ISO-IEC27001信息安全体系考试试题100道.docxVIP

ISO-IEC27001信息安全体系考试试题100道 一、单项选择 1、Cp是理想过程能力指数，Cpk是实际过程能力指数，以下（）是正确的。 A、Cp＞Cpk B、Cp＜Cpk C、Cp≤Cpk D、Cp≥Cpk 2、信息安全是保证信息的保密性、完整性、（）。 A、充分性 B、适宜性 C、可用性 D、有效性 3、应为远程工作活动制定：开发和实施策略、（）和规程。 A、制定目标 B、，明确职责 C、编制作业指导书 D、操作计划 4、一个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有 损害业务运行和威胁信息安全的极大可能性。 A、已经发生 B、可能发生 C、意外 D、A+B+C 5、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）。 A、国家经营 B、地方经营 C、许可制度 D、备案制度 6、以下说法不正确的是（） A、应考虑组织架构与业务目标的变化对风险评估结果进行再评审 B、应考虑以往未充分识别的威胁对风险评估结果进行再评估 C、制造部增加的生产场所对信息安全风险无影响 D、安全计划应适时更新 7、组织在建立和评审信息安全管理体系时，应考虑（） A、风险评估的结果 B、管理方案 C、法律、法规和其他要求 D、A+C 8、管理体系是指（）。 A、建立方针和目标并实现这些目标的体系 B、相互关联的相互作用的一组要素 C、指挥和控制组织的协调活动 D、以上都对 9、风险评价是指（） A、系统地使用信息来识别风险来源和评估风险 B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程 C、指导和控制一个组织相关风险的协调活动 D、以上都对 10、以下属于计算机病毒感染事件的纠正预防措施的是（） A、对计算机病毒事件进行相应调查和处理 B、将感染病毒的计算机从网络隔离 C、对相关责任人进行处罚 D、以上都不对 11、监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履 行法定职责之一 A、电信管理机构 B、公安机关 C、国家安全机关 D、国家保密局 12、国家秘密的密级分为（） A、绝密 B、机密 C、秘密 D、以上都对 13、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查。对 秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评。 A、半年 B、1年 C、1.5年 D、2年 14、《中华人民共和国认证认可条例》规定，认证人员自被撤销职业资格之日起（）内， 认可机构再接受其注册申请。 A、2年 B、3年 C、4年 D、5年 15、《信息安全管理体系认证机构要求》中规定，第二阶段审核（）进行。 A、在客户组织的场所 B、在认证机构以网络访问的形式 C、以远程视频的形式 C、以上都对 16、以下关于认证机构的监督要求表述错误的是（） A、认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督 方案，并判断方案的合理性 B、认证机构的监督方案应由认证机构和客户共同来制定 C、监督审核可以与其他管理体系的审核相结合 D、认证机构应对认证证书的使用进行监督 17、渗透测试（） A、可能会导致业务系统无法正常运行 B、是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法 C、渗透人员在局域网中进行测试，以期发现和挖掘系统存在的漏洞，然后输出渗透测试 报告 D、必须在计算机网络系统首次使用前进行，以确保系统安全 18、以下哪个算法是非对称加密算法？（） A、RSA B、DES C、3DES D、AES 19、下面是关于计算机病毒的两种论断，经判断（） ①计算机病毒也是一种程序，它在某些条件下激活，起干扰破坏作用，并能传染到其他程 序中去。②计算机病毒只会破坏磁盘上的数据。经判断 A、只有①正确 B．只有②正确 C．①②都正确 D．①②都不正确 20、以下关于入侵检测系统功能的叙述中，（）是不正确的。 A、保护内部网络免受非法用户的侵入 B、评估系统关键资源和数据文件的完整性 C、识别已知的攻击行为 D、统计分析异常行为 21、容灾是减少灾难事件发生的可能性以及限制灾难对（）所造成的影响的一整套行为。 A、销售业务流程 B、财务业务流程 C、生产业务流程 D、关键业务流程 22、（）属于管理脆弱性的识别对象。 A、物理环境 B、网络结构 C、应用系统 D、技术管理 23、防止计算机中信息被窃取的手段不包括（） A、用户识别 B、权限控制 C、数据加密 D数据备份 24、从技术上说，网络容易受到攻击的原因主要是由于网络软件不完善和（）本身存在安 全漏洞造成的。 A、人为使用 B、硬件设备 C、操作系统 D、网络协议 25、被黑客控制的计算机常被称为（） A、蠕虫 B、肉鸡 C、灰鸽子 D、木马 26、被动扫描的优