2018年信息报送及安全管理考核实施细则试题含答案

1.以下哪项不属于信息安全的基本属性？A.保密性B.完整性C.可用性D.真实性答案：D解析：信息安全的基本属性包括保密性、完整性、可用性、可控性和可靠性。

真实性不属于信息安全的基本属性。

2.以下哪项不属于信息安全管理制度体系？A.总体策略B.管理制度C.操作规程D.技术支持答案：D解析：信息安全管理制度体系包括总体策略、管理制度、操作规程和操作记录等，技术支持不属于信息安全管理制度体系。

3.以下哪项不属于信息安全管理制度的内容？A.组织保障B.硬件安全C.软件安全D.信息安全培训答案：D解析：信息安全管理制度的内容包括组织保障、硬件安全、软件安全、网络安全、信息安全、授权管理、操作管理、安全培训、安全监控和应急预案等，信息安全培训不属于信息安全管理制度的内容。

二、多项选择题1.信息安全的基本属性包括哪些？A.保密性B.完整性C.可用性D.可控性E.可靠性答案：A、B、C、D、E解析：信息安全的基本属性包括保密性、完整性、可用性、可控性和可靠性。

2.信息安全管理制度体系包括哪些？A.总体策略B.管理制度C.操作规程D.操作记录E.技术支持答案：A、B、C、D解析：信息安全管理制度体系包括总体策略、管理制度、操作规程和操作记录等，技术支持不属于信息安全管理制度体系。

3.信息安全管理制度的内容包括哪些？A.组织保障B.硬件安全C.软件安全D.网络安全E.信息安全培训答案：A、B、C、D解析：信息安全管理制度的内容包括组织保障、硬件安全、软件安全、网络安全、信息安全、授权管理、操作管理、安全培训、安全监控和应急预案等，信息安全培训不属于信息安全管理制度的内容。

三、判断题1.信息安全的基本属性是保密性、完整性、可用性、可控性和可靠性。

（√）2.信息安全管理制度体系包括总体策略、管理制度、操作规程和操作记录等。

（√）3.信息安全管理制度的内容包括组织保障、硬件安全、软件安全、网络安全、信息安全、授权管理、操作管理、安全培训、安全监控和应急预案等。

1. 下列哪项不属于信息安全管理制度的主要内容？A. 信息安全策略B. 安全组织架构C. 硬件设施管理D. 软件管理答案：C解析：硬件设施管理属于信息安全技术保障范畴，不属于信息安全管理制度的主要内容。

2. 以下哪个不属于信息安全管理制度中的风险控制措施？A. 定期进行安全检查B. 制定安全事件应急响应预案C. 对员工进行安全意识培训D. 对外发布公司内部信息答案：D解析：对外发布公司内部信息可能会泄露公司机密，不属于信息安全管理制度中的风险控制措施。

3. 信息安全管理制度的核心是什么？A. 安全技术B. 安全策略C. 安全人员D. 安全设备答案：B解析：信息安全管理制度的核心是安全策略，它规定了组织在信息安全方面的总体原则、目标和要求。

4. 信息安全管理制度的主要目的是什么？A. 保障信息系统安全稳定运行B. 提高员工安全意识C. 防范和降低信息安全风险D. 优化资源配置答案：C解析：信息安全管理制度的主要目的是防范和降低信息安全风险，保障信息系统安全稳定运行。

5. 信息安全管理制度中，以下哪项不属于安全组织架构？A. 信息安全委员会B. 信息安全部门C. 业务部门D. 网络管理部门答案：C解析：业务部门不属于信息安全组织架构，其主要职责是负责公司业务运营。

二、多选题1. 信息安全管理制度的主要内容包括哪些？A. 信息安全策略B. 安全组织架构C. 安全技术保障D. 安全意识培训E. 安全事件应急响应答案：ABCDE解析：信息安全管理制度的主要内容包括信息安全策略、安全组织架构、安全技术保障、安全意识培训和安全事件应急响应。

