内容发布更新时间 : 2024/5/4 15:38:02星期一 下面是文章的全部内容请认真阅读。

最佳答案是:b

69. 在信息安全管理中进行_______，可以有效解决人员安全意识薄弱问题。

a、内容监控 b、安全教育和培训 c、责任追查和惩处 d、访问控制 最佳答案是:b

70. 以下哪一项最能体现27002管理控制措施中预防控制措施的目的？

a、减少威胁的可能性 b、减少灾难发生的可能性 c、防御风险的发生并降低其影响

最佳答案是:d

71. 关于外包的论述不正确的是：

a、企业经营管理中的诸多操作成服务都可以外包

b、通过业务外包，企业也把相应的风险承担者转移给了外包商，企业从此不必对外包业务负任何直接或间接的责任

c、虽然业务可以外包，但是对与外包业务的可能的不良后果，企业仍然承担责任 d、过多的外包业务可能产生额外的操作风险或其他隐患 最佳答案是:b

72. 以下哪一项措施可最有效地支持24/7可用性？

a、日常备份 b、异地存储 c、镜像 d、定期测试 最佳答案是:c

73. 企业最终决定直接采购商业化的软件包，而不是开发。那么，传统的软件开发生产周期（SDLC）中设计和开发阶段，就被置换为：

a、挑选和配置阶段 b、可行性研究和需求定义阶段 c、实施和测试阶段 d、（无，不需要置换） 最佳答案是:a

74. 下面哪一项为系统安全工程能力成熟度模型提供了评估方法： a、ISSE b、SSAM c、SSR d、．GEM 最佳答案是:b

75. 按照SSE-CMM，能力级别第三级是指：

a、定量控制 b、计划和跟踪 c、持续改进 d、充分定义 最佳答案是:b

76. 下列哪项不是SSE-CMM模型中工程过程的过程区别？

a、明确安全需求 b、评估影响 c、提供安全输入 d、协调安全 最佳答案是:b

77. 以下对PDCA循环解释不正确的是:

a、处理 b、实施 c、检查 d、行动 最佳答案是:a

78. 在SSE-CMM中对工程过程能力的评价分为三个层次，由宏观到微观依次是: a、能力级别-公共特征(CF)-通用实践(GP) b、能力级别-通用实践-(GP)-公共特征(CF) c、通用实践-(GP)-能力级别-公共特征(CF) d、公共特征(CF)-能力级别-通用实践-(CP) 最佳答案是:a

79. 根据SSE-CMM，安全工程过程能力由低到高划分为:

a、未实施、基本实施、计划跟踪、充分定义、量化控制和持续改进等6个级别 b、基本实施、计划跟踪、充分定义、量化控制和持续改进等5个级别

c、基本实施、计划跟踪、量化控制、充分定义和持续改进等5个级别 d、未实施、基本实施、计划跟踪、充分定义4个级别 最佳答案是:a

80. 下列哪项不是SSE-CMM模型中工程过程的过程区域？

a、明确安全需求 b、评估影响 c、提供安全输入 d、协调安全 最佳答案是:b

81. 系统安全工程不包含以下哪个过程类:

a、工程过程类 b、组织过程类 c、管理过程类 d、项目过程类 最佳答案是:c

82. ISSE(信息系统安全工程)是美国发布的IATF3.0版本中提出的设计和实施信息系统________。

a、安全工程方法 b、安全工程框架 c、安全工程体系结构 d、安全工程标准 最佳答案是:a

83. 不同信息安全发展阶段，信息安全具有不同的的特征，在信息安全保障阶段信息安全的基本特征不包括：

a、具有高度复杂性和不能控制的特点

b、具有保护对象全生命周期安全要求的特征 c、具有多层次和多角度的体系化防御要求的特征 d、具有动态发展变化的特征 最佳答案是:a

84. 信息安全工作具有投资收益的要求，以下关于信息安全与业务发展的关系说法最准确的是：

a、信息安全的投入很容易测算其产生收益的 b、信息安全为业务发展提供基础安全保障 c、信息安全与网络信息系统有着密切联系 d、信息安全的投入是不能测算其产生收益的 最佳答案是:b

