信息安全风险管理(考题)

1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说，三分技术，七分管理，可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统，而不是人【答案】D4. 企业按照ＩＳＯ２７００１标准建立信息安全管理体系的过程中，对关键成功因素的描述不正确的是A. 不需要全体员工的参入，只要ＩＴ部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准，并遵照执行【答案】A5. 信息安全管理体系（ISMS）是一个怎样的体系，以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的，应该解决所有的信息安全问题【答案】D6. PDCA特征的描述不正确的是A. 顺序进行，周而复始，发现问题，分析问题，然后是解决问题B. 大环套小环，安全目标的达成都是分解成多个小目标，一层层地解决问题C.阶梯式上升，每次循环都要进行总结，巩固成绩，改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】D8. ISO27001认证项目一般有哪几个阶段？A. 管理评估，技术评估，操作流程评估B. 确定范围和安全方针，风险评估，风险控制（文件编写），体系运行，认证C.产品方案需求分析，解决方案提供，实施解决方案D. 基础培训，RA培训，文件编写培训，内部审核培训【答案】B9. 构成风险的关键因素有哪些？A. 人，财，物B. 技术，管理和操作C.资产，威胁和弱点D. 资产，可能性和严重性【答案】C10. 以下哪些不是应该识别的信息资产？A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】C11. 以下哪些是可能存在的威胁因素？BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】B12. 以下哪些不是可能存在的弱点问题？A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】C13. 风险评估的过程中，首先要识别信息资产，资产识别时，以下哪个不是需要遵循的原则？A. 只识别与业务及信息系统有关的信息资产，分类识别B.所有公司资产都要识别C. 可以从业务流程出发，识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】B14. 风险分析的目的是？A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡；B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡；C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡；D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡；【答案】C15. 对于信息安全风险的描述不正确的是？A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理（Risk Management）就是以可接受的代价，识别控制减少或消除可能影响信息系统的安全风险的过程。

考过的题：188､192､193､194､195､203､215､216､223､230､238、2411．信息安全保障要素不包括以下哪一项？A．技术B．工程C．组织D．管理2．以下对信息安全问题产生的根源描述最准确的是：A．信息安全问题是由于信息技术的不断发展造成的B．信息安全问题是由于黑客组织和犯罪集团追求名和利造成的C．信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的D．信息安全问题产生的内因是信息系统的复杂性，外因是对手的威胁与破坏3．完整性机制可以防范以下哪种攻击？A．假冒源地址或用户的地址的欺骗攻击B．抵赖做过信息的递交行为C．数据传输中被窃听获取D．数据传输中被篡改或破坏4．PPDR 模型不包括：A．策略B．检测C．响应D．加密5．关于信息安全策略的说法中，下面说法正确的是：A．信息安全策略的制定是以信息系统的规模为基础B．信息安全策略的制定是以信息系统的网络拓扑结构为基础C．信息安全策略是以信息系统风险管理为基础D．在信息系统尚未建设完成之前，无法确定信息安全策略6．“进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。

