1、
信息安全管理体系在实施与运行过程中,选择和实施控制措施以降低风险,对控制风险理解正确的是()
(单选题,2分)
A.
确保把风险降低到可接受的水平
B.
实施控制措施后,确保风险完全消除,是风险管理的目标
C.
在风险不可能解决的情况了,组织应放弃该资产,以达到解决风险的目的
D.
风险是不可能消除的,所以要不计成本的去降低风险,杜绝风险事件的发生
回答正确 (得分: 2分)
正确答案
A
解析
选择和实施控制措施以降低风险。控制措施需要确保风险降至可接受的水平,同时考虑到国家和国际立法和条例的要求和限制、组织的安全目标、组织对操作的要求和限制。
2、
对每个信息系统的建设来说,信息安全控制在哪个阶段考虑是最合适也是成本最低的()
(单选题,2分)
A.
在系统项目需求规格和设计阶段考虑信息安全控制
B.
在信息系统编码阶段考虑
C.
在信息系统的实施阶段考虑
D.
在信息系统运行和管理阶段考虑
回答正确 (得分: 2分)
正确答案
A
解析
在系统项目需求规格和设计阶段考虑信息安全控制。
3、
在信息安全管理体系建设过程的监视和评审阶段,ISMS审核将检查ISMS是否包含适用于在ISMS范围内处理风险的特定控制。此外,根据这些监测区域的记录,提供验证证据,以及纠正,预防和改进措施的()。
(单选题,2分)
A.
可控性
B.
有效性
C.
真实性
D.
可追溯性
回答错误 (得分: 0分)
正确答案
D
解析
根据这些监测区域的记录,提供验证证据,以及纠正,预防和改进措施的可追溯性。
4、
持续改进信息安全管理系统的目的是提高实现保护信息机密性,可用性和完整性目标的可能性。下面对改进行动理解错误的是()
(单选题,2分)
A.
当不符合时,组织需要重现不符合,如适用采取行动控制,修正其事项并处理事项的后果
B.
评估消除不符合原因需要的行为,通过评审不符合项,确定不符合的原因,并确认有相似的不符合存在或者潜在的不符合发生的情况,以促使其不复发或者不在其他地方发生。
C.
组织需要持续改进ISMS的适宜性、充分性和有效性,定期的改进有助于组织形成信息安全管理水平的螺旋式上升。
D.
当不符合时,组织需要对不符合性进行适宜性、充分性和有效性进行评审,一次性解决,杜绝持续改进,以防浪费时间和成本。
回答正确 (得分: 2分)
正确答案
D
解析
维护和改进内容
5、
我国哪一部法律正式宣告在网络空间安全领域,将等级保护制度作为基本国策,同时也正式将针对信息系统的等级保护标准变更为针对网络安全的等级保护标准。
(单选题,2分)
A.
中华人民共和国国家安全法
B.
信息安全等级保护管理办法
C.
中华人民共和国网络安全法
D.
1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》
回答正确 (得分: 2分)
正确答案
C
解析
2016年11月发布的网络安全法第二十一条明确指出“国家实行网络安全等级保护制度”。正式宣告在网络空间安全领域,我国将等级保护制度作为基本国策。
6、
道德是法律的基础,法律是道德的延伸,道德与法律之间的关系理解错误的是()
(单选题,2分)
A.
道德规范约束范围广,法律约束范围要小
B.
道德与法律都具有社会规范性
C.
科学的法律和道德规范应保持一致
D.
违反道德的行为一定违法,但是违法行为往往不一定违反道德的底线
回答正确 (得分: 2分)
正确答案
D
解析
暂无解析
7、
人们在使用计算机软件或数据时,应遵照国家有关法律规定,尊重其作品的版权,这是使用计算机的基本道德规范。建议人们养成良好的道德规范,针对作品知识产权,下面说法错误的是()
(单选题,2分)
A.
应该使用正版软件,坚决抵制盗版,尊重软件作者的知识产权
B.
维护计算机的正常运行,保护计算机系统数据的安全
C.
不要为了保护自己的软件资源而制造病毒保护程序
D.
不要擅自纂改他人计算机内的系统信息资源
回答错误 (得分: 0分)
正确答案
B
解析
B选项内容讲的是计算机安全,与题干知识产权无关
8、
作为国家注册信息安全专业人员应该遵循其应有的道德准则,中国信息安全测评中心为CISP持证人员设定了职业道德准则。下面选项正确的是()
(单选题,2分)
A.
自觉维护国家信息安全,拒绝并抵制泄露国家秘密和破坏国家信息基础设施的行为
B.
