信息系统安全评测与风险评估试题及答案

网络及企业信息安全题库一、填空题：1. ______用于在IP主机、路由器之间传递控制消息;控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息; ICMP协议本身的特点决定了它非常容易被利用,用于攻击网络上的路由器和主机 ;答案：ICMP协议Internet控制消息协议2. SNMP默认使用的端口号是_____.答案：161端口3. 安全责任分配的基本原则是 ;答案：谁主管,谁负责4. 每一个安全域总体上可以体现为、、三个层面答案：接口层、核心层、系统层5. 一般情况下,防火墙是关闭远程管理功能的,但如果必须进行远程管理,则应该采用或者的登录方式;答案：SSHHTTPS6. 常见网络应用协议有FTP、HTTP、TELNET、SMTP等,分别对应的TCP端口号是：;答案：218023257. 在做信息安全评估过程中,安全风险分析有两种方法分别是：和;答案：定性分析定量分析8. 123文件的属性为–rw-r---rwx,请用一条命令将其改为755,并为其设置SUID属性; 答案：chmod 4755 1239. 在Linux下,若想实现和FPORT列出相同结果的命令是什么答案：Netstat -nap10. 安全的HTTP,使用SSL,端口的类型是答案：44311. 互联网安全保护技术措施规定,2005年由中华人民共和国公安部第82号令发布,2006年＿月＿日施行答案：3月1日12. 互联网服务提供者和联网使用单位依照记录留存技术措施,应当具有至少保存＿＿天记录备份的功能答案：六十天13. 计算机网络系统中,数据加密的三种方式是：_____、_____、_____答案：链路加密、接点加密、端对端加密14. TCP协议能够提供_______的、面向连接的、全双工的数据流传输服务;答案：可靠;15. 无线局域网使用的协议标准是________;答案：;16. ___原则是指在网络故障处理时,应首先进行业务抢通,保障业务抢通的前提下进行故障修复;这是网络故障处理总的指导原则;答案：“先抢通,后抢修”17. SOLARIS操作系统命令ps是用来;答案：查看系统的进程18. 在运行TCP/IP协议的网络系统,存在着五种类型的威胁答案：欺骗攻击、否认服务、拒绝服务、数据截取、数据篡改19. 防火墙有三类： ;答案：用代理网关、电路级网关Circuit Level Gateway和网络层防火墙20. 加密也可以提高终端和网络通信的安全,有三种方法加密传输数据;答案：链接加密节点加密首尾加密二、选择题：1. 关于防火墙的描述不正确的是：A、防火墙不能防止内部攻击;B、如果一个公司信息安全制度不明确,拥有再好的防火墙也没有用;C、防火墙可以防止伪装成外部信任主机的IP地址欺骗;D、防火墙可以防止伪装成内部信任主机的IP地址欺骗;答案：C2. 对影响业务的故障,有应急预案的要求在__之内完成预案的启动；A、10分钟；B、15分钟；C、20分钟；D、30分钟;答案：D3. 为了保证系统的安全,防止从远端以root用户登录到本机,请问以下那个方法正确：A、注销/etc/default/login文件中console=/dev/console；B、保留/etc/default/login文件中console=/dev/consoleC、在文件/etc/中删除远端主机名；D、在文件/.rhosts中删除远端主机名答案：B4. 对影响业务的故障,有应急预案的要求在__之内完成预案的启动；A、10分钟；B、15分钟；C、20分钟；D、30分钟;答案：D5. SQL Server默认的通讯端口为,为提高安全性建议将其修改为其他端口：A、TCP1434B、 TCP 1521C、TCP 1433D、TCP 1522答案：C6. 什么方式能够从远程绕过防火墙去入侵一个网络A、 IP servicesB、 Active portsC、 Identified network topologyD、 Modem banks答案：D7. 下列那一种攻击方式不属于拒绝服务攻击:A、L0phtCrackB、SynfloodC、SmurfD、Ping of Death答案：A8. Windows NT 和 Windows 2000 系统能设置为在几次无效登录后锁定帐号 , 这可以防止：A 、木马 ;B 、暴力攻击 ;C 、 IP 欺骗 ;D 、缓存溢出攻击9. 如何禁止Internet用户通过\\IP的方式访问主机A 过滤135端口B 采用加密技术C 禁止TCP/IP上的NetbiosD 禁止匿名答案： C10. 一般的防火墙不能实现以下哪项功能A．隔离公司网络和不可信的网络 B．防止病毒和特络依木马程序C．隔离内网 D．提供对单点的监控答案： B11. UNIX中,默认的共享文件系统在哪个位置A．/sbin/ B．/usr/local/ C．/export/ D．/usr/答案： C12. 以下哪种类型的网关工作在OSI的所有7个层A. 电路级网关B. 应用层网关C. 代理网关D. 通用网关答案： B13. 关闭系统多余的服务有什么安全方面的好处A. 使黑客选择攻击的余地更小B. 关闭多余的服务以节省系统资源C. 使系统进程信息简单,易于管理D. 没有任何好处答案： A14. Unix系统关于文件权限的描述正确的是：A、r－可读,w－可写,x－可执行B、r－不可读,w－不可写,x－不可执行；C、r －可读,w－可写,x－可删除D、r－可修改,w－可执行,x－可修改答案：A15. 木马程序一般是指潜藏在用户电脑中带有恶意性质的 ,利用它可以在用户不知情的情况下窃取用户联网电脑上重要数据信息.A远程控制软件, B计算机操作系统 ,C木头做的马.答案：A16. 在下列4 项中,不属于计算机病毒特征的是________;A．潜伏性 B．传染性 C．隐蔽性 D．规则性答案：D17. 在Windows系统下观察到,u盘中原来没有回收站,现在多出一个回收站来,则最可能的原因是A. u盘坏了B. 感染了病毒C. 磁盘碎片所致D. 被攻击者入侵答案：B18. 对于重大安全事件按重大事件处理流程进行解决;出现重大安全事件,必须在分钟内上报省公司安全领导小组;迅速组织厂商、安全顾问公司人员现场抢修;A 30,B 45,C 60,D 15答案：A19. 风险评估包括以下哪些部分：A．资产评估B．脆弱性评估C．威胁评估D．以上都是20. Radius协议包是采用作为其传输模式的;A、TCPB、UDPC、以上两者均可答案：B21. TCP SYN Flood网络攻击是利用了TCP建立连接过程需要次握手的特点而完成对目标进行攻击的;A、1B、2C、3答案：C22. IEEE 的标记报头将随着使用介质不同而发生变化,按照标准,标记实际上嵌在A、源MAC地址和目标MAC地址前B、源MAC地址和目标MAC地址中间C、源MAC地址和目标MAC地址后D、不固定答案：C23. 什么命令关闭路由器的finger服务A、 disable fingerB、 no fingerC、 no finger serviceD、 no service finger答案： C24. 下面TCP/IP的哪一层最难去保护A、 PhysicalB、 NetworkC、 TransportD、 Application答案： D25. 着名的针对MS SQL2000的蠕虫王病毒,它所攻击的是什么网络端口：A、 1444B、1443C、 1434D、 138答案：C26. 