ISO27001测试题

ISO27001信息安全体系培训试题

成绩单

一、判断题（每题1分，共10分）

1. 电子商务应用不可能存在帐号失窃的问题  分值1分

○对

●错

回答正确（+1分）

2. 为了信息安全，在使用密码时建议使用大写字母、小写字母、数字、特殊符号组成的密码  分值1分

●对

○错

回答正确（+1分）

3. 员工缺乏基本的安全意识，缺乏统一规范的安全教育培训是信息安全管理现状存在的问题之一  分值1分

●对

○错

回答正确（+1分）

4. 超过70%的信息安全事件，如果事先加强管理，都可以得到避免  分值1分

●对

○错

回答正确（+1分）

5. 由于许多信息系统并非在设计是充分考虑了安全，依靠技术手段实现安全很有限，必须依靠必要的管理手段来支持  分值1分

●对

○错

回答正确（+1分）

6. 企业需要建造一个全面、均衡的测量体系，用于评估信息安全管理的效用以及改进反馈建议  分值1分

●对

○错

回答正确（+1分）

7. 通过合理的组织体系、规章制度和控管措施，把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起，以此确保整个组织达到预定程度的信息安全，称为信息安全管理  分值1分

●对

○错

回答错误（+0分）

正确答案:

错

8. 信息安全策略应涉及以下领域：安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理  分值1分

●对

○错

回答正确（+1分）

9. 离开电脑可以不锁屏  分值1分

○对

●错

回答正确（+1分）

10. 未经许可可以开启和使用远程访问端口  分值1分

○对

●错

回答正确（+1分）

二、单选题（每题3分，共75分）

11. 依据ISO27001，制定信息安全管理体系方针，应予以考虑的输入是  分值3分

○A.业务战略

○B.法律法规要求

○C.合同要求

●D.以上全部

回答正确（+3分）

12. 风险评估过程一般应包括  分值3分

○A.风险识别

○B.风险分析

○C.风险评价

●D.以上都是

回答正确（+3分）

13. 依据ISO27001，以下符合责任分割原则的是  分值3分

○A.某数据中心机房运维工程师负责制定机房访问控制策略，为方便巡检，登录门禁系统为自己配置了各个机房的不限时门禁权限

●B.某公司由信息安全官（CIO）负责制定访问控制策略，为信息系统管理员的登录权限授权时，由另外5位副总到场分别输入自己的口令然后完成授权

○C.某公司制定了访问权限列表，信息系统权限分配为：董事长拥有全部权限，其次为副总，再其次为主管经理，依次类推，运维工程师因职务最低，故拥有最少权限

○D.以上均符合责任分割原则

回答正确（+3分）

14. 依据IS27001，建立资产清单即：  分值3分

○A.列明信息生命周期内关联到的资产，明确其对组织业务的关键性

○B.完整采用组织的固定资产台账，同时指定资产责任人

○C.资产价格越高，往往意味着功能越全，因此资产重要性等级就越高

●D.A+B

回答正确（+3分）

15. 以下不正确说法的是  分值3分

○A.保留含有敏感信息的介质的处置记录

○B.将大量含有信息的介质汇集在一起时提高其集体敏感性等级

●C.将所有的已用过一遍的复印纸分配各部门复用以符合组织的节能策略

○D.根据风险评估的结果将转移更换下列的磁盘交第三方进行处置

回答正确（+3分）

16. 信息安全是保证信息的保密性、完整性、  分值3分

○A.充分性

○B.适宜性

●C.可用性

○D.有效性

回答正确（+3分）

17. 依据ISO27001，关于网络服务的访问控制策略，以下正确的说法是  分值3分

○A.没有描述为禁止访问的网络服务，应为允许访问的网络服务

○B.对于允许访问的网络服务，默认可通过无线、VPN等多种手段连接

●C.对于允许访问的网络服务，按照规定的授权机制进行授权

○D.以上都对

回答正确（+3分）

18. 关于用户访问权，以下做法正确的是  分值3分

○A.用户职位变更时，其原访问权应终止或撤销

●B.抽样进行针对信息系统用户访问权的定期评审

○C.组织主动解聘员工时等不必复审员工访问权

○D.使用监控系统可替代用户访问权评审

回答错误（+0分）

正确答案:

A.用户职位变更时，其原访问权应终止或撤销

19. 防止计算机中信息被窃采取的手段不包括  分值3分

○A.用户识别

○B.权限控制

○C.数据加密

●D.病毒控制

回答正确（+3分）

20. 关于信息系统登录口令的管理，以下说法不正确的是  分值3分

○A.必要时，使用密码技术，生物特征等代替口令

○B.用提示信息告知用户应遵从的优质口令策略

○C.名曲告知用户应遵从的优质口令策略

●D.使用互动式管理确保用户使用优质口令

回答错误（+0分）

正确答案:

