管理基础练习题


第1题(单选题)

<p>在SSE-CMM中对工程过程能力的评价分为三个层次,由宏观到微观依次是:</p>

A:能力级别-公共特征(CF)-通用实践(GP)

B:能力级别-通用实践-(GP)-公共特征(CF)

C:通用实践-(GP)-能力级别-公共特征(CF)

D:公共特征(CF)-能力级别-通用实践-(CP)

第2题(单选题)

<p>根据SSE-CMM,安全工程过程能力由低到高划分为:</p>

A:未实施、基本实施、计划跟踪、充分定义、量化控制和持续改进等6个级别

B:基本实施、计划跟踪、充分定义、量化控制和持续改进等5个级别

C:基本实施、计划跟踪、量化控制、充分定义和持续改进等5个级别

D:未实施、基本实施、计划跟踪、充分定义4个级别

第3题(单选题)

<p>下列哪项不是SSE-CMM模型中工程过程的过程区域?</p>

A:明确安全需求

B:评估影响

C:提供安全输入

D:协调安全

第4题(单选题)

<p>系统安全工程不包含以下哪个过程类:</p>

A:工程过程类

B:组织过程类

C:管理过程类

D:项目过程类

第5题(单选题)

ISSE(信息系统安全工程)是美国发布的IATF3.0版本中提出的设计和实施信息系统________。

A:安全工程方法

B:安全工程框架

C:安全工程体系结构

D:安全工程标准

第6题(单选题)

不同信息安全发展阶段,信息安全具有不同的的特征,在信息安全保障阶段信息安全的基本特征不包括:

A:具有高度复杂性和不能控制的特点

B:具有保护对象全生命周期安全要求的特征

C:具有多层次和多角度的体系化防御要求的特征

D:具有动态发展变化的特征

第7题(单选题)

信息安全工作具有投资收益的要求,以下关于信息安全与业务发展的关系说法最准确的是:

A:信息安全的投入很容易测算其产生收益的

B:信息安全为业务发展提供基础安全保障

C:信息安全与网络信息系统有着密切联系

D:信息安全的投入是不能测算其产生收益的

第8题(单选题)

PDR模型和P2DR模型采用了动态循环的机制实现系统保护、检测和响应。这种模型的特点理解错误的是:

A:模型已入了动态时间基线,符合信息安全发展理念

B:模型强调持续的保护和响应,符合相对安全理念

C:模型是基于人为的管理和控制而运行的

D:模型引入了多层防御机制,符合安全的“木桶原理”

第9题(单选题)

从风险的观点来看,一个具有任务紧急性,核心功能性的计算机应用程序系统的开发和维护项目应该:

A:内部实现

B:外部采购实现

C:合作实现

D:多来源合作实现

第10题(单选题)

在许多组织机构中,产生总体安全性问题的主要原因是:

A:缺少安全性管理

B:缺少故障管理

C:缺少风险分析

D:缺少技术控制机制

第11题(单选题)

如果将风险管理分为风险评估和风险减缓,那么以下哪个不属于风险减缓的内容?

A:计算风险

B:选择控制措施

C:实现安全措施

D:接受残余风险

第12题(单选题)

<p>计算机取证的工作顺序是:</p>

A:1准备2提取3保护4分析5提交

B:1准备2保护3提取4分析5提交

C:1准备2保护3提取4提交5分析

D:1准备2提取3保护4提交5分析

第13题(单选题)

<p>灾难恢复策略中的内容来自于:</p>

A:灾难恢复需求分析

B:风险分析

C:业务影响分析

D:国家标准和上级部门的明确规定

第14题(单选题)

以下对异地备份中心的理解最准确的是:

A:与生产中心不在同一城市

B:与生产中心距离100公里以上

C:与生产中心距离200公里以上

D:与生产中心面临相同区域性风险的机率很小

第15题(单选题)

关于监理过程中成本控制,下列说法中正确的是?

A:成本只要不超过预计的收益即可

B:成本应控制得越低越好

C:成本控制由承建单位实现,监理单位只能记录实际开销

D:成本控制的主要目的是在批准的预算条件下确保项目保质按期完成

第16题(单选题)

下面的角色对应的信息安全职责不合理的是:

A:高级管理层——最终责任

B:信息安全部门主管——提供各种信息安全工作必须的资源

C:系统的普通使用者——遵守日常操作规范

D:审计人员——检查安全策略是否被遵从

第17题(单选题)

某机构在风险管理过程中,“批准”通常由谁来执行?

