安全管理网

信息安全管理体系与信息安全风险管理

文档来源: 安全管理网
点 击 数:
更新时间: 2021年04月20日
下载地址: 点击这里
文件大小: 412.94 KB 共29页
文档格式: PDF       
下载点数: 1 点(VIP免费)
信息安全管理体系与信息安全风险管理练习题 1. 关于从事信息安全标准化工作的组织说法,不正确的是: A. IETF的主要任务是负责互联网相关技术规范的研发和制定,并涉及到一些安全方面的标准化工作 B. IEC除与ISO联合从事信息安全方面的标准化工作外,还在电信、电子系统、信息技术和电磁兼容等方面成立技术委员会,并涉及信息安全方面的标准化工作 C. ITU所属的SG17组主要负责研究通信系统安全标准 D. ISO/IECJTC1 SC27从事的工作包括安全技术和机制的开发、安全指南的开发、但不包括管理支持文件和标准的开发 答案:D。 2. 关于信息安全管理标准的说法,不正确的是: A. ISO/IEC13335是关于风险管理、IT安全管理的一个重要的标准系列 B. ISO/IEC17799:2005建立了组织机构内启动、实施、维护和改进信息安全管理的指导方针和通用原则 C. ISO/IECJTC1 SC27开发的信息安全管理系统(ISMS)国际标准族采用27000系列号码作为编码方案 D. BS 7799包含的信息安全管理导则已成为ISO/IEC 27001标准 答案:D。 3. 我国信息安全法管理政策中,不包括: A. 采取积极防御、综合治理的管理方针 B. 维护齐抓共管的信息安全管理体系 C. 采取谁主管、谁负责;谁经营、谁负责的管理政策 D. 采取严格的管理、威严的法律、先进的技术 答案:B。 4. 关于信息安全风险评估工作的一些说法,不正确的是: A. 按“严格组织、规范操作、讲究科学、注重实效”的原则展开; B. 应按照“谁主管谁负责,谁运营谁负责”的原则进行; C. 应以检查评估为主,自评估与检查评估相互结合、互为补充; D. 风险评估工作应贯穿信息系统建设和运行的全过程; 答案:C。 5. 在风险管理工作中监控审查的目的。一是,二是。 A. 保证风险管理过程的有效性,保证风险管理成本的有效性 B. 保证风险管理结果的有效性,保证风险管理成本的有效性 C. 保证风险管理过程的有效性,保证风险管理活动的决定得到认可 D. 保证风险管理结果的有效性,保证风险管理活动的决定得到认可 答案:C。 6. 关于安全控制措施的一些说法,不正确的是: A. 岗位轮换、应急响应是检测性的管理控制措施; B. 职责分离、数据分类和标记是预防性的管理控制措施; C. 口令、加密的使用是阻止性的技术控制措施; D. 审核审计日志是检测性的技术控制措施; 答案:C。 7. 在27001-2005中,制定风险处置计划应该在PDCA的哪个阶段进行? A. Plan B. Do C. Check D. Act 答案:A。 8. 为什么一个公司内部的风险评估团队应该由来自不同部门的人员组成? A. 确保风险评估过程是公平的 B. 因为风险正是由于这些来自不同部门的人员所引起的,因此他们应该承担风险评估的职责 C. 因为不同部门的人员对本部门所面临的风险最清楚,由此进行的风险评估也最接近于实际情况 D. 风险评估团队不应该由来自不同部门的人员组成,而应该由一个来自公司外部的小型团队组成 答案:C。 9. 在应用系统开发过程中,应对安全问题予以足够的重视。以下说法错误的是: A. 在进行新系统的测试时,应对生产系统中的数据进行严格的控制 B. 应用系统的开发中,应注意数据输入,处理和输出等阶段对数据的控制 C. 一旦明确了安全需求和设计方案,在开发过程中就应当严格遵守,不能有任何改变 D. 系统或系统部件废弃中产生的风险,不能等闲视之 答案:C。 10. ISO27001、ITIL和COBIT在IT管理内容上各有优势,但侧重点不同,其各自重点分别在于: A. IT安全控制、IT过程管理和IT控制和度量评价 B. IT过程管理、IT安全控制和IT控制和度量评价 C. IT控制和度量评价、IT安全控制和IT安全控制 D. IT过程管理、IT控制和度量评价、IT安全控制 答案:A。 11. 