信息安全体系考试试卷(A)附答案

信息安全考试试题附答案国家信息安全水平考试是由中国信息安全测评中心实施培养国家网络空间安全人才的项目。

下面是店铺精心整理的信息安全考试试题附答案，欢迎大家分享。

一、选择题试题1：入侵检测系统使用入侵检测技术对网络和系统进行监视，并根据监视结果采取不同的处理，最大限度降低可能的入侵危害。

以下关于入侵检测系统的叙述，不正确的是()。

A、入侵检测系统可以弥补安全防御系统的漏洞和缺陷B、入侵检测系统很难检测到未知的攻击行为C、基于主机的入侵检测系统可以精确地判断入侵事件D、基于网络的入侵检测系统主要用于实时监控网络关键路径的信息试题参考答案：A试题2：默认情况下，Windows 2000有3个日志文件：应用程序日志文件、安全日志文件以及()。

A、目录服务日志文件B、DNS服务器日志文件C、系统日志文件D、文件复制服务日志文件试题参考答案：C试题3：当保护组织的信息系统时，在网络防火墙被破坏以后，通常的下一道防线是下列哪一项?()A.个人防火墙B.防病毒软件C.入侵检测系统D.虚拟局域网设置试题参考答案：C试题4：以下关于备份站点的说法哪项是正确的()A.应与原业务系统具有同样的物理访问控制措施B.应容易被找到以便于在灾难发生时以备紧急情况的需要C.应部署在离原业务系统所在地较近的地方D.不需要具有和原业务系统相同的环境监控等级试题参考答案：A试题5：以下哪项不属于造成信息安全问题的自然环境因素?()A.纵火。

B.地震。

C.极端天气。

D.洪水。

试题参考答案：A试题6：项目经理欲提高信息系统安全性，他首先要做的工作是()A.考虑安全开发需要什么样的资源与预算B.考虑安全开发在开发生命周期各阶段应开展哪些工作C.对开发团队进行信息安全培训D.购买一定的安全工具，如代码扫描工具等试题参考答案：B试题7：下面对于cookie的说法错误的是：()A、cookie是一小段存储在浏览器端文本信息，web应用程序可以读取cookie包含的信息B、cookie可以存储一些敏感的用户信息，从而造成一定的安全风险C、通过cookie提交精妙构造的移动代码，绕过身份验证的攻击叫做cookie欺骗D、防范cookie欺骗的`一个有效方法是不使用cookie验证方法，而是用session验证方法试题参考答案：C试题8：分片攻击问题发生在：()A、数据包被发送时B、数据包在传输过程中C、数据包被接收时D、数据包中的数据进行重组时试题参考答案：D试题9：在信息安全风险管理体系中分哪五个层面?()A、决策层、管理层、执行层、支持层、用户层B、决策层、管理层、建设层、维护层、用户层C、管理层、建设层、运行层、支持层、用户层D、决策层、管理层、执行层、监控层、用户层试题参考答案：D试题10：依据国家标准《信息安全技术信息系统灾难恢复范围》(GB/T20988)，灾难恢复管理过程的主要步骤是灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预案制定和管理;其中灾难恢复策略实现不包括以下哪一项?()A.分析业务功能B.选择和建设灾难备份中心C.实现灾备系统技术方案D.实现灾备系统技术支持和维护能力试题参考答案：A计算机四级考试信息安全工程师复冲刺题1、驻留在多个网络设备上的程序在短时间内同时产生大量的请求消息冲击某Web服务器，导致该服务器不堪重负，无法正常响应其他合法用户的请求，这属于。

2024年第二期CCAA注册ISMS信息安全管理体系审核员知识考试题目一、单项选择题1、《互联网信息服务管理办法》现行有效的版本是哪年发布的？()A、2019B、2017C、2016D、20212、当发生不符合时，组织应（）。

A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果3、（）是建立有效的计算机病毒防御体系所需要的技术措施A、补丁管理系统、网络入侵检测和防火墙B、漏洞扫描、网络入侵检测和防火墙C、漏洞扫描、补丁管理系统和防火墙D、网络入侵检测、防病毒系统和防火墙4、TCP/IP协议层次结构由（）A、网络接口层、网络层组成B、网络接口层、网络层、传输层组成C、网络接口层、网络层、传输层和应用层组成D、其他选项均不正确5、在我国《信息安全等级保护管理办法》中将信息系统的安全等级分为（）级A、3B、4C、5D、66、一家投资顾问商定期向客户发送有关经新闻的电子邮件，如何保证客户收到资料没有被修改（）A、电子邮件发送前，用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前，用投资顾何商的公钥加密邮件的HASH值C、电子邮件发送前，用投资项问商的私钥数字签名邮件D、电子邮件发送前，用投资顾向商的私钥加密邮件7、管理者应（）A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行8、管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的处理方式不包括(）A、自动恢复其IP至原绑定状态B、断开网络并持续阻断C、弹出提示街口对其发出警告D、锁定键盘鼠标9、物理安全周边的安全设置应考虑：（）A、区域内信息和资产的敏感性分类B、重点考虑计算机机房，而不是办公区或其他功能区C、入侵探测和报警机制D、A+C10、可用性是指（）A、根据授权实体的要求可访问和利用的特性B、信息不能被未授权的个人，实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反映事物真实情况的程度11、公司A在内审时发现部分员工计算机开机密码少于6位，公司文件规定员工计算机密码必须6位及以上，那么中哪一项不是针对该问题的纠正措施？()A、要求员工立即改正B、对员工进行优质口令设置方法的培训C、通过域控进行强制管理D、对所有员工进行意识教育12、对于较大范围的网络，网络隔离是（）A、可以降低成本B、可以降低不同用户组之间非授权访问的风险C、必须物理隔离和必须禁止无线网络D、以上都对13、完整性是指()A、根据授权实体的要求可访问的特性B、信息不被未授权的个人实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、保护资产保密和可用的特性14、审核抽样时，可以不考虑的因素是(）A、场所差异B、管理评审的结果C、最高管理者D、内审的结果15、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部16、构成风险的关键因素有（）A、人、财、物B、技术、管理和操作C、资产、威胁和弱点D、资产、可能性和严重性17、组织应（）A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域18、依据GB/T22080-2016/1SO/1EC.27001:2013标准，不属于第三方服务监视和评审范畴的是（）。

