一、单选题。(共100题,共100分,每题1分)

1. 小李去参加单位组织的信息安全培训后，他把自己对信息安全管理体系（Information Security Management System, ISMS）的理解画了以下一张图，但是他还存在一个空白处未填写，请帮他选择一个最合适的选项（）。

 a、监控和反馈I、批准和监督I、监视和评审I、沟通和资询

最佳答案是:c

2. 在对安全控制进行分析时，下面哪个描述是不准确的？

 a、对每一项安全控制都应该进行成本收益分析，以确定哪一项安全控制是必须的和有效的 

 b、应确保选择对业务效率影响最小的安全措施 

 c、选择好实施安全控制的时机和位置，提高安全控制的有效性 

 d、仔细评价引入的安全控制对正常业务带来的影响，采取适当措施，尽可能减少负面效应 

最佳答案是:b

3. 以下哪一项不是信息安全管理工作必须遵循的原则？

 a、风险管理在系统开发之初就应该予以充分考虑，并要贯穿于整个系统开发过程之中 

 b、风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作 

 c、由于在系统投入使用后部署和应用风险控制措施针对性会更强，实施成本会相对较低 

 d、在系统正式运行后，应注重残余风险的管理，以提高快速反应能力 

最佳答案是:c

4. 对信息安全风险评估要素理解正确的是：

 a、资产识别的粒度随着评估范围、评估目的的不同而不同，既可以是硬件设备，也可以是业务系统，也可以是组织机构 

 b、应针对构成信息系统的每个资产做风险评价 

 c、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项 

 d、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁 

最佳答案是:a

5. 以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容：

 a、出入的原因 、出入的时间 、出入口的位置 、是否成功进入

最佳答案是:a

6. 信息安全策略是管理层对信息安全工作意图和方向的正式表述，以下哪一项不是信息安全策略文档中必须包含的内容：

 a、说明信息安全对组织的重要程度 

 b、介绍需要符合的法律法规要求 

 c、信息安全技术产品的选型范围 

 d、信息安全管理责任的定义 

最佳答案是:c

7. 作为信息中心的主任，你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任，这种情况造成了一定的安全风险，这时你应当怎么做？

 a、抱怨且为力 、向上级报告该情况，等待增派人手 

 c、通过部署审计措施和定期审查来降低风险 

 d、由于增加人力会造成新的人力成本，所以接受该风险 

最佳答案是:c

8. 通过评估应用开发项目，而不是评估能力成熟度模型（CMM），IS审计师应该能够验证：

 a、可靠的产品是有保证的 、程序员的效率得到了提高 

 c、安全需求得到了规划、设计 

 d、预期的软件程序（或流程）得到了遵循 

最佳答案是:d

9. 某公司正在对一台关键业务服务器进行风险评估：该服务器价值138000元，针对某个特定威胁的暴露因子（EF）是45%，该威胁的年度发生率（ARO）为每10年发生1次。根据以上信息，该服务器的年度预期损失值（ALE）是多少？