下面哪项不属于防火墙的主要技术A、简单包过滤技术B、状态检测包过滤技术C、应用代理技术D、路由交换技术答案：D27. 下面哪种不属于防火墙部属方式A、网络模式B、透明模式C、路由模式D、混合模式答案：A28.下列中不属于黑客攻击手段的是：A、利用已知漏洞攻击B、特洛伊木马C、拒绝服务攻击D、发送垃圾邮件答案：D29. 黑客通常实施攻击的步骤是怎样的A、远程攻击、本地攻击、物理攻击B、扫描、拒绝服务攻击、获取控制权、安装后门、嗅探C、踩点包括查点、扫描、获取访问权、提升权限、安装后门、清除痕迹答案：C30. 在取得目标系统的访问权之后,黑客通常还需要采取进一步的行动以获得更多权限,这一行动是什么A、提升权限,以攫取控制权B、安置后门C、网络嗅探D、进行拒绝服务攻击答案：A31. Windows远程桌面、Telnet、发送邮件使用的默认端口分别是A、3389,25,23B、3889,23,110C、3389,23,25D、3389,23,53答案：C32. 关于smurf攻击,描述不正确的是下面哪一项______A Smurf攻击是一种拒绝服务攻击,由于大量的网络拥塞,可能造成中间网络或目的网络的拒绝服务;B 攻击者发送一个echo request 广播包到中间网络,而这个包的源地址伪造成目的主机的地址;中间网络上的许多“活”的主机会响应这个源地址;攻击者的主机不会接受到这些冰雹般的echo replies响应,目的主机将接收到这些包;C Smurf攻击过程利用ip地址欺骗的技术;D Smurf攻击是与目标机器建立大量的TCP半连接,耗尽系统的连接资源,达到拒绝服务攻击的目的;答案：D33. CA指的是A 证书授权B 加密认证C 虚拟专用网D 安全套接层答案：A34. 数字签名的主要采取关键技术是A>摘要、摘要的对比B>摘要、密文传输C>摘要、摘要加密答案：A35. 目前身份认证的主要认证方法为A比较法和有效性检验法B比较法和合法性检验法C加密法和有效性检验法答案：A36. 典型的邮件加密的过程一是发送方和接收方交换A双方私钥B双方公钥C双方通讯的对称加密密钥答案：B37. 在安全区域划分中DMZ 区通常用做A数据区B对外服务区C重要业务区答案：B38. 下面哪项不属于防火墙的主要技术A、简单包过滤技术B、状态检测包过滤技术C、应用代理技术D、路由交换技术答案：D39. 下面哪种不属于防火墙部属方式A、网络模式B、透明模式C、路由模式D、混合模式答案：A40. 使用Winspoof软件,可以用来A、显示好友的IPB、显示陌生人的IPC、隐藏的IPD、攻击对方端口答案：C41. 什么是TCP/IP 三通的握手序列的最后阶段A. SYN 小包B. ACK 小包C. NAK 小包D. SYN/ACK 小包答案：D42. 黑客搭线窃听属于哪一类风险A 信息存储安全B 信息传输安全C 信息访问安全D 以上都不正确答案：B43. 信息风险主要指那些A 信息存储安全B 信息传输安全C 信息访问安全D 以上都正确答案：D44. 以下对于路由器的说法不正确的是:A、适用于大规模的网络B、复杂的网络拓扑结构、可提供负载共享和最优路径选择C、安全性高及隔离不需要的通信量D、支持非路由协议答案：D45. IP 地址属于哪一类A. AB. BC. CD. D答案：C46. Telnet 使用的端口是A. 21B. 23C. 25D. 80答案：B47. 监听的可能性比较低的是数据链路;A、EthernetB、电话线C、有线电视频道D、无线电答案：B48. 域名服务系统DNS的功能是单选A.完成域名和IP地址之间的转换B.完成域名和网卡地址之间的转换C.完成主机名和IP地址之间的转换D.完成域名和电子邮件地址之间的转换答案：A49. TCP/IP协议体系结构中,IP层对应OSI/RM模型的哪一层A.网络层B.会话层C.数据链路层D.传输层答案：A50. 下面哪个安全评估机构为我国自己的计算机安全评估机构答案：D51. Windows NT提供的分布式安全环境又被称为单选A.域DomainB.工作组C.安全网D.对等网答案：A52. 什么方式能够从远程绕过防火墙去入侵一个网络A、 IP servicesB、 Active portsC、 Identified network topologyD、 Modem banks答案：D53. SNMP是一个异步请求/响应协议,它的请求与响应没有必定的时间顺序关系,它是一个___的协议.A.非面向连接B.面向连接C.非面向对象D.面向对象采用UDP协议答案：A.非面向连接54. MSC业务全阻超过分钟即属重大故障;A、10；B、15；C、30；D、60答案：D55. HLR阻断超过多少分钟属于重大故障A、30分钟;B、1小时；C、2小时；D、3小时;答案：A56. 地市网间互联业务阻断超过分钟即属重大故障;A、30分钟;B、1小时；C、2小时；D、3小时;答案：A57. 紧急故障结束后由市网维中心监控室组织专业室和厂家进行故障总结、分析; 小时内向省网维提交简要书面报告, 小时内提交专题书面报告;A、6,12;B、12,24；C、24,48；D、32、72；答案：C58. 发生紧急故障后,地市公司必须在分钟内上报省监控A、10；B、15；C、20；D、25;答案：B59. 关于政治类垃圾短信的处理要求进行及时处理,1用户1小时内发送条数达到多少条时需要在运维网站填报次报表,并电话通知省信息安全监控中心;A、30条/小时；B、40条/小时；C、20条/小时；D、50条/小时；答案：A60. 于起,点对点的非政治类的垃圾短信全省统一由江门客户服务中心进行人工仲裁处理;A、08年4月份；B、08年5月份；C、08年6月份；答案：A三、判断题：1. 渗透的基本步骤分为踩点、漏洞查找、攻击系统、扫尾工作;答案：√2. 对于防火墙而言,除非特殊定义,否则全部ICMP消息包将被禁止通过防火墙即不能使用ping命令来检验网络连接是否建立;答案：√3. 口令应由不少于8位的大小写字母、数字以及标点符号等字符组成,但不宜经常修改; 答案：×4. L2TP与PPTP相比,加密方式可以采用Ipsec加密机制以增强安全性;答案：√5. IPSEC的隧道模式提供PC到PC之间的安全;答案：×6. EFS加密文件系统不能加密压缩文件;答案：√7. 加密技术中验证这一重要环节采用的关键技术是数字签名答案：√8. 一个摘要算法对不同长度的文字进行运算所得的结果长度是不同的答案：×9. 在交接班过程中发生故障时以接班者为主负责处理,交班者协助处理,完成和告一段落后交班者才能离开工作岗位;答案：×10. 135端口运行DCOM服务,容易受到直接攻击,有一些DoS攻击直接针对这个端口答案：√11. 过滤非法的数据包属于入侵检测系统的功能;答案：×12. 一封电子邮件可以拆分成多个IP包,每个IP包可以沿不同的路径到达目的地;答案：√13. 蠕虫只能通过邮件传播;答案：×14. 计算机系统安全是指应用系统具备访问控制机制,数据不被泄漏、丢失、篡改等答案：×15. 计算机的逻辑安全需要用口令字、文件许可、查帐等方法来实现;答案：√16. SMTP没有对邮件加密的功能是导致垃圾邮件泛滥的主要原因答案：√17. 清除硬盘中的引导型计算机病毒必须洁净的系统启动,然后再清除病毒;答案：√18. 匿名传送是FTP的最大特点;答案：√19. POP3 用于客户端访问服务器端的邮件服务,属于常用的应用服务,不存在安全漏洞; 答案：×20. SHA是一种双向hash算法,类似MD5但功能要比MD5更强大;答案：×。

