信息安全管理体系基础考试题及答案.docx

D安全策略是有关管理、保护、发布敏感信息的法律、规定和实施细则答案：C38 .互联网信息服务管理办法现行有效的版本是哪年发布的？（）A.2011B.2017C.2019D.2016答案：A39 .互联网信息服务管理办法规定，国家对经营性互联网信息服务实行（A.许可制度B.地方经营C.国家经营D.备案制度答案：A40.网络安全审查办法的制定，是为了（A.保守国家秘密，维护国家安全和利益43 .信息安全是保证信息的（），另外也可包括诸如真实性，可核杳性，不可否认性和可靠性等特性。A.可用性B.机密性C.完备性D.完整性答案：ABD44 .以下属于相关方的是（A.顾客B.供方C.所有者D.组织内的人员答案：ABCD45.依据GB/T22080-2016,经管理层批准，定期评审的信息安全策略包括（A.信息备份策略B.访问控制策略C.信息传输策略D.密钥管理策略答案:ABCD47根据GB/T22080-2016标准的要求，下列说法的是（A.残余风险需要获得风险责任人的批准B.组织控制下的员工应了解信息安全方针C.保留有关信息安全风险处置过程的文件化信息D.适用性声明需要包含必要的控制及其选择的合理性说明答案:ABCD48.移动设备策略宜考虑（IA.访问控制B.移动设备注册C.恶意软件防范D.物理保护要求答案：ABCD49根据GB/T22080-2016标准的要求，管理评审是为了确保信息安全管理体系持续的（1A充分性B.符合性C.有效性D.适宜性50 .针对系统和应用访问控制，以下做法不的是（A.对于数据库系统审计人员开放不限时权限B.登录之后，不活动超过规定时间强制使其退出登录C.对于修改系统核心业务运行数据的操作限定操作时间D.用户尝试登录失败时，明确提示其用户名错误或口令错误答案：AD51 .对于组织在风险处置过程中所选的控制措施,以下说法的是（A.规避风险B.可以将风险转移C.所有风险都必须被降低到可接受的级别D.在满足公司策略和方针条件下，有意识、客观地接受风险答案：AB52.风险处置的可选措施包括（A.风险识别B.风险分析C.风险转移D.风险减缓答案：CD52.风险处置的可选措施包括（A.风险识别B.风险分析C.风险转移D.风险减缓答案：CD53.认证机构应有验证审核组成员背景经验,特定培训或情况的准则，以确保审核组至少具备（A.信息安全的知识B.管理体系的知识C.与受审核活动相关的技术知识D1.SMS监视、测量、分析和评价的知识答案：ABCD54 .可用于信息安全风险分析的方法包括（A.场景分析法B-ATA（攻击路径分析）法C.FMEA（失效模式分析）法C.HACCP（危害分析与关键控制点）法55 .中华人民共和国网络安全法适用于在中华人民共和国境内（）网络，以及网络安全的监督管理。A使用B.建设C.运营D.维护答案:ABCD三、判断题（每题1分，共10分）56.2008年6月19日，全国信息安全标准化技术委员会等同采用ISOIEC27001.2005信息安全管理体系要求，仅有编辑性修改。（）答案：对57.ISO/IEC27018标准是信息技术、安全技术作为P1.I处理者在公有云中保护个人身份信息（PI1.）的实践规范。（）答案：对58.信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。（）答案：错59.ISO/IEC27006是对提供信息安全管理体系审核和认证的批的要求。()答案：对60.组织使用云平台服务(PaaS)时,GB/T22080-2016标准中的A12.5的要求可以删减。()答案：错61 .某信用卡制造企业为接收银行信用卡数据的服务器配置了单独的路由和防火墙，这符合GBA22080-2016标准附录A131.3条款的要求。()答案：对62 .较低的恢复时间目标会有更长的中断时间。()答案：错63 .白名单方案规定邮件接收者只接收自己所信赖的邮件发送者所发送过来的邮件。()答案：对64 .信息系统中的“单点故障”指仅有一个故障点，因此属于较低风险等级的事件。（）答案：错65 .计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。（）答案：对