其中，“看不懂”是指下面哪种安全服务：A．数据加密B．身份认证C．数据完整性D．访问控制7．下面对 ISO27001 的说法最准确的是：A．该标准的题目是信息安全管理体系实施指南B．该标准为度量信息安全管理体系的开发和实施过程提供的一套标准C．该标准提供了一组信息安全管理相关的控制措施和最佳实践D．该标准为建立、实施、运行、监控、审核、维护和改进信息安全管理体系提供了一个模型8．拒绝服务攻击损害了信息系统的哪一项性能？A．完整性B．可用性C．保密性D．可靠性，信息系统的安全保护等级由哪两个定级要素决定？9．根据《信息系统安全等级保护定级指南》A．威胁、脆弱性B．系统价值、风险C．信息安全、系统服务安全D．受侵害的客体、对客体造成侵害的程度业务10．IAFE 深度防御战略的三个层面不包括：A．人员B．法律C．技术D．运行11．“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级，国家秘密的密级分为：“商密”两个级别B．“低级”和“高级”两个级别、A．“普密”“秘密”三个级别D．“一密”、“二密”“四密”四个级别、、“三密”、“机密”C．“绝密”、12．触犯新刑法 285 条规定的非法侵入计算机系统罪可判处A．三年以下有期徒刑或拘役B．1000 元罚款C．三年以上五年以下有期徒刑D．10000 元罚款13．以下关于我国信息安全政策和法律法规的说法错误的是：A．中办发【2003】27 号文提出“加快信息安全人员培养，增强全民信息安全意识”B．2008 年 4 月国务院办公厅发布了《关于加强政府信息系统安全和保密管理工作的通知》C．2007 年我国四部委联合发布了《信息安全等级保护管理办法》D．2006 年 5 月全国人大常委会审议通过了《中国人民共和国信息安全法》14．目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，多头管理现状决定法出多门，《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度？A．公安部B．国家保密局C．信息产业部D．国家密码管理委员会办公室15．VPN 系统主要用来A．进行用户身份的鉴别B．进行用户行为的审计C．建立安全的网络通信D．对网络边界进行访问控制16．VPN 技术无法实现以下哪个服务？A．身份验证B．传输加密C．完整性校验D．可用性校验17．组成 IPSec 的主要安全协议不包括以下哪一项？A．ESP B．DSS C．IKE D．AH18．SSL 协议比 IPSEC 协议的优势在于：A．实现简单、易于配置B．能有效的工作在网络层C．能支撑更多的应用层协议D．能实现更高强度的加密19．下面对于“电子邮件炸弹”的解释最准确的是：A．邮件正文中包含的恶意网站链接B．邮件附件中具有破坏性的病毒C．社会工程的一种方式，具有恐吓内容的邮件D．在短时间内发送大量邮件的软件，可以造成目标邮箱爆满20．电子邮件客户端通常需要用协议来发送邮件。

一、单项选择题（1-605）1、Chinese Wall 模型的设计宗旨是：（A）。

A、用户只能访问哪些与已经拥有的信息不冲突的信息B、用户可以访问所有信息C、用户可以访问所有已经选择的信息D、用户不可以访问哪些没有选择的信息2、安全责任分配的基本原则是：（C）。

A、“三分靠技术，七分靠管理”B、“七分靠技术，三分靠管理”C、“谁主管，谁负责”D、防火墙技术3、保证计算机信息运行的安全是计算机安全领域中最重要的环节之一，以下（B）不属于信息运行安全技术的范畴。

A、风险分析B、审计跟踪技术C、应急技术D、防火墙技术4、从风险的观点来看，一个具有任务紧急性，核心功能性的计算机应用程序系统的开发和维护项目应该（A）。

A、内部实现B、外部采购实现C、合作实现D、多来源合作实现5、从风险分析的观点来看，计算机系统的最主要弱点是（B）。

A、内部计算机处理B、系统输入输出C、通讯和网络D、外部计算机处理6、从风险管理的角度，以下哪种方法不可取？（D）A、接受风险B、分散风险C、转移风险D、拖延风险7、当今IT的发展与安全投入，安全意识和安全手段之间形成（B）。

A、安全风险屏障B、安全风险缺口C、管理方式的变革D、管理方式的缺口8、当为计算机资产定义保险覆盖率时，下列哪一项应该特别考虑？（D）。

A、已买的软件B、定做的软件C、硬件D、数据9、当一个应用系统被攻击并受到了破坏后，系统管理员从新安装和配置了此应用系统，在该系统重新上线前管理员不需查看：（C）A、访问控制列表B、系统服务配置情况C、审计记录D、用户账户和权限的设置10、根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行（B）。

A、逻辑隔离B、物理隔离C、安装防火墙D、VLAN 划分11、根据《信息系统安全等级保护定级指南》，信息系统的安全保护等级由哪两个定级要素决定？（D）A、威胁、脆弱性B、系统价值、风险C、信息安全、系统服务安全D、受侵害的客体、对客体造成侵害的程度业务12、公司应明确员工的雇佣条件和考察评价的方法与程序，减少因雇佣不当而产生的安全风险。

