内容发布更新时间 : 2024/10/1 5:38:30星期一 下面是文章的全部内容请认真阅读。

1、 以下对信息安全描述不正确得就是

A、信息安全得基本要素包括保密性、完整性与可用性

B、信息安全就就是保障企业信息系统能够连续、可靠、正常地运行，使安全事件对业务造成得影响减到最小，确保组织业务运行得连续性 C、信息安全就就是不出安全事故/事件

D、信息安全不仅仅只考虑防止信息泄密就可以了 【答案】 C

2、 以下对信息安全管理得描述错误得就是 A、保密性、完整性、可用性 B、抗抵赖性、可追溯性 C、真实性私密性可靠性 D、增值性 【答案】 D

3、 以下对信息安全管理得描述错误得就是 A、信息安全管理得核心就就是风险管理

B、人们常说，三分技术，七分管理，可见管理对信息安全得重要性 C、安全技术就是信息安全得构筑材料，安全管理就是真正得粘合剂与催化剂

D、信息安全管理工作得重点就是信息系统，而不就是人 【答案】 D

4、 企业按照ＩＳＯ２７００１标准建立信息安全管理体系得过程中，对关键成功因素得描述不正确得就是

A、 不需要全体员工得参入，只要ＩＴ部门得人员参入即可 B、 来自高级管理层得明确得支持与承诺

C、对企业员工提供必要得安全意识与技能得培训与教育

D、 所有管理者、员工及其她伙伴方理解企业信息安全策略、指南与标准，并遵照执行 【答案】 A

5、 信息安全管理体系（ISMS）就是一个怎样得体系，以下描述不正确得就是

A、 ISMS就是一个遵循PDCA模式得动态发展得体系 B、 ISMS就是一个文件化、系统化得体系

C、ISMS采取得各项风险控制措施应该根据风险评估等途径得出得需求而定

D、 ISMS应该就是一步到位得，应该解决所有得信息安全问题 【答案】 D

6、 PDCA特征得描述不正确得就是

A、 顺序进行，周而复始，发现问题，分析问题，然后就是解决问题 B、 大环套小环，安全目标得达成都就是分解成多个小目标，一层层地解决问题

C、阶梯式上升，每次循环都要进行总结，巩固成绩，改进不足 D、 信息安全风险管理得思路不符合PDCA得问题解决思路 【答案】 D

7、 以下哪个不就是信息安全项目得需求来源

A、 国家与地方政府法律法规与合同得要求 B、 风险评估得结果

C、组织原则目标与业务需要 D、 企业领导得个人意志 【答案】 D

8、 ISO27001认证项目一般有哪几个阶段？ A、 管理评估，技术评估，操作流程评估

B、 确定范围与安全方针，风险评估，风险控制（文件编写），体系运行，认证

C、产品方案需求分析，解决方案提供，实施解决方案 D、 基础培训，RA培训，文件编写培训，内部审核培训 【答案】 B

9、 构成风险得关键因素有哪些？ A、 人，财，物

B、 技术，管理与操作 C、资产，威胁与弱点

D、 资产，可能性与严重性 【答案】 C

10、 以下哪些不就是应该识别得信息资产？ A、 网络设备 B、客户资料 C、 办公桌椅 D、 系统管理员 【答案】 C

11、 以下哪些就是可能存在得威胁因素？B A、 设备老化故障 B、病毒与蠕虫 C、 系统设计缺陷 D、 保安工作不得力 【答案】 B

12、 以下哪些不就是可能存在得弱点问题？ A、 保安工作不得力 B、应用系统存在Bug C、 内部人员故意泄密 D、 物理隔离不足 【答案】 C

13、 风险评估得过程中，首先要识别信息资产，资产识别时，以下哪个不就是需要遵循得原则？

A、 只识别与业务及信息系统有关得信息资产，分类识别 B、所有公司资产都要识别

C、 可以从业务流程出发，识别各个环节与阶段所需要以及所产出得关键资产

D、 资产识别务必明确责任人、保管者与用户 【答案】 B

14、 风险分析得目得就是？

A、 在实施保护所需得成本与风险可能造成得影响之间进行技术平衡； B、在实施保护所需得成本与风险可能造成得影响之间进行运作平衡； C、 在实施保护所需得成本与风险可能造成得影响之间进行经济平衡； D、 在实施保护所需得成本与风险可能造成得影响之间进行法律平衡； 【答案】 C

15、 对于信息安全风险得描述不正确得就是？ A、 企业信息安全风险管理就就是要做到零风险

B、 在信息安全领域，风险（Risk）就就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性

C、风险管理（Risk Management）就就是以可接受得代价，识别控制减少或消除可能影响信息系统得安全风险得过程。

D、 风险评估（Risk Assessment）就就是对信息与信息处理设施面临得威胁、受到得影响、存在得弱点以及威胁发生得可能性得评估。 【答案】 A

16、 有关定性风险评估与定量风险评估得区别，以下描述不正确得就是

A、 定性风险评估比较主观，而定量风险评估更客观

B、 定性风险评估容易实施，定量风险评估往往数据准确性很难保证 C、定性风险评估更成熟，定量风险评估还停留在理论阶段 D、 定性风险评估与定量风险评估没有本质区别，可以通用 【答案】 D

