信息安全管理體系ISMS2016年6月考題

2016信息安全管理體系（ISMS）審核知識(shí) 試卷2016年2016年6月一、單選題1、 密碼就是一種用于保護(hù)數(shù)據(jù)保密性的密碼學(xué)技術(shù)、由（）方法及相應(yīng)運(yùn)行過程。A、 加密算法和密鑰生成B、 加密算法、解密算法、密鑰生成C、 解密算法、密鑰生成D、 加密算法、解密算法2、 計(jì)算機(jī)安全保護(hù)等級(jí)的第三級(jí)是（）保護(hù)等級(jí)A、用戶自主 B、安全標(biāo)記 C、系統(tǒng)審計(jì)D、結(jié)構(gòu)化3、隱蔽信道是指允許進(jìn)程以（）系統(tǒng)安全策略的方式傳輸信息的通信信道A、補(bǔ)強(qiáng) B、有益 C、保護(hù)D、危害4、4、6、ISMS關(guān)鍵成功因素之一是用于評(píng)價(jià)信息安全6、ISMS關(guān)鍵成功因素之一是用于評(píng)價(jià)信息安全A、測(cè)量 B、報(bào)告 C、傳遞D、評(píng)價(jià)7、防止惡語和移動(dòng)代碼是保護(hù)軟件和信息的（）A、完整性 B、保密性C、可用性D、以上全部8、以下強(qiáng)健口令的是（）A、8、以下強(qiáng)健口令的是（）A、a8mom9y5fub33B、1234C、CnasD、Password9、開發(fā)、測(cè)試和（）設(shè)施應(yīng)分離、以減少未授權(quán)訪問或改變運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)A、系統(tǒng) B、終端 C、配置D、運(yùn)行10、 設(shè)備、（）或軟件在授權(quán)之前不應(yīng)帶出組織場(chǎng)所A、手機(jī) B、文件 C、信息 D、以上全部11、 包含儲(chǔ)存介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行核查，以確保在處置之前，（）和注冊(cè)軟件已被刪除或安全地寫覆蓋A、系統(tǒng)軟件 B、游戲軟件 C、殺毒軟件 D、任何敏感信息12、 雇員、承包方人員和（）的安全角色和職責(zé)應(yīng)按照組織的信息安全方針定義并形成文件A、第一方人員 B、第二方人員 C、第三方人員D、IT經(jīng)理13、 對(duì)于任用的終止或變化時(shí)規(guī)定職責(zé)和義務(wù)在任用終止后仍然有效的內(nèi)容應(yīng)包含在（）合同中。A、雇員 B、承包方人員C、第三方人員 D、A+B+C14、 ISMS文件的多少和詳細(xì)程度取決于（）A、 組織的規(guī)模和活動(dòng)的類型B、 過程及其相互作用的復(fù)雜程度C、 人員的能力D、 A+B+C15、 為確保信息資產(chǎn)的安全，設(shè)備、信息和軟件在（）之前不應(yīng)帶出組織A、使用 B、授權(quán)C、檢查合格 D、識(shí)別出薄弱環(huán)節(jié)16、 對(duì)于所有擬定的糾正和預(yù)防措施，在實(shí)施前應(yīng)先通過（）過程進(jìn)行評(píng)審。A、薄弱環(huán)節(jié)識(shí)別 B、風(fēng)險(xiǎn)分析C、管理方案 D、A+B17、 組織機(jī)構(gòu)在應(yīng)建立起評(píng)審ISMS時(shí)，應(yīng)考慮（）A、風(fēng)險(xiǎn)評(píng)估的結(jié)果 B、管理方案 C、法律、法規(guī)和其它要素D、A+C18、 ISMS管理評(píng)審的輸出應(yīng)包括：A、可能影響ISMS的任何變更 B、以往風(fēng)險(xiǎn)評(píng)估沒有充分強(qiáng)調(diào)的薄弱點(diǎn)或威脅C、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新D、改進(jìn)的建議19、 在信息安全管理中進(jìn)行（），可以有效解決人員安全意識(shí)薄弱問題。A、內(nèi)容監(jiān)控 B、安全教育和培訓(xùn) C、責(zé)任追查和懲處D、訪問控制20、 經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)是（）A、重大風(fēng)險(xiǎn) B、有條件的接受風(fēng)險(xiǎn)C、不可接受的風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)21、 （）是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)。A、信息安全事態(tài) B、信息安全事件C、信息安全事故D、信息安全故障22、 系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫(kù)系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速（）。A、恢復(fù)全部程序B、回復(fù)網(wǎng)絡(luò)設(shè)置C、回復(fù)所有數(shù)據(jù)D、恢復(fù)整個(gè)系統(tǒng)23、 不屬于計(jì)算機(jī)病毒防治的策略的是（）。