一．选择题（每题4分）1.网页病毒主要通过以下方式传播（）A 邮件B 文件交换C 网页浏览D 光盘2.浏览器存在的安全风险主要包含（）A 网络钓鱼，隐私跟踪B 网络钓鱼，隐私跟踪，数据劫持C 隐私跟踪，数据劫持，浏览器的安全漏洞D 网络钓鱼，隐私跟踪，数据劫持，浏览器的安全漏洞3.为了防止邮箱邮件爆满而无法正常使用邮箱，您认为应该怎么做（）A 看完的邮件就立即删除B 定期删除邮箱的邮件C 定期备份邮件并删除D 发送附件时压缩附件4.以下说法错误的是（）A 需要定期更新QQ软件B 可以使用非官方提供的QQ软件C 不在合作网站轻易输入QQ号D 完善保密资料，使用密保工具5.计算机病毒的危害性表现在（）。

A 能造成计算机部分配置永久性失效B 影响程序的执行或破坏用户数据与程序C 不影响计算机的运行速度D不影响计算机的运算结果6.多久更换一次计算机密码较为安全（）A 一个月或一个月以内B 1-3个月C 3-6个月D 半年以上或从不更换7.以下哪种口令不属于弱口令（）A 123456B abcdefgC AAAAAD abc123-+.8.以下哪个说法是错误的（）A 随身携带员工卡B 不将员工卡借与他人C 身份证复印件使用后要销毁D 由同事协助打卡9.企业信息安全哪方面更加重要（）A 安全设备的采买B 安全组织的建立C 安全制度的建立D 人员安全意识的提高10.发现同事电脑中毒该怎么办（）A 不关我事，继续办公B 协助同事查找问题C 及时报告给信息安全人员D 用U盘把同事电脑里面的资料拷贝到自己电脑里面11.重要数据要及时（），以防出现意外情况导致数据丢失。

A 杀毒B 加密C 备份D 格式化12.当你收到一封含有链接信息的邮件时，以下链接中相对安全的是:（）A 收到一封广告邮件，里面有链接信息，点击可查阅广告内容B 收到一封陌生地址发来的邮件，内容为乱码，含有链接信息C 收到一封银行发来的邮件，称查询协议即将到期，点击链接更新协议D 注册一个正规网址，为了确认身份，该网址会向你的邮箱发送链接，点击方可完成注册13.公司电脑不允许随意安装软件原因是什么（）A 软件版权问题B 病毒风险C 软件来源不明，安全性无法保证D 以上都是14.公司对上网进行了控制，不允许员工随意上网原因如下:（）A 确保公司网络安全，减少不避要的流量通讯，提高硬件服务性能B 减少网络信息安全泄密C 减少病毒传染机率D 以上都是15.关于信息安全管理，以下哪一项说法最不合理?（）A 人员是最薄弱的环节B 建立信息安全管理体系是最好的解决方法C 只要买最好的安全产品就能做好信息安全D 信息安全管理关系到公司中的每一个员工16.下列关于下载安全的建议中正确的是?（）A 选择资源丰富的网站下载B关闭杀毒软件，提高下载速度C 下载完成后直接打开下载的文件D 下载软件时，最好到软件官方网站或者其他正规软件下载网站下载17.下列有关计算机病毒防治的说法中，错误的是（）A定期查、杀毒B及时更新和升级杀毒软件C不使用盗版软件D偶尔使用来历不明的光盘18.肉鸡的正确解释是（）A 比较慢的电脑B 被黑客控制的电脑C 肉食鸡D 烤鸡19.下列哪一项不属于信息资产的安全属性（）A 机密性B 完整性C 可用性D 复杂性20.以下锁定屏幕的方法正确的是（）A Windows+LB Ctrl+LC Alt+LD 不会二．简答题（每题10分）1.“信息安全三个零”的内容是什么？2.高强度密码的组成是什么？。

2021年5月ISMS信息安全管理体系基础考试真题参考答案一、单项选择题1、信息安全风险评估的基本要素包括（B）。

（A）资产、可能性、影响（B）资产、脆弱性、威胁（C）可能性、资产、脆弱性（D）脆弱性、威胁、后果2、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（A）。

（A）ISO/IECJTC1SC27（B）ISO/IECJTC1SC40（C）ISO/IECTC27（D）ISO/IECTC403、当操作系统发生变更时，应对业务的关键应用进行（B），以确保对组织的运行和安全没有负面影响。