三级安全教育试题信息系统安全评估信息安全是当今社会中不可忽视的重要问题。

鉴于信息系统在各个行业中的广泛应用，保障信息系统的安全性显得尤为重要。

为了确保信息系统的安全性，三级安全教育试题成为一种有效的评估手段。

本文将从三个方面探讨信息系统安全评估的重要性、流程以及方法。

一、信息系统安全评估的重要性信息系统安全评估是保障信息系统安全性的关键一环。

在信息泄露、网络攻击等风险不断增加的今天，通过安全评估可以寻找并解决系统存在的问题，进而提高系统的安全等级。

这不仅能够保护用户的个人隐私和财产安全，同时也有助于维护国家和组织的利益。

因此，信息系统安全评估非常重要。

二、信息系统安全评估的流程信息系统安全评估的流程可以分为以下几个步骤：1.确定评估目标：明确评估的目标和需求，确保评估过程的准确性和有效性。

2.收集信息：搜集与被评估系统相关的各种信息，包括系统架构、数据流和安全策略等，为后续分析提供基础。

3.安全漏洞分析：通过对系统进行全面分析，发现潜在的安全漏洞和风险，分析漏洞的危害程度和可能造成的后果。

4.风险评估：基于安全漏洞分析的结果，评估系统面临的风险水平，确定潜在威胁的严重性。

5.提出建议：根据风险评估的结果，为系统提出相应的安全改进建议，包括技术和管理层面的措施。

6.实施改进：根据评估报告提出的建议，对系统进行相应的改进和优化，提高系统的安全性。

7.监控和追踪：建立监控机制，定期对系统进行安全检查和监测，及时发现并解决系统可能存在的新的安全问题。

三、信息系统安全评估的方法信息系统安全评估可以采用多种方法和技术。

1.漏洞扫描：通过对系统进行漏洞扫描，检测系统中存在的安全漏洞，并提供修复建议。

2.渗透测试：通过模拟真实攻击手段，检测系统的安全性能，寻找潜在的攻击路径和漏洞。

3.代码审计：对系统的源代码进行分析，查找可能存在的安全漏洞和弱点。

4.安全策略审查：评估系统中的安全策略和控制措施的合理性和有效性。

信息安全风险评估判断题1. 什么是信息安全风险评估？信息安全风险评估是指对组织或个人的信息系统进行全面的风险评估和判断，目的是发现和评估信息系统中的潜在安全风险，从而采取相应的措施来降低或消除这些风险。

信息安全风险评估主要包括确定资产、评估威胁、计算风险、制定应对策略等步骤。

2. 信息安全风险评估的目的是什么？信息安全风险评估的主要目的是为了帮助组织或个人了解其信息系统存在的安全风险，并采取相应的措施来防范和减轻这些风险的影响。

通过评估和判断信息系统的安全风险，可以为系统的安全性提供科学依据，帮助组织或个人优化信息安全管理，提高系统安全性。

3. 信息安全风险评估的步骤有哪些？常见的信息安全风险评估步骤包括：步骤1：确定资产首先，需要明确要评估的信息系统的资产，包括硬件设备、软件应用、数据流程、网络连接等。

步骤2：评估威胁接下来，对系统可能遭受的各种安全威胁进行评估，包括网络攻击、病毒感染、数据泄露等。

步骤3：计算风险根据资产的重要性和威胁的严重程度，对信息系统的风险进行计算和评估，确定可能造成的损失和影响。

步骤4：制定应对策略最后，根据评估结果制定相应的风险应对策略，包括安全控制措施、应急预案、培训教育等，以降低或消除风险的影响。

4. 信息安全风险评估的价值和意义是什么？信息安全风险评估的价值和意义有以下几个方面：提高安全性通过信息安全风险评估，可以及时发现和评估系统中存在的安全风险，从而可以采取相应的措施来提高系统的安全性，减少可能的安全事故。

降低损失通过信息安全风险评估，可以评估风险对组织或个人的潜在损失，及时采取预防措施来降低损失的可能性和影响。

优化管理信息安全风险评估可以帮助组织或个人了解信息系统中的安全状况，优化信息安全管理，并根据评估结果制定相应的安全策略和控制措施。

合规要求对于一些行业和组织，信息安全风险评估是合规要求的一部分，具备了一定的法律和法规约束力。

5. 信息安全风险评估的注意事项有哪些？在进行信息安全风险评估时，需要注意以下事项：全面性评估过程应该尽可能全面，考虑到系统中各个方面的潜在风险并给出评估结果。

信息安全制度试题及答案一、选择题1. 信息泄露是指（）。

A. 信息被劫持或篡改B. 信息被非法获取或传播C. 信息存储或传输过程中丢失D. 信息不完整或不准确答案：B2. 下列哪项不属于信息安全常见的威胁形式？A. 病毒攻击B. 木马程序C. 社会工程学D. 信息备份答案：D3. 下列哪项不属于常见的信息安全工作措施？A. 密码强度复杂化B. 定期备份重要数据C. 限制员工使用外部存储设备D. 分享账号密码给同事答案：D4. 在信息安全管理中，以下哪项不属于保护物理设备的措施？A. 建立访问控制系统B. 安装防火墙C. 定期巡检和维护设备D. 配置监控摄像头答案：B5. 下列哪项不是加强信息安全意识的措施？A. 提供定期的安全培训B. 发布信息安全制度和规范C. 社交工程欺骗测试D. 安装防火墙和杀毒软件答案：D二、填空题1. 信息安全的三要素包括（机密性）、（完整性）和（可用性）。

