信息安全考试题说课材料

澳洲联邦村镇银行信息安全培训测试
银行所在地： _______________ 员工姓名：_____________________ 得分：___________
1.临时离开办公桌时，如果你的电脑屏幕正显示客户的帐户信息，你应该如何处理？（）
A、锁定我的电脑（锁定屏幕）
B、完全关闭我的电脑（关掉电源）
C、不必做什么，因为信息安全是IT部门的职责，IT系统应能保证信息安全
2.一些最近你经常会查阅的报告放在你的桌面上，其中有需要保密的信息，你应该如何
处理？（）
A、带回家扔到垃圾桶里，不会有人在家庭的垃圾里寻找银行的信息
B、就让它们留在桌面上，因为我经常会用到，而且在银行的办公室里是很安全的
C、将它们锁在抽屉或文件柜里
3.你将一位同事的电话号码写在记事贴上并贴在你桌面显眼的地方，以提醒自己给他打
电话，你是否需要作必要的安全处理？（）
A、是的。

我会将它锁在抽屉里
B、是的。

我会将它撕掉
C、不。

我会将它留在那里，这些信息并不会导致信息安全方面的风险
4.有一份工作上的电子文件你需要在离开办公室的时候查阅，你如何将它发送给自己查
看？（）
A、将它发送到我私人的GMAIL邮箱，需要的时候再从那里下载
B、我离开办公室就不能查看它，必须等我回到办公室才能查看
C、可以将它发送到我的公司邮箱，离开办公室的时候可以通过公司的Webmail
（myemailanywhere）登录到我的邮箱查看
5.你在中午外出吃饭时带上了公司的内部新闻简报阅读，里面是一些对公司员工的表彰
信息和一些员工的成功经验故事，这种内容的新闻简报是否适合在外面的餐厅阅读？
（）
A、可以的。

尽管从技术层面上来说这属于内部的简报，但就其内容而言，在公共场合
阅读它并没有信息安全风险
B、不可以。

这种内部新闻简报属于内部文件，绝对不可以在公共场合阅读它
6.你外出时接到同事的电话，要求你告诉他你的密码，以便他能替你处理一些未完成的
事务，你应该如何处理？（）
A、表示感谢，但不能给出你的密码。

等你回到办公室再自己处理这些任务，因为你需
要时间考虑这些任务的内容是否适合通过电子邮件发送给你。

B、让他将任务的内容通过电子邮件发送给你，你很清楚不能将自己的密码告诉别人
C、表示感谢并将密码告诉他，因为客户服务是最优先的任务，自己返回办公室后可以
再修改密码。

7.你在火车站与同事通电话，四周有人，你们在谈论一位同事获奖的事情，这种情况下
是否有信息安全方面的考虑？（）
A、是的。

任何有关公司的事情在任何情况下都不能在公众场合谈论
B、没有问题。

因为在这次通话中并不涉及任何有关保密的信息
8.两位同事在四周有人的公共场合谈论公司的人事安排，并提及具体的姓名和细节，这
种信息是否可以在公共场合谈论？（）
A、没有问题。

信息安全仅限于那些物理的（例如，纸质文件）或电子的信息
B、不应该。

涉及到人事方面的事只应该在公司内讨论，而且只能让需要了解的人知道
C、如果他们的谈话不提及具体的人名就没有问题
9.在机场看见一个人通过电脑访问网银，别人可以轻易地看到他的屏幕信息，还能看到
他输密码时的击键。

这种情况下，此人可能会遇到什么后果？（）
A、没问题。

银行对于网银系统都有很多安全措施来验证客户的身份，预防金融犯罪的
发生
B、他不仅面临帐户资金被盗的可能，还可能会受害于其它的身份欺诈活动
C、最坏的情况下，他这个帐户的资金有可能被盗取
10.小王前台柜员调整到后台做贷款审批工作，小李是小王任柜员时的经理，在小王调离
前，小李对于小王的系统访问权限需要做哪些工作？（）
A、小李需要在小王调离前取消他作为柜员的角色对系统的访问权限
B、小李不需要做什么。

当一名员工在内部调动时，他原来的经理没有责任去取消这名
员工原来角色的权限
C、小李需要通知老张（小王的新领导），让老张去取消小王原来角色的系统访问权限
11.（接上题的假设场景）老张是小王的新领导，他需要为小王的新角色分配系统访问权
限。

他应该怎么做？（）
A、他应该让小王自己提出所需的权限，然后按小王的要求给他分配权限，如果有问题
由小王自己负责
B、用既定的角色权限模板作为工具，按该角色的具体情况，根据必需知道和最少知道
的原则为小王分配权限
C、将一名相同岗位的员工的权限分配文件直接拷贝过来作为小王的角色权限文件，这
种方法比采用通用的模板更快捷，而且也更接近最新的情况
12.（接上题的假设场景）小王从前台柜员调到后台做审批工作，前台和后台的系统访问
权限是否可以由同一个人掌握？（）
A、不能。

前台直接处理客户账户和接收客户申请的工作与后台的审批不能由同一人处
理，这是明显的权限冲突
B、没有问题。

员工通常都可以保留以前岗位的访问权限
C、这种情形不太理想，但在实际工作中是难以避免的。

因为这样做可以让小王在今后
的工作中遇到需要访问前台系统时更方便
13-14题场景：系统发现被感染恶意软件，调查后发现这是由于两方面的原因造成的：一是没有安装最新的补丁，由于安装这个最新的补丁将需要一系列的系统升级测试以及员工培训，而这需要花费高昂的成本；二是上次升级完成后没有进行全系统的集成测试，如果进行测试，就会发现该系统会自动启动一些不必要的服务。

