打印版CISP試題及答案(515題)

1、1. 以下對(duì)信息安全描述不正確的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企業(yè)信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對(duì)業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性C.信息安全就是不出安全事故/事件 D.信息安全不僅僅只考慮防止信息泄密就可以了【答案】 C2. 以下對(duì)信息安全管理的描述錯(cuò)誤的是A.保密性、完整性、可用性B.抗抵賴性、可追溯性C.真實(shí)性私密性可靠性D.增值性【答案】 D3. 以下對(duì)信息安全管理的描述錯(cuò)誤的是A.信息安全管理的核心就是風(fēng)險(xiǎn)管理B.人們常說(shuō)，三分技術(shù)，七分管理，可見(jiàn)管理對(duì)信息安全的重要性C.安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是

2、真正的粘合劑和催化劑D.信息安全管理工作的重點(diǎn)是信息系統(tǒng)，而不是人【答案】 D4. 企業(yè)按照標(biāo)準(zhǔn)建立信息安全管理體系的過(guò)程中，對(duì)關(guān)鍵成功因素的描述不正確的是A. 不需要全體員工的參入，只要部門的人員參入即可B.    來(lái)自高級(jí)管理層的明確的支持和承諾C.對(duì)企業(yè)員工提供必要的安全意識(shí)和技能的培訓(xùn)和教育D.  所有管理者、員工及其他伙伴方理解企業(yè)信息安全策略、指南和標(biāo)準(zhǔn)，并遵照?qǐng)?zhí)行【答案】 A5. 信息安全管理體系（ISMS）是一個(gè)怎樣的體系，以下描述不正確的是A. ISMS是一個(gè)遵循PDCA模式的動(dòng)態(tài)發(fā)展的體系B.    IS

3、MS是一個(gè)文件化、系統(tǒng)化的體系C.ISMS采取的各項(xiàng)風(fēng)險(xiǎn)控制措施應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估等途徑得出的需求而定D.  ISMS應(yīng)該是一步到位的，應(yīng)該解決所有的信息安全問(wèn)題【答案】 D6. PDCA特征的描述不正確的是 A. 順序進(jìn)行，周而復(fù)始，發(fā)現(xiàn)問(wèn)題，分析問(wèn)題，然后是解決問(wèn)題B.  大環(huán)套小環(huán)，安全目標(biāo)的達(dá)成都是分解成多個(gè)小目標(biāo)，一層層地解決問(wèn)題C. 階梯式上升，每次循環(huán)都要進(jìn)行總結(jié)，鞏固成績(jī)，改進(jìn)不足D.  信息安全風(fēng)險(xiǎn)管理的思路不符合PDCA的問(wèn)題解決思路【答案】 D7. 以下哪個(gè)不是信息安全項(xiàng)目的需求來(lái)源A. 國(guó)家和地方政府法律法規(guī)與合同的要求B.

4、0;   風(fēng)險(xiǎn)評(píng)估的結(jié)果C.組織原則目標(biāo)和業(yè)務(wù)需要D.  企業(yè)領(lǐng)導(dǎo)的個(gè)人意志【答案】 D8. ISO27001認(rèn)證項(xiàng)目一般有哪幾個(gè)階段？A. 管理評(píng)估，技術(shù)評(píng)估，操作流程評(píng)估B.    確定范圍和安全方針，風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)控制（文件編寫），體系運(yùn)行，認(rèn)證C.產(chǎn)品方案需求分析，解決方案提供，實(shí)施解決方案D.  基礎(chǔ)培訓(xùn)，RA培訓(xùn)，文件編寫培訓(xùn)，內(nèi)部審核培訓(xùn)【答案】 B9. 構(gòu)成風(fēng)險(xiǎn)的關(guān)鍵因素有哪些？A. 人，財(cái)，物B.    技術(shù)，管理和操作C.資產(chǎn)，威脅和弱點(diǎn)D.  資產(chǎn)，可能性和嚴(yán)重性

5、【答案】 C10. 以下哪些不是應(yīng)該識(shí)別的信息資產(chǎn)？A.   網(wǎng)絡(luò)設(shè)備B.客戶資料C. 辦公桌椅D. 系統(tǒng)管理員【答案】 C 11. 以下哪些是可能存在的威脅因素？A.   設(shè)備老化故障B.病毒和蠕蟲C. 系統(tǒng)設(shè)計(jì)缺陷D. 保安工作不得力【答案】 B12. 以下哪些不是可能存在的弱點(diǎn)問(wèn)題？A.   保安工作不得力B.應(yīng)用系統(tǒng)存在BugC. 內(nèi)部人員故意泄密D. 物理隔離不足【答案】 C13. 風(fēng)險(xiǎn)評(píng)估的過(guò)程中，首先要識(shí)別信息資產(chǎn)，資產(chǎn)識(shí)別時(shí)，以下哪個(gè)不是需要遵循的原則？A.   只識(shí)別與業(yè)務(wù)及信息系統(tǒng)有關(guān)的信息資產(chǎn)

6、，分類識(shí)別B.所有公司資產(chǎn)都要識(shí)別C. 可以從業(yè)務(wù)流程出發(fā)，識(shí)別各個(gè)環(huán)節(jié)和階段所需要以及所產(chǎn)出的關(guān)鍵資產(chǎn)D. 資產(chǎn)識(shí)別務(wù)必明確責(zé)任人、保管者和用戶【答案】 B14. 風(fēng)險(xiǎn)分析的目的是？A.   在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行技術(shù)平衡；B.在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行運(yùn)作平衡；C. 在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行經(jīng)濟(jì)平衡；D. 在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行法律平衡；【答案】 C15. 對(duì)于信息安全風(fēng)險(xiǎn)的描述不正確的是？A. 企業(yè)信息安全風(fēng)險(xiǎn)管理就是要做到零風(fēng)險(xiǎn)B.   

7、在信息安全領(lǐng)域，風(fēng)險(xiǎn)（Risk）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來(lái)負(fù)面影響及其潛在可能性C.風(fēng)險(xiǎn)管理（Risk Management）就是以可接受的代價(jià)，識(shí)別控制減少或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過(guò)程。D.  風(fēng)險(xiǎn)評(píng)估（Risk Assessment）就是對(duì)信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點(diǎn)以及威脅發(fā)生的可能性的評(píng)估?！敬鸢浮?A16. 有關(guān)定性風(fēng)險(xiǎn)評(píng)估和定量風(fēng)險(xiǎn)評(píng)估的區(qū)別，以下描述不正確的是A. 定性風(fēng)險(xiǎn)評(píng)估比較主觀，而定量風(fēng)險(xiǎn)評(píng)估更客觀B.    定性風(fēng)險(xiǎn)評(píng)估容易實(shí)施，定量風(fēng)險(xiǎn)評(píng)估往往數(shù)據(jù)準(zhǔn)確性很難保證C.定性風(fēng)險(xiǎn)評(píng)估更成熟，定

8、量風(fēng)險(xiǎn)評(píng)估還停留在理論階段D.  定性風(fēng)險(xiǎn)評(píng)估和定量風(fēng)險(xiǎn)評(píng)估沒(méi)有本質(zhì)區(qū)別，可以通用【答案】 D17. 降低企業(yè)所面臨的信息安全風(fēng)險(xiǎn)，可能的處理手段不包括哪些A. 通過(guò)良好的系統(tǒng)設(shè)計(jì)、及時(shí)更新系統(tǒng)補(bǔ)丁，降低或減少信息系統(tǒng)自身的缺陷B.    通過(guò)數(shù)據(jù)備份、雙機(jī)熱備等冗余手段來(lái)提升信息系統(tǒng)的可靠性；C.建立必要的安全制度和部署必要的技術(shù)手段，防范黑客和惡意軟件的攻擊D.  通過(guò)業(yè)務(wù)外包的方式，轉(zhuǎn)嫁所有的安全風(fēng)險(xiǎn)【答案】 D18. 風(fēng)險(xiǎn)評(píng)估的基本過(guò)程是怎樣的？A. 識(shí)別并評(píng)估重要的信息資產(chǎn)，識(shí)別各種可能的威脅和嚴(yán)重的弱點(diǎn)，最終確定風(fēng)險(xiǎn)B. 

