一.单项选择题(从下列每小题列出的四个备选答案中,选出一个最恰当的答案,错选、不选均不得分,每题1.5分,共60分)
1.根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准,信息安全管理中的“可用性”是指()。
(C)保护资产准确和完整的特性
(D)反映事物具实情况的程度
2.ISO/IEC27002最新版本为()。
(A)2022
(B)2015
(C)2005
(D)2013
3.根据GB/T22080-2016中控制措施的要求,关于技术脆弱性管理,以下正确的是()。
(A)技术脆弱性应单独管理,与事件管理没有关联
(B)了解某技术脆弱性的公众范围越广,该脆弱性对于组织的风险越小
(C)及时获取在用的信息系统的技术方面的脆弱性信息
4.根据GB/T22080-2016标准中控制措施的要求,关于资产清单,正确的是()。
(A)做好资产整理是其基础
(C)识别和完整采用组织的固定资产台账,同时指定资产责任人
(D)资产价格越高,往往意味着功能越全,因此资产重要性等级就越高
5.根据ISO/IEC27000标准,()为组织提供了信息安全管理体系实施指南。
(A)ISO/IEC27002
(B)ISO/IEC27007
(C)ISO/IEC27013
(D)ISO/IEC27003
(A)信息窃取事件
(B)信息泄漏事件
(C)信息篡改事件
(D)信息假冒事件
7.关于信息安全风险评估,以下说法正确的是()。
(A)风险评估包括风险管理与风险评价
(B)组织应基于其整体业务活动所在的环境和风险考虑其信息安全管理体系的设计
(C)风险评估过程中各参数的赋值一旦确定,不应轻易改变,以维持风险评估的稳定性
(D)如果集团企业的各地分子公司业务性质相同,则针对一个分子公司识别、评价风险即可,其风险评估过程和结果文件其他分子公司可直接采用,以节省重复识别和计算的工作品
8.在物联网中,M2M通常由三部分组成,下面哪项不是其组成部分()
(A)主机部分
(B)网络部分
(C)应用部分
(D)终端部分
9.《信息安全等级保护管理办法》规定()级保护时,国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强监督、检查。
(A)2
(B)3
(C)4
(D)5
10.根据GB17859《计算机信息系统安全保护等级划分准则》标准,以下说法错误的是()。(A)信道是系统内的信息传输路径
(C)敏感标记表示主体安全级别并描述主体数据敏感性的一组信息
(D)安全策略是有关管理、保护、发布敏感信息的法律、规定和实施细则
11.GB/T22080-2016标准中提到的“风险责任者”,是指()。
(A)发现风险的人或实体
(B)风险处置人员或实体
(C)有责任和权威来管理风险的人或实体
(D)对风险发生后结果进行负责的人或实体
12.关于ISO/IEC27004,以下说法正确的是()。
(A)该标准是ISMS管理绩效的度量指南
(B)该标准可以替代GB/T28450
(C)该标准可以替代ISO/IEC27001中的9.2的要求
(D)该标准是信息安全水平的度量标准
13.某数据中心申请ISMS认证的范围为“IDC基础设施服务的提供”,对此以下说法正确的是()
(A)附录A.8可以删减
(B)附录A.12可以删减
(C)附录A.14可以删减
(D)附录A.17可以删减
14.为了确保布缆安全,以下正确的做法是()。
(A)使用同一电缆管道铺设电源电缆和通信电缆
(B)网络电缆采用明线架设,以便于探查故障和维修
(C)配线盘应尽量放置在公共可访问区域,以便于应急管理
(D)为了防止干扰,电源电缆宜与通信电缆分开
15.根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准,信息安全的保密性是指()。
(A)保证信息不被其他人使用
(D)保护信息准确和完整的特性
16.下列关于DMZ区的说法错误的是()。
(A)DMZ可以访问内部网络
(B)通常DMZ包含允许来自互联网的通信可进行的设备,如WEB服务器、FTP服务器、SMTP服务器和DNS服务器
(C)内部网络可以无限制地访问外部网络以及DMZ
(D)有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作
17.在以下人为的恶意攻击行为中,属于主动攻击的是()。