A:第三方的风险评估机构

B:信息安全主管

C:机构决策层

D:以上都不是

第18题(单选题)

<p>&ldquo;在没有足够安全保障的信息系统中,不处理特别敏感的信息&rdquo;,属于什么风险处置策略?</p>

A:规避风险

B:转移风险

C:接受风险

D:减低风险

第19题(单选题)

当开发一个业务连续性计划时,应该用下列哪种工具来获得对组织业务流程的理解?

A: 业务连续性自我审计

B: 资源恢复分析

C: 差距分析

D: 风险评估

第20题(单选题)

<p>在风险评估中进行定量的后果分析时,如果采用年度风险损失值(ALE,annualized loss expectancy)的方法进行计算,应当使用以下哪个公式?</p>

A:SLE(单次损失预期值)×ARO(年度发生率)

B:ARO(年度发生率)×EF(暴露因子)

C:SLE(单次损失预期值)×EF(暴露因子)×ARO(年度发生率)

D:ARO(年度发生率)×SLE(单次损失预期值)-EF(暴露因子)

第21题(单选题)

以下哪一项不属于常见的风险评估与管理工具:

A:基于信息安全标准的风险评估与管理工具

B:基于知识的风险评估与管理工具

C:基于模型的风险评估与管理工具

D:基于经验的风险评估与管理工具

第22题(单选题)

IS审计师发现被审计的企业,各部门均制订了充分的业务连续性计划(BCP),但是没有整个企业的BCP。那么,IS审计师应该采取的最佳行动是:

A:各业务部门都有适当的BCP就够了,无需其他

B:建议增加、制订全企业的、综合的BCP

C:确定各部门的BCP是否一致,没有冲突

D:建议合并所有BCP为一个单独的全企业的BCP

第23题(单选题)

国家科学技术秘密的密级分为绝密级、机密级、秘密级,以下哪项属于绝密级的描述?

A:处于国际先进水平,并且有军事用途或者对经济建设具有重要影响的

B:能够局部反应国家防御和治安实力的

C:我国独有、不受自然条件因素制约、能体现民族特色的精华,并且社会效益或者经济效益显著的传统工艺

D:国际领先,并且对国防建设或者经济建设具有特别重大影响的

第24题(单选题)

关于我国加强信息安全保障工作的总体要求,以下说法错误的是:

A:坚持积极防御.综合防范的方针

B:重点保障基础信息网络和重要信息系统安全

C:创建安全健康的网络环境

D:提高个人隐私保护意识

第25题(单选题)

某银行信息系统为了满足业务发展的需要准备进行升级改造,以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素?

A:信息系统安全必须遵循的相关法律法规,国家以及金融行业安全标准

B:信息系统所承载该银行业务正常运行的安全需求

C:消除或降低该银行信息系统面临的所有安全风险

D:该银行整体安全策略

第26题(单选题)

小张在某单位是负责信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候,小张主要负责讲解风险评估工作形式,小张认为:1.风险评估工作形式包括:自评估和检查评估;2.自评估是指信息系统拥有.运营或使用单位发起的对本单位信息系统进行风险评估;3.检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估;4.对信息系统的风险评估方式只能是&ldquo;自评估&rdquo;和&ldquo;检查评估&rdquo;中的一个,非此即彼,请问小张的所述论点中错误的是哪项:

A:第一个观点

B:第二个观点

C:第三个观点

D:第四个观点

第27题(单选题)

风险评估工具的使用在一定程度上解决了手动评估的局限性,最主要的是它能够将专家知识进行集中,使专家的经验知识被广泛使用,根据在风险评估过程中的主要任务和作用原理,风险评估工具可以为以下几类,其中错误的是:

A:风险评估与管理工具

B:系统基础平台风险评估工具

C:风险评估辅助工具

D:环境风险评估工具

第28题(单选题)

为了解风险和控制风险,应当及时进行风险评估活动,我国有关文件指出:风险评估的工作形式可分为自评估和检查评估两种,关于自评估,下面选项中描述错误的是( )。

A:自评估是由信息系统拥有.运营或使用单位发起的对本单位信息系统进行的风险评估

B:自评估应参照相应标准.依据制定的评估方案和评估准则,结合系统特定的安全要求实施

C:自评估应当是由发起单位自行组织力量完成,而不应委托社会风险评估服务机构来实施

D:周期性的自评估可以在评估流程上适当简化,如重点针对上次评估后系统变化部分进行

第29题(单选题)