13.老沈是使用该系统的业务部门负责人，他与该系统的项目经理小王讨论如何避免这种
情况的发生。

其中使用该系统的业务部门负责人的职责是？（多选题）（）
A、在收到IT部门负责该系统的人的报告前，老沈不需要考虑其它的选项
B、积极地参与事件的解决，作为使用该系统的业务部门负责人，他对系统的风险负有
责任，必须保证该系统有足够的控制
C、为系统安装最新的补丁和相关的测试培训提供足够的预算
14.项目经理小王表示，他的团队在有限的预算中已经做了尽可能多的事情，他希望今后
能够更好地解决“预算与安全”的冲突，作为业务部门负责人，老沈应如何在今后的工作中更好地解决这个问题？（多选题）（）
A、向领导要求无限制的预算承诺用于解决今后遇到的安全问题
B、报告尚未解决的安全问题、安全漏洞以及尚未安装的补丁，以及不解决这些问题会
对业务造成的潜在影响
C、将实施和不实施这些安全措施可能对业务造成的影响进行关联和比较，使得对相关
情况的沟通变为寻找一个风险可接受的方案，而不仅仅是关于成本预算的考量
15.老沈是使用该系统的业务部门负责人，在考虑本部门的信息安全计划时，他列出了以
下几点：
•我有一个用户账户验证的时间表
•我已经为渗透测试准备了足够的预算
•我已经了解所有的未解决的安全例外情况，我们有一个解决它们的计划。

老沈是否有忽略的地方？（）
A、没有忽略的地方。

他已经考虑到了他需要考虑的各个方面
B、事实上，考虑以上这些事情是IT部门的责任，而不是业务部门的职责范围
C、还需要对角色访问权限的管理有清晰的定义
16.作为系统实施和维护的负责人，小王确认他只负责以下方面：
•安装安全补丁
•确保定期进行漏洞评估，并根据评估结果采取必要的措施
•管理系统级别的访问控制，包括用户验收测试的帐户。

除此之外，小王还应该负责哪一方面？（）
A、没有忽略的地方。

他已经考虑到了他需要考虑的各个方面
B、小王应该等待负责安全的同事来告诉他应该做些什么
C、应该管理风险而不仅仅是按流程拿着表格打勾，小王还应该承担所有他日常工作中
的安全职责
以下题目仅针对IT部门员工以及直接分管IT部门的行长（副行长）
17.操作系统需要安装一个关键的安全补丁，然而，运行于此操作系统上的数据库却与该
补丁不兼容，你应该如何处理这种情况？（）
A、通知使用该系统的业务部门（该系统的业主），让他们考虑如果有不兼容的情况发
生时如何处理，或者让他们计划同时对数据库进行升级
B、仍然安装这个补丁，因为这个补丁很重要
C、立即对数据库进行升级，然后再安装补丁
18.一个新系统需要连上互联网，在上线前你需要采用或参考哪些工具和措施来确保这个
系统是安全的？（多选题）（）
A、架构和设计模式
B、安全策略和标准
C、上线前进行渗透测试
D、自己从家里通过互联网对该系统进行漏洞扫描
19.你将要在服务器上安装一个新系统。

该系统仅对银行的客户提供信息查询，不会执行
任何交易或处理任何流程。

以下哪些方面仍然需要考虑？（多选题）（）
A、输入信息验证
B、交易额度限制
C、策略/漏洞检测的合规工具
D、日志和监控
E、信息的安全分级
F、身份认证要求
20.银行聘请第三方厂商对一个包含客户保密数据的系统进行配置工作，作为一个负责日
常维护的IT人员，关于数据的保密应该作哪些考虑？（多选题）（）
A、为厂商对系统进行配置后的测试安排费用预算
B、在数据转移的过程中保证数据的安全性
C、从使用该系统的业务部门获取转移数据的批准
D、对于能从中推导出客户身份的数据，要严格控制对其的访问
E、根据情况，适当地对能识别身份的数据进行模糊化处理
F、在配置工作完成后，能准确无误地将模糊化处理后的数据恢复成为实际的客户数据
21.系统维护人员需要将部分数据从旧系统迁移到新系统，为了工作方便，该员工计划将
数据提取到他的电脑中，然后通过电子邮件发送给合作的厂商，让厂商对数据进行格式转换使之符合新系统的格式，最后由厂商上载到新系统中。

该员工忽略了哪些信息安全方面的问题？（多选题）（）
A、他不应该在自己的电脑上处理生产数据
B、在缺乏合适的控制以确保数据的完整性的情况下，他不应该让厂商对数据进行格式
转换
C、他不应该用电子邮件传送保密的数据
D、他根本就不应该让厂商参与
E、他不应该允许厂商直接将转换后的数据部署到生产环境
F、在一个不受控制的环境中，他不应该让厂商接触到生产数据
22.为准备一次重要的系统升级，系统维护人员准备将在测试环境中部署生产数据用于测
试，在此情况下应考虑哪些安全控制措施以保护生产数据的安全性？（多选题）（）
A、在测试完成后将测试环境的数据修改回初始状态，然后写回到生产环境中
B、确保被模糊化处理后的数据在测试环境中能保持其对测试功能的有效性
C、确保仅提取内部用户账户内的数据用于测试
D、对数据进行模糊化处理。