2024年信息安全師考試題庫(kù)及答案（含A.B卷）

2024年信息安全師考試題庫(kù)及答案(含A.B卷)1、【單項(xiàng)選擇題】信息安全審核是指通過審查、測(cè)試、評(píng)審等手段，檢驗(yàn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的結(jié)果是否滿足信息系統(tǒng)的安全要求，這個(gè)工作一般由誰(shuí)完成?()A.機(jī)構(gòu)內(nèi)部人員B.外部專業(yè)機(jī)構(gòu)C.獨(dú)立第三方機(jī)構(gòu)D.以上皆可2、【單項(xiàng)選擇題】企業(yè)信息資產(chǎn)的管理和控制的描述不正確的是()A.企業(yè)應(yīng)該建立和維護(hù)一個(gè)完整的信息資產(chǎn)清單，并明確信息資產(chǎn)的B.企業(yè)應(yīng)該根據(jù)信息資產(chǎn)的重要性和安全級(jí)別的不同要求，采取對(duì)應(yīng)C.企業(yè)的信息資產(chǎn)不應(yīng)該分類分級(jí)，所有的信息系統(tǒng)要統(tǒng)一對(duì)待D.企業(yè)可以根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來識(shí)別所有的信息資產(chǎn)3、【單項(xiàng)選擇題】下面哪類設(shè)備常用于風(fēng)險(xiǎn)分析過程中，識(shí)別系統(tǒng)中存在的脆弱性?()A.防火墻4、【單項(xiàng)選擇題】下列哪一項(xiàng)最好地支持了24/7可用性?()A.日常備份C.鏡像D.定期測(cè)試5、【單項(xiàng)選擇題】黑客造成的主要危害是()A.破壞系統(tǒng)、竊取信息及偽造信息B.攻擊系統(tǒng)、獲取信息及假冒信息D.進(jìn)入系統(tǒng)，獲取信息及偽造信息6、【填空題】APT攻擊是一種“()”的攻擊。本題解析：試題答案惡意商業(yè)間諜威脅A.應(yīng)向其傳達(dá)信息安全要求及應(yīng)注意的信息安全問題。B.盡量配合客戶訪問信息資產(chǎn)。C.不允許客戶訪問組織信息資產(chǎn)。D.不加干涉，由客戶自己訪問信息資產(chǎn)。8、【單項(xiàng)選擇題】誰(shuí)對(duì)組織的信息安全負(fù)最終責(zé)任?B.高管層9、【單項(xiàng)選擇題】軟件的盜版是一個(gè)嚴(yán)重的問題。在下面哪一種說法中反盜版的策略和實(shí)際行為是矛盾的?()A.員工的教育和培訓(xùn)B.遠(yuǎn)距離工作(Telecommuting)與禁止員工攜帶工作軟件回家D.策略的發(fā)布與策略的強(qiáng)制執(zhí)行10、【單項(xiàng)選擇題】在思科路由器中，為實(shí)現(xiàn)超時(shí)10分鐘后自動(dòng)斷開連接，實(shí)現(xiàn)的命令應(yīng)為下列哪一個(gè)。()息系統(tǒng)安全保護(hù)等級(jí)的第三級(jí)的定義是()12、【單項(xiàng)選擇題】當(dāng)組織將客戶信用審查系統(tǒng)外包給第三方服務(wù)提供商時(shí)，下列哪一項(xiàng)是信息安全專業(yè)人士最重要的考慮因素?該提供商：()A.滿足并超過行業(yè)安全標(biāo)準(zhǔn)B.同意可以接受外部安全審查C.其服務(wù)和經(jīng)驗(yàn)有很好的市場(chǎng)聲譽(yù)D.符合組織的安全策略13、【單項(xiàng)選擇題】一個(gè)組織具有的大量分支機(jī)構(gòu)且分布地理區(qū)域較廣。以確保各方面的災(zāi)難恢復(fù)計(jì)劃的評(píng)估，具有成本效益的方式，應(yīng)建議使用：()A.數(shù)據(jù)恢復(fù)測(cè)試B.充分的業(yè)務(wù)測(cè)試C.前后測(cè)試D.預(yù)案測(cè)試14、【單項(xiàng)選擇題】事件響應(yīng)方法學(xué)定義了安全事件處理的流程，這個(gè)流程的順序是：()A.準(zhǔn)備一抑制一檢測(cè)一根除一恢復(fù)一跟進(jìn)B.準(zhǔn)備一檢測(cè)一抑制一恢復(fù)一根除一跟進(jìn)C.準(zhǔn)備一檢測(cè)一抑制一根除一恢復(fù)一跟進(jìn)D.準(zhǔn)備一抑制一根除一檢測(cè)一恢復(fù)一跟進(jìn)15、【單項(xiàng)選擇題】授權(quán)訪問信息資產(chǎn)的責(zé)任人應(yīng)該是()D.安全主管A.同軸電纜B.光纖C.雙絞線(屏蔽)D.雙絞線(非屏蔽)密性，分別是：()A.上讀，主體不可讀安全級(jí)別高于它的數(shù)據(jù)；下寫，主體不可寫安全級(jí)別低于它的數(shù)據(jù)B.下讀，主體不可讀安全級(jí)別高于它的數(shù)據(jù)；上寫，主體不可寫安全級(jí)別低于它的數(shù)據(jù)C.上讀，主體不可讀安全級(jí)別低于它的數(shù)據(jù)；下寫，主體不可寫安全級(jí)別高于它的數(shù)據(jù)D.下讀，主體不可讀安全級(jí)別低于它的數(shù)據(jù)；上寫，主體不可寫安全級(jí)別高于它的數(shù)據(jù)18、【單項(xiàng)選擇題】()以下關(guān)于注冊(cè)表子樹用途描述錯(cuò)誤的是哪個(gè)?包含了所有與本機(jī)有關(guān)的操作系統(tǒng)配置數(shù)據(jù)。D.一個(gè)值得信賴的第三方認(rèn)證協(xié)議。20.【單項(xiàng)選擇題】以下哪項(xiàng)行為可能使用嗅探泄露系統(tǒng)的管理員密D.在本地使用root用戶登錄21、【單項(xiàng)選擇題】信息安全管理手段不包括以下哪一項(xiàng)()C.人員D.市場(chǎng)22、【單項(xiàng)選擇題】信息資產(chǎn)分級(jí)的最關(guān)鍵要素是()A.價(jià)值B.時(shí)間C.安全性23、【單項(xiàng)選擇題】下面對(duì)于強(qiáng)制訪問控制的說法錯(cuò)誤的是?()A.它可以用來實(shí)現(xiàn)完整性保護(hù)，也可以用來實(shí)現(xiàn)機(jī)密性保護(hù)B.