2022年7月CCAA统一考试ISMS“信息安全管理体系基础”真题（含答案）1.如果信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，则应具备的保护水平为：()A.二级B.三级C.四级D.五级2.当访问单位服务器时，响应速度明显减慢时，最有可能受到了哪一种攻击?()A.特洛伊木马B.地址欺骗C.缓冲区溢出D.拒绝服务3.《中华人民共和国保密法》规定了国家秘密的范围和密级，国家秘密的密级分为()。

A.低级和高级两个级别B.普密、商密两个级别C.绝密、机密、秘密三个级别D.—密、二密、三密、四密四个级别4.风险过程中，是需要识别的方面包括资产识别，威胁识别，现有控制措施识别和()A.识别可能性和识别稳定性B.识别脆弱性和识别后果C.识别脆弱性和识别可能性D.识别脆弱性和识别稳定性5.信息管理体系审核指南规定，ISMS规模不包括()A.组织控制下开展工作的人员总数以及相关方合同方B.组织的部门数量C.覆盖场所的数量D.信息系统的数量6.《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查。

对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评。

A.半年B.—年C.两年D.1.5年7.信息是()A.干扰因素B.不稳定因素C.物理特性D.不确定性8.数字签名要预先使用hash函数的原因A.保证密文能准确还原成明文B.缩小签名的长度C.提高密文的计算速度D.多一道加密工序，使密文更难破解9.以下不是ISMS体系中，利益相关方的对象A.认为自己受到决策影响人和组织B.认为自己影响决策的人和组织C.可能受到决策影响的人和组织D.可能影响决策的人和组织答案：10.下列哪项不是SSE-CMm的过程()A.工程过程B.保证过程C.分享过程D.设计过程11.管理员通过桌面系统下发IP、MAC绑定策略后，终端用户修改了IP地址，对其的管理方式不包括()A.自动恢复其IP至原绑定状态B.断开网络并持续阻断C.弹出提示窗口对其发出警D.锁定键盘鼠标12.GB/T29246标准为组织和个人提供()A.建立信息安全管理体系的基础信息B.信息安全管理体系的介绍C.ISMS标准族已发布标准的介绍D.ISMS标准族中使用的所有术语和定义13.在规划如何达到信息安全目标时，组织应确定()A.要做什么，有什么可用资源，由谁负责,什么时候开始如何测量结果B.要做什么,需要什么资源，由谁负责，什么时候完成,如何测量结果C.要做什么,需要什么资源，由谁负责，什么时候完成,如何评价结果D.要做什么，有什么可用资源由谁执行什么时候幵始，如何评价结果14.下面哪一种环境控制措施可以保护计算机不受短期停电影响?()A.电力线路调节器B.电力浪涌保护设备C.备用的电力供应D.可中断的电力供应15.《中华人民共和国网络安全法》中要求:网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于()A.1个月B.3个月C.6个月D.12个月16.经过风险处理后遗留的风险通常称为()A.重大风险B.有条件的接受风险C.不可接受的风险D.残余风险17.下列关于DMZ区的说法错误的是()A.DMZ可以访问内部网络。

信息安全技术试题库（含答案）一、单选题（共100题，每题1分，共100分）1.硬件防火墙的平台架构不包括A、IAAS架构B、X86架构C、ASIC架构D、NP架构正确答案：A2.在制定一套好的安全管理策略时,制定者首先必须( )。

A、与技术员进行有效沟通B、与监管者进行有效沟通C、与决策层进行有效沟通D、与用户进行有效沟通正确答案：C3.信息安全管理体系审核，包括两个方面的审核，即A、管理和流程B、控制和技术C、管理和技术D、控制和流程正确答案：C4.下列关于信息的四种定义中，我国学者钟义信先生提出的是A、信息是事物运动的状态和状态变化的方式B、信息是人们在适应外部世界且这种适应反作用于外部世界的过程中，同外部世界进行相互交换的内容的名称C、信息是反映事物的形式、关系和差异的东西D、信息是用于减少不确定性的东西正确答案：A5.属于哈希函数特点的是A、单向性B、扩充性C、可逆性D、低灵敏性正确答案：A答案解析：哈希函数是一种将任意长度的消息压缩到固定长度的消息摘要的函数。

它具有以下特点： A. 单向性：哈希函数是单向的，即从哈希值无法推出原始数据。

这是哈希函数最重要的特点之一。

B. 扩充性：哈希函数具有扩充性，即可以对任意长度的数据进行哈希计算，得到固定长度的哈希值。

C. 可逆性：哈希函数是不可逆的，即从哈希值无法推出原始数据。

与单向性相同。

D. 低灵敏性：哈希函数的输出值对输入值的微小变化非常敏感，即输入值的微小变化会导致输出值的大幅度变化。

综上所述，选项A正确，属于哈希函数的特点之一。

6.关于国家秘密,机关、单位应当根据工作需要,确定具体的A、保密期限、解密时间，或者解密条件B、保密条件、保密期限，或者解密期限C、保密条件、解密条件,或者解密期限D、保密条件、保密期限，或者解密条件正确答案：A7.IPSec协议属于( )。

A、介于二、三层之间的隧道协议B、第三层隧道协议C、传输层的VPN协议D、第二层隧道协议正确答案：B8.在ISMA架构的具体实施中，下列关于安全事件记录的描述错误的是A、安全事件的记录是信息资产B、安全事件的记录要进行密级标记C、电子媒体的记录应进行备份D、安全事件的记录保存不受任何约束正确答案：D9.下列关于加密算法应用范围的描述中，正确的是A、DSS用于数字签名，RSA用于加密和签名B、DSS用于密钥交换, IDEA用于加密和签名C、DSS用于数字签名，MD5用于加密和签名D、DSS用于加密和签名，MD5用于完整性校验正确答案：A10.下列关于栈的描述中，正确的是()。