下列哪项ISO 27000系列是关于ISMS要求的? A. ISO 27001 B. ISO 27002 C. ISO 27003 D. ISO 27004 答案:A。 12. 以下关于风险管理的描述不正确的是? A. 风险的四种控制方法有:减低风险/转嫁风险/规避风险/接受风险 B. 信息安全风险管理是否成功在于发现是否切实被消除了 C. 组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全 D. 信息安全风险管理是基于可接受的成本,对影响信息系统的安全风险进行识别多少或消除的过程 答案:B。 13. 风险管理的重点: A. 将风险降低到可以接受的程度 B. 不计代价的降低风险 C. 将风险转移给第三方 D. 惩罚违反安全策略规定的雇员 答案:A。 14. 管理者何时可以根据风险分析结果对已识别风险不采取措施。 A. 当必须的安全对策的成本高出实际风险的可能造成的谴责负面影响时 B. 当风险减轻方法提高业务生产力时 C. 当引起风险发生的情况不在部门控制范围之内时 D. 不可接受 答案:A。 15. 在风险评估中进行定量的后果分析时,如果采用年度风险损失值的方法进行计算,应当使用一下哪个公式? A. SLE(单次损失预期值)*ARO(年度发生率) B. ARO(年度发生率)*EF(暴露因子) C. SLE(单次损失预期值)*EF(暴露因子)*ARO(年度发生率) D. SLE(单次损失预期值)*ARO(年度发生率)-EF(暴露因子) 答案:A。 16. 变更控制是信息系统运行管理的重要的内容,在变更控制的过程中: A. 应该尽量追求效率,而没有任何的程序和核查的阻碍。 B. 应该将重点放在风险发生后的纠正措施上。 C. 应该很好的定义和实施风险规避的措施。 D. 如果是公司领导要求的,对变更过程不需要追踪和审查。 答案:C。 17. 信息安全策略是管理层对信息安全工作意图和方向的正式表述,以下哪一项不是信息安全策略文档中必须包含的内容? A. 说明信息安全对组织的重要程度 B. 介绍需要符合的法律法规要求 C. 信息安全技术产品的选型范围 D. 信息安全管理责任的定义 答案:C。 18. 关于风险值的含义正确的是: A. 根据安全事件发生的可能性,计算对组织的影响 B. 根据安全时间出现后的损失,计算对组织的影响 C. 根据安全事件发生的可能性以及安全事件出现后的损失,计算对组织的影响 D. 根据安全事件发生的可能性和资产的价值,计算对组织的影响 答案:C。 19. 在风险评估的工作中,以下哪一选项不是其基本要素? A. 残余风险 B. 资产 C. 脆弱性 D. 威胁 答案:A。 20. 对“PDCA”循环不正确的描述是: A. “PDCA”的含义是P-计划,D-实施,C-检查,A-改进; B. “PDCA”循环又叫“戴明”环; C. “PDCA”循环是只能用于信息安全管理体系有效进行的工作程序; D. “PDCA”循环是可用于任何一项活动有效进行的工作程序; 答案:C。 21. 2008年某单位对信息系统进行了全面的风险评估,并投入充分的资源进行了有效的风险处置,但是2010年仍然发生了一起影响恶劣的信息安全事件,这主要是由于: A. 信息安全是系统的安全 B. 信息安全是无边界的安全 C. 信息安全是动态的安全 D. 信息安全是非传统的安全 答案:C。 22. 我国信息安全标准化技术委员会(TC260)目前下属6个工作组,其中负责信息安全管理的小组是: A. WG1 B. WG7 C. WG3 D. WG5 答案:B。 23. 衡量残余安全风险应当考虑的因素为: A. 威胁、风险、资产价值 B. 威胁、资产价值、脆弱性 C. 单次损失、年度发生率 D. 威胁、脆弱性、资产价值、控制措施效果 答案:D。 24. 《信息安全技术 信息安全风险评估规范 GB/T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是: A. 规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等 B. 设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求 C. 实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证 D. 