2. 信息安全管理制度中的风险控制措施有哪些？A. 定期进行安全检查B. 制定安全事件应急响应预案C. 对员工进行安全意识培训D. 对外发布公司内部信息E. 建立安全审计制度答案：ABCE解析：信息安全管理制度中的风险控制措施包括定期进行安全检查、制定安全事件应急响应预案、对员工进行安全意识培训和建立安全审计制度。

信息安全管理培训班考题——单选多选判断简答信息安全管理培训试题一、单选（20题，每题2分，共40分）1. 太原铁路局信息系统中已被定级且等级保护属于3级、4级的信息系统分别是多少个。

（ A ）A、10，2B、2，10C、16，10D、16，22.应急预案是指什么（ C ）。

A、一种关于故障如何进行处理的措施。

B、一种关于应急处置的实施方案。

C、一种关于备份、应急响应、灾后恢复的计划。

D、一种信息系统灾难恢复过程中需要的任务、行动、数据和资源的规定。

3. 符合信息安全风险管理流程顺序的是。

（ B ）A、风险识别、风险处置、风险估计、风险评价、风险接受B、风险识别、风险估计、风险评价、风险处置、风险接受C、风险接受、风险识别、风险估计、风险评价、风险处置D、风险识别、风险评价、风险处置、风险估计、风险接受4.影响信息安全事件出现的可能的因素是下面哪项。

（ A ）A、脆弱性和威胁性B、保密性和完整性C、可用性和冗错性D、威胁性和可靠性5.太原铁路局在信息系统等级保护中被定为4级的信息系统是。

（ A ）A、TDCS/CTC和客票发售与预订系统B、运输调度管理系统和确报系统C、运输信息集成平台和十八点统计系统D、车号识别和车辆管理信息系统6. 电子商务是指通过使用互联网等电子工具在全球范围内进行的商务贸易活动。

电子商务一般可分为三类：企业对企业、企业对消费者、个人对消费者。

其中下面属于企业对消费者的是哪项。

（B ）A、赶集B、淘宝C、58同城D、全是7. 目前，物联网传感器产品已在下面哪个地方的防入侵控制系统中得到广泛的应用。

（ A ）A、上海浦东国际机场B、北京国家大剧院C、广州白云国际机场D、天津滨海国际机场8. 我国铁路信息化建设经历了几个阶段。

（ B ）A、三B、四C、五D、六9. TMIS系统启动于1993年，由铁道部电子计算技术中心联合各铁路局电子所（信息技术所）共同研制，他的中文名称是什么。

信息一、单选题1.检修前，应检查检修对象及受影响对象的运行状态并核对（）是否一致。

A.运行方式与检修方案B.检修方式与检修方案C.运行方式与检修方式D.运行方案与检修方式答案：A2.试验和推广信息（），应制定相应的安全措施，经本单位批准后执行。

A.新技术B.新工艺C.新设备D.新方案答案：A3.检修工作需其他调度机构配合布置工作时，工作许可人应确认相关（）已完成后，方可办理工作许可手续。

A.安全措施B.管理措施C.组织措施D.技术措施答案：A4.主机设备或存储设备（），应验证所承载的业务运行正常。

A.检修工作结束前B.检修工作结束后C.检修工作中D.检修工作开始后答案：A5.新参加工作的人员、实习人员和临时参加工作的人员（管理人员、非全日制用工等）应经过（）后，方可参加指定工作。

A.信息安全知识教育B.信息岗位技能培训C.安全工作规程培训D.电气知识培训答案：A6.为加强信息作业管理，规范各类人员行为，保证信息系统及数据安全，依据国家有关法律、法规，（），制定本规程。

A.结合信息作业实际B.根据工作实际C.结合信息行业特点D.为满足现场需求答案：A7.业务系统上线前，应在（）的测试机构进行安全测试，并取得检测合格报告。

A.具有资质B.国内C.行业内D.国家电网公司内答案：A8.试验和推广信息新技术，应制定相应的（），经本单位批准后执行。

A.安全措施B.技术措施C.组织措施D.反事故措施答案：A9.更换网络设备或安全设备的热插拔部件、内部板卡等配件时，应做好（）措施。

A.防静电B.监护C.应急D.安全答案：A10.核心层网络设备的特点是（）。

A.网络拓扑结构中承受所有流量最终汇聚的网络设备B.为接入层提供数据的汇聚、传输、管理和分发等处理功能的网络设备C.允许终端用户连接到网络的设备D.网络中直接面向用户连接或访问的部分答案：A11.需要变更工作班成员时，应经（）同意并记录在工作票备注栏中。