9、   通過(guò)以往發(fā)生的信息安全事件，找到風(fēng)險(xiǎn)所在C.風(fēng)險(xiǎn)評(píng)估就是對(duì)照安全檢查單，查看相關(guān)的管理和技術(shù)措施是否到位D.  風(fēng)險(xiǎn)評(píng)估并沒(méi)有規(guī)律可循，完全取決于評(píng)估者的經(jīng)驗(yàn)所在【答案】 A19. 企業(yè)從獲得良好的信息安全管控水平的角度出發(fā)，以下哪些行為是適當(dāng)?shù)腁. 只關(guān)注外來(lái)的威脅，忽視企業(yè)內(nèi)部人員的問(wèn)題B.    相信來(lái)自陌生人的郵件，好奇打開(kāi)郵件附件C.開(kāi)著電腦離開(kāi)，就像離開(kāi)家卻忘記關(guān)燈那樣D.  及時(shí)更新系統(tǒng)和安裝系統(tǒng)和應(yīng)用的補(bǔ)丁【答案】 D20. 以下對(duì)ISO27001標(biāo)準(zhǔn)的描述不正確的是A. 企業(yè)通過(guò)ISO27001認(rèn)證則

10、必須符合ISO27001信息安全管理體系規(guī)范的所有要求B.    ISO27001標(biāo)準(zhǔn)與信息系統(tǒng)等級(jí)保護(hù)等國(guó)家標(biāo)準(zhǔn)相沖突C.ISO27001是源自于英國(guó)的國(guó)家標(biāo)準(zhǔn)BS7799D.  ISO27001是當(dāng)前國(guó)際上最被認(rèn)可的信息安全管理標(biāo)準(zhǔn)【答案】 B21. 對(duì)安全策略的描述不正確的是A. 信息安全策略（或者方針）是由組織的最高管理者正式制訂和發(fā)布的描述企業(yè)信息安全目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實(shí)施過(guò)程B.    策略應(yīng)有一個(gè)屬主，負(fù)責(zé)按復(fù)查程序維護(hù)和復(fù)查該策略C.安全策略的內(nèi)容包括管理層對(duì)信息安全目標(biāo)和原則的聲明

11、和承諾；D.  安全策略一旦建立和發(fā)布，則不可變更；【答案】 D22. 以下對(duì)企業(yè)信息安全活動(dòng)的組織描述不正確的是A. 企業(yè)應(yīng)該在組織內(nèi)建立發(fā)起和控制信息安全實(shí)施的管理框架。B.    企業(yè)應(yīng)該維護(hù)被外部合作伙伴或者客戶訪問(wèn)和使用的企業(yè)信息處理設(shè)施和信息資產(chǎn)的安全。C.在沒(méi)有采取必要控制措施，包括簽署相關(guān)協(xié)議之前，不應(yīng)該授權(quán)給外部伙伴訪問(wèn)。應(yīng)該讓外部伙伴意識(shí)到其責(zé)任和必須遵守的規(guī)定。D.  企業(yè)在開(kāi)展業(yè)務(wù)活動(dòng)的過(guò)程中，應(yīng)該完全相信員工，不應(yīng)該對(duì)內(nèi)部員工采取安全管控措施【答案】 D23. 企業(yè)信息資產(chǎn)的管理和控制的描述不正確的是A. 企業(yè)應(yīng)該建立

12、和維護(hù)一個(gè)完整的信息資產(chǎn)清單，并明確信息資產(chǎn)的管控責(zé)任；B.    企業(yè)應(yīng)該根據(jù)信息資產(chǎn)的重要性和安全級(jí)別的不同要求，采取對(duì)應(yīng)的管控措施；C.企業(yè)的信息資產(chǎn)不應(yīng)該分類分級(jí)，所有的信息系統(tǒng)要統(tǒng)一對(duì)待D.  企業(yè)可以根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來(lái)識(shí)別所有的信息資產(chǎn)【答案】 C24. 有關(guān)人員安全的描述不正確的是A. 人員的安全管理是企業(yè)信息安全管理活動(dòng)中最難的環(huán)節(jié)B.    重要或敏感崗位的人員入職之前，需要做好人員的背景檢查C.企業(yè)人員預(yù)算受限的情況下，職責(zé)分離難以實(shí)施，企業(yè)對(duì)此無(wú)能為力，也無(wú)需做任何工作D. 

13、 人員離職之后，必須清除離職員工所有的邏輯訪問(wèn)帳號(hào)【答案】 C25. 以下有關(guān)通信與日常操作描述不正確的是A. 信息系統(tǒng)的變更應(yīng)該是受控的B.    企業(yè)在崗位設(shè)計(jì)和人員工作分配時(shí)應(yīng)該遵循職責(zé)分離的原則C.移動(dòng)介質(zhì)使用是一個(gè)管理難題，應(yīng)該采取有效措施，防止信息泄漏 D.  內(nèi)部安全審計(jì)無(wú)需遵循獨(dú)立性、客觀性的原則【答案】 D26. 以下有關(guān)訪問(wèn)控制的描述不正確的是A. 口令是最常見(jiàn)的驗(yàn)證身份的措施，也是重要的信息資產(chǎn)，應(yīng)妥善保護(hù)和管理B.    系統(tǒng)管理員在給用戶分配訪問(wèn)權(quán)限時(shí)，應(yīng)該遵循“最小特權(quán)原則”，即分配給員工的訪問(wèn)權(quán)

14、限只需滿足其工作需要的權(quán)限，工作之外的權(quán)限一律不能分配C.單點(diǎn)登錄系統(tǒng)（一次登錄/驗(yàn)證，即可訪問(wèn)多個(gè)系統(tǒng)）最大的優(yōu)勢(shì)是提升了便利性，但是又面臨著“把所有雞蛋放在一個(gè)籃子”的風(fēng)險(xiǎn)；D.  雙因子認(rèn)證（又稱強(qiáng)認(rèn)證）就是一個(gè)系統(tǒng)需要兩道密碼才能進(jìn)入；【答案】 D27. 有關(guān)信息系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、實(shí)施、運(yùn)行和維護(hù)過(guò)程中的安全問(wèn)題，以下描述錯(cuò)誤的是A. 信息系統(tǒng)的開(kāi)發(fā)設(shè)計(jì)，應(yīng)該越早考慮系統(tǒng)的安全需求越好B.    信息系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、實(shí)施、運(yùn)行和維護(hù)過(guò)程中的安全問(wèn)題，不僅僅要考慮提供一個(gè)安全的開(kāi)發(fā)環(huán)境，同時(shí)還要考慮開(kāi)發(fā)出安全的系統(tǒng)C.信息系統(tǒng)在加密技術(shù)的應(yīng)用方面

15、，其關(guān)鍵是選擇密碼算法，而不是密鑰的管理D.  運(yùn)營(yíng)系統(tǒng)上的敏感、真實(shí)數(shù)據(jù)直接用作測(cè)試數(shù)據(jù)將帶來(lái)很大的安全風(fēng)險(xiǎn)【答案】 C28. 有關(guān)信息安全事件的描述不正確的是A. 信息安全事件的處理應(yīng)該分類、分級(jí)B.    信息安全事件的數(shù)量可以反映企業(yè)的信息安全管控水平C.某個(gè)時(shí)期內(nèi)企業(yè)的信息安全事件的數(shù)量為零，這意味著企業(yè)面臨的信息安全風(fēng)險(xiǎn)很小D.  信息安全事件處理流程中的一個(gè)重要環(huán)節(jié)是對(duì)事件發(fā)生的根源的追溯，以吸取教訓(xùn)、總結(jié)經(jīng)驗(yàn)，防止類似事情再次發(fā)生【答案】 C29. 以下有關(guān)信息安全方面的業(yè)務(wù)連續(xù)性管理的描述，不正確的是A. 信息安全方面的業(yè)務(wù)連