<p>如果已决定买进软件而不是内部自行开发,那么这一决定通常发生于:</p>

A:项目需求定义阶段

B:项目可行性研究阶段

C:项目详细设计阶段

D:项目编程阶段

第30题(单选题)

某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后,认识到信息安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导,其中描述错误的是( )。

A:检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估

B:检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测

C:检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施

D:检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点

第31题(单选题)

下列安全控制措施的分类中,哪个分类是正确的(P-预防性的,D-检测性的以及C-纠正性的控制):1.网络防火墙2.RAID级别33.银行账单的监督复审4.分配计算机用户标识5.交易日志

A:P,P,C,D,and C

B:D,C,C,D,and D

C:P,C,D,P,and D

D:P,D,P,P,and C

第32题(单选题)

下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的:

A:设置网络连接时限

B:记录并分析系统错误日志

C:记录并分析用户和管理员操作日志

D:启用时钟同步

第33题(单选题)

<p>以下关于ISO/IEC27001标准说法不正确的是:</p>

A:本标准可被内部和外部相关方用于一致性评估,审核的重点就是组织信息安全的现状,对布属的信息安全控制是好的还是坏的做出评判

B:本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS

C:目前国际标准化组织推出的四个管理体系标准:质量管理体系,职业健康安全管理体系、环境管理体系、信息安全管理体系,都采用了相同的方法,即PDCA模型

D:本标准注重监视和评审,因为监视和评审是持续改进的基础,如果缺乏对执行情况和有效性的测量,改进就成了“无的放矢”

第34题(单选题)

依据国家标准《信息安全技术信息系统灾难恢复规范》(GB/T20988),需要备用场地但不要求部署备用数据处理设备的是灾难恢复等级的第几级?

A:2

B:3

C:4

D:5

第35题(单选题)

依据国家标准《信息安全技术信息系统灾难恢复范围》(GB/T20988),灾难恢复管理过程的主要步骤是灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预案制定和管理;其中灾难恢复策略实现不包括以下哪一项?

A:分析业务功能

B:选择和建设灾难备份中心

C:实现灾备系统技术方案

D:实现灾备系统技术支持和维护能力

第36题(单选题)

下列关于ISO15408信息技术安全评估准则(简称CC)通用性的特点,即给出通过的表达方式,描述不正确的是_______。

A:如果用户、开发者、评估者和认可者都使用CC语言,互相就容易理解沟通。

B:通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义

C:通用性的特点是在经济全球化发展、全球信息化发展的趋势下,进行合格评定和评估结果国际互认的需要

D:通用性的特点使得CC也适用于对信息安全建设工程实施的成熟度进行评估

第37题(单选题)

TCSEC(橘皮书)中划分的7个安全等级中,_______是安全程度最高的安全等级

A:A1

B:A2

C:C1

D:C2

第38题(单选题)

以下工作哪个不是计算机取证准备阶段的工作

A:获得授权

B:准备工具

C:介质准备

D:保护数据

第39题(单选题)

对涉密系统进行安全保密测评应当依据以下哪个标准?

A:BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》

B:BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》

C:GB17859-1999《计算机信息系统安全保护等级划分准则》

D:GB/T20271-2006《信息安全技术信息系统统用安全技术要求》

第40题(单选题)

我国信息安全标准化技术委员会(TC260)目前下属6个工作组,其中负责信息安全管理的小组是:

A:WG1

B:WG7

C:WG3

D:WG5

第41题(单选题)

<p>下面对于保护轮廓(PP)的说法最准确的是:</p>

A:对系统防护强度的描述

B:对评估对象系统进行规范化的描述

C:对一类TOE的安全需求,进行与技术实现无关的描述

D:由一系列保证组件构成的包,可以代表预先定义的保证尺度

第42题(单选题)

在桔皮书(the Orange Book)中,下面级别中哪一项是第一个要求使用安全标签(security label)的?

A:B3

B:B2

C:C2

D:D

第43题(单选题)

信息技术安全评估通用标准(CC)中的评估保证级(EAL)分为多少级?

