【正文】 統(tǒng)設(shè)計缺陷D. 保安工作不得力【答案】 B12. 以下哪些不是可能存在的弱點問題？A. . 內(nèi)部人員故意泄密D. 物理隔離不足【答案】 C13. 風(fēng)險評估的過程中，首先要識別信息資產(chǎn)，資產(chǎn)識別時，以下哪個不是需要遵循的原則？A. 只識別與業(yè)務(wù)及信息系統(tǒng)有關(guān)的信息資產(chǎn)，分類識別C. 可以從業(yè)務(wù)流程出發(fā)，識別各個環(huán)節(jié)和階段所需要以及所產(chǎn)出的關(guān)鍵資產(chǎn)D. 資產(chǎn)識別務(wù)必明確責(zé)任人、保管者和用戶【答案】 B14. 風(fēng)險分析的目的是？A. 在實施保護所需的成本與風(fēng)險可能造成的影響之間進行技術(shù)平衡；；C. 在實施保護所需的成本與風(fēng)險可能造成的影響之間進行經(jīng)濟平衡；D. 在實施保護所需的成本與風(fēng)險可能造成的影響之間進行法律平衡；【答案】 C15. 對于信息安全風(fēng)險的描述不正確的是？A. 企業(yè)信息安全風(fēng)險管理就是要做到零風(fēng)險B.D.【答案】 A16. 有關(guān)定性風(fēng)險評估和定量風(fēng)險評估的區(qū)別，以下描述不正確的是A. 定性風(fēng)險評估比較主觀，而定量風(fēng)險評估更客觀B. 定性風(fēng)險評估和定量風(fēng)險評估沒有本質(zhì)區(qū)別，可以通用【答案】 D17. 降低企業(yè)所面臨的信息安全風(fēng)險，可能的處理手段不包括哪些A. 通過良好的系統(tǒng)設(shè)計、及時更新系統(tǒng)補丁，降低或減少信息系統(tǒng)自身的缺陷B. 通過業(yè)務(wù)外包的方式，轉(zhuǎn)嫁所有的安全風(fēng)險【答案】 D18. 風(fēng)險評估的基本過程是怎樣的？A. 識別并評估重要的信息資產(chǎn)，識別各種可能的威脅和嚴重的弱點，最終確定風(fēng)險B. 風(fēng)險評估并沒有規(guī)律可循，完全取決于評估者的經(jīng)驗所在【答案】 A19. 企業(yè)從獲得良好的信息安全管控水平的角度出發(fā)，以下哪些行為是適當?shù)腁. 只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題B. 及時更新系統(tǒng)和安裝系統(tǒng)和應(yīng)用的補丁【答案】 D20. 以下對ISO27001標準的描述不正確的是A. 企業(yè)通過ISO27001認證則必須符合ISO27001信息安全管理體系規(guī)范的所有要求B. ISO27001是當前國際上最被認可的信息安全管理標準【答案】 B21. 對安全策略的描述不正確的是A. 信息安全策略（或者方針）是由組織的最高管理者正式制訂和發(fā)布的描述企業(yè)信息安全目標和方向，用于指導(dǎo)信息安全管理體系的建立和實施過程B. 安全策略一旦建立和發(fā)布，則不可變更；【答案】 D22. 以下對企業(yè)信息安全活動的組織描述不正確的是A. 企業(yè)應(yīng)該在組織內(nèi)建立發(fā)起和控制信息安全實施的管理框架。 企業(yè)應(yīng)該維護被外部合作伙伴或者客戶訪問和使用的企業(yè)信息處理設(shè)施和信息資產(chǎn)的安全。應(yīng)該讓外部伙伴意識到其責(zé)任和必須遵守的規(guī)定。 企業(yè)在開展業(yè)務(wù)活動的過程中，應(yīng)該完全相信員工，不應(yīng)該對內(nèi)部員工采取安全管控措施【答案】 D23. 企業(yè)信息資產(chǎn)的管理和控制的描述不正確的是A. 企業(yè)應(yīng)該建立和維護一個完整的信息資產(chǎn)清單，并明確信息資產(chǎn)的管控責(zé)任；B. 企業(yè)可以根據(jù)業(yè)務(wù)運作流程和信息系統(tǒng)拓撲結(jié)構(gòu)來識別所有的信息資產(chǎn)【答案】 C24. 有關(guān)人員安全的描述不正確的是A. 