自觉维护网络社会安全,拒绝并抵制通过计算机网络系统谋取非法利益和破坏社会和谐的行为
C.
自觉维护公众信息安全,拒绝并抵制通过计算机网络系统侵犯公众合法权益和泄露个人隐私的行为
D.
以上都对
回答正确 (得分: 2分)
正确答案
D
解析
CISP持证人员职业道德准则
9、
作为国家注册信息安全专业人员应该遵循其应有的道德准则,下面对“诚实守信,遵纪守法”的说法错误的是()
(单选题,2分)
A.
不通过计算机网络系统进行造谣、欺诈、诽谤、弄虚作假等违反诚信原则的行为
B.
利用日常工作、学术交流等各种方式保持和提升信息安全实践能力
C.
不利用个人的信息安全技术能力实施或组织各种违法犯罪行为
D.
不在公众网络传播反动、暴力、黄色、低俗信息及非法软件
回答错误 (得分: 0分)
正确答案
B
解析
B选项内容是发展自身,维护荣誉方面,与诚实守信,遵纪守法无关
10、
信息是一种资产,与其他重要的业务资产一样,对组织业务必不可少,因此需要得到适当的保护。信息的价值一般从()三个层面来看待。
(单选题,2分)
A.
企业视角、用户视角、攻击者视角
B.
国家视角、企业视角、攻击者视角
C.
企业视角、服务视角、用户视角
D.
国际视角、国家视角、个人视角
回答错误 (得分: 0分)
正确答案
A
解析
信息的价值从企业视角、用户视角和攻击者视角三个层面来看待。
11、
安全模型是安全策略的清晰表述方式,具有以下哪些特点()
(单选题,2分)
A.
精确的、无歧义的
B.
简单的、抽象的,易于理解
C.
只涉及安全性质,不限制系统的功能及其实现
D.
以上都是
回答正确 (得分: 2分)
正确答案
D
解析
暂无解析
12、
CIA指信息安全的三大要素,其中C、I、A依次代表( )
(单选题,2分)
A.
机密性、完整性、可用性
B.
可控性、准确性、可靠性
C.
机密性、真实性、可用性
D.
机密性、不可否认性、可用性
回答正确 (得分: 2分)
正确答案
A
解析
CIA三元组定义了信息安全的基本属性,分别是机密性,完整性和可用性,信息安全首要就是保护信息的这三个基本属性
13、
信息不泄漏给非授权的个人、实体或过程,体现了信息安全哪一个性质()
(单选题,2分)
A.
完整性
B.
可用性
C.
保密性
D.
不可否认性
回答正确 (得分: 2分)
正确答案
C
解析
保密性也称机密性,是指对信息资源开放范围的控制,确保信息不被非授权的个人、组织和计算机程序访问
14、
近年来,我国面临日趋严峻的网络安全形势,党和国家高度重视信息安全建设,关于网络安全形势的描述中,理解错误的是( )
(单选题,2分)
A.
我国的网络安全形势差,但在党和国家高度重视的情况下,面临各种攻击、威胁都能解决,发展稳定
B.
持续性威胁常态化,我国面临的攻击十分严重
C.
大量联网智能设备遭受恶意程序攻击形成僵尸网络,被用于发起大流量DDoS 攻击
D.
网站数据和个人信息泄露屡见不鲜
回答正确 (得分: 2分)
正确答案
A
解析
攻击和威胁并不是都能解决的,我国面临的网络安全态势情况十分严重
15、
信息安全已经成为社会的焦点问题,以下不属于信息系统安全运营原则的是( )
(单选题,2分)
A.
合规性与风险控制结合的原则
B.
绝对安全原则
C.
统一管控原则
D.
易操作性原则
回答正确 (得分: 2分)
正确答案
B
解析
信息系统安全是没有绝对安全的
16、
作为全方位的、整体的信息安全防范体系是分层次的,以下关于企业信息系统层次划分的描述,理解错误的是( )
(单选题,2分)
A.
越接近内部的网络安全要求等级越低,越接近外部的网络安全要求等级越高
B.
业务专用网是企业为了特殊工作需要而建造的专用网络
C.
互联网区域用于日常的互联网业务,安全防护等级要求最低
D.
企业内网是企业的核心网络,拥有最高的安全防护等级
回答正确 (得分: 2分)
正确答案
A
解析
越接近内部的网络安全要求等级越高,越接近外部的网络安全要求等级越低
17、
随着网络空间安全重要性的不断提高,网络安全态势感知(NSSA)的研究与应用正在得到更多的关注。以下关于NSSA的描述,理解错误的是()
(单选题,2分)
A.
态势感知的数据来源丰富
B.
态势感知结果丰富实用
C.