（A）隔离和迁移（B）评审和测试（C）评审和隔离（D）验证和确认4、下列关于DMZ区的说法错误的是（C）。

（A）DMZ可以访问内部网络（B）通常DMZ包含允许来自互联网的通信可进行的设备，如WEB服务器、FTP服务器、SMTP服务器和DNS服务器（C）内部网络可以无限制地访问外部网络以及DMZ（D）有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作5、信息安全管理中，关于脆弱性，以下说法正确的是：（B）。

（A）组织使用的开源软件不须考虑其技术脆弱性（B）软件开发人员为方便维护留的后门是脆弱性的一种（C）识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施（D）使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会6、公司A在内审时发现部分员工计算机开机密码少于六位，公司文件规定员工计算机密码必须六位及以上，那么下列选项中哪一项不是针对该问题的纠正措施？（A）（A）要求员工立刻改正（B）对员工进行优质口令设置方法的培训（C）通过域控进行强制管理（D）对所有员工进行意识教育7、下列哪个不是《中华人民共和国密码法》中密码的分类？（C）（A）核心密码（B）普通密码（C）国家密码（D）商用密码8、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查。

对秘密级、机密级信息系统每（D）至少进行一次保密检查或者系统测评。

1。

人们对信息安全的认识从信息技术安全发展到信息安全保障，主要是出于：A. 为了更好的完成组织机构的使命B。

针对信息系统的攻击方式发生重大变化C。

风险控制技术得到革命性的发展D。

除了保密性，信息的完整性和可用性也引起了人们的关注2。

《GB/T 20274信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指:A。

对抗级B。

防护级C。

能力级D. 监管级3。

下面对信息安全特征和范畴的说法错误的是：A。

信息安全是一个系统性的问题，不仅要考虑信息系统本身的技术文件，还有考虑人员、管理、政策等众多因素B。

信息安全是一个动态的问题,他随着信息技术的发展普及，以及产业基础,用户认识、投入产出而发展C。

信息安全是无边界的安全,互联网使得网络边界越来越模糊，因此确定一个组织的信息安全责任是没有意义的D。

信息安全是非传统的安全,各种信息网络的互联互通和资源共享，决定了信息安全具有不同于传统安全的特点4. 美国国防部提出的《信息保障技术框架》（IATF）在描述信息系统的安全需求时,将信息技术系统分为:A。

内网和外网两个部分B。

本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分C. 用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分D。

信用户终端、服务器、系统软件、网络设备和通信线路、应用软件，安全防护措施六个部分5。

关于信息安全策略的说法中，下面说法正确的是：A。

信息安全策略的制定是以信息系统的规模为基础B。

信息安全策略的制定是以信息系统的网络？？？C. 信息安全策略是以信息系统风险管理为基础D。

在信息系统尚未建设完成之前，无法确定信息安全策略6。

下列对于信息安全保障深度防御模型的说法错误的是：A. 信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下.B。

信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中，我们需要采用信息系统工程的方法来建设信息系统。

1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】 C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】 D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说，三分技术，七分管理，可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统，而不是人【答案】 D4. 企业按照ＩＳＯ２７００１标准建立信息安全管理体系的过程中，对关键成功因素的描述不正确的是A. 不需要全体员工的参入，只要ＩＴ部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准，并遵照执行【答案】 A5. 信息安全管理体系（ISMS）是一个怎样的体系，以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的，应该解决所有的信息安全问题【答案】 D6. PDCA特征的描述不正确的是A. 顺序进行，周而复始，发现问题，分析问题，然后是解决问题B. 大环套小环，安全目标的达成都是分解成多个小目标，一层层地解决问题C.阶梯式上升，每次循环都要进行总结，巩固成绩，改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】 D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】 D8. ISO27001认证项目一般有哪几个阶段？A. 管理评估，技术评估，操作流程评估B. 确定范围和安全方针，风险评估，风险控制（文件编写），体系运行，认证C.产品方案需求分析，解决方案提供，实施解决方案D. 基础培训，RA培训，文件编写培训，内部审核培训【答案】 B9. 构成风险的关键因素有哪些？A. 人，财，物B. 技术，管理和操作C.资产，威胁和弱点D. 资产，可能性和严重性【答案】 C10. 以下哪些不是应该识别的信息资产？A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】 C11. 以下哪些是可能存在的威胁因素？BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】 B12. 以下哪些不是可能存在的弱点问题？A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】 C13. 风险评估的过程中，首先要识别信息资产，资产识别时，以下哪个不是需要遵循的原则？A. 只识别与业务及信息系统有关的信息资产，分类识别B.所有公司资产都要识别C. 可以从业务流程出发，识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】 B14. 风险分析的目的是？A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡；B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡；C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡；D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡；【答案】 C15. 对于信息安全风险的描述不正确的是？A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理（Risk Management）就是以可接受的代价，识别控制减少或消除可能影响信息系统的安全风险的过程。

