ISO27001信息安全体系培训试题
- 格式:docx
- 大小:13.97 KB
- 文档页数:12
ISO27001信息安全体系培训试题
基本信息:[矩阵文本题] *
姓名:
________________________
部门: ________________________
员工编号: ________________________
一、判断题(每题1分,共10分)
1. 电子商务应用不可能存在帐号失窃的问题 [判断题] *
对
错(正确答案)
2. 为了信息安全,在使用密码时建议使用大写字母、小写字母、数字、特殊符号组成的密码 [判断题] *
对(正确答案)
错
3. 员工缺乏基本的安全意识,缺乏统一规范的安全教育培训是信息安全管理现状存在的问题之一 [判断题] * 对(正确答案)
错
4. 超过70%的信息安全事件,如果事先加强管理,都可以得到避免 [判断题] *
对(正确答案)
错
5. 由于许多信息系统并非在设计是充分考虑了安全,依靠技术手段实现安全很有限,必须依靠必要的管理手段来支持 [判断题] *
对(正确答案)
错
6. 企业需要建造一个全面、均衡的测量体系,用于评估信息安全管理的效用以及改进反馈建议 [判断题] *
对(正确答案)
错
7. 通过合理的组织体系、规章制度和控管措施,把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起,以此确保整个组织达到预定程度的信息安全,称为信息安全管理 [判断题] *
对
错(正确答案)
8. 信息安全策略应涉及以下领域:安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理 [判断题] *
对(正确答案)
错
9. 离开电脑可以不锁屏 [判断题] *
对
错(正确答案)
10. 未经许可可以开启和使用远程访问端口 [判断题] *
对
错(正确答案)
二、单选题(每题3分,共75分)
11. 依据ISO27001,制定信息安全管理体系方针,应予以考虑的输入是 [单选题] *
A.业务战略
B.法律法规要求
C.合同要求
D.以上全部(正确答案)
12. 风险评估过程一般应包括 [单选题] * A.风险识别
B.风险分析
C.风险评价
D.以上都是(正确答案)
13. 依据ISO27001,以下符合责任分割原则的是 [单选题] *
A.某数据中心机房运维工程师负责制定机房访问控制策略,为方便巡检,登录门禁系统为自己配置了各个机房的不限时门禁权限
B.某公司由信息安全官(CIO)负责制定访问控制策略,为信息系统管理员的登录权限授权时,由另外5位副总到场分别输入自己的口令然后完成授权(正确答案)
C.某公司制定了访问权限列表,信息系统权限分配为:董事长拥有全部权限,其次为副总,再其次为主管经理,依次类推,运维工程师因职务最低,故拥有最少权限
D.以上均符合责任分割原则
14. 依据IS27001,建立资产清单即: [单选题] *
A.列明信息生命周期内关联到的资产,明确其对组织业务的关键性
B.完整采用组织的固定资产台账,同时指定资产责任人
C.资产价格越高,往往意味着功能越全,因此资产重要性等级就越高
D.A+B(正确答案)
15. 以下不正确说法的是 [单选题] *
A.保留含有敏感信息的介质的处置记录
B.将大量含有信息的介质汇集在一起时提高其集体敏感性等级 C.将所有的已用过一遍的复印纸分配各部门复用以符合组织的节能策略(正确答案)
D.根据风险评估的结果将转移更换下列的磁盘交第三方进行处置
16. 信息安全是保证信息的保密性、完整性、 [单选题] *
A.充分性
B.适宜性
C.可用性(正确答案)
D.有效性
17. 依据ISO27001,关于网络服务的访问控制策略,以下正确的说法是 [单选题] *
A.没有描述为禁止访问的网络服务,应为允许访问的网络服务
B.对于允许访问的网络服务,默认可通过无线、VPN等多种手段连接
C.对于允许访问的网络服务,按照规定的授权机制进行授权(正确答案)
D.以上都对
18. 关于用户访问权,以下做法正确的是 [单选题] *