信息安全试题及答案解析一、单项选择题（每题2分，共10题）1. 信息安全的核心目标是保护信息的（）。

A. 可用性B. 完整性C. 机密性D. 所有选项答案：D。

解析：信息安全的核心目标是保护信息的机密性、完整性和可用性，这三个属性合称为CIA三元组。

2. 以下哪项不是信息安全的基本属性？A. 机密性B. 完整性C. 可用性D. 可靠性答案：D。

解析：信息安全的基本属性包括机密性、完整性和可用性，而可靠性是系统性能的一个方面，不属于信息安全的基本属性。

3. 以下哪个协议不是用于传输层的安全协议？A. SSLB. TLSC. IPsecD. HTTP答案：D。

解析：SSL（Secure Sockets Layer）和TLS （Transport Layer Security）是用于传输层的安全协议，而IPsec （Internet Protocol Security）是网络层的安全协议。

HTTP （Hypertext Transfer Protocol）是超文本传输协议，不涉及传输层的安全。

4. 以下哪种攻击方式不属于网络攻击？A. 拒绝服务攻击（DoS）B. 社交工程攻击C. 病毒攻击D. 物理攻击答案：D。

解析：拒绝服务攻击、社交工程攻击和病毒攻击都属于网络攻击的范畴，而物理攻击是指对物理设备的攻击，如破坏服务器等，不属于网络攻击。

5. 以下哪种加密算法属于对称加密算法？A. RSAB. DESC. ECCD. AES答案：B。

解析：DES（Data Encryption Standard）是一种对称加密算法，而RSA、ECC（Elliptic Curve Cryptography）和AES （Advanced Encryption Standard）都是非对称加密算法。

6. 以下哪项不是防火墙的功能？A. 访问控制B. 入侵检测C. 数据包过滤D. 网络地址转换答案：B。

解析：防火墙的主要功能包括访问控制、数据包过滤和网络地址转换，而入侵检测是入侵检测系统（IDS）的功能，不是防火墙的功能。

2023年第一期CCAA国家注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、信息安全管理中，关于脆弱性，以下说法正确的是()。

A、组织使用的开源软件不须考虑其技术脆弱性B、软件开发人员为方便维护留的后门是脆弱性的一种C、识别资产脆弱性时应考虑资产的固有特性，不包括当前安全控制措施D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会2、组织应（），以确信相关过程按计划得到执行。

A、处理文件化信息达到必要的程度B、保持文件化信息达到必要的程度C、保持文件化信息达到可用的程度D、产生文件化信息达到必要的程度3、国家秘密的保密期限应为:（）A、绝密不超过三十年，机密不超过二十年，秘密不超过十年B、绝密不低于三十年，机密不低于二十年，秘密不低于十年C、绝密不超过二十五年，机密不超过十五年，秘密不超过五年D、绝密不低于二十五年，机密不低于十五年，秘密不低于五年4、(）是确保信息没有非授权泄密，即信息不被未授权的个人、实现或过程，不为其所用。

A、搞抵赖性B、完整性C、机密性D、可用性5、完整性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、实体或过程利用或知悉的特性C、保护资产准确和完整的特性D、以上都不对6、可用性是指（）A、根据授权实体的要求可访问和利用的特性B、信息不能被未授权的个人，实体或者过程利用或知悉的特性C、保护资产的准确和完整的特性D、反映事物真实情况的程度7、GB/T22080标准中所指资产的价值取决于（）A、资产的价格B、资产对于业务的敏感度C、资产的折损率D、以上全部8、根据GB/T22080-2016标准的要求，组织（）实施风险评估A、应按计划的时间间隔或当重大变更提出或发生时B、应按计划的时间间隔且当重大变更提出或发生时C、只需在重大变更发生时D、只需按计划的时间间隔9、管理者应（）A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行10、访问控制是指确定（）以及实施访问权限的过程A、用户权限B、可给予哪些主体访问权利C、可被用户访问的资源D、系统是否遭受入侵11、安全区域通常的防护措施有（）A、公司前台的电脑显示器背对来访者B、进出公司的访客须在门卫处进行登记C、重点机房安装有门禁系统D、以上全部12、以下哪项不属于脆弱性范畴？（）A、黑客攻击B、操作系统漏洞C、应用程序BUGD、人员的不良操作习惯13、关于《中华人民共和国网络安全法》中的“三同步”要求，以下说法正确的是A、指关键信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用B、指所有信息基础设施建设时须保证安全技术措施同步规划、同步建设、同步使用C、指涉密信息系统建设时须保证安全技术措施同步规划、同步建设、同步使用D、指网信办指定信息系统建设时须保证安全技术措施同步规划、同步建设,同步使用14、下列不属于取得认证机构资质应满足条件的是（）。

