1.根據(jù)相關標準，信息安全風險管理可以分為背景建立、風險評估，風險處理，批準監(jiān)督、監(jiān)控審查和溝通咨詢等階段。模擬該流程。文檔《風險分析報告》應屬于哪個階段的輸出成果（）。風險評估風險處理批準監(jiān)督監(jiān)控審查2.Vp>某單位在實施信息安全風險評估后，形成了若干文檔，下面（）中的文檔不應屬于風險評估&dquo;準備”階段輸出的文檔。v/p>A《風險評估工作計劃》，主要包括本次風險評估的目的、意義、范圍、目標、組織結構、角色進度安排等內(nèi)容B《風險評估方法和工具列表》，主要包括擬用的風險評估方法和測試評估工具等內(nèi)容C《已有安全措施列表》，主要包括經(jīng)檢查確認后的已有技術和管理各方面安全措施等內(nèi)容D《風險評估準則要求》，主要包括風險評估參考標準、采用的風險分析方法、風險計算方法、分類準則等內(nèi)容3.規(guī)范的實施流程和文檔管理，是信息安全風險評估結果取得成果的重要基礎，vspanstyle="line-height:20.8px;">按照規(guī)范v/span>的風險評估實施流程,下面哪個文檔應當是風險要素識別階段的輸出成果 （）《風險評估方案》《重要保護的資產(chǎn)清單》《風險計算報告》《風險程度等級列表》4.定量風險分析是從財務數(shù)字上對安全風險進行評估，得出可以量化的風險分析結果，準確度量風險的可能性和損失量，小王采用該方法來為單位機房計算火災的風險大小，假設單位機房的總價值為 200萬元人民幣，暴露系數(shù) 4.（ErpomireFactor,EF）是x，年度發(fā)生率（AnnualixedRatoofOccurrence,ARO）為0.1，而小王計算的年度預期損失（AnnualixedLossRrpectancy,ALE）值為5萬元人民幣。由此x值應該是（）5.不同的信息安全風險評估方法可能得到不同的風險評估結果，所以組織機構應當根據(jù)各自的實際情況，選擇適當?shù)娘L險評估方法，下面的描述中，錯誤的是（）A定量風險分析是用從財務數(shù)字上對安全風險進行評估，得出可以量化的風險分析結果，以度量風險的可能性和損失量B定量風險分析相比定性風險分析能得到準確的數(shù)值，所以在實際工作中應使用定量風險分析，而不應選擇定性風險分析C定性風險分析過程中，往往需要憑借分析者的經(jīng)驗直接進行，所以分析結果和風險評估團隊的素質(zhì)、經(jīng)驗和知識技能密切相關D定性風險分析更具有主觀性，而定量風險分析更具客觀性6.某單位在一次信息安全風險管理活動中，風險評估報告提出服務器A的PTP服務存在高風險的漏洞，隨后該單位在風險處理時選擇了關閉PTP服務的處理措施，請問該措施屬于哪種風險處理方式（）A風險降低B風險規(guī)避C風險轉移D風險接受7.殘余風險是風險管理中的一個重要概念，在信息安全風險管理中，關于殘余風險描述錯誤的是（）A殘余風險是采取了安全措施后，仍然可能存在的風險，一般來說，是在綜合考慮了安全成本與效益后不去控制的風險B殘余風險應受到密切監(jiān)理，它會隨著時間的推移而發(fā)生變化，可能會在將來誘發(fā)新的安全事件C實施風險處理時，應將殘余風險清單告知信息系統(tǒng)所在組織的高管， 使其了解殘余風險的存在和可能造成的后果D信息安全風險處理的主要準則是盡可能降低和控制信息安全風險， 以最小的殘余風險值作為風險管理效果評估指標某公司正在進行信息安全風險評估，在決定信息資產(chǎn)的分類與分級時，誰負有最終責任？A:部門經(jīng)理B：高級管理層C：信息資產(chǎn)所有者D:最終用戶以下對信息安全風險管理理解最準確的說法是:A:了解風險B:轉移風險C:了解風險并控制風險D:了解風險并轉移風險在信息安全風險管理工作中，識別風險時主要重點考慮的要素應包括:A:資產(chǎn)及其價值、威脅、脆弱性、現(xiàn)有的和計劃的控制措施B:資產(chǎn)及其價值、系統(tǒng)的漏洞、脆弱性、現(xiàn)有的和計劃的控制措施C:完整性、可用性、機密性、不可抵賴性D:以上都不正確以下哪一項不是信息安全風險分析過程中所要完成的工作:A:識別用戶B：識別脆弱性C:評估資產(chǎn)價值D：計算機安全事件發(fā)生的可能性王工是某單位系統(tǒng)管理員，他在某次參加了單位組織的風險管理工作時，發(fā)現(xiàn)當前案例中共有兩個重要資產(chǎn)：資產(chǎn)A1和資產(chǎn)A2;其中資產(chǎn)A1面臨兩個主要威脅：威脅T1和威脅T2;而資產(chǎn)A2面臨一個主要威脅：威脅T3;威脅T1可以利用的資產(chǎn)A1存在的兩個脆弱性；脆弱性V1和脆弱性V2:威脅T2可以利用資產(chǎn)A1存在的三個脆弱性，脆弱性V3、脆弱性V4和脆弱性V5;威脅T3可以利用的資產(chǎn)A2存在的兩個脆弱性，脆弱性V6和脆弱性V7.