答案：机密性、完整性、可用性2. 在信息安全管理中，（密码）是最常见的身份验证方式。

答案：密码3. 定期备份数据可以防止（数据丢失）和（灾难恢复）。

答案：数据丢失、灾难恢复4. 病毒、木马和钓鱼邮件都属于常见的（恶意软件）形式。

答案：恶意软件5. 信息安全制度的制定和执行需要（高层支持）、（全员参与）和（持续改进）。

答案：高层支持、全员参与、持续改进三、简答题1. 请简要描述信息安全风险评估的过程。

答：信息安全风险评估是指对组织内的信息系统进行全面的风险分析和评估，以确定潜在威胁和漏洞，并提出相应的风险控制措施。

其过程包括以下几个步骤：确定评估目标和范围，收集和整理相关信息，识别和分析潜在威胁和漏洞，评估风险的可能性和影响程度，确定优先级和紧急性，制定风险控制计划，监控和审计风险控制的有效性。

2. 请简述社交工程学在信息安全中的应用及防范措施。

答：社交工程学是指通过对人性的理解和操纵，获取目标信息或获取非法权益的手段。

网络信息安全试题及答案一、单项选择题1.以下哪个选项是网络信息安全的基本要素？A. 防火墙B. 口令C. 病毒扫描软件D. 安全策略答案：B. 口令2.以下哪种攻击方式是利用未经授权的恶意软件收集用户输入的用户名和密码？A. 木马病毒B. 拒绝服务攻击C. 社会工程学攻击D. 路由器攻击答案：A. 木马病毒3.以下哪个选项可以有效预防恶意软件的传播？A. 更新操作系统B. 定时备份数据C. 锁定设备D. 设置强密码答案：A. 更新操作系统4.网络钓鱼是指以下哪种情况？A. 使用伪造的网站欺骗用户输入个人信息B. 黑客入侵服务器获取用户数据C. 通过网络发送垃圾邮件D. 利用漏洞进行拒绝服务攻击答案：A. 使用伪造的网站欺骗用户输入个人信息5.以下哪种加密算法是目前使用最广泛的对称加密算法？A. RSAB. DESC. AESD. SHA答案：C. AES二、简答题1.请简要解释什么是DDoS攻击，并提供一种防御DDoS攻击的方法。

答案：DDoS（分布式拒绝服务）攻击是指攻击者通过控制多台计算机或网络设备，将大量恶意流量发送到目标服务器，以占用其网络带宽和计算资源，使正常用户无法正常访问该服务器或网站。

防御DDoS攻击的方法之一是使用流量清洗设备，通过识别和过滤掉恶意流量，将正常流量传递给服务器，保障正常用户的访问体验。

2.请简述网络信息安全风险评估的步骤和重要性。

答案：网络信息安全风险评估的步骤主要包括资产识别、威胁和漏洞评估、风险评估和风险处理。

资产识别是确定企业网络系统中的重要信息资产，威胁和漏洞评估是分析潜在的威胁和系统漏洞，风险评估是评估潜在威胁和漏洞对资产造成的风险程度，风险处理是采取相应的措施来减轻或消除风险。

网络信息安全风险评估的重要性在于帮助企业全面了解安全威胁和风险程度，有针对性地制定安全策略和措施，提前预防和应对安全事件，保障网络信息的安全性和可靠性。

三、应用题请根据以下场景回答问题：某企业的员工开展远程办公，需要通过互联网访问企业内部网络资源。

【最新资料，WORD文档，可编辑修改】信息系统安全评测与风险评估试题姓名分数GB/T20269 信息系统安全管理要求GB/T20270 网络基础安全技术要求GB/T20271 信息系统通用安全技术要求资产赋值风险赋值一：填空题（36分）1.信息安全评测实际上蕴含着丰富的思想内涵，严肃的（），严谨的（），严格的（）以及极具魅力的评测技巧，是一个科学和艺术圆满结合的领域。

2.在评测一个信息系统的数据安全时，国家标准要求从数据完整性，数据（保密性）和数据的（备份）与恢复三个环节来考虑。

3.资产分类的方法较多，大体归纳为2种，一种是“自然形态”，即按照系统组成成分和服务内容来分类，如分成“数据，软件（硬件），服务（人员），其他”六大类，还可以按照“信息形态”将资产分为“信息，（信息载体）和（信息环境）三大类。

4.资产识别包括资产分类和（资产赋值）两个环节。

5.威胁的识别可以分为重点识别和（全面识别）6．脆弱性识别分为脆弱性发现（脆弱性分类）脆弱性验证和（脆弱性赋值）7.风险的三个要素是资产（脆弱性）和（威胁）8.应急响应计划应包含准则，（）预防和预警机制（）（）和附件6个基本要素。

9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程，它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.二：问答题：（64分）1.什么是安全域？目前中国划分安全域的方法大致有哪些？（10分）1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。

信息安全与评估试题答案一、选择题1. 信息安全的核心目标是保护信息的______。

A. 机密性B. 完整性C. 可用性D. 所有以上答案：D2. 下列哪项不是常见的信息安全威胁？A. 病毒B. 黑客攻击C. 软件缺陷D. 自然灾害答案：C3. 风险评估的目的是确定信息资产面临的风险，并采取适当的措施来______。

A. 避免风险B. 转移风险C. 减少风险的影响D. 所有以上答案：D4. 以下哪种类型的加密算法被认为是最安全的？A. 对称加密B. 非对称加密C. 哈希函数D. 数字签名答案：B5. 社会工程学攻击通常利用的是人们的______。

A. 技术知识B. 好奇心C. 信任感D. 安全意识不足答案：D二、判断题1. 信息安全仅仅关注技术层面的防护措施。

（错误）2. 定期更换密码可以有效地提高账户的安全性。

（正确）3. 所有安全事件都需要立即公开披露，以提高透明度。

（错误）4. 非对称加密算法使用相同的密钥进行数据的加密和解密。

（错误）5. 信息安全政策应当定期更新，以反映最新的技术发展和组织需求。

（正确）三、简答题1. 简述信息安全管理体系（ISMS）的主要组成部分。

信息安全管理体系（ISMS）主要包括以下几个部分：策略和程序的制定，组织结构和职责的明确，资产管理，人员安全，物理和环境安全，操作安全，通信和运营管理，访问控制，信息系统获取、开发和维护，信息安全事件管理，以及持续改进的机制。