 a、1800元 、62100元 、140000元 、6210元

最佳答案是:d

10. 下列哪些内容应包含在信息系略计划中？

 a、已规划的硬件采购的规范 

 b、将来业务目标的分析 、开发项目的目标日期 、信息系统不同的年度预算目标 

最佳答案是:b

11. ISO27002中描述的11个信息安全管理的控制领域不包括：

 a、信息安全组织 、资产管理 、内容安全 、人力资源安全

最佳答案是:c

12. SSE-CMM将工程过程区域分为三类，即风险过程、工程过程、和保证过程，下面对于保证过程的说法错误的是：

 a、保证是指安全需求得到满足的可信任程度 

 b、信任程度来自于对安全工程过程结果质量的判断 

 c、自验证与证实安全的主要手段包括观察、论证、分析和测试 

 d、PA“建立保证论据”为PA“验证与证实安全”提供了证据支持 

最佳答案是:d

13. 根据SSE-CMM信息安全工程过程可以划分为三个阶段，其中_______确立安全解决方案的置信度并且把这样的置信度传递给顾客。

 a、保证过程 、风险过程 、工程和保证过程 、安全工程过程

最佳答案是:a

14. SSE-CMM工程过程区域中的风险过程包含哪些过程区域：

 a、评估威胁、评估脆弱性、评估影响 

 b、评估威胁、评估脆弱性、评估安全风险 

 c、评估威胁、评估脆弱性、评估影响、评估安全风险 

 d、评估威胁、评估脆弱性、评估影响、验证和证实安全 

最佳答案是:c

15. 一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进行规范的定义？

 a、2级——计划和跟踪 、3级——充分定义 、4级——量化控制 、5级——持续改进

最佳答案是:b

16. 信息系统安全工程（ISSE）的一个重要目标就是在IT项目的各个阶段充分考虑安全因素，在IT项目的立项阶段，以下哪一项不是必须进行的工作：

 a、明确业务对信息安全的要求 

 b、识别来自法律法规的安全要求 

 c、论证安全要求是否正确完整 

 d、通过测试证明系统的功能和性能可以满足安全要求 

最佳答案是:d

17. 信息化建设和信息安全建设的关系应该是：

 a、信息化建设的结果就是信息安全建设的开始 

 b、信息化建设和信息安全建设应同步规划、同步实施 

 c、信息化建设和信息安全建设是交替进行的，无法区分谁先谁后 

 d、以上说法都正确

最佳答案是:b

18. 下面有关我国信息安全管理的说法错误的是？

 a、目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面 

 b、我国的信息安全保障工作综合利用法律、管理和技术的手段 

 c、我国的信息安全管理应坚持及时检测、快速响应、综合治理的方针 

 d、我国对于信息安全责任的原则是谁主管、谁负责；谁经营、谁负责 

最佳答案是:c

19. 一个信息系统审计师正在为一个医疗机构的两种应用环境-生产和测试进行检查。在一次访谈中，该审计师注意到生产数据被用于测试环境以测试程序改变什么是这种情况下最显著的潜在风险？

 a、 测试环境可能没有充分的访问控制来确保数据机密性 

 b、 测试环境可能由于使用生产数据而产生不精确的结果 

 c、 测试环境的硬件可能与生产环境的不同 

 d、 测试环境可能没有充足的控制以确保数据精确性 

最佳答案是:a

20. 风险评估方法的选定在PDCA循环中的哪个阶段完成？

 a、实施和运行 、保持和改进 、建立 、监视和评审

最佳答案是:c

21. 在风险管理准备阶段“建立背景”（对象确立）过程中不应该做的是：

 a、分析系统的体系结构 、分析系统的安全环境 、制定风险管理计划 、调查系统的技术特性

最佳答案是:c

22. 下面有关能力成熟度模型的说法错误的是:

 a、能力成熟度模型可以分为过程能力方案（Continuous）和组织能力方案（Staged）两类 

 b、使用过程能力方案时，可以灵活选择评估和改进哪个或哪些过程域 

 c、使用组织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程域 

 d、SSE-CMM是一种属于组织能力方案（Staged）的针对系统安全工程的能力成熟度模型 

最佳答案是:c

23. 下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM)的主要过程:

 a、风险过程 、保证过程 、工程过程 、评估过程

最佳答案是:d

24. 关于信息安全发展的几个阶段，下列说法中错误的是:

 a、信息安全的发展，是伴随着信息技术的发展，为应对其面临不同的威胁而发展起来的 

 b、通信安全阶段中，最重要的是通过密码技术保证所传递信息的保密性完整性和可用性 

 c、信息安全阶段，综合了通信安全阶段和计算机安全阶段的需求 

 d、信息安全保障阶段，最重要的目标是保障组织机构使命(业务)的正常运行 

最佳答案是:b

25. 建立数据所有权关系的任务应当是下列哪一种人的责任?