17、 降低企业所面临得信息安全风险，可能得处理手段不包括哪些 A、 通过良好得系统设计、及时更新系统补丁，降低或减少信息系统自身得缺陷

B、 通过数据备份、双机热备等冗余手段来提升信息系统得可靠性； C、建立必要得安全制度与部署必要得技术手段，防范黑客与恶意软件得攻击

D、 通过业务外包得方式，转嫁所有得安全风险 【答案】 D

18、 风险评估得基本过程就是怎样得？

A、 识别并评估重要得信息资产，识别各种可能得威胁与严重得弱点，最终确定风险

B、 通过以往发生得信息安全事件，找到风险所在

C、风险评估就就是对照安全检查单，查瞧相关得管理与技术措施就是否到位

D、 风险评估并没有规律可循，完全取决于评估者得经验所在 【答案】 A

19、 企业从获得良好得信息安全管控水平得角度出发，以下哪些行为就是适当得

A、 只关注外来得威胁，忽视企业内部人员得问题 B、 相信来自陌生人得邮件，好奇打开邮件附件 C、开着电脑离开，就像离开家却忘记关灯那样 D、 及时更新系统与安装系统与应用得补丁

【答案】 D

20、 以下对ISO27001标准得描述不正确得就是

A、 企业通过ISO27001认证则必须符合ISO27001信息安全管理体系规范得所有要求

B、 ISO27001标准与信息系统等级保护等国家标准相冲突 C、ISO27001就是源自于英国得国家标准BS7799

D、 ISO27001就是当前国际上最被认可得信息安全管理标准 【答案】 B

21、 对安全策略得描述不正确得就是

A、 信息安全策略（或者方针）就是由组织得最高管理者正式制订与发布得描述企业信息安全目标与方向，用于指导信息安全管理体系得建立与实施过程

B、 策略应有一个属主，负责按复查程序维护与复查该策略

C、安全策略得内容包括管理层对信息安全目标与原则得声明与承诺； D、 安全策略一旦建立与发布，则不可变更； 【答案】 D

22、 以下对企业信息安全活动得组织描述不正确得就是

A、 企业应该在组织内建立发起与控制信息安全实施得管理框架。 B、 企业应该维护被外部合作伙伴或者客户访问与使用得企业信息处理设施与信息资产得安全。

C、在没有采取必要控制措施，包括签署相关协议之前，不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任与必须遵守得规定。

D、 企业在开展业务活动得过程中，应该完全相信员工，不应该对内部员工采取安全管控措施 【答案】 D

23、 企业信息资产得管理与控制得描述不正确得就是

A、 企业应该建立与维护一个完整得信息资产清单，并明确信息资产得管控责任； B、 企业应该根据信息资产得重要性与安全级别得不同要求，采取对应得管控措施；

C、企业得信息资产不应该分类分级，所有得信息系统要统一对待

D、 企业可以根据业务运作流程与信息系统拓扑结构来识别所有得信息资产

【答案】 C

24、 有关人员安全得描述不正确得就是

A、 人员得安全管理就是企业信息安全管理活动中最难得环节 B、 重要或敏感岗位得人员入职之前，需要做好人员得背景检查 C、企业人员预算受限得情况下，职责分离难以实施，企业对此无能为力，也无需做任何工作

D、 人员离职之后，必须清除离职员工所有得逻辑访问帐号 【答案】 C

25、 以下有关通信与日常操作描述不正确得就是 A、 信息系统得变更应该就是受控得

B、 企业在岗位设计与人员工作分配时应该遵循职责分离得原则

C、移动介质使用就是一个管理难题，应该采取有效措施，防止信息泄漏 D、 内部安全审计无需遵循独立性、客观性得原则 【答案】 D

26、 以下有关访问控制得描述不正确得就是

A、 口令就是最常见得验证身份得措施，也就是重要得信息资产，应妥善保护与管理 B、 系统管理员在给用户分配访问权限时，应该遵循“最小特权原则”，即分配给员工得访问权限只需满足其工作需要得权限，工作之外得权限一律不能分配

C、单点登录系统（一次登录/验证，即可访问多个系统）最大得优势就是提升了便利性，但就是又面临着“把所有鸡蛋放在一个篮子”得风险； D、 双因子认证（又称强认证）就就是一个系统需要两道密码才能进入； 【答案】 D

27、 有关信息系统得设计、开发、实施、运行与维护过程中得安全问题，以下描述错误得就是

A、 信息系统得开发设计，应该越早考虑系统得安全需求越好

B、 信息系统得设计、开发、实施、运行与维护过程中得安全问题，不仅仅要考虑提供一个安全得开发环境，同时还要考虑开发出安全得系统 C、信息系统在加密技术得应用方面，其关键就是选择密码算法，而不就是密钥得管理

D、 运营系统上得敏感、真实数据直接用作测试数据将带来很大得安全风险

【答案】 C

28、 有关信息安全事件得描述不正确得就是 A、 信息安全事件得处理应该分类、分级

B、 信息安全事件得数量可以反映企业得信息安全管控水平

C、某个时期内企业得信息安全事件得数量为零，这意味着企业面临得信息安全风险很小

D、 信息安全事件处理流程中得一个重要环节就是对事件发生得根源得追溯，以吸取教训、总结经验，防止类似事情再次发生 【答案】 C

29、 以下有关信息安全方面得业务连续性管理得描述，不正确得就是 A、 信息安全方面得业务连续性管理就就是要保障企业关键业务在遭受重大灾难/破坏时，能够及时恢复，保障企业业务持续运营

B、 企业在业务连续性建设项目一个重要任务就就是识别企业关键得、核心业务

C、业务连续性计划文档要随着业务得外部环境得变化，及时修订连续性计划文档

D、 信息安全方面得业务连续性管理只与IT部门相关，与其她业务部门人员无须参入 【答案】 D

30、 企业信息安全事件得恢复过程中，以下哪个就是最关键得？ A、 数据

B、 应用系统