信息安全管理体系认证试卷（答案见尾页）一、选择题1. 信息安全管理体系认证的审核时间是多久？A. 1个月B. 3个月C. 6个月D. 1年2. 以下哪个不是信息安全管理体系认证中的关键成功因素？A. 高层管理的支持B. 员工的参与度C. 安全策略的制定D. 内部审计的频率3. 信息安全管理体系认证中，风险评估的目的是什么？A. 识别潜在的安全风险B. 评估风险的可能性和影响C. 制定风险处理计划D. 监控风险的状态4. 信息安全管理体系认证中的“持续改进”是指什么？A. 不断进行安全培训B. 持续优化安全措施C. 不断提高员工技能D. 不断更新安全政策5. 信息安全管理体系认证中，管理评审的目的是什么？A. 对认证结果进行回顾和总结B. 分析认证过程中出现的问题C. 确认信息安全管理体系的有效性D. 制定新的安全策略6. 信息安全管理体系认证中，内审员的角色是什么？A. 负责实施内部审核B. 负责编制审核计划C. 负责报告审核结果D. 负责管理评审7. 信息安全管理体系认证中，第二方审核的目的是什么？A. 认证申请方的体系是否符合标准B. 审核申请方的体系是否持续满足标准C. 提供第三方证明D. 与申请方协商服务条款8. 信息安全管理体系认证中的“符合性”是指什么？A. 申请方的体系与标准完全一致B. 申请方的体系满足标准的要求C. 申请方的体系经过第三方验证D. 申请方的体系得到监管机构的批准9. 信息安全管理体系认证中的“有效性”是指什么？A. 申请方的体系在实际运行中有效B. 申请方的体系符合标准和监管机构的要求C. 申请方的体系经过第三方审核并得到认可D. 申请方的体系在不断改进中10. 信息安全管理体系（ISMS）认证的目的是什么？A. 评估组织的信息安全管理体系是否满足标准要求B. 确保组织的信息安全管理体系持续改进C. 提供对组织信息安全水平的第三方验证D. 验证组织的信息安全管理体系符合法律法规要求11. 在信息安全管理体系中，以下哪个不是实施信息安全控制措施的目标？A. 保护组织的敏感信息B. 维护组织和客户的信任C. 提高组织的运营效率D. 遵守相关法律法规12. 信息安全管理体系认证审核的主要目的是什么？A. 确认组织的信息安全管理体系符合标准要求B. 评估组织的信息安全管理体系是否持续改进C. 要求组织定期进行信息安全培训D. 提供对组织信息安全水平的第三方验证13. 以下哪个不是信息安全管理体系认证过程中的关键要素？A. 确定信息安全需求B. 制定信息安全策略C. 进行内部审核D. 进行管理评审14. 信息安全管理体系认证审核员需要具备哪些能力？A. 信息安全专业知识B. 信息安全管理体系审核技能C. 有效的沟通和协调能力D. 法律法规知识15. 信息安全管理体系认证过程中，以下哪个不是常用的评估工具？A. 安全风险评估方法B. 漏洞扫描工具C. 访问控制审计工具D. 个人信息保护法典16. 信息安全管理体系认证审核时，以下哪个因素可能影响审核结果？A. 组织的安全文化B. 组织的财务状况C. 组织的管理体系覆盖范围D. 组织的领导力17. 信息安全管理体系认证审核员在审核过程中应遵循的原则是什么？A. 客观公正B. 建立互信C. 保密性D. 专业严谨18. 以下哪个不是信息安全管理体系认证审核中的常见发现？A. 安全控制措施不足B. 安全策略不清晰C. 安全培训不到位D. 安全控制措施执行不力19. 信息安全管理体系认证审核结束时，审核员应给出哪些建议？A. 安全控制措施的改进意见B. 安全培训的建议C. 安全管理体系的持续改进计划D. 安全控制的测试计划20. 信息安全管理体系（ISMS）的核心要素包括哪些？A. 组织安全策略B. 信息安全组织C. 资产管理D. 人员安全21. 以下哪个不是信息安全管理体系（ISMS）认证审核的依据？A. ISO/IEC 27001标准B. 国家或地区法规要求C. 行业标准D. 企业内部规范22. 在信息安全管理体系（ISMS）中，风险评估的目的是什么？A. 识别信息资产面临的威胁和漏洞B. 评估安全事件可能造成的影响C. 为制定安全控制措施提供依据D. 以上都是23. 信息安全管理体系（ISMS）的建立、实施、运行和改进过程包含哪些步骤？A. 制定安全策略B. 实施安全控制措施C. 监控和审查D. 持续改进24. 以下哪个不是信息安全管理体系（ISMS）认证申请材料通常包括的内容？A. 申请表格B. 策略和计划文档C. 安全控制实施记录D. 认证费用25. 信息安全管理体系（ISMS）的认证标志表示什么含义？A. 企业已经建立了完善的信息安全管理体系B. 企业通过了信息安全管理体系认证C. 企业的信息安全水平得到了国际认可D. 企业的信息安全管理体系符合ISO/IEC 27001标准26. 信息安全管理体系（ISMS）的认证过程通常包括几个阶段？A. 现场审核B. 申请与受理C. 现场检查D. 认证决定27. 以下哪个不是信息安全管理体系（ISMS）认证审核员应具备的能力？A. 信息安全知识B. 审核技巧C. 沟通能力D. 法律知识28. 信息安全管理体系（ISMS）认证的有效期是多久？A. 1年B. 2年C. 3年D. 5年29. 信息安全管理体系（ISMS）认证的目的是什么？A. 提高组织的IT安全性B. 保护客户的敏感信息C. 增强客户对组织的信任D. 遵守法律法规要求30. 在信息安全管理体系中，以下哪个不是ISMS的关键要素？A. 测量B. 风险评估C. 持续改进D. 监控31. 以下哪个不是信息安全管理体系认证过程中的步骤？A. 确定认证范围B. 进行现场审核C. 准备申请材料D. 安排现场见证32. 信息安全管理体系认证中，以下哪个不是第三方认证机构的职责？A. 对组织的ISMS进行审核B. 发放认证证书C. 对审核过程进行监督D. 提供培训和技术支持33. 以下哪个不是信息安全管理体系认证中的风险评估方法？A. 定性风险评估B. 定量风险评估C. 基于过往经验的评估D. 基于模型的评估34. 在信息安全管理体系中，以下哪个不是实施安全控制的目的？A. 保护组织的信息资产B. 维护组织和客户的声誉C. 遵守法律法规要求D. 提高工作效率35. 信息安全管理体系认证中，以下哪个不是现场审核的目的？A. 验证组织的ISMS是否符合标准B. 确认组织的ISMS的有效性C. 收集组织的信息以供审核D. 提出改进建议36. 以下哪个不是信息安全管理体系认证过程中可能遇到的风险？A. 审核过程中的信息泄露B. 申请材料的准确性问题C. 审核员的偏见或误解D. 不合格后的整改措施不力37. 信息安全管理体系认证中，以下哪个不是选择认证机构时应考虑的因素？A. 认证机构的声誉B. 认证机构的资质和经验C. 认证机构的价格和服务D. 认证机构的审核员素质38. 信息安全管理体系认证的目的是以下哪个？A. 证明组织的ISMS符合国际标准B. 提高组织的IT安全性C. 增强客户对组织的信任D. 遵守法律法规要求39. 信息安全管理体系（ISMS）认证的主要目的是什么？A. 提高组织的IT安全性B. 保护客户的数据隐私C. 遵守法律法规要求D. 提升客户满意度40. 在信息安全管理体系中，以下哪个不是ISMS的关键要素？A. 信息安全政策B. 信息安全风险评估C. 信息安全控制实施D. 信息安全监控与审计41. 以下哪个不是信息安全风险评估的方法？A. 定性分析B. 定量分析C. 风险矩阵D. 概率统计42. 信息安全管理体系认证审核的主要目的是什么？A. 确认组织的ISMS符合性B. 提供第三方认证C. 帮助组织改进ISMSD. 检查组织的安全控制措施是否有效43. 以下哪个不是信息安全控制措施？A. 访问控制B. 数据加密C. 安全培训D. 风险转移44. 信息安全管理体系认证审核的依据是什么？A. ISO/IEC 27001标准B. 国家或行业的相关法规C. 组织的内部政策D. 国际标准如ISO 2700245. 以下哪个不是信息安全管理体系（ISMS）的核心组成部分？A. ISMS方针B. ISMS目标C. ISMS程序文档D. ISMS记录46. 信息安全管理体系认证审核的两种模式是什么？A. 初次审核B. 监督审核C. 再次审核D. 例外审核47. 以下哪个不是信息安全管理体系认证审核的发现项？A. 不符合项B. 符合项C. 改进项D. 需改进项48. 信息安全管理体系认证审核的周期是多久？A. 每年B. 每两年C. 根据组织的具体情况而定D. 由认证机构决定二、问答题1. 信息安全管理体系认证的目的是什么？2. 信息安全管理体系认证的依据是什么？3. 信息安全管理体系认证的过程包括哪些步骤？4. 信息安全管理体系认证中，如何确定是否符合标准？5. 信息安全管理体系认证中，现场审核的主要目的是什么？6. 信息安全管理体系认证后，组织还需要做什么？7. 信息安全管理体系认证对组织有什么好处？8. 信息安全管理体系认证的收费情况如何？参考答案选择题：1. B2. D3. B4. B5. C6. A7. B8. B9. A 10. ABC11. C 12. A 13. C 14. ABCD 15. D 16. ABCD 17. ABCD 18. B 19. ABC 20. ABCD 21. D 22. D 23. ABCD 24. D 25. B 26. ABCD 27. D 28. C 29. ABCD 30. A31. D 32. D 33. C 34. D 35. C 36. D 37. C 38. ABCD 39. ABC 40. D41. D 42. AC 43. D 44. ABD 45. C 46. AB 47. D 48. A问答题：信息安全管理体系认证的目的是确保组织的信息安全管理体系符合国际标准，提高组织的风险管理能力，保护组织的信息资产，持续改进组织的整体安全水平。