A.工作负责人B.工作票签发人C.工作许可人D.以上都不对答案：A12. 一、二类业务系统的版本升级、（）、数据操作等检修工作需要填用信息工作票。

1.网络日志的种类较多，留存期限不少于（）。

（3.0分）A.一个月B.三个月C.六个月D.一年我的答案：A答错2.《网络安全法》立法的首要目的是（）。

（3.0分）A.保障网络安全B.维护网络空间主权和国家安全、社会公共利益C.保护公民、法人和其他组织的合法权益D.促进经济社会信息化健康发展我的答案：A答对3.（）的攻击原理是伪造受害主机源地址发送连接请求，使受害主机形成自身连接，消耗连接数。

（3.0分）A.Ping of deathNDC.UDP FloodD.Teardrop我的答案：C答错4.（）是指为防止系统故障或其他安全事件导致数据丢失，而将数据从应用主机的硬盘或阵列复制、存储到其他存储介质。

（3.0分）A.数据分类B.数据备份C.数据加密D.网络日志我的答案：B答对5.在泽莱尼的著作中，与人工智能1.0相对应的是（）。

（3.0分）A.数字B.数据C.知识D.才智我的答案：A答错6.安全信息系统中最重要的安全隐患是（）。

（3.0分）A.配置审查B.临时账户管理C.数据安全迁移D.程序恢复我的答案：C答错7.“导出安全需求”是安全信息系统购买流程中（）的具体内容。

（3.0分）A.需求分析B.市场招标C.评标D.系统实施我的答案：A答对8.下列说法中，不符合《网络安全法》立法过程特点的是（）。

（3.0分）A.全国人大常委会主导B.各部门支持协作C.闭门造车D.社会各方面共同参与我的答案：C答对9.《网络安全法》第五章中规定，下列职责中，责任主体为网络运营者的是（）。

（3.0分）A.统筹网络安全信息收集、分析和通报，统一发布网络安全监测预警信息B.建立健全本行业、本领域的网络安全监测预警和信息通报制度，按照规定报送预警信息C.制定本行业、本领域的网络安全事件应急预案，定期组织演练D.按照省级以上人民政府的要求进行整改，消除隐患我的答案：D答对10.（）是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

2018《专业技术人员网络安全》试题及答案多选题1 《网络安全法》的意义包括(ABCD )。

A:落实党中央决策部署的重要举措B:维护网络安全的客观需要C :维护民众切身利益的必然要求D :参与互联网国际竞争和国际治理的必然选择2 《网络安全法》第二次审议时提出的制度有(BC )。

A:明确网络空间主权原则B :明确重要数据境内存储C:建立数据跨境安全评估制度D :增加惩治攻击破坏我国关键信息基础设施的境外组织和个人的规定3 在我国的网络安全法律法规体系中,属于专门立法的是( ABD)。

A:《网络安全法》 B:《杭州市计算机信息网络安全保护管理条例》 C :《保守国家秘密法》 D:《计算机信息系统安全保护条例》4 我国网络安全法律体系的特点包括( ABCD)。

A:以《网络安全法》为基本法统领,覆盖各个领域B :部门规章及以下文件占多数C :涉及多个管理部门D :内容涵盖网络安全管理、保障、责任各个方面5 《网络安全法》的特点包括(BCD )。

A:特殊性 B:全面性 C:针对性 D:协调性6 《网络安全法》的突出亮点在于(ABCD )。

A:明确网络空间主权的原则B :明确网络产品和服务提供者的安全义务C :明确了网络运营者的安全义务D :进一步完善个人信息保护规则7 《网络安全法》确定了( ABCD)等相关主体在网络安全保护中的义务和责任。

