ISO27001信息安全体系培训试题

1、ISO27001信息安全体系培训试题基本信息：矩阵文本题 *姓名：_部门：_员工编号:_一、判断题（每题1分，共10分）1. 电子商务应用不可能存在帐号失窃的问题 判断题 *对错(正确答案)2. 为了信息安全，在使用密码时建议使用大写字母、小写字母、数字、特殊符号组成的密码 判断题 *对(正确答案)错3. 员工缺乏基本的安全意识，缺乏统一规范的安全教育培训是信息安全管理现状存在的问题之一 判断题 *对(正确答案)错4. 超过70%的信息安全事件，如果事先加强管理，都可以得到避免 判断题 *对(正确答案)错5. 由于许多信息系统并非在设计是充分考虑了安全，依靠技术手段实现安全很有限，必须依靠必要

2、的管理手段来支持 判断题 *对(正确答案)错6. 企业需要建造一个全面、均衡的测量体系，用于评估信息安全管理的效用以及改进反馈建议 判断题 *对(正确答案)错7. 通过合理的组织体系、规章制度和控管措施，把具有信息安全保障功能的软硬件设施和管理以及使用信息的人整合在一起，以此确保整个组织达到预定程度的信息安全，称为信息安全管理 判断题 *对错(正确答案)8. 信息安全策略应涉及以下领域：安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理 判断题 *对(正确答案)错9. 离开电

3、脑可以不锁屏 判断题 *对错(正确答案)10. 未经许可可以开启和使用远程访问端口 判断题 *对错(正确答案)二、单选题（每题3分，共75分）11. 依据ISO27001，制定信息安全管理体系方针，应予以考虑的输入是 单选题 *A.业务战略B.法律法规要求C.合同要求D.以上全部(正确答案)12. 风险评估过程一般应包括 单选题 *A.风险识别B.风险分析C.风险评价D.以上都是(正确答案)13. 依据ISO27001，以下符合责任分割原则的是 单选题 *A.某数据中心机房运维工程师负责制定机房访问控制策略，为方便巡检，登录门禁系统为自己配置了各个机房的不限时门禁权限B.某公司由信息安全官（C

4、IO）负责制定访问控制策略，为信息系统管理员的登录权限授权时，由另外5位副总到场分别输入自己的口令然后完成授权(正确答案)C.某公司制定了访问权限列表，信息系统权限分配为：董事长拥有全部权限，其次为副总，再其次为主管经理，依次类推，运维工程师因职务最低，故拥有最少权限D.以上均符合责任分割原则14. 依据IS27001，建立资产清单即： 单选题 *A.列明信息生命周期内关联到的资产，明确其对组织业务的关键性B.完整采用组织的固定资产台账，同时指定资产责任人C.资产价格越高，往往意味着功能越全，因此资产重要性等级就越高D.A+B(正确答案)15. 以下不正确说法的是 单选题 *A.保留含有敏感信

5、息的介质的处置记录B.将大量含有信息的介质汇集在一起时提高其集体敏感性等级C.将所有的已用过一遍的复印纸分配各部门复用以符合组织的节能策略(正确答案)D.根据风险评估的结果将转移更换下列的磁盘交第三方进行处置16. 信息安全是保证信息的保密性、完整性、 单选题 *A.充分性B.适宜性C.可用性(正确答案)D.有效性17. 依据ISO27001，关于网络服务的访问控制策略，以下正确的说法是 单选题 *A.没有描述为禁止访问的网络服务，应为允许访问的网络服务B.对于允许访问的网络服务，默认可通过无线、VPN等多种手段连接C.对于允许访问的网络服务，按照规定的授权机制进行授权(正确答案)D.以上都对

6、18. 关于用户访问权，以下做法正确的是 单选题 *A.用户职位变更时，其原访问权应终止或撤销(正确答案)B.抽样进行针对信息系统用户访问权的定期评审C.组织主动解聘员工时等不必复审员工访问权D.使用监控系统可替代用户访问权评审19. 防止计算机中信息被窃采取的手段不包括 单选题 *A.用户识别B.权限控制C.数据加密D.病毒控制(正确答案)20. 关于信息系统登录口令的管理，以下说法不正确的是 单选题 *A.必要时，使用密码技术，生物特征等代替口令B.用提示信息告知用户应遵从的优质口令策略(正确答案)C.名曲告知用户应遵从的优质口令策略D.使用互动式管理确保用户使用优质口令21. 物理安全周

