C.数据的集中会降低风险的可控性 D. 数据的集中会造成风险的集中
65.管理者何时可以根据风险分析结果对已识别风险不采取措施
A.当必须的安全对策的成本高出实际风险的可能造成的谴责负面影响时 B.当风险减轻方法提高业务生产力时
C.当引起风险发生的情况不在部门控制范围之内时 D.不可接受
66.在风险评估中进行定量的后果分析时,如果采用年度风险损失值的方法进行计算,应当使用一下哪个公式?
A.SLE(单次损失预期值)x ARO(年度发生率) B.ARO(年度发生率)x EF(暴露因子)
C.SLE(单次损失预期值)x EF(暴露因子) x ARO(年度发生率) D.SLE(单次损失预期值)x ARO(年度发生率)—EF(暴露因子)
67风险管理的重点:
A.将风险降低到可以接受的程度 B.不计代价的降低风险 C.将风险转移给第三方 D.惩罚违反安全策略规定的雇员
68.风险评估按照评估者的不同可以分为自评估和第三方评估,这两种评估方式最本质的差别是什么? A.评估结果的客观性 B.评估工具的专业程度 C.评估人员的技术能力 D.评估报告的形式
69.以下关于风险管理的描述不正确的是?
A.风险的四种控制方法有:减低风险/转嫁风险/规避风险/接受风险 B.信息安全风险管理是否成功在于发现是否切实被消除了
C.组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全
D.信息安全风险管理是基于可接受的成本,对影响信息系统的安全风险进行识别多少或消除的过程。
70.从风险分析的观点来看,计算机系统的最主要安全脆弱性存在于—— A.计算机内部处理 B.系统输入输出 C.网络和通讯 D.数据存储介质
71.以下选项中那一项是对信息安全风险采取的纠正机制? A.访问控制 B.入侵检测 C.灾难恢复 D.防病毒系统
72.下面哪一项最准确的阐述了安全检测措施和安全审计之间的区别? A.审计措施不能自动执行,而检测措施可以自动执行 B.检测措施不能自动执行,而审计措施可以自动执行
C.审计措施是一次性的或周期性的进行,而检测措施是实时的进行 D.检测措施是一次性的或周期性的进行,而审计措施是实时的进行
73.下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的: A.设置网络连接时限 B.记录并分析系统错误日志 C.记录并分析用户和管理员日志 D.时钟同步
74.信息分类是信息安全管理工作的重要环节,下面哪一项不是对信息进行分类时需要重点考虑的? A.信息的价值 B.信息的时效性 C.信息的存储 D.法律法规的规定
75.下面关于ISO27002说法错误的是? A.ISO27002前身是ISO17799—1
B.ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用,但不是全部
C.ISO27002对于每个控制措施的表述分:“控制措施、实施指南和其他信息”三个部分来进行描述
D.ISO27002提出了十一大类安全管理措施,其中风险评估和处置是处于核心地位的一类安全措施?
76.进行信息安全管理体系的建设是一个涉及企业文化,信息系统特点、法律法规限制等多方面因素的复杂过程,人们在这样的过程中总结了许多经验,下面哪一项是最不值得被赞同的。
A.成功的信息安全管理体系建设必须得到组织的高级管理层的直接支持。 B.制定的信息安全管理措施应当与组织的文化环境相匹配 C.应该对ISO27002国际标准批判的参考,不能完全照搬
D.借助有经验的大型国际咨询公司,往往可以提高公司管理体系的执行效果
77.那一类防火墙具有根据传输信息的内容(如关键字、文件类型)来控制访问链接的能力? A.包过滤防火墙 B.状态检测防火墙 C.应用网关防火墙 D.以上都不能
78下面哪一项不是黑客攻击在信息收集阶段使用的工具或命令。 A.NMAP B.NLSOOKUP C.ICESWord D.X scan
53信安标委中哪个小组负责信息安全管理工作? A、WG1 B、WG5 C、WG7