2023年CISP信息安全专业人员考试题及答案1.以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了正确答案：C2.以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D增值性正确答案：D3.以下对信息安全管理的描述错误的是Λ,信息安全管理的核心就是风险管理B.人们常说，三分技术，七分管理，可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统，而不是人正确答案：D4.企业按照标准建立信息安全管理体系的过程中，对关键成功因素的描述不正确的是A.不需要全体员工的参入，只要部门的人员参入即可B.来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D.所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准，并遵照执行正确答案：A5.信息安全管理体系(ISMS)是一个怎样的体系，以下描述不正确的是Λ.ISMS是一个遵循PDCA模式的动态发展的体系B.ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D.ISMS应该是一步到位的，应该解决所有的信息安全问题正确答案：D6.PDCA特征的描述不正确的是A.顺序进行，周而复始，发现问题，分析问题，然后是解决问题B.大环套小环，安全目标的达成都是分解成多个小目标，一层层地解决问题C.阶梯式上升，每次循环都要进行总结，巩固成绩，改进不足D.信息安全风险管理的思路不符合PDCA的问题解决思路正确答案：D7.以下哪个不是信息安全项目的需求来源Λ,国家和地方政府法律法规与合同的要求8.风险评估的结果C.组织原则目标和业务需要D.企业领导的个人意志正确答案：D8.IS027001认证项目一般有哪几个阶段？A.管理评估，技术评估，操作流程评估8.确定范围和安全方针，风险评估，风险控制（文件编写），体系运行，认证C.产品方案需求分析，解决方案提供，实施解决方案D.基础培训，RA培训，文件编写培训，内部审核培训正确答案：B9.构成风险的关键因素有哪些？A.人,财，物B.技术，管理和操作C.资产，威胁和弱点D.资产，可能性和严重性正确答案：C10.以下哪些不是应该识别的信息资产？Λ.网络设备B.客户资料C.办公桌椅D.系统管理员正确答案：C11.以下哪些是可能存在的威胁因素？BA.设备老化故障B.病毒和蠕虫C.系统设计缺陷D.保安工作不得力正确答案：B12.以下哪些不是可能存在的弱点问题？A.保安工作不得力B.应用系统存在BugC.内部人员故意泄密D.物理隔离不足正确答案：C13.风险评估的过程中，首先要识别信息资产，资产识别时，以下哪个不是需要遵循的原则？Λ,只识别与业务及信息系统有关的信息资产，分类识别B.所有公司资产都要识别C.可以从业务流程出发，识别各个环节和阶段所需要以及所产出的关键资产D.资产识别务必明确责任人、保管者和用户正确答案：B14.风险分析的目的是？A.在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C.在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D.在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;正确答案：C15.对于信息安全风险的描述不正确的是？Λ,企业信息安全风险管理就是要做到零风险B.在信息安全领域，风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(RiskManagement)就是以可接受的代价，识别控制减少或消除可能影响信息系统的安全风险的过程。

1.根据相关标准，信息安全风险管理可以分为背景建立、风险评估，风险处理，批准监督、监控审查和沟通咨询等阶段。

模拟该流程。

文档《风险分析报告》应属于哪个阶段的输出成果（）。

A 风险评估B 风险处理C 批准监督D 监控审查2.<p>某单位在实施信息安全风险评估后，形成了若干文档，下面（）中的文档不应属于风险评估&ldquo;准备&rdquo;阶段输出的文档。