 a、职能部门用户 、内部审计人员 、数据处理人员 、外部审计人员

最佳答案是:a

26. PPDR模型不包括：

 a、策略 、检测 、响应 、加密

最佳答案是:d

27. 信息安全管理者需要完成方方面面的繁杂工作，这些日常工作根本的目标是:

 a、避免系统软硬件的损伤 、监视系统用户和维护人员的行为 

 c、保护组织的信息资产 、给入侵行为制造障碍，并在发生入侵后及时发现、准确记录 

最佳答案是:c

28. 信息安全管理的根本方法是:

 a、风险处置 、应急响应 、风险管理 、风险评估

最佳答案是:c

29. 信息安全管理体系描述不正确的是:

 a、是一个组织整体管理体系的组成部分 

 b、是有范围和边界的 、是风险评估的手段 、其基本过程应遵循PDCA循环 

最佳答案是:c

30. 软件的盗版是一个严重的问题。在下面哪一种说法中反盗版的和实际行为是矛盾的？

 a、员工的教育和培训 、远距离工作（Telecommuting）与禁止员工携带工作软件回家 

 c、自动日志和审计软件 、的发布与的强制执行 

最佳答案是:b

31. 以下对PDCA循环特点描述不正确的是：

 a、按顺序进行，周而复始，不断循环 

 b、组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题 

 c、每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环 

 d、可以由任何一个阶段开始，周而复始，不断循环 

最佳答案是:d

32. ISMS过程中，实施信息安全教育应在哪个阶段进行?

 a、实施和运行 、保持和改进 、建立 、监视和评审

最佳答案是:a

33. 对戴明环"PDCA"方法的描述不正确的是:

 a、“PDCA”的含义是P-计划，D-实施，C-检查，A-改进 

 b、“PDCA”循环又叫"戴明"环 

 c、“PDCA"循环是只能用于信息安全管理体系有效进行的工作程序 

 d、“PDCA”循环是可用于任何一项活动有效进行的工作程序 

最佳答案是:c

34. 下述选项中对于"风险管理"的描述不正确的是:

 a、风险管理是指导和控制一个组织相关风险的协调活动，它通常包括风险评估、风险处置、风险接受和风险沟通。 

 b、风险管理的目的是了解风险并采取措施处置风险并将风险消除。 

 c、风险管理是信息安全工作的重要基础，因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中。 

 d、在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全需求和安全目标。 

最佳答案是:b

35. 风险是需要保护的(  )发生损失的可能性，它是(  )和(  )综合结果。

 a、资产，攻击目标，威胁事件 

 b、设备，威胁，漏洞 、资产，威胁，漏洞 、以上都不对

最佳答案是:c

36. 下面威胁中不属于抵赖行为的是:

 a、发信者事后否认曾经发送过某条消息 

 b、收信者事后否认曾经接收过某条消息 

 c、发信者事后否认曾经发送过某条消息的内容 

 d、收信者接收消息后更改某部分内容 

最佳答案是:d

37. 以下哪一种判断信息系统是否安全的方式是最合理的?

 a、是否已经通过部署安全控制措施消灭了风险 

 b、是否可以抵抗大部分风险 

 c、是否建立了具有自适应能力的信息安全模型 

 d、是否已经将风险控制在可接受的范围内 

最佳答案是:d

38. 以下列哪种处置方法属于转移风险？

 a、部署综合安全审计系统 、对网络行为进行实时监控 

 c、制订完善的制度体系 、聘用第三方专业公司提供维护外包服务 

最佳答案是:d

39. 对操作系统打补丁和系统升级是以下哪种风险控制措施?

 a、降低风险 、规避风险 、转移风险 、接受风险

最佳答案是:a

40. 以下哪一项可认为是具有一定合理性的风险?