2. 描述内部威胁对信息安全的潜在影响。

内部威胁可能来自恶意的员工、合作伙伴或第三方供应商，他们可能利用自己的访问权限进行数据泄露、篡改或破坏。

内部威胁的潜在影响包括财务损失、法律责任、业务中断和声誉损害。

3. 解释防火墙如何帮助保护网络不受未授权访问。

防火墙通过监控和控制进出网络的数据包，根据一定的规则集允许或阻止数据流。

它可以阻止未授权的访问尝试，同时允许合法的通信通过，从而保护网络不受外部攻击和恶意软件的侵害。

三级安全教育试题及信息安全风险评估与控制一、选择题1.信息泄露是信息安全风险中的一种，以下哪种是信息泄露的主要原因？A.自然灾害B.物质损坏C.人为因素D.软件故障2.以下哪个层级的机密性要求最高？A.公开B.内部C.涉密D.绝密3.以下哪种密码是无法被破解的？A.弱密码B.复杂密码C.生物识别密码D.默认密码4.以下哪种行为被认为是社交工程攻击？A.钓鱼网站B.网络蠕虫C.雇佣黑客D.恶意软件5.以下哪种情况不属于信息安全风险的范畴？A.计算机病毒感染B.员工离职带走公司机密资料C.计算机硬盘损坏D.网络中断二、填空题1.信息安全的三个基本要素是________、________和________。

2.信息安全风险的评估包括________、________和________三个步骤。

3.________威胁是指源于自然灾害、事故以及因外部环境因素而导致的威胁。

4.________威胁是指源于人为行为或者恶意攻击而导致的威胁。

5.________是指对信息进行保密、完整性以及可用性的要求。

三、简答题1.请简述信息安全的目标和原则。

2.请说明信息风险评估的重要性以及相关方法。

3.请列举几种常见的安全措施，用于保护信息安全。

四、案例分析某公司的员工对信息安全意识薄弱，经常出现信息泄露事件。

请你给这家公司提出信息安全风险评估与控制的建议。

五、论述题请你详细论述信息安全风险评估与控制的具体步骤，并举例说明。

六、实践题请你结合实际情况，设计一个信息安全培训课程，包括教学目标、教学内容和教学方法。

七、应用题某公司打算引入新的信息技术系统，你需要为该公司进行信息安全风险评估和控制，请给出你的具体方案。

八、判断题以下哪种情况是信息安全风险评估的最佳时机？A.新系统上线前B.新系统上线后C.定期进行D.不需要评估风险以上是三级安全教育试题及信息安全风险评估与控制的相关内容，希望对您有所帮助。

信息安全对于任何组织来说都至关重要，我们应该时刻保持警惕，加强安全意识，有效评估和控制风险，确保信息的安全性、完整性和可用性。

风险评估练习试卷1(题后含答案及解析)题型有：1. 单项选择题 2. 多项选择题单项选择题每题只有一个正确答案，请从每题的备选答案中选出一个你认为最正确的答案，在答题卡相应位置上用2B铅笔填涂相应的答案代码。

答案写在试题卷上无效。

1．以下关于评估重大错报风险的说法中不正确的是( )。

A．注册会计师应当在了解被审计单位及其环境的整个过程中识别风险B．注册会计师在评估重大错报风险时，可以不考虑相关内部控制C．注册会计师应当识别重大错报风险是与财务报表整体相关，进而影响多项认定，还是与特定的各类交易、账户余额和披露的认定相关D．在评估重大错报风险时，注册会计师应将所了解的控制与特定认定相联系正确答案：B2．下列关于财务报表层次重大错报风险的说法不正确的是( )。

A．通常与控制环境有关B．与财务报表整体存在广泛联系C．可能影响多项认定D．可以界定于某类交易、账户余额和披露的具体认定正确答案：D解析：财务报表层次重大错报风险与财务报表整体存在广泛联系，通常与控制环境有关，难以界定于某类交易、账户余额和披露的具体认定。

3．以下各项中，既与外部因素有关。

又与内部因素有关的是( )。

A．行业状况、法律与监管环境B．被审计单位对会计政策的选择和运用C．被审计单位财务业绩的衡量与评价D．被审计单位的内部控制和战略目标、经营风险正确答案：C解析：选项A只与外部因素有关，选项BD只与内部因素有关。

4．内部控制的目标不包括( )。

A．财务报告的可靠性B．经营的效率和效果C．减少内部审计人员D．在所有经营活动中遵守法律法规的要求正确答案：C5．对建立健全被审计单位内部控制负有主要责任的是( )。

A．会计师事务所B．注册会计师C．被审计单位财会人员D．被审计单位管理层正确答案：D解析：设计、实施和维护与财务报表编制相关的内部控制，以使财务报表不存在由于舞弊或错误而导致的重大错报，是被审计单位管理层的责任。

6．注册会计师了解被审计单位财务业绩衡量和评价的最重要的目的是( )。

信息系统安全评测与风险评估试题姓名分数19716-200520269 信息系统安全管理要求20270 网络基础安全技术要求20271 信息系统通用安全技术要求资产赋值风险赋值一：填空题（36分）1.信息安全评测实际上蕴含着丰富的思想内涵，严肃的（），严谨的（），严格的（）以及极具魅力的评测技巧，是一个科学和艺术圆满结合的领域。

2.在评测一个信息系统的数据安全时，国家标准要求从数据完整性，数据（保密性）和数据的（备份）与恢复三个环节来考虑。

3.资产分类的方法较多，大体归纳为2种，一种是“自然形态”，即按照系统组成成分和服务内容来分类，如分成“数据，软件（硬件），服务（人员），其他”六大类，还可以按照“信息形态”将资产分为“信息，（信息载体）和（信息环境）三大类。

4.资产识别包括资产分类和（资产赋值）两个环节。

5.威胁的识别可以分为重点识别和（全面识别）6．脆弱性识别分为脆弱性发现（脆弱性分类）脆弱性验证和（脆弱性赋值）7.风险的三个要素是资产（脆弱性）和（威胁）8.应急响应计划应包含准则，（）预防和预警机制（）（）和附件6个基本要素。