运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面 答案:B。 25. 下列对风险分析方法的描述正确的是: A. 定量分析比定性分析方法使用的表格更多 B. 定性分析的主观和经验判断因素较定量评估多 C. 同一组织只用使用一种方法进行评估 D. 符合组织要求的风险评估方法就是最优方法 答案:B。 26. 风险管理四个步骤的正确顺序是: A. 背景建立、风险评估、风险处理、批准监督 B. 背景建立、风险评估、审核批准、风险控制 C. 风险评估、对象确立、审核批准、风险控制 D. 风险评估、风险控制、对象确立、审核批准 答案:A。 27. 某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任? A. 部门经理 B. 高级管理层 C. 信息资产所有者 D. 最终用户 答案:C。 28. 下面对ISO27001的说法最准确的是: A. 该标准的题目是信息安全管理体系实施指南 B. 该标准为度量信息安全管理体系的开发和实施过程提供的一套标准 C. 该标准提供了一组信息安全管理相关的控制措施和最佳实践 D. 该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型 答案:D。 29. 进行信息安全管理体系的建设是一个涉及企业文化、信息系统特点、法律法 规限制等多方面因素的复杂过程,人们在这样的过程中总结了许多经验,下列哪一项是最不值得赞同的? A. 成功的信息安全管理体系建设必须得到组织的高级管理层的直接支持 B. 制定的信息安全管理措施应当与组织的文化环境相匹配 C. 应该对ISO27002等国际标准批判地参考,不能完全照搬 D. 借助有经验的大型国际咨询公司,往往可以提高管理体系的执行效果 答案:D。 30. 下列对“信息安全风险”的描述正确的是: A. 是来自外部的威胁利用了系统自身存在的脆弱性作用于资产形成风险 B. 是系统自身存在的威胁利用了来自外部的脆弱性作用于资产形成风险 C. 是来自外部的威胁利用了系统自身存在的脆弱性作用于网络形成风险 D. 是系统自身存在的威胁利用了来自外部的脆弱性作用于网络形成风险 答案:A。 31. 对信息安全风险评估工作成果理解正确的是: A. 信息安全风险评估工作的最重要成果是按高中低级排列的风险列表。 B. 通过信息安全风险评估工作,不仅能够明确系统安全风险,还能够获得如何控制风险的详细建议。 C. 信息安全风险评估工作最终成果是信息系统安全问题(脆弱点)列表。 D. 信息安全风险评估工作最终成果是信息系统安全威胁列表。 答案:A。 32. 资产管理是信息安全管理的重要内容,而清楚的识别信息系统相关的资产,并编制资产清单是资产管理的重要步骤,下面关于资产清单的说法错误的是: A. 资产清单的编制是风险管理的一个重要的先决条件 B. 信息安全管理中所涉及的资产是指信息资产,即业务数据、合同协议、培训材料等 C. 在制定资产清单的时候应根据资产的重要性、业务价值和安全分类,确定与资产重要性相对应的保护级别 D. 资产清单中应当包括将资产从灾难中恢复而需要的信息,如资产类型、格式、位置、备份信息、许可信息等 答案:D。 33. 组织在实施与维护信息安全的流程中,下列哪一项不属于高级管理层的职责? A. 明确的支持 B. 执行风险分析 C. 定义目标和范围 D. 职责定义与授权 答案:B。 34. 风险分析的目标是达到: A. 风险影响和保护性措施之间的价值平衡 B. 风险影响和保护性措施之间的操作平衡 C. 风险影响和保护性措施之间的技术平衡 D. 风险影响和保护性措施之间的逻辑平衡 答案:A。 35. 风险评估按照评估者的不同可以分为自评和第三方评估。这两种评估方式最本质的差别是什么? A. 评估结果的客观性 B. 评估工具的专业程度 C. 评估人员的技术能力 D. 评估报告的形式 答案:A。 36. 对于信息系统风险管理描述不正确的是: A. 漏洞扫描是整个安全评估阶段重要的数据来源而非全部 B. 风险管理是动态发展的,而非停滞、静态的 C. 风险评估的结果以及决策方案必须能够相互比较才可以具有较好的参考意义 D. 风险评估最重要的因素是技术测试工具 答案:D。 37. 