 a、总风险 、最小化风险 、可接受风险 、残余风险

最佳答案是:c

41. 在风险管理工作中“监控审查”的目的，一是:________二是_________。

 a、保证风险管理过程的有效性，保证风险管理成本的有效性 

 b、保证风险管理结果的有效性，保证风险管理成本的有效性 

 c、保证风险管理过程的有效性，保证风险管理活动的决定得到认可 

 d、保证风险管理结果的有效性，保证风险管理活动的决定得到认可 

最佳答案是:a

42. 风险管理四个步骤的正确顺序是:

 a、背景建立、风险评估、风险处理、批准监督 

 b、背景建立、风险评估、审核批准、风险控制 

 c、风险评估、对象确立、审核批准、风险控制 

 d、风险评估、风险控制、对象确立、审核批准 

最佳答案是:a

43. 在风险管理的过程中，"建立背景"(即"对象确立")的过程是哪四个活动?

 a、风险管理准备、信息系统调查、信息系统分析、信息安全分析 

 b、风险管理准备、信息系统分析、信息安全分析、风险的制定 

 c、风险管理准备、风险管理的制定、信息系统分析、信息安全分析 

 d、确定对象、分析对象、审核对象、总结对象 

最佳答案是:a

44. 下列对风险分析方法的描述正确的是:

 a、定量分析比定性分析方法使用的工具更多 

 b、定性分析比定量分析方法使用的工具更多 

 c、同一组织只用使用一种方法进行评估 

 d、符合组织要求的风险评估方法就是最优方法 

最佳答案是:d

45. 某公司正在进行信息安全风险评估，在决定信息资产的分类与分级时，谁负有最终责任？

 a、部门经理 、高级管理层 、信息资产所有者 、最终用户

最佳答案是:c

46. 在一个有充分控制的信息处理计算中心中，下面哪一项可以由同一个人执行?

 a、安全管理和变更管理 、计算机操作和系统开发 、系统开发和变更管理 、系统开发和系统维护

最佳答案是:a

47. 以下关于“最小”安全管理原则理解正确的是:

 a、组织机构内的敏感岗位不能由一个人长期负责 

 b、对重要的工作进行分解，分配给不同人员完成 

 c、一个人有且仅有其执行岗位所足够的许可和权限 

 d、防止员工由一个岗位变动到另一个岗位，累积越来越多的权限 

最佳答案是:c

48. 根据灾难恢复演练的深度不同，可以将演练分为三个级别，这三个级别按演练深度由低到高的排序正确的是：

 a、系统级演练、业务级演练、应用级演练 

 b、系统级演练、应用级演练、业务级演练 

 c、业务级演练、应用级演练、系统级演练 

 d、业务级演练、系统级演练、应用级演练 

最佳答案是:b

49. 以下哪一个是对“岗位轮换”这一人员安全管理原则的正确理解?

 a、组织机构内的敏感岗位不能由一个人长期负责 

 b、对重要的工作进行分解，分配给不同人员完成 

 c、一个人有且仅有其执行岗位所足够的许可和权限 

 d、防止员工由一个岗位变动到另一个岗位，累积越来越多的权限 

最佳答案是:a

50. 在构建一个单位的内部安全管理组织体系的时候，以下哪一项不是必需考虑的内容?

 a、高级管理层承诺对安全工作的支持 

 b、要求雇员们遵从安全策略的指示 

 c、在第三方协议中强调安全 

 d、清晰地定义部门的岗位的职责 

最佳答案是:c

51. 灾难发生后，系统和数据必须恢复到灾难发生前的

 a、时间要求 、时间点要求 、数据状态 、运行状态

最佳答案是:b

52. 当发现信息系统被攻击时，以下哪一项是首先应该做的?

 a、切断所有可能导致入侵的通信线路 

 b、采取措施遏制攻击行为 、判断哪些系统和数据遭到了破坏 

 d、与有关部门联系

最佳答案是:d

53. 应急方法学定义了安全事件处理的流程，这个流程的顺序是:

 a、准备-遏制-检测-根除-恢复-跟进 

 b、准备-检测-遏制-恢复-根除-跟进 

 c、准备-检测-遏制-根除-恢复-跟进 

 d、准备-遏制-根除-检测-恢复-跟进 

最佳答案是:c

54. 以下哪种情形下最适合使用同步数据备份策略?