9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程，它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.二：问答题：（64分）1.什么是安全域？目前中国划分安全域的方法大致有哪些？（10分）1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。

1。

人们对信息安全的认识从信息技术安全发展到信息安全保障，主要是出于：A. 为了更好的完成组织机构的使命B。

针对信息系统的攻击方式发生重大变化C。

风险控制技术得到革命性的发展D。

除了保密性，信息的完整性和可用性也引起了人们的关注2。

《GB/T 20274信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指:A。

对抗级B。

防护级C。

能力级D. 监管级3。

下面对信息安全特征和范畴的说法错误的是：A。

信息安全是一个系统性的问题，不仅要考虑信息系统本身的技术文件，还有考虑人员、管理、政策等众多因素B。

信息安全是一个动态的问题,他随着信息技术的发展普及，以及产业基础,用户认识、投入产出而发展C。

信息安全是无边界的安全,互联网使得网络边界越来越模糊，因此确定一个组织的信息安全责任是没有意义的D。

信息安全是非传统的安全,各种信息网络的互联互通和资源共享，决定了信息安全具有不同于传统安全的特点4. 美国国防部提出的《信息保障技术框架》（IATF）在描述信息系统的安全需求时,将信息技术系统分为:A。

内网和外网两个部分B。

本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分C. 用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分D。

信用户终端、服务器、系统软件、网络设备和通信线路、应用软件，安全防护措施六个部分5。

关于信息安全策略的说法中，下面说法正确的是：A。

信息安全策略的制定是以信息系统的规模为基础B。

信息安全策略的制定是以信息系统的网络？？？C. 信息安全策略是以信息系统风险管理为基础D。

在信息系统尚未建设完成之前，无法确定信息安全策略6。

下列对于信息安全保障深度防御模型的说法错误的是：A. 信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下.B。

信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中，我们需要采用信息系统工程的方法来建设信息系统。

信息系统安全评测与风险评估试题姓名分数19716-200520269 信息系统安全管理要求20270 网络基础安全技术要求20271 信息系统通用安全技术要求资产赋值风险赋值一：填空题（36分）1.信息安全评测实际上蕴含着丰富的思想内涵，严肃的（），严谨的（），严格的（）以及极具魅力的评测技巧，是一个科学和艺术圆满结合的领域。

2.在评测一个信息系统的数据安全时，国家标准要求从数据完整性，数据（保密性）和数据的（备份）与恢复三个环节来考虑。

3.资产分类的方法较多，大体归纳为2种，一种是“自然形态”，即按照系统组成成分和服务内容来分类，如分成“数据，软件（硬件），服务（人员），其他”六大类，还可以按照“信息形态”将资产分为“信息，（信息载体）和（信息环境）三大类。

4.资产识别包括资产分类和（资产赋值）两个环节。

5.威胁的识别可以分为重点识别和（全面识别）6．脆弱性识别分为脆弱性发现（脆弱性分类）脆弱性验证和（脆弱性赋值）7.风险的三个要素是资产（脆弱性）和（威胁）8.应急响应计划应包含准则，（）预防和预警机制（）（）和附件6个基本要素。

9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程，它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.二：问答题：（64分）1.什么是安全域？目前中国划分安全域的方法大致有哪些？（10分）1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。

选择题在信息安全管理中，以下哪一项是风险评估的主要目的？A. 确定系统的脆弱性B. 量化潜在威胁的可能性与影响C. 设计安全控制措施D. 识别并优先处理最重要的风险（正确答案）关于ISO/IEC 27001标准，以下哪一项描述最准确？A. 它是一个具体的安全技术实现指南B. 它为信息安全管理系统（ISMS）提供了实施和认证的框架（正确答案）C. 它专注于网络安全防御措施D. 它仅适用于大型企业在进行安全审计时，以下哪项活动是最先进行的？A. 审查安全策略的有效性B. 确定审计的范围和目标（正确答案）C. 分析审计数据D. 编写审计报告在密码学中，以下哪一项技术用于确保消息的完整性和验证发送者的身份？A. 加密B. 解密C. 数字签名（正确答案）D. 密钥交换关于零日漏洞，以下哪项描述是正确的？A. 已知且已被修复的漏洞B. 未知且尚未有补丁的漏洞（正确答案）C. 对系统无害的低危漏洞D. 只能通过内部人员泄露的漏洞在实施访问控制策略时，以下哪一项原则要求每个用户只能拥有完成其工作所需的最小权限？A. 最小特权原则（正确答案）B. 职责分离原则C. 需求分析原则D. 深度防御原则下列哪一项是渗透测试与漏洞扫描的主要区别？A. 渗透测试侧重于发现漏洞，而漏洞扫描侧重于验证漏洞B. 漏洞扫描自动化程度高，而渗透测试需要人工参与（正确答案）C. 渗透测试仅针对已知漏洞，漏洞扫描则包括未知漏洞D. 渗透测试报告更详细，漏洞扫描报告则较简略在信息安全事件管理中，以下哪一步是首要且至关重要的？A. 事件分析与根源查找B. 事件记录与报告C. 事件响应与恢复D. 事件检测与识别（正确答案）。

CISP试题及答案-五套题1.人们对信息安全的认识从信息技术安全发展到信息安全保障，主要是出于：A.为了更好的完成组织机构的使命B.针对信息系统的攻击方式发生重大变化C.风险控制技术得到革命性的发展D.除了保密性，信息的完整性和可用性也引起了人们的关注2.《GB/T 20274信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指：A. 对抗级B. 防护级C. 能力级D. 监管级3.下面对信息安全特征和范畴的说法错误的是：A. 信息安全是一个系统性的问题，不仅要考虑信息系统本身的技术文件，还有考虑人员、管理、政策等众多因素B. 信息安全是一个动态的问题，他随着信息技术的发展普及，以及产业基础，用户认识、投入产出而发展C. 信息安全是无边界的安全，互联网使得网络边界越来越模糊，因此确定一个组织的信息安全责任是没有意义的D. 信息安全是非传统的安全，各种信息网络的互联互通和资源共享，决定了信息安全具有不同于传统安全的特点4. 美国国防部提出的《信息保障技术框架》（IATF）在描述信息系统的安全需求时，将信息技术系统分为：A. 内网和外网两个部分B. 本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分C. 用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分D. 信用户终端、服务器、系统软件、网络设备和通信线路、应用软件，安全防护措施六个部分5. 关于信息安全策略的说法中，下面说法正确的是：A. 信息安全策略的制定是以信息系统的规模为基础B. 信息安全策略的制定是以信息系统的网络C. 信息安全策略是以信息系统风险管理为基础D. 在信息系统尚未建设完成之前，无法确定信息安全策略6. 下列对于信息安全保障深度防御模型的说法错误的是：A. 信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。

