注冊信息安全專業(yè)人員考試章節(jié)練習(xí)題-03信息安全管理測試題

1、注冊信息安全專業(yè)人員考試章節(jié)練習(xí)題-03 信息安全管理復(fù)制您的考試次數(shù)： 填空題 *_1、小陳學(xué)習(xí)了有關(guān)信息安全管理體系的內(nèi)容后，認(rèn)為組織建立信息安全管理體系并持續(xù)運行，比起簡單地實施信息安全管理，有更大的作用，他總結(jié)了四個方面的作用，其中總結(jié)錯誤的是（） 單選題 *A、可以建立起文檔化的信息安全管理規(guī)范，實現(xiàn)有“法”可依，有章可循，有據(jù)可查B、可以強化員工的信息安全意識，建立良好的安全作業(yè)習(xí)慣，培育組織的信息安全企業(yè)文化C、可以增強客戶、業(yè)務(wù)伙伴、投資人對該組織保障其業(yè)務(wù)平臺和數(shù)據(jù)信息的安全信心D、可以深化信息安全管理，提高安全防護效果，使組織通過國際標(biāo)準(zhǔn)化組織的ISO9001認(rèn)證(正確答案

2、)2、若一個組織聲稱自己的ISMS符合ISO/IEC27001或GB/T22080標(biāo)準(zhǔn)要求，其信息安全控制措施通常需要在人力資源安全方面實施常規(guī)控制，人力資源安全劃分為3個控制階段，不包括哪一項（） 單選題 *A、任用之前B、任用中C、任用終止或變化D、任用后(正確答案)3、若一個組織聲稱自己的ISMS 符合ISO/IEC 27001或GB/T22080標(biāo)準(zhǔn)要求。其信息安全控制措施通常需要在物理和環(huán)境安全方面實施常規(guī)控制。物理和環(huán)境安全領(lǐng)域包括安全區(qū)域和設(shè)備安全兩個控制目標(biāo)。安全區(qū)域的控制目標(biāo)是防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾。關(guān)鍵或敏感的信息及信息處理設(shè)施應(yīng)放在安全區(qū)域內(nèi)并受

3、到相應(yīng)保護。該目標(biāo)可以通過以下控制措施來實現(xiàn)，不包括哪一項（） 單選題 *A、物理安全邊界、物理入口控制B、辦公室、房間和設(shè)施的安全保護。外部和環(huán)境威脅的安全防護C、在安全區(qū)域工作。公共訪問、交接區(qū)安全D、人力資源安全(正確答案)4、關(guān)于信息安全管理體系的作用，下面理解錯誤的是（） 單選題 *A、對內(nèi)而言，有助于建立起文檔化的信息安全管理規(guī)范，實現(xiàn)有“法”可依，有據(jù)可查B、對內(nèi)而言，是一個光花錢不掙錢的事情，需要組織通過其他方法收入來彌補投入(正確答案)C、對外而言，有助于使各科室相關(guān)方對組織充滿信心D、對外而言，規(guī)范工作流程要求，幫助界定雙方各自信息安全責(zé)任5、ISO27002（Inform

4、ation technology - Security techniques Code of practice for information security management）是重要的信息安全管理標(biāo)準(zhǔn)之一，下圖是關(guān)于其演進變化示意圖，圖中括號空白處應(yīng)填寫（）單選題 *A、BS 7799.1.3B、ISO 17799(正確答案)C、AS/NZS 4630D、NIST SP 800-376、我國標(biāo)準(zhǔn)信息安全風(fēng)險管理指南（GB/Z 24364）給出了信息安全風(fēng)險管理的內(nèi)容和過程，可以用下圖來表示。圖中空白處應(yīng)該填寫（）單選題 *A、風(fēng)險計算B、風(fēng)險評價C、風(fēng)險預(yù)測D、風(fēng)險處理(正確答案)7、

5、關(guān)于信息安全管理，下面理解片面的是（） 單選題 *A、信息安全管理是組織整體管理的重要、固有組成部分，它是組織實現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障B、信息安全管理是一個不斷演進、循環(huán)發(fā)展的動態(tài)過程，不是一成不變的C、在信息安全建設(shè)中，技術(shù)是基礎(chǔ)，管理是拔高，有效的管理依賴于良好的技術(shù)基礎(chǔ)(正確答案)D、堅持管理與技術(shù)并重的原則，是我國加強信息安全保障工作的主要原則之一8、小李去參加單位組織的信息安全培訓(xùn)后，他把自己對管理信息管理體系ISMS 的理解畫了一張圖，但是他還存在一個空白處未填寫，請幫他選擇一個合適的選項（）單選題 *A、監(jiān)控和反饋ISMSB、批準(zhǔn)和監(jiān)督ISMSC、監(jiān)視和評審ISMS(正確答案)D