16、續(xù)性管理就是要保障企業(yè)關(guān)鍵業(yè)務(wù)在遭受重大災(zāi)難/破壞時(shí)，能夠及時(shí)恢復(fù)，保障企業(yè)業(yè)務(wù)持續(xù)運(yùn)營(yíng)B.    企業(yè)在業(yè)務(wù)連續(xù)性建設(shè)項(xiàng)目一個(gè)重要任務(wù)就是識(shí)別企業(yè)關(guān)鍵的、核心業(yè)務(wù)C.業(yè)務(wù)連續(xù)性計(jì)劃文檔要隨著業(yè)務(wù)的外部環(huán)境的變化，及時(shí)修訂連續(xù)性計(jì)劃文檔D.  信息安全方面的業(yè)務(wù)連續(xù)性管理只與IT部門相關(guān)，與其他業(yè)務(wù)部門人員無(wú)須參入【答案】 D30. 企業(yè)信息安全事件的恢復(fù)過(guò)程中，以下哪個(gè)是最關(guān)鍵的？A. 數(shù)據(jù)B.    應(yīng)用系統(tǒng)C.通信鏈路D.  硬件/軟件【答案】 A31. 企業(yè)ISMS(信息安全管理體系)建設(shè)的原則不包括以下哪

17、個(gè)A. 管理層足夠重視B.    需要全員參與C.不必遵循過(guò)程的方法D.  需要持續(xù)改進(jìn)【答案】 C32. PDCA特征的描述不正確的是 A. 順序進(jìn)行，周而復(fù)始，發(fā)現(xiàn)問(wèn)題，分析問(wèn)題，然后是解決問(wèn)題B.    大環(huán)套小環(huán)，安全目標(biāo)的達(dá)成都是分解成多個(gè)小目標(biāo)，一層層地解決問(wèn)題C.階梯式上升，每次循環(huán)都要進(jìn)行總結(jié)，鞏固成績(jī)，改進(jìn)不足D.  信息安全風(fēng)險(xiǎn)管理的思路不符合PDCA的問(wèn)題解決思路【答案】 D33. 對(duì)于在ISMS內(nèi)審中所發(fā)現(xiàn)的問(wèn)題，在審核之后應(yīng)該實(shí)施必要的改進(jìn)措施并進(jìn)行跟蹤和評(píng)價(jià)，以下描述不正確的是？A. 改

18、進(jìn)措施包括糾正和預(yù)防措施B.    改進(jìn)措施可由受審單位提出并實(shí)施C.不可以對(duì)體系文件進(jìn)行更新或修改D.  對(duì)改進(jìn)措施的評(píng)價(jià)應(yīng)該包括措施的有效性的分析【答案】 C34. ISMS的審核的層次不包括以下哪個(gè)？A. 符合性審核B.    有效性審核C.正確性審核D.  文件審核【答案】 C35. 以下哪個(gè)不可以作為ISMS管理評(píng)審的輸入A. ISMS審計(jì)和評(píng)審的結(jié)果B.    來(lái)自利益伙伴的反饋C. 某個(gè)信息安全項(xiàng)目的技術(shù)方案D.  預(yù)防和糾正措施的狀態(tài)【答案】 C36. 有關(guān)認(rèn)

19、證和認(rèn)可的描述，以下不正確的是 A. 認(rèn)證就是第三方依據(jù)程序?qū)Ξa(chǎn)品、過(guò)程、服務(wù)符合規(guī)定要求給予書面保證（合格證書）B.    根據(jù)對(duì)象的不同，認(rèn)證通常分為產(chǎn)品認(rèn)證和體系認(rèn)證C.認(rèn)可是由某權(quán)威機(jī)構(gòu)依據(jù)程序?qū)δ硤F(tuán)體或個(gè)人具有從事特定任務(wù)的能力給予的正式承認(rèn)D.  企業(yè)通過(guò)ISO27001認(rèn)證則說(shuō)明企業(yè)符合ISO27001和ISO27002標(biāo)準(zhǔn)的要求【答案】 D37. 信息的存在及傳播方式A.  存在于計(jì)算機(jī)、磁帶、紙張等介質(zhì)中B.     記憶在人的大腦里C.    &

20、#160; 通過(guò)網(wǎng)絡(luò)打印機(jī)復(fù)印機(jī)等方式進(jìn)行傳播D.    通過(guò)投影儀顯示【答案】 D38. 下面哪個(gè)組合不是是信息資產(chǎn)A.  硬件、軟件、文檔資料B.     關(guān)鍵人員C.      組織提供的信息服務(wù)D.    桌子、椅子【答案】 D39. 實(shí)施ISMS內(nèi)審時(shí)，確定ISMS的控制目標(biāo)、控制措施、過(guò)程和程序應(yīng)該要符合相關(guān)要求，以下哪個(gè)不是？A.   約定的標(biāo)準(zhǔn)及相關(guān)法律的要求B.已識(shí)別的安全需求C. 控制措施有效實(shí)施

21、和維護(hù)D. ISO13335風(fēng)險(xiǎn)評(píng)估方法【答案】 D40. 以下對(duì)審核發(fā)現(xiàn)描述正確的是A.   用作依據(jù)的一組方針、程序或要求B.與審核準(zhǔn)則有關(guān)的并且能夠證實(shí)的記錄、事實(shí)陳述或其他信息C. 將收集到的審核證據(jù)依照審核準(zhǔn)則進(jìn)行評(píng)價(jià)的結(jié)果，可以是合格/符合項(xiàng)，也可以是不合格/不符合項(xiàng)D. 對(duì)審核對(duì)象的物理位置、組織結(jié)構(gòu)、活動(dòng)和過(guò)程以及時(shí)限的描述【答案】 C41. ISMS審核常用的審核方法不包括？A.   糾正預(yù)防B.文件審核C. 現(xiàn)場(chǎng)審核D. 滲透測(cè)試【答案】 A42. ISMS的內(nèi)部審核員（非審核組長(zhǎng)）的責(zé)任不包括？A.   熟悉必要

22、的文件和程序；B.根據(jù)要求編制檢查列表；C. 配合支持審核組長(zhǎng)的工作，有效完成審核任務(wù)；D. 負(fù)責(zé)實(shí)施整改內(nèi)審中發(fā)現(xiàn)的問(wèn)題；【答案】 D43. 審核在實(shí)施審核時(shí)，所使用的檢查表不包括的內(nèi)容有？A.   審核依據(jù)B.審核證據(jù)記錄C. 審核發(fā)現(xiàn)D. 數(shù)據(jù)收集方法和工具【答案】 C44. ISMS審核時(shí)，首次會(huì)議的目的不包括以下哪個(gè)？A.   明確審核目的、審核準(zhǔn)則和審核范圍B.明確審核員的分工C. 明確接受審核方責(zé)任，為配合審核提供必要資源和授權(quán)D. 明確審核進(jìn)度和審核方法，且在整個(gè)審核過(guò)程中不可調(diào)整【答案】 D45. ISMS審核時(shí)，對(duì)審核發(fā)現(xiàn)中，以下哪個(gè)

23、是屬于嚴(yán)重不符合項(xiàng)？A.   關(guān)鍵的控制程序沒(méi)有得到貫徹，缺乏標(biāo)準(zhǔn)規(guī)定的要求可構(gòu)成嚴(yán)重不符合項(xiàng)B.風(fēng)險(xiǎn)評(píng)估方法沒(méi)有按照ISO27005（信息安全風(fēng)險(xiǎn)管理）標(biāo)準(zhǔn)進(jìn)行C. 孤立的偶發(fā)性的且對(duì)信息安全管理體系無(wú)直接影響的問(wèn)題；D. 審核員識(shí)別的可能改進(jìn)項(xiàng)【答案】 D46. 以下關(guān)于ISMS內(nèi)部審核報(bào)告的描述不正確的是？A.   內(nèi)審報(bào)告是作為內(nèi)審小組提交給管理者代表或最高管理者的工作成果B.內(nèi)審報(bào)告中必須包含對(duì)不符合性項(xiàng)的改進(jìn)建議C. 內(nèi)審報(bào)告在提交給管理者代表或者最高管理者之前應(yīng)該受審方管理者溝通協(xié)商，核實(shí)報(bào)告內(nèi)容。D. 內(nèi)審報(bào)告中必須包括對(duì)糾正預(yù)防措施實(shí)施