A:国家 B:主管部门 C:网络运营者D:网络使用者8 我国网络安全工作的轮廓是(ABCD )。

A:以关键信息基础设施保护为重心 B:强调落实网络运营者的责任C :注重保护个人权益 D:以技术、产业、人才为保障9 计算机网络包括(ABC )。

A:互联网 B:局域网 C:工业控制系统 D:电信网络10 网络运营者包括(ABD )。

A:网络所有者 B:网络管理者 C:网络使用者 D:网络服务提供者 11 在网络安全的概念里,信息安全包括(CD )。

A:物理安全 B:信息系统安全 C:个人信息保护 D:信息依法传播 12 《网络安全法》规定,网络空间主权的内容包括(ABCD )。

中国认证认可协会（CCAA）全国统一考试信息安全管理体系（ISMS）审核知识试卷2018 年3 月一、单选题1、GB/T 22080-2016标准中要求保护“测试数据”，以下符合这一要求的情况是（）。

(A)确保使用生产环境数据用于测试时真实、准确。

(B)确保对信息系统测试所获得的数据的访问控制。

(C)对用于信息系统测试的数据进行匿名化处理。

(D)以上全部。

2、包含存储介质的设备的所有项目应进行核查，以确保在处置之前，（）和注册软件已被删除或安全地写覆盖。

(A)系统软件(B)游戏软件(C)杀毒软件(D)任何敏感信息3、表示客体安全级别并描述客体敏感性的一组信息，是（）(A) 敏感性标记，是可信计算机基中强制访问控制决策的依据(B) 关键性标记，是可信计算机基中强制访问控制决策的依据(C) 关键性等级标记，是信息资产分类分级的依据(D) 敏感性标记，是表明访问者安全权限级别4、不属于WEB服务器的安全措施的是（)(A) 保证注册帐户的时效性(B) 删除死帐户(C) 强制用户使用不易被破解的密码(D) 所有用户使用一次性密码5、对于第三方服务提供方，以下描述正确的是：（）。

(A) 为了监视和评审第三方提供的服务，第三方人员提供服务时应有人员全程陪同。

(B) 应定期度量和评价第三方遵从商定的安全策略和服务水平的程度。

(C) 第三方服务提供方应有符合ITIL的流程。

(D) 第三方服务的变更须向组织呈报以备案。

6、关于可信计算机，以下说法正确的是（）(A) 指计算机系统中用作保护装置的硬件、固件、软件等的组合体(B) 指配置有可信赖安全防护硬件、软件产品的计算机环境(C) 指通过了国家有关安全机构认证的计算机信息系统(D) 指通过了国家有关机构评测的计算机基础设施，含硬件、软件的配置7、开发、测试和（）设施应分离，以减少未授权访问或改变运行系统的风险。

(A)系统(B)终端(C)配置(D)运行8、《中华人民共和国网络安全法》的实施时间是（)(A) 2016年6月1曰(B) 2016 年11 月7 日(C) 2017年6月1日(D) 2017 年11 月7 日9、末次会议包括（）(A) 请受审核方确认不符合报告、并签字(B) 向受审核方递交审核报告(C) 双方就审核发现的不同意见进行讨论(D) 以上都不准确10、认证审核时，审核组应（）。

信息安规（254题含答案和解析）信息安规（254题含答案和解析）※单选题※--------------------------- 1 ---------------------------为加强信息作业管理，规范（），保证信息系统及数据安全，依据国家有关法律、法规，结合信息作业实际，制定本规程。

A. 安全管理B. 各类人员行为C. 工作流程D. 作业方法参考答案：B解析：1.1 为加强信息作业管理，规范各类人员行为，保证信息系统及数据安全，依据国家有关法律、法规，结合信息作业实际，制定本规程。

--------------------------- 2 ---------------------------为加强信息作业管理，规范各类人员行为，保证信息系统及数据安全，依据国家有关法律、法规，（），制定本规程。

A. 结合信息作业实际B. 根据工作实际C. 结合信息行业特点D. 为满足现场需求参考答案：A解析：1.1 为加强信息作业管理，规范各类人员行为，保证信息系统及数据安全，依据国家有关法律、法规，结合信息作业实际，制定本规程。

--------------------------- 3 ---------------------------本规程适用于国家电网公司系统各单位（）的信息系统及相关场所，其他相关系统可参照执行。