 a、对灾难的承受能力高 、恢复时间目标(RTO)长 、恢复点目标(RPO)短 、恢复点目标(RPO)长

最佳答案是:c

55. 当备份一个应用程序系统的数据时，以下哪一项是应该首先考虑的关键性问题?

 a、什么时候进行备份?、在哪里进行备份?、怎样存储备份?、需要各份哪些数据

最佳答案是:d

56. 有效的IT治理要求组织结构和程序确保

 a、 组织的战略和目标包括IT战略 

 b、 业务战略来自于IT战略 

 c、 IT治理是的,与整体治理相区别 

 d、 IT战略扩大了组织的战略和目标 

最佳答案是:d

57. SSE-CMM，即系统安全工程---能力成熟度模型,它的六个级别,其中计划和跟踪级着重于_______。

 a、规范化地裁剪组织层面的过程定义 

 b、项目层面定义、计划和执行问题 

 c、测量 、一个组织或项目执行了包含基本实施的过程 

最佳答案是:b

58. 以下对信息安全风险管理理解最准确的说法是：

 a、了解风险 、转移风险 、了解风险并控制风险 、了解风险并转移风险

最佳答案是:c

59. “进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中，“看不懂”是指下面哪种安全服务：

 a、数据加密 、身份认证 、数据完整性 、访问控制

最佳答案是:a

60. 以下对于信息安全管理体系说法不正确的是：

 a、处理 、实施 、检查 、行动

最佳答案是:a

61. 风险管理中使用的控制措施，不包括以下哪种类型？

 a、预防性控制措施 、管理性控制措施 、检查性控制措施 、纠正性控制措施

最佳答案是:b

62. 风险管理中的控制措施不包括以下哪一方面？

 a、行政 、道德 、技术 、管理

最佳答案是:b

63. 风险评估不包括以下哪个活动？

 a、中断引入风险的活动 、识别资产 、识别威胁 、分析风险

最佳答案是:a

. 在信息安全风险管理工作中，识别风险时主要重点考虑的要素应包括：

 a、资产及其价值、威胁、脆弱性、现有的和计划的控制措施 

 b、资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施 

 c、完整性、可用性、机密性、不可抵赖性 

最佳答案是:a

65. 以下哪一项不是信息安全风险分析过程中所要完成的工作：

 a、识别用户 、识别脆弱性 、评估资产价值 、计算机安全事件发生的可能性 

最佳答案是:a

66. 机构应该把信息系统安全看作：

 a、业务中心 、风险中心 、业务促进因素 、业务抑制因素

最佳答案是:c

67. 以下关于ISO/IEC27001所应用的过程方法主要特点说法错误的是：

 a、理解组织的信息安全要求和建立信息安全方针与目标的标准 

 b、从组织整体业务风险的角度管理组织的信息安全风险 

 c、监视和评审ISMS的执行情况和有效性 

 d、基于主观测量的持续改进 

最佳答案是:d

68. 在检查岗位职责时什么是最重要的评估标准？

 a、工作职能中所有要做的工作和需要的培训都有详细的定义 

 b、职责清晰，每个人都清楚自己在组织中的角色 

 c、强制休假和岗位轮换被执行 

 d、绩效得到监控和提升是基于清晰定义的目标 

最佳答案是:b

69. 在信息安全管理中进行_______，可以有效解决人员安全意识薄弱问题。

 a、内容监控 、安全教育和培训 、责任追查和惩处 、访问控制

最佳答案是:b

70. 以下哪一项最能体现27002管理控制措施中预防控制措施的目的？

 a、减少威胁的可能性 、减少灾难发生的可能性 、防御风险的发生并降低其影响 

最佳答案是:d

71. 关于外包的论述不正确的是：