在強(qiáng)制訪問控制的系統(tǒng)中，用戶只能定義客體的安全屬性C.它在軍方和政府等安全要求很高的地方應(yīng)用較多D.它的缺點(diǎn)是使用中的便利性比較低25、【填空題】災(zāi)難恢復(fù)和容災(zāi)是()意思。本題解析：試題答案同一個(gè)26、【判斷題】入侵檢測(cè)技術(shù)能夠識(shí)別來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動(dòng)。27、【單項(xiàng)選擇題】以下發(fā)現(xiàn)屬于Linux系統(tǒng)嚴(yán)重威脅的是什么?()B.發(fā)現(xiàn)應(yīng)用的配置文件被管理員變更C.發(fā)現(xiàn)有惡意程序在實(shí)時(shí)的攻擊系統(tǒng)D.發(fā)現(xiàn)防護(hù)程序收集了很多黑客攻擊的源地址28、【單項(xiàng)選擇題】當(dāng)曾經(jīng)用于存放機(jī)密資料的PC在公開市場(chǎng)出售時(shí)A.對(duì)磁盤進(jìn)行消磁B.對(duì)磁盤低級(jí)格式化29、【單項(xiàng)選擇題】企業(yè)信息安全事件的恢復(fù)過程中，以下哪個(gè)是最A(yù).數(shù)據(jù)B.應(yīng)用系統(tǒng)30、【單項(xiàng)選擇題】特洛伊木馬攻擊的危脅類型屬于()A.授權(quán)侵犯威脅C.滲入威脅D.破壞威脅31、【單項(xiàng)選擇題】區(qū)別脆弱性評(píng)估和滲透測(cè)試是脆弱性評(píng)估()A.檢查基礎(chǔ)設(shè)施并探測(cè)脆弱性，然而穿透性測(cè)試目的在于通過脆弱性檢測(cè)其可能帶來的損失B.和滲透測(cè)試為不同的名稱但是同一活動(dòng)C.是通過自動(dòng)化工具執(zhí)行，而滲透測(cè)試是一種完全的手動(dòng)過程D.是通過商業(yè)工具執(zhí)行，而滲透測(cè)試是執(zhí)行公共進(jìn)程32、【單項(xiàng)選擇題】在Windows操作系統(tǒng)下，由于()端口探測(cè)沒有限制，能夠讓別人探測(cè)到一些數(shù)據(jù)庫(kù)信息，因此IPSec過濾拒絕掉該端口的UDP通信，可以盡可能地隱藏你的SQLServer。33、【單項(xiàng)選擇題】下面哪一個(gè)不是系統(tǒng)設(shè)計(jì)階段風(fēng)險(xiǎn)管理的工作內(nèi)B.軟件設(shè)計(jì)風(fēng)險(xiǎn)控制C.安全產(chǎn)品選擇34、單項(xiàng)選擇題以下哪項(xiàng)活動(dòng)對(duì)安全編碼沒有幫助()A.代碼審計(jì)B.安全編碼規(guī)范C.編碼培訓(xùn)D.代碼版本管理力訪問某些特定的資源?()36、【單項(xiàng)選擇題】變更控制是信息系統(tǒng)運(yùn)行管理的重要的內(nèi)容，在變更控制的過程中：()A.應(yīng)該盡量追求效率，而沒有任何的程序和核查的阻礙。B.應(yīng)該將重點(diǎn)放在風(fēng)險(xiǎn)發(fā)生后的糾正措施上。C.應(yīng)該很好的定義和實(shí)施風(fēng)險(xiǎn)規(guī)避的措施。D.如果是公司領(lǐng)導(dǎo)要求的，對(duì)變更過程不需要追蹤和審查37、【單項(xiàng)選擇題】下列哪一個(gè)是PKI體系中用以對(duì)證書進(jìn)行訪問的38、【單項(xiàng)選擇題】戴明循環(huán)執(zhí)行順序，在選擇外部供貨生產(chǎn)商時(shí)，評(píng)價(jià)標(biāo)準(zhǔn)按照重要性的排列順序是：()1.供貨商與信息系統(tǒng)部門的接近程度2.供貨商雇員的態(tài)度3.供貨商的信譽(yù)、專業(yè)知識(shí)、技術(shù)4.供貨商的財(cái)政狀況和管理情況40、【單項(xiàng)選擇題】從業(yè)務(wù)角度出發(fā)，最大的風(fēng)險(xiǎn)可能發(fā)生在那個(gè)階A.立項(xiàng)可行性分析階段B.系統(tǒng)需求分析階段C.架構(gòu)設(shè)計(jì)和編碼階段D.投產(chǎn)上線階段41、【填空題】蹭網(wǎng)指攻擊者使用自己計(jì)算機(jī)中的無線網(wǎng)卡連接他人的無線路由器上網(wǎng)，而不是通過()提供的線路上網(wǎng)。本題解析：試題答案正規(guī)的ISP42、【單項(xiàng)選擇題】密碼出口政策最嚴(yán)格的是以下哪個(gè)國(guó)家?()C.愛爾蘭D.新加坡43、問答題入侵檢測(cè)系統(tǒng)分為哪幾種，各有什么特點(diǎn)?標(biāo)準(zhǔn)答案：主機(jī)型入侵檢測(cè)系統(tǒng)(HIDS),網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)(N本題解析：試題答案主機(jī)型入侵檢測(cè)系統(tǒng)(HIDS),網(wǎng)絡(luò)型入侵檢測(cè)1)網(wǎng)絡(luò)帶寬高太高無法進(jìn)行網(wǎng)絡(luò)監(jiān)控2)網(wǎng)絡(luò)帶寬太低不能承受網(wǎng)絡(luò)IDS的開銷3)網(wǎng)絡(luò)環(huán)境是高度交換且交換機(jī)上沒有鏡像端口4)不需要廣泛的入侵檢測(cè)HIDS往往以系統(tǒng)日志、應(yīng)用程序日志作為數(shù)據(jù)源；檢測(cè)主機(jī)上的命令序列比檢測(cè)網(wǎng)絡(luò)流更簡(jiǎn)單，系統(tǒng)的復(fù)雜性也少得多，所以主機(jī)檢測(cè)系統(tǒng)誤報(bào)率比網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的誤報(bào)率要低；他除了檢測(cè)自身的主機(jī)以外，根本不檢測(cè)網(wǎng)絡(luò)上的情況，而且對(duì)入侵行為分析的工作量將隨著主機(jī)數(shù)量的增加而增加，因此全面部署主機(jī)入侵檢測(cè)系統(tǒng)代價(jià)比較大，企業(yè)很難將所有主機(jī)用主機(jī)入侵檢測(cè)系統(tǒng)保護(hù)，只能選擇部分主機(jī)進(jìn)行保護(hù)，那些未安裝主機(jī)入侵檢測(cè)系統(tǒng)的機(jī)器將成為保護(hù)的忙點(diǎn)，入侵者可利用這些機(jī)器達(dá)到攻擊的目標(biāo)。