24、情況的跟蹤【答案】 D47. 信息系統(tǒng)審核員應(yīng)該預(yù)期誰(shuí)來(lái)授權(quán)對(duì)生產(chǎn)數(shù)據(jù)和生產(chǎn)系統(tǒng)的訪問(wèn)？A.流程所有者B.系統(tǒng)管理員C.安全管理員D.數(shù)據(jù)所有者【答案】 D48. 當(dāng)保護(hù)組織的信息系統(tǒng)時(shí)，在網(wǎng)絡(luò)防火墻被破壞以后，通常的下一道防線是下列哪一項(xiàng)？A. 個(gè)人防火墻B.防病毒軟件C.入侵檢測(cè)系統(tǒng)D.虛擬局域網(wǎng)設(shè)置【答案】 C 49. 負(fù)責(zé)授權(quán)訪問(wèn)業(yè)務(wù)系統(tǒng)的職責(zé)應(yīng)該屬于：A.數(shù)據(jù)擁有者B.安全管理員C. IT 安全經(jīng)理D.請(qǐng)求者的直接上司【答案】 A50. 在提供給一個(gè)外部代理商訪問(wèn)信息處理設(shè)施前，一個(gè)組織應(yīng)該怎么做？A.外部代理商的處理應(yīng)該接受一個(gè)來(lái)自獨(dú)立代理進(jìn)行的IS 審計(jì)。B.外部代理商的員工必須

25、接受該組織的安全程序的培訓(xùn)。C. 來(lái)自外部代理商的任何訪問(wèn)必須限制在?；饏^(qū)（DMZ）D.該組織應(yīng)該進(jìn)行風(fēng)險(xiǎn)評(píng)估，并制定和實(shí)施適當(dāng)?shù)目刂?。【答案?D51. 處理報(bào)廢電腦的流程時(shí)，以下哪一個(gè)選項(xiàng)對(duì)于安全專業(yè)人員來(lái)說(shuō)是最重要考慮的內(nèi)容？A.在扇區(qū)這個(gè)級(jí)別上，硬盤已經(jīng)被多次重復(fù)寫入，但是在離開(kāi)組織前沒(méi)有進(jìn)行重新格式化。B.硬盤上所有的文件和文件夾都分別刪除了，并在離開(kāi)組織進(jìn)行重新格式化。C. 在離開(kāi)組織前，通過(guò)在硬盤特定位置上洞穿盤片，進(jìn)行打洞，使得硬盤變得不可讀取。D.由內(nèi)部的安全人員將硬盤送到附近的金屬回收公司，對(duì)硬盤進(jìn)行登記并粉碎?！敬鸢浮?B52. 一個(gè)組織已經(jīng)創(chuàng)建了一個(gè)策略來(lái)定義用戶禁止訪

26、問(wèn)的網(wǎng)站類型。哪個(gè)是最有效的技術(shù)來(lái)達(dá)成這個(gè)策略？A.A.狀態(tài)檢測(cè)防火墻B.B.網(wǎng)頁(yè)內(nèi)容過(guò)濾C.網(wǎng)頁(yè)緩存服務(wù)器D.D.代理服務(wù)器【答案】 B 53. 當(dāng)組織將客戶信用審查系統(tǒng)外包給第三方服務(wù)提供商時(shí)，下列哪一項(xiàng)是信息安全專業(yè)人士最重要的考慮因素？該提供商：A.滿足并超過(guò)行業(yè)安全標(biāo)準(zhǔn)B.同意可以接受外部安全審查C.其服務(wù)和經(jīng)驗(yàn)有很好的市場(chǎng)聲譽(yù)D.符合組織的安全策略【答案】 D54. 一個(gè)組織將制定一項(xiàng)策略以定義了禁止用戶訪問(wèn)的WEB 站點(diǎn)類型。為強(qiáng)制執(zhí)行這一策略，最有效的技術(shù)是什么？A.狀態(tài)檢測(cè)防火墻B.WE內(nèi)容過(guò)濾器C.WEB 緩存服務(wù)器D.應(yīng)該代理服務(wù)器【答案】 B55. 在制定一個(gè)正式的企業(yè)

27、安全計(jì)劃時(shí)，最關(guān)鍵的成功因素將是？A.成立一個(gè)審查委員會(huì)B.建立一個(gè)安全部門C.向執(zhí)行層發(fā)起人提供有效支持D.選擇一個(gè)安全流程的所有者【答案】 C56. 對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)授權(quán)訪問(wèn)的責(zé)任屬于：A.數(shù)據(jù)所有者B.安全管理員C.IT 安全經(jīng)理D.申請(qǐng)人的直線主管【答案】 A57. 下列哪一項(xiàng)是首席安全官的正常職責(zé)？A.定期審查和評(píng)價(jià)安全策略B.執(zhí)行用戶應(yīng)用系統(tǒng)和軟件測(cè)試與評(píng)價(jià)C.授予或廢除用戶對(duì)IT 資源的訪問(wèn)權(quán)限D(zhuǎn).批準(zhǔn)對(duì)數(shù)據(jù)和應(yīng)用系統(tǒng)的訪問(wèn)權(quán)限【答案】 B58. 向外部機(jī)構(gòu)提供其信息處理設(shè)施的物理訪問(wèn)權(quán)限前，組織應(yīng)當(dāng)做什么？A.該外部機(jī)構(gòu)的過(guò)程應(yīng)當(dāng)可以被獨(dú)立機(jī)構(gòu)進(jìn)行IT 審計(jì)B.該組織應(yīng)執(zhí)行一個(gè)風(fēng)

28、險(xiǎn)評(píng)估，設(shè)計(jì)并實(shí)施適當(dāng)?shù)目刂艭.該外部機(jī)構(gòu)的任何訪問(wèn)應(yīng)被限制在DMZ 區(qū)之內(nèi)D.應(yīng)當(dāng)給該外部機(jī)構(gòu)的員工培訓(xùn)其安全程序【答案】 B59. 某組織的信息系統(tǒng)策略規(guī)定，終端用戶的ID 在該用戶終止后90 天內(nèi)失效。組織的信息安全內(nèi)審核員應(yīng)：A.報(bào)告該控制是有效的，因?yàn)橛脩鬒D 失效是符合信息系統(tǒng)策略規(guī)定的時(shí)間段的B.核實(shí)用戶的訪問(wèn)權(quán)限是基于用所必需原則的C.建議改變這個(gè)信息系統(tǒng)策略，以保證用戶ID 的失效與用戶終止一致D.建議終止用戶的活動(dòng)日志能被定期審查【答案】 C60. 減少與釣魚相關(guān)的風(fēng)險(xiǎn)的最有效控制是：A.系統(tǒng)的集中監(jiān)控B.釣魚的信號(hào)包括在防病毒軟件中C.在內(nèi)部網(wǎng)絡(luò)上發(fā)布反釣魚策略D.對(duì)所有

29、用戶進(jìn)行安全培訓(xùn)【答案】 D61. 在人力資源審計(jì)期間，安全管理體系內(nèi)審員被告知在IT 部門和人力資源部門中有一個(gè)關(guān)于期望的IT 服務(wù)水平的口頭協(xié)議。安全管理體系內(nèi)審員首先應(yīng)該做什么？A.為兩部門起草一份服務(wù)水平協(xié)議B.向高級(jí)管理層報(bào)告存在未被書面簽訂的協(xié)議C.向兩部門確認(rèn)協(xié)議的內(nèi)容D.推遲審計(jì)直到協(xié)議成為書面文檔【答案】 C62. 下面哪一個(gè)是定義深度防御安全原則的例子？A.使用由兩個(gè)不同提供商提供的防火墻檢查進(jìn)入網(wǎng)絡(luò)的流量B.在主機(jī)上使用防火墻和邏輯訪問(wèn)控制來(lái)控制進(jìn)入網(wǎng)絡(luò)的流量C.在數(shù)據(jù)中心建設(shè)中不使用明顯標(biāo)志D.使用兩個(gè)防火墻檢查不同類型進(jìn)入網(wǎng)絡(luò)的流量【答案】 A63. 下面哪一種是最安

