【正文】 。在訪談中，注意到生產(chǎn)數(shù)據(jù)被用于測試環(huán)境測試，這種情況下存在哪種最有可能的潛在風(fēng)險？【答案】 D422. 在軟件程序測試的哪個階段一個組織應(yīng)該進(jìn)行體系結(jié)構(gòu)設(shè)計(jì)測試?【答案】 C423. 什么類型的軟件應(yīng)用測試被用于測試的最后階段，并且通常包含不屬于開發(fā)團(tuán)隊(duì)之內(nèi)的用戶成員?【答案】 D424. 在系統(tǒng)實(shí)施后評審過程中，應(yīng)該執(zhí)行下面哪個活動？【答案】 B425. 某公司的在實(shí)施一個DRP項(xiàng)目,項(xiàng)目按照計(jì)劃完成后。應(yīng)該讓外部伙伴意識到其責(zé)任和必須遵守的規(guī)定。、受到的影響、存在的弱點(diǎn)以及威脅發(fā)生的可能性的評估。，公司里越少人知道越好，可以充分發(fā)揮滲漏威力。為了評估潛在的損失，應(yīng)該：【答案】 C338. 以下哪個選項(xiàng)是缺乏適當(dāng)?shù)陌踩刂频谋憩F(xiàn)【答案】 B339. 以下關(guān)于標(biāo)準(zhǔn)的描述，那一項(xiàng)是正確的？【答案】 C340. 關(guān)于標(biāo)準(zhǔn)、指南、程序的描述，哪一項(xiàng)是最準(zhǔn)確的？，指南是強(qiáng)制執(zhí)行的策略【答案】 D341. 如果出現(xiàn)IT人員和最終用戶職責(zé)分工的問題，下面哪個選項(xiàng)是合適的補(bǔ)償性控制？，鎖定用戶會話【答案】 B342. 以下信息安全原則，哪一項(xiàng)是錯誤的？【答案】 C343. 下列生物識別設(shè)備，哪一項(xiàng)的交差錯判率（CER）最高？【答案】 C344. 為什么實(shí)現(xiàn)單點(diǎn)登錄的批處理文件及腳本文件需要被保護(hù)存儲？【答案】 C345. 下列哪個選項(xiàng)是描述*完整性公理的？【答案】 A346. 實(shí)施信息系統(tǒng)訪問控制首先需要進(jìn)行如下哪一項(xiàng)工作？【答案】 D347. 某個機(jī)構(gòu)的網(wǎng)絡(luò)遭受多次入侵攻擊，下面那一種技術(shù)可以提前檢測到這種行為？ 【答案】 C348. 以下哪一個選項(xiàng)是從軟件自身功能出發(fā)，進(jìn)行威脅分析【答案】 A349. 在軟件開發(fā)的需求定義階段，在軟件測試方面，以下哪一個選項(xiàng)被制定？【答案】 D350. 下面哪個功能屬于操作系統(tǒng)中的安全功能，禁止不合要求的對程序和數(shù)據(jù)的訪問【答案】 C351. DDoS攻擊的主要目換是:【答案】 B352. 下列哪個為我國計(jì)算機(jī)安全測評機(jī)構(gòu)【答案】 A353. Windows組策略適用于、D、OU【答案】 D354. 下列哪一個是國家推薦標(biāo)準(zhǔn)D. GA 2432000【答案】 A355. 黑客造成的主要危害是A.。在這種情況下，有必要：【答案】 A311. 使用熱站作為備份的優(yōu)點(diǎn)是：【答案】 C312. 在完成了業(yè)務(wù)影響分析（BIA）后，下一步的業(yè)務(wù)持續(xù)性計(jì)劃應(yīng)該是什么【答案】 C313. 一個備份站點(diǎn)包括電線、空調(diào)和地板，但不包括計(jì)算機(jī)和通訊設(shè)備，那么它屬于【答案】 A314. 以下關(guān)于備份站點(diǎn)的說法哪項(xiàng)是正確的【答案】 A315. 在對業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行驗(yàn)證時，以下哪項(xiàng)最為重要，并且在需要時可以使用【答案】 C316. 組織在制定災(zāi)難恢復(fù)計(jì)劃時，應(yīng)該最先針對以下哪點(diǎn)制定【答案】 D317. 擁有電子資金轉(zhuǎn)帳銷售點(diǎn)設(shè)備的大型連鎖商場，有中央通信處理器連接銀行網(wǎng)絡(luò)，對于通信處理機(jī)，下面哪一項(xiàng)是最好的災(zāi)難恢復(fù)計(jì)劃。在一天業(yè)務(wù)結(jié)束后，訂單文件備份在磁帶上。