依賴于服務(wù)器固有的日志和監(jiān)視能力，。如果服務(wù)器上沒有配置日志功能，則必須重新配置，這將給運(yùn)行中的業(yè)務(wù)系統(tǒng)帶來不可預(yù)見的性能影響。NIDS一般部署在比較重要的網(wǎng)段內(nèi)，它不需要改變服務(wù)器等主機(jī)的配置，由于他不會(huì)在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件，從而不會(huì)影響這些機(jī)器的CPU、I/0與磁盤等資源的使用，不會(huì)影響業(yè)務(wù)要安裝一個(gè)或幾個(gè)這樣的系統(tǒng)，便可以檢測(cè)整個(gè)網(wǎng)絡(luò)的情況，比較容易實(shí)現(xiàn)。由于現(xiàn)在網(wǎng)絡(luò)的日趨復(fù)雜和高速網(wǎng)絡(luò)的普及，這種結(jié)構(gòu)正接受者越來越大的挑戰(zhàn)。44、【單項(xiàng)選擇題】企業(yè)的業(yè)務(wù)持續(xù)性計(jì)劃中應(yīng)該以記錄以下內(nèi)容的預(yù)定規(guī)則為基礎(chǔ)()D.損耗的原因B.機(jī)房空調(diào)46、【單項(xiàng)選擇題】廣義的網(wǎng)絡(luò)信息保密性是指()A、利用密碼技術(shù)對(duì)信息進(jìn)行加密處理，以防止信息泄漏和保護(hù)信息不為非授權(quán)用戶掌握B、保證數(shù)據(jù)在傳輸、存儲(chǔ)等過程中不被非法修改C、對(duì)數(shù)據(jù)的截獲、篡改采取完整性標(biāo)識(shí)的生成與檢驗(yàn)技術(shù)D、保守國(guó)家機(jī)密，或是未經(jīng)信息擁有者的許可，不得非法泄漏該保密信息給非授權(quán)人員47、【填空題】對(duì)信息的();();()的特性稱為完整性保護(hù)。本題解析：試題答案防篡改；防刪除；防插入48、【單項(xiàng)選擇題】對(duì)安全策略的描述不正確的是()A.信息安全策略(或者方針)是由組織的最高管理者正式制訂和發(fā)布的描述企業(yè)信息安全目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實(shí)施過程B.策略應(yīng)有一個(gè)屬主，負(fù)責(zé)按復(fù)查程序維護(hù)和復(fù)查該策略C.安全策略的內(nèi)容包括管理層對(duì)信息安全目標(biāo)和原則的聲明和承諾；D.安全策略一旦建立和發(fā)布，則不可變更本題解析：暫無解析49、【單項(xiàng)選擇題】那種測(cè)試結(jié)果對(duì)開發(fā)人員的影響最大()A.單元測(cè)試和集成測(cè)試B.系統(tǒng)測(cè)試C.驗(yàn)收測(cè)試D.滲透測(cè)試50、【單項(xiàng)選擇題】以下關(guān)于風(fēng)險(xiǎn)評(píng)估的描述不正確的是?()A.作為風(fēng)險(xiǎn)評(píng)估的要素之一，威脅發(fā)生的可能需要被評(píng)估B.作為風(fēng)險(xiǎn)評(píng)估的要素之一，威脅發(fā)生后產(chǎn)生的影響需要被評(píng)估D.風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的最終結(jié)果51、問答題密碼的研究、生產(chǎn)、銷售時(shí)哪個(gè)部門負(fù)責(zé)的?標(biāo)準(zhǔn)答案：商用密碼技術(shù)屬于國(guó)家秘密；國(guó)家密碼管理機(jī)構(gòu)主管全國(guó)的商本題解析：試題答案商用密碼技術(shù)屬于國(guó)家秘密；國(guó)家密碼管理機(jī)構(gòu)主管全國(guó)的商用密碼管理工作。52、【單項(xiàng)選擇題】以下哪項(xiàng)機(jī)制與數(shù)據(jù)處理完整性相關(guān)()A.數(shù)據(jù)庫(kù)事務(wù)完整性機(jī)制B.數(shù)據(jù)庫(kù)自動(dòng)備份復(fù)制機(jī)制C.雙機(jī)并行處理，并相互驗(yàn)證D.加密算法53、【多項(xiàng)選擇題】期刊發(fā)表的周期有()。A.日刊B、周刊54、【單項(xiàng)選擇題】信息安全風(fēng)險(xiǎn)管理的A.決策層B.管理層C.執(zhí)行層絡(luò)的防護(hù)能力，這些技術(shù)包括?()D.身份認(rèn)證技術(shù)。57、【單項(xiàng)選擇題】下面哪一項(xiàng)不是主機(jī)型入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)?()A.性能價(jià)格比高C.敏感細(xì)膩D.占資源少58、【單項(xiàng)選擇題】為了防止物理上取走數(shù)據(jù)庫(kù)而采取的加強(qiáng)數(shù)據(jù)庫(kù)安全的方法是()或文件夾的默認(rèn)共享設(shè)置?()B.域用戶C.所有人60、【單項(xiàng)選擇題】網(wǎng)絡(luò)安全一般是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其()受到保護(hù)，不因偶然的或者惡意的原因而遭受破壞、更改、泄漏，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。A、系統(tǒng)中的文件D、系統(tǒng)中的視頻61、【單項(xiàng)選擇題】有關(guān)人員安全管理的描述不正確的是?A.人員的安全管理是企業(yè)信息安全管理活動(dòng)中最難的環(huán)節(jié)。B.重要或敏感崗位的人員入職之前，需要做好人員的背景檢查。