CISP試題與答案(515多題整理版)

..1.以下對(duì)信息安全描述不正確的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企業(yè)信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行,使安全事件對(duì)業(yè)務(wù)造成的影響減到最小,確保組織業(yè)務(wù)運(yùn)行的連續(xù)性C.信息安全就是不出安全事故/事件D.信息安全不僅僅只考慮防止信息泄密就可以了[答案]C2.以下對(duì)信息安全管理的描述錯(cuò)誤的是A.保密性、完整性、可用性B.抗抵賴性、可追溯性C.真實(shí)性私密性可靠性D.增值性[答案]D3.以下對(duì)信息安全管理的描述錯(cuò)誤的是A.信息安全管理的核心就是風(fēng)險(xiǎn)管理B.人們常說(shuō),三分技術(shù),七分管理,可見管理對(duì)信息安全的重要性C.安全技術(shù)是信息安全的構(gòu)筑材料,安全管理是真正的粘合劑和催化劑D.信息安全管理工作的重點(diǎn)是信息系統(tǒng),而不是人[答案]D4.企業(yè)按照ＩＳＯ２７００１標(biāo)準(zhǔn)建立信息安全管理體系的過程中,對(duì)關(guān)鍵成功因素的描述不正確的是A.不需要全體員工的參入,只要ＩＴ部門的人員參入即可B.

來(lái)自高級(jí)管理層的明確的支持和承諾C.對(duì)企業(yè)員工提供必要的安全意識(shí)和技能的培訓(xùn)和教育D.

所有管理者、員工及其他伙伴方理解企業(yè)信息安全策略、指南和標(biāo)準(zhǔn),并遵照?qǐng)?zhí)行[答案]A5.信息安全管理體系〔ISMS是一個(gè)怎樣的體系,以下描述不正確的是A.ISMS是一個(gè)遵循PDCA模式的動(dòng)態(tài)發(fā)展的體系B.

ISMS是一個(gè)文件化、系統(tǒng)化的體系C.ISMS采取的各項(xiàng)風(fēng)險(xiǎn)控制措施應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估等途徑得出的需求而定D.

ISMS應(yīng)該是一步到位的,應(yīng)該解決所有的信息安全問題[答案]D6.PDCA特征的描述不正確的是A.順序進(jìn)行,周而復(fù)始,發(fā)現(xiàn)問題,分析問題,然后是解決問題B.

大環(huán)套小環(huán),安全目標(biāo)的達(dá)XX是分解成多個(gè)小目標(biāo),一層層地解決問題C.階梯式上升,每次循環(huán)都要進(jìn)行總結(jié),鞏固成績(jī),改進(jìn)不足D.

信息安全風(fēng)險(xiǎn)管理的思路不符合PDCA的問題解決思路[答案]D7.以下哪個(gè)不是信息安全項(xiàng)目的需求來(lái)源A.國(guó)家和地方政府法律法規(guī)與合同的要求B.

風(fēng)險(xiǎn)評(píng)估的結(jié)果C.組織原則目標(biāo)和業(yè)務(wù)需要D.

企業(yè)領(lǐng)導(dǎo)的個(gè)人意志[答案]D8.ISO27001認(rèn)證項(xiàng)目一般有哪幾個(gè)階段？A.管理評(píng)估,技術(shù)評(píng)估,操作流程評(píng)估B.

確定范圍和安全方針,風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)控制〔文件編寫,體系運(yùn)行,認(rèn)證C.產(chǎn)品方案需求分析,解決方案提供,實(shí)施解決方案D.

基礎(chǔ)培訓(xùn),RA培訓(xùn),文件編寫培訓(xùn),內(nèi)部審核培訓(xùn)[答案]B9.構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有哪些？A.人,財(cái),物B.

技術(shù),管理和操作C.資產(chǎn),威脅和弱點(diǎn)D.

資產(chǎn),可能性和嚴(yán)重性[答案]C10.以下哪些不是應(yīng)該識(shí)別的信息資產(chǎn)？A.

網(wǎng)絡(luò)設(shè)備B.客戶資料C.辦公桌椅D.系統(tǒng)管理員[答案]C11.以下哪些是可能存在的威脅因素？BA.

設(shè)備老化故障B.病毒和蠕蟲C.系統(tǒng)設(shè)計(jì)缺陷D.保安工作不得力[答案]B12.以下哪些不是可能存在的弱點(diǎn)問題？A.

保安工作不得力B.應(yīng)用系統(tǒng)存在BugC.內(nèi)部人員故意泄密D.物理隔離不足[答案]C13.風(fēng)險(xiǎn)評(píng)估的過程中,首先要識(shí)別信息資產(chǎn),資產(chǎn)識(shí)別時(shí),以下哪個(gè)不是需要遵循的原則？A.

只識(shí)別與業(yè)務(wù)及信息系統(tǒng)有關(guān)的信息資產(chǎn),分類識(shí)別B.所有公司資產(chǎn)都要識(shí)別C.可以從業(yè)務(wù)流程出發(fā),識(shí)別各個(gè)環(huán)節(jié)和階段所需要以及所產(chǎn)出的關(guān)鍵資產(chǎn)D.資產(chǎn)識(shí)別務(wù)必明確責(zé)任人、保管者和用戶[答案]B14.風(fēng)險(xiǎn)分析的目的是？A.

在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行技術(shù)平衡；B.在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行運(yùn)作平衡；C.在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行經(jīng)濟(jì)平衡；D.在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行法律平衡；[答案]C15.對(duì)于信息安全風(fēng)險(xiǎn)的描述不正確的是？A.企業(yè)信息安全風(fēng)險(xiǎn)管理就是要做到零風(fēng)險(xiǎn)B.

在信息安全領(lǐng)域,風(fēng)險(xiǎn)〔Risk就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來(lái)負(fù)面影響及其潛在可能性C.風(fēng)險(xiǎn)管理〔RiskManagement就是以可接受的代價(jià),識(shí)別控制減少或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程。D.

風(fēng)險(xiǎn)評(píng)估〔RiskAssessment就是對(duì)信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點(diǎn)以及威脅發(fā)生的可能性的評(píng)估。[答案]A16.有關(guān)定性風(fēng)險(xiǎn)評(píng)估和定量風(fēng)險(xiǎn)評(píng)估的區(qū)別,以下描述不正確的是A.定性風(fēng)險(xiǎn)評(píng)估比較主觀,而定量風(fēng)險(xiǎn)評(píng)估更客觀B.

定性風(fēng)險(xiǎn)評(píng)估容易實(shí)施,定量風(fēng)險(xiǎn)評(píng)估往往數(shù)據(jù)準(zhǔn)確性很難保證C.定性風(fēng)險(xiǎn)評(píng)估更成熟,定量風(fēng)險(xiǎn)評(píng)估還停留在理論階段D.

定性風(fēng)險(xiǎn)評(píng)估和定量風(fēng)險(xiǎn)評(píng)估沒有本質(zhì)區(qū)別,可以通用[答案]D17.降低企業(yè)所面臨的信息安全風(fēng)險(xiǎn),可能的處理手段不包括哪些A.通過良好的系統(tǒng)設(shè)計(jì)、及時(shí)更新系統(tǒng)補(bǔ)丁,降低或減少信息系統(tǒng)自身的缺陷B.

通過數(shù)據(jù)備份、雙機(jī)熱備等冗余手段來(lái)提升信息系統(tǒng)的可靠性；C.建立必要的安全制度和部署必要的技術(shù)手段,防范黑客和惡意軟件的攻擊D.

通過業(yè)務(wù)外包的方式,轉(zhuǎn)嫁所有的安全風(fēng)險(xiǎn)[答案]D18.風(fēng)險(xiǎn)評(píng)估的基本過程是怎樣的？A.識(shí)別并評(píng)估重要的信息資產(chǎn),識(shí)別各種可能的威脅和嚴(yán)重的弱點(diǎn),最終確定風(fēng)險(xiǎn)B.

通過以往發(fā)生的信息安全事件,找到風(fēng)險(xiǎn)所在C.風(fēng)險(xiǎn)評(píng)估就是對(duì)照安全檢查單,查看相關(guān)的管理和技術(shù)措施是否到位D.

風(fēng)險(xiǎn)評(píng)估并沒有規(guī)律可循,完全取決于評(píng)估者的經(jīng)驗(yàn)所在[答案]A19.企業(yè)從獲得良好的信息安全管控水平的角度出發(fā),以下哪些行為是適當(dāng)?shù)腁.只關(guān)注外來(lái)的威脅,忽視企業(yè)內(nèi)部人員的問題B.

相信來(lái)自陌生人的郵件,好奇打開郵件附件C.開著電腦離開,就像離開家卻忘記關(guān)燈那樣D.

及時(shí)更新系統(tǒng)和安裝系統(tǒng)和應(yīng)用的補(bǔ)丁[答案]D20.以下對(duì)ISO27001標(biāo)準(zhǔn)的描述不正確的是A.企業(yè)通過ISO27001認(rèn)證則必須符合ISO27001信息安全管理體系規(guī)范的所有要求B.

ISO27001標(biāo)準(zhǔn)與信息系統(tǒng)等級(jí)保護(hù)等國(guó)家標(biāo)準(zhǔn)相沖突C.ISO27001是源自于英國(guó)的國(guó)家標(biāo)準(zhǔn)BS7799D.

ISO27001是當(dāng)前國(guó)際上最被認(rèn)可的信息安全管理標(biāo)準(zhǔn)[答案]B21.對(duì)安全策略的描述不正確的是A.信息安全策略〔或者方針是由組織的最高管理者正式制訂和發(fā)布的描述企業(yè)信息安全目標(biāo)和方向,用于指導(dǎo)信息安全管理體系的建立和實(shí)施過程B.

策略應(yīng)有一個(gè)屬主,負(fù)責(zé)按復(fù)查程序維護(hù)和復(fù)查該策略C.安全策略的內(nèi)容包括管理層對(duì)信息安全目標(biāo)和原則的聲明和承諾；D.

安全策略一旦建立和發(fā)布,則不可變更；[答案]D22.以下對(duì)企業(yè)信息安全活動(dòng)的組織描述不正確的是A.企業(yè)應(yīng)該在組織內(nèi)建立發(fā)起和控制信息安全實(shí)施的管理框架。B.

企業(yè)應(yīng)該維護(hù)被外部合作伙伴或者客戶訪問和使用的企業(yè)信息處理設(shè)施和信息資產(chǎn)的安全。C.在沒有采取必要控制措施,包括簽署相關(guān)協(xié)議之前,不應(yīng)該授權(quán)給外部伙伴訪問。應(yīng)該讓外部伙伴意識(shí)到其責(zé)任和必須遵守的規(guī)定。D.

企業(yè)在開展業(yè)務(wù)活動(dòng)的過程中,應(yīng)該完全相信員工,不應(yīng)該對(duì)內(nèi)部員工采取安全管控措施[答案]D23.企業(yè)信息資產(chǎn)的管理和控制的描述不正確的是A.企業(yè)應(yīng)該建立和維護(hù)一個(gè)完整的信息資產(chǎn)清單,并明確信息資產(chǎn)的管控責(zé)任；B.

企業(yè)應(yīng)該根據(jù)信息資產(chǎn)的重要性和安全級(jí)別的不同要求,采取對(duì)應(yīng)的管控措施；C.企業(yè)的信息資產(chǎn)不應(yīng)該分類分級(jí),所有的信息系統(tǒng)要統(tǒng)一對(duì)待D.

企業(yè)可以根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來(lái)識(shí)別所有的信息資產(chǎn)[答案]C24.有關(guān)人員安全的描述不正確的是A.人員的安全管理是企業(yè)信息安全管理活動(dòng)中最難的環(huán)節(jié)B.

重要或敏感崗位的人員入職之前,需要做好人員的背景檢查C.企業(yè)人員預(yù)算受限的情況下,職責(zé)分離難以實(shí)施,企業(yè)對(duì)此無(wú)能為力,也無(wú)需做任何工作D.

人員離職之后,必須清除離職員工所有的邏輯訪問帳號(hào)[答案]C25.以下有關(guān)通信與日常操作描述不正確的是A.信息系統(tǒng)的變更應(yīng)該是受控的B.

企業(yè)在崗位設(shè)計(jì)和人員工作分配時(shí)應(yīng)該遵循職責(zé)分離的原則C.移動(dòng)介質(zhì)使用是一個(gè)管理難題,應(yīng)該采取有效措施,防止信息泄漏D.

內(nèi)部安全審計(jì)無(wú)需遵循獨(dú)立性、客觀性的原則[答案]D26.以下有關(guān)訪問控制的描述不正確的是A.口令是最常見的驗(yàn)證身份的措施,也是重要的信息資產(chǎn),應(yīng)妥善保護(hù)和管理B.