根據(jù)上述條件，請問:使用相乘法時，應該為資產(chǎn)A1計算幾個風險值（）A2A:內(nèi)部計算機處理B：系統(tǒng)輸入輸出C:通訊和網(wǎng)絡C:NEQ（C:NEQ（非等效采用） 此國家標準不等效于該國際標準D:外部計算機處理《信息安全技術信息安全風險評估規(guī)范GB/T20984-2007》中關于信息系統(tǒng)生命周期各階段的風險評估描述不正確的是：A:規(guī)劃階段風險評估的目的是識別系統(tǒng)的業(yè)務戰(zhàn)略， 以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。B:設計階段的風險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運行環(huán)境 .資產(chǎn)重要性,提出安全功能需求。.實施過C:.實施過是一種全D:運行維護階段風險評估的目的是了解和控制運行過程中的安全風險，面的風險評估，評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面。是一種全<p>以下關于項目的含義，理解錯誤的是 （）v/p>A項目是為達到特定的目的，使用一定資源，在確定的期間內(nèi)，為特定發(fā)起人而提供特定的產(chǎn)品，服務或成果而進行的一次性努力B項目有明確的開始日期，結束日期由項目的領導者根據(jù)項目進度來隨機確定C項目資源指完成項目所需要的人、財、物等D項目目標要遵守SWAR原則，即項目的目標要求具體（Specific）、可測量（Measurehle）,需相關方的一致同意（Agree.to）、現(xiàn)實（Realistic）、有一定的時限（Time-oriented）17?“CC標準是測評標準類的重要標準，從該標準的內(nèi)容來看，下面哪項內(nèi)容是針對具體的被評測對象，描述了該對象的安全要求及其相關安全功能和安全措施，相當于從廠商角度制定的產(chǎn)品或系統(tǒng)實現(xiàn)方案（）。A:評估對象（TOEB：保護輪廓（PP）C：安全目標（ST）D:評估保證級（EAL此國家標準等同于該國際標準，僅有或沒有編輯性修改此國家標準等效于該國際標準，技術上只有很小差異18.<卩>關于信息安全管理體系，國際上有標準《InformationtechnologySecuritytechniquesInformationsecuritymanagementsystemsRequirements》（ISO/IEC27001:2013）,而我國發(fā)布了《信息技術安全技術信息安全管理體系要求》（GB/T22080-2008），請問，這兩個標準的關系是（）。</p>此國家標準等同于該國際標準，僅有或沒有編輯性修改此國家標準等效于該國際標準，技術上只有很小差異A:IDT（等同采用），B:EQV（等效采用），D：沒有采用與否的關系，兩者之間版本不同，不應直接比較19.關于標準，下面哪項理解是錯誤的（）。A:標準是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認機構批準，共同重復使用的一種規(guī)范性文件，標準是標準化活動的重要成果B:國際標準是由國際標準化組織通過并公開發(fā)布的標準， 同樣是強制性標準，當國家標準和國際標準的條款發(fā)生沖突時，應以國際標準條款為準C:行業(yè)標準是針對沒有國家標準而又需要在全國某個行業(yè)范圍內(nèi)統(tǒng)一的技術要求而制定的標準，同樣是強制性標準，當行業(yè)標準和國家標準的條款發(fā)生沖突時，應以國家標準條款為準D：地方標準由省、自治區(qū)、直轄市標準化行政主管部門制定，并報國務院標準化行政主管部門和國務院有關行政主管部門備案，在公布國家標準之后，該地方標準即應廢止20.關于信息安全管理體系的作用，下面理解錯誤的是（）。A:對內(nèi)而言，有助于建立起文檔化的信息安全管理規(guī)范，實現(xiàn)有“法”可依，有章可循，有據(jù)可查B：對內(nèi)而言，是一個光花錢不掙錢的事情，需要組織通過其他方面收入來彌補投入C：對外而言，有助于使各利益相關方對組織充滿信心D:對外而言，能起到規(guī)范外包工作流程和要求，幫助界定雙方各自信息安全責任21.以下哪些是需要在信息安全策略中進行描述的：A:組織信息系統(tǒng)安全架構B:信息安全工作的基本原則C:組織信息安全技術參數(shù)D:組織信息安全實施手段下列哪些內(nèi)容應包含在信息系統(tǒng)戰(zhàn)略計劃中？A:已規(guī)劃的硬件采購的規(guī)范B:將來業(yè)務目標的分析C:開發(fā)項目的目標日期D：信息系統(tǒng)不同的年度預算目標<p>IS027002中描述的11個信息安全管理的控制領域不包括：v/p>A:信息安全組織