信息安全技术试题及答案1. 试题一：a) 什么是信息安全？简要描述。

信息安全是指保护信息及其传输过程中的完整性、可用性、保密性和可靠性的一系列措施和技术。

它旨在保障信息资源免受未经授权的访问、篡改、窃取或破坏。

示例答案：信息安全是指通过各种措施和技术，保护信息资源的完整性、可用性、保密性和可靠性，确保信息不受未经授权的访问、篡改、窃取或破坏。

b) 请列举至少三种常见的信息安全威胁。

示例答案：1) 黑客攻击：恶意黑客通过各种手段，利用系统和网络的弱点，窃取敏感信息或破坏系统。

2) 病毒和恶意软件：通过恶意软件感染用户设备，窃取信息、损坏数据，或者实施其他恶意行为。

3) 数据泄露：敏感信息被不法分子或内部人员窃取、泄露，导致信息沦为他人的工具或盈利来源。

2. 试题二：a) 简述对称加密算法的工作原理。

对称加密算法使用相同的密钥对数据进行加密和解密。

发送方使用密钥将原始数据加密，并将密文发送给接收方。

接收方再使用同一密钥对密文进行解密，恢复原始数据。

示例答案：对称加密算法使用相同的密钥对数据进行加密和解密。

发送方使用密钥将原始数据进行加密处理，生成密文后发送给接收方。

接收方使用相同的密钥对密文进行解密，还原为原始数据。

b) 列举两种常见的对称加密算法。

示例答案：1) DES（Data Encryption Standard）：数据加密标准，对称加密算法。

使用56位密钥对64位数据块进行加密或解密。

2) AES（Advanced Encryption Standard）：高级加密标准，对称加密算法。

使用128、192或256位密钥对数据进行加密和解密。

3. 试题三：a) 简述公钥加密算法的工作原理。

公钥加密算法采用公钥和私钥的组合进行加密和解密。

发送方使用接收方的公钥进行加密，生成密文后发送给接收方。

接收方使用自己的私钥对密文进行解密，还原为原始数据。

示例答案：公钥加密算法使用公钥和私钥的组合进行加密和解密。

信息安全考试题库及答案一、单项选择题（每题2分，共20分）1. 信息安全的三个基本要素是机密性、完整性和______。

A. 可用性B. 可靠性C. 保密性D. 易用性答案：A2. 以下哪项不是信息安全的主要威胁？A. 病毒B. 黑客攻击C. 自然灾害D. 内部泄密答案：C3. 密码学中的对称加密算法是指加密和解密使用同一密钥的加密算法，以下哪个不是对称加密算法？A. AESB. RSAC. DESD. 3DES答案：B4. 以下哪个协议不是用于网络层的安全协议？A. IPsecB. SSL/TLSC. HTTPSD. SSH答案：B5. 在信息安全中，身份认证的目的是确保用户身份的______。