人員的安全管理是企業(yè)信息安全管理活動中最難的環(huán)節(jié)B. 人員離職之后，必須清除離職員工所有的邏輯訪問帳號【答案】 C25. 以下有關(guān)通信與日常操作描述不正確的是A. 信息系統(tǒng)的變更應(yīng)該是受控的B. 內(nèi)部安全審計無需遵循獨立性、客觀性的原則【答案】 D26. 以下有關(guān)訪問控制的描述不正確的是A. 口令是最常見的驗證身份的措施，也是重要的信息資產(chǎn)，應(yīng)妥善保護和管理B. 雙因子認證（又稱強認證）就是一個系統(tǒng)需要兩道密碼才能進入；【答案】 D27. 有關(guān)信息系統(tǒng)的設(shè)計、開發(fā)、實施、運行和維護過程中的安全問題，以下描述錯誤的是A. 信息系統(tǒng)的開發(fā)設(shè)計，應(yīng)該越早考慮系統(tǒng)的安全需求越好B. 運營系統(tǒng)上的敏感、真實數(shù)據(jù)直接用作測試數(shù)據(jù)將帶來很大的安全風(fēng)險【答案】 C28. 有關(guān)信息安全事件的描述不正確的是A. 信息安全事件的處理應(yīng)該分類、分級B. 信息安全事件處理流程中的一個重要環(huán)節(jié)是對事件發(fā)生的根源的追溯，以吸取教訓(xùn)、總結(jié)經(jīng)驗，防止類似事情再次發(fā)生【答案】 C29. 以下有關(guān)信息安全方面的業(yè)務(wù)連續(xù)性管理的描述，不正確的是A. 信息安全方面的業(yè)務(wù)連續(xù)性管理就是要保障企業(yè)關(guān)鍵業(yè)務(wù)在遭受重大災(zāi)難/破壞時，能夠及時恢復(fù)，保障企業(yè)業(yè)務(wù)持續(xù)運營B. 信息安全方面的業(yè)務(wù)連續(xù)性管理只與IT部門相關(guān)，與其他業(yè)務(wù)部門人員無須參入【答案】 D30. 企業(yè)信息安全事件的恢復(fù)過程中，以下哪個是最關(guān)鍵的？A. 數(shù)據(jù)B. 硬件/軟件【答案】 A31. 企業(yè)ISMS(信息安全管理體系)建設(shè)的原則不包括以下哪個A. 管理層足夠重視B. 需要持續(xù)改進【答案】 C32. PDCA特征的描述不正確的是 A. 順序進行，周而復(fù)始，發(fā)現(xiàn)問題，分析問題，然后是解決問題B. 信息安全風(fēng)險管理的思路不符合PDCA的問題解決思路【答案】 D33. 對于在ISMS內(nèi)審中所發(fā)現(xiàn)的問題，在審核之后應(yīng)該實施必要的改進措施并進行跟蹤和評價，以下描述不正確的是？A. 改進措施包括糾正和預(yù)防措施B. 對改進措施的評價應(yīng)該包括措施的有效性的分析【答案】 C34. ISMS的審核的層次不包括以下哪個？A. 符合性審核B. 文件審核【答案】 C35. 以下哪個不可以作為ISMS管理評審的輸入A. ISMS審計和評審的結(jié)果B. 預(yù)防和糾正措施的狀態(tài)【答案】 C36. 有關(guān)認證和認可的描述，以下不正確的是 A. 認證就是第三方依據(jù)程序?qū)Ξa(chǎn)品、過程、服務(wù)符合規(guī)定要求給予書面保證（合格證書）B. 企業(yè)通過ISO27001認證則說明企業(yè)符合ISO27001和ISO27002標準的要求【答案】 D37. 信息的存在及傳播方式A. 通過網(wǎng)絡(luò)打印機復(fù)印機等方式進行傳播D. 硬件、軟件、文檔資料B. 關(guān)鍵人員C.. 桌子、椅子【答案】 D39. 實施ISMS內(nèi)審時，確定ISMS的控制目標、控制措施、過程和程序應(yīng)該要符合相關(guān)要求，以下哪個不是？A. C. 控制措施有效實施和維護D. ISO13335風(fēng)險評估方法【答案】 D40. 以下對審核發(fā)現(xiàn)描述正確的是A. 用作依據(jù)的一組方針、程序或要求、事實陳述或其他信息C. 將收集到的審核證據(jù)依照審核準則進行評價的結(jié)果，可以是合格/符合項，也可以是不合格/不符合項D. 