B.用提示信息告知用户应遵从的优质口令策略

21. 物理安全周边的安全设置应考虑  分值3分

○A.区域内信息和资产的敏感性分类

○B.重点考虑计算机机房，而不是办公区域或其它功能区

○C.入侵探测和报警机制

●D.A+C

回答正确（+3分）

22. 以下属于安全办公区域控制的措施是  分值3分

○A.敏感信息处理设施避免放置在和外部方共用的办公区

○B.显著标记“敏感档案存储区，闲人免进”标识牌

○C.告知全体员工敏感区域的位置信息，教育员工保护其安全

●D.以上都对

回答错误（+0分）

正确答案:

A.敏感信息处理设施避免放置在和外部方共用的办公区

23. 口令管理应该是（），并确保优质的口令  分值3分

○A.唯一式

○B.交互式

●C.专人管理式

○D.以上都是

回答错误（+0分）

正确答案:

B.交互式

24. 信息安全管理中，变更管理应予以控制的风险包括()  分值3分

○A.组织架构、业务流程变更的风险

○B.信息系统配置、物理位置变更的风险

○C.信息系统新的组件、功能模块发布的风险

●D.以上全部

回答正确（+3分）

25. 设备维护维修时，应考虑的安全措施包括  分值3分

○A.维护维修前，按规定程序处理或清除其中的信息

○B.维护维修后，检查是否有未授权的新增功能

○C.敏感部件进行物理销毁而不予送修

●D.以上全部

回答正确（+3分）

26. 不属于计算机病毒防治的策略的是  分值3分

○A.常备一张真正“干净”的引导盘

○B.及时、可靠升级反病毒产品

○C.新购置的计算机软件也要进行病毒检测

●D.整理磁盘

回答正确（+3分）

27. 不属于常见的危险密码是  分值3分

○A.跟用户名相同的密码

○B.使用生日作为密码

○C.只有4位数的密码

●D.10位的综合型密码

回答正确（+3分）

28. 不属于WEB服务器的安全措施的是  分值3分

○A.保证注册账户的时效性

○B.删除死账户

○C.强制用户使用不易被激活成功教程的密码

●D.所有用户使用一次性密码

回答正确（+3分）

29. 审核的工作文件包括  分值3分

○A.检查表

○B.审核抽样计划

○C.信息记录表格

●D.以上全部

回答正确（+3分）

30. 信息安全管理体系中提到的“资产责任人”是指  分值3分

○A.对资产拥有财产权的人

○B.使用资产的人

●C.有权限变更资产安全属性的人

○D.资产所在部门负责人

回答正确（+3分）

31. 信息处理设施的变更管理不包括  分值3分

○A.信息处理设施用途的变更

○B.信息处理设施故障部件的更换

○C.信息处理设施软件的升级

●D.以上都不对

回答正确（+3分）

32. 定期备份和测试信息是指  分值3分

○A.每次备份完成时对备份结果进行检查，以确保备份效果

○B.对系统测试记录进行定期备份

●C.定期备份、定期对备份数据的完整性和可用性进行测试

○D.定期检查备份存储介质的容量

回答正确（+3分）

33. 为了确保布缆安全，以下正确的做法是  分值3分

○A.使用同一电缆管道铺设电源电缆和通信电缆

○B.网络电缆采用明线架设，以便于探查故障和维修

○C.配线盘应尽量放置在公共可访问区域，以便于应急管理

●D.使用配线标记和设备标记，编制配线列表

回答正确（+3分）

34. 以下不属于信息安全事态或事件的是  分值3分

○A.服务、设备或设施的丢失

○B.系统故障或超负载

○C.物理安全要求的违规

●D.安全策略变更的临时通知

回答正确（+3分）

35. （）是建立有效的计算机病毒防御体系所需要的技术措施  分值3分

○A.防火墙、网络入侵检测和防火墙

○B.漏洞扫描、网络入侵检测和防火墙

○C.漏洞扫描、补丁管理系统和防火墙

●D.网络入侵检测、防病毒系统和防火墙

回答正确（+3分）

三、多选题（每题3分，共15分）

36. 信息安全三要素包括  分值3分

●A.机密性

●B.完整性

●C.可用性

○D.安全性

回答正确（+3分）

37. 信息安全的重要性体现在（）  分值3分

●A.信息安全是国家安全的需要

●B.信息安全是组织持续发展的需要

●C.信息安全是保护个人隐私与财产的需要

●D.信息安全是维护企业形象的需要

回答错误（+0分）

正确答案:

A.信息安全是国家安全的需要┋B.信息安全是组织持续发展的需要┋C.信息安全是保护个人隐私与财产的需要

38. 在工作当中，“上传下载”的应用存在的风险包括  分值3分

●A.病毒木马传播

○B.身份伪造

●C.机密泄露

○D.网络欺诈

回答错误（+0分）

正确答案:

A.病毒木马传播┋B.身份伪造┋C.机密泄露

39. 客户端安全的必要措施包括（）  分值3分

●A.安全密码

●B.安全补丁更新

●C.个人防火墙

●D.应用程序使用安全

●E.防病毒

回答正确（+3分）

40. 信息安全管理现状已有的措施包括（）  分值3分

○A.兼职的安全管理员

●B.物理安全保护

●C.机房安全管理制度

●D.资产管理制度

回答错误（+0分）

正确答案:

A.兼职的安全管理员┋B.物理安全保护┋C.机房安全管理制度┋D.资产管理制度