信息安全管理试题及答案试题一：1. 什么是信息安全风险评估？请列出评估的步骤。

答：信息安全风险评估是指对信息系统及其相关资源所面临的威胁和风险进行评估和分析的过程。

其步骤如下：步骤一：确定需要评估的范围，包括信息系统、相关资源以及与其相关联的外部环境。

步骤二：识别潜在的威胁和风险，包括通过对威胁情报的搜集和分析，以及对系统进行漏洞扫描等手段。

步骤三：评估威胁的概率和影响程度，根据威胁的可能性和对系统的影响程度对风险进行定量或定性的评估。

步骤四：分析和评估现有的安全控制措施，确定它们对于降低风险的有效性。

步骤五：根据评估结果，为每个风险确定相应的风险级别，并制定相应的风险应对策略。

2. 请简述信息安全管理的PDCA循环。

答：PDCA循环是指计划（Plan）、实施（Do）、检查（Check）和行动（Action）四个阶段的循环过程。

计划阶段：制定信息安全管理计划，包括确定目标、制定策略和制定安全措施等。

实施阶段：根据制定的计划，进行安全控制措施的实施和操作。

检查阶段：对实施的安全控制措施进行监控和评估，包括检查安全策略的合规性、检查安全控制措施的有效性等。

行动阶段：根据检查的结果，进行问题的整改和纠正，包括制定改进计划、修订策略和完善控制措施等。

3. 请解释下列术语的含义：信息资产、风险、漏洞、脆弱性。

答：信息资产是指信息系统和其相关资源，包括数据、应用程序、硬件设备和网络设备等。

风险是指可能导致信息资产受损或遭受威胁的潜在事件或行为。

漏洞是指信息系统中存在的功能缺陷、配置错误或设计不完善等问题，可能被攻击者利用以进行非法活动的安全弱点。

脆弱性是指信息系统、应用程序或网络中存在的易受攻击，或存在潜在威胁的弱点或缺陷。

试题二：1. 请列举常见的物理安全控制措施。

答：常见的物理安全控制措施包括：- 门禁系统：使用门禁卡、密码、指纹识别等技术手段，限制只有授权人员可以进入特定区域。

- 安全摄像监控：安装摄像头对重要区域进行监控，记录和回放可能的安全事件。

注册信息安全专业人员考试章节练习题-06 信息安全评估试题及答案1、小陈自学了风评的相关国家准则后，将风险的公式用图形来表示，下面F1，F2，F3，F4 分别代表某种计算函数，四张图中，那个计算关系正确？（C）答案选C [单选题] *答案选C(正确答案)2、陈工学习了信息安全风险的有关知识，了解到信息安全风险的构成过程，有五个方面：起源、方式、途径、受体和后果，他画了下面这张图来描述信息安全风险的构成过程，图中空白处应填写？（）[单选题] *A、信息载体B、措施C、脆弱性(正确答案)D、风险评估3、风险分析是风险评估工作的一个重要内容，GB/T 20984-2007 在资料性附录中给出了一种矩阵法来计算信息安全风险大小，如下图所示，图中括号应填哪个？（）[单选题] *A、安全资产价值大小等级B、脆弱性严重程度等级C、安全风险隐患严重等级D、安全事件造成损失大小(正确答案)4、定量风险分析是从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，准确度量风险的可以性和损失量。

小王采用该方法来为单位机房计算火灾风险大小，假设单位机房的总价值为200万元人民币，暴露系数（Exposure Factor, EF）是X,年度发生率（Annualized Rate of Occurrence, ARO）为0.1，而小王计算的年度预期损失（Annualized Loss Expectancy, ALE）值为5万元人民币，由此，X 值应该是（） [单选题] *A、2.5%B、25%(正确答案)C、5%D、50%5、某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后，认识到信息安全风险评估分为自评估和检查评估两种形式。

该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导，其中描述错误的是（） [单选题] *A、检查评估可依据相关标准的要求，实施完整的风险评估过程；也可在自评估的基础上，对关键环节或重点内容实施抽样评估B、检查评估可以由上级管理部门组织，也可以由本级单位发起，其重点是针对存在的问题进行检查和评测(正确答案)C、检查评估可以由上级管理部门组织，并委托有资质的第三方技术机构实施D、检查评估是通过行政手段加强信息安全管理的重要措施，具有强制性的特点6、关于风险要素识别阶段工作内容叙述错误的是（） [单选题] *A、资产识别是指对需要保护的资产和系统等进行识别和分类B、威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性C、脆弱性识别以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估D、确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系统平台、网络平台和应用平台(正确答案)7、风险要素识别是风险评估实施过程中的一个重要步骤，小李将风险要素识别的主要过程使用图形来表示，如下图所示，请为图中空白框处选择一个最合适的选项（）[单选题] *A、识别面临的风险并赋值B、识别存在的脆弱性并赋值(正确答案)C、制定安全措施实施计划D、检查安全措施有效性8、以下关于可信计算说法错误的是（） [单选题] *A、可信的主要目的是要建立起主动防御的信息安全保障体系B、可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算基的概念C、可信的整体框架包含终端可信、终端应用可信、操作系统可信、网络互联可信、互联网交易等应用系统可信D、可信计算平台出现后会取代传统的安全防护体系和方法(正确答案)9、以下哪一项不属于常见的风险评估与管理工具（） [单选题] *A、基于信息安全标准的风险评估与管理工具B、基于知识的风险评估与管理工具C、基于模型的风险评估与管理工具D、基于经验的风险评估与管理工具(正确答案)10、小张在某单位是负责事信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训。

2014 年CCAA 信息安全风险管理考题和答案（继续教育考试试题）1、下列关于“风险管理过程”描述最准确的是（C ）。

A. 风险管理过程由风险评估、风险处置、以及监测与评审等子过程构成；B.风险管理过程由建立环境、风险评估、风险处置、以及监测与评审等子过程构成；C.风险管理过程由沟通与咨询、建立环境、风险评估、风险处置、以及监测与评审等子过程构成；D.风险管理过程是一个完整的过程，独立与组织的其他过程。

2 以下关于信息安全目的描述错误的是（D ）。

A.保护信息B.以争取不出事C.让信息拥有者没有出事的感觉D.消除导致出事的所不确定性3、对风险术语的理解不准确的是（ C ）。

A.风险是遭受损害或损失的可能性B.风险是对目标产生影响的某种事件发生的机会C.风险可以用后果和可能性来衡量D.风险是由偏离期望的结果或事件的可能性引起的4、以下关于风险管理说法错误的是（ A ）。