A. 未投运B. 备用C. 运行中D. 退役参考答案：C解析：1.2本规程适用于国家电网公司系统各单位运行中的信息系统及相关场所，其他相关系统可参照执行。

--------------------------- 4 ---------------------------本规程适用于国家电网公司系统各单位运行中的信息系统及（），其他相关系统可参照执行。

A. 生产设备B. 安全设施C. 办公场所D. 相关场所参考答案：D解析：1.2本规程适用于国家电网公司系统各单位运行中的信息系统及相关场所，其他相关系统可参照执行。

中国认证认可协会（CCAA）全国统一考试信息安全管理体系（ISMS）审核知识试卷2018 年9 月一、单选题1、依据GB/Z20986，信息安全事件的分级为（）。

(A) 重大（I级）、严重（II级）、一般（III级）(B) 特别重大（IV级）、重大（III级）、严重（II级）、一般（I级）(C) 特别重大（I级）、重大（II级）、较大（III级）、一般（IV级）(D) 特别严重（III级）、严重（II级）、一般（I级）2、以下属于信息安全管理体系审核发现的是：（）。

(A) 审核员看到的物理入口控制方式。

(B) 审核员看到的信息系统资源阈值。

(C) 审核员看到的移动介质的使用与安全策略的符合性。

(D) 审核员看到的项目质量保证活动与CMMI规程的符合性。

3、ISMS文件的多少和详细程度取决于（）(A) 组织的规模和活动的类型(B) 过程及其相互作用的复杂程度(C) 人员的能力(D) 以上都对4、以下关于VPN说法正确的是()。

(A) VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路(B) VPN指的是用户通过公用网络建立的临时的、安全的连接(C) VPN不能做到信息认证和身份认证(D) VPN只能提供身份认证，不能提供加密数据的功能5、1999年，我国发布的第一个信息安全等级保护的国家标准GB17859-1999，提出将信息系统的安全等级划分为（）个等级，并提出每个级别的安全功能要求。

(A) 7 (B) 8 (C) 6 (D) 56、关于“纠正措施”，以下说法正确的是：（）(A) 针对不符合的原因分析必须采用“因果分析法”。

(B) 审核组对于不符合项原因分析的准确性影响纠正措施的有效性的因素之一。

(C) 受审核方对于不符合项原因分析的准确性是影响纠正措施有效性的因素之一。

(D) 审核组与受审核方应对不符合的原因进行共同分析，以取保纠正措施的有效性。

7、某银行将其物理区域按敏感性划分了安全等级，其中金库为最高等级，审核员进入金库审核需得到分行行长批准，针对该场景，以下说法正确的是（）。

中国认证认可协会（CCAA）全国统一考试信息安全管理体系（ISMS）基础知识试卷2018 年9 月注意事项：1、本试卷满分为100 分，考试时间120 分钟，考试形式为：笔试闭卷；2、考生务必将自己的姓名、身份证号、准考证号填写在试卷密封线内，答案写在试卷指定位置；3、考试完毕，试卷上交，不得带出考场。

一、单项选择题（从下面各题选项中选出一个恰当的答案，并将相应字母填在下表相应位置中。

每题1 分，共50 分，不在指定位置答题不得分）1、信息分级的目的是（）。

(A)确保信息按照其对组织的重要程度受到适当级别的保护(B)确保信息按照其级别得到适当的保护(C)确保信息得到保护(D)确保信息按照其级别得到处理2、（）属于管理脆弱性的识别对象。

(A) 物理环境(B) 网络结构(C) 应用系统(D) 技术管理3、关于备份，以下说法正确的是（）。

(A)备份介质中的数据应定期进行恢复测试(B)如果组织删减了“信息安全连续性”要求，同机备份或各份本地备份是可接受的(C)发现备份介质退化后应考虑数据迁移(D)备份信息不是管理体系运行记录，不需规定保存期4、（）是建立有效的计算机病毒防御体系所需要的技术措施。