态势感知适用范围十分窄
D.
态势感知能对网络安全状况的发展趋势进行预测
回答正确 (得分: 2分)
正确答案
C
解析
态势感知适用范围十分广
18、
信息系统安全策略应该全面地考虑保护信息系统整体的安全,在设计策略的范围时,主要考虑()
(单选题,2分)
A.
物理安全策略
B.
网络安全策略
C.
数据加密策略
D.
以上都是
回答正确 (得分: 2分)
正确答案
D
解析
物理安全、网络安全、数据安全都需要考虑
19、
计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的(),计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的()等因素确定。
(单选题,2分)
A.
经济价值;经济损失
B.
重要程度;危害程度
C.
经济价值;危害程度
D.
重要程度;经济损失
回答错误 (得分: 0分)
正确答案
B
解析
重要程度;危害程度
20、
关键信息基础设施的安全保护等级应不低于等保()
(单选题,2分)
A.
一级
B.
二级
C.
三级
D.
四级
回答正确 (得分: 2分)
正确答案
C
解析
关键信息基础设施的安全保护等级应不低于等保三级
21、
信息系统被破坏后,会对国家安全造成一般损害的,应定级为()
(单选题,2分)
A.
一级
B.
二级
C.
三级
D.
四级
回答错误 (得分: 0分)
正确答案
C
解析
第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重损害,或者国家安全造成危害。只要对国家安全造成危害的,最低定级为三级
22、
我们可根据信息安全事件的起因、表现、结果等将信息安全事件分类,以下选项不属于信息安全事件分类的是( )
(单选题,2分)
A.
恶意程序事件
B.
网络攻击事件
C.
信息破坏事件
D.
社会工程学攻击
回答正确 (得分: 2分)
正确答案
D
解析
社会工程学攻击不属于事件分类
23、
信息内容安全是信息安全在政治、法律、道德层次上的要求。信息内容安全领域的研究内容主要有( )
(单选题,2分)
A.
信息内容的获取、分析与识别
B.
信息内容的管理和控制
C.
信息内容安全的法律保障
D.
以上都是
回答正确 (得分: 2分)
正确答案
D
解析
暂无解析
24、
组织识别风险后,可采取的处理方式不合理的是()
(单选题,2分)
A.
缓解风险
B.
转移风险
C.
忽略风险
D.
规避风险
回答正确 (得分: 2分)
正确答案
C
解析
组织识别风险后,可采取的处理方式有:风险规避、风险缓解、风险转移
25、
威胁情报的出现将网络空间安全防御从传统被动式防御转换到主动式防御。以下选项中不属于安全威胁情报基本特征的是()
(单选题,2分)
A.
时效性
B.
相关性
C.
准确性
D.
不可操作性
回答正确 (得分: 2分)
正确答案
D
26、
参照国家标准GB/Z20986-2007《信息安全事件分类指南》,根据信息安全事件发生的原因、表现形式等,对网络/信息安全事件进行分类,下列选项中错误的是()
(单选题,2分)
A.
恶意程序事件是指蓄意制造、传播有害程序,或是因受到有害程序性的影响而导致的信息安全事件
B.
网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击
C.
信息破坏事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件
D.
设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件
回答错误 (得分: 0分)
正确答案
C
解析
信息破坏事件是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等 而导致的信息安全事件。
27、
下面不属于违反《刑法》第二百八十五条非法侵入计算机信息系统罪的是()
(单选题,2分)
A.
违反国家规定,非法侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的
B.
违反国家规定,对计算机信息系统实施非法控制,情节严重的
C.
违反国家规定,提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的
D.
违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的
回答正确 (得分: 2分)
正确答案
D
解析
刑法第二百八十六条 【破坏计算机信息系统罪】违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
28、
有关危害国家秘密安全的行为的法律责任,下面说法正确的是()
(单选题,2分)
A.
违反保密规定行为只要发生,无论是否产生泄密实际后果,都要依法追究责任
B.
非法获取国家秘密,不会构成刑事犯罪,不需承担刑事责任
C.
过失泄露国家秘密,不会构成刑事犯罪,不需承担刑事责任
D.
承担了刑事责任,无需再承担行政责任和/或其他处分
回答正确 (得分: 2分)
正确答案
A
解析
保守国家秘密是一种国家行为,也是一种国家责任。危害到国家秘密安全的行为都必须受到法律追究。
29、
以下对于信息安全事件理解错误的是()
(单选题,2分)
A.
信息安全事件,是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件
B.
对信息安全事件进行有效管理和响应,最小化事件所造成的损失和负面影响,是组织信息安全战略的一部分
C.