系統(tǒng)管理員在給用戶分配訪問權(quán)限時(shí),應(yīng)該遵循"最小特權(quán)原則",即分配給員工的訪問權(quán)限只需滿足其工作需要的權(quán)限,工作之外的權(quán)限一律不能分配C.單點(diǎn)登錄系統(tǒng)〔一次登錄/驗(yàn)證,即可訪問多個(gè)系統(tǒng)最大的優(yōu)勢(shì)是提升了便利性,但是又面臨著"把所有雞蛋放在一個(gè)籃子"的風(fēng)險(xiǎn)；D.

雙因子認(rèn)證〔又稱強(qiáng)認(rèn)證就是一個(gè)系統(tǒng)需要兩道密碼才能進(jìn)入；[答案]D27.有關(guān)信息系統(tǒng)的設(shè)計(jì)、開發(fā)、實(shí)施、運(yùn)行和維護(hù)過程中的安全問題,以下描述錯(cuò)誤的是A.信息系統(tǒng)的開發(fā)設(shè)計(jì),應(yīng)該越早考慮系統(tǒng)的安全需求越好B.

信息系統(tǒng)的設(shè)計(jì)、開發(fā)、實(shí)施、運(yùn)行和維護(hù)過程中的安全問題,不僅僅要考慮提供一個(gè)安全的開發(fā)環(huán)境,同時(shí)還要考慮開發(fā)出安全的系統(tǒng)C.信息系統(tǒng)在加密技術(shù)的應(yīng)用方面,其關(guān)鍵是選擇密碼算法,而不是密鑰的管理D.

運(yùn)營(yíng)系統(tǒng)上的敏感、真實(shí)數(shù)據(jù)直接用作測(cè)試數(shù)據(jù)將帶來(lái)很大的安全風(fēng)險(xiǎn)[答案]C28.有關(guān)信息安全事件的描述不正確的是A.信息安全事件的處理應(yīng)該分類、分級(jí)B.

信息安全事件的數(shù)量可以反映企業(yè)的信息安全管控水平C.某個(gè)時(shí)期內(nèi)企業(yè)的信息安全事件的數(shù)量為零,這意味著企業(yè)面臨的信息安全風(fēng)險(xiǎn)很小D.

信息安全事件處理流程中的一個(gè)重要環(huán)節(jié)是對(duì)事件發(fā)生的根源的追溯,以吸取教訓(xùn)、總結(jié)經(jīng)驗(yàn),防止類似事情再次發(fā)生[答案]C29.以下有關(guān)信息安全方面的業(yè)務(wù)連續(xù)性管理的描述,不正確的是A.信息安全方面的業(yè)務(wù)連續(xù)性管理就是要保障企業(yè)關(guān)鍵業(yè)務(wù)在遭受重大災(zāi)難/破壞時(shí),能夠及時(shí)恢復(fù),保障企業(yè)業(yè)務(wù)持續(xù)運(yùn)營(yíng)B.

企業(yè)在業(yè)務(wù)連續(xù)性建設(shè)項(xiàng)目一個(gè)重要任務(wù)就是識(shí)別企業(yè)關(guān)鍵的、核心業(yè)務(wù)C.業(yè)務(wù)連續(xù)性計(jì)劃文檔要隨著業(yè)務(wù)的外部環(huán)境的變化,及時(shí)修訂連續(xù)性計(jì)劃文檔D.

信息安全方面的業(yè)務(wù)連續(xù)性管理只與IT部門相關(guān),與其他業(yè)務(wù)部門人員無(wú)須參入[答案]D30.企業(yè)信息安全事件的恢復(fù)過程中,以下哪個(gè)是最關(guān)鍵的？A.數(shù)據(jù)B.

應(yīng)用系統(tǒng)C.通信鏈路D.

硬件/軟件[答案]A31.企業(yè)ISMS<信息安全管理體系>建設(shè)的原則不包括以下哪個(gè)A.管理層足夠重視B.

需要全員參與C.不必遵循過程的方法D.

需要持續(xù)改進(jìn)[答案]C32.PDCA特征的描述不正確的是A.順序進(jìn)行,周而復(fù)始,發(fā)現(xiàn)問題,分析問題,然后是解決問題B.

大環(huán)套小環(huán),安全目標(biāo)的達(dá)XX是分解成多個(gè)小目標(biāo),一層層地解決問題C.階梯式上升,每次循環(huán)都要進(jìn)行總結(jié),鞏固成績(jī),改進(jìn)不足D.

信息安全風(fēng)險(xiǎn)管理的思路不符合PDCA的問題解決思路[答案]D33.對(duì)于在ISMS內(nèi)審中所發(fā)現(xiàn)的問題,在審核之后應(yīng)該實(shí)施必要的改進(jìn)措施并進(jìn)行跟蹤和評(píng)價(jià),以下描述不正確的是？A.改進(jìn)措施包括糾正和預(yù)防措施B.

改進(jìn)措施可由受審單位提出并實(shí)施C.不可以對(duì)體系文件進(jìn)行更新或修改D.

對(duì)改進(jìn)措施的評(píng)價(jià)應(yīng)該包括措施的有效性的分析[答案]C34.ISMS的審核的層次不包括以下哪個(gè)？A.符合性審核B.

有效性審核C.正確性審核D.

文件審核[答案]C35.以下哪個(gè)不可以作為ISMS管理評(píng)審的輸入A.ISMS審計(jì)和評(píng)審的結(jié)果B.

來(lái)自利益伙伴的反饋C.某個(gè)信息安全項(xiàng)目的技術(shù)方案D.

預(yù)防和糾正措施的狀態(tài)[答案]C36.有關(guān)認(rèn)證和認(rèn)可的描述,以下不正確的是A.認(rèn)證就是第三方依據(jù)程序?qū)Ξa(chǎn)品、過程、服務(wù)符合規(guī)定要求給予書面保證〔合格證書B.

根據(jù)對(duì)象的不同,認(rèn)證通常分為產(chǎn)品認(rèn)證和體系認(rèn)證C.認(rèn)可是由某權(quán)威機(jī)構(gòu)依據(jù)程序?qū)δ硤F(tuán)體或個(gè)人具有從事特定任務(wù)的能力給予的正式承認(rèn)D.

企業(yè)通過ISO27001認(rèn)證則說(shuō)明企業(yè)符合ISO27001和ISO27002標(biāo)準(zhǔn)的要求[答案]D37.信息的存在及傳播方式A.

存在于計(jì)算機(jī)、磁帶、紙張等介質(zhì)中B.

記憶在人的大腦里C..

通過網(wǎng)絡(luò)打印機(jī)復(fù)印機(jī)等方式進(jìn)行傳播D.

通過投影儀顯示[答案]D38.下面哪個(gè)組合不是是信息資產(chǎn)A.

硬件、軟件、文檔資料B.

關(guān)鍵人員C..

組織提供的信息服務(wù)D.

桌子、椅子[答案]D39.實(shí)施ISMS內(nèi)審時(shí),確定ISMS的控制目標(biāo)、控制措施、過程和程序應(yīng)該要符合相關(guān)要求,以下哪個(gè)不是？A.

約定的標(biāo)準(zhǔn)及相關(guān)法律的要求B.已識(shí)別的安全需求C.控制措施有效實(shí)施和維護(hù)D.ISO13335風(fēng)險(xiǎn)評(píng)估方法[答案]D40.以下對(duì)審核發(fā)現(xiàn)描述正確的是A.

用作依據(jù)的一組方針、程序或要求B.與審核準(zhǔn)則有關(guān)的并且能夠證實(shí)的記錄、事實(shí)陳述或其他信息C.將收集到的審核證據(jù)依照審核準(zhǔn)則進(jìn)行評(píng)價(jià)的結(jié)果,可以是合格/符合項(xiàng),也可以是不合格/不符合項(xiàng)D.對(duì)審核對(duì)象的物理位置、組織結(jié)構(gòu)、活動(dòng)和過程以及時(shí)限的描述[答案]C41.ISMS審核常用的審核方法不包括？A.

糾正預(yù)防B.文件審核C.現(xiàn)場(chǎng)審核D.滲透測(cè)試[答案]A42.ISMS的內(nèi)部審核員〔非審核組長(zhǎng)的責(zé)任不包括？A.

熟悉必要的文件和程序；B.根據(jù)要求編制檢查列表；C.配合支持審核組長(zhǎng)的工作,有效完成審核任務(wù)；D.負(fù)責(zé)實(shí)施整改內(nèi)審中發(fā)現(xiàn)的問題；[答案]D43.審核在實(shí)施審核時(shí),所使用的檢查表不包括的內(nèi)容有？A.

審核依據(jù)B.審核證據(jù)記錄C.審核發(fā)現(xiàn)D.數(shù)據(jù)收集方法和工具[答案]C44.ISMS審核時(shí),首次會(huì)議的目的不包括以下哪個(gè)？A.

明確審核目的、審核準(zhǔn)則和審核范圍B.明確審核員的分工C.明確接受審核方責(zé)任,為配合審核提供必要資源和授權(quán)D.明確審核進(jìn)度和審核方法,且在整個(gè)審核過程中不可調(diào)整[答案]D45.ISMS審核時(shí),對(duì)審核發(fā)現(xiàn)中,以下哪個(gè)是屬于嚴(yán)重不符合項(xiàng)？A.

關(guān)鍵的控制程序沒有得到貫徹,缺乏標(biāo)準(zhǔn)規(guī)定的要求可構(gòu)成嚴(yán)重不符合項(xiàng)B.風(fēng)險(xiǎn)評(píng)估方法沒有按照ISO27005〔信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)進(jìn)行C.孤立的偶發(fā)性的且對(duì)信息安全管理體系無(wú)直接影響的問題；D.審核員識(shí)別的可能改進(jìn)項(xiàng)[答案]D46.以下關(guān)于ISMS內(nèi)部審核報(bào)告的描述不正確的是？A.

