信息安全管理體系培訓(xùn)習題匯編k2016

1、信息安全管理系統(tǒng)培訓(xùn)學(xué)習問題匯款編纂目錄練習題單個選擇題.1練習題兩個或更多茄子的選擇題.19練習題3判斷問題.27練習題4茄子案例分析問題.ISMS測驗1.ISMS測驗2.ISMS測驗3.練習題1參考答案.練習題2參考答案.練習題3參考答案.練習題4參考答案.ISMS測驗參考答案.ISMS測驗2參考答案.ISMS測驗3參考答案.練習題單個選擇題從以下每個問題選項中選擇最合適的答案，并在下表的相應(yīng)位置填寫相應(yīng)的字。1、ISMS文件的數(shù)量和詳細程度為d(a)組織的規(guī)模和活動類型(b)進程和交互的復(fù)雜性(C)個人能力(D) A B C2.對于釘死的糾正和預(yù)防措施，在實施之前應(yīng)通過(B)程序進行審查

2、。(a)確定弱點(b)風險分析(C)節(jié)目管理(D) A C (E) A B3、組織建立和審查ISMS時(e)(a)風險評估結(jié)果(b)管理節(jié)目(C)法律、法規(guī)和其他要求(D) A B (E) A C4、ISMS管理審查輸出包括(c)(a)任何可能影響ISMS的更改(b)風險評估之前未充分強調(diào)的脆弱性或威脅c)更新風險評估和風險處理計劃(d)改進建議5.在信息安全管理中進行(B)，可以有效地解決人員安全意識薄弱的問題。(a)內(nèi)容監(jiān)測(b)安全教育和培訓(xùn)(c)責任追蹤和懲罰(d)訪問控制6、風險處理后留下的風險是(d)(a)重大風險(b)有條件接受風險(c)不可接受的風險(d)剩余風險7、(A)是指

3、系統(tǒng)、服務(wù)或網(wǎng)絡(luò)感知狀態(tài)的發(fā)生，這可能是信息安全政策違反或保護措施的失敗，也可能是與安全相關(guān)聯(lián)的以前未知狀態(tài)。(a)信息安全事件(b)信息安全事件(c)信息安全事故(d)信息安全故障8、系統(tǒng)備份與常規(guī)數(shù)據(jù)備份不同，它不僅備份系統(tǒng)上的數(shù)據(jù)，還備份系統(tǒng)上安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，從而加快(D)速度。(a)還原所有節(jié)目(b)還原網(wǎng)絡(luò)設(shè)置(c)恢復(fù)所有數(shù)據(jù)(d)恢復(fù)整個系統(tǒng)9、不屬于計算機病毒防治戰(zhàn)略的是(d)(a)確保有實際的“干凈”啟動盤。(b)及時可靠的防止升級病毒產(chǎn)品(c)新購買的電腦軟件也應(yīng)進行病毒檢查。(d)整理磁盤10、電子郵件入侵預(yù)防措施中的錯誤是(d)(a

4、)生日不制作密碼(b)不要使用少于5位數(shù)的密碼(c)純數(shù)字使用渡邊杏(d)自行服務(wù)器11，不常見的危險密碼(d)(a)密碼，如id；(b)將生日用作密碼(c) 4位數(shù)密碼(D)10位數(shù)統(tǒng)一密碼12.每天下午5點關(guān)閉計算機時斷開終端連接(a)(a)外部終端的物理安全(b)通信線路的物理安全(c)數(shù)據(jù)竊聽(d)欺騙網(wǎng)絡(luò)地址13、不屬于網(wǎng)頁伺服器安全措施的一部分(d)(a)確保登記賬戶的及時性(b)刪除死亡賬戶(c)強制用戶使用脆弱的密碼(d)所有用戶使用一次性密碼14、1999年我國公布的第一個信息安全等級保護的國家標準GB 17859-1999將資訊系統(tǒng)安全等級分類為(D)等級，并提出了各等級的

5、安全功能要求。(A) 7 (B) 8 (C) 6 (D) 515.文件初審是評價審判者ISMS文件的說明和審核指南(D)(a)適用性和適用性(b)有效性和適用性(c)適用性、完整性和有效性(d)以上都是錯誤的16、認證審查時，第一階段皇帝核為(c)(a)了解審判人ISMS是否正常工作的過程(b)必須牙齒執(zhí)行(c)不是必需的過程。(d)上述一切都不準確。17、最后一次會議包括(d)(a)向?qū)徲媶T確認和簽署不符合報告；(b)向?qū)徲媶T提交審計報告(c)雙方討論對發(fā)現(xiàn)審查的分歧。(d)以上都不準確18、審計組長最后一次會議上發(fā)表的審計結(jié)論基于(E)。(a)審計目的(b)不遵守情況的嚴重性(C)所有審計