下列哪一项准确地描述了脆弱性、威胁、暴露和风险之间的关系? A. 脆弱性增加了威胁,威胁利用了风险并导致了暴露 B. 风险引起了脆弱性并导致了暴露,暴露又引起了威胁 C. 风险允许威胁利用脆弱性,并导致了暴露 D. 威胁利用脆弱性并产生影响的可能性称为风险,暴露是威胁已造成损害的实例 答案:D。 38. 以下哪一项不是信息安全管理工作必须遵循的原则? A. 风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中 B. 风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作 C. 由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低 D. 在系统正式运行后,应注重残余风险的管理,以提高快速反应能力 答案:C。 39. 风险评估方法的选定在PDCA循环中的那个阶段完成? A. 实施和运行 B. 保持和改进 C. 建立 D. 监视和评审 答案:C。 40. 下面关于ISO27002的说法错误的是? A. ISO27002的前身是ISO17799-1 B. ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用,但不是全部 C. ISO27002对于每个措施的表述分”控制措施”、“实施指南”、和“其它信息”三个部分来进行描述 D. ISO27002提出了十一大类的安全管理措施,其中风险评估和处置是处于核心地位的一类安全措施 答案:D。 41. 下述选项中对于“风险管理”的描述正确的是: A. 安全必须是完美无缺、面面俱到的 B. 最完备的信息安全策略就是最优的风险管理对策 C. 在解决、预防信息安全问题时,要从经济、技术、管理的可行性和有效性上做出权衡和取舍 D. 防范不足就会造成损失;防范过多就可以避免损失 答案:C。 42. 风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定 四个主要过程,关于这些过程,以下的说法哪一个是正确的? A. 风险分析准备的内容是识别风险的影响和可能性 B. 风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度 C. 风险分析的内容是识别风险的影响和可能性 D. 风险结果判定的内容是发现系统存在的威胁、脆弱和控制措施 答案:C。 43. 以下对PPDR模型的解释错误的是: A. 该模型提出以安全策略为核心,防护、检测和恢复组成一个完整的; B. 该模型的一个重要贡献是加进了时间因素,而且对如何实现系统安全状态给出了操作的描述 C. 该模型提出的公式1:Pt>Dt+Rt,代表防护时间大于检测时间加响应时间 D. 该模型提出的公式2:Et=Dt+Rt,代表防护时间为0时,系统检测时间等于检测时间加响应时间 答案:D。 44. 在风险分析中,下列不属于软件资产的是: A. 计算机操作系统 B. 网络操作系统 C. 应用软件源代码 D. 外来恶意代码 答案:D。 45. 通常情况下,怎样计算风险? A. 将威胁可能性等级乘以威胁影响就得出了风险。 B. 将威胁可能性等级加上威胁影响就得出了风险。 C. 用威胁影响除以威胁的发生概率就得出了风险。 D. 用威胁概率作为指数对威胁影响进行乘方运算就得出了风险。 答案:A。 46. 在风险分析中,以下哪种说法是正确的? A. 定量影响分析的主要优点是它对风险进行排序并对那些需要立即改善的环节进行标识。 B. 定性影响分析可以很容易地对控制进行成本收益分析。 C. 定量影响分析不能用在对控制进行的成本收益分析中。 D. 定量影响分析的主要优点是它对影响大小给出了一个度量。 答案:D。 47. ISMS指的是什么? A. 信息安全管理 B. 信息系统管理体系 C. 信息系统管理安全 D. 信息安全管理体系 答案:D。 48. 在确定威胁的可能性时,可以不考虑以下哪个? A. 威胁源 B. 潜在弱点 C. 现有控制措施 D. 攻击所产生的负面影响 49. ISO/IEC 17799源于以下哪个标准? A. BS7799-1 B. BS7799-2 C. BS7799-3 D. GB 7799 答案:A。 