內(nèi)審報(bào)告是作為內(nèi)審小組提交給管理者代表或最高管理者的工作成果B.內(nèi)審報(bào)告中必須包含對(duì)不符合性項(xiàng)的改進(jìn)建議C.內(nèi)審報(bào)告在提交給管理者代表或者最高管理者之前應(yīng)該受審方管理者溝通協(xié)商,核實(shí)報(bào)告內(nèi)容。D.內(nèi)審報(bào)告中必須包括對(duì)糾正預(yù)防措施實(shí)施情況的跟蹤[答案]D47.信息系統(tǒng)審核員應(yīng)該預(yù)期誰(shuí)來(lái)授權(quán)對(duì)生產(chǎn)數(shù)據(jù)和生產(chǎn)系統(tǒng)的訪問？A.流程所有者B.系統(tǒng)管理員C.安全管理員D.數(shù)據(jù)所有者[答案]D48.當(dāng)保護(hù)組織的信息系統(tǒng)時(shí),在網(wǎng)絡(luò)防火墻被破壞以后,通常的下一道防線是下列哪一項(xiàng)？A.個(gè)人防火墻B.防病毒軟件C.入侵檢測(cè)系統(tǒng)D.虛擬局域網(wǎng)設(shè)置[答案]C49.負(fù)責(zé)授權(quán)訪問業(yè)務(wù)系統(tǒng)的職責(zé)應(yīng)該屬于：A.數(shù)據(jù)擁有者B.安全管理員C.IT安全經(jīng)理D.請(qǐng)求者的直接上司[答案]A50.在提供給一個(gè)外部代理商訪問信息處理設(shè)施前,一個(gè)組織應(yīng)該怎么做？A.外部代理商的處理應(yīng)該接受一個(gè)來(lái)自獨(dú)立代理進(jìn)行的IS審計(jì)。B.外部代理商的員工必須接受該組織的安全程序的培訓(xùn)。C.來(lái)自外部代理商的任何訪問必須限制在?；饏^(qū)〔DMZD.該組織應(yīng)該進(jìn)行風(fēng)險(xiǎn)評(píng)估,并制定和實(shí)施適當(dāng)?shù)目刂?。[答案]D51.處理報(bào)廢電腦的流程時(shí),以下哪一個(gè)選項(xiàng)對(duì)于安全專業(yè)人員來(lái)說(shuō)是最重要考慮的內(nèi)容？A.在扇區(qū)這個(gè)級(jí)別上,硬盤已經(jīng)被多次重復(fù)寫入,但是在離開組織前沒有進(jìn)行重新格式化。B.硬盤上所有的文件和文件夾都分別刪除了,并在離開組織進(jìn)行重新格式化。C.在離開組織前,通過在硬盤特定位置上洞穿盤片,進(jìn)行打洞,使得硬盤變得不可讀取。D.由內(nèi)部的安全人員將硬盤送到附近的金屬回收公司,對(duì)硬盤進(jìn)行登記并粉碎。[答案]B52.一個(gè)組織已經(jīng)創(chuàng)建了一個(gè)策略來(lái)定義用戶禁止訪問的網(wǎng)站類型。哪個(gè)是最有效的技術(shù)來(lái)達(dá)成這個(gè)策略？A.A.狀態(tài)檢測(cè)防火墻B.B.網(wǎng)頁(yè)內(nèi)容過濾C..網(wǎng)頁(yè)緩存服務(wù)器D.D.代理服務(wù)器[答案]B53.當(dāng)組織將客戶信用審查系統(tǒng)外包給第三方服務(wù)提供商時(shí),下列哪一項(xiàng)是信息安全專業(yè)人士最重要的考慮因素？該提供商：A.滿足并超過行業(yè)安全標(biāo)準(zhǔn)B.同意可以接受外部安全審查C.其服務(wù)和經(jīng)驗(yàn)有很好的市場(chǎng)聲譽(yù)D.符合組織的安全策略[答案]D54.一個(gè)組織將制定一項(xiàng)策略以定義了禁止用戶訪問的WEB站點(diǎn)類型。為強(qiáng)制執(zhí)行這一策略,最有效的技術(shù)是什么？A.狀態(tài)檢測(cè)防火墻B.WE內(nèi)容過濾器C.WEB緩存服務(wù)器D.應(yīng)該代理服務(wù)器[答案]B55.在制定一個(gè)正式的企業(yè)安全計(jì)劃時(shí),最關(guān)鍵的成功因素將是？A.成立一個(gè)審查委員會(huì)B.建立一個(gè)安全部門C.向執(zhí)行層發(fā)起人提供有效支持D.選擇一個(gè)安全流程的所有者[答案]C56.對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)授權(quán)訪問的責(zé)任屬于：A.數(shù)據(jù)所有者B.安全管理員C.IT安全經(jīng)理D.申請(qǐng)人的直線主管[答案]A57.下列哪一項(xiàng)是首席安全官的正常職責(zé)？A.定期審查和評(píng)價(jià)安全策略B.執(zhí)行用戶應(yīng)用系統(tǒng)和軟件測(cè)試與評(píng)價(jià)C.授予或廢除用戶對(duì)IT資源的訪問權(quán)限D(zhuǎn).批準(zhǔn)對(duì)數(shù)據(jù)和應(yīng)用系統(tǒng)的訪問權(quán)限[答案]B58.向外部機(jī)構(gòu)提供其信息處理設(shè)施的物理訪問權(quán)限前,組織應(yīng)當(dāng)做什么？A.該外部機(jī)構(gòu)的過程應(yīng)當(dāng)可以被獨(dú)立機(jī)構(gòu)進(jìn)行IT審計(jì)B.該組織應(yīng)執(zhí)行一個(gè)風(fēng)險(xiǎn)評(píng)估,設(shè)計(jì)并實(shí)施適當(dāng)?shù)目刂艭.該外部機(jī)構(gòu)的任何訪問應(yīng)被限制在DMZ區(qū)之內(nèi)D.應(yīng)當(dāng)給該外部機(jī)構(gòu)的員工培訓(xùn)其安全程序[答案]B59.某組織的信息系統(tǒng)策略規(guī)定,終端用戶的ID在該用戶終止后90天內(nèi)失效。組織的信息安全內(nèi)審核員應(yīng)：A.報(bào)告該控制是有效的,因?yàn)橛脩鬒D失效是符合信息系統(tǒng)策略規(guī)定的時(shí)間段的B.核實(shí)用戶的訪問權(quán)限是基于用所必需原則的C.建議改變這個(gè)信息系統(tǒng)策略,以保證用戶ID的失效與用戶終止一致D.建議終止用戶的活動(dòng)日志能被定期審查[答案]C60.減少與釣魚相關(guān)的風(fēng)險(xiǎn)的最有效控制是：A.系統(tǒng)的集中監(jiān)控B.釣魚的信號(hào)包括在防病毒軟件中C.在內(nèi)部網(wǎng)絡(luò)上發(fā)布反釣魚策略D.對(duì)所有用戶進(jìn)行安全培訓(xùn)[答案]D61.在人力資源審計(jì)期間,安全管理體系內(nèi)審員被告知在IT部門和人力資源部門中有一個(gè)關(guān)于期望的IT服務(wù)水平的口頭協(xié)議。安全管理體系內(nèi)審員首先應(yīng)該做什么？A.為兩部門起草一份服務(wù)水平協(xié)議B.向高級(jí)管理層報(bào)告存在未被書面簽訂的協(xié)議C.向兩部門確認(rèn)協(xié)議的內(nèi)容D.推遲審計(jì)直到協(xié)議成為書面文檔[答案]C62.下面哪一個(gè)是定義深度防御安全原則的例子？A.使用由兩個(gè)不同提供商提供的防火墻檢查進(jìn)入網(wǎng)絡(luò)的流量B.在主機(jī)上使用防火墻和邏輯訪問控制來(lái)控制進(jìn)入網(wǎng)絡(luò)的流量C.在數(shù)據(jù)中心建設(shè)中不使用明顯標(biāo)志D.使用兩個(gè)防火墻檢查不同類型進(jìn)入網(wǎng)絡(luò)的流量[答案]A63.下面哪一種是最安全和最經(jīng)濟(jì)的方法,對(duì)于在一個(gè)小規(guī)模到一個(gè)中等規(guī)模的組織中通過互聯(lián)網(wǎng)連接私有網(wǎng)絡(luò)？A.

虛擬專用網(wǎng)B.專線C.租用線路D.綜合服務(wù)數(shù)字網(wǎng).[答案]A64.通過社會(huì)工程的方法進(jìn)行非授權(quán)訪問的風(fēng)險(xiǎn)可以通過以下方法避免：A.

安全意識(shí)程序B.非對(duì)稱加密C.入侵偵測(cè)系統(tǒng)D.非軍事區(qū)[答案]A65.在安全人員的幫助下,對(duì)數(shù)據(jù)提供訪問權(quán)的責(zé)任在于：A.

數(shù)據(jù)所有者.B.程序員C.系統(tǒng)分析師.D.庫(kù)管員[答案]A66.信息安全策略,聲稱"密碼的顯示必須以掩碼的形式"的目的是防范下面哪種攻擊風(fēng)險(xiǎn)？A.

尾隨B.垃圾搜索C.肩窺D.冒充[答案]C67.管理體系審計(jì)員進(jìn)行通信訪問控制審查,首先應(yīng)該關(guān)注：A.

維護(hù)使用各種系統(tǒng)資源的訪問日志B.在用戶訪問系統(tǒng)資源之前的授權(quán)和認(rèn)證C.通過加密或其他方式對(duì)存儲(chǔ)在服務(wù)器上數(shù)據(jù)的充分保護(hù)D.確定是否可以利用終端系統(tǒng)資源的責(zé)任制和能力.[答案]D68.下列哪一種防病毒軟件的實(shí)施策略在內(nèi)部公司網(wǎng)絡(luò)中是最有效的：A.

服務(wù)器防毒軟件B.病毒墻C.工作站防病毒軟件D.病毒庫(kù)及時(shí)更新[答案]D69.測(cè)試程序變更管理流程時(shí),安全管理體系內(nèi)審員使用的最有效的方法是：A.由系統(tǒng)生成的信息跟蹤到變更管理文檔B.檢查變更管理文檔中涉及的證據(jù)的精確性和正確性C.由變更管理文檔跟蹤到生成審計(jì)軌跡的系統(tǒng)D.檢查變更管理文檔中涉及的證據(jù)的完整性[答案]A70.內(nèi)部審計(jì)部門,從組織結(jié)構(gòu)上向財(cái)務(wù)總監(jiān)而不是審計(jì)委員會(huì)報(bào)告,最有可能：A.導(dǎo)致對(duì)其審計(jì)獨(dú)立性的質(zhì)疑B.報(bào)告較多業(yè)務(wù)細(xì)節(jié)和相關(guān)發(fā)現(xiàn)C.加強(qiáng)了審計(jì)建議的執(zhí)行D.在建議中采取更對(duì)有效行動(dòng)[答案]A71.下面哪一種情況可以使信息系統(tǒng)安全官員實(shí)現(xiàn)有效進(jìn)行安全控制的目的?A.完整性控制的需求是基于風(fēng)險(xiǎn)分析的結(jié)果B.控制已經(jīng)過了測(cè)試C.安全控制規(guī)范是基于風(fēng)險(xiǎn)分析的結(jié)果D.控制是在可重復(fù)的基礎(chǔ)上被測(cè)試的[答案]D72.下列哪一種情況會(huì)損害計(jì)算機(jī)安全策略的有效性？A.發(fā)布安全策略時(shí)B.重新檢查安全策略時(shí)C.測(cè)試安全策略時(shí)D.可以預(yù)測(cè)到違反安全策略的強(qiáng)制性措施時(shí)[答案]D73.組織的安全策略可以是廣義的,也可以是狹義的,下面哪一條是屬于廣義的安全策略？A.應(yīng)急計(jì)劃B.遠(yuǎn)程辦法C.計(jì)算機(jī)安全程序D.電子郵件個(gè)人隱私[答案]C74.基本的計(jì)算機(jī)安全需求不包括下列哪一條：A.安全策略和標(biāo)識(shí)B.絕對(duì)的保證和持續(xù)的保護(hù)C.身份鑒別和落實(shí)責(zé)任D.合理的保證和連續(xù)的保護(hù)[答案]B75.軟件的盜版是一個(gè)嚴(yán)重的問題。在下面哪一種說(shuō)法中反盜版的策略和實(shí)際行為是矛盾的？A.員工的教育和培訓(xùn)B.遠(yuǎn)距離工作〔Telecommuting與禁止員工攜帶工作軟件回家C.自動(dòng)日志和審計(jì)軟件D.策略的發(fā)布與策略的強(qiáng)制執(zhí)行[答案]B76.組織內(nèi)數(shù)據(jù)安全官的最為重要的職責(zé)是：A.推薦并監(jiān)督數(shù)據(jù)安全策略B.在組織內(nèi)推XX全意識(shí)C.制定IT安全策略下的安全程序/流程D.管理物理和邏輯訪問控制[答案]A77.下面哪一種方式,能夠最有效的約束雇員只能履行其分內(nèi)的工作？A.應(yīng)用級(jí)訪問控制B.數(shù)據(jù)加密C.卸掉雇員電腦上的軟盤和光盤驅(qū)動(dòng)器D.使用網(wǎng)絡(luò)監(jiān)控設(shè)備[答案]A78.內(nèi)部審計(jì)師發(fā)現(xiàn)不是所有雇員都了解企業(yè)的信息安全策略。內(nèi)部審計(jì)師應(yīng)當(dāng)?shù)贸鲆韵履捻?xiàng)結(jié)論：A.這種缺乏了解會(huì)導(dǎo)致不經(jīng)意地泄露敏感信息B.信息安全不是對(duì)所有職能都是關(guān)鍵的C.IS審計(jì)應(yīng)當(dāng)為那些雇員提供培訓(xùn)D.該審計(jì)發(fā)現(xiàn)應(yīng)當(dāng)促使管理層對(duì)員工進(jìn)行繼續(xù)教育[答案]A79.設(shè)計(jì)信息安全策略時(shí),最重要的一點(diǎn)是所有的信息安全策略應(yīng)該:A.

非現(xiàn)場(chǎng)存儲(chǔ)B.b>

由IS經(jīng)理簽署C.

發(fā)布并傳播給用戶D.