B:資產(chǎn)管理C:內(nèi)容安全D:人力資源安全<p>SSE-CM將工程過程區(qū)域分為二類，即風險過程、工程過程、和保證過程，下面對于保證過程的說法錯誤的是：v/p>A:保證是指安全需求得到滿足的可信任程度B:信任程度來自于對安全工程過程結果質(zhì)量的判斷C:自驗證與證實安全的主要手段包括觀察、論證、分析和測試D:PA“建立保證論據(jù)”為PA“驗證與證實安全”提供了證據(jù)支持確立<p>根據(jù)SSE-CM信息安全工程過程可以劃分為三個階段，其中安全解決方案的置信度并且把這樣的置信度傳遞給顧客。</p>A:保證過程確立B:風險過程C:工程和保證過程D:安全工程過程<p>SSE-CM工程過程區(qū)域中的風險過程包含哪些過程區(qū)域： </p>評估脆弱性、評估影響A:評估威脅、評估脆弱性、評估影響B(tài):評估威脅、評估脆弱性、評估安全風險C:評估威脅、評估脆弱性、評估影響、評估安全風險B:評估威脅、評估脆弱性、評估安全風險C:評估威脅、評估脆弱性、評估影響、評估安全風險D:評估威脅、評估脆弱性、評估影響、驗證和證實安全27.一個組織的系統(tǒng)安全能力成熟度達到哪個級別以后，就可以對組織層面的過程進行規(guī)范的定義？A:2級——計劃和跟蹤B:3級——充分定義C:4級——量化控制D:5級——持續(xù)改進28.在風險管理準備階段“建立背景”（對象確立）過程中不應該做的是：A:分析系統(tǒng)的體系結構B:分析系統(tǒng)的安全環(huán)境C:制定風險管理計劃

D：調(diào)查系統(tǒng)的技術特性29.下面有關能力成熟度模型的說法錯誤的是:A:能力成熟度模型可以分為過程能力方案（Continuous）和組織能力方案（Staged）兩類B:使用過程能力方案時，可以靈活選擇評估和改進哪個或哪些過程域C:使用組織機構成熟度方案時，每一個能力級別都對應于一組已經(jīng)定義好的過程域D:SSE-CMI是一種屬于組織能力方案（Staged）的針對系統(tǒng)安全工程的能力成熟度模型30.<p>下列哪項不是信息系統(tǒng)安全工程能力成熟度模型 （SSE-CMM的主要過程:v/p>A:風險過程B:保證過程C:工程過程D:評估過程31.信息安全管理體系描述不正確的是:A:是一個組織整體管理體系的組成部分B:是有范圍和邊界的C:是風險評估的手段D：其基本過程應遵循PDCA循環(huán)32.對戴明環(huán)"PDCA方法的描述不正確的是：“PDCA的含義是P-計劃，“PDCA的含義是P-計劃，D-實施，C-檢查，A-改進B:“PDCA循環(huán)又叫"戴明"環(huán)C:D:“PDCA循環(huán)是只能用于信息安全管理體系有效進行的工作程序“PDCA循環(huán)是可用于任何一項活動有效進行的工作程序C:D:33.下述選項中對于"風險管理"的描述不正確的是:A:風險管理是指導和控制一個組織相關風險的協(xié)調(diào)活動，它通常包括風險評估、風險處置、風險接受和風險溝通。B:風險管理的目的是了解風險并采取措施處置風險并將風險消除。C:風險管理是信息安全工作的重要基礎，因此信息安全風險管理必須貫穿到信息安全保障工作、信息系統(tǒng)的整個生命周期中。D:在網(wǎng)絡與信息系統(tǒng)規(guī)劃設計階段，應通過信息安全風險評估進一步明確安全需求和安全目標。34.以下關于可信計算說法錯誤的是：A:可信的主要目的是要建立起主動防御的信息安全保障體系B:可信計算機安全評價標準(TCSEC中第一次提出了可信計算機和可信計算機的概念C:可信的整體框架包含終端可信.終端應用可信.操作系統(tǒng)可信.網(wǎng)絡互聯(lián)可信.互聯(lián)網(wǎng)交易等應用系統(tǒng)可信D:可信計算平臺出現(xiàn)后會取代傳統(tǒng)的安全防護體系和方法35.<p>風險是需要保護的()發(fā)生損失的可能性，它是()和()綜合結果。v/p>A:資產(chǎn)，攻擊目標，威脅事件B:設備，威脅，漏洞C:資產(chǎn)，威脅，脆弱性D:以上都不對36.以下列哪種處置方法屬于轉移風險？A:部署綜合安全審計系統(tǒng)B:對網(wǎng)絡行為進行實時監(jiān)控C：制訂完善的制度體系D:聘用第三方專業(yè)公司提供維護外包服務對操作系統(tǒng)打補丁和系統(tǒng)升級是以下哪種風險控制措施A:降低風險B:規(guī)避風險C:轉移風險D:接受風險以下哪一項可認為是具有一定合理性的風險?A:總風險B:最小化風險C:可接受風險D:殘余風險B. —B.是B. —B.