30、全和最經(jīng)濟(jì)的方法，對(duì)于在一個(gè)小規(guī)模到一個(gè)中等規(guī)模的組織中通過(guò)互聯(lián)網(wǎng)連接私有網(wǎng)絡(luò)？A.   虛擬專用網(wǎng)B.專線C. 租用線路D. 綜合服務(wù)數(shù)字網(wǎng).【答案】 A64. 通過(guò)社會(huì)工程的方法進(jìn)行非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)可以通過(guò)以下方法避免：A.   安全意識(shí)程序B.非對(duì)稱加密C. 入侵偵測(cè)系統(tǒng)D. 非軍事區(qū)【答案】 A65. 在安全人員的幫助下，對(duì)數(shù)據(jù)提供訪問(wèn)權(quán)的責(zé)任在于：A.   數(shù)據(jù)所有者.B.程序員C. 系統(tǒng)分析師.D. 庫(kù)管員【答案】 A66. 信息安全策略,聲稱"密碼的顯示必須以掩碼的形式"的目的是防范下面哪種攻擊風(fēng)險(xiǎn)？

31、A.   尾隨B.垃圾搜索C. 肩窺 D. 冒充 【答案】 Cn67. 管理體系審計(jì)員進(jìn)行通信訪問(wèn)控制審查，首先應(yīng)該關(guān)注：A.   維護(hù)使用各種系統(tǒng)資源的訪問(wèn)日志B.在用戶訪問(wèn)系統(tǒng)資源之前的授權(quán)和認(rèn)證C. 通過(guò)加密或其他方式對(duì)存儲(chǔ)在服務(wù)器上數(shù)據(jù)的充分保護(hù)D. 確定是否可以利用終端系統(tǒng)資源的責(zé)任制和能力. 【答案】 D68. 下列哪一種防病毒軟件的實(shí)施策略在內(nèi)部公司網(wǎng)絡(luò)中是最有效的：A.   服務(wù)器防毒軟件B.病毒墻 C. 工作站防病毒軟件 D. 病毒庫(kù)及時(shí)更新 【答案】 D69. 測(cè)試程序變更管理流程時(shí)，安全管理體系內(nèi)審員使用的最有效

32、的方法是：A.由系統(tǒng)生成的信息跟蹤到變更管理文檔B.檢查變更管理文檔中涉及的證據(jù)的精確性和正確性C. 由變更管理文檔跟蹤到生成審計(jì)軌跡的系統(tǒng)D. 檢查變更管理文檔中涉及的證據(jù)的完整性【答案】 A70. 內(nèi)部審計(jì)部門,從組織結(jié)構(gòu)上向財(cái)務(wù)總監(jiān)而不是審計(jì)委員會(huì)報(bào)告,最有可能：A.導(dǎo)致對(duì)其審計(jì)獨(dú)立性的質(zhì)疑B.報(bào)告較多業(yè)務(wù)細(xì)節(jié)和相關(guān)發(fā)現(xiàn)C. 加強(qiáng)了審計(jì)建議的執(zhí)行D. 在建議中采取更對(duì)有效行動(dòng)【答案】 A71. 下面哪一種情況可以使信息系統(tǒng)安全官員實(shí)現(xiàn)有效進(jìn)行安全控制的目的?A.完整性控制的需求是基于風(fēng)險(xiǎn)分析的結(jié)果B.控制已經(jīng)過(guò)了測(cè)試C. 安全控制規(guī)范是基于風(fēng)險(xiǎn)分析的結(jié)果D. 控制是在可重復(fù)的基礎(chǔ)上被測(cè)試

33、的【答案】 D72. 下列哪一種情況會(huì)損害計(jì)算機(jī)安全策略的有效性？A.發(fā)布安全策略時(shí)B.重新檢查安全策略時(shí)C. 測(cè)試安全策略時(shí)D. 可以預(yù)測(cè)到違反安全策略的強(qiáng)制性措施時(shí)【答案】 D 73. 組織的安全策略可以是廣義的，也可以是狹義的，下面哪一條是屬于廣義的安全策略？A.應(yīng)急計(jì)劃B.遠(yuǎn)程辦法C. 計(jì)算機(jī)安全程序D. 電子郵件個(gè)人隱私【答案】 C74. 基本的計(jì)算機(jī)安全需求不包括下列哪一條：A.安全策略和標(biāo)識(shí)B.絕對(duì)的保證和持續(xù)的保護(hù)C. 身份鑒別和落實(shí)責(zé)任D. 合理的保證和連續(xù)的保護(hù)【答案】 B 75. 軟件的盜版是一個(gè)嚴(yán)重的問(wèn)題。在下面哪一種說(shuō)法中反盜版的策略和實(shí)際行為是矛盾的？A.員工的教育

34、和培訓(xùn)B.遠(yuǎn)距離工作（Telecommuting）與禁止員工攜帶工作軟件回家C. 自動(dòng)日志和審計(jì)軟件D. 策略的發(fā)布與策略的強(qiáng)制執(zhí)行【答案】 B76. 組織內(nèi)數(shù)據(jù)安全官的最為重要的職責(zé)是：A.推薦并監(jiān)督數(shù)據(jù)安全策略B.在組織內(nèi)推廣安全意識(shí)C. 制定IT安全策略下的安全程序/流程D. 管理物理和邏輯訪問(wèn)控制【答案】 A77. 下面哪一種方式，能夠最有效的約束雇員只能履行其分內(nèi)的工作？A.應(yīng)用級(jí)訪問(wèn)控制B.數(shù)據(jù)加密C. 卸掉雇員電腦上的軟盤和光盤驅(qū)動(dòng)器D. 使用網(wǎng)絡(luò)監(jiān)控設(shè)備【答案】 A78. 內(nèi)部審計(jì)師發(fā)現(xiàn)不是所有雇員都了解企業(yè)的信息安全策略。內(nèi)部審計(jì)師應(yīng)當(dāng)?shù)贸鲆韵履捻?xiàng)結(jié)論：A.這種缺乏了解會(huì)導(dǎo)致

35、不經(jīng)意地泄露敏感信息B.信息安全不是對(duì)所有職能都是關(guān)鍵的C. IS審計(jì)應(yīng)當(dāng)為那些雇員提供培訓(xùn)D. 該審計(jì)發(fā)現(xiàn)應(yīng)當(dāng)促使管理層對(duì)員工進(jìn)行繼續(xù)教育【答案】 A 79. 設(shè)計(jì)信息安全策略時(shí)，最重要的一點(diǎn)是所有的信息安全策略應(yīng)該:A.     非現(xiàn)場(chǎng)存儲(chǔ)B.b)     由IS經(jīng)理簽署C.   發(fā)布并傳播給用戶D.   經(jīng)常更新【答案】 C80. 負(fù)責(zé)制定、執(zhí)行和維護(hù)內(nèi)部安全控制制度的責(zé)任在于:A. IS審計(jì)員.B.管理層.C.外部審計(jì)師. D.程序開(kāi)發(fā)人員. 【答案】 B81. 組織

36、與供應(yīng)商協(xié)商服務(wù)水平協(xié)議，下面哪一個(gè)最先發(fā)生？A.制定可行性研究. B.檢查是否符合公司策略. C.草擬服務(wù)水平協(xié)議. D.草擬服務(wù)水平要求 【答案】 B82. 以下哪一個(gè)是數(shù)據(jù)保護(hù)的最重要的目標(biāo)？A.確定需要訪問(wèn)信息的人員B.確保信息的完整性C.拒絕或授權(quán)對(duì)系統(tǒng)的訪問(wèn)D.監(jiān)控邏輯訪問(wèn)【答案】 A83. 在邏輯訪問(wèn)控制中如果用戶賬戶被共享，這種局面可能造成的最大風(fēng)險(xiǎn)是:A.非授權(quán)用戶可以使用ID擅自進(jìn)入.B.用戶訪問(wèn)管理費(fèi)時(shí).C.很容易猜測(cè)密碼.D.無(wú)法確定用戶責(zé)任【答案】 D84. 作為信息安全治理的成果,戰(zhàn)略方針提供了:A.企業(yè)所需的安全要求B.遵從最佳實(shí)務(wù)的安全基準(zhǔn)C. 日常化制度化的解