C.如職責(zé)分離難以實(shí)施，企業(yè)對(duì)此無能為力，也無需做任何工作。D.人員離職之后，必須清除離職員工所有的邏輯訪問帳號(hào)。62、【單項(xiàng)選擇題】覆蓋和消磁不用在對(duì)以下哪一種計(jì)算機(jī)存儲(chǔ)器或存儲(chǔ)媒介進(jìn)行清空的過程?()63、【單項(xiàng)選擇題】包括了對(duì)整個(gè)應(yīng)用程序、控制程序的邏輯和數(shù)據(jù)的邏輯合法性和合理性的審計(jì)方法是()B、應(yīng)用程序的審計(jì)64、【單項(xiàng)選擇題】監(jiān)視惡意代碼主體程序是否正常的技術(shù)是?()65、【單項(xiàng)選擇題】組織內(nèi)應(yīng)急通知應(yīng)主要采用以下哪種方式()C.人員期限為()D.短期67、【單項(xiàng)選擇題】測(cè)試程序變更管理流程時(shí)，安全管理體系內(nèi)審員使用的最有效的方法是：()A.由系統(tǒng)生成的信息跟蹤到變更管理文檔B.檢查變更管理文檔中涉及的證據(jù)的精確性和正確性C.由變更管理文檔跟蹤到生成審計(jì)軌跡的系統(tǒng)D.檢查變更管理文檔中涉及的證據(jù)的完整性68、【單項(xiàng)選擇題】對(duì)于外部組織訪問企業(yè)信息資產(chǎn)的過程中相關(guān)說法不正確的是?()A.為了信息資產(chǎn)更加安全，禁止外部組織人員訪問信息資產(chǎn)。B.應(yīng)確保相關(guān)信息處理設(shè)施和信息資產(chǎn)得到可靠的安全保護(hù)。C.訪問前應(yīng)得到信息資產(chǎn)所有者或管理者的批準(zhǔn)。D.應(yīng)告知其所應(yīng)當(dāng)遵守的信息安全要求。69、【單項(xiàng)選擇題】以下哪個(gè)不是信息安全項(xiàng)目的需求來源()A.國(guó)家和地方政府法律法規(guī)與合同的要求B.風(fēng)險(xiǎn)評(píng)估的結(jié)果C.組織原則目標(biāo)和業(yè)務(wù)需要D.企業(yè)領(lǐng)導(dǎo)的個(gè)人意志不脫”是網(wǎng)絡(luò)信息安全建設(shè)的目的。其中，“看不懂”是指下面那種安全服務(wù)：()B.身份認(rèn)證C.數(shù)據(jù)完整性D.訪問控制72、【單項(xiàng)選擇題】以下哪一項(xiàng)是已經(jīng)被確認(rèn)了的具有一定合理性的A.總風(fēng)險(xiǎn)D.殘余風(fēng)險(xiǎn)73、【單項(xiàng)選擇題】保護(hù)輪廓(PP)是下面哪一方提出的安全要求?B.開發(fā)方C.用戶方D.制定標(biāo)準(zhǔn)方求在發(fā)生重大故障后，必須保證能夠繼續(xù)提供IT服務(wù)。需要實(shí)施哪個(gè)流程才能提供這種保證性?()B.IT服務(wù)連續(xù)性管理75、【單項(xiàng)選擇題】人員入職過程中，以下做法不正確的是?()B.分配工作需要的最低權(quán)限。C.允許訪問企業(yè)所有的信息資產(chǎn)。76、【單項(xiàng)選擇題】以下有關(guān)訪問控制的描述不正確的是()A.口令是最常見的驗(yàn)證身份的措施，也是重要的信息資產(chǎn)，應(yīng)妥善保護(hù)和管理B.系統(tǒng)管理員在給用戶分配訪問權(quán)限時(shí)，應(yīng)該遵循“最小特權(quán)原則”,即分配給員工的訪問權(quán)限只需滿足其工作需要的權(quán)限，工作之外的權(quán)限一律不能分配C.單點(diǎn)登錄系統(tǒng)(一次登錄/驗(yàn)證，即可訪問多個(gè)系統(tǒng))最大的優(yōu)勢(shì)是提升了便利性，但是又面臨著“把所有雞蛋放在一個(gè)籃子”的風(fēng)險(xiǎn)；D.雙因子認(rèn)證(又稱強(qiáng)認(rèn)證)就是一個(gè)系統(tǒng)需要兩道密碼才能進(jìn)入B.IPSpoofD.字典破解78、【單項(xiàng)選擇題】組織內(nèi)數(shù)據(jù)安全官的最為重要的職責(zé)是：()A.推薦并監(jiān)督數(shù)據(jù)安全策略B.在組織內(nèi)推廣安全意識(shí)C.制定IT安全策略下的安全程序/流程D.管理物理和邏輯訪問控制79、【單項(xiàng)選擇題】某種防火墻的缺點(diǎn)是沒有辦法從非常細(xì)微之處來分析數(shù)據(jù)包，但它的優(yōu)點(diǎn)是非?？?，這種防火墻是以下的哪一種?()C.會(huì)話層防火墻D.包過濾防火墻80、【單項(xiàng)選擇題】下面哪一個(gè)不是系統(tǒng)運(yùn)行維護(hù)階段風(fēng)險(xiǎn)管理的工作內(nèi)容()A.安全運(yùn)行和管理B.安全測(cè)試C.變更管理D.風(fēng)險(xiǎn)再次評(píng)估81、【單項(xiàng)選擇題】在未受保護(hù)的通信線路上傳輸數(shù)據(jù)和使用弱口令B.威脅D.影響82、【單項(xiàng)選擇題】作為信息安全治理的成果，戰(zhàn)略方針提供了：()A.企業(yè)所需的安全要求B.遵從最佳實(shí)務(wù)的安全基準(zhǔn)C.日?；贫然慕鉀Q方案D.風(fēng)險(xiǎn)暴露的理解83、【單項(xiàng)選擇題】下面安全套接字層協(xié)議(SSL)的說法錯(cuò)誤的是?A.它是一種基于web應(yīng)用的安全協(xié)議B.由于SSL是內(nèi)嵌在瀏覽器中的，無需安全客戶端軟件，所以相對(duì)于IPSec更簡(jiǎn)單易用該實(shí)施必要的改進(jìn)措施并進(jìn)行跟蹤和評(píng)價(jià)，以下描述不正確的是?()87、【單項(xiàng)選擇題】下面哪一個(gè)不是對(duì)點(diǎn)擊劫持D.可以對(duì)方網(wǎng)絡(luò)癱瘓89、【單項(xiàng)選擇題】應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組主要職責(zé)包括：()A.對(duì)應(yīng)急響應(yīng)工作的承諾和支持，包括發(fā)布正式文件、提供必要資源(人財(cái)物)等；B.