 a、企业经营管理中的诸多操作成服务都可以外包 

 b、通过业务外包，企业也把相应的风险承担者转移给了外包商，企业从此不必对外包业务负任何直接或间接的责任 

 c、虽然业务可以外包，但是对与外包业务的可能的不良后果，企业仍然承担责任 

 d、过多的外包业务可能产生额外的操作风险或其他隐患 

最佳答案是:b

72. 以下哪一项措施可最有效地支持24/7可用性？

 a、 日常备份 、 异地存储 、 镜像 、 定期测试

最佳答案是:c

73. 企业最终决定直接采购商业化的软件包，而不是开发。那么，传统的软件开发生产周期（SDLC）中设计和开发阶段，就被置换为：

 a、挑选和配置阶段 、可行性研究和需求定义阶段 

 c、实施和测试阶段 、（无，不需要置换）

最佳答案是:a

74. 下面哪一项为系统安全工程能力成熟度模型提供了评估方法：

 a、I、S、S、．

最佳答案是:b

75. 按照SSE-CMM，能力级别第三级是指：

 a、定量控制 、计划和跟踪 、持续改进 、充分定义

最佳答案是:b

76. 下列哪项不是SSE-CMM模型中工程过程的过程区别？

 a、明确安全需求 、评估影响 、提供安全输入 、协调安全

最佳答案是:b

77. 以下对PDCA循环解释不正确的是:

 a、处理 、实施 、检查 、行动

最佳答案是:a

78. 在SSE-CMM中对工程过程能力的评价分为三个层次，由宏观到微观依次是:

 a、能力级别-公共特征(CF)-通用实践(GP) 

 b、能力级别-通用实践-(GP)-公共特征(CF) 

 c、通用实践-(GP)-能力级别-公共特征(CF) 

 d、公共特征(CF)-能力级别-通用实践-(CP) 

最佳答案是:a

79. 根据SSE-CMM，安全工程过程能力由低到高划分为:

 a、未实施、基本实施、计划跟踪、充分定义、量化控制和持续改进等6个级别 

 b、基本实施、计划跟踪、充分定义、量化控制和持续改进等5个级别 

 c、基本实施、计划跟踪、量化控制、充分定义和持续改进等5个级别 

 d、未实施、基本实施、计划跟踪、充分定义4个级别 

最佳答案是:a

80. 下列哪项不是SSE-CMM模型中工程过程的过程区域？

 a、明确安全需求 、评估影响 、提供安全输入 、协调安全

最佳答案是:b

81. 系统安全工程不包含以下哪个过程类:

 a、工程过程类 、组织过程类 、管理过程类 、项目过程类

最佳答案是:c

82. ISSE(信息系统安全工程)是美国发布的IATF3.0版本中提出的设计和实施信息系统________。

 a、安全工程方法 、安全工程框架 、安全工程体系结构 、安全工程标准

最佳答案是:a

83. 不同信息安全发展阶段，信息安全具有不同的的特征，在信息安全保障阶段信息安全的基本特征不包括：

 a、具有高度复杂性和不能控制的特点 

 b、具有保护对象全生命周期安全要求的特征 

 c、具有多层次和多角度的体系化防御要求的特征 

 d、具有动态发展变化的特征 

最佳答案是:a

84. 信息安全工作具有投资收益的要求，以下关于信息安全与业务发展的关系说法最准确的是：

 a、信息安全的投入很容易测算其产生收益的 

 b、信息安全为业务发展提供基础安全保障 

 c、信息安全与网络信息系统有着密切联系 

 d、信息安全的投入是不能测算其产生收益的 

最佳答案是:b

85. PDR模型和P2DR模型采用了动态循环的机制实现系统保护、检测和响应。这种模型的特点理解错误的是：

 a、模型已入了动态时间基线，符合信息安全发展理念 

 b、模型强调持续的保护和响应，符合相对安全理念 

 c、模型是基于人为的管理和控制而运行的 

 d、模型引入了多层防御机制，符合安全的“木桶原理” 

