我
- A.存在于计算机、磁带、纸张等介质中
- B.记忆在人的大脑里
- C..通过网络打印机复印机等方式进行传播
- D.通过投影仪显示
- A.高质量静态口令,散列保护传输
- B.高质量静态口令,固定密钥加密保护传输
- C.动态随机口令,明文传输
- D.高质量静态口令,增加随机值,明文传输
- A.BS5750
- B.BS7750
- C.BS7799
- D.BS15000
- A.硬件、软件、文档资料
- B.关键人员
- C..组织提供的信息服务
- D.桌子、椅子
- A.保密性
- B.完整性
- C.可用性
- D.增值性
- A.ISO27000
- B.ISO27001
- C.ISO27002
- D.ISO27003
- A.信息安全的基本要素包括保密性、完整性和可用性
- B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行
- C.信息安全就是不出安全事故/事件
- D.信息安全风险是科技风险的一部分
- A.约定的标准及相关法律的要求
- B.已识别的安全需求
- C.控制措施有效实施和维护
- D.ISO13335风险评估方法
- A.信息安全管理的核心就是风险管理
- B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性
- C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂
- D.信息安全管理工作的重点是信息系统,而不是人
- A.不需要全体员工的参入,只要IT部门的人员参入即可
- B.来自高级管理层的明确的支持和承诺
- C.对企业员工提供必要的安全意识和技能的培训和教育
- D.所有管理者、员工能够理解企业信息安全策略、指南和标准,并遵照执行
- A.服务器
- B.机房空调
- C.鼠标垫
- D.U盘
- A.ISMS是一个遵循PDCA模式的动态发展的体系
- B.ISMS是一个文件化、系统化的体系
- C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定
- D.ISMS应该是一步到位的,应该解决所有的信息安全问题
- A.技术
- B.流程
- C.人员
- D.市场
- A.企业信息安全风险管理就是要做到零风险
- B.在信息安全领域,风险就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性
- C.风险管理就是以可接受的代价,识别、控制、减少或消除可能影响信息系统的安全风险的过程
- D.风险评估就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估
- A.人,财,物
- B.技术,管理和操作
- C.资产,威胁和弱点
- D.资产,可能性和严重性
- A.通过良好的系统设计、及时更新系统补丁,降低或减少信息系统自身的缺陷
- B.通过数据备份、双机热备等冗余手段来提升信息系统的可靠性;
- C.建立必要的安全制度和部署必要的技术手段,防范黑客和恶意软件的攻击
- D.通过业务外包的方式,转嫁所有的安全风险责任
- A.识别并评估重要的信息资产,识别各种可能的威胁和严重的弱点,最终确定风险
- B.通过以往发生的信息安全事件,找到风险所在
- C.风险评估就是对照安全检查单,查看相关的管理和技术措施是否到位
- D.风险评估并没有规律可循,完全取决于评估者的经验所在
- A.不需要全体员工的参入,只要IT部门的人员参入即可
- B.来自高级管理层的明确的支持和承诺
- C.对企业员工提供必要的安全意识和技能的培训和教育
- D.所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行
- A.企业应该在组织内建立发起和控制信息安全实施的管理框架
- B.企业应该维护被外部合作伙伴或者客户访问和使用的企业信息处理设施和信息资产的安全
- C.在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定
- D.企业在开展业务活动的过程中,应该完全相信员工,不应该对内部员工采取安全管控措施
- A.用作依据的一组方针、程序或要求
- B.与审核准则有关的并且能够证实的记录、事实陈述或其他信息
- C.将收集到的审核证据依照审核准则进行评价的结果,可以是合格/符合项,也可以是不合格/不符合项
- D.对审核对象的物理位置、组织结构、活动和过程以及时限的描述
- A.企业应该建立和维护一个完整的信息资产清单,并明确信息资产的管控责任;