37、決方案D. 風(fēng)險(xiǎn)暴露的理解【答案】 A85. 企業(yè)由于人力資源短缺，IT支持一直以來(lái)由一位最終用戶兼職，最恰當(dāng)?shù)难a(bǔ)償性控制是：A.限制物理訪問(wèn)計(jì)算設(shè)備B.檢查事務(wù)和應(yīng)用日志C. 雇用新IT員工之前進(jìn)行背景調(diào)查D. 在雙休日鎖定用戶會(huì)話【答案】 B 86. 關(guān)于安全策略的說(shuō)法，不正確的是A.得到安全經(jīng)理的審核批準(zhǔn)后發(fā)布B. 應(yīng)采取適當(dāng)?shù)姆绞阶層嘘P(guān)人員獲得并理解最新版本的策略文檔C.控制安全策略的發(fā)布范圍，注意保密D.系統(tǒng)變更后和定期的策略文件評(píng)審和改進(jìn)【答案】 A87. 哪一項(xiàng)不是管理層承諾完成的？A.確定組織的總體安全目標(biāo)B. 購(gòu)買性能良好的信息安全產(chǎn)品C.推動(dòng)安全意識(shí)教育D. 評(píng)審安全策略的

38、有效性【答案】 B88. 安全策略體系文件應(yīng)當(dāng)包括的內(nèi)容不包括A.信息安全的定義、總體目標(biāo)、范圍及對(duì)組織的重要性B.對(duì)安全管理職責(zé)的定義和劃分C. 口令、加密的使用是阻止性的技術(shù)控制措施；D. 違反安全策略的后果【答案】 C89. 對(duì)信息安全的理解，正確的是A.信息資產(chǎn)的保密性、完整性和可用性不受損害的能力，是通過(guò)信息安全保障措施實(shí)現(xiàn)的B. 通過(guò)信息安全保障措施，確保信息不被丟失C. 通過(guò)信息安全保證措施，確保固定資產(chǎn)及相關(guān)財(cái)務(wù)信息的完整性D. 通過(guò)技術(shù)保障措施，確保信息系統(tǒng)及財(cái)務(wù)數(shù)據(jù)的完整性、機(jī)密性及可用性【答案】 A90. 以下哪項(xiàng)是組織中為了完成信息安全目標(biāo)，針對(duì)信息系統(tǒng)，遵循安全策略，

39、按照規(guī)定的程序，運(yùn)用恰當(dāng)?shù)姆椒?，而進(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動(dòng)？A.反應(yīng)業(yè)務(wù)目標(biāo)的信息安全方針、目標(biāo)以及活動(dòng)；B.來(lái)自所有級(jí)別管理者的可視化的支持與承諾；C.提供適當(dāng)?shù)囊庾R(shí)、教育與培訓(xùn)D.以上所有【答案】 D91. 信息安全管理體系要求的核心內(nèi)容是？A.風(fēng)險(xiǎn)評(píng)估B.關(guān)鍵路徑法C.PDCA循環(huán)D.PERT【答案】 C92. 有效減少偶然或故意的未授權(quán)訪問(wèn)、誤用和濫用的有效方法是如下哪項(xiàng)？A.訪問(wèn)控制B.職責(zé)分離C.加密D.認(rèn)證【答案】 B93. 下面哪一項(xiàng)組成了CIA三元組？A.保密性，完整性，保障B.保密性，完整性，可用性C.保密性，綜合性，保障D.保密性，綜合性，可用性【答案】

40、B94. 在信息安全策略體系中，下面哪一項(xiàng)屬于計(jì)算機(jī)或信息安全的強(qiáng)制性規(guī)則？ A.標(biāo)準(zhǔn)（Standard）B.安全策略（Security policy）C.方針（Guideline）D.流程（Procedure）【答案】 A95. 在許多組織機(jī)構(gòu)中，產(chǎn)生總體安全性問(wèn)題的主要原因是：A.缺少安全性管理B.缺少故障管理C.缺少風(fēng)險(xiǎn)分析D.缺少技術(shù)控制機(jī)制【答案】 A96. 下面哪一項(xiàng)最好地描述了風(fēng)險(xiǎn)分析的目的？ A.識(shí)別用于保護(hù)資產(chǎn)的責(zé)任義務(wù)和規(guī)章制度B.識(shí)別資產(chǎn)以及保護(hù)資產(chǎn)所使用的技術(shù)控制措施C.識(shí)別資產(chǎn)、脆弱性并計(jì)算潛在的風(fēng)險(xiǎn)D.識(shí)別同責(zé)任義務(wù)有直接關(guān)系的威脅【答案】 C97. 以下哪一項(xiàng)對(duì)安

41、全風(fēng)險(xiǎn)的描述是準(zhǔn)確的？A.安全風(fēng)險(xiǎn)是指一種特定脆弱性利用一種或一組威脅造成組織的資產(chǎn)損失或損害的可能性。B.安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失事實(shí)。C.安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性D.安全風(fēng)險(xiǎn)是指資產(chǎn)的脆弱性被威脅利用的情形。【答案】 C98. 以下哪些不屬于脆弱性范疇？A.黑客攻擊B.操作系統(tǒng)漏洞C.應(yīng)用程序BUGD.人員的不良操作習(xí)慣【答案】 A99. 依據(jù)信息系統(tǒng)安全保障模型，以下那個(gè)不是安全保證對(duì)象A.機(jī)密性B.管理C.過(guò)程D.人員【答案】 A100. 以下哪一項(xiàng)是已經(jīng)被確認(rèn)了的具有一定合理性的風(fēng)險(xiǎn)？A.總

42、風(fēng)險(xiǎn)B.最小化風(fēng)險(xiǎn)C.可接受風(fēng)險(xiǎn)D.殘余風(fēng)險(xiǎn)【答案】 C101. 以下哪一種人給公司帶來(lái)最大的安全風(fēng)險(xiǎn)？A.臨時(shí)工B.咨詢?nèi)藛TC.以前員工D.當(dāng)前員工【答案】 D102. 一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的什么叫做過(guò)程？A.數(shù)據(jù)B.信息流C.活動(dòng)D.模塊【答案】 C103. 系統(tǒng)地識(shí)別和管理組織所應(yīng)用的過(guò)程，特別是這些過(guò)程之間的相互作用，稱為什么？A.戴明循環(huán)B.過(guò)程方法C.管理體系D. 服務(wù)管理【答案】 B104. 拒絕式服務(wù)攻擊會(huì)影響信息系統(tǒng)的哪個(gè)特性？A.完整性B.可用性C.機(jī)密性D.可控性【答案】 B105. 在信息系統(tǒng)安全中，風(fēng)險(xiǎn)由以下哪兩種因素共同構(gòu)成的？A.攻擊和脆弱性B

43、.威脅和攻擊C.威脅和脆弱性D.威脅和破壞【答案】 C106. 在信息系統(tǒng)安全中，暴露由以下哪兩種因素共同構(gòu)成的？A.攻擊和脆弱性B.威脅和攻擊C.威脅和脆弱性D.威脅和破壞【答案】 A107. 信息安全管理最關(guān)注的是？A.外部惡意攻擊B.病毒對(duì)PC的影響 C.內(nèi)部惡意攻擊D. 病毒對(duì)網(wǎng)絡(luò)的影響【答案】 C108. 從風(fēng)險(xiǎn)管理的角度，以下哪種方法不可??？A.接受風(fēng)險(xiǎn)B.分散風(fēng)險(xiǎn)C.轉(zhuǎn)移風(fēng)險(xiǎn)D.拖延風(fēng)險(xiǎn)【答案】 D109. ISMS文檔體系中第一層文件是？A.信息安全方針政策B.信息安全工作程序C.信息安全作業(yè)指導(dǎo)書D.信息安全工作記錄【答案】 A110. 以下哪種風(fēng)險(xiǎn)被定義為合理的風(fēng)險(xiǎn)？A.最