是: 二是保證風險管理成本的有效性B:保證風險管理結果的有效性,保證風險管理成本的有效性C:保證風險管理過程的有效性,保證風險管理活動的決定得到認可在風險管理工作中“監(jiān)控審查”的目的,A:保證風險管理過程的有效性,風險處理、批準監(jiān)督B:背景建立、風險評估、審核批準、風險控制C:風險評估、對象確立、審核批準、風險控制D:風險處理、批準監(jiān)督B:背景建立、風險評估、審核批準、風險控制C:風險評估、對象確立、審核批準、風險控制D:風險評估、風險控制、對象確立、審核批準D:保證風險管理結果的有效性，保證風險管理活動的決定得到認可風險管理四個步驟的正確順序是:A:背景建立、風險評估、41.在風險管理的過程中,A:風險管理準備、B:41.在風險管理的過程中,A:風險管理準備、B:風險管理準備、信息系統(tǒng)分析、信息安全分析、風險政策的制定C:風險管理準備、風險管理政策的制定、信息系統(tǒng)分析、信息安全分析"建立背景"（即"對象確立"）的過程是哪四個活動?信息系統(tǒng)調(diào)查、信息系統(tǒng)分析、信息安全分析D:確定對象、分析對象、審核對象、總結對象42.<卩>下列對風險分析方法的描述正確的是：v/p>A:定量分析比定性分析方法使用的工具更多B:定性分析比定量分析方法使用的工具更多C:同一組織只能使用一種方法進行評估D:符合組織要求的風險評估方法就是最優(yōu)方法43.<p>在一個有充分控制的信息處理計算中心中， 下面哪一項可以由同一個人執(zhí)行?</p>A:安全管理和變更管理B:計算機操作和系統(tǒng)開發(fā)C:系統(tǒng)開發(fā)和變更管理D:系統(tǒng)開發(fā)和系統(tǒng)維護以下關于“最小特權”安全管理原則理解正確的是A:組織機構內(nèi)的敏感崗位不能由一個人長期負責B:對重要的工作進行分解,分配給不同人員完成c：一個人有且僅有其執(zhí)行崗位所足夠的許可和權限D:防止員工由一個崗位變動到另一個崗位，累積越來越多的權限以下哪一個是對“崗位輪換”這一人員安全管理原則的正確理解A:組織機構內(nèi)的敏感崗位不能由一個人長期負責B:對重要的工作進行分解，分配給不同人員完成C:一個人有且僅有其執(zhí)行崗位所足夠的許可和權限D:防止員工由一個崗位變動到另一個崗位，累積越來越多的權限在構建一個單位的內(nèi)部安全管理組織體系的時候，以下哪一項不是必需考慮的內(nèi)容?A:高級管理層承諾對安全工作的支持B:要求雇員們遵從安全策略的指示C:在第三方協(xié)議中強調(diào)安全D:清晰地定義部門的崗位的職責47.風險管理中使用的控制措施，不包括以下哪種類型？A:預防性控制措施B:管理性控制措施C:檢查性控制措施D:糾正性控制措施48.風險管理中的控制措施不包括以下哪一方面？A:行政B:道德C:技術D:管理49.風險評估不包括以下哪個活動？A:中斷引入風險的活動B:識別資產(chǎn)C:識別威脅D:分析風險在信息安全風險管理工作中，識別風險時主要重點考慮的要素應包括：A：資產(chǎn)及其價值、威脅、脆弱性、現(xiàn)有的和計劃的控制措施B:資產(chǎn)及其價值、系統(tǒng)的漏洞、脆弱性、現(xiàn)有的和計劃的控制措施C:完整性、可用性、機密性、不可抵賴性D:以上都不正確以下哪一項不是信息安全風險分析過程中所要完成的工作：A:識別用戶B:識別脆弱性C:評估資產(chǎn)價值D：計算機安全事件發(fā)生的可能性＜卩＞關于外包的論述不正確的是：＜/p＞A：企業(yè)經(jīng)營管理中的諸多操作服務都可以外包B：通過業(yè)務外包，企業(yè)也把相應的風險承擔者轉移給了外包商，企業(yè)從此不必對外包業(yè)務負任何直接或間接的責任C:雖然業(yè)務可以外包，但是對與外包業(yè)務的可能的不良后果，企業(yè)仍然承擔責任D：過多的外包業(yè)務可能產(chǎn)生額外的操作風險或其他隱患53.vp＞以下對PDCA循環(huán)解釋不正確的是：v/p＞A:處理B:實施C:檢查D：行動以下工作哪個不是計算機取證準備階段的工作A:獲得授權B:準備工具C:介質(zhì)準備D:保護數(shù)據(jù)以下關于ISO/IEC27001標準說法不正確的是：A：本標準可被內(nèi)部和外部相關方用于一致性評估，審核的重點就是組織信息安全的現(xiàn)狀，對布屬的信息安全控制是好的還是壞的做出評判B:本標準采用一種過程方法來建立、實施、運行、監(jiān)視、評審、保持和改進一個組織的ISMS