应急响应是信息安全事件管理的重要内容
D.
通过部署信息安全策略并配合部署防护措施,能够对信息及信息系统提供保护,杜绝信息安全事件的发生
回答正确 (得分: 2分)
正确答案
D
解析
信息安全事件无法杜绝
30、
假设一个信息系统已经包含了充分的预防控制措施,那么安装监测控制设备()
(单选题,2分)
A.
是多余的,因为它们完成了同样的功能,增加了组织成本
B.
是必须的,可以为预防控制的功效提供检测
C.
是可选的,可以实现深度防御
D.
在一个人工系统中是需要的,但在一个计算机系统中则是不需要的,因为预防控制功能已经足够
回答正确 (得分: 2分)
正确答案
C
解析
安装监测控制设备是可选的,实现了深层防御管理原则
31、
以下哪些是需要在信息安全策略中进行描述的()
(单选题,2分)
A.
组织信息系统安全架构
B.
信息安全工作的基本原则
C.
组织信息安全技术参数
D.
组织信息安全实施手段
回答错误 (得分: 0分)
正确答案
B
解析
安全策略是宏观的原则性要求,不包括具体的架构、参数和实施手段。
32、
在信息安全管理体系中,下面的角色对应的信息安全职责不合理的是()
(单选题,2分)
A.
高级管理层:最终责任
B.
信息安全部门主管:提供各种信息安全工作必须的资源
C.
系统的普通使用者:遵守日常操作规范
D.
审计人员:检查安全策略是否被遵从
回答错误 (得分: 0分)
正确答案
B
解析
通常由管理层提供各种信息安全工作必须的资源
33、
自2004年1月起,国内各有关部门在申报信息安全国家标准计划项目时,必须经由以下哪个组织提出工作意见,协调一致后由该组织申报。
(单选题,2分)
A.
全国通信标准化技术委员会(TC485)
B.
全国信息安全标准化技术委员会(TC260)
C.
中国通信标准化协会(CCSA)
D.
网络与信息安全技术工作委员会
回答正确 (得分: 2分)
正确答案
B
解析
自2004年1月起,各有关部门在申报信息安全国家标准计划项目时,必须经信安标委提出工作意见,协调一致后由信安标委组织申报
34、
安全事件管理和应急响应,以下说法错误的是()
(单选题,2分)
A.
应急响应是指组织为了应对突发或重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
B.
应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6 个阶段
C.
对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素
D.
根据信息安全事件的分级参考要素,可将信息安全事件划分为4个级别:特别重大事件(Ⅰ级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)和一般事件(Ⅳ级)
回答错误 (得分: 0分)
正确答案
B
解析
应急响应的六个阶段是准备、检测、遏制、根除、恢复、跟踪总结
35、
信息的存在形式说法正确的是()
(单选题,2分)
A.
借助媒体以多种形式存在
B.
存储在计算机、磁带、纸张等介质中
C.
记忆在人的大脑里
D.
以上都对
回答正确 (得分: 2分)
正确答案
D
解析
信息的存在形式:信息是无形的、借助媒体以多种形式存在、存储在计算机、磁带、纸张等介质中、记忆在人的大脑里
36、
信息安全应该建立贯穿信息系统的整个生命周期,综合考虑()
(单选题,2分)
A.
人
B.
技术
C.
管理和过程控制
D.
以上都对
回答正确 (得分: 2分)
正确答案
D
解析
信息安全应该建立在整个生命周期中所关联的人、事、物的基础上,综合考虑人、技术、管理和过程控制,使得信息安全不是一个局部而是一个整体。
37、
机密性保护需要考虑的问题()
(单选题,2分)
A.
信息系统中的数据是否都有标识,说明重要程度
B.
信息系统中的数据访问是否有权限控制
C.
信息系统中的数据访问是否有记录
D.
以上都对
回答正确 (得分: 2分)
正确答案
D
解析
信息系统中数据的标识、重要程度、权限、记录等都要考虑
38、
我国信息安全保障工作的主要原则是()
(单选题,2分)
A.
技术为主,管理为辅
B.
管理为主,技术为辅
C.
技术与管理并重
D.
综合防御,自主发展
回答错误 (得分: 0分)
正确答案
C
解析
我国信息安全保障工作的主要原则:技术与管理并重,正确处理安全与发展的关系
39、
网络空间安全理解正确的是()
(单选题,2分)
A.
网络战其作为国家整体军事战略的一个组成部分已经成为事实
B.
网络战只是作为国家整体军事战略的一个概念,没有那严重
C.
网络是个虚拟的世界,真正发生战争时,可以采取断网
D.
