发布时间 : 星期日 文章信息安全管理体系ISMS2016年6月考题更新完毕开始阅读90a549726529647d262852a2
2016信息安全管理体系(ISMS)审核知识试卷
2016年6月
一、单选题
1、 密码就是一种用于保护数据保密性的密码学技术、由()方法及相应运行过程。
A、 加密算法和密钥生成
B、 加密算法、解密算法、密钥生成 C、 解密算法、密钥生成 D、 加密算法、解密算法
2、 计算机安全保护等级的第三级是()保护等级
A、用户自主 B、安全标记C、系统审计D、结构化
3、 隐蔽信道是指允许进程以()系统安全策略的方式传输信息的通信信道 A、补强 B、有益C、保护 D、危害 4、
5、
6、 ISMS关键成功因素之一是用于评价信息安全
A、测量 B、报告C、传递 D、评价 7、 防止恶语和移动代码是保护软件和信息的()
A、完整性 B、保密性 C、可用性D、以上全部
8、 以下强健口令的是()
A、a8mom9y5fub33 B、1234 C、Cnas D、Password
9、 开发、测试和()设施应分离、以减少未授权访问或改变运行系统的风险
A、 系统 B、终端C、配置 D、运行
10、设备、()或软件在授权之前不应带出组织场所
A、手机 B、文件C、信息 D、以上全部
11、包含储存介质的设备的所有项目应进行核查,以确保在处置之前,()和注册软件已被删
除或安全地写覆盖
A、系统软件B、游戏软件C、杀毒软件 D、任何敏感信息
12、雇员、承包方人员和()的安全角色和职责应按照组织的信息安全方针定义并形成文件 A、第一方人员 B、第二方人员C、第三方人员 D、IT经理
13、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包含在()合同
中。
A、雇员B、承包方人员 C、第三方人员D、A+B+C 14、ISMS文件的多少和详细程度取决于()
A、组织的规模和活动的类型 B、过程及其相互作用的复杂程度 C、人员的能力 D、A+B+C 15、为确保信息资产的安全,设备、信息和软件在()之前不应带出组织 A、使用 B、授权C、检查合格 D、识别出薄弱环节
16、对于所有拟定的纠正和预防措施,在实施前应先通过()过程进行评审。 A、薄弱环节识别 B、风险分析 C、管理方案 D、A+B
17、组织机构在应建立起评审ISMS时,应考虑()
A、风险评估的结果B、管理方案C、法律、法规和其它要素 D、A+C
18、ISMS管理评审的输出应包括:
A、可能影响ISMS的任何变更B、以往风险评估没有充分强调的薄弱点或威胁 C、风险评估和风险处理计划的更新D、改进的建议
19、在信息安全管理中进行(),可以有效解决人员安全意识薄弱问题。
A、内容监控 B、安全教育和培训C、责任追查和惩处 D、访问控制
20、经过风险处理后遗留的风险是()
A、重大风险 B、有条件的接受风险C、不可接受的风险 D、残余风险
21、()是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反
或防护措施的失效,或是和安全关联的一个先前未知的状态。
A、信息安全事态 B、信息安全事件C、信息安全事故 D、信息安全故障
22、系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应
用程序、数据库系统、用户设置、系统参数等信息,以便迅速()。
A、恢复全部程序B、回复网络设置 C、回复所有数据 D、恢复整个系统
23、不属于计算机病毒防治的策略的是()。
A、确认您手头常备一张真正“干净”的引导盘B、及时、可靠升级反病毒产品 C、新购置的计算机软件也要进行病毒检测 D、整理磁盘
24、为了取保布线安全,以下不正确的做法是()。
A、使用同一电缆管道铺设电源电缆和通讯电缆
B、网络电缆采用明线架设,以便于探查故障和维修
C、配线盘应尽量放置在公共可访问区域,以便于应急管理 D、使用配线标记和设备标记,编制配线列表
25、不属于常见的危险密码是()。
A、跟用户名相同的密码 B、使用生日作为密码 C、只有4位数的密码D、10位数的综合型密码
26、在每天下午5点使用计算机结束时断开终端的连接属于()。 A、外部终端的物理安全 B、通信线的物理安全 C、窃听数据D、网络地址欺骗
27、不属于WEB服务器的安全措施的是()。
A、保证注册账户的时效性 B、删除死账户
C、强制用户使用不易被破解的密码 D、所有用户使用一次性密码
28、1999年,我国发布的第一个信息安全等级保护的国家标准GB17859-1999,提出将信息系
统的安全等级划分为()个等级,并提出每个级别的安全功能要求。 A、7 B、8 C、6 D、5
29、文件初审是评价受审方ISMS文件的描述与审核准则的() A、充分性和适宜性B、有效性和符合性
C、适宜性、充分性和有效性 D、以上都不对
30、在认证审核时、一阶段审核是()。
A、是了解受审方ISMS是否正常运行的过程B、是必须进行的 C、不是必须的过程 D、以上都不准确
31、末次会议包括()
A、请受审方确认不符合报告、并签字 B、向受审核方递交审核报告
C、双方就审核发现的不同意见进行讨论 D、以上都不准确
32、审核组长在末次会议上宣布的审核结论是依据()得出的。
A、审核目的 B、不符合项的严重程度 C、所有的审核发现 D、A+B+C
33、将收集的审核证据对照()进行评价的结果是审核发现
A、GB/T22080标准 B、法律、法规要求 C、审核准则 D、信息安全管理体系文件
34-45未知
三、阐述题(每题10分,共20分)
46、审核员在现场审核时,发现公司存有一份软件清单,当询问清单上所列的软件是否都是通
过正规途径购买的软件,管理员回答有的是到正规商店,有的是通过网络购买的。如果您是审核员,您会如何审核?
47、什么是信息安全事态并举例说明。
四、案例分析题(每题6分,5题,共30分)
48、审核员在公司的资产登记表中发现,公司于年初将一批2003年购置的电脑特价处理给了
员工,这些电脑原用于核心业务系统,当询问系统管理员是否在出售前进行格式化处理,该系统管理员说:“由于当时新进了许多新的电脑设备,需要安装测试,没空处理老的电脑,再说这些都是卖给自己员工的,他们本身就接触到这些信息”。
49、审核员发现某软件开发公司在暑假期间聘请了三位大学生来做软件测试,但在人事部门未
找到相关的保密协议,也未见有关要求的培训记录,人事经理解释说:“他们在测试期间没有接触到软件的核心机密信息,所以不需要签保密协议,也不需要进行ISMS的培训”。
50、某财务外包公司办公作业现场员工正在使用的标准版金蝶财务软件为客户进行记账服务,
其默认帐号是manage,不需要每次进系统时重新输入,业务主管解释说:“由于没有外人,为了工作方便,所以,我们把登录口令也省掉了,不需要每次进系统前输入口令”。
51、XX银行在2008年一季度发生了10起开通网上转账客户的资金损失事故,左后经确认是
密码系统设计太简单,并赔偿客户损失。但在2008年4-5月又发生7起类似事故。系统管理员说:“我们目前也没有办法,只能赔款了”。
52、审查某知名网站的总部时,审核员来到陈列室发现任何客户可以随意进入。并且该陈列室
中有5台演示用的台式电脑可以连接外网和内网。现场有的参观人员正在上网查询该公司网站的资料。