85. PDR模型和P2DR模型采用了动态循环的机制实现系统保护、检测和响应。这种模型的特点理解错误的是：

a、模型已入了动态时间基线，符合信息安全发展理念 b、模型强调持续的保护和响应，符合相对安全理念 c、模型是基于人为的管理和控制而运行的

d、模型引入了多层防御机制，符合安全的“木桶原理” 最佳答案是:c

86. 从风险的观点来看，一个具有任务紧急性，核心功能性的计算机应用程序系统的开发和维护项目应该：

a、内部实现 b、外部采购实现 c、合作实现 d、多来源合作实现 最佳答案是:a

87. 在许多组织机构中，产生总体安全性问题的主要原因是：

a、缺少安全性管理 b、缺少故障管理 c、缺少风险分析 d、缺少技术控制机制

最佳答案是:a

88. 如果对于程序变动的手工控制收效甚微，以下哪一种方法将是最有效的？ a、自动软件管理 b、书面化制度 c、书面化方案 d、书面化标准

最佳答案是:a

89. 以下哪一项不是《信息安全事件分级分类指南》中信息安全事件分级需要参考的三个重要因素之一？ a、信息系统的重要程度 b、信息系统的用户数量 c、事件造成的系统损失 d、事件造成的社会影响 最佳答案是:b

90. 依照《信息安全事件分级分类指南》中对信息安全事件分类的规定，以下哪一项属于有害程序事件？

a、信息被篡改 b、黄色反动信息传播 c、网络钓鱼 d、木马攻击 最佳答案是:d

91. 在编制一个单位的信息安全响应计划时，以下哪一项的内容是最全面的？ a、角色与职责、预防和预警机制、应急响应流程、应急响应保障措施。 b、角色与职责、预防和预警机制、应急响应流程、应急响应联络措施。 c、应急组织架构、预防和预警机制、应急响应流程、人力保障、技术保障。

d、应急组织架构、事件检测机制、事件预警通报机制、应急响应流程、人力保障、技术保障。 e、

最佳答案是:a

92. 通常情况下，以下哪一种数据的更新变化频率最高，对备份系统的数据备份频率要求也最高？

a、业务应用数据 b、临时数据 c、基础数据 d、系统数据 最佳答案是:a

93. 在进行灾难恢复需求分析的过程中，进行哪项工作可以帮助充分了解技术系统对业务重要性？

a、业务影响分析（BIA） b、确定灾难恢复目标 c、制定灾难恢复策略 d、制定灾难恢复预案 最佳答案是:a

94. 风险管理的监控与审查不包含：

a、过程质量管理 b、成本效益管理 c、跟踪系统自身或所处环境的变化 d、协调内外部组织机构风险管理活动 最佳答案是:d

95. 衡量残余风险应当考虑的因素为：

a、威胁，风险，资产价值 b、威胁，资产价值，脆弱性

c、单次损失，年度发生率 d、威胁，脆弱性，资产价值，控制措施效果 最佳答案是:d

96. 信息安全管理体系是基于（）的方法，来建立、实施、运作、监视、评审、保持和改进信息安全。

a、信息安全 b、业务风险 c、信息系统防护 d、安全风险 最佳答案是:b

97. 信息系统安全保护等级为3级的系统，应当（）年进行一次等级测评。 a、0.5 b、1 c、2 d、3 最佳答案是:b

98. 以下对访问许可描述不正确的是：

a、访问许可定义了改变访问模式的能力或向其他主体传送这种能力的能力

b、有主性访问许可是对每个客体设置一个拥有者，拥有者对其客体具有全部控制权限 c、等级型访问控制许可通常按照组织机构人员结构关系来设置主体对客体的控制权 d、有主性访问许可是对每个客体设置一个拥有者，但拥有者不是唯一有权修改客体访问控制表的主体 最佳答案是:d

99. 以下哪个选项不是信息安全需求较为常见的来源？ a、法律法规与合同条约的要求 b、组织的原则、目标和规定

c、风险评估的结果 d、安全架构和安全厂商发布的漏洞、病毒预警 最佳答案是:d

100. 以下哪项不是风险评估阶段应该做的？ a、对ISMS范围内的信息资产进行鉴定和估价 b、对信息资产面对的各种威胁和脆弱性进行评估 c、对已存在的成规划的安全控制措施进行界定。 d、根据评估结果实施相应的安全控制措施 最佳答案是:d