C、表明管理者意图的高层陈述
D、表明所使用的技术控制措施的高层陈述
56、资产管理是信息安全管理的重要内容,而清楚的识别信息系统相关的财产,并编制资产清单是资产管理的重要步骤。下面关于资产清单的说法错误的是: A、资产清单的编制是风险管理的一个重要的先决条件
B、信息安全管理中所涉及的信息资产,即业务数据、合同协议、培训材料等
C、在制定资产清单的时候应根据资产的重要性、业务价值和安全分类,确定与资产重要性相对应的保护级别
D、资产清单中应当包括将资产从灾难中恢复而需要的信息,如资产类型、格式、位置、备份信息、许可信息等
57、为什么一个公司内部的风险评估团队应该由来自不同部门的人员组成? A、确保风险评估过程是公平的
B、因为风险正是由于这些来自不同部门的人员所引起的,因此他们应该承担风险评估的职责
C、因为不同部门的人员对本部门所面临的风险最清楚,由此进行的风险评估也最接近于实际情况
D、风险评估团队不应该由来自不同部门的人员组成,而应该由一个来自公司外部的小型团队组成 58、信息分类是信息安全管理工作的重要环节,下面那一项不是对信息进行分类时需要重点考虑的? A、信息的价值 B、信息的时效性 C、信息的存储方式 D、法律法规的规定
59、下面哪一项关于对违反安全规定的员工进行惩戒的说法是错误的? A、对安全违规的发现和验证是进行惩戒的重要前提 B、惩戒措施的一个重要意义在于它的威慑性
C、出于公平,进行惩戒时不应考虑员工是否是初犯,是否接受过培训
D、尽管法律诉讼是一种严厉有效的惩戒手段,但使用它时一定要十分慎重
60、风险分析的目标是达到:
A、风险影响和保护性措施之间的价值平衡 B、风险影响和保护性措施之间的操作平衡 C、风险影响和保护性措施之间的技术平衡 D、风险影响和保护性措施之间的逻辑平衡
61、以下对“信息安全风险”的描述正确的是
A、是来自外部的威胁利用了系统自身存在脆弱性作用于资产形成风险 B、是系统自身存在的威胁利用了来自外部的脆弱性作用于资产形成风险 C、是来自外部的威胁利用了系统自身存在的脆弱性作用于网络形成风险
D、是系统自身存在的威胁利用了来自外部的脆弱性作用于网络形成风险
62、在ISO27001-2005中,制定风险处置计划应该在PDCA的哪个阶段进行? A、Plan B、Do C、Check D、Act
63、在冗余磁盘陈列中,以下不具有容错技术的是—— A、RAID 0 B、RAID 1 C、RAID 3 D、RAID 5
64、为了达到组织灾难恢复的要求,备份时间间隔不能超过; A、服务水平目标(SLO) B、恢复时间目标(RTO) C、恢复点目标(RPO)
D、停用的最大可接受程度(MAO)
65、以下对信息安全应急响应说法错误的是?
A、明确处理安全事件的工作职责和工作流程是应急响应工作中非常重要的--------
B、仅仅处理好紧急事件不是应急工作的的全部,通过信息安全事件进行总结和学习是很重要--------
C、对安全事件的报告和对安全弱点的报告都是信息安全事件管理的重要内容
D、作为一个单位的信息安全主管,在安全事件中主要任务------------------完全是执法机构的事 66、目前数据大集中是我国重要的大型分布式信息系统建设和发展的趋势,数据大集中就是将数据集中存储和管理,为业务信息系统的运行搭建了统一的数据平台,对这种做法的认识正确的是?