(A)数据篡改
(B)数据窃听
(C)数据流分析
(D)非法访问
18.()是建立有效的计算机病毒防御体系所需要的技术措施。
(A)补丁管理系统、网络入侵检测和防火墙
(B)漏洞扫描、网络入侵检测和防火墙
(C)漏洞扫描、补丁管理系统和防火墙
(D)网络入侵检测、防病毒系统和防火墙
(A)1个月
(B)3个月
(C)6个月
(D)12个月
20.《互联网信息服务管理办法》现行有效的版本是哪年发布的()
(A)2011
(B)2017
(C)2019
(D)2016
21.组织应按照GB/T22080-2016标准的要求()信息安全管理体系。
(A)建立、实施、监视和持续改进
(B)策划、实现、维护和持续改进
(C)建立、实现、维护和持续改进
(D)策划、实现、监视和持续改进
22.在ISO/IEC27000系列标准中,为组织的信息安全风险管理提供指南的标准是()。
(A)ISO/IEC27004
(B)ISO/IEC27003
(C)ISO/IEC27002
(D)IS0/IEC27005
23.根据GB/T22080-2016标准的要求,组织()实施风险评估。
(C)只需在重大变更发生时
24.()不是保护办公室、房间和设施的安全的考虑措施。
(A)电磁屏蔽
(B)关键设施的安置避免公众访问的场地
(C)配置设施以防保密信息被外部可视或可听
(D)建筑物内侧或外侧以明确标记给出其用途的指示
25.根据GB/T28450标准,ISMS文件评审不包括()。
(A)信息安全管理手册的充分性
(B)风险评估报告的合理性
(D)风险处置计划的完备性
26.关于顾客满意以下说法错误的是()。
(A)顾客满意是指顾客对其期望已被满足程度的感受
(B)确保规定的顾客要求符合顾客的愿望并得到满足,就能确保顾客很满意
(C)投诉是一种满意程度低的最常见的表达方式,但没有投诉并不一定表明顾客很满意
(D)为了实现较高的顾客满意,可能有必要满足那些顾客既没有明示也不是通常隐含或必须履行的期望
27.若通过桌面系统对终端实行IP、MAC绑定,该网络IP地址分配方式应为()。
(A)静态
(B)动态
(C)均可
(D)静态达到50%以上即可
28.根据《中华人民共和国保守国家秘密法》,国家秘密的最高密级为()。[1.5分]
(A)特密
(B)秘密
(C)绝密
(D)机密
29.信息系统安全等级分为五级,以下说法正确的是:()。
(A)二级系统每年进行一次测评,三级系统每年进行二次测评
(B)四级系统每年进行二次测评,五级系统每年进行一次测评
(C)三级系统每年进行一次测评,四级系统每年进行二次测评
(D)二级系统和五级系统不进行测评
30.国家对经营性互联网信息服务实行()。
(A)备案制度
(B)许可制度
(C)行政监管制度
(D)备案与行政监管相结合的管理制度
31.GB/T22080-2016标准所采用的过程方法是()。
(A)PDCA方法
(B)SMART方法
(C)SWOT方法
(D)PPTR方法
32.最高管理层应()以确保信息安全管理体系符合本标准要求。
(A)分配职责与权限
(B)分配岗位与权限
(C)分配责任和权限
(D)分配角色和权限
(B)战略和意识
(C)战略和方针
(D)职能和层次
34.投诉受理后收到的每件投诉都应该按照准则进行初步评估,评估的内容不包括()。
(A)影响程度
(B)严重程度
(C)风险偏好
(D)复杂程度
35.根据GB/T28450《信息安全技术信息安全管理体系审核指南》标准,ISMS规模不包括()。
(B)组织的部门数量
(C)覆盖场所的数量
(D)信息系统的数量
36.形成ISMS审核发现时,不需要考虑的是()。
(C)所实施控制措施的时效性
(D)所实施控制措施的有效性
37.对于“监控系统”的存取与使用,下列正确的是()。
(A)监控系统所产生的记录可由用户任意存取
(B)计算机系统时钟应予以同步
(D)监控系统投资额庞大,并会影响系统效能,因此可以予以暂时省略
38.国家秘密的保密期限应为:()。
(A)绝密不超过三十年,机密不超过二十年,秘密不超过十年
(B)绝密不低于三十年,机密不低于二十年,秘密不低于十年
(C)绝密不超过二十五年,机密不超过十五年,秘密不超过五年
(D)绝密不低于二十五年,机密不低于十五年,秘密不低于五年
39.根据《中华人民共和国密码法》,国家对密码实行()管理。
(A)分类
(B)有效