44、小的風(fēng)險(xiǎn)B.可接收風(fēng)險(xiǎn)C.殘余風(fēng)險(xiǎn)D.總風(fēng)險(xiǎn)【答案】 B111. 從目前的情況看，對(duì)所有的計(jì)算機(jī)系統(tǒng)來(lái)說(shuō)，以下哪種威脅是最為嚴(yán)重的，可能造成巨大的損害？A.沒(méi)有充分訓(xùn)練或粗心的用戶B.第三方C.黑客 D.心懷不滿的雇員【答案】 D112. 如果將風(fēng)險(xiǎn)管理分為風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)減緩，那么以下哪個(gè)不屬于風(fēng)險(xiǎn)減緩的內(nèi)容？A.計(jì)算風(fēng)險(xiǎn)B.選擇合適的安全措施C.實(shí)現(xiàn)安全措施D.接受殘余風(fēng)險(xiǎn)【答案】 A113. 通常最好由誰(shuí)來(lái)確定系統(tǒng)和數(shù)據(jù)的敏感性級(jí)別？A.審計(jì)師B.終端用戶C.擁有者D.系統(tǒng)分析員【答案】 C114. 風(fēng)險(xiǎn)分析的目的是？A.在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行技術(shù)平衡；B.在實(shí)施

45、保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行運(yùn)作平衡；C.在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行經(jīng)濟(jì)平衡；D.在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行法律平衡；【答案】 C115. 以下哪個(gè)不屬于信息安全的三要素之一？A. 機(jī)密性B. 完整性C.抗抵賴性D.可用性【答案】 C116. ISMS指的是什么？A.信息安全管理B.信息系統(tǒng)管理體系C.信息系統(tǒng)管理安全D.信息安全管理體系【答案】 D117. 在確定威脅的可能性時(shí)，可以不考慮以下哪個(gè)？A. 威脅源B.潛在弱點(diǎn)C.現(xiàn)有控制措施D.攻擊所產(chǎn)生的負(fù)面影響【答案】 D118. 在風(fēng)險(xiǎn)分析中，以下哪種說(shuō)法是正確的？A.定量影響分析

46、的主要優(yōu)點(diǎn)是它對(duì)風(fēng)險(xiǎn)進(jìn)行排序并對(duì)那些需要立即改善的環(huán)節(jié)進(jìn)行標(biāo)識(shí)。B. 定性影響分析可以很容易地對(duì)控制進(jìn)行成本收益分析。C.定量影響分析不能用在對(duì)控制進(jìn)行的成本收益分析中。D. 定量影響分析的主要優(yōu)點(diǎn)是它對(duì)影響大小給出了一個(gè)度量【答案】 D119. 通常情況下，怎樣計(jì)算風(fēng)險(xiǎn)？A.將威脅可能性等級(jí)乘以威脅影響就得出了風(fēng)險(xiǎn)。B. 將威脅可能性等級(jí)加上威脅影響就得出了風(fēng)險(xiǎn)。C.用威脅影響除以威脅的發(fā)生概率就得出了風(fēng)險(xiǎn)。D. 用威脅概率作為指數(shù)對(duì)威脅影響進(jìn)行乘方運(yùn)算就得出了風(fēng)險(xiǎn)?！敬鸢浮?A120. 資產(chǎn)清單可包括？A.服務(wù)及無(wú)形資產(chǎn) B.信息資產(chǎn) C.人員D.以上所有【答案】 D121. 評(píng)估IT風(fēng)險(xiǎn)

47、被很好的達(dá)到，可以通過(guò)：A.評(píng)估IT資產(chǎn)和IT項(xiàng)目總共的威脅B.用公司的以前的真的損失經(jīng)驗(yàn)來(lái)決定現(xiàn)在的弱點(diǎn)和威脅C.審查可比較的組織出版的損失數(shù)據(jù)D.一句審計(jì)拔高審查IT控制弱點(diǎn)【答案】 A122. 在部署風(fēng)險(xiǎn)管理程序的時(shí)候，哪項(xiàng)應(yīng)該最先考慮到：A.組織威脅，弱點(diǎn)和風(fēng)險(xiǎn)概括的理解B. 揭露風(fēng)險(xiǎn)的理解和妥協(xié)的潛在后果C. 基于潛在結(jié)果的風(fēng)險(xiǎn)管理優(yōu)先級(jí)的決心D. 風(fēng)險(xiǎn)緩解戰(zhàn)略足夠在一個(gè)可以接受的水平上保持風(fēng)險(xiǎn)的結(jié)果【答案】 A123. 為了解決操作人員執(zhí)行日常備份的失誤，管理層要求系統(tǒng)管理員簽字日常備份，這是一個(gè)風(fēng)險(xiǎn)例子： A.防止B.轉(zhuǎn)移C. 緩解D.接受【答案】 C124. 以下哪項(xiàng)不屬于PD

48、CA循環(huán)的特點(diǎn)？A.按順序進(jìn)行，它靠組織的力量來(lái)推動(dòng)，像車輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán)B.組織中的每個(gè)部分，甚至個(gè)人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問(wèn)題C.每通過(guò)一次PDCA 循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行第二次PDCA 循環(huán)D.D組織中的每個(gè)部分，不包括個(gè)人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問(wèn)題【答案】 D125. 戴明循環(huán)執(zhí)行順序，下面哪項(xiàng)正確？A.PLAN-ACT-DO-CHECKB. CHECK-PLAN-ACT-DOC. PLAN-DO-CHECK-ACTD. ACT-PLAN-CHECK-DO【答案】 C126. 建立ISMS的第一步是？A

49、.風(fēng)險(xiǎn)評(píng)估B.設(shè)計(jì)ISMS文檔C. 明確ISMS范圍D. 確定ISMS 策略【答案】 C127. 建立ISMS的步驟正確的是？A.明確ISMS范圍-確定ISMS策略-定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾（審批）B.定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾（審批）-確定ISMS策略C.確定ISMS策略-明確ISMS范圍-定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾（審批）D.明確ISMS范圍-定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-確定I

50、SMS策略-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾（審批）【答案】 A128. 除以下哪項(xiàng)可作為ISMS審核（包括內(nèi)審和外審）的依據(jù)，文件審核、現(xiàn)場(chǎng)審核的依據(jù)？A.機(jī)房登記記錄B.信息安全管理體系 C.權(quán)限申請(qǐng)記錄D.離職人員的口述【答案】 D129. 以下哪項(xiàng)是 ISMS文件的作用？A. 是指導(dǎo)組織有關(guān)信息安全工作方面的內(nèi)部“法規(guī)”-使工作有章可循。B.是控制措施（controls）的重要部分C.提供客觀證據(jù)-為滿足相關(guān)方要求，以及持續(xù)改進(jìn)提供依據(jù)D.以上所有【答案】 D130. 以下哪項(xiàng)不是記錄控制的要求？A.清晰、易于識(shí)別和檢索B.記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形

51、成文件并實(shí)施C. 建立并保持，以提供證據(jù)D.記錄應(yīng)盡可能的達(dá)到最詳細(xì)【答案】 D131. 下面哪項(xiàng)是信息安全管理體系中CHECK（檢查）中的工作內(nèi)容？A.按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審B.實(shí)施所選擇的控制措施C.采取合適的糾正和預(yù)防措施。從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)D.確保改進(jìn)達(dá)到了預(yù)期目標(biāo)【答案】 A132. 指導(dǎo)和規(guī)范信息安全管理的所有活動(dòng)的文件叫做？A.過(guò)程B.安全目標(biāo)C.安全策略D.安全范圍【答案】 C133. 信息安全管理措施不包括：A. 安全策略B.物理和環(huán)境安全C.訪問(wèn)控制D.安全范圍【答案】 D134. 下面安全策略的特性中，不包括哪一項(xiàng)？A. 指導(dǎo)性B.靜態(tài)

52、性C.可審核性D.非技術(shù)性【答案】 B135. 信息安全活動(dòng)應(yīng)由來(lái)自組織不同部門并具備相關(guān)角色和工作職責(zé)的代表進(jìn)行，下面哪項(xiàng)包括非典型的安全協(xié)調(diào)應(yīng)包括的人員？A.管理人員、用戶、應(yīng)用設(shè)計(jì)人員B.系統(tǒng)運(yùn)維人員、內(nèi)部審計(jì)人員、安全專員C.內(nèi)部審計(jì)人員、安全專員、領(lǐng)域?qū)＜褼.應(yīng)用設(shè)計(jì)人員、內(nèi)部審計(jì)人員、離職人員【答案】 D136. 下面那一項(xiàng)不是風(fēng)險(xiǎn)評(píng)估的目的？A.分析組織的安全需求B.制訂安全策略和實(shí)施安防措施的依據(jù)C.組織實(shí)現(xiàn)信息安全的必要的、重要的步驟D.完全消除組織的風(fēng)險(xiǎn)【答案】 D137. 下面那個(gè)不是信息安全風(fēng)險(xiǎn)的要素？A.資產(chǎn)及其價(jià)值B.數(shù)據(jù)安全C.威脅D.控制措施【答案】 B138.