需要實(shí)施哪個流程才能提供這種保證性？B. IT服務(wù)連續(xù)性管理【答案】 B285. 在一家企業(yè)的業(yè)務(wù)持續(xù)性計(jì)劃中，什么情況被宣布為一個危機(jī)沒有被定義。，取消應(yīng)聘人員資格。。，企業(yè)對此無能為力，也無需做任何工作。從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)【答案】 A132. 指導(dǎo)和規(guī)范信息安全管理的所有活動的文件叫做？【答案】 C133. 信息安全管理措施不包括：A. 【答案】 D134. 下面安全策略的特性中，不包括哪一項(xiàng)？A. 【答案】 B135. 信息安全活動應(yīng)由來自組織不同部門并具備相關(guān)角色和工作職責(zé)的代表進(jìn)行，下面哪項(xiàng)包括非典型的安全協(xié)調(diào)應(yīng)包括的人員？、用戶、應(yīng)用設(shè)計(jì)人員、內(nèi)部審計(jì)人員、安全專員、安全專員、領(lǐng)域?qū)＜?、?nèi)部審計(jì)人員、離職人員【答案】 D136. 下面那一項(xiàng)不是風(fēng)險評估的目的？、重要的步驟【答案】 D137. 下面那個不是信息安全風(fēng)險的要素？【答案】 B138. 信息安全風(fēng)險管理的對象不包括如下哪項(xiàng)【答案】 C139. 信息安全風(fēng)險管理的最終責(zé)任人是？【答案】 A140. 信息安全風(fēng)險評估對象確立的主要依據(jù)是什么【答案】 B141. 下面哪一項(xiàng)不是風(fēng)險評估的過程？【答案】 C142. 風(fēng)險控制是依據(jù)風(fēng)險評估的結(jié)果，選擇和實(shí)施合適的安全措施。B. 定性影響分析可以很容易地對控制進(jìn)行成本收益分析。 經(jīng)常更新【答案】 C80. 負(fù)責(zé)制定、執(zhí)行和維護(hù)內(nèi)部安全控制制度的責(zé)任在于:A. . . 【答案】 B81. 組織與供應(yīng)商協(xié)商服務(wù)水平協(xié)議，下面哪一個最先發(fā)生？. . . 【答案】 B82. 以下哪一個是數(shù)據(jù)保護(hù)的最重要的目標(biāo)？【答案】 A83. 在邏輯訪問控制中如果用戶賬戶被共享，這種局面可能造成的最大風(fēng)險是:【答案】 D84. 作為信息安全治理的成果,戰(zhàn)略方針提供了:C. 日?；贫然慕鉀Q方案D. 風(fēng)險暴露的理解【答案】 A85. 企業(yè)由于人力資源短缺，IT支持一直以來由一位最終用戶兼職，最恰當(dāng)?shù)难a(bǔ)償性控制是：C. 雇用新IT員工之前進(jìn)行背景調(diào)查D. 在雙休日鎖定用戶會話【答案】 B 86. 關(guān)于安全策略的說法，不正確的是. 應(yīng)采取適當(dāng)?shù)姆绞阶層嘘P(guān)人員獲得并理解最新版本的策略文檔，【答案】 A87. 哪一項(xiàng)不是管理層承諾完成的？. 購買性能良好的信息安全產(chǎn)品. 評審安全策略的有效性【答案】 B88. 安全策略體系文件應(yīng)當(dāng)包括的內(nèi)容不包括、總體目標(biāo)、范圍及對組織的重要性C. 口令、加密的使用是阻止性的技術(shù)控制措施；D. 違反安全策略的后果【答案】 C89. 對信息安全的理解，正確的是、完整性和可用性不受損害的能力，是通過信息安全保障措施實(shí)現(xiàn)的B. 通過信息安全保障措施，確保信息不被丟失C. 通過信息安全保證措施，確保固定資產(chǎn)及相關(guān)財(cái)務(wù)信息的完整性D. 通過技術(shù)保障措施，確保信息系統(tǒng)及財(cái)務(wù)數(shù)據(jù)的完整性、機(jī)密性及可用性【答案】 A90. 以下哪項(xiàng)是組織中為了完成信息安全目標(biāo)，針對信息系統(tǒng)，遵循安全策略，按照規(guī)定的程序，運(yùn)用恰當(dāng)?shù)姆椒?，而進(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動？、目標(biāo)以及活動；；、教育與培訓(xùn)【答案】 D91. 