(A) 防火墙､网络入侵检测和防火墙(B) 漏洞扫描､网络入侵检测和防火墙(C) 漏洞扫描、补丁管理系统和防火墙(D) 网络入侵检测､防病毒系统和防火墙5、你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源，在评估这样一个软件产品时最重要的标准是什么？（）。

(A)要保护什么样的信息(B)有多少信息要保护(C)为保护这些重要信息需要准备多大的投入(D)不保护这些重要信息，将付出多大的代价6.《计算机信息系统安全保护条例》中所称计算机信息系统，是指:（）(A) 对信息进行采集、加工、存储、传输、检索等处理的人机系统。

(B) 计算机及其相关的设备、设施，不包括软件。

(C) 计算机运行环境的总和，但不含网络。

2108年信息报送及安全管理考核实施细则试题一、单选题1.公司重大安全事故（事件）的当事人、目击人应（A ）地将安全事故（事件）信息报告本单位安全监督管理机构。

A、及时主动B、隐瞒不报C、了解情况后D、以上都对2.每月（B ）日前报送《生产安全事故报告表》（见附件1）、《火灾事故报告表》（见附件2）、《通信案件报告表》（见附件3）和《通信设施安全保护工作月统计表》等。

A、2B、3C、4D、53. 每年1月（D ）日前报送上一年度《安全管理工作统计年报表》。

A、2B、3C、4D、54.各单位应全面总结本单位年度安全管理工作开展情况，于每年12月（B ）日前正式报公司安全监督管理中心。

A、10B、20C、25D、305. 公司安全监督管理中心在事故（事件）发生（D ）之内，负责组织事件基本情况信息的采集、汇总及向公司安委会领导报告，在领导审核流程完成后，将信息上报集团公司。

A、半小时B、一小时C、一个半小时D、两小时6.公司安全监督管理中心在事故（事件）发生( C )之内，负责牵头组织事故（事件）责任的归口管理部门共同召开事故（事件）专题分析会，起草完成详细情况的书面报告报公司安委会领导审核，在领导审核流程完成后，公司安全监督管理中心将信息上报集团公司。

A、12小时B、24小时C、48小时D、72小时7、公司安全监督管理中心在事故（事件）发生（C ）天之内，负责牵头组织事故（事件）责任的归口管理部门共同召开事故（事件）专题分析会，起草完成详细情况的书面报告报公司安委会领导审核，在领导审核流程完成后，公司安全监督管理中心将信息上报集团公司。

A、2B、7C、10D、158、各单位须在知晓事件发生后（C ）小时内以电话（短信、彩信等）方式将事件基本情况报公司安全监督管理中心。

A、0.5B、1C、1.5D、29、各单位应在事件处置完毕后（B ）日内，将事件完整情况的报告正式报送公司安全监督管理中心。

报告除本条第二款所规定内容外，还应包括公安、消防或安全生产监督管理部门出具的有关事故（案件）责任和原因的认定书及与事件有关的处理结果等信息。

2018年度大数据时代的互联网信息安全考试及答案改第一篇：2018年度大数据时代的互联网信息安全考试及答案改2018年度大数据时代的互联网信息安全考试及答案1.U盘里有重要资料，同事临时借用，如何做更安全?（将U盘中的文件备份到电脑之后，使用杀毒软件提供的“文件粉碎”功能将文件粉碎，然后再借给同事）（单选题2分）得分：2分2.要安全浏览网页，不应该（在公用计算机上使用“自动登录”和“记住密码”功能）3.抵御电子邮箱入侵措施中，不正确的是（自己做服务器）（单选题2分）4.不属于常见的危险密码是（10位的综合型密码）（单选题2分）得分：2分得分：2分5.小刘在某电器城购买了一台冰箱，并留下了个人姓名、电话和电子邮件地址等信息，第二天他收到了一封来自电器城提示他中奖的邮件，查看该邮件后他按照提示缴纳中奖税款后并没有得到中奖奖金，再打电话询问电器城才得知电器城并没有举办中奖活动。