6、發(fā)現(xiàn)(D) A B (E) A B C19.將收集的審計證據(jù)與(C)進行比較評估后得出的審計發(fā)現(xiàn)。(A)GB/T 22080標準(b)法律、法規(guī)要求(c)審計標準(d)信息安全管理系統(tǒng)文件20、與審計準則相關(guān)并可確認的記錄、事實陳述或其他信息稱為(b)(a)信息安全信息(b)證據(jù)審計(c)檢查記錄(d)信息來源21、現(xiàn)場審計英寸之間應(yīng)包括(b)。(a)文件審查時間(b)第一次和最后一次會議的時間(c)審計報告編寫時間(d)午飯時間22、在第三方認證審查中，(c)不是審計員的責任。(a)執(zhí)行審計(b)確認不合格(c)對發(fā)現(xiàn)不合格采取糾正措施；(d)核查人員采取的糾正措施的有效性23、審計工作報告

7、包括(d)。(a)檢驗表(b)審查抽樣計劃(c)信息記錄西餐(D) a b c24、發(fā)現(xiàn)市核使用的任何文件，這是(b)。(a)審計標準(b)審計發(fā)現(xiàn)(c)證據(jù)審查(d)汽車核結(jié)論25、以下陳述不準確(c):(a)審計組可由一個或多個審計員組成。(b)被公認具有專業(yè)能力的至少一名成員(c)實習考官可以在技術(shù)專家的地圖下?lián)螌徲嬋蝿?wù)(d)審計組長一般由首席審計員擔任26、現(xiàn)場審計的結(jié)束意味著(a)。(a)上次會議結(jié)束后；(b)驗證不合規(guī)糾正措施后(c)批準的審計報告印發(fā)時(d)結(jié)束教練審計27、信息安全管理系統(tǒng)中提到的“資產(chǎn)所有者”是指：(c)(a)擁有資產(chǎn)產(chǎn)權(quán)的人。(b)使用資產(chǎn)的人。(c)有權(quán)

8、更改資產(chǎn)安全屬性的人。(d)資產(chǎn)所在的部門主管。28、組織應(yīng)提供信息，以確保適當程度的保護。(b)(a)為了確保機密性，應(yīng)盡可能實施先進的保護措施；(B)信息應(yīng)根據(jù)組織工作的重要性進行充分和必要的保護。(c)必須確保信息對組織內(nèi)所有員工可用。(d)以上都是對的。29、認證審計，審計組為(a)(a)在審查前向?qū)彶閷ο筇峤粚彶橛媱澊_認；(B)在審查結(jié)算時，向圖恩核方提交窗簾核計劃進行確認。(C)隨著審計的進行，與審計者共同確認審計計劃。(d)將審計計劃提交審計委托人審批即可。30、考慮設(shè)備安全是(d)(a)防止設(shè)備丟失和損壞造成的財產(chǎn)損失；(b)在設(shè)備維護時有秩序地確保備件供應(yīng)；(c)設(shè)備的及時升

9、級和更換。(d)控制資產(chǎn)損失、損壞、失竊、資產(chǎn)安全風險和與組織活動中斷的風險。31、信息處理設(shè)施的變更管理不包括：(d)(a)改變信息處理設(shè)施的用途。(b)信息處理設(shè)施故障部分的更換。(c)信息處理設(shè)施軟件升級。(d)上述任何一項都是錯誤的。32、定期備份和測試信息意味著：(c)(a)每備份完成英寸檢查備份結(jié)果，以確認備份效果。(b)定期備份系統(tǒng)測試記錄。(c)定期備份，并定期測試備份數(shù)據(jù)的完整性和可用性。(d)定期檢查備份存儲介質(zhì)的容量。33、組織或安全域中的所有信息處理設(shè)施。(b(a)便利使用信息處理設(shè)施的人的工作時間計算(b)容易檢測未授權(quán)信息處理活動的發(fā)生；(c)確保信息處理的及時性得