信息安全管理體系要求的核心內(nèi)容是？【答案】 C92. 有效減少偶然或故意的未授權(quán)訪問、誤用和濫用的有效方法是如下哪項(xiàng)？【答案】 B93. 下面哪一項(xiàng)組成了CIA三元組？，完整性，完整性，可用性，綜合性，保障，綜合性，可用性【答案】 B94. 在信息安全策略體系中，下面哪一項(xiàng)屬于計(jì)算機(jī)或信息安全的強(qiáng)制性規(guī)則？ （Standard）（Security policy）（Guideline）（Procedure）【答案】 A95. 在許多組織機(jī)構(gòu)中，產(chǎn)生總體安全性問題的主要原因是：【答案】 A96. 下面哪一項(xiàng)最好地描述了風(fēng)險分析的目的？ 、【答案】 C97. 以下哪一項(xiàng)對安全風(fēng)險的描述是準(zhǔn)確的？。 由IS經(jīng)理簽署C. )內(nèi)部審計(jì)師應(yīng)當(dāng)?shù)贸鲆韵履捻?xiàng)結(jié)論：C. IS審計(jì)應(yīng)當(dāng)為那些雇員提供培訓(xùn)D. 該審計(jì)發(fā)現(xiàn)應(yīng)當(dāng)促使管理層對員工進(jìn)行繼續(xù)教育【答案】 A 79. 設(shè)計(jì)信息安全策略時，最重要的一點(diǎn)是所有的信息安全策略應(yīng)該:A. C. 通過加密或其他方式對存儲在服務(wù)器上數(shù)據(jù)的充分保護(hù)D. 確定是否可以利用終端系統(tǒng)資源的責(zé)任制和能力. 【答案】 D68. 下列哪一種防病毒軟件的實(shí)施策略在內(nèi)部公司網(wǎng)絡(luò)中是最有效的：A. . . 庫管員【答案】 A66. 信息安全策略,聲稱密碼的顯示必須以掩碼的形式的目的是防范下面哪種攻擊風(fēng)險？A. . 租用線路D. 綜合服務(wù)數(shù)字網(wǎng).【答案】 A64. 通過社會工程的方法進(jìn)行非授權(quán)訪問的風(fēng)險可以通過以下方法避免：A.為強(qiáng)制執(zhí)行這一策略，最有效的技術(shù)是什么？ 【答案】 B55. 在制定一個正式的企業(yè)安全計(jì)劃時，最關(guān)鍵的成功因素將是？【答案】 C56. 對業(yè)務(wù)應(yīng)用系統(tǒng)授權(quán)訪問的責(zé)任屬于： 【答案】 A57. 下列哪一項(xiàng)是首席安全官的正常職責(zé)？ 【答案】 B58. 向外部機(jī)構(gòu)提供其信息處理設(shè)施的物理訪問權(quán)限前，組織應(yīng)當(dāng)做什么？ 審計(jì)，設(shè)計(jì)并實(shí)施適當(dāng)?shù)目刂?區(qū)之內(nèi)【答案】 B59. 某組織的信息系統(tǒng)策略規(guī)定，終端用戶的ID 在該用戶終止后90 天內(nèi)失效。C. 在離開組織前，通過在硬盤特定位置上洞穿盤片，進(jìn)行打洞，使得硬盤變得不可讀取。 關(guān)鍵的控制程序沒有得到貫徹，缺乏標(biāo)準(zhǔn)規(guī)定的要求可構(gòu)成嚴(yán)重不符合項(xiàng)（信息安全風(fēng)險管理）標(biāo)準(zhǔn)進(jìn)行C. 孤立的偶發(fā)性的且對信息安全管理體系無直接影響的問題；D. 審核員識別的可能改進(jìn)項(xiàng)【答案】 D46. 以下關(guān)于ISMS內(nèi)部審核報(bào)告的描述不正確的是？A. C. 審核發(fā)現(xiàn)D. 數(shù)據(jù)收集方法和工具【答案】 C44. ISMS審核時，首次會議的目的不包括以下哪個？A. . 現(xiàn)場審核D. 滲透測試【答案】 A42. ISMS的內(nèi)部審核員（非審核組長）的責(zé)任不包括？A. C. 控制措施有效實(shí)施和維護(hù)D. ISO13335風(fēng)險評估方法【答案】 D40. 以下對審核發(fā)現(xiàn)描述正確的是A. 企業(yè)通過ISO27001認(rèn)證則說明企業(yè)符合ISO27001和ISO27002標(biāo)準(zhǔn)的要求【答案】 D37. 信息的存在及傳播方式A. 預(yù)防和糾正措施的狀態(tài)【答案】 C36. 