C:目前國際標準化組織推出的四個管理體系標準： 質(zhì)量管理體系，職業(yè)健康安全管理體系、環(huán)境管理體系、信息安全管理體系，都采用了相同的方法，即PDCA模型D:本標準注重監(jiān)視和評審，因為監(jiān)視和評審是持續(xù)改進的基礎，如果缺乏對執(zhí)行情況和有效性的測量，改進就成了“無的放矢”平行模擬法是指開發(fā)一個模擬系統(tǒng)，將被審計單位真實數(shù)據(jù)放入模擬系統(tǒng)中運行，觀察其輸出是否與被審計單位信息系統(tǒng)相一致在信息系統(tǒng)中建立虛擬實體，然后將有關數(shù)據(jù)與真實運行數(shù)據(jù)一起輸入信息系統(tǒng)中處理，將虛擬實體的運行結果與預期進行比較將已處理過的真實數(shù)據(jù)在相同的信息系統(tǒng)或程序副本上再處理一次， 將二次結果與以前結果進行比較D.以上都不對下面哪一項安全控制措施不是用來檢測未經(jīng)授權的信息處理活動的：A:設置網(wǎng)絡連接時限B:記錄并分析系統(tǒng)錯誤日志C:記錄并分析用戶和管理員操作日志D:啟用時鐘同步下列安全控制措施的分類中，哪個分類是正確的（P-預防性的，D-檢測性的以及C-糾正性的控制）：1.網(wǎng)絡防火墻2.RAID級別33.銀行賬單的監(jiān)督復審4.分配計算機用戶標識A:P，P，C下列安全控制措施的分類中，哪個分類是正確的（P-預防性的，D-檢測性的以及C-糾正性的控制）：1.網(wǎng)絡防火墻2.RAID級別33.銀行賬單的監(jiān)督復審4.分配計算機用戶標識A:P，P，C，D，5.交易日志andCB:D，C，C，D，andDC:P，C，D，P，andDD:P，D，P，P，andC風險評估主要包括風險分析準備、風險要素識別、風險分析和風險結果判定四個主要過程，關于這些過程，以下的說法哪一個是正確的？A:風險分析準備的內(nèi)容是識別風險的影響和可能性B:風險要素識別的內(nèi)容是識別可能發(fā)生的安全事件對信息系統(tǒng)的影響程度C:風險分析的內(nèi)容是識別風險的影響和可能性A.A.收集充分的證據(jù)D:風險結果判定的內(nèi)容是發(fā)生系統(tǒng)存在的威脅、脆弱性和控制措施你來到服務器機房隔壁的一間辦公室，發(fā)現(xiàn)窗戶壞了。由于這不是你的辦公室，你要求在這里辦公的員工請維修工來把窗戶修好。你離開后，沒有再過問這扇窗戶的事情。這件事的結果對與特定脆弱性相關的威脅真正出現(xiàn)的可能性會有什么影響？A:如果窗戶被修好，威脅真正出現(xiàn)的可能性會增加B:如果窗戶被修好，威脅真正出現(xiàn)的可能性會保持不變C:如果窗戶沒有被修好，威脅真正出現(xiàn)的可能性會下降D:如果窗戶沒有被修好，威脅真正出現(xiàn)的可能性會增加計算機應急響應小組的簡稱是？A:CERTB:FIRSTC:SANAD:CEAT在金融交易的電子數(shù)據(jù)交換（EDI）通信過程中，對金額字段計算校驗和是為確保完整性實性授權不可否認性數(shù)據(jù)輸入、處理和輸出控制審計屬于下列哪一項審計的范疇應用控制審計一般控制審計C.項目管理審計D.以上都不對選擇審計流程時，信息安全審計師應運用自己的專業(yè)性判斷，以確保所有識別出的重大缺陷在合理的期限內(nèi)均得以糾正識別出所有嚴重漏洞將審計成本控制在最低水平執(zhí)行計算機取證調(diào)查時，對于收集到證據(jù)，IS審計師最應關注的是證據(jù)的分析證據(jù)的評估證據(jù)的保存D.證據(jù)的泄露下列哪種說法針對審計證據(jù)可靠性的說法是錯誤的A.間接獲取的審計證據(jù)比直接獲取的審計證據(jù)更可靠B.從被審計單位直接觀察測試獲取的審計證據(jù)比經(jīng)被審計單位加工處理后提交的審計證據(jù)更可靠原件形式的審計證據(jù)比復制件形式的審計證據(jù)更可靠D.以上都不對在以下那種情況下，組織應當對公眾和媒體告知其信息系統(tǒng)中發(fā)生的信息安全事件？當信息安全事件的負面影響擴展到本組織以外時只要發(fā)生了安全事件就應當公告只有公眾的生命財產(chǎn)安全受到巨大危害時才公告當信息安全事件平息后信息安全管理體系(informationSecurltyManagementSystem. 簡稱ISMS)要求建立過程體系，該過程體系是在如下()基礎上構建的。A:IATF(InformationAssuranceTechnicalFramework )B:P2DR(Policy，Protection，Detection，Response)C:PDCER(FPreparation，Detection，Containment，Eradication，Recovery，F(xiàn)ollow-up)D:PDCA(Plan，Do，Check，Act)關于風險要素識別階段工作內(nèi)容敘述錯誤的是：A：資產(chǎn)識別是指對需要保護的資產(chǎn)和系統(tǒng)等進行識別和分類