A:6 级

B:7 级

C:5 级

D:4 级

第44题(单选题)

下列关于ISO15408《信息技术安全评估准则》简称CC标准,关于CC模型中保护轮廓含义本身解释正确的是:

A:它是基于一类TOE的应用环境规定的一组安全要求,并提出相应级别的保证要求

B:它是基于一个或多个PP选择性的提出的一组安全要求

C:它会包含PP要求或非PP要求的内容,形成一组要求

D:它提出了安全要求实现的功能和质量两个层面

第45题(单选题)

关于《商用密码管理条例》,正确的是?

A:商用密码技术属于国家机密

B:商用密码可以对涉及国家秘密内容的信息进行加密保护。

C:国家对商用密码产品的科研.生产.销售和使用实行认证管理

D:国内用户可以使用自行研制的或者境外生产的密码产品

第46题(单选题)

以下哪个不是PDCA循环的特点?

A:按顺序进行

B:可从任意一个阶段开始循环

C:每个步骤可单独成PDCA循环

D:一次循环结束即进入第二次循环

第47题(单选题)

“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:

A:“普密”,“商密”两个级别

B:“低级”和“高级”两个级别

C:“绝密”,“机密”,“秘密”三个级别

D:“一密”,“二密”,“三密”,“四密”四个级别

第48题(单选题)

《信息安全技术 信息安全风险评估规范GB/T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是:

A:规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等。

B:设计阶段的风险评估需要根据规划阶段所明确的系统运行环境.资产重要性,提出安全功能需求。

C:实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发.实施过程进行风险识别,并对系统建成后的安全功能进行验证。

D:运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估,评估内容包括对真实运行的信息系统、资产、脆弱性等各方面。

第49题(单选题)

信息技术安全评估通用标准(cc)标准主要包括哪几个部分?

A:通用评估方法、安全功能要求、安全保证要求

B:简介和一般模型、安全功能要求、安全保证要求、PP和ST产生指南

C:简介和一般模型、安全功能要求、安全保证要求

D:简介和一般模型、安全要求、PP和ST产生指南

第50题(单选题)

根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定,以下正确的是:

A:涉密信息系统的风险评估应按照《信息安全等级保护管理办法》的国家有关保密规定和标准进行

B:非涉密信息系统的风险评估应按照《非涉及国家秘密的信息系统分级保护管理办法》等有关要求进行

C:可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告

D:此通知不要求将“信息安全风险评估”作为电子政务项目验收的重要内容

第51题(单选题)

风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?

A:只识别与业务及信息系统有关的信息资产,分类识别

B:所有公司资产都要识别

C:可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产

D:资产识别务必明确责任人、保管者和用户

第52题(单选题)

以下哪些不是可能存在的弱点问题?

A:保安工作不得力

B:应用系统存在Bug

C:内部人员故意泄密

D:物理隔离不足

第53题(单选题)

以下哪些是可能存在的威胁因素?

A:设备老化故障

B:病毒和蠕虫

C:系统设计缺陷

D:保安工作不得力

第54题(单选题)

构成网络安全风险的关键因素有哪些?

A:人,财,物

B:技术,管理和操作

C:资产,威胁和弱点

D:资产,可能性和严重性

第55题(单选题)

以下哪个不是信息安全项目的需求来源?

A:国家和地方政府法律法规与合同的要求

B:风险评估的结果

C:组织原则目标和业务需要

D:企业领导的个人意志

第56题(单选题)

<p>网络安全最终是一个折衷的方案,即安全强度和安全操作代价的折衷,除增加安全设施投资外,还应考虑( )?</p>

A:用户的方便性

B:管理的复杂性

C:对现有系统的影响及对不同平台的支持

D:上面3项都是

第57题(单选题)

默认的访问控制安全级别应当是

A:全部可访问

B:执行访问控制权限

C:读取访问控制权限

D:无访问控制权限

第58题(单选题)

以下不是接入控制的功能的是

A:阻止非法用户进入系统

B:组织非合法人浏览信息

C:允许合法用户人进入系统

D:使合法人按其权限进行各种信息活动

第59题(单选题)

单模光纤和多模光纤的区别是()

A:单模光纤的数据速率比多模光纤的速率低

B:多模光纤比单模光纤传输距离更远

C:单模光纤比多模光纤更便宜

D:多模光纤比单模光纤的纤芯直径粗

第60题(单选题)

在输入输出控制方法中,采用()可以使设备与主存间的数据块传输无需CUP干预

A:程序控制输入输出

B:中断

C:DMA

D:总线控制

第61题(单选题)

