我
- A.信息安全的基本要素包括保密性、完整性和可用性
- B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性
- C.信息安全就是不出安全事故/事件
- D.信息安全不仅仅只考虑防止信息泄密就可以了
- A.总风险
- B.最小化风险
- C.可接受风险
- D.残余风险
- A.网络设备
- B.客户资料
- C.办公桌椅
- D.系统管理员
- A.数据
- B.信息流
- C.活动
- D.模块
- A.临时工
- B.咨询人员
- C.以前员工
- D.当前员工
- A.完整性
- B.可用性
- C.机密性
- D.可控性
- A.戴明循环
- B.过程方法
- C.管理体系
- D.服务管理
- A.攻击和脆弱性
- B.威胁和攻击
- C.威胁和脆弱性
- D.威胁和破坏
- A.攻击和脆弱性
- B.威胁和攻击
- C.威胁和脆弱性
- D.威胁和破坏
- 10
-
信息安全管理最关注的是?
- A.外部恶意攻击
- B.病毒对PC的影响
- C.内部恶意攻击
- D.病毒对网络的影响
- A.设备老化故障
- B.病毒和蠕虫
- C.系统设计缺陷
- D.保安工作不得力
- A.接受风险
- B.分散风险
- C.转移风险
- D.拖延风险
- A.信息安全方针政策
- B.信息安全工作程序
- C.信息安全作业指导书
- D.信息安全工作记录
- A.最小的风险
- B.可接收风险
- C.残余风险
- D.总风险
- A.没有充分训练或粗心的用户
- B.第三方
- C.黑客
- D.心怀不满的雇员
- A.计算风险
- B.选择合适的安全措施
- C.实现安全措施
- D.接受残余风险
- A.审计师
- B.终端用户
- C.拥有者
- D.系统分析员
- A.机密性
- B.完整性
- C.抗抵赖性
- D.可用性
- 19
-
ISMS指的是什么?
- A.信息安全管理
- B.信息系统管理体系
- C.信息系统管理安全
- D.信息安全管理体系
- 20
-
风险分析的目的是?
- A.在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;
- B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;
- C.在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;
- D.在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;
- A.威胁源
- B.潜在弱点
- C.现有控制措施
- D.攻击所产生的负面影响
- A.定量影响分析的主要优点是它对风险进行排序并对那些需要立即改善的环节进行标识
- B.定性影响分析可以很容易地对控制进行成本收益分析
- C.定量影响分析不能用在对控制进行的成本收益分析中
- D.定量影响分析的主要优点是它对影响大小给出了一个度量
- A.保安工作不得力
- B.应用系统存在Bug
- C.内部人员故意泄密
- D.物理隔离不足
- A.将威胁可能性等级乘以威胁影响就得出了风险
- B.将威胁可能性等级加上威胁影响就得出了风险
- C.用威胁影响除以威胁的发生概率就得出了风险
- D.用威胁概率作为指数对威胁影响进行乘方运算就得出了风险
- 25
-
资产清单可包括?
- A.服务及无形资产
- B.信息资产
- C.人员
- D.以上所有
- A.评估IT资产和IT项目总共的威胁
- B.用公司的以前的真的损失经验来决定现在的弱点和威胁
- C.审查可比较的组织出版的损失数据
- D.一句审计拔高审查IT控制弱点
- A.组织威胁,弱点和风险概括的理解
- B.揭露风险的理解和妥协的潜在后果
- C.基于潜在结果的风险管理优先级的决心
- D.风险缓解战略足够在一个可以接受的水平上保持风险的结果
- A.防止
- B.转移
- C.缓解
- D.接受
- A.按顺序进行,它靠组织的力量来推动,像车轮一样向前进,周而复始,不断循环
- B.组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题
- C.每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环
- D.组织中的每个部分,不包括个人,均可以PDCA循环,大环套小环,一层一层地解决问题
- A..PLAN-ACT-DO-CHECK
- B.CHECK-PLAN-ACT-DO
- C.PLAN-DO-CHECK-ACT
- D.ACT-PLAN-CHECK-DO
- 31
-
建立ISMS的第一步是?
- A.风险评估
- B.设计ISMS文档
- C.明确ISMS范围
- D.确定ISMS策略
- A.机房登记记录
- B.信息安全管理体系
- C.权限申请记录
- D.离职人员的口述
- A.明确ISMS范围-确定ISMS策略-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺(审批)
- B.定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺(审批)-确定ISMS策略
- C.确定ISMS策略-明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺(审批)
- D.明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-确定ISMS策略-设计ISMS文件-进行管理者承诺(审批)
- A.是指导组织有关信息安全工作方面的内部“法规”--使工作有章可循
- B.是控制措施(controls)的重要部分
- C.提供客观证据--为满足相关方要求,以及持续改进提供依据
- D.以上所有
- A.清晰、易于识别和检索
- B.记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施
- C.建立并保持,以提供证据
- D.记录应尽可能的达到最详细
- A.只识别与业务及信息系统有关的信息资产,分类识别
- B.所有公司资产都要识别
- C.可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产
- D.资产识别务必明确责任人、保管者和用户
- A.按照计划的时间间隔进行风险评估的评审
- B.实施所选择的控制措施
- C.采取合适的纠正和预防措施。从其它组织和组织自身的安全经验中吸取教训
- D.确保改进达到了预期目标
- A.过程
- B.安全目标
- C.安全策略
- D.安全范围
- 39
-
信息安全管理措施不包括:
- A.安全策略
- B.物理和环境安全
- C.访问控制
- D.安全范围
- A.指导性
- B.静态性
- C.可审核性
- D.非技术性
- A.管理人员、用户、应用设计人员
- B.系统运维人员、内部审计人员、安全专员
- C.内部审计人员、安全专员、领域专家
- D.应用设计人员、内部审计人员、离职人员
- A.分析组织的安全需求
- B.制订安全策略和实施安防措施的依据
- C.组织实现信息安全的必要的、重要的步骤
- D.完全消除组织的风险
- A.资产及其价值
- B.数据安全
- C.威胁
- D.控制措施
- A.信息自身
- B.信息载体
- C.信息网络
- D.信息环境
- A.决策层
- B.管理层
- C.执行层
- D.支持层
- 46
-
风险分析的目的是?
- A.在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;
- B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;
- C.在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;
- D.在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;
- A.风险因素识别
- B.风险程度分析
- C.风险控制选择
- D.风险等级评价
- A.系统设备的类型
- B.系统的业务目标和特性
- C.系统的技术架构
- D.系统的网络环境
- A.在网络上部署防火墙
- B.对网络上传输的数据进行加密
- C.制定机房安全管理制度
- D.购买物理场所的财产保险
- A.规避风险
- B.转移风险
- C.接受风险
- D.降低风险