B：威脅識別是指識別與每項資產(chǎn)相關的可能威脅和漏洞及其發(fā)生的可能性C：脆弱性識別以資產(chǎn)為核心，針對每一項需要保護的資產(chǎn)，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估D：確認已有的安全措施僅屬于技術層面的工作，牽涉到具體方面包括：物理平臺、系統(tǒng)平臺、網(wǎng)絡平臺和應用平臺企業(yè)資源規(guī)劃中的總帳設置功能允許設定會計期間。對此功能的訪問被授予財務、倉庫和訂單錄入部門的用戶。這種廣泛的訪問最有可能是因為：經(jīng)常性地修改會計期間的需要B:需要向關閉的會計期間過入分錄C:缺乏適當?shù)穆氊煼止ふ吆筒襟ED:需要創(chuàng)建和修改科目表及其分配A:經(jīng)常性地修改會計期間的需要B:需要向關閉的會計期間過入分錄C:缺乏適當?shù)穆氊煼止ふ吆筒襟ED:需要創(chuàng)建和修改科目表及其分配許多組織強制要求雇員休假一周或更長時間，以便：A:確保雇員維持生產(chǎn)質(zhì)量，從而生產(chǎn)力更高B:減少雇員從事不當或非法行為的機會C:為其他雇員提供交叉培訓D:消除當某個雇員一次休假一天造成的潛在的混亂文檔體系建設是信息安全管理體系（ISMS）建設的直接體現(xiàn)，下列說法不正確的是：A：組織內(nèi)的信息安全方針文件.信息安全規(guī)章制度文件.信息安全相關操作規(guī)范文件等文檔是組織的工作標準，也是ISMS審核的依據(jù)B:組織內(nèi)的業(yè)務系統(tǒng)日志文件.風險評估報告等文檔是對上一級文件的執(zhí)行和記錄，對這些記錄不需要保護和控制C:組織在每份文件的首頁，加上文件修訂跟蹤表，以顯示每一版本的版本號 .發(fā)布日期.編寫人.審批人.主要修訂等內(nèi)容D:層次化的文檔是ISMS建設的直接體現(xiàn)，文檔體系應當依據(jù)風險評估的結果建立信息安全風險的三要素是指：A:資產(chǎn)、威脅、脆弱性B:資產(chǎn)、使命、威脅C:信息安全風險的三要素是指：A:資產(chǎn)、威脅、脆弱性B:資產(chǎn)、使命、威脅C:使命、威脅、脆弱性D:威脅、脆弱性、使命下列哪個領域經(jīng)常面臨微型計算機迅速發(fā)展帶來的風險？ 1、備份和恢復。2、應用程序開發(fā)成本。3、記錄的批量更新。4、訪問的安全。5、違反版權法。A:4、2、2B:2、3、4C:3、4、5D:1、4、5如果已決定買進軟件而不是內(nèi)部自行開發(fā)，那么這一決定通常發(fā)生于：A：項目需求定義階段B:項目可行性研究階段C:項目詳細設計階段D:項目編程階段某銀行信息系統(tǒng)為了滿足業(yè)務發(fā)展的需要準備進行升級改造，以下哪一項不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素?A:信息系統(tǒng)安全必須遵循的相關法律法規(guī)，國家以及金融行業(yè)安全標準B:信息系統(tǒng)所承載該銀行業(yè)務正常運行的安全需求C:消除或降低該銀行信息系統(tǒng)面臨的所有安全風險D:該銀行整體安全策略某集團公司根據(jù)業(yè)務需要，在各地分支機構部署前置機，為了保證安全，集團總部要求前置機開放日志共享，由總部服務器采集進行集中分析，在運行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機中提取日志，從而導致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應采取以下哪項處理措施?A:由于共享導致了安全問題，應直接關閉日志共享，禁止總部提取日志進行分析B:為配合總部的安全策略，會帶來一定的安全問題，但不影響系統(tǒng)使用，因此接受此風險C:日志的存在就是安全風險，最好的辦法就是取消日志，通過設置讓前置機不記錄日志D：只允許特定的IP地址從前置機提取日志，對日志共享設置訪問密碼且限定訪問的時間在契約性協(xié)議包含源代碼第三方保存契約(escrow)的目的是：A:保證在供應商不存在時源代碼仍然有效B:允許定制軟件以滿足特定的業(yè)務需求C:審核源代碼以保證控制的充分性DD:采購計劃D：保證供應商已遵從法律要求為了保護企業(yè)的知識產(chǎn)權和其它資產(chǎn)，當終止與員工的聘用關系時下面哪一項是最好的方法？A:進行離職談話，讓員工簽署保密協(xié)議，禁止員工賬號，更改密碼B:進行離職談話，禁止員工賬號，更改密碼C：讓員工簽署跨邊界協(xié)議D:列出員工在解聘前需要注意的所有責任下面哪種方法產(chǎn)生的密碼是最難記憶的？A:將用戶的生日倒轉或是重排B:將用戶的年薪倒轉或是重排C:將用戶配偶的名字倒轉或是重排D:用戶隨機給出的字母在信息安全策略體系中，下面哪一項屬于計算機或信息安全的強制性規(guī)則？