网络战是夸大的概念,和海、陆、空、外太空相比,还差很多
回答正确 (得分: 2分)
正确答案
A
解析
国家网络空间安全战略的发布及网络安全法等法律法规的出台,网络安全上升为国家整体军事战略的一个组成部分已经成为事实
40、
我国的国家网络空间安全战略主要强调了()
(单选题,2分)
A.
维护网络空间主权
B.
和平利用网络空间、依法治理网络空间
C.
统筹网络安全与发展
D.
以上都对
回答正确 (得分: 2分)
正确答案
D
解析
国家网络空间安全战略内容
41、
( )根据宪法和法律,规定行政措施,制定行政法规,发布决定和命令.
(单选题,2分)
A.
国务院
B.
最高人民法院
C.
最高人民检察院
D.
全国人大政协委员会
回答错误 (得分: 0分)
正确答案
A
解析
国务院
42、
下面不属于网络安全法第二章网络安全支持与促进内容的是()
(单选题,2分)
A.
开展经常性网络安全宣传教育
B.
在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理
C.
统筹规划,扶持网络安全产业
D.
推动社会化网络安全服务体系建设
回答错误 (得分: 0分)
正确答案
B
解析
第一章总则第二条:在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理。
43、
《中华人民共和国网络安全法》第二十一条规定网络运营者应当采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于()
(单选题,2分)
A.
三个月
B.
六个月
C.
九个月
D.
十二个月
回答正确 (得分: 2分)
正确答案
B
解析
六个月
44、
下面属于网络运营者责任的是()
(单选题,2分)
A.
实名服务:提供服务前要求用户实名
B.
应急预案:制定网络安全事件应急预案
C.
信息发布合规:开展网络安全活动、信息发布合规
D.
以上都对
回答正确 (得分: 2分)
正确答案
D
解析
网络安全法
45、
关键基础设施运营中产生的数据必须(),因业务需要向外提供的,按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
(单选题,2分)
A.
境内存储
B.
境外存储
C.
国家存储
D.
本地存储
回答正确 (得分: 2分)
正确答案
A
解析
网络安全法
46、
《个人信息和重要数据出境安全评估办法(征求意见稿)》中,要求建立个人信息出境记录并且至少保存()年。
(单选题,2分)
A.
3年
B.
4年
C.
5年
D.
6年
回答错误 (得分: 0分)
正确答案
C
解析
第八条 网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括:
(一)向境外提供个人信息的日期时间。
(二)接收者的身份,包括但不限于接收者的名称、地址、联系方式等。
(三)向境外提供的个人信息的类型及数量、敏感程度。
(四)国家网信部门规定的其他内容。
47、
等保2.0一级安全区域边界的访问控制,应该对一些内容进行检查,以允许/拒绝数据包进出,检查的内容不包括()
(单选题,2分)
A.
源端口、目的端口
B.
源地址、目的地址
C.
协议
D.
访问控制策略
回答错误 (得分: 0分)
正确答案
D
解析
应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。
48、
下面那份文件,()规定了网络安全等级保护的指导思想、原则和要求。
(单选题,2分)
A.
《关于信息安全等级保护工作的实施意见》的通知2004年9月15日发布
B.
《中华人民共和国计算机信息系统安全保护条例》1994年2月18日发布
C.
《计算机信息系统安全保护等级划分准则》GB 17859-1999
D.
《信息安全等级保护管理办法》2007年6月22日
回答错误 (得分: 0分)
正确答案
A
解析
《关于信息安全等级保护工作的实施意见》的通知规定了网络安全等级保护指导思想、原则和要求
49、
标准化的基本特点理解正确的是()
(单选题,2分)
A.
标准化是一项活动
B.
标准化的对象是人、事、物
C.
标准化的效益只有应用后才能体现
D.
以上都正确
回答正确 (得分: 2分)
正确答案
D
解析
标准化的基本特点:标准化是一项活动;标准化的对象:物、事、人;标准化是一个动态的概念;标准化是一个相对的概念;标准化的效益只有应用后才能体现
50、
信息安全管理可以区分为对内和对外的组织价值,下面属于对组织内的是()
(单选题,2分)
A.
建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查
B.
能够帮助界定外包时双方的信息安全责任;
C.
可以使组织更好地满足客户或其他组织的审计要求;
D.
可以使组织更好地符合法律法规的要求
回答正确 (得分: 2分)
正确答案
A
解析
对内:能够保护关键信息资产和知识产权,维持竞争优势;在系统受侵袭时,确保业务持续开展并将损失降到最低程度;建立起信息安全审计框架,实施监督检查;建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查;
版权归原作者 TLBR山页 所有, 如有侵权,请联系我们删除。