經(jīng)常更新[答案]C80.負(fù)責(zé)制定、執(zhí)行和維護(hù)內(nèi)部安全控制制度的責(zé)任在于:A.IS審計(jì)員.B.管理層.C.外部審計(jì)師.D.程序開發(fā)人員.[答案]B81.組織與供應(yīng)商協(xié)商服務(wù)水平協(xié)議,下面哪一個(gè)最先發(fā)生？A.制定可行性研究.B.檢查是否符合公司策略.C.草擬服務(wù)水平協(xié)議.D.草擬服務(wù)水平要求[答案]B82.以下哪一個(gè)是數(shù)據(jù)保護(hù)的最重要的目標(biāo)？A.確定需要訪問信息的人員B.確保信息的完整性C.拒絕或授權(quán)對(duì)系統(tǒng)的訪問D.監(jiān)控邏輯訪問[答案]A83.在邏輯訪問控制中如果用戶賬戶被共享,這種局面可能造成的最大風(fēng)險(xiǎn)是:A.非授權(quán)用戶可以使用ID擅自進(jìn)入.B.用戶訪問管理費(fèi)時(shí).C.很容易猜測(cè)密碼.D.無(wú)法確定用戶責(zé)任[答案]D84.作為信息安全治理的成果,戰(zhàn)略方針提供了:A.企業(yè)所需的安全要求B.遵從最佳實(shí)務(wù)的安全基準(zhǔn)C.日?；贫然慕鉀Q方案D.風(fēng)險(xiǎn)暴露的理解[答案]A85.企業(yè)由于人力資源短缺,IT支持一直以來(lái)由一位最終用戶兼職,最恰當(dāng)?shù)难a(bǔ)償性控制是：A.限制物理訪問計(jì)算設(shè)備B.檢查事務(wù)和應(yīng)用日志C.雇用新IT員工之前進(jìn)行背景調(diào)查D.在雙休日鎖定用戶會(huì)話[答案]B86.關(guān)于安全策略的說(shuō)法,不正確的是A.得到安全經(jīng)理的審核批準(zhǔn)后發(fā)布B.應(yīng)采取適當(dāng)?shù)姆绞阶層嘘P(guān)人員獲得并理解最新版本的策略文檔C.控制安全策略的發(fā)布范圍,注意保密D.系統(tǒng)變更后和定期的策略文件評(píng)審和改進(jìn)[答案]A87.哪一項(xiàng)不是管理層承諾完成的？A.確定組織的總體安全目標(biāo)B.購(gòu)買性能良好的信息安全產(chǎn)品C.推動(dòng)安全意識(shí)教育D.評(píng)審安全策略的有效性[答案]B88.安全策略體系文件應(yīng)當(dāng)包括的內(nèi)容不包括A.信息安全的定義、總體目標(biāo)、范圍及對(duì)組織的重要性B.對(duì)安全管理職責(zé)的定義和劃分C.口令、加密的使用是阻止性的技術(shù)控制措施；D.違反安全策略的后果[答案]C89.對(duì)信息安全的理解,正確的是A.信息資產(chǎn)的保密性、完整性和可用性不受損害的能力,是通過信息安全保障措施實(shí)現(xiàn)的B.通過信息安全保障措施,確保信息不被丟失C.通過信息安全保證措施,確保固定資產(chǎn)及相關(guān)財(cái)務(wù)信息的完整性D.通過技術(shù)保障措施,確保信息系統(tǒng)及財(cái)務(wù)數(shù)據(jù)的完整性、機(jī)密性及可用性[答案]A90.以下哪項(xiàng)是組織中為了完成信息安全目標(biāo),針對(duì)信息系統(tǒng),遵循安全策略,按照規(guī)定的程序,運(yùn)用恰當(dāng)?shù)姆椒?而進(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動(dòng)？A.反應(yīng)業(yè)務(wù)目標(biāo)的信息安全方針、目標(biāo)以及活動(dòng)；B.來(lái)自所有級(jí)別管理者的可視化的支持與承諾；C.提供適當(dāng)?shù)囊庾R(shí)、教育與培訓(xùn)D.以上所有[答案]D91.信息安全管理體系要求的核心內(nèi)容是？A.風(fēng)險(xiǎn)評(píng)估B.關(guān)鍵路徑法C.PDCA循環(huán)D.PERT[答案]C92.有效減少偶然或故意的未授權(quán)訪問、誤用和濫用的有效方法是如下哪項(xiàng)？A.訪問控制B.職責(zé)分離C.加密D.認(rèn)證[答案]B93.下面哪一項(xiàng)組成了CIA三元組？A.保密性,完整性,保障B.保密性,完整性,可用性C.保密性,綜合性,保障D.保密性,綜合性,可用性[答案]B94.在信息安全策略體系中,下面哪一項(xiàng)屬于計(jì)算機(jī)或信息安全的強(qiáng)制性規(guī)則？A.標(biāo)準(zhǔn)〔StandardB.安全策略〔SecuritypolicyC.方針〔GuidelineD.流程〔Procedure[答案]A95.在許多組織機(jī)構(gòu)中,產(chǎn)生總體安全性問題的主要原因是：A.缺少安全性管理B.缺少故障管理C.缺少風(fēng)險(xiǎn)分析D.缺少技術(shù)控制機(jī)制[答案]A96.下面哪一項(xiàng)最好地描述了風(fēng)險(xiǎn)分析的目的？A.識(shí)別用于保護(hù)資產(chǎn)的責(zé)任義務(wù)和規(guī)章制度B.識(shí)別資產(chǎn)以及保護(hù)資產(chǎn)所使用的技術(shù)控制措施C.識(shí)別資產(chǎn)、脆弱性并計(jì)算潛在的風(fēng)險(xiǎn)D.識(shí)別同責(zé)任義務(wù)有直接關(guān)系的威脅[答案]C97.以下哪一項(xiàng)對(duì)安全風(fēng)險(xiǎn)的描述是準(zhǔn)確的？A.安全風(fēng)險(xiǎn)是指一種特定脆弱性利用一種或一組威脅造成組織的資產(chǎn)損失或損害的可能性。B.安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失事實(shí)。C.安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性D.安全風(fēng)險(xiǎn)是指資產(chǎn)的脆弱性被威脅利用的情形。[答案]C98.以下哪些不屬于脆弱性范疇？A.黑客攻擊B.操作系統(tǒng)漏洞C.應(yīng)用程序BUGD.人員的不良操作習(xí)慣[答案]A99.依據(jù)信息系統(tǒng)安全保障模型,以下那個(gè)不是安全保證對(duì)象A.機(jī)密性B.管理C.過程D.人員[答案]A100.以下哪一項(xiàng)是已經(jīng)被確認(rèn)了的具有一定合理性的風(fēng)險(xiǎn)？A.總風(fēng)險(xiǎn)B.最小化風(fēng)險(xiǎn)C.可接受風(fēng)險(xiǎn)D.殘余風(fēng)險(xiǎn)[答案]C101.以下哪一種人給公司帶來(lái)最大的安全風(fēng)險(xiǎn)？A.臨時(shí)工B.咨詢?nèi)藛TC.以前員工D.當(dāng)前員工[答案]D102.一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的什么叫做過程？A.數(shù)據(jù)B.信息流C.活動(dòng)D.模塊[答案]C103.系統(tǒng)地識(shí)別和管理組織所應(yīng)用的過程,特別是這些過程之間的相互作用,稱為什么？A.戴明循環(huán)B.過程方法C.管理體系D.服務(wù)管理[答案]B104.拒絕式服務(wù)攻擊會(huì)影響信息系統(tǒng)的哪個(gè)特性？A.完整性B.可用性C.機(jī)密性D.可控性[答案]B105.在信息系統(tǒng)安全中,風(fēng)險(xiǎn)由以下哪兩種因素共同構(gòu)成的？A.攻擊和脆弱性B.威脅和攻擊C.威脅和脆弱性D.威脅和破壞[答案]C106.在信息系統(tǒng)安全中,暴露由以下哪兩種因素共同構(gòu)成的？A.攻擊和脆弱性B.威脅和攻擊C.威脅和脆弱性D.威脅和破壞[答案]A107.信息安全管理最關(guān)注的是？A.外部惡意攻擊B.病毒對(duì)PC的影響C.內(nèi)部惡意攻擊D.病毒對(duì)網(wǎng)絡(luò)的影響[答案]C108.從風(fēng)險(xiǎn)管理的角度,以下哪種方法不可取？A.接受風(fēng)險(xiǎn)B.分散風(fēng)險(xiǎn)C.轉(zhuǎn)移風(fēng)險(xiǎn)D.拖延風(fēng)險(xiǎn)[答案]D109.ISMS文檔體系中第一層文件是？A.信息安全方針政策B.信息安全工作程序C.信息安全作業(yè)指導(dǎo)書D.信息安全工作記錄[答案]A110.以下哪種風(fēng)險(xiǎn)被定義為合理的風(fēng)險(xiǎn)？A.最小的風(fēng)險(xiǎn)B.可接收風(fēng)險(xiǎn)C.殘余風(fēng)險(xiǎn)D.總風(fēng)險(xiǎn)[答案]B111.從目前的情況看,對(duì)所有的計(jì)算機(jī)系統(tǒng)來(lái)說(shuō),以下哪種威脅是最為嚴(yán)重的,可能造成巨大的損害？A.沒有充分訓(xùn)練或粗心的用戶B.第三方C.黑客D.心懷不滿的雇員[答案]D112.如果將風(fēng)險(xiǎn)管理分為風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)減緩,那么以下哪個(gè)不屬于風(fēng)險(xiǎn)減緩的內(nèi)容？A.計(jì)算風(fēng)險(xiǎn)B.選擇合適的安全措施C.實(shí)現(xiàn)安全措施D.接受殘余風(fēng)險(xiǎn)[答案]A113.通常最好由誰(shuí)來(lái)確定系統(tǒng)和數(shù)據(jù)的敏感性級(jí)別？A.審計(jì)師B.終端用戶C.擁有者D.系統(tǒng)分析員[答案]C114.風(fēng)險(xiǎn)分析的目的是？A.在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行技術(shù)平衡；B.在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行運(yùn)作平衡；C.在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行經(jīng)濟(jì)平衡；D.在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行法律平衡；[答案]C115.以下哪個(gè)不屬于信息安全的三要素之一？A.機(jī)密性B.完整性C.抗抵賴性D.可用性[答案]C116.ISMS指的是什么？A.信息安全管理B.信息系統(tǒng)管理體系C.信息系統(tǒng)管理安全D.信息安全管理體系[答案]D117.在確定威脅的可能性時(shí),可以不考慮以下哪個(gè)？A.威脅源B.潛在弱點(diǎn)C.現(xiàn)有控制措施D.攻擊所產(chǎn)生的負(fù)面影響[答案]D118.在風(fēng)險(xiǎn)分析中,以下哪種說(shuō)法是正確的？A.定量影響分析的主要優(yōu)點(diǎn)是它對(duì)風(fēng)險(xiǎn)進(jìn)行排序并對(duì)那些需要立即改善的環(huán)節(jié)進(jìn)行標(biāo)識(shí)。B.定性影響分析可以很容易地對(duì)控制進(jìn)行成本收益分析。C.定量影響分析不能用在對(duì)控制進(jìn)行的成本收益分析中。D.定量影響分析的主要優(yōu)點(diǎn)是它對(duì)影響大小給出了一個(gè)度量[答案]D119.通常情況下,怎樣計(jì)算風(fēng)險(xiǎn)？A.將威脅可能性等級(jí)乘以威脅影響就得出了風(fēng)險(xiǎn)。B.將威脅可能性等級(jí)加上威脅影響就得出了風(fēng)險(xiǎn)。C.用威脅影響除以威脅的發(fā)生概率就得出了風(fēng)險(xiǎn)。D.用威脅概率作為指數(shù)對(duì)威脅影響進(jìn)行乘方運(yùn)算就得出了風(fēng)險(xiǎn)。[答案]A120.資產(chǎn)清單可包括？A.服務(wù)及無(wú)形資產(chǎn)B.信息資產(chǎn)C.人員D.以上所有[答案]D121.評(píng)估IT風(fēng)險(xiǎn)被很好的達(dá)到,可以通過：A.評(píng)估IT資產(chǎn)和IT項(xiàng)目總共的威脅B.用公司的以前的真的損失經(jīng)驗(yàn)來(lái)決定現(xiàn)在的弱點(diǎn)和威脅C.審查可比較的組織出版的損失數(shù)據(jù)D.一句審計(jì)拔高審查IT控制弱點(diǎn)[答案]A122.在部署風(fēng)險(xiǎn)管理程序的時(shí)候,哪項(xiàng)應(yīng)該最先考慮到：A.組織威脅,弱點(diǎn)和風(fēng)險(xiǎn)概括的理解B.揭露風(fēng)險(xiǎn)的理解和妥協(xié)的潛在后果C.基于潛在結(jié)果的風(fēng)險(xiǎn)管理優(yōu)先級(jí)的決心D.