審核并批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃；C.負(fù)責(zé)組織的外部協(xié)作工作D.組織應(yīng)急響應(yīng)計(jì)劃演練90、【單項(xiàng)選擇題】有關(guān)定性風(fēng)險(xiǎn)評(píng)估和定量風(fēng)險(xiǎn)評(píng)估的區(qū)別，以下描述不正確的是()A.定性風(fēng)險(xiǎn)評(píng)估比較主觀，而定量風(fēng)險(xiǎn)評(píng)估更客觀B.定性風(fēng)險(xiǎn)評(píng)估容易實(shí)施，定量風(fēng)險(xiǎn)評(píng)估往往數(shù)據(jù)準(zhǔn)確性很難保證C.定性風(fēng)險(xiǎn)評(píng)估更成熟，定量風(fēng)險(xiǎn)評(píng)估還停留在理論階段D.定性風(fēng)險(xiǎn)評(píng)估和定量風(fēng)險(xiǎn)評(píng)估沒有本質(zhì)區(qū)別，可以通用91、【判斷題】系統(tǒng)里的信息涉及國(guó)家秘密的信息系統(tǒng)，只要其中的涉密信息很少，就不算是涉密信息系統(tǒng)。連的終端才會(huì)受到影響”,這一說法是適合于以下哪一種拓?fù)浣Y(jié)構(gòu)的A.星型B.樹型C.環(huán)型D.復(fù)合型93、【單項(xiàng)選擇題】以下哪些不屬于敏感性標(biāo)識(shí)()A.不干貼方式B.印章方式C.電子標(biāo)簽D.個(gè)人簽名94、【單項(xiàng)選擇題】在進(jìn)行風(fēng)險(xiǎn)分析的時(shí)候，發(fā)現(xiàn)預(yù)測(cè)可能造成的風(fēng)險(xiǎn)的經(jīng)濟(jì)損失時(shí)有一定困難。為了評(píng)估潛在的損失，應(yīng)該：()A.計(jì)算相關(guān)信息資產(chǎn)的攤銷費(fèi)用B.計(jì)算投資的回報(bào)C.應(yīng)用定性的方法進(jìn)行評(píng)估D.花費(fèi)必要的時(shí)間去評(píng)估具體的損失的金額95、【單項(xiàng)選擇題】不受限制的訪問生產(chǎn)系統(tǒng)程序的權(quán)限將授予以下哪些人?()A.審計(jì)師B.不可授予任何人D.只有維護(hù)程序員下面哪一條是屬于廣義的安全策略?()A.應(yīng)急計(jì)劃B.遠(yuǎn)程辦法C.計(jì)算機(jī)安全程序D.電子郵件個(gè)人隱私98、【單項(xiàng)選擇題】關(guān)于標(biāo)準(zhǔn)、指南、程序的描述，哪一項(xiàng)是最準(zhǔn)確A.標(biāo)準(zhǔn)是建議性的策略，指南是強(qiáng)制執(zhí)行的策略B.程序?yàn)榉蠌?qiáng)制性指南的一般性建議C.程序是為符合強(qiáng)制性指南的一般性建議D.程序是為符合強(qiáng)制性標(biāo)準(zhǔn)的的說明99、【填空題】美國(guó)()政府提出來網(wǎng)絡(luò)空間的安全戰(zhàn)略。本題解析：試題答案布什切尼100、【單項(xiàng)選擇題】在對(duì)業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行驗(yàn)證時(shí)，以下哪A.數(shù)據(jù)備份準(zhǔn)時(shí)執(zhí)行B.備份站點(diǎn)已簽訂合約，并且在需要時(shí)可以使用C.人員安全計(jì)劃部署適當(dāng)D.保險(xiǎn)1、【單項(xiàng)選擇題】在對(duì)業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行驗(yàn)證時(shí)，以下哪項(xiàng)最為重A.數(shù)據(jù)備份準(zhǔn)時(shí)執(zhí)行B.備份站點(diǎn)已簽訂合約，并且在需要時(shí)可以使用C.人員安全計(jì)劃部署適當(dāng)D.保險(xiǎn)或者校園網(wǎng)絡(luò)中心全部DNS、主WEB服務(wù)器不能正常工作；由于病毒屬于以下哪種級(jí)別事件()A.特別重大事件C.較大事件3、【單項(xiàng)選擇題】評(píng)估IT風(fēng)險(xiǎn)被很好的達(dá)到，可以通過：()B.用公司的以前的真的損失經(jīng)驗(yàn)來決定現(xiàn)在的弱點(diǎn)和威脅C.審查可比較的組織出版的損失數(shù)據(jù)D.一句審計(jì)拔高審查IT控制弱點(diǎn)錯(cuò)誤的?()A.強(qiáng)調(diào)對(duì)信息保密性的保護(hù)，受到對(duì)信息保密要求較高的軍政機(jī)關(guān)和B.既定義了主體對(duì)客體的訪問，也說明了主體對(duì)主體的訪問。因此，它適用于網(wǎng)絡(luò)系統(tǒng)。C.它是一種強(qiáng)制訪問控制模型，與自主訪問控制模型相比具有強(qiáng)耦合，集中式授權(quán)的特點(diǎn)。D.比起那些較新的模型而言，Bell-LaPadula定義的公理很簡(jiǎn)單，更易于理解，與所使用的實(shí)際系統(tǒng)具有直觀的聯(lián)系。種都可以通過系統(tǒng)本身的工具來進(jìn)行設(shè)置和控制?B、用戶安全性C、文件安全性特征，解釋系統(tǒng)安全相關(guān)行為。關(guān)于它的作用描述不正確的是?()A.準(zhǔn)確的描述安全的重要方面與系統(tǒng)行為的關(guān)系。B.開發(fā)出一套安全性評(píng)估準(zhǔn)則，和關(guān)鍵的描述變量。D.強(qiáng)調(diào)了風(fēng)險(xiǎn)評(píng)估的重要性7、【單項(xiàng)選擇題】處理報(bào)廢電腦的流程時(shí)，以下哪一個(gè)選項(xiàng)對(duì)于安全專業(yè)人員來說是最重要考慮的內(nèi)容?()A.在扇區(qū)這個(gè)級(jí)別上，硬盤已經(jīng)被多次重復(fù)寫入，但是在離開組織前沒有進(jìn)行重新格式化。