A.风险管理是指如何在一个肯定有风险的环境里把风险消除的管理过程B.风险管理包括了风险的量度、评估和应变策略C.理想的风险管理，正是希望能够花最少的资源去尽可能化解最大的危机D.理想的风险管理，是一连串排好优先次序的过程，使当中的可以引致最大损失及最大可能发生的事情优先处理、而相对风险较低的事情则压后处理。

5、下列哪项不在风险评估之列（ D ）A.风险识别B.风险分析C.风险评价D.风险处置6、对风险管理与组织其它活动的关系，以下陈述正确的是（B ）。

A.风险管理与组织的其它活动可以分离B.风险管理构成组织所有过程整体所必需的一部分D.相对于组织的其它活动，风险管理是附加的一项活动7、对于“利益相关方”的概念，以下陈述错误的是（D ）。

A.对于一项决策活动，可以影响它的个人或组织B. 对于一项决策活动，可以被它影响的个人或组织C. 对于一项决策活动，可以感知被它影响的个人或组织D.决策者自己不属于利益相关方8、一个风险的大小，可以由（ A ）的结合来表示。

2024年03月信息安全管理体系基础考试真题及答案一、单项选择题（每题1.5分，共60分）1.根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准，信息安全管理中的“可用性”是指（）。

A.反映事物真实情况的程度B.保护资产准确和完整的特性C.根据授权实体的要求可访问和利用的特性D.信息不被未授权的个人、实体或过程利用或知悉的特性正确答案：C2.GB/T22080-2016标准中提到的“风险责任者”，是指（）。

A.发现风险的人或实体B.风险处置人员或实体C.有责任和权威来管理风险的人或实体D.对风险发生后结果进行负责的人或实体正确答案：C3.组织应按照GB/T22080-2016标准的要求（）信息安全管理体系。

A.建立、实施、监视和持续改进B.策划、实现、维护和持续改进C.建立、实现、维护和持续改进D.策划、实现、监视和持续改进正确答案：C4.关于GB/T22080-2016标准，所采用的过程方法是（）。

A.PDCA法B.PPTR方法C.SWOT方法D.SMART方法正确答案：A5.ISO/IEC27002最新版本为（）。

A.2022B.2015C.2005D.2013正确答案：A6.关于ISO/IEC27004，以下说法正确的是（）。

A.该标准可以替代GB/T28450B.该标准是信息安全水平的度量标准C.该标准是ISMS管理绩效的度量指南D.该标准可以替代ISO/IEC27001中的9.2的要求正确答案：C7.在ISO/IEC27000系列标准中，为组织的信息安全风险管理提供指南的标准是（）。

A.ISO/IEC 27004B.ISO/IEC 27003C.ISO/IEC 27002D.IS0/IEC 27005正确答案：D8.根据GB/T22080-2016标准的要求，最高管理层应（），以确保信息安全管理体系符合标准要求。

A.分配责任和权限B.分配角色和权限C.分配岗位与权限D.分配职责与权限正确答案：A9.根据GB/T22080-2016标准，组织应在相关（）上建立信息安全目标。

信息系统安全评测与风险评估试题及答案信息系统安全评测与风险评估试题姓名分数/p-41729651.html GB/T19716-2005GB/T20269 信息系统安全管理要求GB/T20270 网络基础安全技术要求GB/T20271 信息系统通用安全技术要求资产赋值风险赋值一：填空题（36分）1.信息安全评测实际上蕴含着丰富的思想内涵，严肃的（），严谨的（），严格的（）以及极具魅力的评测技巧，是一个科学和艺术圆满结合的领域。

2.在评测一个信息系统的数据安全时，国家标准要求从数据完整性，数据（保密性）和数据的（备份）与恢复三个环节来考虑。

3.资产分类的方法较多，大体归纳为2种，一种是“自然形态”，即按照系统组成成分和服务内容来分类，如分成“数据，软件（硬件），服务（人员），其他”六大类，还可以按照“信息形态”将资产分为“信息，（信息载体）和（信息环境）三大类。

4.资产识别包括资产分类和（资产赋值）两个环节。

5.威胁的识别可以分为重点识别和（全面识别）6．脆弱性识别分为脆弱性发现（脆弱性分类）脆弱性验证和（脆弱性赋值）7.风险的三个要素是资产（脆弱性）和（威胁）8.应急响应计划应包含准则，（）预防和预警机制（）（）和附件6个基本要素。

9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程，它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.二：问答题：（64分）1.什么是安全域？目前中国划分安全域的方法大致有哪些？（10分）1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。

第七章风险评估一、单项选择题1、下列有关内部控制的相关表述中，注册会计师不认可的是（）。

A、内部控制中人工成分和自动化成分的组合，因被审计单位使用信息技术的性质和复杂程度而异B、人工系统的控制可能包括对交易的批准和复核，编制调节表并对调节项目进行跟进?C、被审计单位可能采用自动化程序生成、记录、处理和报告交易，在这种情况下以电子文档取代纸质文件?D、信息系统中的控制全部是自动化控制?2、下列有关了解内部控制的相关表述中，注册会计师不认可的是（）。

A、询问本身并不足以评价控制的设计以及确定其是否得到执行，注册会计师应当将询问与其他风险评估程序结合使用?B、除非存在某些可以使得控制得到一贯运行的自动化控制，否则注册会计师对控制的了解并不足以测试控制运行的有效性?C、获取某一人工控制在某一时点得到执行的审计证据，并不能证明该控制在所审计期间内的其他时点也有效运行?D、任何情况下，对内部控制的了解均不能替代控制测试?3、注册会计师在了解的以下事项中，属于行业状况的是（）。

A、生产经营的季节性和周期性?B、国家的特殊监管要求?C、与被审计单位相关的税务法规是否发生变化?D、是否存在新出台的法律法规?4、下列有关了解内部控制的相关说法中，注册会计师认可的是（）。

A、注册会计师应该了解被审计单位所有的内部控制?B、注册会计师应当了解被审计单位是否已建立风险评估过程，如果被审计单位已建立风险评估过程，注册会计师应当了解风险评估过程及其结果?C、内部控制包括下列要素：控制环境、风险应对过程、与财务报告相关的信息系统和沟通、控制活动、对控制的监督?D、在了解被审计单位控制活动时，注册会计师无须了解被审计单位如何应对信息技术导致的风险5、财务报表层次的重大错报风险很可能源于（）。

A、薄弱的控制环境?B、控制活动执行不力?C、对控制的监督无效?D、风险评估过程有缺陷?6、以下有关了解被审计单位内部控制的各项中，不正确的是（）。