風(fēng)險(xiǎn)緩解戰(zhàn)略足夠在一個(gè)可以接受的水平上保持風(fēng)險(xiǎn)的結(jié)果[答案]A123.為了解決操作人員執(zhí)行日常備份的失誤,管理層要求系統(tǒng)管理員簽字日常備份,這是一個(gè)風(fēng)險(xiǎn)……例子：A.防止B.轉(zhuǎn)移C.緩解D.接受[答案]C124.以下哪項(xiàng)不屬于PDCA循環(huán)的特點(diǎn)？A.按順序進(jìn)行,它靠組織的力量來(lái)推動(dòng),像車輪一樣向前進(jìn),周而復(fù)始,不斷循環(huán)B.組織中的每個(gè)部分,甚至個(gè)人,均可以PDCA循環(huán),大環(huán)套小環(huán),一層一層地解決問題C.每通過一次PDCA循環(huán),都要進(jìn)行總結(jié),提出新目標(biāo),再進(jìn)行第二次PDCA循環(huán)D.D．組織中的每個(gè)部分,不包括個(gè)人,均可以PDCA循環(huán),大環(huán)套小環(huán),一層一層地解決問題[答案]D125.戴明循環(huán)執(zhí)行順序,下面哪項(xiàng)正確？A.．PLAN-ACT-DO-CHECKB.CHECK-PLAN-ACT-DOC.PLAN-DO-CHECK-ACTD.ACT-PLAN-CHECK-DO[答案]C126.建立ISMS的第一步是？A.風(fēng)險(xiǎn)評(píng)估B.設(shè)計(jì)ISMS文檔C.明確ISMS范圍D.確定ISMS策略[答案]C127.建立ISMS的步驟正確的是？A.明確ISMS范圍-確定ISMS策略-定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾〔審批B.定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾〔審批-確定ISMS策略C.確定ISMS策略-明確ISMS范圍-定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾〔審批D.明確ISMS范圍-定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-確定ISMS策略-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾〔審批[答案]A128.除以下哪項(xiàng)可作為ISMS審核〔包括內(nèi)審和外審的依據(jù),文件審核、現(xiàn)場(chǎng)審核的依據(jù)？A.機(jī)房登記記錄B.信息安全管理體系C.權(quán)限申請(qǐng)記錄D.離職人員的口述[答案]D129.以下哪項(xiàng)是ISMS文件的作用？A.是指導(dǎo)組織有關(guān)信息安全工作方面的內(nèi)部"法規(guī)"--使工作有章可循。B.是控制措施〔controls的重要部分C.提供客觀證據(jù)--為滿足相關(guān)方要求,以及持續(xù)改進(jìn)提供依據(jù)D.以上所有[答案]D130.以下哪項(xiàng)不是記錄控制的要求？A.清晰、易于識(shí)別和檢索B.記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實(shí)施C.建立并保持,以提供證據(jù)D.記錄應(yīng)盡可能的達(dá)到最詳細(xì)[答案]D131.下面哪項(xiàng)是信息安全管理體系中CHECK〔檢查中的工作內(nèi)容？A.按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審B.實(shí)施所選擇的控制措施C.采取合適的糾正和預(yù)防措施。從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)D.確保改進(jìn)達(dá)到了預(yù)期目標(biāo)[答案]A132.指導(dǎo)和規(guī)范信息安全管理的所有活動(dòng)的文件叫做？A.過程B.安全目標(biāo)C.安全策略D.安全范圍[答案]C133.信息安全管理措施不包括：A.安全策略B.物理和環(huán)境安全C.訪問控制D.安全范圍[答案]D134.下面安全策略的特性中,不包括哪一項(xiàng)？A.指導(dǎo)性B.靜態(tài)性C.可審核性D.非技術(shù)性[答案]B135.信息安全活動(dòng)應(yīng)由來(lái)自組織不同部門并具備相關(guān)角色和工作職責(zé)的代表進(jìn)行,下面哪項(xiàng)包括非典型的安全協(xié)調(diào)應(yīng)包括的人員？A.管理人員、用戶、應(yīng)用設(shè)計(jì)人員B.系統(tǒng)運(yùn)維人員、內(nèi)部審計(jì)人員、安全專員C.內(nèi)部審計(jì)人員、安全專員、領(lǐng)域?qū)＜褼.應(yīng)用設(shè)計(jì)人員、內(nèi)部審計(jì)人員、離職人員[答案]D136.下面那一項(xiàng)不是風(fēng)險(xiǎn)評(píng)估的目的？A.分析組織的安全需求B.制訂安全策略和實(shí)施安防措施的依據(jù)C.組織實(shí)現(xiàn)信息安全的必要的、重要的步驟D.完全消除組織的風(fēng)險(xiǎn)[答案]D137.下面那個(gè)不是信息安全風(fēng)險(xiǎn)的要素？A.資產(chǎn)及其價(jià)值B.數(shù)據(jù)安全C.威脅D.控制措施[答案]B138.信息安全風(fēng)險(xiǎn)管理的對(duì)象不包括如下哪項(xiàng)A.信息自身B.信息載體C.信息網(wǎng)絡(luò)D.信息環(huán)境[答案]C139.信息安全風(fēng)險(xiǎn)管理的最終責(zé)任人是？A.決策層B.管理層C.執(zhí)行層D.支持層[答案]A140.信息安全風(fēng)險(xiǎn)評(píng)估對(duì)象確立的主要依據(jù)是什么A.系統(tǒng)設(shè)備的類型B.系統(tǒng)的業(yè)務(wù)目標(biāo)和特性C.系統(tǒng)的技術(shù)架構(gòu)D.系統(tǒng)的網(wǎng)絡(luò)環(huán)境[答案]B141.下面哪一項(xiàng)不是風(fēng)險(xiǎn)評(píng)估的過程？A.風(fēng)險(xiǎn)因素識(shí)別B.風(fēng)險(xiǎn)程度分析C.風(fēng)險(xiǎn)控制選擇D.風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)[答案]C142.風(fēng)險(xiǎn)控制是依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,選擇和實(shí)施合適的安全措施。下面哪個(gè)不是風(fēng)險(xiǎn)控制的方式？A.規(guī)避風(fēng)險(xiǎn)B.轉(zhuǎn)移風(fēng)險(xiǎn)C.接受風(fēng)險(xiǎn)D.降低風(fēng)險(xiǎn)[答案]C143.降低風(fēng)險(xiǎn)的控制措施有很多,下面哪一個(gè)不屬于降低風(fēng)險(xiǎn)的措施？A.在網(wǎng)絡(luò)上部署防火墻B.對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密C.制定機(jī)房安全管理制度D.購(gòu)買物理場(chǎng)所的財(cái)產(chǎn)保險(xiǎn)[答案]D144.信息安全審核是指通過審查、測(cè)試、評(píng)審等手段,檢驗(yàn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的結(jié)果是否滿足信息系統(tǒng)的安全要求,這個(gè)工作一般由誰(shuí)完成？A.機(jī)構(gòu)內(nèi)部人員B.外部專業(yè)機(jī)構(gòu)C.獨(dú)立第三方機(jī)構(gòu)D.以上皆可[答案]D145.如何對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的過程進(jìn)行質(zhì)量監(jiān)控和管理？A.對(duì)風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)的漏洞進(jìn)行確認(rèn)B.針對(duì)風(fēng)險(xiǎn)評(píng)估的過程文檔和結(jié)果報(bào)告進(jìn)行監(jiān)控和審查C.對(duì)風(fēng)險(xiǎn)評(píng)估的信息系統(tǒng)進(jìn)行安全調(diào)查D.對(duì)風(fēng)險(xiǎn)控制測(cè)措施有有效性進(jìn)行測(cè)試[答案]B146.信息系統(tǒng)的價(jià)值確定需要與哪個(gè)部門進(jìn)行有效溝通確定？A.系統(tǒng)維護(hù)部門B.系統(tǒng)開發(fā)部門C.財(cái)務(wù)部門D.業(yè)務(wù)部門[答案]D147.下面哪一個(gè)不是系統(tǒng)規(guī)劃階段風(fēng)險(xiǎn)管理的工作內(nèi)容A.明確安全總體方針B.明確系統(tǒng)安全架構(gòu)C.風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則達(dá)成一致D.安全需求分析[答案]B148.下面哪一個(gè)不是系統(tǒng)設(shè)計(jì)階段風(fēng)險(xiǎn)管理的工作內(nèi)容A.安全技術(shù)選擇B.軟件設(shè)計(jì)風(fēng)險(xiǎn)控制C.安全產(chǎn)品選擇D.安全需求分析[答案]D149.下面哪一個(gè)不是系統(tǒng)實(shí)施階段風(fēng)險(xiǎn)管理的工作內(nèi)容A.安全測(cè)試B.檢查與配置C.配置變更D.人員培訓(xùn)[答案]C150.下面哪一個(gè)不是系統(tǒng)運(yùn)行維護(hù)階段風(fēng)險(xiǎn)管理的工作內(nèi)容A.安全運(yùn)行和管理B.安全測(cè)試C.變更管理D.風(fēng)險(xiǎn)再次評(píng)估[答案]B151.下面哪一個(gè)不是系統(tǒng)廢棄階段風(fēng)險(xiǎn)管理的工作內(nèi)容A.安全測(cè)試B.對(duì)廢棄對(duì)象的風(fēng)險(xiǎn)評(píng)估C.防止敏感信息泄漏D.人員培訓(xùn)[答案]A152.系統(tǒng)上線前應(yīng)當(dāng)對(duì)系統(tǒng)安全配置進(jìn)行檢查,不包括下列哪種安全檢查A.主機(jī)操作系統(tǒng)安全配置檢查B.網(wǎng)絡(luò)設(shè)備安全配置檢查C.系統(tǒng)軟件安全漏洞檢查D.數(shù)據(jù)庫(kù)安全配置檢查[答案]C153.風(fēng)險(xiǎn)評(píng)估實(shí)施過程中資產(chǎn)識(shí)別的依據(jù)是什么A.依據(jù)資產(chǎn)分類分級(jí)的標(biāo)準(zhǔn)B.依據(jù)資產(chǎn)調(diào)查的結(jié)果C.依據(jù)人員訪談的結(jié)果D.依據(jù)技術(shù)人員提供的資產(chǎn)清單[答案]A154.風(fēng)險(xiǎn)評(píng)估實(shí)施過程中資產(chǎn)識(shí)別的范圍主要包括什么類別A.網(wǎng)絡(luò)硬件資產(chǎn)B.數(shù)據(jù)資產(chǎn)C.軟件資產(chǎn)D.以上都包括[答案]D155.風(fēng)險(xiǎn)評(píng)估實(shí)施過程中脆弱性識(shí)別主要包括什么方面A.軟件開發(fā)漏洞B.網(wǎng)站應(yīng)用漏洞C.主機(jī)系統(tǒng)漏洞D.技術(shù)漏洞與管理漏洞[答案]D156.下面哪一個(gè)不是脆弱性識(shí)別的手段A.人員訪談B.技術(shù)工具檢測(cè)C.信息資產(chǎn)核查D.安全專家人工分析[答案]C157.信息資產(chǎn)面臨的主要威脅來(lái)源主要包括A.自然災(zāi)害B.系統(tǒng)故障C.內(nèi)部人員操作失誤D.以上都包括[答案]D158.下面關(guān)于定性風(fēng)險(xiǎn)評(píng)估方法的說(shuō)法正確的是A.通過將資產(chǎn)價(jià)值和風(fēng)險(xiǎn)等量化為財(cái)務(wù)價(jià)值和方式來(lái)進(jìn)行計(jì)算的一種方法B.采用文字形式或敘述性的數(shù)值范圍來(lái)描述潛在后果的大小程度及這些后果發(fā)生的可能性C.在后果和可能性分析中采用數(shù)值,并采用從各種各樣的來(lái)源中得到的數(shù)據(jù)D.