ISO27001信息安全體系培訓(xùn)試題

1、ISO27001信息安全體系培訓(xùn)試題基本信息：矩陣文本題 *姓名：_部門：_員工編號:_一、判斷題（每題1分，共10分）1. 電子商務(wù)應(yīng)用不可能存在帳號失竊的問題 判斷題 *對錯(正確答案)2. 為了信息安全，在使用密碼時建議使用大寫字母、小寫字母、數(shù)字、特殊符號組成的密碼 判斷題 *對(正確答案)錯3. 員工缺乏基本的安全意識，缺乏統(tǒng)一規(guī)范的安全教育培訓(xùn)是信息安全管理現(xiàn)狀存在的問題之一 判斷題 *對(正確答案)錯4. 超過70%的信息安全事件，如果事先加強管理，都可以得到避免 判斷題 *對(正確答案)錯5. 由于許多信息系統(tǒng)并非在設(shè)計是充分考慮了安全，依靠技術(shù)手段實現(xiàn)安全很有限，必須依靠必要

2、的管理手段來支持 判斷題 *對(正確答案)錯6. 企業(yè)需要建造一個全面、均衡的測量體系，用于評估信息安全管理的效用以及改進反饋建議 判斷題 *對(正確答案)錯7. 通過合理的組織體系、規(guī)章制度和控管措施，把具有信息安全保障功能的軟硬件設(shè)施和管理以及使用信息的人整合在一起，以此確保整個組織達到預(yù)定程度的信息安全，稱為信息安全管理 判斷題 *對錯(正確答案)8. 信息安全策略應(yīng)涉及以下領(lǐng)域：安全制度管理、信息安全組織管理、資產(chǎn)管理、人員安全管理、物理與環(huán)境安全管理、通信與運營管理、訪問控制管理、系統(tǒng)開發(fā)與維護管理、信息安全事故管理、業(yè)務(wù)連續(xù)性管理、合規(guī)性管理 判斷題 *對(正確答案)錯9. 離開電

3、腦可以不鎖屏 判斷題 *對錯(正確答案)10. 未經(jīng)許可可以開啟和使用遠程訪問端口 判斷題 *對錯(正確答案)二、單選題（每題3分，共75分）11. 依據(jù)ISO27001，制定信息安全管理體系方針，應(yīng)予以考慮的輸入是 單選題 *A.業(yè)務(wù)戰(zhàn)略B.法律法規(guī)要求C.合同要求D.以上全部(正確答案)12. 風險評估過程一般應(yīng)包括 單選題 *A.風險識別B.風險分析C.風險評價D.以上都是(正確答案)13. 依據(jù)ISO27001，以下符合責任分割原則的是 單選題 *A.某數(shù)據(jù)中心機房運維工程師負責制定機房訪問控制策略，為方便巡檢，登錄門禁系統(tǒng)為自己配置了各個機房的不限時門禁權(quán)限B.某公司由信息安全官（C

4、IO）負責制定訪問控制策略，為信息系統(tǒng)管理員的登錄權(quán)限授權(quán)時，由另外5位副總到場分別輸入自己的口令然后完成授權(quán)(正確答案)C.某公司制定了訪問權(quán)限列表，信息系統(tǒng)權(quán)限分配為：董事長擁有全部權(quán)限，其次為副總，再其次為主管經(jīng)理，依次類推，運維工程師因職務(wù)最低，故擁有最少權(quán)限D(zhuǎn).以上均符合責任分割原則14. 依據(jù)IS27001，建立資產(chǎn)清單即： 單選題 *A.列明信息生命周期內(nèi)關(guān)聯(lián)到的資產(chǎn)，明確其對組織業(yè)務(wù)的關(guān)鍵性B.完整采用組織的固定資產(chǎn)臺賬，同時指定資產(chǎn)責任人C.資產(chǎn)價格越高，往往意味著功能越全，因此資產(chǎn)重要性等級就越高D.A+B(正確答案)15. 以下不正確說法的是 單選題 *A.保留含有敏感信

5、息的介質(zhì)的處置記錄B.將大量含有信息的介質(zhì)匯集在一起時提高其集體敏感性等級C.將所有的已用過一遍的復(fù)印紙分配各部門復(fù)用以符合組織的節(jié)能策略(正確答案)D.根據(jù)風險評估的結(jié)果將轉(zhuǎn)移更換下列的磁盤交第三方進行處置16. 信息安全是保證信息的保密性、完整性、 單選題 *A.充分性B.適宜性C.可用性(正確答案)D.有效性17. 依據(jù)ISO27001，關(guān)于網(wǎng)絡(luò)服務(wù)的訪問控制策略，以下正確的說法是 單選題 *A.沒有描述為禁止訪問的網(wǎng)絡(luò)服務(wù)，應(yīng)為允許訪問的網(wǎng)絡(luò)服務(wù)B.對于允許訪問的網(wǎng)絡(luò)服務(wù)，默認可通過無線、VPN等多種手段連接C.對于允許訪問的網(wǎng)絡(luò)服務(wù)，按照規(guī)定的授權(quán)機制進行授權(quán)(正確答案)D.以上都對