<p>在信息系统安全中,风险由以下哪两种因素共同构成的?</p>

A:攻击和脆弱性

B:威胁和攻击

C:威胁和脆弱性

D:威胁和破坏

第62题(单选题)

一般来说,如果用正确的观念去对待,整个事件应急处理过程中最重要的部分是()

A:系统损失检查

B:备份系统

C:紧急恢复系统

D:安全事件知识库更新

第63题(单选题)

事件响应方法学定义了安全事件处理的流程,这个流程的顺序是:( )

A:准备-抑制-检测-根除-恢复-跟进

B:准备-检测-抑制-恢复-根除-跟进

C:准备-检测-抑制-根除-恢复-跟进

D:准备-抑制-根除-检测-恢复-跟进

第64题(单选题)

对于重要的计算机系统,更换操作人员时,应当———系统的口令密码。

A:立即改变

B:一周内改变

C:一个月内改变

D:3天内改变

第65题(单选题)

不属于安全策略所涉及的方面是以下选项哪个。

A:物理安全策略

B:访问控制策略

C:信息加密策略

D:备份策略

第66题(单选题)

按TCSEC标准,WinNT的安全级别是以下选项哪个

A:B1

B:B2

C:C3

D:C2

第67题()

第68题(单选题)

将公司与外部供应商、客户及其他利益相关群体相连接的是()。

A:内联网VPN

B:外联网VPN

C:远程接入VPN

D:无线VPN

第69题(单选题)

关于信息安全防御体系的建设,下列说法不正确的是:

A:信息安全防御系统是个动态的系统,攻防技术都在不断发展,防御系统必须同时发展与更新

B:信息安全防护人员必须密切追踪最新出现的不安全因素和最新的安防理念,以便对现有的防御系统及时提出改进意见

C:信息安全工作是循序渐进、不断完善的过程

D:最终的目标是建立100%安全的网络

第70题(单选题)

可信计算机系统评估准则(TCSEC)将系统的安全等级划分为:

A:D,C1,C2,C3,B1,B2,A1

B:D,C1,C2,B1,B2,B3,A1

C:D1,D2,C1,C2,B1,B2,A1

D:D,C1,C2,B1,B2,A1,A2

第71题(单选题)

关于信息安全保障概念的论述,错误的是()

A:信息安全保障强调信息安全的保护能力,提出要重视提高系统的入侵检测能力、系统的事件反应能力,以及系统在遭到入侵后的快速恢复能力

B:信息安全保障不仅仅是将信息安全技术产品和设备堆叠到信息系统建设中,而是综合考虑技术、管理、工程和人员等各种要素,保障信息系统业务和使命安全

C:信息系统安全保障强调信息系统生命周期中的静态保护,相比较信息系统项目在运行维护阶段的保护措施,更重视在规划策划阶段的安全保护设计要求

D:信息安全保障将考虑更多的信息安全属性,在原来常见的保密性、完整性和可用性基础上增加了可认证性和不可否认性等更多方面

第72题(单选题)

美国国防部发布的《可信计算机系统评估准则》(Trusted Computer System eva luation Criterfa,TCSEC)是计算机系统安全的重要评估准则,它是()的重要标志。

A:信息安全保障阶段

B:信息系统安全阶段

C:计算机安全阶段

D:通信安全阶段

第73题(单选题)

随着时代的发展,信息安全问题变得日益严峻,而造成信息安全问题频发的因素有很多。一般来说,这些原因可以归纳为:

A:信息系统面临着病毒破坏,以及人为误操作或故意破坏行为这两个方面

B:信息系统面临着被黑客攻击,以及运行错误和环境因素导致的故障这两个方面

C:信息系统自身存在脆弱性的内部因素,以及信息系统面临着环境和人为导致的众多威胁的外部因素这两个方面

D:信息系统自身存在脆弱性的内部因素,信息系统面临着人为失误和故意破坏的中间因素,以及环境威胁的外部因素三个方面

第74题(单选题)

信息安全管理常用的戴明环境型(PDCA模型)中,不包含以下哪一项

A:实施

B:管理

C:计划

D:改进

第75题(单选题)

<p>《中华人民共和国保守国家秘密法》中将国家秘密按照密级分为()三级。</p>

A:商密、机密和绝密

B:无密、秘密、绝密

C:秘密、机密和绝密

D:无密、秘密和机密

第76题(单选题)