定性風(fēng)險(xiǎn)分析提供了較好的成本效益分析[答案]B159.下面關(guān)于定性風(fēng)險(xiǎn)評(píng)估方法的說(shuō)法不正確的是A.易于操作,可以對(duì)風(fēng)險(xiǎn)進(jìn)行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進(jìn)行標(biāo)識(shí)B.主觀性強(qiáng),分析結(jié)果的質(zhì)量取決于風(fēng)險(xiǎn)評(píng)估小組成員的經(jīng)驗(yàn)和素質(zhì)C."耗時(shí)短、成本低、可控性高"D.能夠提供量化的數(shù)據(jù)支持,易被管理層所理解和接受[答案]D160.下面關(guān)于定量風(fēng)險(xiǎn)評(píng)估方法的說(shuō)法正確的是A.易于操作,可以對(duì)風(fēng)險(xiǎn)進(jìn)行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進(jìn)行標(biāo)識(shí)B.能夠通過成本效益分析控制成本C."耗時(shí)短、成本低、可控性高"D.主觀性強(qiáng),分析結(jié)果的質(zhì)量取決于風(fēng)險(xiǎn)評(píng)估小組成員的經(jīng)驗(yàn)和素質(zhì)[答案]B161.年度損失值〔ALE的計(jì)算方法是什么A.ALE=ARO*AVB.ALE=AV*SLEC."ALE=ARO*SLE"D.ALE=AV*EF[答案]C162.矩陣分析法通常是哪種風(fēng)險(xiǎn)評(píng)估采用的方法A.定性風(fēng)險(xiǎn)評(píng)估B.定量分析評(píng)估C.安全漏洞評(píng)估D.安全管理評(píng)估[答案]A163.風(fēng)險(xiǎn)評(píng)估和管理工具通常是指什么工具A.漏洞掃描工具B.入侵檢測(cè)系統(tǒng)C.安全審計(jì)工具D.安全評(píng)估流程管理工具[答案]D164.安全管理評(píng)估工具通常不包括A.調(diào)查問卷B.檢查列表C.訪談提綱D.漏洞掃描[答案]D165.安全技術(shù)評(píng)估工具通常不包括A.漏洞掃描工具B.入侵檢測(cè)系統(tǒng)C.調(diào)查問卷D.滲透測(cè)試工具[答案]C166.對(duì)于信息安全管理,風(fēng)險(xiǎn)評(píng)估的方法比起基線的方法,主要的優(yōu)勢(shì)在于它確保A.信息資產(chǎn)被過度保護(hù)B.不考慮資產(chǎn)的價(jià)值,基本水平的保護(hù)都會(huì)被實(shí)施C.對(duì)信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)D.對(duì)所有信息資產(chǎn)保護(hù)都投入相同的資源[答案]C167.區(qū)別脆弱性評(píng)估和滲透測(cè)試是脆弱性評(píng)估A.檢查基礎(chǔ)設(shè)施并探測(cè)脆弱性,然而穿透性測(cè)試目的在于通過脆弱性檢測(cè)其可能帶來(lái)的損失B.和滲透測(cè)試為不同的名稱但是同一活動(dòng)C.是通過自動(dòng)化工具執(zhí)行,而滲透測(cè)試是一種完全的手動(dòng)過程D.是通過商業(yè)工具執(zhí)行,而滲透測(cè)試是執(zhí)行公共進(jìn)程[答案]A168.合適的信息資產(chǎn)存放的安全措施維護(hù)是誰(shuí)的責(zé)任A.安全管理員B.系統(tǒng)管理員C.數(shù)據(jù)和系統(tǒng)所有者D.系統(tǒng)運(yùn)行組[答案]C169.要很好的評(píng)估信息安全風(fēng)險(xiǎn),可以通過：A.評(píng)估IT資產(chǎn)和IT項(xiàng)目的威脅B.用公司的以前的真的損失經(jīng)驗(yàn)來(lái)決定現(xiàn)在的弱點(diǎn)和威脅C.審查可比較的組織公開的損失統(tǒng)計(jì)D.審查在審計(jì)報(bào)告中的可識(shí)別的IT控制缺陷[答案]A170.下列哪項(xiàng)是用于降低風(fēng)險(xiǎn)的機(jī)制A.安全和控制實(shí)踐B.財(cái)產(chǎn)和責(zé)任保險(xiǎn)C.審計(jì)與認(rèn)證D.合同和服務(wù)水平協(xié)議[答案]A171.回顧組織的風(fēng)險(xiǎn)評(píng)估流程時(shí)應(yīng)首先A.鑒別對(duì)于信息資產(chǎn)威脅的合理性B.分析技術(shù)和組織弱點(diǎn)C.鑒別并對(duì)信息資產(chǎn)進(jìn)行分級(jí)D.對(duì)潛在的安全漏洞效果進(jìn)行評(píng)價(jià)[答案]C172.在實(shí)施風(fēng)險(xiǎn)分析期間,識(shí)別出威脅和潛在影響后應(yīng)該A.識(shí)別和評(píng)定管理層使用的風(fēng)險(xiǎn)評(píng)估方法B.識(shí)別信息資產(chǎn)和基本系統(tǒng)C.揭示對(duì)管理的威脅和影響D.識(shí)別和評(píng)價(jià)現(xiàn)有控制[答案]D173.在制定控制前,管理層首先應(yīng)該保證控制A.滿足控制一個(gè)風(fēng)險(xiǎn)問題的要求B.不減少生產(chǎn)力C.基于成本效益的分析D.檢測(cè)行或改正性的[答案]A174.在未受保護(hù)的通信線路上傳輸數(shù)據(jù)和使用弱口令是一種？A.弱點(diǎn)B.威脅C.可能性D.影響[答案]A175.數(shù)據(jù)保護(hù)最重要的目標(biāo)是以下項(xiàng)目中的哪一個(gè)A.識(shí)別需要獲得相關(guān)信息的用戶B.確保信息的完整性C.對(duì)信息系統(tǒng)的訪問進(jìn)行拒絕或授權(quán)D.監(jiān)控邏輯訪問[答案]B176.對(duì)一項(xiàng)應(yīng)用的控制進(jìn)行了檢查,將會(huì)評(píng)估A.該應(yīng)用在滿足業(yè)務(wù)流程上的效率B.任何被發(fā)現(xiàn)風(fēng)險(xiǎn)影響C.業(yè)務(wù)流程服務(wù)的應(yīng)用D.應(yīng)用程序的優(yōu)化[答案]B177.在評(píng)估邏輯訪問控制時(shí),應(yīng)該首先做什么A.把應(yīng)用在潛在訪問路徑上的控制項(xiàng)記錄下來(lái)B.在訪問路徑上測(cè)試控制來(lái)檢測(cè)是否他們具功能化C.按照寫明的策略和實(shí)踐評(píng)估安全環(huán)境D.對(duì)信息流程的安全風(fēng)險(xiǎn)進(jìn)行了解[答案]D178.在評(píng)估信息系統(tǒng)的管理風(fēng)險(xiǎn)。首先要查看A.控制措施已經(jīng)適當(dāng)B.控制的有效性適當(dāng)C.監(jiān)測(cè)資產(chǎn)有關(guān)風(fēng)險(xiǎn)的機(jī)制D.影響資產(chǎn)的漏洞和威脅[答案]D179.在開發(fā)一個(gè)風(fēng)險(xiǎn)管理程序時(shí),什么是首先完成的活動(dòng)A.威脅評(píng)估B.數(shù)據(jù)分類C.資產(chǎn)清單D.關(guān)鍵程度分析[答案]C180.在檢查IT安全風(fēng)險(xiǎn)管理程序,安全風(fēng)險(xiǎn)的測(cè)量應(yīng)該A.列舉所有的網(wǎng)絡(luò)風(fēng)險(xiǎn)B.對(duì)應(yīng)IT戰(zhàn)略計(jì)劃持續(xù)跟蹤C(jī).考慮整個(gè)IT環(huán)境D.識(shí)別對(duì)<信息系統(tǒng)>的弱點(diǎn)的容忍度的結(jié)果[答案]C181.在實(shí)施風(fēng)險(xiǎn)管理程序的時(shí)候,下列哪一項(xiàng)應(yīng)該被最先考慮到：A.組織的威脅,弱點(diǎn)和風(fēng)險(xiǎn)概貌的理解B.揭露風(fēng)險(xiǎn)的理解和妥協(xié)的潛在后果C.基于潛在結(jié)果的風(fēng)險(xiǎn)管理優(yōu)先級(jí)的決心D.風(fēng)險(xiǎn)緩解戰(zhàn)略足夠使風(fēng)險(xiǎn)的結(jié)果保持在一個(gè)可以接受的水平上[答案]A182.授權(quán)訪問信息資產(chǎn)的責(zé)任人應(yīng)該是A.資產(chǎn)保管員B.安全管理員C.資產(chǎn)所有人D.安全主管[答案]C183.滲透測(cè)試作為網(wǎng)絡(luò)安全評(píng)估的一部分A.提供保證所有弱點(diǎn)都被發(fā)現(xiàn)B.在不需要警告所有組織的管理層的情況下執(zhí)行C.找到存在的能夠獲得未授權(quán)訪問的漏洞D.在網(wǎng)絡(luò)邊界上執(zhí)行不會(huì)破壞信息資產(chǎn)[答案]C184.一個(gè)組織的網(wǎng)絡(luò)設(shè)備的資產(chǎn)價(jià)值為100000元,一場(chǎng)意外火災(zāi)使其損壞了價(jià)值的25%,按照經(jīng)驗(yàn)統(tǒng)計(jì),這種火災(zāi)一般每5年發(fā)生一次,年預(yù)期損失ALE為A.5000元B.10000元C.25000元D.15000元[答案]A185.一個(gè)個(gè)人經(jīng)濟(jì)上存在問題的公司職員有權(quán)獨(dú)立訪問高敏感度的信息,他可能竊取這些信息賣給公司的競(jìng)爭(zhēng)對(duì)手,如何控制這個(gè)風(fēng)險(xiǎn)A.開除這名職員B.限制這名職員訪問敏感信息C.刪除敏感信息D.將此職員送公安部門[答案]B186.以下哪一種人最有可能給公司帶來(lái)最大的安全風(fēng)險(xiǎn)？A.臨時(shí)工B.當(dāng)前員工C.以前員工D.咨詢?nèi)藛T[答案]B187.當(dāng)以下哪一類人員維護(hù)應(yīng)用系統(tǒng)軟件的時(shí)候,會(huì)造成對(duì)"職責(zé)分離"原則的違背？A.數(shù)據(jù)維護(hù)管理員B.系統(tǒng)故障處理員C.系統(tǒng)維護(hù)管理員D.系統(tǒng)程序員[答案]D188.下列角色誰(shuí)應(yīng)該承擔(dān)決定信息系統(tǒng)資源所需的保護(hù)級(jí)別的主要責(zé)任？A.信息系統(tǒng)安全專家B.業(yè)務(wù)主管C.安全主管D.系統(tǒng)審查員[答案]B189.職責(zé)分離的主要目的是？A.防止一個(gè)人從頭到尾整個(gè)控制某一交易或者活動(dòng)B.不同部門的雇員不可以在一起工作C.對(duì)于所有的資源都必須有保護(hù)措施D.對(duì)于所有的設(shè)備都必須有操作控制措施[答案]A190.以下哪種做法是正確的"職責(zé)分離"做法？A.程序員不允許訪問產(chǎn)品數(shù)據(jù)文件B.程序員可以使用系統(tǒng)控制臺(tái)C.控制臺(tái)操作員可以操作磁帶和硬盤D.磁帶操作員可以使用系統(tǒng)控制臺(tái)[答案]A191.以下哪個(gè)是數(shù)據(jù)庫(kù)管理員〔DBA可以行使的職責(zé)？A.計(jì)算機(jī)的操作B.應(yīng)用程序開發(fā)C.系統(tǒng)容量規(guī)劃D.應(yīng)用程序維護(hù)[答案]C192.信息安全管理體系策略文件中第一層文件是？A.信息安全工作程序B.信息安全方針政策C.信息安全作業(yè)指導(dǎo)書D.信息安全工作記錄[答案]B193.對(duì)安全策略的描述不正確的是？A.信息安全策略應(yīng)得到組織的最高管理者批準(zhǔn)。B.策略應(yīng)有一個(gè)所有者,負(fù)責(zé)按復(fù)查程序維護(hù)和復(fù)查該策略。C.安全策略應(yīng)包括管理層對(duì)信息安全管理工作的承諾。D.安全策略一旦建立和發(fā)布,則不可變更。[答案]D194.有關(guān)人員安全管理的描述不正確的是？A.人員的安全管理是企業(yè)信息安全管理活動(dòng)中最難的環(huán)節(jié)。B.重要或敏感崗位的人員入職之前,需要做好人員的背景檢查。C.如職責(zé)分離難以實(shí)施,企業(yè)對(duì)此無(wú)能為力,也無(wú)需做任何工作。D.人員離職之后,必須清除離職員工所有的邏輯訪問帳號(hào)。[答案]C195.關(guān)于信息安全策略文件以下說(shuō)法不正確的是哪個(gè)？A.信息安全策略文件應(yīng)由管理者批準(zhǔn)、發(fā)布。B.信息安全策略文件并傳達(dá)給所有員工和外部相關(guān)方。