10、到控制。(d)工作人員在其他地點工作時統(tǒng)一日程。34、第三方認證審計時，對審計中提出的不遵守情況，審計組應(yīng)(b)(a)與審計員共同審查未遵守的項目，確認未遵守的條款。(b)與審計員共同審查批準書，確認與事實不符的準確性。(C)與被審者的聯(lián)合審查不一致，以確認不相容性質(zhì)。(d)以上都是對的。35、為防止未經(jīng)授權(quán)訪問網(wǎng)絡(luò)服務(wù)，組織應(yīng)(a)(a)制定安全策略，使用戶只能訪問特別許可的服務(wù)。(b)禁止內(nèi)部工作人員訪問互聯(lián)網(wǎng)。(c)禁止外部工作人員訪問組織局域網(wǎng)。(d)以上都是對的。36、組織是(D)(a)組織需要建立新資訊系統(tǒng)時；(b)組織原始資訊系統(tǒng)的擴展或升級時；(c)組織向客戶提供軟件系統(tǒng)時；(

11、D)A B37、確定資產(chǎn)的可用性要求應(yīng)基于：(a)(a)授權(quán)實體的要求。(b)資訊系統(tǒng)實際性能水平。(c)組織可支付的經(jīng)濟費用。(d)最高管理者的決定。38、剩余風險如下：(c)(a)低于可接受風險水平的風險。(b)高于可接受風險水平的風險。(c)風險處置后剩下的風險。(d)未處置的風險。39、國家實施晚輩網(wǎng)絡(luò)信息服務(wù)：(b)(a)記錄系統(tǒng)。(b)許可證制度。(c)行政教練制度。(四)文件與行政監(jiān)督相結(jié)合的管理體系。40、網(wǎng)絡(luò)路由控制應(yīng)遵循：(c)(a)端到端連接的最短路徑戰(zhàn)略；(b)資訊系統(tǒng)應(yīng)用的最佳效率戰(zhàn)略；(C)確保電腦連接和信息不違反業(yè)務(wù)應(yīng)用程序的訪問控制策略。(D)A B C041.

12、在認證審查初審時，可以不經(jīng)過第一階段現(xiàn)場審計的條件之一是(b)(a)審計組可以考慮時間效率，通過一步審查完成所有審計準則要求。(b)充分理解審計組長審計對象的信息安全管理流程。(C)審查方認為，一個階段的審查可以完成所有審查要求。(d)在第一階段不允許現(xiàn)場審計。42，對于第三方服務(wù)提供商，以下說明是正確的：(b)(a)為監(jiān)測和審查第三方提供的服務(wù)，第三方提供服務(wù)時，全體人員必須陪同。(B)必須定期衡量和評估第三方遵守約定的安全策略和服務(wù)級別的程度。(c)第三方服務(wù)提供商必須遵循ITIL兼容程序。(d)第三方服務(wù)的變更必須報告組織進行記錄。43、為了確保電纜安全，有以下正確方法：(d)(a)使用

13、相同的電纜管道布置電源和通信電纜。(B)網(wǎng)絡(luò)電纜已安裝為明線，便于調(diào)查故障和維護。(c)接線盤應(yīng)盡可能放在公共可訪問區(qū)域，以便應(yīng)急管理。(d)使用導(dǎo)線標記和設(shè)備標記創(chuàng)建導(dǎo)線列表。44、對認證組織擴大范圍的審查，以下說法正確：(AC)(a)可與教練審查一起進行；(b)教練和審計的形式之一。(c)特別審計。(d)以上都是對的。45、對于資訊系統(tǒng)的軟件包，正確如下：(b)(a)組織必須具有以英寸為單位適當修改包的能力。(b)為避免變更風險，應(yīng)盡量放棄變更軟件包。(c)軟件包不需要作為配置項進行管理。(d)軟件包安裝必須由開發(fā)人員實施。46、不屬于信息安全事件或事件的包括：(d)(a)服務(wù)、設(shè)備或設(shè)施的損失；(b)系統(tǒng)故障或過載(c)違反物理安全要求(d)安全策略更改的臨時通知47、可視為變更審計范圍的以下事項：(d)(a)將制造地點添加到要審計的組織。(b)受審計組織的職能單位和人員規(guī)模增加。(c)受審計的組織業(yè)務(wù)過程增加。(d)以上所有。48、認證審查時，審計組有權(quán)決定現(xiàn)場的自行變更的事項是(c)(a)窗簾