53、 信息安全風(fēng)險(xiǎn)管理的對(duì)象不包括如下哪項(xiàng)A.信息自身B.信息載體C.信息網(wǎng)絡(luò)D.信息環(huán)境【答案】 C139. 信息安全風(fēng)險(xiǎn)管理的最終責(zé)任人是？A.決策層B.管理層C.執(zhí)行層D.支持層【答案】 A140. 信息安全風(fēng)險(xiǎn)評(píng)估對(duì)象確立的主要依據(jù)是什么A.系統(tǒng)設(shè)備的類型B.系統(tǒng)的業(yè)務(wù)目標(biāo)和特性C.系統(tǒng)的技術(shù)架構(gòu)D.系統(tǒng)的網(wǎng)絡(luò)環(huán)境【答案】 B141. 下面哪一項(xiàng)不是風(fēng)險(xiǎn)評(píng)估的過(guò)程？A.風(fēng)險(xiǎn)因素識(shí)別B.風(fēng)險(xiǎn)程度分析C.風(fēng)險(xiǎn)控制選擇D.風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)【答案】 C142. 風(fēng)險(xiǎn)控制是依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇和實(shí)施合適的安全措施。下面哪個(gè)不是風(fēng)險(xiǎn)控制的方式？A.規(guī)避風(fēng)險(xiǎn)B.轉(zhuǎn)移風(fēng)險(xiǎn)C.接受風(fēng)險(xiǎn)D.降低風(fēng)險(xiǎn)【答案】

54、C143. 降低風(fēng)險(xiǎn)的控制措施有很多，下面哪一個(gè)不屬于降低風(fēng)險(xiǎn)的措施？A.在網(wǎng)絡(luò)上部署防火墻B.對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密C.制定機(jī)房安全管理制度D.購(gòu)買物理場(chǎng)所的財(cái)產(chǎn)保險(xiǎn)【答案】 D144. 信息安全審核是指通過(guò)審查、測(cè)試、評(píng)審等手段，檢驗(yàn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的結(jié)果是否滿足信息系統(tǒng)的安全要求，這個(gè)工作一般由誰(shuí)完成？A.機(jī)構(gòu)內(nèi)部人員B.外部專業(yè)機(jī)構(gòu)C.獨(dú)立第三方機(jī)構(gòu)D.以上皆可【答案】 D145. 如何對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的過(guò)程進(jìn)行質(zhì)量監(jiān)控和管理？A.對(duì)風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)的漏洞進(jìn)行確認(rèn)B.針對(duì)風(fēng)險(xiǎn)評(píng)估的過(guò)程文檔和結(jié)果報(bào)告進(jìn)行監(jiān)控和審查C.對(duì)風(fēng)險(xiǎn)評(píng)估的信息系統(tǒng)進(jìn)行安全調(diào)查D.對(duì)風(fēng)險(xiǎn)控制測(cè)措施有有效性進(jìn)行測(cè)

55、試【答案】 B146. 信息系統(tǒng)的價(jià)值確定需要與哪個(gè)部門進(jìn)行有效溝通確定？A.系統(tǒng)維護(hù)部門B.系統(tǒng)開(kāi)發(fā)部門C.財(cái)務(wù)部門D.業(yè)務(wù)部門【答案】 D147. 下面哪一個(gè)不是系統(tǒng)規(guī)劃階段風(fēng)險(xiǎn)管理的工作內(nèi)容A.明確安全總體方針B.明確系統(tǒng)安全架構(gòu)C.風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則達(dá)成一致D.安全需求分析【答案】 B148. 下面哪一個(gè)不是系統(tǒng)設(shè)計(jì)階段風(fēng)險(xiǎn)管理的工作內(nèi)容A.安全技術(shù)選擇B.軟件設(shè)計(jì)風(fēng)險(xiǎn)控制C.安全產(chǎn)品選擇D.安全需求分析【答案】 D149. 下面哪一個(gè)不是系統(tǒng)實(shí)施階段風(fēng)險(xiǎn)管理的工作內(nèi)容A.安全測(cè)試B.檢查與配置C.配置變更D.人員培訓(xùn)【答案】 C150. 下面哪一個(gè)不是系統(tǒng)運(yùn)行維護(hù)階段風(fēng)險(xiǎn)管理的工作內(nèi)容A.

56、安全運(yùn)行和管理B.安全測(cè)試C.變更管理D.風(fēng)險(xiǎn)再次評(píng)估【答案】 B151. 下面哪一個(gè)不是系統(tǒng)廢棄階段風(fēng)險(xiǎn)管理的工作內(nèi)容A.安全測(cè)試B.對(duì)廢棄對(duì)象的風(fēng)險(xiǎn)評(píng)估C.防止敏感信息泄漏D.人員培訓(xùn)【答案】 A152. 系統(tǒng)上線前應(yīng)當(dāng)對(duì)系統(tǒng)安全配置進(jìn)行檢查，不包括下列哪種安全檢查A.主機(jī)操作系統(tǒng)安全配置檢查B.網(wǎng)絡(luò)設(shè)備安全配置檢查C.系統(tǒng)軟件安全漏洞檢查D.數(shù)據(jù)庫(kù)安全配置檢查【答案】 C153. 風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中資產(chǎn)識(shí)別的依據(jù)是什么A.依據(jù)資產(chǎn)分類分級(jí)的標(biāo)準(zhǔn)B.依據(jù)資產(chǎn)調(diào)查的結(jié)果C.依據(jù)人員訪談的結(jié)果D.依據(jù)技術(shù)人員提供的資產(chǎn)清單【答案】 A154. 風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中資產(chǎn)識(shí)別的范圍主要包括什么類別A

57、.網(wǎng)絡(luò)硬件資產(chǎn)B.數(shù)據(jù)資產(chǎn)C.軟件資產(chǎn)D.以上都包括【答案】 D155. 風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中脆弱性識(shí)別主要包括什么方面A.軟件開(kāi)發(fā)漏洞B.網(wǎng)站應(yīng)用漏洞C.主機(jī)系統(tǒng)漏洞D.技術(shù)漏洞與管理漏洞【答案】 D156. 下面哪一個(gè)不是脆弱性識(shí)別的手段A.人員訪談B.技術(shù)工具檢測(cè)C.信息資產(chǎn)核查D.安全專家人工分析【答案】 C157. 信息資產(chǎn)面臨的主要威脅來(lái)源主要包括A.自然災(zāi)害B.系統(tǒng)故障C.內(nèi)部人員操作失誤D.以上都包括【答案】 D158. 下面關(guān)于定性風(fēng)險(xiǎn)評(píng)估方法的說(shuō)法正確的是A.通過(guò)將資產(chǎn)價(jià)值和風(fēng)險(xiǎn)等量化為財(cái)務(wù)價(jià)值和方式來(lái)進(jìn)行計(jì)算的一種方法B.采用文字形式或敘述性的數(shù)值范圍來(lái)描述潛在后果的大小程度及這些后果發(fā)生的可能性C.在后果和可能性分析中采用數(shù)值，并采用從各種各樣的來(lái)源中得到的數(shù)據(jù)D.定性風(fēng)險(xiǎn)分析提供了較好的成本效益分析【答案】 B159. 下面關(guān)于定性風(fēng)險(xiǎn)評(píng)估方法的說(shuō)法不正確的是A.易于操作，可以對(duì)風(fēng)險(xiǎn)進(jìn)行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進(jìn)行標(biāo)識(shí)B.主觀性強(qiáng)，分析結(jié)果的質(zhì)量取決于風(fēng)險(xiǎn)評(píng)估小組成員的經(jīng)驗(yàn)和