A:標準(Standard)B:安全策略(Securitypolicy)C:方針(Guideline)D:流程(Procedure)軟件的供應商或是制造商可以在他們自己的產(chǎn)品中或是客戶的計算機系統(tǒng)上安裝一個“后門”程序。以下哪一項是這種情況面臨的最主要風險？A:軟件中止和黑客入侵B:遠程監(jiān)控和遠程維護C:軟件中止和遠程監(jiān)控D：遠程維護和黑客入侵以下哪一項計算機安全程序的組成部分是其它組成部分的基礎？A:制度和措施B:漏洞分析C:意外事故處理計劃背景建立的目的只是為了明確信息安全風險管理的范圍和對象C:第三個觀點,同名字D:背景建立的目的只是為了明確信息安全風險管理的范圍和對象C:第三個觀點,同名字D:第四個觀點，背景建立的階段性成果中不包括有風險管理計劃書ISMS所要求的文件應予以保護和控制，應編制形成文件控制程序，下列哪項不是該程序所規(guī)定的管理措施？A:確保文件的更改和現(xiàn)行修訂狀態(tài)得到標識B:防止作廢文件的非預期使用C:確保文件可以為需要者所獲得，但防止需要者對文件進行轉移、存儲和銷毀D:確保在使用處可獲得適用文件的最新版本以下對于信息安全事件理解錯誤的是：A:信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負面影響的事件B:對信息安全事件進行有效管理和響應，最小化事件所造成的損失和負面影響，是組織信息安全戰(zhàn)略的一部分C:應急響應是信息安全事件管理的重要內(nèi)容D：通過部署信息安全策略并配合部署防護措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護，杜絕信息安全事件的發(fā)生小王是某大學計算科學與技術專業(yè)的畢業(yè)生，大四上學期開始找工作，期望謀求一份技術管理的職位，一次面試中，某公司的技術經(jīng)理讓小王談一談信息安全風險管理中的“背景建立”的基本概念與認識，小王的主要觀點包括：(1)背景建立的目的是為了明確信息安全風險管理的范圍和對象，以及對象的特性和安全要求，完成信息安全風驗管理項目的規(guī)劃和準備；(2)背景建立根據(jù)組織機構相關的行業(yè)經(jīng)驗執(zhí)行，雄厚的經(jīng)驗有助于達到事半功倍的效果；(3)背景建立包括：風險管理準備.信息系統(tǒng)調(diào)查.信息系統(tǒng)分析和信息安全分析；(4)背景建立的階段性成果包括：風險管理計劃書，信息系統(tǒng)的描述報告，信息系統(tǒng)的分析報告，信息系統(tǒng)的安全要求報告。請問小王的所述論點中錯誤的是哪項：A:第一個觀點，背景建立的依據(jù)是國家.地區(qū)域行業(yè)的相關政策、法律、法規(guī)和B:背景建立的依據(jù)是國家.地區(qū)域行業(yè)的相關政策、法律、法規(guī)和關于信息安全管理，說法錯誤的是：A:信息安全管理是管理者為實現(xiàn)信息安全目標(信息資產(chǎn)的CIA等特性，以及業(yè)務運作的持續(xù))而進行的計劃、組織、指揮和控制的一系列活動。B:信息安全管理是一個多層面.多因素的過程，依賴于建立信息安全組織、明確信息安全角色及職責、制訂信息安全方針策略標準規(guī)范、建立有效的監(jiān)督審計機制等多方面的非技術性的努力。C：實現(xiàn)信息安全，技術和產(chǎn)品是基礎，管理是關鍵。D：信息安全是人員、技術、操作三者緊密合作的系統(tǒng)工程，是一個靜態(tài)過程。職責分離的主要目的是：A:不允許任何一個人可以從頭到尾控制某一工作的整個流程B:不同部門的雇員不可以在一起工作C:對于所有的資源都必須有保護措施D:對于所有的設備都必須有操作控制措施以下哪一個是對人員安全管理中“授權蔓延”這概念的正確理解？A:往來人員在進行系統(tǒng)維護時沒有受到足夠的監(jiān)控B:一個人擁有了不是其完成工作所必要的權限C:敏感崗位和重要操作長期有一個人獨自負責D:員工有一個崗位變動到另一個崗位，累積越來越多的權限信息系統(tǒng)的業(yè)務特性應該從哪里獲取?A:機構的使命B:機構的戰(zhàn)略背景和戰(zhàn)略目標C：機構的業(yè)務內(nèi)容和業(yè)務流程D:機構的組織結構和管理制度注重安全管理體系建設，人員意識的培訓和教育，是信息安全發(fā)展哪一個階段的特點？