根据上面的描述，由此可以推断的是（小刘遭受了钓鱼邮件攻击，钱被骗走了）?（单选题2分）得分：2分6.没有自拍，也没有视频聊天，但电脑摄像头的灯总是亮着，这是什么原因（可能中了木马，正在被黑客偷窥）7.当前网络中的鉴别技术正在快速发展，以前我们主要通过账号密码的方式验证用户身份，现在我们会用到U盾识别、指纹识别、面部识别、虹膜识别等多种鉴别方式。

请问下列哪种说法是正确的。

（使用多种鉴别方式比单一的鉴别方式相对安全）（单选题2分）得分：2分得分：2分8.日常上网过程中，下列选项，存在安全风险的行为是?（安装盗版的操作系统）（单选题2分）9.网盘是非常方便的电子资料存储流转工具。

不仅不占用空间，而且在任何电脑上都能访问，下面这些使用网盘的做法中，哪一项会造成个人隐私信息泄露的风险?（将所有信息保存在云盘，设置一个复杂的云盘密码，然后将密码信息保存在电脑D盘的文件夹中）10.浏览网页时，弹出“最热门的视频聊天室”的页面，遇到这种情况，一般怎么办?（弹出的广告页面，风险太大，不应该去点击）（单选题2分）得分：2分11.好友的QQ突然发来一个网站链接要求投票，最合理的做法是（可能是好友QQ被盗，发来的是恶意链接，先通过手机跟朋友确认链接无异常后，再酌情考虑是否投票）（单选题2分）得分：2分12.浏览某些网站时，网站为了辨别用户身份进行session跟踪，而储存在本地终端上的数据是（COOKIE）13.刘同学喜欢玩网络游戏。

2018年上半年信息安全工程师考试真题●2016年11月7日,十二届全国人大常会第二十四次会议以154票赞成,1票弃权,表决通过了《网络安全法》。

该法律由全国人民代表大会常务员会于2016年11月7日发布,自（）起施行。

（1）A．2017年1月1日B.2017年6月1日C.2017年7月1日D.2017年10月1日近些年,基于标识的密码技术受到越来越多的关注,标识密码算法的应用也得到了快速发展,我国国密标准中的标识密码算法是（）。

（2）A．SM2B.SM3C.SM4D.SM9●《计算机信息系统安全保护等级划分准则》(GB17859-1999)中规定了计算机系统安全保护能力的五个等级，其中要求对所有主体和客体进行自主和强制访问控制的是（）。

（3）A．用户自主保护级B.系统审计保护级C.安全标记保护级D.结构化保护级●密码分析者针对加解密算法的数学基础和某些密码学特性,根据数学方法破译密码的攻击方式称为（）。

（4）A．数学分析攻击B.差分分析攻击C.基于物理的攻击D.穷举攻击●《网络安全法》明确了国家落实网络安全工作的职能部门和职责，其中明确规定由（）负责统筹协调网络安全工作和相关监督管理工作。

（5）A．中央网络安全与信息化小组B.国务院C.国家网信部门D.国家公安部门●一个密码系统如果用E表示加密运算，D表小解密运算，M表示明文,C表示密文,则下面描述必然成立的是（）。

（6）A．E(E(M))=CB.D(E(M))=MC.D(E(M))=CD.D(D(M))=M●S/key口令是一种一次性口令生成方案，它可以对抗（）。

（7）A．恶意代码攻击B.暴力分析攻击C.重放攻击D.协议分析攻击●面向数据挖掘的隐私保护技术主要解高层应用中的隐私保护问题，致力于研究如何根据不同数据挖掘操作的特征来实现对隐私的保护，从数据挖的角度,不属于隐私保护技术的是（）。

（8）A．基于数据分析的隐私保护技术B.基于微据失真的隐私保护技术C.基于数据匿名化的隐私保护技术D.基于数据加密的隐私保护技术●从网络安全的角度看，以下原则中不属于网络安全防护体系在设计和实现时需要遵循的基本原则的是（）。