A. 真实性B. 合法性C. 唯一性D. 以上都是答案：D6. 以下哪个选项不是防火墙的功能？A. 访问控制B. 入侵检测C. 数据加密D. 包过滤答案：C7. 以下哪个选项不是数字签名的特点？A. 验证消息的完整性B. 验证消息的来源C. 可以被第三方验证D. 可以被发送者否认答案：D8. 以下哪个选项不是信息安全风险评估的步骤？A. 资产识别B. 威胁识别C. 风险分析D. 风险接受答案：D9. 以下哪个选项不是信息安全管理体系ISO/IEC 27001的标准要求？A. 信息安全政策B. 信息安全组织C. 业务连续性计划D. 员工绩效考核答案：D10. 以下哪个选项不是信息安全培训的内容？A. 安全意识教育B. 操作规程培训C. 应急响应演练D. 产品营销策略答案：D二、多项选择题（每题3分，共15分）1. 以下哪些措施可以提高系统的安全性？A. 定期更新操作系统B. 使用复杂密码C. 安装防病毒软件D. 禁用不必要的服务答案：ABCD2. 以下哪些因素可能影响信息安全？A. 人为因素B. 技术因素C. 管理因素D. 环境因素答案：ABCD3. 以下哪些属于信息安全的基本要求？A. 保密性B. 完整性C. 可用性D. 可审计性答案：ABCD4. 以下哪些是信息安全事故的常见类型？A. 数据泄露B. 系统崩溃C. 服务拒绝D. 恶意软件攻击答案：ABCD5. 以下哪些是信息安全管理体系ISO/IEC 27001的核心组成部分？A. 信息安全政策B. 风险评估C. 信息安全组织D. 业务连续性计划答案：ABCD三、判断题（每题2分，共10分）1. 信息安全仅指保护计算机系统免受攻击。

信息安全能力测试题库（附答案）一、选择题（每题5分，共25分）1. 以下哪个不属于信息安全的风险评估阶段？（）A. 资产识别B. 威胁识别C. 漏洞识别D. 风险分析与规划答案：D2. 以下哪种加密算法是非对称加密算法？（）A. DESB. RSAC. AESD. 3DES答案：B3. 以下哪种协议用于虚拟专用网络（VPN）的建立？（）A. SSHB. HTTPC. HTTPSD. IPsec答案：D4. 以下哪种攻击方式是通过伪造IP地址来实施的？（）A. DDoS攻击B. SQL注入攻击C. 跨站脚本攻击（XSS）D. IP欺骗攻击答案：D5. 以下哪个工具主要用于扫描网络中的开放端口？（）A. NmapB. WiresharkC. SnortD. Metasploit答案：A二、填空题（每题5分，共25分）1. 信息安全的核心目标是保护组织的_____免受未经授权的访问、使用、披露、破坏、修改或破坏。

答案：信息资产2. 防火墙主要用于防止_____攻击。

答案：网络3. 在对称加密中，加密和解密使用的密钥是_____。

答案：相同的4. 数字签名技术可以实现_____和数据完整性。

答案：认证5. 以下哪种协议用于电子邮件的传输？（）答案：SMTP三、简答题（每题10分，共30分）1. 请简要说明信息安全风险评估的主要步骤。

答案：信息安全风险评估的主要步骤包括：资产识别、威胁识别、漏洞识别、风险分析与规划、风险处理和风险监测。

资产识别是确定组织拥有的信息资产的过程；威胁识别是识别可能对资产造成损害的威胁；漏洞识别是识别资产存在的漏洞；风险分析与规划是分析识别到的威胁和漏洞对资产的影响，并制定相应的风险处理计划；风险处理是实施风险处理计划，以降低风险；风险监测是持续监控风险，以确保风险在可接受范围内。

2. 请简要说明数字签名的工作原理。

答案：数字签名是一种用于实现电子文档认证和数据完整性的技术。

其工作原理如下：首先，发送方使用自己的私钥对要发送的电子文档进行加密，生成数字签名；然后，发送方将数字签名和电子文档一起发送给接收方；接收方使用发送方的公钥对数字签名进行解密，验证数字签名的有效性；最后，接收方使用发送方的公钥对电子文档进行解密，获取原始文档。

信息安全考试题及答案一、单项选择题（每题2分，共20分）1. 信息安全的核心目标是什么？A. 保密性B. 完整性C. 可用性D. 以上都是答案：D2. 以下哪项不是信息安全的基本属性？A. 机密性B. 认证性C. 可追溯性D. 可访问性答案：D3. 信息安全中的“CIA”分别代表什么？A. 保密性、完整性、可用性B. 保密性、可用性、认证性C. 完整性、可用性、认证性D. 认证性、完整性、可用性答案：A4. 以下哪个不是常见的加密算法？A. DESB. AESC. RSAD. XOR答案：D5. 信息安全中的“三防”指的是什么？A. 防火、防盗、防病毒B. 防火、防雷、防病毒C. 防火、防水、防病毒D. 防火、防盗、防水答案：A6. 以下哪项不是信息安全风险评估的内容？A. 资产识别B. 威胁识别C. 漏洞识别D. 风险接受答案：D7. 以下哪个不是信息安全管理体系的组成部分？A. 信息安全政策B. 风险评估C. 信息安全培训D. 员工绩效考核答案：D8. 以下哪个是信息安全事故应急响应的首要步骤？A. 事故报告B. 事故调查C. 事故处理D. 事故预防答案：A9. 以下哪个不是信息安全法律法规的基本原则？A. 合法性原则B. 责任原则C. 保密性原则D. 公平性原则答案：C10. 以下哪个不是信息安全审计的目的？A. 确保合规性B. 识别风险C. 提高员工士气D. 改进安全措施答案：C二、多项选择题（每题3分，共15分）1. 以下哪些是信息安全防护措施？A. 防火墙B. 入侵检测系统C. 病毒扫描软件D. 定期备份数据答案：ABCD2. 信息安全中的“五要素”包括哪些？A. 资产B. 威胁C. 漏洞D. 风险E. 应对措施答案：ABCDE3. 以下哪些是信息安全事故的常见原因？A. 人为错误B. 系统漏洞C. 自然灾害D. 恶意攻击答案：ABCD4. 以下哪些属于信息安全培训的内容？A. 安全意识教育B. 操作规程培训C. 应急响应演练D. 法律法规教育答案：ABCD5. 以下哪些是信息安全管理体系建立的步骤？A. 制定信息安全政策B. 风险评估C. 制定安全措施D. 定期审核和改进答案：ABCD三、判断题（每题1分，共10分）1. 信息安全仅指计算机信息系统的安全。

