創(chuàng)建單獨(dú)的虛擬賬戶【正確答案】：C263.設(shè)施、網(wǎng)絡(luò)、平臺、介質(zhì)、應(yīng)用類信息資產(chǎn)的保密期限為A、3年B、長期C、4月D、短期【正確答案】：B264.在一份業(yè)務(wù)持續(xù)計(jì)劃，下列發(fā)現(xiàn)中哪一項(xiàng)是最重要的？A、不可用的交互PBX系統(tǒng)B、骨干網(wǎng)備份的缺失C、用戶PC機(jī)缺乏備份機(jī)制D、門禁系統(tǒng)的失效【正確答案】：B265.下列哪個為我國計(jì)算機(jī)安全測評機(jī)構(gòu)A、CNITSECB、TCSECC、FCD、CC【正確答案】：B266.對磁介質(zhì)的最有效好銷毀方法是？A、格式化B、物理破壞C、消磁D、刪除【正確答案】：B267.矩陣分析法通常是哪種風(fēng)險(xiǎn)評估采用的方法A、定性風(fēng)險(xiǎn)評估B、定量分析評估C、安全漏洞評估D、安全管理評估【正確答案】：A268.以下哪個不可以作為ISMS管理評審的輸入A、ISMS審計(jì)和評審的結(jié)果B、來自利益伙伴的反饋C、某個信息安全項(xiàng)目的技術(shù)方案D、預(yù)防和糾正措施的狀態(tài)【正確答案】：C269.下面哪一個不是系統(tǒng)設(shè)計(jì)階段風(fēng)險(xiǎn)管理的工作內(nèi)容A、安全技術(shù)選擇B、軟件設(shè)計(jì)風(fēng)險(xiǎn)控制C、安全產(chǎn)品選擇D、安全需求分析【正確答案】：D270.以下對信息安全描述不正確的是A、信息安全的基本要素包括保密性、完整性和可用性