B.硬盤上所有的文件和文件夾都分別刪除了，并在離開組織進(jìn)行重新C.在離開組織前，通過在硬盤特定位置上洞穿盤片，進(jìn)行打洞，使得硬盤變得不可讀取。D.由內(nèi)部的安全人員將硬盤送到附近的金屬回收公司，對(duì)硬盤進(jìn)行登8、【單項(xiàng)選擇題】有關(guān)Kerberos說法下列哪項(xiàng)是正確的?()B.它依靠對(duì)稱密碼技術(shù)。C.它是第二方的認(rèn)證系統(tǒng)。D.票據(jù)授予之后將加密數(shù)據(jù)，但以明文方式交換密碼9、【填空題】蹭網(wǎng)指攻擊者使用自己計(jì)算機(jī)中的無線網(wǎng)卡連接他人的無線路由器上網(wǎng)，而不是通過()提供的線路上網(wǎng)。本題解析：試題答案正規(guī)的ISP10、【單項(xiàng)選擇題】系統(tǒng)管理員屬于?()A.決策層B.管理層C.執(zhí)行層D.既可以劃為管理層，又可以劃為執(zhí)行層12、【單項(xiàng)選擇題】來自終端的電磁泄露風(fēng)險(xiǎn)，因?yàn)樗鼈儯?)B.破壞處理程序C.產(chǎn)生危險(xiǎn)水平的電流D.可以被捕獲并還原13、【單項(xiàng)選擇題】下面哪一項(xiàng)不是安全編程的原則()A.盡可能使用高級(jí)語(yǔ)言進(jìn)行編程B.盡可能讓程序只實(shí)現(xiàn)需要的功能C.不要信任用戶輸入的數(shù)據(jù)D.盡可能考慮到意外的情況，并設(shè)計(jì)妥善的處理方法A.求合數(shù)模平方根的難題B.離散對(duì)數(shù)困難問題C.背包問題D.大數(shù)分解困難問題15、【單項(xiàng)選擇題】當(dāng)發(fā)生災(zāi)難時(shí)，以下哪一項(xiàng)能保證業(yè)務(wù)交易的有A.從當(dāng)前區(qū)域外的地方持續(xù)每小時(shí)1次地傳送交易磁帶B.從當(dāng)前區(qū)域外的地方持續(xù)每天1次地傳送交易磁帶C.抓取交易以整合存儲(chǔ)設(shè)備D.從當(dāng)前區(qū)域外的地方實(shí)時(shí)傳送交易磁帶16、【單項(xiàng)選擇題】在客戶/服務(wù)器系統(tǒng)中，安全方面的中在：()B.數(shù)據(jù)庫(kù)服務(wù)器級(jí)C.數(shù)據(jù)庫(kù)級(jí)17、【單項(xiàng)選擇題】以下誰(shuí)具有批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃的權(quán)利()B.各部門18、【單項(xiàng)選擇題】下面哪一個(gè)不是系統(tǒng)規(guī)劃階段風(fēng)險(xiǎn)管理的工作內(nèi)A.明確安全總體方針B.明確系統(tǒng)安全架構(gòu)C.風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則達(dá)成一致D.安全需求分析19、【單項(xiàng)選擇題】下面哪一項(xiàng)是恢復(fù)非關(guān)鍵系統(tǒng)的最合理方案?()A.溫站B.移動(dòng)站C.熱站D.冷站20、【單項(xiàng)選擇題】下列關(guān)于互惠原則說法不正確的是()。A、互惠原則是網(wǎng)絡(luò)道德的主要原則之一B、網(wǎng)絡(luò)信息交流和網(wǎng)絡(luò)服務(wù)具有雙向性C、網(wǎng)絡(luò)主體只承擔(dān)義務(wù)D、互惠原則本質(zhì)上體現(xiàn)的是賦予網(wǎng)絡(luò)主體平等與公正21、【判斷題】專家評(píng)估是論文評(píng)價(jià)的主要方法之一。22、【單項(xiàng)選擇題】密碼出口政策最嚴(yán)格的是以下哪個(gè)國(guó)家?()A.法國(guó)B.美國(guó)D.新加坡23、【單項(xiàng)選擇題】下面哪一個(gè)不是系統(tǒng)廢棄階段風(fēng)險(xiǎn)管理的工作內(nèi)A.安全測(cè)試B.對(duì)廢棄對(duì)象的風(fēng)險(xiǎn)評(píng)估C.防止敏感信息泄漏D.人員培訓(xùn)24、【單項(xiàng)選擇題】誰(shuí)對(duì)組織的信息安全負(fù)最終責(zé)任?()B.高管層息系統(tǒng)安全保護(hù)等級(jí)的第三級(jí)的定義是()C.強(qiáng)制保護(hù)級(jí)A.信息安全方針政策C.信息安全作業(yè)指導(dǎo)書D.信息安全工作記錄31、【單項(xiàng)選擇題】信息分類是信息安全管理工作91E的重要環(huán)節(jié)，下面哪一項(xiàng)不是對(duì)信息進(jìn)行分類時(shí)需要重點(diǎn)考慮的?()B.信息的時(shí)效性C.信息的存儲(chǔ)D.法律法規(guī)的規(guī)定32、【單項(xiàng)選擇題】信息安全管理工作小組可就哪些問題向外部安全專家或特定外部組織尋求信息安全方面的建議?()A.相關(guān)安全信息的最佳實(shí)踐和最新狀態(tài)知識(shí)。B.盡早接受到關(guān)于攻擊和脆弱點(diǎn)的警告、建議和補(bǔ)丁C.分享和交換關(guān)于新的技術(shù)、產(chǎn)品、威脅或脆弱點(diǎn)信息D.以上都是33、【單項(xiàng)選擇題】如果出現(xiàn)IT人員和最終用戶職責(zé)分工的問題，下面哪個(gè)選項(xiàng)是合適的補(bǔ)償性控制?()A.限制物理訪問計(jì)算機(jī)設(shè)備B.檢查應(yīng)用及事務(wù)處理日志C.在聘請(qǐng)IT人員之前進(jìn)行背景檢查D.在不活動(dòng)的特定時(shí)間后，鎖定用戶會(huì)話34、【單項(xiàng)選擇題】為了防止物理上取走數(shù)據(jù)庫(kù)而采取的加強(qiáng)數(shù)據(jù)庫(kù)安全的方法是()B、數(shù)據(jù)庫(kù)加密A.S36、【多項(xiàng)選擇題】威脅網(wǎng)絡(luò)信息安全的軟件因素有()B、缺乏自主創(chuàng)新的信息核心技術(shù)37、【判斷題】科學(xué)觀察可以分為直接觀察和間接觀察。