50. 风险分析的目的是? A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡; B. 在实施保护所需的成本与风险可能造成的影响之间进行运作平衡; C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡; D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡; 答案:C。 51. 如果将风险管理分为风险评估和风险减缓,那么以下哪个不属于风险减缓的内容? A. 计算风险 B. 选择合适的安全措施 C. 实现安全措施 D. 接受残余风险 答案:A。 52. ISMS文档体系中第一层文件是? A. 信息安全方针政策 B. 信息安全工作程序 C. 信息安全作业指导书 D. 信息安全工作记录 答案:A。 53. 信息安全管理最关注的是? A. 外部恶意攻击 B. 病毒对PC的影响 C. 内部恶意攻击 D. 病毒对网络的影响 答案:C。 54. 从风险管理的角度,以下哪种方法不可取? A. 接受风险 B. 分散风险 C. 转移风险 D. 拖延风险 答案:D。 55. 在信息系统安全中,风险由以下哪两种因素共同构成的? A. 攻击和脆弱性 B. 威胁和攻击 C. 威胁和脆弱性 D. 威胁和破坏 答案:C。 56. 在信息系统安全中,暴露由以下哪两种因素共同构成的? A. 攻击和脆弱性 B. 威胁和攻击 C. 威胁和脆弱性 D. 威胁和破坏 答案:A。 57. 以下哪一项是已经被确认了的具有一定合理性的风险? A. 总风险 B. 最小化风险 C. 可接受风险 D. 残余风险 答案:C。 58. 以下哪一项对安全风险的描述是准确的 A. 安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性。 B. 安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实。 C. 安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性 D. 安全风险是指资产的脆弱性被威胁利用的情形。 答案:C。 59. 从风险的观点来看,一个具有任务紧急性,核心功能性的计算机应用程序系统的开发和维护项目应该: A. 内部实现 B. 外部采购实现 C. 合作实现 D. 多来源合作实现 答案:A。 60. 在信息安全策略体系中,下面哪一项属于计算机或信息安全的强制性规则? A. 标准(Standard) B. 安全策略(Security policy) C. 方针(Guideline) D. 流程(Procedure) 答案:A。 61. 下列哪一个说法是正确的? A. 风险越大,越不需要保护 B. 风险越小,越需要保护 C. 风险越大,越需要保护 D. 越是中等风险,越需要保护 答案:C。 62. 从风险分析的观点来看,计算机系统的最主要弱点是: A. 内部计算机处理 B. 系统输入输出 C. 通讯和网络 D. 外部计算机处理 答案:B。 63. 下面哪一种风险对电子商务系统来说是特殊的? A. 服务中断 B. 应用程序系统欺骗 C. 未授权的信息泄漏 D. 确认信息发送错误 答案:D。 64. 在执行风险分析的时候,预期年度损失(ALE)的计算是: A. 全部损失乘以发生频率 B. 全部损失费用+实际替代费用 C. 单次预期损失乘以发生频率 D. 资产价值乘以发生频率 答案:C。 65、哪个信息安全评估标准给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性6个方面含义,并提出了以风险为核心的安全模型? A、ISO13335标准 B、BS7799标准 C、AS/NZS 4360:1999标准 D、OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation) 参考答案:A 66、信息系统测评的基础是什么? A、数据采集和分析 B、量化评估 C、安全检测 D、安全评估分析 参考答案:A 2013年01月(CISE)真题: 1、我国信息安全标准化技术委员会(TC260)目前下属6个工作组,其中负责信息安全管理的小组是: A. WG 1 B. WG 7 C. WG 3 D. WG 5 参考答案:B 2、下列信息安全相应的标准中是信息安全管理体系标准而不是主要用于对信息系统本身进行安全评价的标准。 