以下关于信息安全管理说法不正确的是()。

A:信息安全隐患和事件既有技术原因造成的?也有管理不当造成的

B:信息安全产品和技术要通过有效的管理才能发挥最佳作用

C:采用新技术多的系统与管理良好的系统要安全

D:信息安全建设既是个技术过程,也是个管理过程

第77题(单选题)

信息安全需求是进行信息安全建设方案撰写的基本依据,以下哪个选项是信息安全需求获取的主要手段之一()

A:进行信息安全风险评估

B:进行信息安全资产管理

C:建立信息安全管理体系

D:建立信息安全组织机构

第78题(单选题)

按照信息安全管理体系(ISNS)要求,为了更好地保障自身的安全,企业应当加强员工离职的管理,以下做法中正确的是()。

A:应当制定格式化的离职保密,要求所有员工离职时签署

B:应当制定离职保障金缴纳规定,要求所有员工离职时缴纳

C:应当制定工作内容交接规定,要求所有员工按照程序交接工作

D:应当制定离职资产交接规定,员工可以拷贝并保存社会中的工作信息

第79题(单选题)

我国的国家标准分为强制性国家标准、推荐性国家标准和国家标准化指导性技术文件三种类型,以下标准中属于国家标准的是()

A:《信息安全风险管理指南》(GB/Z 24364-2009)

B:《信息安全管理体系要求》(GB/T 22080-2008)

C:《信息安全管理体系要求》(ISO/IEC 27001 2005)

D:《信息技术设备安全第1部分:通用要求》(GB 4943.1-2011)

第80题(单选题)

<p>风险评估方法分为定量风险评估,定性风险评估以及半定量风险评估等类型,以下说法错的是()</p>

A:半定量风险评估方法,可以综合定性和定量风险评估的优点,根据实际情况进行高效实施

B:定性风险评估的特点在于无需精确量化资产价值大小和风险大小,相对来讲结果更具主观性,对评估者的能力经验要求较高。

C:定量风险评估的特点是用直观的数据来表述评估结果,能宣描述风险大小 ,具有评估快速,结果准确等优点

D:定性风险评估难以准确描述不同风险之间的严重性区别,可以使用定性描述,同时评估过程也可以获取和报告定量信息

第81题(单选题)

当一个组织在选择异地备份供应商时,对信息系统审计师来说,下列哪一种情况是最少考虑的?

A:供应商保密存储介质的责任

B:供应商的保险范围及对员工的担保

C:要求同一个人一直保管存储介质

D:请求和接收货物的程序和紧急情况下的处理方式

第82题(单选题)

实施安全计划作为安全管理框架的一部分,其主要优点是:

A: 校对有信息系统审计建议的IT活动

B: 实施首席信息安全官CISO得建议

C: 强制安全风险管理

D: 降低IT安全的成本

第83题(单选题)

有关信息安全标准,说法错误的是:

A:我国信息安全标准总体上分为基础标准、技术与机制标准、管理标准、测评标准、密码技术标准和保密技术标准六大类

B:《信息技术安全评估通用准则》(CC)是欧美各国通用的信息安全评估准则

C:我国的国家标准可分为强制性国家标准(GB)、推荐性国家标准(GB/T)和国家标准化指导性技术文件(GB/Z)三类

D:我国的标准按使用范围分为国家标准、行业标准和地方标准三类

第84题(单选题)

关于《中华人民共和国保守国家秘密法》,以下说法错误的是()

A:该法明确了泄密的法律责任认定,是我国第一部比较完备的保护国家秘密的法律

B:当单位或个人出现该法列举的12中违规行为之一、但是没有造成泄密后果时,单位或个人无需追究责任

C:国家秘密载体的制作、代发、传递、使用、复制、保存、维修和销毁,应当符合国家保密规定。

D:存储、处理国际秘密的计算机信息系统(简称涉密信息系统)按照涉密程度实行分级保护。

第85题(单选题)

备份大量重要数据时,下面选项中,备份速度最快的介质是()。

A:磁带机

B:1.44寸磁盘

C:DVD光盘

D:硬盘

第86题(单选题)

在一家小型的制造业企业中,某IT员工身兼生产和编程两项工作。对于给定情况,以下哪个选项是:降低风险的最佳控制措施?