6、18. 關(guān)于用戶訪問權(quán)，以下做法正確的是 單選題 *A.用戶職位變更時，其原訪問權(quán)應(yīng)終止或撤銷(正確答案)B.抽樣進行針對信息系統(tǒng)用戶訪問權(quán)的定期評審C.組織主動解聘員工時等不必復(fù)審員工訪問權(quán)D.使用監(jiān)控系統(tǒng)可替代用戶訪問權(quán)評審19. 防止計算機中信息被竊采取的手段不包括 單選題 *A.用戶識別B.權(quán)限控制C.數(shù)據(jù)加密D.病毒控制(正確答案)20. 關(guān)于信息系統(tǒng)登錄口令的管理，以下說法不正確的是 單選題 *A.必要時，使用密碼技術(shù)，生物特征等代替口令B.用提示信息告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略(正確答案)C.名曲告知用戶應(yīng)遵從的優(yōu)質(zhì)口令策略D.使用互動式管理確保用戶使用優(yōu)質(zhì)口令21. 物理安全周

7、邊的安全設(shè)置應(yīng)考慮 單選題 *A.區(qū)域內(nèi)信息和資產(chǎn)的敏感性分類B.重點考慮計算機機房，而不是辦公區(qū)域或其它功能區(qū)C.入侵探測和報警機制D.A+C(正確答案)22. 以下屬于安全辦公區(qū)域控制的措施是 單選題 *A.敏感信息處理設(shè)施避免放置在和外部方共用的辦公區(qū)(正確答案)B.顯著標記“敏感檔案存儲區(qū)，閑人免進”標識牌C.告知全體員工敏感區(qū)域的位置信息，教育員工保護其安全D.以上都對23. 口令管理應(yīng)該是（），并確保優(yōu)質(zhì)的口令 單選題 *A.唯一式B.交互式(正確答案)C.專人管理式D.以上都是24. 信息安全管理中，變更管理應(yīng)予以控制的風險包括() 單選題 *A.組織架構(gòu)、業(yè)務(wù)流程變更的風險B.

8、信息系統(tǒng)配置、物理位置變更的風險C.信息系統(tǒng)新的組件、功能模塊發(fā)布的風險D.以上全部(正確答案)25. 設(shè)備維護維修時，應(yīng)考慮的安全措施包括 單選題 *A.維護維修前，按規(guī)定程序處理或清除其中的信息B.維護維修后，檢查是否有未授權(quán)的新增功能C.敏感部件進行物理銷毀而不予送修D(zhuǎn).以上全部(正確答案)26. 不屬于計算機病毒防治的策略的是 單選題 *A.常備一張真正“干凈”的引導(dǎo)盤B.及時、可靠升級反病毒產(chǎn)品C.新購置的計算機軟件也要進行病毒檢測D.整理磁盤(正確答案)27. 不屬于常見的危險密碼是 單選題 *A.跟用戶名相同的密碼B.使用生日作為密碼C.只有4位數(shù)的密碼D.10位的綜合型密碼(正

9、確答案)28. 不屬于WEB服務(wù)器的安全措施的是 單選題 *A.保證注冊賬戶的時效性B.刪除死賬戶C.強制用戶使用不易被破解的密碼D.所有用戶使用一次性密碼(正確答案)29. 審核的工作文件包括 單選題 *A.檢查表B.審核抽樣計劃C.信息記錄表格D.以上全部(正確答案)30. 信息安全管理體系中提到的“資產(chǎn)責任人”是指 單選題 *A.對資產(chǎn)擁有財產(chǎn)權(quán)的人B.使用資產(chǎn)的人C.有權(quán)限變更資產(chǎn)安全屬性的人(正確答案)D.資產(chǎn)所在部門負責人31. 信息處理設(shè)施的變更管理不包括 單選題 *A.信息處理設(shè)施用途的變更B.信息處理設(shè)施故障部件的更換C.信息處理設(shè)施軟件的升級D.以上都不對(正確答案)32.

10、 定期備份和測試信息是指 單選題 *A.每次備份完成時對備份結(jié)果進行檢查，以確保備份效果B.對系統(tǒng)測試記錄進行定期備份C.定期備份、定期對備份數(shù)據(jù)的完整性和可用性進行測試(正確答案)D.定期檢查備份存儲介質(zhì)的容量33. 為了確保布纜安全，以下正確的做法是 單選題 *A.使用同一電纜管道鋪設(shè)電源電纜和通信電纜B.網(wǎng)絡(luò)電纜采用明線架設(shè)，以便于探查故障和維修C.配線盤應(yīng)盡量放置在公共可訪問區(qū)域，以便于應(yīng)急管理D.使用配線標記和設(shè)備標記，編制配線列表(正確答案)34. 以下不屬于信息安全事態(tài)或事件的是 單選題 *A.服務(wù)、設(shè)備或設(shè)施的丟失B.系統(tǒng)故障或超負載C.物理安全要求的違規(guī)D.安全策略變更的臨時

11、通知(正確答案)35. （）是建立有效的計算機病毒防御體系所需要的技術(shù)措施 單選題 *A.防火墻、網(wǎng)絡(luò)入侵檢測和防火墻B.漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻C.漏洞掃描、補丁管理系統(tǒng)和防火墻D.網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻(正確答案)三、多選題（每題3分，共15分）36. 信息安全三要素包括 *A.機密性(正確答案)B.完整性(正確答案)C.可用性(正確答案)D.安全性37. 信息安全的重要性體現(xiàn)在（） *A.信息安全是國家安全的需要(正確答案)B.信息安全是組織持續(xù)發(fā)展的需要(正確答案)C.信息安全是保護個人隱私與財產(chǎn)的需要(正確答案)D.信息安全是維護企業(yè)形象的需要38. 在工作當中，“上傳下載”的應(yīng)用存在的風險包括 *A.病毒木馬傳播(正確答案)B.身份偽造(正確答案)C.機密泄露(正確答案