《信息安全管理体系习题》由会员分享,可在线阅读,更多相关《信息安全管理体系习题(33页珍藏版)》请在金锄头文库上搜索。
1、 信息安全管理体系培训习题汇编目 录练习题一单项选择题.1练习题二多项选择题19练习题三判断题.27练习题四案例分析题.29ISMS 测验一.35ISMS 测验二.49ISMS测验三.52练习题一参考答案.60练习题二参考答案.61练习题三参考答案.61练习题四参考答案.62ISMS测验一参考答案.63ISMS测验二参考答案.64ISMS测验三参考答案.64在高温或低温情况下进行的高处作业。高温是指作业地点具有生产性热源,其气温高于本地区夏季室外通风设计计算温度的气温2及以上时的温度。低温是指作业地点的气温低于5。练习题一单项选择题从下面各题选项中选出一个最恰当的答案,并将相应字母填在下表相应
2、位置中。1、ISMS文件的多少和详细程度取于D(A)组织的规模和活动的类型 (B)过程及其相互作用的复杂程度(C)人员的能力 (D) A+B+C2、对于所釘拟定的纠正和预防措施,在实施前应通过( B )过程进行评审。(A)薄弱环节识别 (B)风险分析(C)管理方案 (D) A+C (E) A+B3、组织机构在建立和评审ISMS时,应考虑(E )(A)风险评估的结果 (B)管理方案(C)法律、法规和其它要求 (D) A+B (E) A+C4、ISMS管理评审的输出应包括(C )(A)可能影响ISMS的任何变更 (B)以往风险评估没有充分强调的脆弱点或威胁C)风险评估和风险处理计划的更新(D)改进
3、的建议5、在信息安全管理中进行(B ),可以有效解决人员安全意识薄弱问题。(A)内容监控 (B)安全教育和培训 (C)责任追查和惩处 (D)访问控制316、经过风险处理后遗留的风险是( D )(A)重大风险 (B)有条件的接受风险(C)不可接受的风险 (D)残余风险7、( A )是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。(A)信息安全事态 (B)信息安全事件(C)信息安全事故 (D)信息安全故障8、系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统
4、参数等信息,以便迅速( D)。(A)恢复全部程序 (B)恢复网络设置(C)恢复所有数据 (D)恢复整个系统9、不属于计算机病毒防治的策略的是( D )(A)确认您手头常备一张真正“干净”的引导盘(B)及时、可靠升级反病毒产品(C)新购置的计算机软件也要进行病毒检测(D)整理磁盘10、抵御电子邮箱入侵措施中,不正确的是( D)(A)不用生日做密码 (B)不要使用少于5位的密码(C)不要使用纯数字 (D)自己做服务器11、不属于常见的危险密码是(D)(A)跟用户名相同的密码 (B)使用生日作为密码(C)只有4位数的密码 (D)10位的综合型密码12、在每天下午5点使计算机结束时断开终端的连接属于(
5、 A)(A)外部终端的物理安全 (B)通信线的物理安全(C)窃听数据 (D)网络地址欺骗13、不属于WEB服务器的安全措施的是 ( D) (A)保证注册帐户的时效性 (B)删除死帐户 (C )强制用户使用不易被破解的密码 (D)所有用户使用一次性密码 14、1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859-1999,提出将信息系统的安全等级划分为( D)个等级,并提出每个级别的安全功能要求。 (A) 7 (B) 8 (C) 6 (D) 515、文件初审是评价受审方ISMS文件的描述与审核准则的(D )(A)充分性和适宜性(B)有效性和符合性(C)适宜性、充分性和有效性(D
6、)以上都不对16、在认证审核时,一阶段帝核是(C)(A)是了解受审方ISMS是否正常运行的过程 (B)是必须进行的 (C)不是必须的过程 (D)以上都不准确17、末次会议包括(D)(A)请受审核方确认不符合报告、并签字 (B)向审核方递交审核报告(C)双方就审核发现的不同意见进行讨论 (D)以上都不准确18、审核组长在末次会议上宣布的审核结论是依据(E)得出的。( A)审核目的 ( B)不符合项的严重程度(C)所有的审核发现 (D) A+B (E) A+B+C19、将收集到的审核证据对照( C)进行评价的结果是审核发现。(A)GB/T 22080标准 (B)法律、法规要求(C)审核准则 (D)