對審核對象的物理位置、組織結(jié)構(gòu)、活動和過程以及時限的描述【答案】 C41. ISMS審核常用的審核方法不包括？A. . 現(xiàn)場審核D. 滲透測試【答案】 A42. ISMS的內(nèi)部審核員（非審核組長）的責(zé)任不包括？A. 熟悉必要的文件和程序；；C. 配合支持審核組長的工作，有效完成審核任務(wù)；D. 負責(zé)實施整改內(nèi)審中發(fā)現(xiàn)的問題；【答案】 D43. 審核在實施審核時，所使用的檢查表不包括的內(nèi)容有？A. C. 審核發(fā)現(xiàn)D. 數(shù)據(jù)收集方法和工具【答案】 C44. ISMS審核時，首次會議的目的不包括以下哪個？A. 明確審核目的、審核準則和審核范圍C. 明確接受審核方責(zé)任，為配合審核提供必要資源和授權(quán)D. 明確審核進度和審核方法，且在整個審核過程中不可調(diào)整【答案】 D45. ISMS審核時，對審核發(fā)現(xiàn)中，以下哪個是屬于嚴重不符合項？A. 關(guān)鍵的控制程序沒有得到貫徹，缺乏標準規(guī)定的要求可構(gòu)成嚴重不符合項（信息安全風(fēng)險管理）標準進行C. 孤立的偶發(fā)性的且對信息安全管理體系無直接影響的問題；D. 審核員識別的可能改進項【答案】 D46. 以下關(guān)于ISMS內(nèi)部審核報告的描述不正確的是？A. 內(nèi)審報告是作為內(nèi)審小組提交給管理者代表或最高管理者的工作成果C. 內(nèi)審報告在提交給管理者代表或者最高管理者之前應(yīng)該受審方管理者溝通協(xié)商，核實報告內(nèi)容?！敬鸢浮? D51. 處理報廢電腦的流程時，以下哪一個選項對于安全專業(yè)人員來說是最重要考慮的內(nèi)容？，硬盤已經(jīng)被多次重復(fù)寫入，但是在離開組織前沒有進行重新格式化。C. 在離開組織前，通過在硬盤特定位置上洞穿盤片，進行打洞，使得硬盤變得不可讀取。【答案】 B52. 一個組織已經(jīng)創(chuàng)建了一個策略來定義用戶禁止訪問的網(wǎng)站類型。為強制執(zhí)行這一策略，最有效的技術(shù)是什么？ 【答案】 B55. 在制定一個正式的企業(yè)安全計劃時，最關(guān)鍵的成功因素將是？【答案】 C56. 對業(yè)務(wù)應(yīng)用系統(tǒng)授權(quán)訪問的責(zé)任屬于： 【答案】 A57. 下列哪一項是首席安全官的正常職責(zé)？ 【答案】 B58. 向外部機構(gòu)提供其信息處理設(shè)施的物理訪問權(quán)限前，組織應(yīng)當做什么？ 審計，設(shè)計并實施適當?shù)目刂?區(qū)之內(nèi)【答案】 B59. 某組織的信息系統(tǒng)策略規(guī)定，終端用戶的ID 在該用戶終止后90 天內(nèi)失效。安全管理體系內(nèi)審員首先應(yīng)該做什么？【答案】 C62. 下面哪一個是定義深度防御安全原則的例子？【答案】 A63. 下面哪一種是最安全和最經(jīng)濟的方法，對于在一個小規(guī)模到一個中等規(guī)模的組織中通過互聯(lián)網(wǎng)連接私有網(wǎng)絡(luò)？A. . 租用線路D. 綜合服務(wù)數(shù)字網(wǎng).【答案】 A64. 通過社會工程的方法進行非授權(quán)訪問的風(fēng)險可以通過以下方法避免：A. . 入侵偵測系統(tǒng)D. 非軍事區(qū)【答案】 A65. 在安全人員的幫助下，對數(shù)據(jù)提供訪問權(quán)的責(zé)任在于：A. . . 庫管員【答案】 A66. 信息安全策略,聲稱密碼的顯示必須以掩碼的形式的目的是防范下面哪種攻擊風(fēng)險？A. . 肩窺 D. 冒充 【答案】 Cn67. 管理體系審計員進行通信訪問控制審查，首先應(yīng)該關(guān)注：A. C. 通過加密或其他方式對存儲在服務(wù)器上數(shù)據(jù)的充分保護D. 確定是否可以利用終端系統(tǒng)資源的責(zé)任制和能力. 【答案】 D68. 下列哪一種防病毒軟件的實施策略在內(nèi)部公司網(wǎng)絡(luò)中是最有效的：A. C. 