2023年10月信息安全管理体系真题试卷一、单选(每题1.5分，共60分)1.在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是( )。

A.ISO/IEC JTC1 SC27B.ISO/IEC JTC1 SC40C.ISO/IEC TC27D.ISO/IEC TC40参考答案：A2.根据ISO/IEC 27000 标准，( )为组织提供了信息安全管理体系实施指南。

A.ISO/IEC 27002B.ISO/IEC 27007C.ISO/IEC 27013D.ISO/IEC 27003参考答案：D3.根据GB/T 22080-2016标准要求，最高管理层应( )，以确保信息安全管理体系符合本标准要求。

A.分配职责与权限B.分配岗位与权限C.分配责任与权限D.分配角色与权限参考答案：C4.根据GB/T 22080-2016标准，下列不一定要进行风险评估的是( )。

A.发布新的法律法规B.ISMS最高管理者人员变更C.ISMS范围内的网络采用新的网络架构D.计划的时间间隔参考答案：B5.根据GB/T 22080-2016标准的要求，网络隔离指的是( )。

A.内网与外网之间的隔离N与MAN、WAN之间的隔离C.不同用户组之间的隔离D.不同运营商之间的隔离参考答案：C6.某数据中心申请ISMS认证的范围为“IDC基础设施服务的提供”，对此以下说法正确的是( )。

A.附录A. 8可以删减B.附录A. 12可以删减C.附录A. 14可以删减D.附录A. 17可以删减参考答案：C7.关于ISO/IEC 27004，以下说法正确的是( )。

A.该标准可以替代GB/T 28450B.该标准是信息安全水平的度量标准C.该标准可以替代ISO/IEC 27001中的9.2的要求D.该标准是ISMS管理绩效的度量指南参考答案：D8.ISO/IEC 27005描述的风险分析过程不包括( ).A.事件影响评估B.识别威胁和脆弱点C.后果的识别和评估D.风险级别的估算参考答案：A9.表示客体安全级别并描述客体敏感性的一组信息，是( )。

2024年03月信息安全管理体系基础考试真题及答案一、单项选择题（每题1.5分，共60分）1.根据GB/T29246《信息技术安全技术信息安全管理体系概述和词汇》标准，信息安全管理中的“可用性”是指（）。

A.反映事物真实情况的程度B.保护资产准确和完整的特性C.根据授权实体的要求可访问和利用的特性D.信息不被未授权的个人、实体或过程利用或知悉的特性正确答案：C2.GB/T22080-2016标准中提到的“风险责任者”，是指（）。

A.发现风险的人或实体B.风险处置人员或实体C.有责任和权威来管理风险的人或实体D.对风险发生后结果进行负责的人或实体正确答案：C3.组织应按照GB/T22080-2016标准的要求（）信息安全管理体系。

A.建立、实施、监视和持续改进B.策划、实现、维护和持续改进C.建立、实现、维护和持续改进D.策划、实现、监视和持续改进正确答案：C4.关于GB/T22080-2016标准，所采用的过程方法是（）。

A.PDCA法B.PPTR方法C.SWOT方法D.SMART方法正确答案：A5.ISO/IEC27002最新版本为（）。

A.2022B.2015C.2005D.2013正确答案：A6.关于ISO/IEC27004，以下说法正确的是（）。

A.该标准可以替代GB/T28450B.该标准是信息安全水平的度量标准C.该标准是ISMS管理绩效的度量指南D.该标准可以替代ISO/IEC27001中的9.2的要求正确答案：C7.在ISO/IEC27000系列标准中，为组织的信息安全风险管理提供指南的标准是（）。

A.ISO/IEC 27004B.ISO/IEC 27003C.ISO/IEC 27002D.IS0/IEC 27005正确答案：D8.根据GB/T22080-2016标准的要求，最高管理层应（），以确保信息安全管理体系符合标准要求。

A.分配责任和权限B.分配角色和权限C.分配岗位与权限D.分配职责与权限正确答案：A9.根据GB/T22080-2016标准，组织应在相关（）上建立信息安全目标。

一、单项选择1、Cp是理想过程能力指数，Cpk是实际过程能力指数，以下（）是正确的。

A、Cp＞CpkB、Cp＜CpkC、Cp≤CpkD、Cp≥Cpk2、信息安全是保证信息的保密性、完整性、（）。

A、充分性B、适宜性C、可用性D、有效性3、应为远程工作活动制定：开发和实施策略、（）和规程。

A、制定目标B、，明确职责C、编制作业指导书D、操作计划4、一个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大可能性。

A、已经发生B、可能发生C、意外D、A+B+C5、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）。

A、国家经营B、地方经营C、许可制度D、备案制度6、以下说法不正确的是（）A、应考虑组织架构与业务目标的变化对风险评估结果进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新7、组织在建立和评审信息安全管理体系时，应考虑（）A、风险评估的结果B、管理方案C、法律、法规和其他要求D、A+C8、管理体系是指（）。

A、建立方针和目标并实现这些目标的体系B、相互关联的相互作用的一组要素C、指挥和控制组织的协调活动D、以上都对9、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对10、以下属于计算机病毒感染事件的纠正预防措施的是（）A、对计算机病毒事件进行相应调查和处理B、将感染病毒的计算机从网络隔离C、对相关责任人进行处罚D、以上都不对11、监督、检查、指导计算机信息系统安全保护工作是（）对计算机信息系统安全保护履行法定职责之一A、电信管理机构B、公安机关C、国家安全机关D、国家保密局12、国家秘密的密级分为（）A、绝密B、机密C、秘密D、以上都对13、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查。