A、確認(rèn)您手頭常備一張真正“干凈”的引導(dǎo)盤 B、及時(shí)、可靠升級(jí)反病毒產(chǎn)品C、新購(gòu)置的計(jì)算機(jī)軟件也要進(jìn)行病毒檢測(cè) D、整理磁盤24、 為了取保布線安全，以下不正確的做法是（）。A、 使用同一電纜管道鋪設(shè)電源電纜和通訊電纜B、 網(wǎng)絡(luò)電纜采用明線架設(shè)，以便于探查故障和維修C、 配線盤應(yīng)盡量放置在公共可訪問區(qū)域，以便于應(yīng)急管理D、 使用配線標(biāo)記和設(shè)備標(biāo)記，編制配線列表25、 不屬于常見的危險(xiǎn)密碼是（）。A、跟用戶名相同的密碼B、使用生日作為密碼C、只有4位數(shù)的密碼D、10位數(shù)的綜合型密碼26、 在每天下午5點(diǎn)使用計(jì)算機(jī)結(jié)束時(shí)斷開終端的連接屬于（）。A、外部終端的物理安全 B、通信線的物理安全C、竊聽數(shù)據(jù) D、網(wǎng)絡(luò)地址欺騙27、 不屬于WEB服務(wù)器的安全措施的是（）。A、保證注冊(cè)賬戶的時(shí)效性B、刪除死賬戶C、強(qiáng)制用戶使用不易被破解的密碼D、所有用戶使用一次性密碼28、 1999年，我國(guó)發(fā)布的第一個(gè)信息安全等級(jí)保護(hù)的國(guó)家標(biāo)準(zhǔn)GB17859-1999，提出將信息系統(tǒng)的安全等級(jí)劃分為（）個(gè)等級(jí)，并提出每個(gè)級(jí)別的安全功能要求。A、7 B、8C、6 D、529、 文件初審是評(píng)價(jià)受審方ISMS文件的描述與審核準(zhǔn)則的（）A、充分性和適宜性 B、有效性和符合性C、 適宜性、充分性和有效性D、以上都不對(duì)30、 在認(rèn)證審核時(shí)、一階段審核是（）。人、是了解受審方ISMS是否正常運(yùn)行的過程 B、是必須進(jìn)行的C、不是必須的過程 D、以上都不準(zhǔn)確31、 末次會(huì)議包括（）A、 請(qǐng)受審方確認(rèn)不符合報(bào)告、并簽字B、 向受審核方遞交審核報(bào)告。、雙方就審核發(fā)現(xiàn)的不同意見進(jìn)行討論D、 以上都不準(zhǔn)確32、 審核組長(zhǎng)在末次會(huì)議上宣布的審核結(jié)論是依據(jù)（）得出的。A、審核目的 B、不符合項(xiàng)的嚴(yán)重程度C、所有的審核發(fā)現(xiàn) D、A+B+C33、 將收集的審核證據(jù)對(duì)照（）進(jìn)行評(píng)價(jià)的結(jié)果是審核發(fā)現(xiàn)A、GB/T22080標(biāo)準(zhǔn) B、法律、法規(guī)要求C、審核準(zhǔn)則 D、信息安全管理體系文件34-45未知三、闡述題（每題10分，共20分）46、審核員在現(xiàn)場(chǎng)審核時(shí)，發(fā)現(xiàn)公司存有一份軟件清單，當(dāng)詢問清單上所列的軟件是否都是通過正規(guī)途徑購(gòu)買的軟件，管理員回答有的是到正規(guī)商店，有的是通過網(wǎng)絡(luò)購(gòu)買的。如果您是審核員，您會(huì)如何審核？47、什么是信息安全事態(tài)并舉例說明。四、案例分析題（每題6分，5題，共30分）48、 審核員在公司的資產(chǎn)登記表中發(fā)現(xiàn)，公司于年初將一批2003年購(gòu)置的電腦特價(jià)處理給了員工，這些電腦原用于核心業(yè)務(wù)系統(tǒng)，當(dāng)詢問系統(tǒng)管理員是否在出售前進(jìn)行格式化處理，該系統(tǒng)管理員說："由于當(dāng)時(shí)新進(jìn)了許多新的電腦設(shè)備，需要安裝測(cè)試，沒空處理老的電腦，再說這些都是賣給自己?jiǎn)T工的，他們本身就接觸到這些信息、”。49、 審核員發(fā)現(xiàn)某軟件開發(fā)公司在暑假期間聘請(qǐng)了三位大學(xué)生來做軟件測(cè)試，但在人事部門未找到相關(guān)的保密協(xié)議，也未見有關(guān)要求的培訓(xùn)記錄，人事經(jīng)理解釋說："他們?cè)跍y(cè)試期間沒有接觸到軟件的核心機(jī)密信息，所以不需要簽保密協(xié)議，也不需要進(jìn)行ISMS的培訓(xùn)”。50、 某財(cái)務(wù)外包公司辦公作業(yè)現(xiàn)場(chǎng)員工正在使用的標(biāo)準(zhǔn)版金蝶財(cái)務(wù)軟件為客戶進(jìn)行記賬服務(wù)，其默認(rèn)帳號(hào)是manage，不需要每次進(jìn)系統(tǒng)時(shí)重新輸入，業(yè)務(wù)主管解釋說："由于沒有外人，為了工作方便，所以，我們把登錄口令也省掉了，不需要每次進(jìn)系統(tǒng)前輸入口令'。51、 XX銀行在2008年一季度發(fā)生了10起開通網(wǎng)上轉(zhuǎn)賬客戶的資金損失事故，左后經(jīng)確認(rèn)是密碼系統(tǒng)