A.TCSEC(橘皮书) B.信息技术安全评估准则ITSEC C.信息技术安全评估通用标准CC D.ISO/IEC27000 参考答案:D 3、是目前国际通行的信息技术产品安全性评估标准 A.TCSEC B.ITSEC C.CC D.IATF 参考答案:C 4、下列哪项不是《信息安全等级保护管理办法》(公通字[2007]43号)规定的内容? A. 国家信息安全等级保护坚持自主定级、自主保护的原则 B. 国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查 C. 跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级 D. 涉及国家秘密的信息系统不进行分等级保护 参考答案:D 5、下面有关我信息安全管理体质的说法错误的是 A. 目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面 B. 我国的信息安全保障工作综合利用法律、管理和技术的手段 C. 我国的信息安全管理应坚持及时检测、快速响应、综合治理的方针 D. 我国对于信息安全责任的原则是谁主管、谁负责;谁经营、谁负责 参考答案:C 6、以下哪一项不是我国与信息安全有关的国家法律? A. 《信息安全等级保护管理办法》 B. 《中华人民共和国保守国家秘密法》 C. 《中华人民共和国刑法》 D. 《中华人民共和国国家安全法》 参考答案:A 7、目前我国形成了相关部门各司其职、相互配合,综合利用法律、管理和技术手段,共同维护国家信息安全的一个多方“齐抓共管”的信息安全管理体系。“相关部门”不包括: A. 工业和信息化部 B. 新闻办 C. 国家保密局 D. 安监局 参考答案:D 8、下面对PDCA模型的解释不正确的是: A.通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动 B.是一种可以应用于信息安全管理活动持续改进的有效实践方法 C.也被称为“戴明环” D.适用于对组织整体活动的优化,不适合单人的过程以及个人 参考答案:D 9、以下对PDCA循环特点描述不正确的是: A.按顺序进行,周而复始,不断循环 B.组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题 C.每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环 D.可以由任何一个阶段开始,周而复始,不断循环 参考答案:D 10、在PDCA模型中,ACT(处置)环节的信息安全管理活动是: A.建立环境 B.实施风险处理计划 C.持续的监视与评审风险 D.持续改进信息安全管理过程 参考答案:D 11、下述选项中对于“风险管理”的描述正确的是: A.安全必须是完美无缺、面面俱到的。 B.最完备的信息安全策略就是最优的风险管理对策。 C.在应对信息安全风险时,要从经济、技术、管理的可行性和有效性上做出权衡和取舍。 D.防范不足就会造成损失;防范过多就可以避免损失。 参考答案:C 12、在风险管理准备阶段“建立背景”(对象确立)过程中不应该做的是: A.分析系统的体系结构 B.分析系统的安全环境 C.制定风险管理计划 D.调查系统的技术特性 参考答案:C 13、风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程,关于这些过程,以下的说法哪一个是正确的? A.风险分析准备的内容是识别风险的影响和可能性 B.风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度 C.风险分析的内容是识别风险的影响和可能性 D.风险结果判定的内容是发现系统存在的威胁、脆弱性和控制措施 参考答案:C,P227,理解:b实际上是风险分析的工作,d实际上是风险识别,识别与进一步分析风险的影响以及程度是风险分析的工作。 14、应对信息安全风险的主要目标是什么? A.