A.数据库系统庞大会提高管理成本 B.数据库系统庞大会降低管理效率 C.数据的集中会降低风险的可控性 D. 数据的集中会造成风险的集中
67、对程序源代码进行访问控制管理时,以下那种做法是错误的? A.若有可能,在实际生产系统中不保留源程序库。 B.对源程序库的访问进行严格的审计
C.技术支持人员应可以不受限制的访问源程序
D.对源程序库的拷贝应受到严格的控制规程的制约
68、以下对系统日志信息的操作中哪项是最不应当发生的? A、对日志内容进行编辑
B、只抽取部分条目进行保存和查看 C、用新的日志覆盖旧的日志
D、使用专用工具对日志进行分析
69、以下哪一项是对信息系统经常不能满足用户需求的最好解释: A、没有适当的质量管理工具 B、经常变化的用户需求 C、用户参与需求挖掘不够 D、项目管理能力不强
70、许多安全管理工作在信息系统生存周期中的运行维护阶段发生。以下哪一种行为通常是不是在这一阶段中发生的? A、进行系统备份 B、管理加密密钥 C、认可安全控制措施 D、升级安全软件
71、在信息安全管理工作中“符合性”的含义不包括哪一项? A、对法律法规的符合
B、对安全策略和标准的符合 C、对用户预期服务效果的符合 D、通过审计措施来验证符合情况
72、下面哪一项最准确的阐述了安全监测措施和安全审计措施之间的区别? A、审计措施不能自动执行,而检测措施可以自动执行 B、监视措施不能自动执行,而审计措施可以自动执行
C、审计措施是一次性地或周期性地进行,而监测措施是实时地进行 D、监测措施一次性地或周期性地进行,而审计措施是实时地进行
73、口令是验证用户身份的最常用手段,以下哪一种口令的潜在风险影响范围最大? A、长期没有修改的口令 B、过短的口令
C、两个人公用的口令
D、设备供应商提供的默认口令
74、系统工程是信息安全工程的基础学科,钱学森说:“系统工程时组织管理系统规划,研究、制造、实验,科学的管理方法,使一种对所有系统都具有普遍意义的科学方法,以下哪项对系统工程的理解是正确的 A、系统工程是一种方法论
B、系统工程是一种技术实现 C、系统工程是一种基本理论
D、系统工程不以人参与系统为研究对象
75、项目管理是信息安全工程的基本理论,以下哪项对项目管理的理解是正确的: A、项目管理的基本要素是质量,进度和成本 B、项目管理的基本要素是范围,人力和沟通
C、项目管理是从项目的执行开始到项目结束的全过程进行计划、组织
D、项目管理是项目的管理者,在有限的资源约束下,运用系统的观点,方法和理论。对项目涉及的技术工作进行有效地管理
76、在信息系统的设计阶段必须做以下工作除了: A、决定使用哪些安全控制措施 B、对设计方案的安全性进行评估 C、开发信息系统的运行维护手册 D、开发测试、验收和认可方案
77、进行信息安全管理体系的建设是一个涉及企业文化,信息系统特点,法律法规等多方面因素的负杂过程,人们在这样的过程中总结了许多经验,下面哪一项是最不值得赞同的? A、成功的信息安全管理体系建设必须得到组织的高级管理的直接支持 B、制定的信息安全管理措施应当与组织的文化环境相匹配 C、应该对ISO27002等国际标注批判地参考,不能完全照搬
D、借助有经验的大型国际咨询公司,往往可以提高管理体系的执行效
78、信息系统安全保障工程是一门跨学科的工程管理过程,他是基于对信息系统安全保障需求的发掘和对——————的理解,以经济,科学的方法来设计、开发、和建设信息系统,以便他能满足用户安全保障需求的科学和艺术。 A、安全风险 B、安全保障 C、安全技术 D、安全管理
79、关于SSE-CMM的描述错误的是:
A、1993年4月美国国家安全局资助,有安全工业界,英国国防部办公室和加拿大通信安全机构共同组成SSE-CMM项目组。
B、SSE-CMM的能力级别分为6个级别。
C、SSE-CMM讲安全工程过程划分为三类:风险、工程和保证。 D、SSE的最高能力级别是量化控制
80、下面对SSE-CMM说法错误的是?
A、它通过域维和能力维共同形成对安全工程能力的评价 B、域维定义了工程能力的所有实施活动