6、、溝通和咨詢ISMS9、在戴明環(huán)(PDCA)模型中，處置(ACT)環(huán)節(jié)的信息安全管理活動是（） 單選題 *A、建立環(huán)境B、實施風(fēng)險處理計劃C、持續(xù)的監(jiān)視與評審風(fēng)險D、持續(xù)改進信息安全管理過程(正確答案)10、在信息系統(tǒng)設(shè)計階段，“安全產(chǎn)品選擇”處于風(fēng)險管理過程的哪個階段?（） 單選題 *A、背景建立B、風(fēng)險評估C、風(fēng)險處理(正確答案)D、批準(zhǔn)監(jiān)督11、以下關(guān)于“最小特權(quán)”安全管理原則理解正確的是： （） 單選題 *A、組織機構(gòu)內(nèi)的敏感崗位不能由一個人長期負(fù)責(zé)B、對重要的工作進行分解，分配給不同人員完成C、一個人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限(正確答案)D、防止員工由一個崗位變動到另一個崗

7、位，累積越來越多的權(quán)限12、關(guān)于信息安全管理，說法錯誤的是（） 單選題 *A、信息安全管理是管理者為實現(xiàn)信息安全目標(biāo)(信息資產(chǎn)的CIA 等特性，以及業(yè)務(wù)運作的持續(xù))而進行的計劃、組織、指揮、協(xié)調(diào)和控制的一系列活動。B、信息安全管理是一個多層面、多因素的過程，依賴于建立信息安全組織、明確信息安全角色及職責(zé)、制定信息安全方針策略標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計機制等多方面非技術(shù)性的努力。C、實現(xiàn)信息安全，技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵。D、信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是一個靜態(tài)過程。(正確答案)13、文檔體系建設(shè)是信息安全管理體系(ISMS)建設(shè)的直接體現(xiàn)，下列說法不正確的是（

8、） 單選題 *A、組織內(nèi)的信息安全方針文件、信息安全規(guī)章制度文件、信息安全相關(guān)操作規(guī)范文件等文檔是組織的工作標(biāo)準(zhǔn)，也是ISMS 審核的依據(jù)B、組織內(nèi)的業(yè)務(wù)系統(tǒng)日志文件、風(fēng)險評估報告等文檔是對上一級文件的執(zhí)行和記錄，對這些記錄不需要保護和控制(正確答案)C、組織在每份文件的首頁，加上文件修訂跟蹤表，以顯示每一版本的版本號、發(fā)布日期、編寫人、審批人、主要修訂等內(nèi)容D、層次化的文檔是ISMS 建設(shè)的直接體現(xiàn)，文檔體系應(yīng)當(dāng)依據(jù)風(fēng)險評估的結(jié)果建立14、關(guān)于信息安全管理體系（Information Security Management Systems, ISMS）,下面描述錯誤的是（） 單選題 *A、信

9、息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系，包括組織架構(gòu)、方針、活動、職責(zé)及相關(guān)實踐要素(正確答案)B、管理體系（Management Systems）是為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架，信息安全管理體系是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用C、概念上，信息安全管理體系有廣義和狹義之分，狹義的信息安全管理體系是指按照ISO27001標(biāo)準(zhǔn)定義的管理體系，它是一個組織整體管理體系的組成部分D、同其他管理體系一樣，信息安全管理體系也要建立信息安全管理組織機構(gòu)，健全信息安全管理制度、構(gòu)建信息安全技術(shù)防護體系和加強人員的安全意識等內(nèi)容1

10、5、以下哪一項是數(shù)據(jù)完整性得到保護的例子?（） 單選題 *A、某網(wǎng)站在訪問量突然增加時對用戶連接數(shù)量進行了限制，保證已登錄的用戶可以完成操作B、在提款過程中ATM 終端發(fā)生故障，銀行業(yè)務(wù)系統(tǒng)及時對該用戶的賬戶余額進行了沖正操作(正確答案)C、某網(wǎng)管系統(tǒng)具有嚴(yán)格的審計功能，可以確定哪個管理員在何時對核心交換機進行了什么操作D、李先生在每天下班前將重要文件鎖在檔案室的保密柜中，使偽裝成清潔工的商業(yè)間諜無法查看16、風(fēng)險管理的監(jiān)控與審查不包含（） 單選題 *A、過程質(zhì)量管理B、成本效益管理C、跟蹤系統(tǒng)自身或所處環(huán)境的變化D、協(xié)調(diào)內(nèi)外部組織機構(gòu)風(fēng)險管理活動(正確答案)17、下面哪一項安全控制措施不是用