A: 制定相关限令阻止该员工进入生产环境

B: 通过雇用额外的员工实现职责分离

C: 自动记录生产环境中的所有程序变更

D: 实施相关流程确保仅执行经过批准的程序变更

第87题(单选题)

对于一个独立的小型商业计算环境而言,下列哪一种安全控制措施是最有效的?

A:对计算机使用的监督

B:对故障日志的每日检查

C:计算机存储介质存话加锁的柜中

D:应用系统设计的独立性检查

第88题(单选题)

________是目前国际通行的信息技术产品安全性评估标准?

A:TCSEC

B:ITSEC

C:CC

D:IATF

第89题(单选题)

信息安全管理的根本方法是:

A:风险处置

B:应急响应

C:风险管理

D:风险评估

第90题(单选题)

以下对信息安全管理体系说法不正确的是:

A:基于国际标准ISO/IEC27000

B:它是综合信息安全管理和技术手段,保障组织信息安全的一种方法

C:它是管理体系家族的一个成员

D:基于国际标准ISO/IEC27001

第91题(单选题)

对于人员管理的描述错误是_________。

A:人员管理是安全管理的重要环节

B:安全授权不是人员管理的手段

C:安全教育是人员管理的有力手段

D:人员管理时,安全审查是必须的

第92题(单选题)

以下关于电子政务工程的说法错误的是

A:电子政务工程建设必须高度重视信息安全问题,并提供专项资金

B:风险评估结论是电子政务工程验收的重要依据

C:不仅要考虑信息安全建设的问题,还要保证信息安全设施的运行维护费用。

D:有关政策明确要求,必须在应用开发和网络建设结束后,尽快规划相应的信息安全防护措施。

第93题(单选题)

“确保信息没有非授权的泄露,不被非授权的个人、组织和计算机程序使用”,这段话指的是对信息安全的哪个基本属性进行解释()?

A:保密性

B:完整性

C:可用性

D:不可否认性

第94题(单选题)

信息安全管理中常用戴明环模型(PDCA模型),其中P、D、C、A四个字母是以下哪组单词的缩写?

A:Plan、Do、Control、Act 计划、实施、控制、行动

B:Protect、Do、Check、Act保护、实施、检查、行动

C:Pollcy、Do、Control、Act 策略、实施、控制、行动

D:Plan、Do、Check、Act 计划、实施、检查、行动

第95题(单选题)

在Windows文件系统中,________支持文件加密。

A:FAT16

B:NTFS

C:FAT32

D:EXT3

第96题(单选题)

下面关于各项涉及我国法律法规的描述中,错误的是()。

A:《信息安全法》是我国第一部维护信息安全、预防信息犯罪的基本法律

B:《宪法》中有部分条款涉及信息安全,并对保护公民权益作出了规定

C:《刑法》中有部分条款涉及信息安全和计算机犯罪行为,为相关犯罪行为的处罚规定提供了依据

D:《保守国家秘密法》是我国保守国家秘密、维护国家安全和利益的重要法律保障,同时明确了泄密的法律责任认定,是查处泄密违法行为有据可依、有章可循

第97题(单选题)

我国《中华人民共和国保守国家秘密》规定,国家秘密的保密期限,应当根据事项的性质和特点,按照维护国家安全和利益的需要,限定在必要的期限内。其中,除另有规定外,机密级的保密期限为()

A:不超过三十年

B:不超过二十年

C:不超过十年

D:不超过五年

第98题(单选题)

《中华人民共和国保守国家秘密法》规定了国家秘密的密级分级情况,其中机密级的国家秘密是指()

A:重要的国家秘密,泄露会使公民权益遭受损害

B:最重要的国家秘密,泄露会使公共秩序和社会利益遭受特别严重的损害

C:重要的国家秘密,泄露会使国家安全和利益遭受严重的损害

D:最重要的国家秘密,泄露会使国家安全和利益遭受特别严重的损害

第99题(单选题)

我国标准可以分为多种类型,下面选项中( )不是我国国家标准类型?

A:GB/T

B:GB/M

C:GB/Z

D:GB

第100题(单选题)

我国信息安全标准从总体上划分为基础标准、技术与机制标准、管理标准、测评标准、密码技术标准和保密技术标准六大类,按照标准所涉及的主要内容再细分为若干小类,授权与访问控制列表中属于()

A:技术与机制标准

B:密码技术标准

C:保密技术标准

D:测评标准