7、边的安全设置应考虑 单选题 *A.区域内信息和资产的敏感性分类B.重点考虑计算机机房，而不是办公区域或其它功能区C.入侵探测和报警机制D.A+C(正确答案)22. 以下属于安全办公区域控制的措施是 单选题 *A.敏感信息处理设施避免放置在和外部方共用的办公区(正确答案)B.显著标记“敏感档案存储区，闲人免进”标识牌C.告知全体员工敏感区域的位置信息，教育员工保护其安全D.以上都对23. 口令管理应该是（），并确保优质的口令 单选题 *A.唯一式B.交互式(正确答案)C.专人管理式D.以上都是24. 信息安全管理中，变更管理应予以控制的风险包括() 单选题 *A.组织架构、业务流程变更的风险B.

8、信息系统配置、物理位置变更的风险C.信息系统新的组件、功能模块发布的风险D.以上全部(正确答案)25. 设备维护维修时，应考虑的安全措施包括 单选题 *A.维护维修前，按规定程序处理或清除其中的信息B.维护维修后，检查是否有未授权的新增功能C.敏感部件进行物理销毁而不予送修D.以上全部(正确答案)26. 不属于计算机病毒防治的策略的是 单选题 *A.常备一张真正“干净”的引导盘B.及时、可靠升级反病毒产品C.新购置的计算机软件也要进行病毒检测D.整理磁盘(正确答案)27. 不属于常见的危险密码是 单选题 *A.跟用户名相同的密码B.使用生日作为密码C.只有4位数的密码D.10位的综合型密码(正

9、确答案)28. 不属于WEB服务器的安全措施的是 单选题 *A.保证注册账户的时效性B.删除死账户C.强制用户使用不易被破解的密码D.所有用户使用一次性密码(正确答案)29. 审核的工作文件包括 单选题 *A.检查表B.审核抽样计划C.信息记录表格D.以上全部(正确答案)30. 信息安全管理体系中提到的“资产责任人”是指 单选题 *A.对资产拥有财产权的人B.使用资产的人C.有权限变更资产安全属性的人(正确答案)D.资产所在部门负责人31. 信息处理设施的变更管理不包括 单选题 *A.信息处理设施用途的变更B.信息处理设施故障部件的更换C.信息处理设施软件的升级D.以上都不对(正确答案)32.

10、 定期备份和测试信息是指 单选题 *A.每次备份完成时对备份结果进行检查，以确保备份效果B.对系统测试记录进行定期备份C.定期备份、定期对备份数据的完整性和可用性进行测试(正确答案)D.定期检查备份存储介质的容量33. 为了确保布缆安全，以下正确的做法是 单选题 *A.使用同一电缆管道铺设电源电缆和通信电缆B.网络电缆采用明线架设，以便于探查故障和维修C.配线盘应尽量放置在公共可访问区域，以便于应急管理D.使用配线标记和设备标记，编制配线列表(正确答案)34. 以下不属于信息安全事态或事件的是 单选题 *A.服务、设备或设施的丢失B.系统故障或超负载C.物理安全要求的违规D.安全策略变更的临时

11、通知(正确答案)35. （）是建立有效的计算机病毒防御体系所需要的技术措施 单选题 *A.防火墙、网络入侵检测和防火墙B.漏洞扫描、网络入侵检测和防火墙C.漏洞扫描、补丁管理系统和防火墙D.网络入侵检测、防病毒系统和防火墙(正确答案)三、多选题（每题3分，共15分）36. 信息安全三要素包括 *A.机密性(正确答案)B.完整性(正确答案)C.可用性(正确答案)D.安全性37. 信息安全的重要性体现在（） *A.信息安全是国家安全的需要(正确答案)B.信息安全是组织持续发展的需要(正确答案)C.信息安全是保护个人隐私与财产的需要(正确答案)D.信息安全是维护企业形象的需要38. 在工作当中，“上传下载”的应用存在的风险包括 *A.病毒木马传播(正确答案)B.身份伪造(正确答案)C.机密泄露(正确答案