A:通信安全B:計算機安全C:信息安全D：信息安全保障能夠最佳地提供本地服務器上的將處理的工資數(shù)據(jù)的訪問控制的是：A:將每次訪問記入個人信息（即：作日志）B:對敏感的交易事務使用單獨的密碼/口令C：使用軟件來約束授權用戶的訪問B:B:風險評估D:限制只有營業(yè)時間內(nèi)才允許系統(tǒng)訪問以下哪一項在防止數(shù)據(jù)介質(zhì)被濫用時是不推薦使用的方法：A:禁用主機的CD驅(qū)動、USB接口等I/O設備B:對不再使用的硬盤進行嚴格的數(shù)據(jù)清除C:將不再使用的紙質(zhì)文件用碎紙機粉碎D:用快速格式化刪除存儲介質(zhì)中的保密文件以下關于CSIRT的說法錯誤的是：A:CSIRT是“計算機安全應急響應小組”的英文縮寫B(tài):CSIRT應當包括法律、技術和其他專家，以及刑偵管理人員C:CSIRT應當是一個常設機構，其成員應當專職從事應急響應，以便最快速地做出反應D:應急響應工作本質(zhì)上是被動的，因此CSIRT應當在事件發(fā)生前做好充分準備,盡可能爭取主動隨著（）的增加，信息系統(tǒng)的安全風險降低。A:威脅B:脆弱性C:資產(chǎn)的重要度D:控制措施以下哪一項措施不是用來支持“最小權限原則”的：A:嚴格限制系統(tǒng)管理員的數(shù)量B:管理員應使用普通用戶身份進行常規(guī)操作，如閱讀郵件C:將系統(tǒng)用戶的角色分為管理員、審計員和普通用戶D:只允許系統(tǒng)軟件和應用系統(tǒng)需要使用的數(shù)據(jù)通過防火墻在信息系統(tǒng)設計階段，“安全產(chǎn)品選擇”處于風險管理過程的哪個階段？A:背景建立C:風險處理B:B:系統(tǒng)損失D:批準監(jiān)督以下哪個不是計算機取證工作的作用？A:通過證據(jù)查找肇事者B:通過證據(jù)推斷犯罪過程C：通過證據(jù)判斷受害者損失程度D:恢復數(shù)據(jù)降低損失信息系統(tǒng)生命周期階段正確的劃分是：A:設計、B:規(guī)劃、實施、運維、廢棄C：規(guī)劃、設計、實施、運維、廢棄B:規(guī)劃、實施、運維、廢棄C：規(guī)劃、設計、實施、運維、廢棄D:設計、實施、運行某網(wǎng)站為了開發(fā)的便利，SA連接數(shù)據(jù)庫，由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導致攻擊者利用內(nèi)置存儲過程xp_cmdshell刪除了系統(tǒng)中的一個重要文件，在進行問題分析時，作為安全專家，你應該指出該網(wǎng)站設計違反了以下哪項原則：A:權限分離原則B:最小特權原則C:保護最薄弱環(huán)節(jié)的原則D:縱深防御的原則對每個字符和每一幀都傳輸冗余信息，可以實現(xiàn)對錯誤的檢測和校正，這種方法稱為：A:反饋錯誤控制B:塊求和校驗C:轉發(fā)錯誤控制D:循環(huán)冗余校驗以下哪一個不是我國信息安全事件分級的分級要素？A:信息系統(tǒng)的重要程度C:系統(tǒng)保密級別D：社會影響“通知相關人員ISMS的變更”是建立信息安全管理體系哪個階段的活動?A：規(guī)劃和建立B:實施和運行C:監(jiān)視和評審D:保持和改進以下哪項不是信息安全策略變更的原因？A:每年至少一次管理評審B:業(yè)務發(fā)生重大變更C：管理機構發(fā)生變更D:設備發(fā)生變更以下哪項不是風險評估階段應該做的?A:對ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定和估價B：對信息資產(chǎn)面對的各種威脅和脆弱性進行評估C：對已存在的成規(guī)劃的安全控制措施進行界定。D：根據(jù)評估結果實施相應的安全控制措施以下哪個選項不是信息安全需求較為常見的來源？A：法律法規(guī)與合同條約的要求B：組織的原則、目標和規(guī)定C：風險評估的結果D：安全架構和安全廠商發(fā)布的漏洞、病毒預警信息安全管理體系是基于（）的方法，來建立、實施、運作、監(jiān)視、評審、保持和改進信息安全。A：信息安全B：業(yè)務風險C：信息系統(tǒng)防護B:B:外部采購實現(xiàn)D:安全風險依照《信息安全事件分級分類指南》中對信息安全事件分類的規(guī)定，以下哪一項屬于有害程序事件？A:信息被篡改B:黃色反動信息傳播C:網(wǎng)絡釣魚D:木馬攻擊以下哪一項不是《信息安全事件分級分類指南》中信息安全事件分級需要參考的三個重要因素之一？A:信息系統(tǒng)的重要程度B:信息系統(tǒng)的用戶數(shù)量C:事件造成的系統(tǒng)損失D:事件造成的社會影響如果對于程序變動的手工控制收效甚微，以下哪一種方法將是最有效的？A:自動軟件管理B:書面化制度C:書面化方案D:書面化標準在許多組織機構中，產(chǎn)生總體安全性問題的主要原因是：A:缺少安全性管理B:缺少故障管理C:缺少風險分析D:缺少技術控制機制從風險的觀點來看，一個具有任務緊急性，核心功能性的計算機應用程序系統(tǒng)的開發(fā)