2022年12月ISMS信息安全管理体系CCAA审核员考试题目一、单项选择题1、以下可表明知识产权方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安装未列入白名单的软件B、禁止使用通过互联网下载的免费软件C、禁止安装未经验证的软件包D、禁止软件安装超出许可权规定的最大用户数2、我国网络安全等级保护共分几个级别？（）A、7B、4C、5D、63、根据《信息安全等级保护管理办法》,对于违反信息安全法律、法规行为的行政处罚中()是较轻的处罚方式A、警告B、罚款C、没收违法所得D、吊销许可证4、对于外部方提供的软件包，以下说法正确的是：（）A、组织的人员可随时对其进行适用性调整B、应严格限制对软件包的调整以保护软件包的保密性C、应严格限制对软件包的调整以保护软件包的完整性和可用性D、以上都不对5、对于交接区域的信息安全管理，以下说法正确的是:（）A、对于进入组织的设备设施予以检查验证,对于离开组织的设备设施则不必验证B、对于离开组织的设备设施予以检查验证,对于进入组织的设备设施则不必验证C、对于进入和离开组织的设备设施均须检查验证D、对于进入和离开组织的设备设施，验证携带者身份信息;可替代对设备设施的验证6、最高管理者应（）。

A、确保制定ISMS方针B、制定ISMS目标和计划C、实施ISMS内部审核D、主持ISMS管理评审7、涉及运行系统验证的审计要求和活动，应（）A、谨慎地加以规划并取得批准，以便最小化业务过程的中断B、谨慎地加以规划并取得批准，以便最大化保持业务过程的连续C、谨慎地加以实施并取得批准，以便最小化业务过程的中断D、谨慎地加以实施并取得批准，以便最大化保持业务过程的连续8、残余风险是指:（）A、风险评估前，以往活动遗留的风险B、风险评估后，对以往活动遗留的风险的估值C、风险处置后剩余的风险，比可接受风险低D、风险处置后剩余的风险，不一定比可接受风险低9、《信息安全等级保护管理办法》规定，应加强沙密信息系统运行中的保密监督检查。

《信息安全》课程考试试卷（A卷）专业软件工程、计算机科学与技术、网络工程一、判断题（每小题2分，共10分，对的打“✓”，错的打“✗”）题号 1 2 3 4 5答案✗✓✗✓✗二、选择题（每小题2分，共20分）题号 1 2 3 4 5 6 7 8 9 10答案 D C C B B B D C A D1、在身份认证方法中，下列哪种方法是“你是谁”的认证方式。

（ D ）A 口令B U盾C ATM卡D 指纹2、PKI是__ __。

（C ）A．Private Key Infrastructure B．Public Key InstituteC．Public Key Infrastructure D．Private Key Institute3、包过滤防火墙是指在网络模型当中的哪一层对数据包进行检查。

（C ）A 应用层B 传输层C 网络层D 数据链路层4、从安全属性对各种网络攻击进行分类，阻断攻击是针对的攻击。

（ B ）A. 机密性B. 可用性C. 完整性D. 真实性5、IPSec协议工作在____层次。

（ B ）A. 数据链路层B. 网络层C. 应用层 D 传输层6、网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全的___属性。

（ B ）A 保密性B 完整性C 不可否认性D 可用性7、信息安全领域内最关键和最薄弱的环节是____。

（D ）A 技术B 策略C 管理制度D 人8、计算机病毒最本质的特性是____。

（C ）A 寄生性B 潜伏性C 破坏性D 攻击性9、目前，VPN使用了技术保证了通信的安全性。

（ A ）A. 隧道协议、身份认证和数据加密B. 身份认证、数据加密C. 隧道协议、身份认证D. 隧道协议、数据加密10、可信计算基就是操作系统中赖以实施安全的一切设施，即使它以外的一切都被破坏了，可信操作系统也是安全的。

下列哪个英文缩写是可信计算基的缩写。

（ D ）A TCGB TCC C TCAD TCB三、简答题1、信息安全领域的基本挑战包括机密性、完整性和可用性或者简称为CIA。

信息安全管理体系认证人员考试试卷姓名：分数：一、填空题（每题4分，共计40分）1、采用信息安全管理体系是组织的一项性决策。

2、信息安全管理体系通过应用风险管理过程来保持信息的性、性和性，以充分管理风险并给予相关方信心。

3、信息安全在、、时就要考虑信息安全。

4、组织声称符合信息安全管理体系标准时，对于第4章到第10章的要求删减。

5、信息安全管理体系初次审核的第一阶段现场审核不宜少于个审核人日。

6、当客户由于信息安全的原因在申请评审阶段不能提供给认证机构足够的信息时，认证机构应通过审核在客户的现场补充对上述信息的确认，并完成申请评审任务。

这种情况下，认证机构应第一阶段现场审核时间。

7、认证机构应确保客户符合工信部联协[2010]394号文的要求，以及有关主管部门/监管部门对信息安全管理体系认证的管理要求（如工信部2011年第21号公告《工业和信息化部加强政府部门信息技术外包服务安全管理》等）。

8、如果认证机构因为未获得客户的允许或无法满足适用的要求而不能接触相关信息资产，那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施（例如终等）。

9、审核组成员不宜在审核过程中以任何方式记录受审核客户的。

审核组在离开受审核客户前，宜请受审核客户检查和确认审核组携带的文件、资料和设备中未夹带受审核客户的任何保密或敏感信息。

10、为了确保能够实施有效的审核并确保可靠和可比较的结果，对表B.1中审核时间的减少，不应超过。

二、简答题（每题10分，共计60分）1、实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员需要具备哪些知识？2、合同评审信息安全管理体系认证申请的主要内容有哪些？3、申请信息安全管理体系申请者应提交哪些材料？4、参与ISMS审核的审核员，应具有哪些业务管理实践的知识？5、简述信息安全管理体系审核员的评价准则6、简述适宜的信息安全管理专业工作经历有哪些？信息安全管理体系认证人员考试试卷姓名：分数：一、填空题（每题4分，共计40分）1、采用信息安全管理体系是组织的一项战略性决策。