</p>A 《风险评估工作计划》，主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色进度安排等内容B 《风险评估方法和工具列表》，主要包括拟用的风险评估方法和测试评估工具等内容C 《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安全措施等内容D 《风险评估准则要求》，主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等内容3.规范的实施流程和文档管理，是信息安全风险评估结果取得成果的重要基础，<span style="line-height: 20.8px;">按照规范</span>的风险评估实施流程，下面哪个文档应当是风险要素识别阶段的输出成果（）A 《风险评估方案》B 《重要保护的资产清单》C 《风险计算报告》D 《风险程度等级列表》4.定量风险分析是从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，准确度量风险的可能性和损失量，小王采用该方法来为单位机房计算火灾的风险大小，假设单位机房的总价值为200万元人民币，暴露系数（ErpomireFactor,EF）是x，年度发生率（AnnuaIixed Rato of Occurrence,ARO）为0.1，而小王计算的年度预期损失（AnnuaIixed Loss Rrpectancy,ALE）值为5万元人民币。

由此x值应该是（）5.不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织机构应当根据各自的实际情况，选择适当的风险评估方法，下面的描述中，错误的是（）A 定量风险分析是用从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，以度量风险的可能性和损失量B 定量风险分析相比定性风险分析能得到准确的数值，所以在实际工作中应使用定量风险分析，而不应选择定性风险分析C 定性风险分析过程中，往往需要凭借分析者的经验直接进行，所以分析结果和风险评估团队的素质、经验和知识技能密切相关D 定性风险分析更具有主观性，而定量风险分析更具客观性6.某单位在一次信息安全风险管理活动中，风险评估报告提出服务器A的PTP 服务存在高风险的漏洞，随后该单位在风险处理时选择了关闭PTP服务的处理措施，请问该措施属于哪种风险处理方式（）A 风险降低B 风险规避C 风险转移D 风险接受7.残余风险是风险管理中的一个重要概念，在信息安全风险管理中，关于残余风险描述错误的是（）A 残余风险是采取了安全措施后，仍然可能存在的风险，一般来说，是在综合考虑了安全成本与效益后不去控制的风险B 残余风险应受到密切监理，它会随着时间的推移而发生变化，可能会在将来诱发新的安全事件C 实施风险处理时，应将残余风险清单告知信息系统所在组织的高管，使其了解残余风险的存在和可能造成的后果D 信息安全风险处理的主要准则是尽可能降低和控制信息安全风险，以最小的残余风险值作为风险管理效果评估指标9.某公司正在进行信息安全风险评估，在决定信息资产的分类与分级时，谁负有最终责任？A:部门经理B:高级管理层C:信息资产所有者D:最终用户10.以下对信息安全风险管理理解最准确的说法是：A:了解风险B:转移风险C:了解风险并控制风险D:了解风险并转移风险11.在信息安全风险管理工作中，识别风险时主要重点考虑的要素应包括：A:资产及其价值、威胁、脆弱性、现有的和计划的控制措施B:资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施C:完整性、可用性、机密性、不可抵赖性D:以上都不正确12.以下哪一项不是信息安全风险分析过程中所要完成的工作：A:识别用户B:识别脆弱性C:评估资产价值D:计算机安全事件发生的可能性13.王工是某单位系统管理员，他在某次参加了单位组织的风险管理工作时，发现当前案例中共有两个重要资产：资产A1和资产A2；其中资产A1面临两个主要威胁：威胁T1和威胁T2；而资产A2面临一个主要威胁：威胁T3；威胁T1可以利用的资产A1存在的两个脆弱性；脆弱性V1和脆弱性V2：威胁T2可以利用资产A1存在的三个脆弱性，脆弱性V3、脆弱性V4和脆弱性V5;威胁T3可以利用的资产A2存在的两个脆弱性，脆弱性V6和脆弱性V7.根据上述条件，请问：使用相乘法时，应该为资产A1计算几个风险值（）A 2B 3C 5D 614.A:内部计算机处理B:系统输入输出C:通讯和网络D:外部计算机处理15.《信息安全技术信息安全风险评估规范GB／T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是：A:规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等。

信息安全考试题库在当今数字化时代，信息安全已经成为了至关重要的议题。

无论是个人的隐私保护，还是企业的商业机密、国家的安全战略，都离不开信息安全的保障。

为了检验和提升大家对信息安全知识的掌握程度，以下为您精心准备了一份信息安全考试题库。

一、单选题1、以下哪种行为不属于信息安全威胁？（）A 黑客攻击B 定期更新软件补丁C 网络钓鱼D 恶意软件植入答案：B解析：定期更新软件补丁是增强信息安全的措施，而不是威胁。