有關(guān)認(rèn)證和認(rèn)可的描述，以下不正確的是 A. 認(rèn)證就是第三方依據(jù)程序?qū)Ξa(chǎn)品、過程、服務(wù)符合規(guī)定要求給予書面保證（合格證書）B. 文件審核【答案】 C35. 以下哪個不可以作為ISMS管理評審的輸入A. ISMS審計(jì)和評審的結(jié)果B. 對改進(jìn)措施的評價應(yīng)該包括措施的有效性的分析【答案】 C34. ISMS的審核的層次不包括以下哪個？A. 符合性審核B. 信息安全風(fēng)險管理的思路不符合PDCA的問題解決思路【答案】 D33. 對于在ISMS內(nèi)審中所發(fā)現(xiàn)的問題，在審核之后應(yīng)該實(shí)施必要的改進(jìn)措施并進(jìn)行跟蹤和評價，以下描述不正確的是？A. 改進(jìn)措施包括糾正和預(yù)防措施B. 需要持續(xù)改進(jìn)【答案】 C32. PDCA特征的描述不正確的是 A. 順序進(jìn)行，周而復(fù)始，發(fā)現(xiàn)問題，分析問題，然后是解決問題B. 硬件/軟件【答案】 A31. 企業(yè)ISMS(信息安全管理體系)建設(shè)的原則不包括以下哪個A. 管理層足夠重視B. 信息安全方面的業(yè)務(wù)連續(xù)性管理只與IT部門相關(guān)，與其他業(yè)務(wù)部門人員無須參入【答案】 D30. 企業(yè)信息安全事件的恢復(fù)過程中，以下哪個是最關(guān)鍵的？A. 數(shù)據(jù)B. 信息安全事件處理流程中的一個重要環(huán)節(jié)是對事件發(fā)生的根源的追溯，以吸取教訓(xùn)、總結(jié)經(jīng)驗(yàn)，防止類似事情再次發(fā)生【答案】 C29. 以下有關(guān)信息安全方面的業(yè)務(wù)連續(xù)性管理的描述，不正確的是A. 信息安全方面的業(yè)務(wù)連續(xù)性管理就是要保障企業(yè)關(guān)鍵業(yè)務(wù)在遭受重大災(zāi)難/破壞時，能夠及時恢復(fù)，保障企業(yè)業(yè)務(wù)持續(xù)運(yùn)營B. 運(yùn)營系統(tǒng)上的敏感、真實(shí)數(shù)據(jù)直接用作測試數(shù)據(jù)將帶來很大的安全風(fēng)險【答案】 C28. 有關(guān)信息安全事件的描述不正確的是A. 信息安全事件的處理應(yīng)該分類、分級B. 雙因子認(rèn)證（又稱強(qiáng)認(rèn)證）就是一個系統(tǒng)需要兩道密碼才能進(jìn)入；【答案】 D27. 有關(guān)信息系統(tǒng)的設(shè)計(jì)、開發(fā)、實(shí)施、運(yùn)行和維護(hù)過程中的安全問題，以下描述錯誤的是A. 信息系統(tǒng)的開發(fā)設(shè)計(jì)，應(yīng)該越早考慮系統(tǒng)的安全需求越好B. 內(nèi)部安全審計(jì)無需遵循獨(dú)立性、客觀性的原則【答案】 D26. 以下有關(guān)訪問控制的描述不正確的是A. 口令是最常見的驗(yàn)證身份的措施，也是重要的信息資產(chǎn)，應(yīng)妥善保護(hù)和管理B. 人員離職之后，必須清除離職員工所有的邏輯訪問帳號【答案】 C25. 以下有關(guān)通信與日常操作描述不正確的是A. 信息系統(tǒng)的變更應(yīng)該是受控的B. 企業(yè)可以根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來識別所有的信息資產(chǎn)【答案】 C24. 有關(guān)人員安全的描述不正確的是A. 人員的安全管理是企業(yè)信息安全管理活動中最難的環(huán)節(jié)B. 企業(yè)在開展業(yè)務(wù)活動的過程中，應(yīng)該完全相信員工，不應(yīng)該對內(nèi)部員工采取安全管控措施【答案】 D23. 企業(yè)信息資產(chǎn)的管理和控制的描述不正確的是A. 企業(yè)應(yīng)該建立和維護(hù)一個完整的信息資產(chǎn)清單，并明確信息資產(chǎn)的管控責(zé)任；B. 企業(yè)應(yīng)該維護(hù)被外部合作伙伴或者客戶訪問和使用的企業(yè)信息處理設(shè)施和信息資產(chǎn)的安全。 安全策略一