A.用户职位变更时,其原访问权应终止或撤销(正确答案)
B.抽样进行针对信息系统用户访问权的定期评审
C.组织主动解聘员工时等不必复审员工访问权
D.使用监控系统可替代用户访问权评审
19. 防止计算机中信息被窃采取的手段不包括 [单选题] * A.用户识别
B.权限控制
C.数据加密
D.病毒控制(正确答案)
20. 关于信息系统登录口令的管理,以下说法不正确的是 [单选题] *
A.必要时,使用密码技术,生物特征等代替口令
B.用提示信息告知用户应遵从的优质口令策略(正确答案)
C.名曲告知用户应遵从的优质口令策略
D.使用互动式管理确保用户使用优质口令
21. 物理安全周边的安全设置应考虑 [单选题] *
A.区域内信息和资产的敏感性分类
B.重点考虑计算机机房,而不是办公区域或其它功能区
C.入侵探测和报警机制
D.A+C(正确答案)
22. 以下属于安全办公区域控制的措施是 [单选题] *
A.敏感信息处理设施避免放置在和外部方共用的办公区(正确答案)
B.显著标记“敏感档案存储区,闲人免进”标识牌
C.告知全体员工敏感区域的位置信息,教育员工保护其安全 D.以上都对
23. 口令管理应该是(),并确保优质的口令 [单选题] *
A.唯一式
B.交互式(正确答案)
C.专人管理式
D.以上都是
24. 信息安全管理中,变更管理应予以控制的风险包括() [单选题] *
A.组织架构、业务流程变更的风险
B.信息系统配置、物理位置变更的风险
C.信息系统新的组件、功能模块发布的风险
D.以上全部(正确答案)
25. 设备维护维修时,应考虑的安全措施包括 [单选题] *
A.维护维修前,按规定程序处理或清除其中的信息
B.维护维修后,检查是否有未授权的新增功能
C.敏感部件进行物理销毁而不予送修
D.以上全部(正确答案)
26. 不属于计算机病毒防治的策略的是 [单选题] * A.常备一张真正“干净”的引导盘
B.及时、可靠升级反病毒产品
C.新购置的计算机软件也要进行病毒检测
D.整理磁盘(正确答案)
27. 不属于常见的危险密码是 [单选题] *
A.跟用户名相同的密码
B.使用生日作为密码
C.只有4位数的密码
D.10位的综合型密码(正确答案)
28. 不属于WEB服务器的安全措施的是 [单选题]
*
A.保证注册账户的时效性
B.删除死账户
C.强制用户使用不易被破解的密码
D.所有用户使用一次性密码(正确答案)
29. 审核的工作文件包括 [单选题] *
A.检查表
B.审核抽样计划
C.信息记录表格 D.以上全部(正确答案)
30. 信息安全管理体系中提到的“资产责任人”是指 [单选题] *
A.对资产拥有财产权的人
B.使用资产的人
C.有权限变更资产安全属性的人(正确答案)
D.资产所在部门负责人
31. 信息处理设施的变更管理不包括 [单选题] *
A.信息处理设施用途的变更
B.信息处理设施故障部件的更换
C.信息处理设施软件的升级
D.以上都不对(正确答案)
32. 定期备份和测试信息是指 [单选题] *
A.每次备份完成时对备份结果进行检查,以确保备份效果
B.对系统测试记录进行定期备份
C.定期备份、定期对备份数据的完整性和可用性进行测试(正确答案)
D.定期检查备份存储介质的容量
33. 为了确保布缆安全,以下正确的做法是 [单选题] * A.使用同一电缆管道铺设电源电缆和通信电缆
B.网络电缆采用明线架设,以便于探查故障和维修
C.配线盘应尽量放置在公共可访问区域,以便于应急管理
D.使用配线标记和设备标记,编制配线列表(正确答案)
34. 以下不属于信息安全事态或事件的是 [单选题] *
A.服务、设备或设施的丢失
B.系统故障或超负载
C.物理安全要求的违规
D.安全策略变更的临时通知(正确答案)
35. ()是建立有效的计算机病毒防御体系所需要的技术措施 [单选题] *
A.防火墙、网络入侵检测和防火墙
B.漏洞扫描、网络入侵检测和防火墙
C.漏洞扫描、补丁管理系统和防火墙
D.网络入侵检测、防病毒系统和防火墙(正确答案)
三、多选题(每题3分,共15分)
36. 信息安全三要素包括 *
A.机密性(正确答案)
B.完整性(正确答案)