工作站防病毒軟件 D. 病毒庫及時更新 【答案】 D69. 測試程序變更管理流程時，安全管理體系內(nèi)審員使用的最有效的方法是：C. 由變更管理文檔跟蹤到生成審計軌跡的系統(tǒng)D. 檢查變更管理文檔中涉及的證據(jù)的完整性【答案】 A70. 內(nèi)部審計部門,從組織結(jié)構(gòu)上向財務(wù)總監(jiān)而不是審計委員會報告,最有可能：C. 加強了審計建議的執(zhí)行D. 在建議中采取更對有效行動【答案】 A71. 下面哪一種情況可以使信息系統(tǒng)安全官員實現(xiàn)有效進行安全控制的目的?C. 安全控制規(guī)范是基于風(fēng)險分析的結(jié)果D. 控制是在可重復(fù)的基礎(chǔ)上被測試的【答案】 D72. 下列哪一種情況會損害計算機安全策略的有效性？C. 測試安全策略時D. 可以預(yù)測到違反安全策略的強制性措施時【答案】 D 73. 組織的安全策略可以是廣義的，也可以是狹義的，下面哪一條是屬于廣義的安全策略？. 計算機安全程序D. 電子郵件個人隱私【答案】 C74. 基本的計算機安全需求不包括下列哪一條：. 身份鑒別和落實責(zé)任D. 合理的保證和連續(xù)的保護【答案】 B 75. 軟件的盜版是一個嚴重的問題。內(nèi)部審計師應(yīng)當?shù)贸鲆韵履捻椊Y(jié)論：C. IS審計應(yīng)當為那些雇員提供培訓(xùn)D. 該審計發(fā)現(xiàn)應(yīng)當促使管理層對員工進行繼續(xù)教育【答案】 A 79. 設(shè)計信息安全策略時，最重要的一點是所有的信息安全策略應(yīng)該:A. ) 由IS經(jīng)理簽署C. 發(fā)布并傳播給用戶D. 經(jīng)常更新【答案】 C80. 負責(zé)制定、執(zhí)行和維護內(nèi)部安全控制制度的責(zé)任在于:A. . . 【答案】 B81. 組織與供應(yīng)商協(xié)商服務(wù)水平協(xié)議，下面哪一個最先發(fā)生？. . . 【答案】 B82. 以下哪一個是數(shù)據(jù)保護的最重要的目標？【答案】 A83. 在邏輯訪問控制中如果用戶賬戶被共享，這種局面可能造成的最大風(fēng)險是:【答案】 D84. 作為信息安全治理的成果,戰(zhàn)略方針提供了:C. 日常化制度化的解決方案D. 風(fēng)險暴露的理解【答案】 A85. 企業(yè)由于人力資源短缺，IT支持一直以來由一位最終用戶兼職，最恰當?shù)难a償性控制是：C. 雇用新IT員工之前進行背景調(diào)查D. 在雙休日鎖定用戶會話【答案】 B 86. 關(guān)于安全策略的說法，不正確的是. 應(yīng)采取適當?shù)姆绞阶層嘘P(guān)人員獲得并理解最新版本的策略文檔，【答案】 A87. 哪一項不是管理層承諾完成的？. 購買性能良好的信息安全產(chǎn)品. 評審安全策略的有效性【答案】 B88. 安全策略體系文件應(yīng)當包括的內(nèi)容不包括、總體目標、范圍及對組織的重要性C. 口令、加密的使用是阻止性的技術(shù)控制措施；D. 違反安全策略的后果【答案】 C89. 對信息安全的理解，正確的是、完整性和可用性不受損害的能力，是通過信息安全保障措施實現(xiàn)的B. 通過信息安全保障措施，確保信息不被丟失C. 通過信息安全保證措施，確保固定資產(chǎn)及相關(guān)財務(wù)信息的完整性D. 通過技術(shù)保障措施，確保信息系統(tǒng)及財務(wù)數(shù)據(jù)的完整性、機密性及可用性【答案】 A90. 以下哪項是組織中為了完成信息安全目標，針對信息系統(tǒng)，遵循安全策略，按照規(guī)定的程序，運用恰當?shù)姆椒?，而進行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動？、目標以及活動；；、教育與培訓(xùn)【答案】 D91. 信息安全管理體系要求的核心內(nèi)容是？【答案】 C92. 有效減少偶然或故意的未授權(quán)訪問、誤用和濫用的有效方法是如下哪項？【答案】 B93. 下面哪一項組成