11、來檢測未經(jīng)授權(quán)的信息處理活動的（） 單選題 *A、設(shè)置網(wǎng)絡(luò)連接時限(正確答案)B、記錄并分析系統(tǒng)錯誤日志C、記錄并分析用戶和管理員操作日志D、啟用時鐘同步18、以下哪一項不是信息安全管理工作必須遵循的原則?（） 單選題 *A、風(fēng)險管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個系統(tǒng)開發(fā)過程之中B、風(fēng)險管理活動應(yīng)成為系統(tǒng)開發(fā)、運行、維護、直至廢棄的整個生命周期內(nèi)的持續(xù)性工作C、由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險控制措施針對性會更強，實施成本會相對較低(正確答案)D、在系統(tǒng)正式運行后，應(yīng)注重殘余風(fēng)險的管理，以提高快速反應(yīng)能力19、以下哪些是需要在信息安全策略中進行描述的（） 單選題 *A、組織

12、信息系統(tǒng)安全架構(gòu)B、信息安全工作的基本原則(正確答案)C、組織信息安全技術(shù)參數(shù)D、組織信息安全實施手段20、下面的角色對應(yīng)的信息安全職責(zé)不合理的是（） 單選題 *A、高級管理層最終責(zé)任B、信息安全部門主管提供各種信息安全工作必須的資源(正確答案)C、系統(tǒng)的普通使用者遵守日常操作規(guī)范D、審計人員檢查安全策略是否被遵從21、以下哪一項在防止數(shù)據(jù)介質(zhì)被濫用時是不推薦使用的方法（） 單選題 *A、禁用主機的CD驅(qū)動、USB接口等I/O設(shè)備B、對不再使用的硬盤進行嚴(yán)格的數(shù)據(jù)清除C、將不再使用的紙質(zhì)文件用碎紙機粉碎D、 用快速格式化刪除存儲介質(zhì)中的保密文件(正確答案)22、為了保證系統(tǒng)日志可靠有效，以下哪

13、一項不是日志必需具備的特征。（） 單選題 *A、統(tǒng)一而精確地的時間B、全面覆蓋系統(tǒng)資產(chǎn)C、包括訪問源、訪問目標(biāo)和訪問活動等重要信息D、可以讓系統(tǒng)的所有用戶方便的讀取(正確答案)23、層次化的文檔是信息安全管理體系information Security Management System, ISMS建設(shè)的直接體系，也ISMS 建設(shè)的成果之一，通常將ISMS 的文檔結(jié)構(gòu)規(guī)劃為4層金字塔結(jié)構(gòu)， 那么，以下選項（ ）應(yīng)放入到一級文件中.（） 單選題 *A、風(fēng)險評估報告B、人力資源安全管理規(guī)定C、ISMS內(nèi)部審核計劃D、單位信息安全方針(正確答案)24、信息安全管理體系（Information Sec

14、urity Management System, ISMS）的實施和運行ISMS 階段，是ISMS過程模型的實施階段（Do），下面給出了一些備選的活動制定風(fēng)險處理計劃實施風(fēng)險處理計劃開發(fā)有效性測量程序?qū)嵤┡嘤?xùn)和意識教育計劃管理ISMS的運行管理ISMS的資源執(zhí)行檢測事態(tài)和響應(yīng)事件的程序?qū)嵤﹥?nèi)部審核實施風(fēng)險再評估，選項哪一個描述了在此階段組織應(yīng)進行的活動。（） 單選題 *A、B、(正確答案)C、D、25、金女士經(jīng)常通過計算機在互聯(lián)網(wǎng)上購物，從安全角度看，下面哪項是不好的習(xí)慣（） 單選題 *A、使用專用上網(wǎng)購物用計算機，安裝好軟件后不要對該計算機上的系統(tǒng)軟件、應(yīng)用軟件進行升級(正確答案)B、為計算

15、機安裝具有良好聲譽的安全防護軟件，包括病毒查殺，安全檢查和安全加固方面的軟件C、在IE 的配置中，設(shè)置只能下載和安裝經(jīng)過簽名的，安全的ActiveX控件D、在使用網(wǎng)絡(luò)瀏覽器時，設(shè)置不在計算機中保留網(wǎng)絡(luò)歷史紀(jì)錄和表單數(shù)據(jù)26、某銀行信息系統(tǒng)為了滿足業(yè)務(wù)的需要準(zhǔn)備進行升級改造，以下哪一項不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素（） 單選題 *A、信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī)，國家以及金融行業(yè)安全標(biāo)準(zhǔn)B、信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運行的安全需求C、消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險(正確答案)D、該銀行整體安全策略27、某單位發(fā)生的管理員小張在繁忙的工作中接到了一個電