黑客攻击、网络钓鱼和恶意软件植入都会对信息系统和数据造成威胁。

2、信息安全中“CIA 三元组”指的是（）A 机密性、完整性、可用性B 认证、授权、审计C 控制、监测、评估D 加密、解密、验证答案：A解析：“CIA 三元组”即机密性（Confidentiality）确保信息仅被授权的人员访问；完整性（Integrity）保证信息的准确和完整；可用性（Availability）确保信息和系统在需要时能够正常使用。

3、以下哪种加密算法属于对称加密算法？（）A RSAB AESC ECCD SHA答案：B解析：AES（Advanced Encryption Standard）是一种对称加密算法，加密和解密使用相同的密钥。

RSA 和 ECC 是公钥加密算法，SHA 是哈希算法。

4、密码学中，用于验证消息完整性的技术是（）A 数字签名B 数字证书C 哈希函数D 对称加密答案：C解析：哈希函数可以将任意长度的消息转换为固定长度的摘要，通过对比摘要来验证消息的完整性。

5、下列哪项不是常见的网络攻击手段？（）A SQL 注入B 跨站脚本攻击（XSS）C 网络监听D 定期备份数据答案：D解析：定期备份数据是一种数据保护措施，不是攻击手段。

SQL 注入、XSS 和网络监听都是常见的攻击方式。

二、多选题1、信息安全风险评估的主要步骤包括（）A 资产识别B 威胁评估C 脆弱性评估D 风险计算E 风险处理答案：ABCDE解析：资产识别确定需要保护的对象；威胁评估分析可能存在的威胁；脆弱性评估找出系统的弱点；风险计算综合考虑威胁、脆弱性和资产价值得出风险值；风险处理根据风险值采取相应的措施。

风险管理模拟题风险管理模拟题一:单项选择题(共80小题,80.0分)1.虚拟化（）直接部署于裸机之上，提供能够创建、运行和销毁虚拟服务器的能力。

(1.0分)A:硬件层B:服务层C:数据层D:软件层答案:_______2.访问控制能够实现( )。

(1.0分)A:为合法用户分配访问权限B:用户远程登录C:用户特征提取D:识别合法用户答案:_______3.风险评估实施过程中资产识别的依据是(1.0分)A:依据资产调查的结果B:依据人员访谈的结果C:依据技术人员提供的资产清单D:依据资产分类分级的标准答案:_______4.以下不属于防病毒技术的是（）。

(1.0分)A:系统监控、读写控制B:对可执行程序加密C:对文件进行效验D:保护引导区答案:_______5.构成无线传感器网络的三个要素包括传感器、感知对象和( )。

(1.0分)A:网络B:使用者C:应用程序D:观察者答案:_______6.早期的DOS系统属于可信计算机系统安全评价准则（TCSEC）标准中（）(1.0分)A:D1级B:B3级C:C1级D:C2级答案:_______7.风险识别阶段包含识别(1.0分)A:以上都是B:资产C:脆弱性D:威胁答案:_______8.哪一种数据备份方式可以保证最高的RPO要求（）(1.0分)A:磁盘复制B:同步复制C:异步复制D:定点拷贝复制答案:_______9.对分析结果使用国家许可的算法进行（）并加盖时间戳。

(1.0分)A:数字签名B:哈希C:加密D:压缩10.网络管理使用哪种协议（）(1.0分)A:TCPB:SMTPC:SNMPD:FTP答案:_______11.钓鱼网站的危害主要是（）。

(1.0分)A:体现黑客技术B:窃取个人隐私信息C:单纯的对某网页进行挂马D:破坏计算机系统答案:_______12.从风险处置的角度，以下哪种方法不可取(1.0分) A:接受风险B:转移风险C:降低风险D:拖延风险答案:_______13.以下哪种技术用来描述异步传输模式（）(1.0分) A:报文交换B:信元交换C:电路交换D:无连接服务答案:_______14.下面哪一个不是脆弱性识别的手段(1.0分)A:人员访谈B:安全专家人工分析C:技术工具检测D:信息资产核查15. 最早研究计算机网络的目的是什么（）。