信息安全管理体系与信息安全风险管理练习题1.关于从事信息安全标准化工作的组织说法,不正确的是:A.IETF的主要任务是负责互联网相关技术规范的研发和制定,并涉及到一些安全方面的标准化工作B.IEC除与ISO联合从事信息安全方面的标准化工作外,还在电信、电子系统、信息技术和电磁兼容等方面成立技术委员会,并涉及信息安全方面的标准化工作C.ITU所属的SG17组主要负责研究通信系统安全标准D.ISO/IECJTC1SC27从事的工作包括安全技术和机制的开发、安全指南的开发、但不包括管理支持文件和标准的开发答案:D。2.关于信息安全管理标准的说法,不正确的是:A.ISO/IEC13335是关于风险管理、IT安全管理的一个重要的标准系列B.ISO/IEC17799:2005建立了组织机构内启动、实施、维护和改进信息安全管理的指导方针和通用原则C.ISO/IECJTC1SC27开发的信息安全管理系统(ISMS)国际标准族采用27000系列号码作为编码方案D.BS7799包含的信息安全管理导则已成为ISO/IEC27001标准答案:D。3.我国信息安全法管理政策中,不包括:A.采取积极防御、综合治理的管理方针B.维护齐抓共管的信息安全管理体系C.采取谁主管、谁负责;谁经营、谁负责的管理政策D.采取严格的管理、威严的法律、先进的技术答案:B。4.关于信息安全风险评估工作的一些说法,不正确的是:A.按“严格组织、规范操作、讲究科学、注重实效”的原则展开;B.应按照“谁主管谁负责,谁运营谁负责”的原则进行;C.应以检查评估为主,自评估与检查评估相互结合、互为补充;D.风险评估工作应贯穿信息系统建设和运行的全过程;答案:C。5.在风险管理工作中监控审查的目的。一是,二是。A.保证风险管理过程的有效性,保证风险管理成本的有效性B.保证风险管理结果的有效性,保证风险管理成本的有效性C.保证风险管理过程的有效性,保证风险管理活动的决定得到认可D.保证风险管理结果的有效性,保证风险管理活动的决定得到认可答案:C。6.关于安全控制措施的一些说法,不正确的是:A.岗位轮换、应急响应是检测性的管理控制措施;B.职责分离、数据分类和标记是预防性的管理控制措施;C.口令、加密的使用是阻止性的技术控制措施;D.审核审计日志是检测性的技术控制措施;答案:C。7.在27001-2005中,制定风险处置计划应该在PDCA的哪个阶段进行?A.PlanB.DoC.CheckD.Act答案:A。8.为什么一个公司内部的风险评估团队应该由来自不同部门的人员组成?A.确保风险评估过程是公平的B.因为风险正是由于这些来自不同部门的人员所引起的,因此他们应该承担风险评估的职责C.因为不同部门的人员对本部门所面临的风险最清楚,由此进行的风险评估也最接近于实际情况D.风险评估团队不应该由来自不同部门的人员组成,而应该由一个来自公司外部的小型团队组成答案:C。9.在应用系统开发过程中,应对安全问题予以足够的重视。以下说法错误的是:A.在进行新系统的测试时,应对生产系统中的数据进行严格的控制B.应用系统的开发中,应注意数据输入,处理和输出等阶段对数据的控制C.一旦明确了安全需求和设计方案,在开发过程中就应当严格遵守,不能有任何改变D.系统或系统部件废弃中产生的风险,不能等闲视之答案:C。10.ISO27001、ITIL和COBIT在IT管理内容上各有优势,但侧重点不同,其各自重点分别在于:A.IT安全控制、IT过程管理和IT控制和度量评价B.IT过程管理、IT安全控制和IT控制和度量评价C.IT控制和度量评价、IT安全控制和IT安全控制D.IT过程管理、IT控制和度量评价、IT安全控制答案:A。11.下列哪项ISO27000系列是关于ISMS要求的?A.ISO27001B.ISO27002C.ISO27003D.ISO27004答案:A。12.以下关于风险管理的描述不正确的是?A.风险的四种控制方法有:减低风险/转嫁风险/规避风险/接受风险B.信息安全风险管理是否成功在于发现是否切实被消除了C.