(C)统筹
(D)统一
40.《网络安全审查办法》的制定,为了()。
(A)保守国家秘密,维护国家安全和利益
(B)保障网络安全,维护网络空间主权和国家安全
(C)确保关键信息基础设施供应链安全,维护国家安全
(D)规范互联网信息服务活动,促进互联网信息服务健康有序发展
二.多项选择题(从下列每小题列出的四个备选答案中,选出两个或两个以上最恰当的答案,错选.多选.少选或不选均不得分,每题2分,共30分)
(A)组织内的人员
(B)供方
(C)顾客
(D)所有者
42.对于组织在风险处置过程中所选的控制措施,以下说法正确的是()。
(A)将所有风险都必须被降低至可接受的级别
(B)可以将风险转移
(C)在满足公司策略和方针条件下,有意识、客观地接受风险
(D)规避风险
43.《中华人民共和国网络安全法》适用于在中华人民共和国境内()网络,以及网络安全的监督管理。
(A)建设
(B)运营
(C)维护
(D)使用
44.针对系统和应用访问控制,以下做法不正确的是()。
(A)对于数据库系统审计人员开放不限时权限
45.以下()活动是ISMS建立阶段应完成的内容。
(A)确定ISMS的范围和边界
(B)确定ISMS方针
(C)确定风险评估方法和实施
(D)实施体系文件培训
46.根据GB/T22080,经管理层批准,定期评审的信息安全策略包括()。
(A)密钥管理策略
(B)信息备份策略
(C)访问控制策略
(D)信息传输策略
47.根据ISO/IEC27005标准,风险处置的可选措施包括()。
(A)风险识别
(B)风险分析
(C)风险转移
(D)风险减缓
48.信息安全是保证信息的(),另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性。
(A)可用性
(B)保密性
(C)完备性
(D)完整性
49.根据GB/T22080-2016标准的要求,管理评审是为了确保信息安全管理体系持续的()。[2
(A)适宜性
(B)充分性
(C)有效性
(D)符合性
50.根据GB/T29246标准,风险描述的要素包括()。
(A)可能性
(B)后果
(C)脆弱性
(D)威胁
51.根据GB/T22080-2016标准的要求,下列说法正确的是()。
(A)残余风险需要获得风险责任人的批准
(C)保留有关信息安全风险处置过程的文件化信息
(D)组织控制下的员工应了解信息安全方针
52.认证机构应有验证审核组成员背景经验,特定培训或情况的准则,以确保审核组至少具备()。
(A)管理体系的知识
(B)ISMS监视、测量、分析和评价的知识
(C)信息安全的知识
53.可于信息安全风险分析的方法包括()。
(A)场景分析法
(B)ATA(攻击路径分析)法
(C)FMEA(失效模式分析)法
(D)HACCP(危害分析与关键控制点)法
54.移动设备策略宜考虑()。
(A)访问控制
(B)恶意软件防范
(C)物理保护要求
(D)移动设备注册
55.根据GB/T22080-2016标准的要求,信息安全方针应()。
(B)与组织的意图相适宜
(C)形成文件化信息并可用
三.判断题(判断下列各题,正确的写√,错误的写×,每题1分,共10分)
56.ISO/IEC27006是对提供信息安全管理体系审核和认证的机构的要求。()
57.某信用卡制造企业为接收银行信用卡数据的服务器配置了单独的路由和防火墙,这符合GB/T22080-2016标准附录A.13.1.3条款的要求。()
58.白名单方案规定邮件接收者只接收自己所信赖的邮件发送者所发送过来的邮件。()
59.计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。()
60.2008年6月19日,全国信息安全标准化技术委员会等同采用ISO/IEC27001:2005《信息安全管理体系要求》,仅有编辑性修改。()
61.信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能保证安全。()
62.组织使用云平台服务(PaaS)时,GB/T22080-2016标准中的A.12.5的要求可以删减。()
64.信息系统中的“单点故障”指仅有一个故障点,因此属于较低风险等级的事件。()
65.ISO/IEC27018标准是信息技术、安全技术作为PI处理者在公有云中保护个人身份信息(PII)的实践规范。()