消除可能会影响公司的每一种威胁 B.管理风险,以使由风险产生的问题降至最低限度 C.尽量多实施安全措施以消除资产暴露在其下的每一种风险 D.尽量忽略风险,不使成本过高 参考答案:B 15、风险是需要保护的( )发生损失的可能性,它是( )和( )综合结果。 A.资产,攻击目标,威胁事件 B.设备,威胁,漏洞 C.资产,威胁,漏洞 D.以上都不对 参考答案:C 16、下列对风险分析方法的描述正确的是: A.定量分析比定性分析方法使用的工具更多 B.定性分析比定量分析方法使用的工具更多 C.同一组织只用使用一种方法进行评估 D.符合组织要求的风险评估方法就是最优方法 参考答案:D 17、下列哪种处置方法属于转移风险? A.部署综合安全审计系统 B.对网络行为进行实时监控 C.制订完善的制度体系 D.聘用第三方专业公司提供维护外包服务 参考答案:D 18、在对安全控制进行分析时,下面哪个描述是不准确的? A.对每一项安全控制都应该进行成本收益分析,以确定哪一项安全控制是必须的和有效的 B.应确保选择对业务效率影响最小的安全措施 C.选择好实施安全控制的时机和位置,提高安全控制的有效性 D.仔细评价引入的安全控制对正常业务带来的影响,采取适当措施,尽可能减少负面效应 参考答案:B 19、某公司正在进行安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任? A.部门经理 B.高级管理层 C.信息资产所有者 D.最终用户 参考答案:C 20、以下哪一项不是信息安全策略文档中必须包含的内容: A.说明信息安全对组织的重要程度 B.介绍需要符合的法律法规要求 C.信息安全技术产品的选型范围 D.信息安全管理责任的定义 参考答案:B 21、以下哪一项措施不是用来支持“最小权限”原则的? A.严格限制系统管理员的数量 B.管理员应使用普通用户身份进行常规操作,如阅读邮件 C.将系统用户的角色分为管理员、审计员和普通用户。 D.只允许系统软件和应用系统需要使用的数据通过防火墙 参考答案:D 22、当员工或外单位的工作人员离开组织或岗位变化时,必须进行以下的管理程序除了: A.明确此人不再具有以前的职责 B.确保归还应当归还的资产 C.确保属于以前职责的访问权限被撤销 D.安全管理员陪同此人离开工作场所 参考答案:D 23、在一个有充分控制的信息处理计算中心中,下面哪项任务可以由同一个人执行? A.安全管理和变更管理 B.计算机操作和系统开发 C.系统开发和变更管理 D.系统开发和系统维护 参考答案:B 考核:每题1分,共15分,低于13分者,请重新复习! 1.信息安全管理体系是基于()方法,来建立、实施、运作、监视、评审、保持和改进信息安全 A.信息安全 B.业务风险 C.信息系统防护 D.安全风险 参考答案:B, P207理解:信息安全保障的最终目标是业务的安全 2.下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的 A.设置网络连接时限 B.记录并分析系统错误日志 C.记录并分析用户和管理员操作日志 D.启用时钟同步 参考答案:A,P361 3.下列安全控制措施的分类中,哪个分类是正确的(P-预防性的,D-检测性的以及C-纠正性的控制) 1.网络防火墙 2.RAID级别3 3.银行账单的监督复审 4.分配计算机用户标识 5.交易日志 A.P,P,C,D,andC B.D,C,C,D,andD C.P,C,D,P,andC D.P,D,P,P,andC 参考答案:C,理解:1为预防性措施;2raid3可以标识与恢复数 据,所以是c;银行账单的监督复审为检测性措施;4分配计算机用户标识属于事前为p;5交易日志提供时候审查为c 4.风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程,关于这些过程,以下的说法哪一个是正确的? A.风险分析准备的内容是识别风险的影响和可能性 B.风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度 C.风险分析的内容是识别风险的影响和可能性 D.风险结果判定的内容是发现系统存在的威胁、脆弱性和控制措施 参考答案:C,P227,理解:b实际上是风险分析的工作,d实际上是风险识别,识别与进一步分析风险的影响以及程度是风险分析的工作。 