组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全D.信息安全风险管理是基于可接受的成本,对影响信息系统的安全风险进行识别多少或消除的过程答案:B。13.风险管理的重点:A.将风险降低到可以接受的程度B.不计代价的降低风险C.将风险转移给第三方D.惩罚违反安全策略规定的雇员答案:A。14.管理者何时可以根据风险分析结果对已识别风险不采取措施。A.当必须的安全对策的成本高出实际风险的可能造成的谴责负面影响时B.当风险减轻方法提高业务生产力时C.当引起风险发生的情况不在部门控制范围之内时D.不可接受答案:A。15.在风险评估中进行定量的后果分析时,如果采用年度风险损失值的方法进行计算,应当使用一下哪个公式?A.SLE(单次损失预期值)*ARO(年度发生率)B.ARO(年度发生率)*EF(暴露因子)C.SLE(单次损失预期值)*EF(暴露因子)*ARO(年度发生率)D.SLE(单次损失预期值)*ARO(年度发生率)-EF(暴露因子)答案:A。16.变更控制是信息系统运行管理的重要的内容,在变更控制的过程中:A.应该尽量追求效率,而没有任何的程序和核查的阻碍。B.应该将重点放在风险发生后的纠正措施上。C.应该很好的定义和实施风险规避的措施。D.如果是公司领导要求的,对变更过程不需要追踪和审查。答案:C。17.信息安全策略是管理层对信息安全工作意图和方向的正式表述,以下哪一项不是信息安全策略文档中必须包含的内容?A.说明信息安全对组织的重要程度B.介绍需要符合的法律法规要求C.信息安全技术产品的选型范围D.信息安全管理责任的定义答案:C。18.关于风险值的含义正确的是:A.根据安全事件发生的可能性,计算对组织的影响B.根据安全时间出现后的损失,计算对组织的影响C.根据安全事件发生的可能性以及安全事件出现后的损失,计算对组织的影响D.根据安全事件发生的可能性和资产的价值,计算对组织的影响答案:C。19.在风险评估的工作中,以下哪一选项不是其基本要素?A.残余风险B.资产C.脆弱性D.威胁答案:A。20.对“PDCA”循环不正确的描述是:A.“PDCA”的含义是P-计划,D-实施,C-检查,A-改进;B.“PDCA”循环又叫“戴明”环;C.“PDCA”循环是只能用于信息安全管理体系有效进行的工作程序;D.“PDCA”循环是可用于任何一项活动有效进行的工作程序;答案:C。21.2008年某单位对信息系统进行了全面的风险评估,并投入充分的资源进行了有效的风险处置,但是2010年仍然发生了一起影响恶劣的信息安全事件,这主要是由于:A.信息安全是系统的安全B.信息安全是无边界的安全C.信息安全是动态的安全D.信息安全是非传统的安全答案:C。22.我国信息安全标准化技术委员会(TC260)目前下属6个工作组,其中负责信息安全管理的小组是:A.WG1B.WG7C.WG3D.WG5答案:B。23.衡量残余安全风险应当考虑的因素为:A.威胁、风险、资产价值B.威胁、资产价值、脆弱性C.单次损失、年度发生率D.威胁、脆弱性、资产价值、控制措施效果答案:D。24.《信息安全技术信息安全风险评估规范GB/T20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是:A.规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等B.设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求C.实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证D.运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面答案:B。25.下列对风险分析方法的描述正确的是:A.定量分析比定性分析方法使用的表格更多B.定性分析的主观和经验判断因素较定量评估多C.