38、【判斷題】網(wǎng)絡(luò)道德的本質(zhì)是社會(huì)道德，是社會(huì)道德在網(wǎng)絡(luò)領(lǐng)域控制門時(shí)，都必須讀取自己的證件”,防范的是哪一種攻擊方式?()40、【單項(xiàng)選擇題】安全評(píng)估人員正為某個(gè)醫(yī)療機(jī)構(gòu)的生產(chǎn)和測(cè)試環(huán)境進(jìn)行評(píng)估。在訪談中，注意到生產(chǎn)數(shù)據(jù)被用于測(cè)試環(huán)境測(cè)試，這種情況下存在哪種最有可能的潛在風(fēng)險(xiǎn)?()A.測(cè)試環(huán)境可能沒有充足的控制確保數(shù)據(jù)的精確性B.測(cè)試環(huán)境可能由于使用生產(chǎn)數(shù)據(jù)而產(chǎn)生不精確的結(jié)果C.測(cè)試環(huán)境的硬件可能與生產(chǎn)環(huán)境的不同D.測(cè)試環(huán)境可能沒有充分的訪問控制以確保數(shù)據(jù)機(jī)密性41、【單項(xiàng)選擇題】面向?qū)ο蟮拈_發(fā)方法中，以下哪些機(jī)制對(duì)安全有C.繼承D.重載42、【單項(xiàng)選擇題】防火墻通過()控制來阻塞郵件附件中的病毒。43、【單項(xiàng)選擇題】風(fēng)險(xiǎn)評(píng)估實(shí)施過程中脆弱性識(shí)別主要包括什么方B.網(wǎng)站應(yīng)用漏洞D.技術(shù)漏洞與管理漏洞份驗(yàn)證C.通常Linux操作系統(tǒng)會(huì)在/usr/local45、【單項(xiàng)選擇題】以下哪項(xiàng)活動(dòng)對(duì)安全編碼沒有幫助()B.安全編碼規(guī)范C.編碼培訓(xùn)D.代碼版本管理46、【單項(xiàng)選擇題】負(fù)責(zé)制定、執(zhí)行和維護(hù)內(nèi)部安全控制制度的責(zé)任在于：()A.IS審計(jì)員B.管理層C.外部審計(jì)師47、【判斷題】?jī)煞N經(jīng)濟(jì)形態(tài)并存的局面將成為未來世界競(jìng)爭(zhēng)的主要的工作內(nèi)容?()A.按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審B.實(shí)施所選擇的控制措施C.采取合適的糾正和預(yù)防措施。從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)D.確保改進(jìn)達(dá)到了預(yù)期目標(biāo)期限為()B.長(zhǎng)期D.短期50、【填空題】企業(yè)與消費(fèi)者之間的電子商務(wù)是企業(yè)透過()銷售產(chǎn)本題解析：試題答案網(wǎng)絡(luò)A.風(fēng)險(xiǎn)因素識(shí)別B.風(fēng)險(xiǎn)程度分析C.風(fēng)險(xiǎn)控制選擇53、【單項(xiàng)選擇題】根據(jù)組織業(yè)務(wù)連續(xù)性計(jì)劃(BCP)的復(fù)雜程度，可以建立多個(gè)計(jì)劃來滿足業(yè)務(wù)連續(xù)和和災(zāi)難恢復(fù)的各方面。在這種情況下，有必要：()A.每個(gè)計(jì)劃和其它計(jì)劃保持協(xié)調(diào)一致B.所有的計(jì)劃要整合到一個(gè)計(jì)劃中C.每個(gè)計(jì)劃和其他計(jì)劃相互依賴D.指定所有計(jì)劃實(shí)施的順序54、【填空題】即使在企業(yè)環(huán)境中，()作為企業(yè)縱深防御的一部分也本題解析：試題答案?jìng)€(gè)人防火墻55、【單項(xiàng)選擇題】IPSEC的抗重放服務(wù)的實(shí)現(xiàn)原理是什么?()A.使用序列號(hào)以及滑動(dòng)窗口原理來實(shí)現(xiàn)。B.使用消息認(rèn)證碼的校驗(yàn)值來實(shí)現(xiàn)C.在數(shù)據(jù)包中包含一個(gè)將要被認(rèn)證的共享秘密或密鑰來實(shí)現(xiàn)56、【單項(xiàng)選擇題】()關(guān)于Windows2000中的身份驗(yàn)證過程，下面哪種說法是錯(cuò)誤的?A、如果用戶登錄一個(gè)域，則Windows2000將把這些登錄信息轉(zhuǎn)交給域控制器處理。B、如果用戶登錄本機(jī)，則Windows2000將把這些登錄信息轉(zhuǎn)交給域控制器處理。C、如果用戶登錄一個(gè)域，則Windows2000利用域控制器含有的目錄副本，驗(yàn)證用戶的登錄信息。D、如果用戶登錄本機(jī)，則Windows2000利用本機(jī)的安全子系統(tǒng)含有的本機(jī)安全數(shù)據(jù)庫(kù)，驗(yàn)證用戶的登錄信息。57、問答題安全審計(jì)按對(duì)象不同，可分為哪些類?各類審計(jì)的內(nèi)容又是什么?標(biāo)準(zhǔn)答案：系統(tǒng)級(jí)審計(jì)，應(yīng)用級(jí)審計(jì)，用戶級(jí)審本題解析：試題答案系統(tǒng)級(jí)審計(jì)，應(yīng)用級(jí)審計(jì)，用戶級(jí)審計(jì)。系統(tǒng)級(jí)審計(jì)：要求至少能夠記錄登陸結(jié)果、登錄標(biāo)識(shí)、登陸嘗試的日期和時(shí)間、退出的日期和時(shí)間、所使用的設(shè)備、登陸后運(yùn)行的內(nèi)容、修改配置文件的請(qǐng)求等。應(yīng)用級(jí)審計(jì)：跟蹤監(jiān)控和記錄諸如打開和關(guān)閉數(shù)據(jù)文件，讀取、編輯和刪除記錄或字段的特定操作以及打印報(bào)告之類的用戶活動(dòng)。用戶級(jí)審計(jì)：跟蹤通常記錄用戶直接啟動(dòng)的所有命令、所有的標(biāo)識(shí)和鑒別嘗試的所有訪問的文件和資源。58、【單項(xiàng)選擇題】下列關(guān)于訪問控制模型說法不準(zhǔn)確的是?()A.訪問控制模型主要有3種：自主訪問控制、強(qiáng)制訪問控制和基于角B.