C.信息安全策略文件必須打印成紙質(zhì)文件進(jìn)行分發(fā)。D.信息安全策略文件應(yīng)說(shuō)明管理承諾,并提出組織的管理信息安全的方法。[答案]C196.關(guān)于信息安全策略文件的評(píng)審以下說(shuō)法不正確的是哪個(gè)？A.信息安全策略應(yīng)由專人負(fù)責(zé)制定、評(píng)審。B.信息安全策略評(píng)審每年應(yīng)進(jìn)行兩次,上半年、下半年各進(jìn)行一次。C.在信息安全策略文件的評(píng)審過程中應(yīng)考慮組織業(yè)務(wù)的重大變化。D.在信息安全策略文件的評(píng)審過程中應(yīng)考慮相關(guān)法律法規(guī)及技術(shù)環(huán)境的重大變化。[答案]B197.高層管理者對(duì)信息安全管理的承諾以下說(shuō)法不正確的是？A.制定、評(píng)審、批準(zhǔn)信息安全方針。B.為信息安全提供明確的方向和支持。C.為信息安全提供所需的資源。D.對(duì)各項(xiàng)信息安全工作進(jìn)行執(zhí)行、監(jiān)督與檢查。[答案]D198.信息安全管理組織說(shuō)法以下說(shuō)法不正確的是？A.信息安全管理組織人員應(yīng)來(lái)自不同的部門。B.信息安全管理組織的所有人員應(yīng)該為專職人員。C.信息安全管理組織應(yīng)考慮聘請(qǐng)外部專家。D.信息安全管理組織應(yīng)建立溝通、協(xié)調(diào)機(jī)制。[答案]B199.在制定組織間的保密協(xié)議,以下哪一個(gè)不是需要考慮的內(nèi)容？A.需要保護(hù)的信息。B.協(xié)議期望持續(xù)時(shí)間。C.合同雙方的人員數(shù)量要求。D.違反協(xié)議后采取的措施。[答案]C200.在信息安全管理日常工作中,需要與哪些機(jī)構(gòu)保持聯(lián)系？A.政府部門B.監(jiān)管部門C.外部專家D.以上都是[答案]D201.當(dāng)涉及到信息算計(jì)系統(tǒng)犯罪取證時(shí),應(yīng)與哪個(gè)部門取得聯(lián)系？A.監(jiān)管機(jī)構(gòu)B.重要客戶C.供應(yīng)商D.政府部門[答案]D202.信息安全管理工作小組可就哪些問題向外部安全專家或特定外部組織尋求信息安全方面的建議？A.相關(guān)安全信息的最佳實(shí)踐和最新狀態(tài)知識(shí)。B.盡早接受到關(guān)于攻擊和脆弱點(diǎn)的警告、建議和補(bǔ)丁C.分享和交換關(guān)于新的技術(shù)、產(chǎn)品、威脅或脆弱點(diǎn)信息D.以上都是[答案]D203.當(dāng)客戶需要訪問組織信息資產(chǎn)時(shí),下面正確的做法是？A.應(yīng)向其傳達(dá)信息安全要求及應(yīng)注意的信息安全問題。B.盡量配合客戶訪問信息資產(chǎn)。C.不允許客戶訪問組織信息資產(chǎn)。D.不加干涉,由客戶自己訪問信息資產(chǎn)。[答案]A204.對(duì)于外部組織訪問企業(yè)信息資產(chǎn)的過程中相關(guān)說(shuō)法不正確的是？A.為了信息資產(chǎn)更加安全,禁止外部組織人員訪問信息資產(chǎn)。B.應(yīng)確保相關(guān)信息處理設(shè)施和信息資產(chǎn)得到可靠的安全保護(hù)。C.訪問前應(yīng)得到信息資產(chǎn)所有者或管理者的批準(zhǔn)。D.應(yīng)告知其所應(yīng)當(dāng)遵守的信息安全要求。[答案]A205.外部組織使用組織敏感信息資產(chǎn)時(shí),以下正確的做法是？A.確保使用者得到正確的信息資產(chǎn)。B.與信息資產(chǎn)使用者簽署保密協(xié)議。C.告知信息資產(chǎn)使用的時(shí)間限制。D.告知信息資產(chǎn)的重要性。[答案]B206.在進(jìn)行人員的職責(zé)定義時(shí),在信息安全方面應(yīng)考慮什么因素？A.人員的背景、資質(zhì)的可靠性B.人員需要履行的信息安全職責(zé)C.人員的工作能力D.人員溝通、協(xié)調(diào)能力[答案]B207.下列崗位哪個(gè)在招聘前最需要進(jìn)行背景調(diào)查？A.采購(gòu)人員B.銷售人員C.財(cái)務(wù)總監(jiān)D.行政人員[答案]C208.在招聘過程中,如果在崗位人員的背景調(diào)查中出現(xiàn)問題時(shí),以下做法正確的是？A.繼續(xù)執(zhí)行招聘流程。B.停止招聘流程,取消應(yīng)聘人員資格。C.與應(yīng)聘人員溝通出現(xiàn)的問題。D.再進(jìn)行一次背景調(diào)查。[答案]B209.人員入職過程中,以下做法不正確的是？A.入職中簽署勞動(dòng)合同及保密協(xié)議。B.分配工作需要的最低權(quán)限。C.允許訪問企業(yè)所有的信息資產(chǎn)。D.進(jìn)行安全意思培訓(xùn)。[答案]C210.單位中下面幾種人員中哪種安全風(fēng)險(xiǎn)最大？A.臨時(shí)員工B.外部咨詢?nèi)藛TC.現(xiàn)在對(duì)公司不滿的員工D.離職的員工[答案]C211.對(duì)磁介質(zhì)的最有效好銷毀方法是？A.格式化B.物理破壞C.消磁D.刪除[答案]B212.TCP/IP協(xié)議的4層概念模型是？A.應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層B.應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和物理層C.應(yīng)用層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層D.會(huì)話層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層[答案]A213.多層的樓房中,最適合做數(shù)據(jù)中心的位置是：A.一樓B.地下室C.頂樓D.除以上外的任何樓層[答案]D214.計(jì)算機(jī)安全事故發(fā)生時(shí),下列哪些人不被通知或者最后才被通知：A.系統(tǒng)管理員B.律師C.恢復(fù)協(xié)調(diào)員D.硬件和軟件廠商[答案]B215.下面哪種方法可以替代電子銀行中的個(gè)人標(biāo)識(shí)號(hào)〔PINs的作用？A.虹膜檢測(cè)技術(shù)B.語(yǔ)音標(biāo)識(shí)技術(shù)C.筆跡標(biāo)識(shí)技術(shù)D.指紋標(biāo)識(shí)技術(shù)[答案]A216."如果一條鏈路發(fā)生故障,那么只有和該鏈路相連的終端才會(huì)受到影響",這一說(shuō)法是適合于以下哪一種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)的？A.星型B.樹型C.環(huán)型D.復(fù)合型[答案]A217.為了有效的完成工作,信息系統(tǒng)安全部門員工最需要以下哪一項(xiàng)技能？A.人際關(guān)系技能B.項(xiàng)目管理技能C.技術(shù)技能D.溝通技能[答案]D218.目前,我國(guó)信息安全管理格局是一個(gè)多方"齊抓共管"的體制,多頭管理現(xiàn)狀決定法出多門,《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》是由下列哪個(gè)部門所制定的規(guī)章制度？A.公安部B.國(guó)家保密局C.信息產(chǎn)業(yè)部D.國(guó)家密碼管理委員會(huì)辦公室[答案]B219."在選擇外部供貨生產(chǎn)商時(shí),評(píng)價(jià)標(biāo)準(zhǔn)按照重要性的排列順序是：1.供貨商與信息系統(tǒng)部門的接近程度2.供貨商雇員的態(tài)度3.供貨商的信譽(yù)、專業(yè)知識(shí)、技術(shù)4.供貨商的財(cái)政狀況和管理情況"A.4,3,1,2B.3,4,2,1C.3,2,4,1D.1,2,3,4[答案]B220.下列哪一項(xiàng)能夠提高網(wǎng)絡(luò)的可用性？A.數(shù)據(jù)冗余B.鏈路冗余C.軟件冗余D.電源冗余[答案]B221.系統(tǒng)管理員屬于？A.決策層B.管理層C.執(zhí)行層D.既可以劃為管理層,又可以劃為執(zhí)行層[答案]C222.為了保護(hù)企業(yè)的知識(shí)產(chǎn)權(quán)和其它資產(chǎn),當(dāng)終止與員工的聘用關(guān)系時(shí)下面哪一項(xiàng)是最好的方法？A.進(jìn)行離職談話,讓員工簽署保密協(xié)議,禁止員工賬號(hào),更改密碼B.進(jìn)行離職談話,禁止員工賬號(hào),更改密碼C.讓員工簽署跨邊界協(xié)議D.列出員工在解聘前需要注意的所有責(zé)任[答案]A223.信息安全管理最關(guān)注的是？A.外部惡意攻擊B.病毒對(duì)PC的影響C.內(nèi)部惡意攻擊D.病毒對(duì)網(wǎng)絡(luò)的影響[答案]C224.以下哪個(gè)選項(xiàng)不是信息中心〔IC工作職能的一部分？A.準(zhǔn)備最終用戶的預(yù)算B.選擇PC的硬件和軟件C.保持所有PC的硬件和軟件的清單D.提供被認(rèn)可的硬件和軟件的技術(shù)支持[答案]A225.以下哪些不是設(shè)備資產(chǎn)：A.機(jī)房設(shè)施B.周邊設(shè)施C.管理終端D.操作系統(tǒng)[答案]D226.以下哪些不是網(wǎng)絡(luò)類資產(chǎn)：A.網(wǎng)絡(luò)設(shè)備B.基礎(chǔ)服務(wù)平臺(tái)C.網(wǎng)絡(luò)安全設(shè)備D.主干線路[答案]B227.以下哪些不是介質(zhì)類資產(chǎn)：A.紙質(zhì)文檔B.存儲(chǔ)介質(zhì)C.軟件介質(zhì)D.憑證[答案]A228.以下哪些不是無(wú)形資產(chǎn)A.客戶關(guān)系B.電子數(shù)據(jù)C.商業(yè)信譽(yù)D.企業(yè)品牌[答案]B229.以下哪些是信息資產(chǎn)無(wú)需明確的A.所有者B.管理者C.廠商D.使用者[答案]C230.信息資產(chǎn)敏感性指的是：A.機(jī)密性B.完整性C.可用性D.安全性[答案]A231.以下哪些不屬于敏感性標(biāo)識(shí)A.不干貼方式B.印章方式C.電子標(biāo)簽D.個(gè)人簽名[答案]D232.設(shè)施、網(wǎng)絡(luò)、平臺(tái)、介質(zhì)、應(yīng)用類信息資產(chǎn)的保密期限為A.3年B.長(zhǎng)期C.4月D.短期[答案]B233.當(dāng)曾經(jīng)用于存放機(jī)密資料的PC在公開市場(chǎng)出售時(shí)A.對(duì)磁盤進(jìn)行消磁B.對(duì)磁盤低級(jí)格式化C.刪除數(shù)據(jù)D.對(duì)磁盤重整[答案]A234.防止擅自使用資料檔案的最有效的預(yù)防方法是:A.自動(dòng)化的檔案訪問入口B.磁帶庫(kù)管理C.使用訪問控制軟件D.鎖定資料館[答案]235.維持對(duì)于信息資產(chǎn)的適當(dāng)?shù)陌踩胧┑呢?zé)任在于A.安全管理員B.系統(tǒng)管理員C.數(shù)據(jù)和系統(tǒng)的所有者D.系統(tǒng)作業(yè)人員[答案]A236.給計(jì)算機(jī)系統(tǒng)的資產(chǎn)分配的記號(hào)被稱為什么A.安全屬性B.安全特征C.安全標(biāo)記D.安全級(jí)別[答案]C237.所有進(jìn)入物理安全區(qū)域的人員都需經(jīng)過A.考核B.授權(quán)C.批準(zhǔn)D.認(rèn)可[答案]B238.下面哪種方法在數(shù)據(jù)中心滅火最有效并且是環(huán)保的？A.哈龍氣體B.濕管C.干管D.二氧化碳?xì)鈁答案]A239.在數(shù)據(jù)中心使用穩(wěn)壓電源,以保證:A.硬件免受電源浪涌B.主電源被破壞后的完整性維護(hù)C.主電源失效后可以立即使用D.針對(duì)長(zhǎng)期電力波動(dòng)的硬件包含[答案]A240.干管滅火器系統(tǒng)使用A.水,但是只有在發(fā)現(xiàn)火警以后水才進(jìn)入管道B.水,但是水管中有特殊的防水劑C.CO2代替水D.哈龍代替水[答案]A241.下面哪一種物理訪問控制能夠?qū)Ψ鞘跈?quán)訪問提供最高級(jí)別的安全？A.bolting門鎖B.Cipher密碼鎖C.電子門鎖D.指紋掃描器[答案]D242.來(lái)自終端的電磁泄露風(fēng)險(xiǎn),因?yàn)樗鼈?A.導(dǎo)致噪音污染B.破壞處理程序C.