1、信息安全管理培训试题1. 风险管理的首要任务是( A )A 风险识别和评估 B 风险转嫁 C 风险控制 D 接受风险2. 在信息系统安全中,风险由以下哪两种因素共同构成的?(C )A攻击和脆弱性 B威胁和攻击 C威胁和脆弱性 D威胁和破坏3. 以下哪项不是 APT 攻击特点的是?( A )A:以破坏网络为目 B:攻击频率高 C:持续时间长 D:攻击目标明确4. 以下哪种风险被定义为合理的风险?( B )A最小的风险 B可接受风险 C残余风险 D总风险5. 以下哪个不属于信息安全的三要素之一?( C )A. 机密性 B. 完整性 C.抗抵赖性 D.可用性6. 通常情况下,怎样计算风险?( A )
2、A. 将威胁可能性等级乘以威胁影响就得出了风险。B. 将威胁可能性等级加上威胁影响就得出了风险。C. 用威胁影响除以威胁的发生概率就得出了风险。D. 用威胁概率作为指数对威胁影响进行乘方运算就得出了风险。7. 在 BS779-2:2002 版中,下列对 P-D-C-A 过程的描述错误的是?(D )A. P 代表 PLAN,即建立 ISMS 环境&风险评估B. D 代表 DO ,即实现并运行 ISMSC. C 代表 CHECK,即监控和审查 ISMSD. A 代表 ACT,即执行 ISMS8. 资产的敏感性通常怎样进行划分?(C )A绝密、机密、秘密、敏感 B机密、秘密、敏感和公开C绝密、机密、
3、秘密、敏感和公开等五类D绝密、高度机密、秘密、敏感和公开等五类9. 安全审计是一种很常见的安全控制措施,它在信息安全保障体系中,属于_措施。 (B )保护 B 检测 C 响应 D 恢复10. 拒绝服务攻击损害了信息系统的哪一项性能?(B )A. 完整性 B. 可用性 C.保密性 D.可靠性11. 在目前的信息网络中,_病毒是最主要的病毒类型。 ( C )引导型 B 文件型 C 网络蠕虫 D 木马型12. 在许多组织机构中,产生总体安全性问题的主要原因是:( A )A.缺少安全性管理B.缺少故障管理C.缺少风险分析D.缺少技术控制机制13. 职责分离是信息安全管理的一个基本概念。其关键是权力不能
4、过分集中在某一个人手中。职责分离的目的是确保没有单独的人员(单独进行操作)可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员访问安全系统软件的时候,会造成对“职责分离”原则的违背? ( D)A.数据安全管理员B.数据安全分析员C.系统审核员D.系统程序员14. 下列哪一项准确地描述了可信计算基(TCB)?(C )A TCB 只作用于固件(Firmware) B TCB 描述了一个系统提供的安全级别 C TCB 描述了一个系统内部的保护机制 D TCB 通过安全标签来表示数据的敏感15._是企业信息安全的核心( C ) A 安全教育 B 安全措施 C 安全管理 D 安全设施16. 下列_
5、因素,不会对最终的风险评估结果产生影响(A ) 管理制度 B 资产价值 C 威胁 D 脆弱性 E 安全措施17. 对于在风险评估过程中发现的风险,下列哪一项不是适当的风险处置措施?(C )A 消减风险 B 接受风险 C 忽略风险 D 转移风险18. 国际信息安全管理体系标准是( B ) 。 A:ISO 15408 B. ISO 27002/ISO 27001 C. ISO 9001 D. ISO 14001 19. 下列关于风险的说法,_是错误的(C ) A 风险是客观存在的 B 导致风险的外因是普遍存在的安全威胁C 导致风险的外因是普遍存在的安全脆弱性 D 风险是指一种可能性20. 以下不属于信息安全资产管理要点的是?(D )A:鉴别 B:体系化 C:价值化 D:数量化