自主訪問控制模型允許主體顯式地指定其他主體對(duì)該主體所擁有的信息資源是否可以訪問。C.基于角色的訪問控制RBAC中“角色”通常是根據(jù)行政級(jí)別來定義D.強(qiáng)制訪問控制MAC是“強(qiáng)加”給訪問主體的，即系統(tǒng)強(qiáng)制主體服從59、【填空題】防火墻是設(shè)置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)(如互聯(lián)網(wǎng))之間，實(shí)施()的一個(gè)或一組系統(tǒng)。63、【單項(xiàng)選擇題】對(duì)于Linux的安全加固項(xiàng)說法錯(cuò)誤的是哪項(xiàng)?()A.使用uname-a確認(rèn)其內(nèi)核是否有漏洞B.檢查系統(tǒng)是否有重復(fù)的UID用戶C.查看login.defs文件對(duì)于密碼的限制64、【單項(xiàng)選擇題】關(guān)于信息安全策略文件的評(píng)審以下說法不正確的是哪個(gè)?()A.信息安全策略應(yīng)由專人負(fù)責(zé)制定、評(píng)審。B.信息安全策略評(píng)審每年應(yīng)進(jìn)行兩次，上半年、下半年各進(jìn)行一次。C.在信息安全策略文件的評(píng)審過程中應(yīng)考慮組織業(yè)務(wù)的重大變化。D.在信息安全策略文件的評(píng)審過程中應(yīng)考慮相關(guān)法律法規(guī)及技術(shù)環(huán)境的重大變化。65、【單項(xiàng)選擇題】數(shù)據(jù)庫(kù)訪問控制策略中，()是只讓用戶得到有相應(yīng)權(quán)限的信息，這些信息恰到可以讓用戶完成自己的工作，其他的權(quán)C、存取類型控制策略66、【單項(xiàng)選擇題】風(fēng)險(xiǎn)評(píng)估的過程中，首先要識(shí)別信息資產(chǎn)，資產(chǎn)識(shí)別時(shí)，以下哪個(gè)不是需要遵循的原則?()A.只識(shí)別與業(yè)務(wù)及信息系統(tǒng)有關(guān)的信息資產(chǎn)，分類識(shí)別B.所有公司資產(chǎn)都要識(shí)別C.可以從業(yè)務(wù)流程出發(fā)，識(shí)別各個(gè)環(huán)節(jié)和階段所需要以及所產(chǎn)出的關(guān)鍵資產(chǎn)D.資產(chǎn)識(shí)別務(wù)必明確責(zé)任人、保管者和用戶67、【填空題】根據(jù)SHARE78標(biāo)準(zhǔn)，在()級(jí)情況下，備份中心處于活動(dòng)狀態(tài)，網(wǎng)絡(luò)實(shí)時(shí)傳送數(shù)據(jù)、流水日志、系統(tǒng)處于工作狀態(tài)，數(shù)據(jù)丟失與恢復(fù)時(shí)間一般是小時(shí)級(jí)的。本題解析：試題答案應(yīng)用系統(tǒng)溫備級(jí)68、【單項(xiàng)選擇題】有關(guān)認(rèn)證和認(rèn)可的描述，以下不正確的是()A.認(rèn)證就是第三方依據(jù)程序?qū)Ξa(chǎn)品、過程、服務(wù)符合規(guī)定要求給予書面保證(合格證書)B.根據(jù)對(duì)象的不同，認(rèn)證通常分為產(chǎn)品認(rèn)證和體系認(rèn)證C.認(rèn)可是由某權(quán)威機(jī)構(gòu)依據(jù)程序?qū)δ硤F(tuán)體或個(gè)人具有從事特定任務(wù)的能力給予的正式承認(rèn)D.企業(yè)通過IS027001認(rèn)證則說明企業(yè)符合IS027001和IS027002標(biāo)準(zhǔn)的要求A.明確ISMS范圍-確定ISMS策略-定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾(審批)B.定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾(審批)-確定ISMS策略-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾(審批)D.明確ISMS范圍-定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-確定ISMS策略-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾(審批)70、【單項(xiàng)選擇題】風(fēng)險(xiǎn)評(píng)估按照評(píng)估者的不同可以分為自評(píng)估和第三方評(píng)估，這兩種評(píng)估方式最本質(zhì)的差別是什么?()A.評(píng)估結(jié)果的客觀性B.評(píng)估工具的專業(yè)程度C.評(píng)估人員的技術(shù)能力D.評(píng)估報(bào)告的形式71、【單項(xiàng)選擇題】在一份業(yè)務(wù)持續(xù)計(jì)劃，下列發(fā)現(xiàn)中哪一項(xiàng)是最重B.骨干網(wǎng)備份的缺失C.用戶PC機(jī)缺乏備份機(jī)制首先要考慮實(shí)施以下哪項(xiàng)措施?()C.為用戶提供賬戶使用信息。D.實(shí)施工作站鎖定機(jī)制。73、【單項(xiàng)選擇題】信息安全需求獲取的主要手段()A.信息安全風(fēng)險(xiǎn)評(píng)估B.領(lǐng)導(dǎo)的指示C.信息安全技術(shù)D.信息安全產(chǎn)品74、【單項(xiàng)選擇題】在部署風(fēng)險(xiǎn)管理程序的時(shí)候，哪項(xiàng)應(yīng)該最先考慮到：()A.組織威脅，弱點(diǎn)和風(fēng)險(xiǎn)概括的理解B.揭露風(fēng)險(xiǎn)的理解和妥協(xié)的潛在后果C.基于潛在結(jié)果的風(fēng)險(xiǎn)管理優(yōu)先級(jí)的決心D.風(fēng)險(xiǎn)緩解戰(zhàn)略足夠在一個(gè)可以接受的水平上保持風(fēng)險(xiǎn)的結(jié)果76、【單項(xiàng)選擇題】管理評(píng)審