- B.企业应该根据信息资产的重要性和安全级别的不同要求,采取对应的管控措施;
- C.企业的信息资产不应该分类分级,所有的信息系统要统一对待
- D.企业可以根据业务运作流程和信息系统拓扑结构来识别所有的信息资产
- A.管理层足够重视
- B.需要全员参与
- C.不必遵循过程的方法
- D.需要持续改进
- A.信息系统的变更应该是受控的
- B.企业在岗位设计和人员工作分配时应该遵循职责分离的原则
- C.移动介质使用是一个管理难题,应该采取有效措施,防止信息泄漏
- D.所有日常操作按照最佳实践来进行操作,无需形成操作手册
- A.顺序进行,周而复始,发现问题,分析问题,然后是解决问题
- B.大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题
- C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足
- D.信息安全风险管理的思路不符合PDCA的问题解决思路
- A.确保业务连续性
- B.保护信息免受各种威胁的损害
- C.防止黑客窃取员工个人信息
- D.投资回报和商业机遇最大化
- A.信息安全事件的处理应该分类、分级
- B.信息安全事件的数量可以反映企业的信息安全管控水平
- C.对于一些信息安全隐患,如果还没造成损失,就没必要进行报告
- D.信息安全事件处理流程中的一个重要环节是对事件发生的根源的追溯,以吸取教训、总结经验,防止类似事情再次发生
- A.信息安全培训
- B.信息安全考核
- C.信息安全规划
- D.安全漏洞扫描
- A.信息安全风险评估
- B.领导的指示
- C.信息安全技术
- D.信息安全产品
- A.理解组织文化
- B.得到高层承诺
- C.部署安全产品
- D.纳入奖惩机制
- A.纠正预防
- B.文件审核
- C.现场审核
- D.渗透测试
- A.识别关键业务目标
- B.定义安全组织职责
- C.定义安全目标
- D.定义防火墙边界防护策略
- A.《信息安全管理体系要求》
- B.《信息安全管理实用规则》
- C.《信息安全管理度量》
- D.《ISMS实施指南》
- A.安全经理
- B.高管层
- C.IT经理
- D.业务经理
- A.定义ISMS方针
- B.实施信息安全风险评估
- C.实施信息安全培训
- D.定义ISMS范围
- A.安全事件响应
- B.安全内部审核
- C.管理评审
- D.更新安全计划
- A.组织现有的部门
- B.信息资产的数量与分布
- C.信息技术的应用区域
- D.IT人员数量
- A.降低风险
- B.转移风险
- C.避免风险
- D.接受风险
- A.总成本中应考虑控制措施维护成本
- B.只要控制措施有效,不管成本都应该首先选择
- C.首先要考虑控制措施的成本效益
- D.应该考虑控制措施实施的成熟度
- A.价值
- B.时间
- C.安全性
- D.所有者
- 40
-
内部审核的最主要目的是
- A.检查信息安全控制措施的执行情况
- B.检查系统安全漏洞
- C.检查信息安全管理体系的有效性
- D.检查人员安全意识
- 41
-
管理评审的最主要目的是
- A.确认信息安全工作是否得到执行
- B.检查信息安全管理体系的有效性
- C.找到信息安全的漏洞
- D.考核信息安全部门的工作是否满足要求
- A.测试环境可能没有充足的控制确保数据的精确性
- B.测试环境可能由于使用生产数据而产生不精确的结果
- C.测试环境的硬件可能与生产环境的不同
- D.测试环境可能没有充分的访问控制以确保数据机密性
- A.公司的专家
- B.业务经理
- C.IT审计员
- D.信息安全经理
- A.熟悉必要的文件和程序
- B.根据要求编制检查列表
- C.配合支持审核组长的工作,有效完成审核任务
- D.负责实施整改内审中发现的问题
- A.Alpha测试
- B.白盒测试
- C.回归测试
- D.Beta测试
- A.可接受性测试
- B.系统测试
- C.集成测试
- D.单元测试
- A.用户验收测试
- B.投资收益分析
- C.激活审计模块
- D.更新未来企业架构
- A.没有执行DRP测试
- B.灾难恢复策略没有使用热站进行恢复
- C.进行了BIA,但其结果没有被使用
- D.灾难恢复经理近期离开了公司
- A.目标恢复时间RTO
- B.业务影响分析
- C.从严重灾难中恢复的能力
- D.目标恢复点RPO
- A.两个成本增加
- B.中断的损失成本增加,中断恢复的成本随时问的流逝而减少
- C.两个成本都随时间的流逝而减少
- D.没有影响