最佳答案是:c

86. 从风险的观点来看，一个具有任务紧急性，核心功能性的计算机应用程序系统的开发和维护项目应该：

 a、内部实现 、外部采购实现 、合作实现 、多来源合作实现

最佳答案是:a

87. 在许多组织机构中，产生总体安全性问题的主要原因是：

 a、缺少安全性管理 、缺少故障管理 、缺少风险分析 、缺少技术控制机制

最佳答案是:a

88. 如果对于程序变动的手工控制收效甚微，以下哪一种方法将是最有效的？

 a、自动软件管理 、书面化制度 、书面化方案 、书面化标准

最佳答案是:a

. 以下哪一项不是《信息安全事件分级分类指南》中信息安全事件分级需要参考的三个重要因素之一？

 a、信息系统的重要程度 、信息系统的用户数量 、事件造成的系统损失 、事件造成的社会影响

最佳答案是:b

90. 依照《信息安全事件分级分类指南》中对信息安全事件分类的规定，以下哪一项属于有害程序事件？

 a、信息被篡改 、黄色反动信息传播 、网络钓鱼 、木马攻击

最佳答案是:d

91. 在编制一个单位的信息安全响应计划时，以下哪一项的内容是最全面的？

 a、角色与职责、预防和预警机制、应急响应流程、应急响应保障措施。 

 b、角色与职责、预防和预警机制、应急响应流程、应急响应联络措施。 

 c、应急组织架构、预防和预警机制、应急响应流程、人力保障、技术保障。 

 d、应急组织架构、事件检测机制、事件预警通报机制、应急响应流程、人力保障、技术保障。 

 e、

最佳答案是:a

92. 通常情况下，以下哪一种数据的更新变化频率最高，对备份系统的数据备份频率要求也最高？

 a、业务应用数据 、临时数据 、基础数据 、系统数据

最佳答案是:a

93. 在进行灾难恢复需求分析的过程中，进行哪项工作可以帮助充分了解技术系统对业务重要性？

 a、业务影响分析（BIA） 、确定灾难恢复目标 、制定灾难恢复策略 、制定灾难恢复预案

最佳答案是:a

94. 风险管理的监控与审查不包含：

 a、过程质量管理 、成本效益管理 、跟踪系统自身或所处环境的变化 

 d、协调内外部组织机构风险管理活动 

最佳答案是:d

95. 衡量残余风险应当考虑的因素为：

 a、威胁，风险，资产价值 、威胁，资产价值，脆弱性 

 c、单次损失，年度发生率 、威胁，脆弱性，资产价值，控制措施效果 

最佳答案是:d

96. 信息安全管理体系是基于（  ）的方法，来建立、实施、运作、监视、评审、保持和改进信息安全。

 a、信息安全 、业务风险 、信息系统防护 、安全风险

最佳答案是:b

97. 信息系统安全保护等级为3级的系统，应当（  ）年进行一次等级测评。

 a、0、1、2、

最佳答案是:b

98. 以下对访问许可描述不正确的是：

 a、访问许可定义了改变访问模式的能力或向其他主体传送这种能力的能力 

 b、有主性访问许可是对每个客体设置一个拥有者，拥有者对其客体具有全部控制权限 

 c、等级型访问控制许可通常按照组织机构人员结构关系来设置主体对客体的控制权 

 d、有主性访问许可是对每个客体设置一个拥有者，但拥有者不是唯一有权修改客体访问控制表的主体 

最佳答案是:d

99. 以下哪个选项不是信息安全需求较为常见的来源？

 a、法律法规与合同条约的要求 

 b、组织的原则、目标和规定 

 c、风险评估的结果 、安全架构和安全厂商发布的漏洞、病毒预警 

最佳答案是:d

100. 以下哪项不是风险评估阶段应该做的？

 a、对ISMS范围内的信息资产进行鉴定和估价 

 b、对信息资产面对的各种威胁和脆弱性进行评估 

 c、对已存在的成规划的安全控制措施进行界定。 

 d、根据评估结果实施相应的安全控制措施 

最佳答案是:d下载本文