產(chǎn)生危險(xiǎn)水平的電流D.可以被捕獲并還原[答案]D243.射頻識(shí)別<RFID>標(biāo)簽容易受到以下哪種風(fēng)險(xiǎn)?A.進(jìn)程劫持B.竊聽C.惡意代碼D.Phishing[答案]B244.有什么方法可以測(cè)試辦公部門的無(wú)線安全？A.Wardialing戰(zhàn)爭(zhēng)語(yǔ)言B.社會(huì)工程學(xué)C.戰(zhàn)爭(zhēng)駕駛D.密碼破解[答案]D245.以下哪一個(gè)是對(duì)于參觀者訪問數(shù)據(jù)中心的最有效的控制？A.陪同參觀者B.參觀者佩戴證件C.參觀者簽字D.參觀者由工作人員抽樣檢查[答案]A246.信息安全政策聲明："每個(gè)人必須在進(jìn)入每一個(gè)控制門時(shí),都必須讀取自己的證件",防范的是哪一種攻擊方式?A.尾隨PiggybackingB.肩窺ShouldersurfingC.DumpsterdivingD.冒充Impersonation[答案]A247.以下哪一種環(huán)境控制適用于保護(hù)短期內(nèi)電力環(huán)境不穩(wěn)定條件下的計(jì)算機(jī)設(shè)備？A.電路調(diào)整器PowerlineconditionersB.電流浪涌防護(hù)裝置AsurgeprotectivedeviceC.替代電源D.不間斷供電[答案]B248.以下哪些模型可以用來(lái)保護(hù)分級(jí)信息的機(jī)密性？A.Biba模型和Bell－Lapadula模型B.Bell－Lapadula模型和信息流模型C.Bell－Lapadula模型和Clark－Wilson模型D.Clark－Wilson模型和信息流模型[答案]B名稱屬性類型應(yīng)用讀寫B(tài)LP機(jī)密性多極政府、軍隊(duì)上讀下寫信息流模型機(jī)密性ChineseWall機(jī)密性多邊金融Biba完整性多極下讀上寫Clark-wilson完整性多極商業(yè)BMA機(jī)密性完整性多邊醫(yī)療249.BLP模型基于兩種規(guī)則來(lái)保障數(shù)據(jù)的機(jī)秘度與敏感度,它們是什么？A.下讀,主體不可讀安全級(jí)別高于它的數(shù)據(jù)；上寫,主體不可寫安全級(jí)別低于它的數(shù)據(jù)B.上讀,主體不可讀安全級(jí)別高于它的數(shù)據(jù)；下寫,主體不可寫安全級(jí)別低于它的數(shù)據(jù)C.上讀,主體不可讀安全級(jí)別低于它的數(shù)據(jù)；下寫,主體不可寫安全級(jí)別高于它的數(shù)據(jù)D.下讀,主體不可讀安全級(jí)別低于它的數(shù)據(jù)；上寫,主體不可寫安全級(jí)別高于它的數(shù)據(jù)[答案]B250.BIBA模型基于兩種規(guī)則來(lái)保障數(shù)據(jù)的完整性的保密性,分別是：A.上讀,主體不可讀安全級(jí)別高于它的數(shù)據(jù)；下寫,主體不可寫安全級(jí)別低于它的數(shù)據(jù)B.下讀,主體不可讀安全級(jí)別高于它的數(shù)據(jù)；上寫,主體不可寫安全級(jí)別低于它的數(shù)據(jù)C.上讀,主體不可讀安全級(jí)別低于它的數(shù)據(jù)；下寫,主體不可寫安全級(jí)別高于它的數(shù)據(jù)D.下讀,主體不可讀安全級(jí)別低于它的數(shù)據(jù)；上寫,主體不可寫安全級(jí)別高于它的數(shù)據(jù)[答案]D251.以下哪組全部是完整性模型？A.BLP模型和BIBA模型B.BIBA模型和Clark－Wilson模型C.Chinesewall模型和BIBA模型D.Clark－Wilson模型和Chinesewall模型[答案]B多邊：ChineseWall\BMA；完整性：Biba,Clark-Wilson252.以下哪個(gè)模型主要用于醫(yī)療資料的保護(hù)？A.Chinesewall模型B.BIBA模型C.Clark－Wilson模型D.BMA模型[答案]D253.以下哪個(gè)模型主要用于金融機(jī)構(gòu)信息系統(tǒng)的保護(hù)？A.Chinesewall模型B.BIBA模型C.Clark－Wilson模型D.BMA模型[答案]A254.以下哪組全部都是多邊安全模型？A.BLP模型和BIBA模型B.BIBA模型和Clark－Wilson模型C.Chinesewall模型和BMA模型D.Clark－Wilson模型和Chinesewall模型[答案]C255.以下哪種訪問控制策略需要安全標(biāo)簽？A.基于角色的策略B.基于標(biāo)識(shí)的策略C.用戶指向的策略D.強(qiáng)制訪問控制策略[答案]D256.應(yīng)急響應(yīng)哪一個(gè)階段用來(lái)降低事件再次發(fā)生的風(fēng)險(xiǎn)A.遏制B.根除C.跟蹤D.恢復(fù)[答案]C257.信息安全應(yīng)急響應(yīng)計(jì)劃總則中,不包括以下哪個(gè)A.編制目的B.編制依據(jù)C.工作原則D.角色職責(zé)[答案]D258.以下哪項(xiàng)描述是錯(cuò)誤的A.應(yīng)急響應(yīng)計(jì)劃與應(yīng)急響應(yīng)這兩個(gè)方面是相互補(bǔ)充與促進(jìn)的關(guān)系B.應(yīng)急響應(yīng)計(jì)劃為信息安全事件發(fā)生后的應(yīng)急響應(yīng)提供了指導(dǎo)策略和規(guī)程C.應(yīng)急響應(yīng)可能發(fā)現(xiàn)事前應(yīng)急響應(yīng)計(jì)劃的不足D.應(yīng)急響應(yīng)必須完全依照應(yīng)急響應(yīng)計(jì)劃執(zhí)行[答案]D259.應(yīng)急響應(yīng)計(jì)劃應(yīng)該多久測(cè)試一次？A.10年B.當(dāng)基礎(chǔ)環(huán)境或設(shè)施發(fā)生變化時(shí)C.2年D.當(dāng)組織內(nèi)業(yè)務(wù)發(fā)生重大的變更時(shí)[答案]D260.建立應(yīng)急響應(yīng)計(jì)劃時(shí)候第一步應(yīng)該做什么？A.建立備份解決方案B.實(shí)施業(yè)務(wù)影響分析C.建立業(yè)務(wù)恢復(fù)計(jì)劃D.確定應(yīng)急人員名單[答案]B261.建立應(yīng)急響應(yīng)計(jì)劃最重要的是A.業(yè)務(wù)影響分析B.測(cè)試及演練C.各部門的參與D.管理層的支持[答案]D262.以下誰(shuí)具有批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃的權(quán)利A.應(yīng)急委員會(huì)B.各部門C.管理層D.外部專家[答案]C263.哪一項(xiàng)不是業(yè)務(wù)影響分析〔BIA的工作內(nèi)容A.確定應(yīng)急響應(yīng)的恢復(fù)目標(biāo)B.確定公司的關(guān)鍵系統(tǒng)和業(yè)務(wù)C.確定業(yè)務(wù)面臨風(fēng)險(xiǎn)時(shí)的潛在損失和影響D.確定支持公司運(yùn)行的關(guān)鍵系統(tǒng)[答案]C264.制定應(yīng)急響應(yīng)策略主要需要考慮A.系統(tǒng)恢復(fù)能力等級(jí)劃分B.系統(tǒng)恢復(fù)資源的要求C.費(fèi)用考慮D.人員考慮[答案]D265.應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組主要職責(zé)包括：A.對(duì)應(yīng)急響應(yīng)工作的承諾和支持,包括發(fā)布正式文件、提供必要資源〔人財(cái)物等；B.審核并批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃；C.負(fù)責(zé)組織的外部協(xié)作工作D.組織應(yīng)急響應(yīng)計(jì)劃演練[答案]D266.應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組組長(zhǎng)應(yīng)由以下哪個(gè)選項(xiàng)擔(dān)任？A.最高管理層B.信息技術(shù)部門領(lǐng)導(dǎo)C.業(yè)務(wù)部門領(lǐng)導(dǎo)D.外部專家[答案]A267.應(yīng)急響應(yīng)流程一般順序是A.信息安全事件通告、信息安全事件評(píng)估、應(yīng)急啟動(dòng)、應(yīng)急處置和后期處置B.信息安全事件評(píng)估、信息安全事件通告、應(yīng)急啟動(dòng)、應(yīng)急處置和后期處置C.應(yīng)急啟動(dòng)、應(yīng)急處置、信息安全事件評(píng)估、信息安全事件通告、后期處置D.信息安全事件評(píng)估、應(yīng)急啟動(dòng)、信息安全事件通告、應(yīng)急處置和后期處置[答案]A268.組織內(nèi)應(yīng)急通知應(yīng)主要采用以下哪種方式A.B.電子郵件C.人員D.公司OA[答案]A269.如果可能最應(yīng)該得到第一個(gè)應(yīng)急事件通知的小組是A.應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組B.應(yīng)急響應(yīng)日常運(yùn)行小組C.應(yīng)急響應(yīng)技術(shù)保障小組D.應(yīng)急響應(yīng)實(shí)施小組[答案]B270.恢復(fù)階段的行動(dòng)一般包括A.建立臨時(shí)業(yè)務(wù)處理能力B.修復(fù)原系統(tǒng)損害C.在原系統(tǒng)或新設(shè)施中恢復(fù)運(yùn)行業(yè)務(wù)能力D.避免造成更大損失[答案]D271.在正常情況下,應(yīng)急響應(yīng)計(jì)劃培訓(xùn)應(yīng)該至少多久一次A.1年B.2年C.半年D.5年[答案]A272.在正常情況下,應(yīng)急計(jì)劃應(yīng)該至少多久進(jìn)行一次針對(duì)正確性和完整性的檢查A.1年B.2年C.半年D.5年[答案]A273.應(yīng)急響應(yīng)計(jì)劃文檔不應(yīng)該A.分發(fā)給公司所有人員B.分發(fā)給參與應(yīng)急響應(yīng)工作的所有人員C.具有多份拷貝在不同的地點(diǎn)保存D.由專人負(fù)責(zé)保存與分發(fā)[答案]A274.業(yè)務(wù)影響分析的主要目的是：A.在災(zāi)難之后提供一個(gè)恢復(fù)行動(dòng)的計(jì)劃B.識(shí)別能夠影響組織運(yùn)營(yíng)持續(xù)性的事件C.公布組織對(duì)物理和邏輯安全的義務(wù)D.提供一個(gè)有效災(zāi)難恢復(fù)計(jì)劃的框架[答案]B275.評(píng)估應(yīng)急響應(yīng)計(jì)劃時(shí),下列哪一項(xiàng)應(yīng)當(dāng)最被關(guān)注：A.災(zāi)難等級(jí)基于受損功能的范圍,而不是持續(xù)時(shí)間B.低級(jí)別災(zāi)難和軟件事件之間的區(qū)別不清晰C.總體應(yīng)急響應(yīng)計(jì)劃被文檔化,但詳細(xì)恢復(fù)步驟沒有規(guī)定D.事件通告的職責(zé)沒有被識(shí)別[答案]D276.事件響應(yīng)六個(gè)階段定義了安全事件處理的流程,這個(gè)流程的順序是A.準(zhǔn)備－遏制－確認(rèn)－根除－恢復(fù)－跟蹤B.準(zhǔn)備－確認(rèn)－遏制－恢復(fù)－根除－跟蹤C(jī).準(zhǔn)備－確認(rèn)－遏制－根除－恢復(fù)－跟蹤D.準(zhǔn)備－遏制－根除－確認(rèn)－恢復(fù)－跟蹤[答案]B277.發(fā)現(xiàn)一臺(tái)被病毒感染的終端后,首先應(yīng)：A.拔掉網(wǎng)線B.判斷病毒的性質(zhì)、采用的端口C.在網(wǎng)上搜尋病毒解決方法D.呼叫公司技術(shù)人員[答案]A278.我國(guó)信息安全事件分級(jí)分為以下哪些級(jí)別A.特別重大事件-重大事件-較大事件-一般事件B.特別重大事件-重大事件-嚴(yán)重事件-較大事件-一般事件C.特別嚴(yán)重事件-嚴(yán)重事件-重大事件-較大事件-一般事件D.特別嚴(yán)重事件-嚴(yán)重事件-較大事件-一般事件[答案]A279.我國(guó)信息安全事件分級(jí)不考慮下列哪一個(gè)要素？A.信息系統(tǒng)的重要程度B.系統(tǒng)損失C.社會(huì)影響D.業(yè)務(wù)損失[答案]D280.校園網(wǎng)內(nèi)由于病毒攻擊、非法入侵等原因,200臺(tái)以內(nèi)的用戶主機(jī)不能正常工作,