7、信息安全管理体系文件 20、审核准则有关的并且能够证实的记录、事实陈述或其他信息称为(B)(A)信息安全信息 (B)审核证据(C)检验记录 (D)信息源21、现场审核吋间应该包括(B)(A)文件评审时间(B)首、末次会议的时间(C)编写审核报告的时间(D)午餐时间22、在第三方认证审核时,(C)不是审核员的职责。(A)实施审核 (B)确定不合格项(C)对发现的不合格项采取纠正措施(D)验证受审核方所采取纠正措施的有效性23、审核的工作文件包括(D)。(A)检杳表 (B)审核抽样计划(C)信息记录表格 (D) a+b+c24、在市核中发现了正在使用的某个文件,这是(B)。(A)审核准则 (B)审
8、核发现(C)审核证据 (D)車核结论25、下列说法不正确的是(C)。(A)审核组可以由一名或多名审核员组成(B)至少配备一名经认可具有专业能力的成员(C)实习审核员可在技术专家指导下承担审核任务(D)审核组长通常由高级审核员担任26、现场审核的结束是指(A)。(A)末次会议结束 (B)对不符合项纠正措施进行验证后(C)发了经批准的审核报告时 (D)监督审核结束27、信息安全管理体系中提到的“资产责任人”是指:(C)(A)对资产拥有财产权的人。 (B)使用资产的人。(C)有权限变更资产安全属性的人。(D)资产所在部门负责人。28、组织应给予信息以适当级别的保护,是指:(B) (A)应实施尽可能先
9、进的保护措施以确保其保密性。 (B)应按信息对于组织业务的关键性给予充分和必要的保护。 (C)应确保信息对于组织内的所有员工可用。 (D)以上都对。29、认证审核时,审核组应:(A)(A)在审核前将审核计划提交受审核方确认。(B)在审核结朿时将帘核计划提交受屯核方确认。(C)随着审核的进展与受审核方共同确认审核计划。(D)将审核计划提交审核委托方批准即可。30、考虑设备安全是为了:(D)(A)防止设备丢失、损坏带来的财产损失。(B)有序保障设备维修时的备件供应。(C)及时对设备进行升级和更新换代。(D)控制资产的丢失、损坏、失窃、危及资产安全以及组织活动中断的风险。31、信息处理设施的变更管理
10、不包括:(D)(A)信息处理设施用途的变更。(B)信息处理设施故障部件的更换。(C)信息处理设施软件的升级。(D)以上都不对。32、定期备份和测试信息是指:(C)(A)每次备份完成吋对备份结果进行检査,以确保备份效采。(B)对系统测试记录进行定期备份。(C)定期备份,定期对备份数据的完整性和可用性进行测试。(D)定期检查备份存储介质的容量。33、 一个组织或安全域内所有信息处理设施;已设精确时钟源同步是为了:(B(A)便于针对使用信息处理设施的人员计算工时(B)便于探测未经授权的信息处理活动的发生(C)确保信息处理的及时性得到控制(D)人员异地工作时统一作息时间。34、第三方认证审核时,对于审
11、核提出的不符合项,审核组应:(B)(A)与受审核方共同评审不符合项以确认不符合的条款。(B)与受审核方共同评审不符合项以确认不符合事实的准确性。(C)与受审核方共同评审不符合以确认不符合的性质。(D)以上都对。35、为防止对网络服务的未授权访问,组织应:(A)(A)制定安全策略,确保用户应仅能访问已获专门授权使用的服务。(B)禁止内部人员访问互联网。(C)禁止外部人员访问组织局域网。(D)以上都对。36、组织应进行安全需求分析,规定对安全控制的要求,由(D)(A)组织需建立新的信息系统时;(B)组织的原有信息系统扩容或升级时;(C)组织向顾客交付软件系统时;(D)A+B37、确定资产的可用性要
12、求须依据:(A)(A)授权实体的需求。 (B)信息系统的实际性能水平。(C)组织可支付的经济成本。 (D)最高管理者的决定。38、残余风险是:(C)(A)低于可接受风险水平的风险。 (B)高于可接受风险水平的风险。(C)经过风险处置后剩余的风险。 (D)未经处置的风险。39、国家对于经背性互联网信息服务实施:(B)(A)备案制度。 (B)许可制度。(C)行政监管制度。 (D)备案与行政监管相结合的管理制度。40、网络路由控制应遵从:(C)(A)端到端连接最短路径策略;(B)信息系统应用的最佳效率策略;(C)确保计算机连接和信息留不违反业务应用的访问控制策略;(D)A+B+C041、认证审核初审时,可以不进行第一阶段