16、話，來電者：小張嗎？我是科技處的李強，我的郵箱密碼忘記了，現(xiàn)在打不開郵件，我著急收割郵件，麻煩你先幫我把密碼改成，我收完郵件自己修改掉密碼。熱心的小張很快的滿足了來電者的要求，隨后，李強發(fā)現(xiàn)郵箱系統(tǒng)登陸異常，請問下列說法哪個是正確的（） 單選題 *A、小張服務(wù)態(tài)度不好，如果把李強的郵件收下來親自交給李強就不會發(fā)生這個問題B、事件屬于服務(wù)器故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請購買新的服務(wù)器C、單位缺乏良好的密碼修改操作流程或小張沒按照操作流程工作(正確答案)D、事件屬于郵件系統(tǒng)故障，是偶然事件，應(yīng)向單位領(lǐng)導(dǎo)申請郵件服務(wù)軟件28、小明是某大學(xué)計算科學(xué)與技術(shù)專業(yè)的畢業(yè)生，大四上學(xué)期開始找工作，期望謀求

17、一份技術(shù)管理的職位，一次面試中，某公司的技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)險管理中的背景建立的幾個概念與認(rèn)識，小明的主要觀點包括（1）背景建立的目的是為了明確信息安全風(fēng)險管理的范圍和對象，以及對象的特性和安全要求，完成信息安全風(fēng)險管理項目的規(guī)劃和準(zhǔn)備；（2） 背景建立根據(jù)組織機構(gòu)相關(guān)的行業(yè)經(jīng)驗執(zhí)行，雄厚的經(jīng)驗有助于達(dá)到事半功倍的效果；（3） 背景建立包括：風(fēng)險管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析和信息安全分析；（4）背景建立的階段性成果包括：風(fēng)險管理計劃書、信息系統(tǒng)的描述報告、信息系統(tǒng)的分析報告、信息系統(tǒng)的安全要求報告。請問小明的論點中錯誤的是哪項（） 單選題 *A、第一個觀點B、第二個觀點(正確

18、答案)C、第三個觀點D、第四個觀點29、在信息安全管理的實施過程中，管理者的作用于信息安全管理體系能否成功實施非常重要， 但是一下選項中不屬于管理者應(yīng)有職責(zé)的是（） 單選題 *A、制定并頒發(fā)信息安全方針，為組織的信息安全管理體系建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B、確保組織的信息安全管理體系目標(biāo)和相應(yīng)的計劃得以制定，目標(biāo)應(yīng)明確、可度量，計劃應(yīng)具體、可事實C、向組織傳達(dá)滿足信息安全的重要性，傳達(dá)滿足信息安全要求、達(dá)成信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進的重要性D、建立健全信息安全制度，明確安全風(fēng)險管理作用，實施信息安全風(fēng)險評過過程、確保信息安全風(fēng)險評估技術(shù)選擇合理、計算正

19、確(正確答案)30、信息安全管理體系（Information Security Management System, ISMS）的內(nèi)部審核和管理審核是兩項重要的管理活動，關(guān)于這兩者，下面描述的錯誤是（） 單選題 *A、內(nèi)部審核和管理評審都很重要，都是促進ISMS 持續(xù)改進的重要動力，也都應(yīng)當(dāng)按照一定的周期實施B、內(nèi)部審核的實施方式多采用文件審核和現(xiàn)場審核的形式，而管理評審的實施方式多采用召開管理評審會議形式進行C、內(nèi)部審核的實施主體組織內(nèi)部的ISMS內(nèi)審小組，而管理評審的實施主體是由國家政策指定的第三方技術(shù)服務(wù)機構(gòu)(正確答案)D、組織的信息安全方針、信息安全目標(biāo)和有關(guān)ISMS 文件等，在內(nèi)部審