信息安全管理体系认证人员考试试卷姓名：分数：一、填空题（每题4分，共计40分）1、采用信息安全管理体系是组织的一项性决策。

2、信息安全管理体系通过应用风险管理过程来保持信息的性、性和性，以充分管理风险并给予相关方信心。

3、信息安全在、、时就要考虑信息安全。

4、组织声称符合信息安全管理体系标准时，对于第4章到第10章的要求删减。

5、信息安全管理体系初次审核的第一阶段现场审核不宜少于个审核人日。

6、当客户由于信息安全的原因在申请评审阶段不能提供给认证机构足够的信息时，认证机构应通过审核在客户的现场补充对上述信息的确认，并完成申请评审任务。

这种情况下，认证机构应第一阶段现场审核时间。

7、认证机构应确保客户符合工信部联协[2010]394号文的要求，以及有关主管部门/监管部门对信息安全管理体系认证的管理要求（如工信部2011年第21号公告《工业和信息化部加强政府部门信息技术外包服务安全管理》等）。

8、如果认证机构因为未获得客户的允许或无法满足适用的要求而不能接触相关信息资产，那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施（例如终等）。

9、审核组成员不宜在审核过程中以任何方式记录受审核客户的。

审核组在离开受审核客户前，宜请受审核客户检查和确认审核组携带的文件、资料和设备中未夹带受审核客户的任何保密或敏感信息。

10、为了确保能够实施有效的审核并确保可靠和可比较的结果，对表B.1中审核时间的减少，不应超过。

二、简答题（每题10分，共计60分）1、实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员需要具备哪些知识？2、合同评审信息安全管理体系认证申请的主要内容有哪些？3、申请信息安全管理体系申请者应提交哪些材料？4、参与ISMS审核的审核员，应具有哪些业务管理实践的知识？5、简述信息安全管理体系审核员的评价准则6、简述适宜的信息安全管理专业工作经历有哪些？信息安全管理体系认证人员考试试卷姓名：分数：一、填空题（每题4分，共计40分）1、采用信息安全管理体系是组织的一项战略性决策。

1. 以下哪项不属于信息安全管理制度的基本原则？A. 隐私性原则B. 完整性原则C. 可用性原则D. 可追溯性原则2. 以下哪项不是信息安全管理制度的主要内容？A. 人员管理B. 技术管理C. 设备管理D. 财务管理3. 以下哪项不是信息安全事件处理流程的步骤？A. 事件发现B. 事件确认C. 事件处理D. 事件报告4. 以下哪项不属于信息安全管理制度考核的方式？A. 定期检查B. 随机抽查C. 突击检查D. 上级领导批示5. 以下哪项不是信息安全管理制度考核的依据？A. 相关法律法规B. 企业内部规章制度C. 员工个人意愿D. 信息安全事件处理效果二、多项选择题（每题3分，共15分）1. 信息安全管理制度考核的内容包括：A. 人员管理B. 技术管理C. 设备管理D. 信息资产保护E. 信息安全事件处理2. 信息安全管理制度考核的方式有：A. 定期检查B. 随机抽查C. 突击检查D. 员工自查E. 上级领导批示3. 信息安全管理制度考核的依据包括：A. 相关法律法规B. 企业内部规章制度C. 员工个人意愿D. 信息安全事件处理效果E. 企业经济效益4. 信息安全管理制度考核的目的有：A. 保障企业信息安全B. 提高员工安全意识C. 促进企业可持续发展D. 防范信息安全风险E. 优化企业管理体系5. 信息安全管理制度考核的重点包括：A. 人员管理B. 技术管理C. 设备管理D. 信息资产保护E. 信息安全事件处理三、判断题（每题2分，共10分）1. 信息安全管理制度考核是保障企业信息安全的重要手段。

（）2. 信息安全管理制度考核仅针对企业内部员工。

（）3. 信息安全管理制度考核的结果与员工薪酬挂钩。

（）4. 信息安全管理制度考核可以通过突击检查的方式进行。

（）5. 信息安全管理制度考核不涉及企业经济效益。

（）四、简答题（每题5分，共25分）1. 简述信息安全管理制度考核的目的和意义。

2. 简述信息安全管理制度考核的内容和方式。