同一组织只用使用一种方法进行评估D.符合组织要求的风险评估方法就是最优方法答案:B。26.风险管理四个步骤的正确顺序是:A.背景建立、风险评估、风险处理、批准监督B.背景建立、风险评估、审核批准、风险控制C.风险评估、对象确立、审核批准、风险控制D.风险评估、风险控制、对象确立、审核批准答案:A。27.某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任?A.部门经理B.高级管理层C.信息资产所有者D.最终用户答案:C。28.下面对ISO27001的说法最准确的是:A.该标准的题目是信息安全管理体系实施指南B.该标准为度量信息安全管理体系的开发和实施过程提供的一套标准C.该标准提供了一组信息安全管理相关的控制措施和最佳实践D.该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型答案:D。29.进行信息安全管理体系的建设是一个涉及企业文化、信息系统特点、法律法规限制等多方面因素的复杂过程,人们在这样的过程中总结了许多经验,下列哪一项是最不值得赞同的?A.成功的信息安全管理体系建设必须得到组织的高级管理层的直接支持B.制定的信息安全管理措施应当与组织的文化环境相匹配C.应该对ISO27002等国际标准批判地参考,不能完全照搬D.借助有经验的大型国际咨询公司,往往可以提高管理体系的执行效果答案:D。30.下列对“信息安全风险”的描述正确的是:A.是来自外部的威胁利用了系统自身存在的脆弱性作用于资产形成风险B.是系统自身存在的威胁利用了来自外部的脆弱性作用于资产形成风险C.是来自外部的威胁利用了系统自身存在的脆弱性作用于网络形成风险D.是系统自身存在的威胁利用了来自外部的脆弱性作用于网络形成风险答案:A。31.对信息安全风险评估工作成果理解正确的是:A.信息安全风险评估工作的最重要成果是按高中低级排列的风险列表。B.通过信息安全风险评估工作,不仅能够明确系统安全风险,还能够获得如何控制风险的详细建议。C.信息安全风险评估工作最终成果是信息系统安全问题(脆弱点)列表。D.信息安全风险评估工作最终成果是信息系统安全威胁列表。答案:A。32.资产管理是信息安全管理的重要内容,而清楚的识别信息系统相关的资产,并编制资产清单是资产管理的重要步骤,下面关于资产清单的说法错误的是:A.资产清单的编制是风险管理的一个重要的先决条件B.信息安全管理中所涉及的资产是指信息资产,即业务数据、合同协议、培训材料等C.在制定资产清单的时候应根据资产的重要性、业务价值和安全分类,确定与资产重要性相对应的保护级别D.资产清单中应当包括将资产从灾难中恢复而需要的信息,如资产类型、格式、位置、备份信息、许可信息等答案:D。33.组织在实施与维护信息安全的流程中,下列哪一项不属于高级管理层的职责?A.明确的支持B.执行风险分析C.定义目标和范围D.职责定义与授权答案:B。34.风险分析的目标是达到:A.风险影响和保护性措施之间的价值平衡B.风险影响和保护性措施之间的操作平衡C.风险影响和保护性措施之间的技术平衡D.风险影响和保护性措施之间的逻辑平衡答案:A。35.风险评估按照评估者的不同可以分为自评和第三方评估。这两种评估方式最本质的差别是什么?A.评估结果的客观性B.评估工具的专业程度C.评估人员的技术能力D.评估报告的形式答案:A。36.对于信息系统风险管理描述不正确的是:A.漏洞扫描是整个安全评估阶段重要的数据来源而非全部B.风险管理是动态发展的,而非停滞、静态的C.风险评估的结果以及决策方案必须能够相互比较才可以具有较好的参考意义D.风险评估最重要的因素是技术测试工具答案:D。37.下列哪一项准确地描述了脆弱性、威胁、暴露和风险之间的关系?A.脆弱性增加了威胁,威胁利用了风险并导致了暴露B.风险引起了脆弱性并导致了暴露,暴露又引起了威胁C.风险允许威胁利用脆弱性,并导致了暴露D.威胁利用脆弱性并产生影响的可能性称为风险,暴露是威胁已造成损害的实例答案:D。38