20、核中作為審核標(biāo)準(zhǔn)使用， 但在管理評審總，這些文件時被審對象31、關(guān)于信息安全管理體系，國際上有標(biāo)準(zhǔn)（ISO/IEC 27001:2013）而我國發(fā)布了信息技術(shù)安全技術(shù) 信息安全管理體系要求(GB/T 22080-2008）請問，這兩個標(biāo)準(zhǔn)的關(guān)系是（） 單選題 *A、IDT(等同采用)，此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn)，僅有或沒有編輯性修改(正確答案)B、EQV(等效采用)，此國家標(biāo)準(zhǔn)不等效于該國際標(biāo)準(zhǔn)C、NEQ(非等效采用)，此國家標(biāo)準(zhǔn)不等效于該國際標(biāo)準(zhǔn)D、沒有采用與否的關(guān)系，兩者之間版本不同，不應(yīng)該直接比較32、ISO/IEC 27001信息技術(shù) 安全技術(shù) 信息安全管理體系要求的內(nèi)容是基于。（）

21、單選題 *A、BS7799-1信息安全實施細(xì)則B、BS7799-2信息安全管理體系規(guī)范(正確答案)C、信息技術(shù)安全評估準(zhǔn)則(簡稱ITSEC)D、信息技術(shù)安全評估通用標(biāo)準(zhǔn)(簡稱CC)33、信息安全風(fēng)險管理過程的模型如圖所示。按照流程，請問，信息安全風(fēng)險管理包括（ ） 六個方面的內(nèi)容。（ ）是信息安全風(fēng)險管理的四個基本步驟，（ ）則貫穿于這四個基本步驟中（） 單選題 *A、背景建立、風(fēng)險評估、風(fēng)險外理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢；背景建立、風(fēng)險評估、風(fēng)險處理和批準(zhǔn)監(jiān)督；監(jiān)控審查和溝通咨詢(正確答案)B、背景建立、風(fēng)險評估、風(fēng)險外理、批準(zhǔn)監(jiān)督、監(jiān)控審査和溝通咨詢；背景建立、風(fēng)險評估、風(fēng)險處理和監(jiān)控

22、審查；批準(zhǔn)監(jiān)督和溝通咨詢C、背景建立、風(fēng)險評估、風(fēng)險外理、批準(zhǔn)監(jiān)督、監(jiān)控審査和溝通咨詢；背景建立、風(fēng)險評估、風(fēng)險處理和溝通咨詢；監(jiān)控審查和批準(zhǔn)監(jiān)督D、背景建立、風(fēng)險評估、風(fēng)險外理、批準(zhǔn)監(jiān)督、監(jiān)控審査和溝通咨詢；背景建立、風(fēng)險評估、監(jiān)控審查和批準(zhǔn)監(jiān)督；風(fēng)險處理和溝通咨詢34、信息安全是通過實施一組合適的（ ）而達(dá)到的，包括策略、過程、規(guī)程、（ ）以及軟件和硬件功能。在必要時需建立、實施、監(jiān)視、評審和改進包含這些控制措施的（ ） 過程。以確保滿足該組織的特定安全和（ ）。這個過程宜與其他業(yè)務(wù)（ ）聯(lián)合進行（） 單選題 *A、信息安全管理:控制措施:組織結(jié)構(gòu):業(yè)務(wù)目標(biāo):管理過程B、組織結(jié)構(gòu):控制措施

23、:信息安全管理:業(yè)務(wù)目標(biāo):管理過程C、控制措施:組織結(jié)構(gòu):信息安全管理:業(yè)務(wù)目標(biāo):管理過程(正確答案)D、控制措施:組織結(jié)構(gòu):業(yè)務(wù)目標(biāo):信息安全管理:管理過程35、信息安全管理體系也采用了（ ）模型可應(yīng)用于所有的（ ）。ISMS把相關(guān)方的信息安全要求和期望作為輸入，并通過必要的（ ），產(chǎn)生滿足這些要求和期望的（ ）。（） 單選題 *A、ISMS:PDCA 過程:行動和過程:信息安全結(jié)果B、PDCA:ISMS 過程:行動和過程:信息安全結(jié)果(正確答案)C、ISMS:PDCA 過程:信息安全結(jié)果:行動和過程D、PDCA:ISMS 過程:信息安全結(jié)果:行動和過程36、“規(guī)劃（Pan）-實施（Do）-檢查（Check）-處置（Act）”（PDCA 過程）又叫（ ）， 是管理學(xué)中的一個通用模型，最早由（ ）于1990年構(gòu)想，后來被美國質(zhì)量管理專家（ ） 博士在1950 年再度挖掘出來，并加以廣泛直傳和運用于持續(xù)改善產(chǎn)品質(zhì)量的過程，PDCA 循環(huán)就是按照“規(guī)劃、實施、檢查、處置”的順序進行質(zhì)量管理，并且循環(huán)不止地進行下去的（ ） 建立符合國際標(biāo)準(zhǔn)ISO9