5.以下哪项不是风险评估阶段应该做的? A对ISMS范围内的信息资产进行鉴别和估价. B.对信息资产面对的各种威胁和脆弱性进行评估 C.对已存在的或规划的安全控制措施进行界定 D.根据评估结果实施相应的安全控制措施 参考答案:D,P228 图6-9,风险评估只是识别、分析与评价,不涉及具体安全保护与控制实施。问:安全控制措施应该在风险管理的哪个阶段做? 5.在风险处置过程中,应当考虑的风险处置措施,通常在哪种情况下采用? A.负面影响损失小于安全投入 B.负面影响损失和安全投入持平 C.负面影响损失和安全投入都很小 D.安全投入小于负面影响损失 参考答案:D,理解:要充分考虑防护与成本的均衡问题,参见风险管理ppt。 7.以下哪一项不是信息安全管理工作必须遵循的原则? A.风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中 B.风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作 C.由于在系统投入使用后部署和应用风险控制措施针对性非更强,实施成本会相对较低 D.在系统正式运行后,应注意残余风险的管理,以提高快速反应能力 参考答案:C,理解:风险管理应该是越早介入越好 8.对信息安全风险评估要素理解正确的是: A.资产识别的粒度随着评估范围,评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构 B.应针对构成信息系统的每个资产做风险评估 C.脆弱性识别时将信息系统安全现状与国家或行业的安全要求做符合性对比而找出的差距项 D.信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁 参考答案:A 9.以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容 A.出入的原因 B.出入的时间 C.出入口的位置 D.是否成功进入 参考答案:A 10.信息安全策略是管理层对信息安全工作意图和方向的正式表述,以下哪一项不知信息安全策略文档中必须包含的内容 A.说明信息安全对组织的重要程度 B.介绍需要符合的法律法规要求 C.信息安全技术产品的选型范围 D.信息安全管理责任的定义 参考答案:C 11.作为信息中心的主任,你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任,这种情况造成了一定的安全风险,这是你应该怎么做? A.抱怨且无能为力 B.向上级报告该情况,等待增援人手 C.通过部署审计措施和定期审查来降低风险 D.由于增加人力会造成新的人力成本,所以接受该风险 参考答案:C,理解:人力资源不够,但dba与网络管理员的岗位不能空缺,所以此时无法用规避与转移的方式来处理风险,只能考虑采用降低的方式。 12.以下人员中,谁有决定信息分类级别的责任? A.用户 B.数据所有者 C.审计员 D.安全官 参考答案:B 13.ISMS所要求的文件应予以保护和控制,应编制形成文件控制程序,下列哪项不是该程序所规定的管理措施? A.确保文件的更改和现行修改状态得到标识 B.防止作废文件的非预期使用 C.确保文件可以为需要者所获得,但防止需要者对文件转移、储存和销毁 D.确保在使用处可获得适用文件的最新版本 参考答案:D 14.下列哪些内容应包含在信息系统战略计划中? A.已规划的硬件采购的规范 B.将来业务目标的分析 C.开发项目的目标日期 D.信息系统不同的年度预算目标 参考答案:B 15.ISO27002中描述的11个信息安全管理控制领域不包括 A.信息安全组织 B.资产管理 C.内容安全 D.人力资源安全 参考答案:C
内容预览 [文件共29页]
本文件共29页, 如需编辑使用,请下载
注:预览效果可能会出现部分文字乱码(如口口口)、内容显示不全等问题,下载是正常的。
文件大小:412.94 KB 共29页      文件格式:PDF
下载点数:1 点(VIP会员免费)
收藏本页到会员中心
网友评论 more
创想安科网站简介会员服务广告服务业务合作提交需求会员中心在线投稿版权声明友情链接联系我们