單項(xiàng)選擇題信息安全風(fēng)險(xiǎn)評估師信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)。在《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》(國信辦[2006]5號)中,指出了風(fēng)險(xiǎn)評估分為自評估和檢查評估兩種形式,并對兩種工作形式提出了有關(guān)工作原則和要求。下面選項(xiàng)中描述錯(cuò)誤的是()

A.自評估是由信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本*單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評估
B.檢查評估是指信息系統(tǒng)上級管理部門組織的國家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評估
C.信息安全風(fēng)險(xiǎn)評估應(yīng)以自評估為主,自評估和檢查評估相互結(jié)合、互為補(bǔ)充
D.自評估和檢查評估是相互排斥的,單位應(yīng)慎重地從兩種工作形式選擇一個(gè),并堅(jiān)持


您可能感興趣的試卷

你可能感興趣的試題

1.單項(xiàng)選擇題信息安全風(fēng)險(xiǎn)評估是信息安全風(fēng)險(xiǎn)管理工作中的重要環(huán)節(jié)。在國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)布的《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》(國信辦[2006]5號)中,風(fēng)險(xiǎn)評估分為自評估和檢查評估兩種形式,并對兩種工作形勢提出了有關(guān)工作原則和要求。下面選項(xiàng)中描述正確的是()

A.信息安全風(fēng)險(xiǎn)評估應(yīng)以自評估為主,自評估和檢查評估相互結(jié)合、互為補(bǔ)充
B.信息安全風(fēng)險(xiǎn)評估應(yīng)以檢查評估為主,自評估和檢查評估相互結(jié)合、互為補(bǔ)充
C.自評估和檢查評估時(shí)相互排斥的,單位應(yīng)慎重地從兩種工作形式選擇一個(gè),并長期使用
D.自評估和檢查評估是相互排斥的,無特殊理由的單位均應(yīng)選擇檢查評估,以保證安全效果

2.單項(xiàng)選擇題美國國家標(biāo)準(zhǔn)與技術(shù)研究院(National Institute of Standards and Technology,NIST)隸屬美國商務(wù)部,NIST發(fā)布的很多關(guān)于計(jì)算機(jī)安全的指南文檔。下面哪個(gè)文檔是由NIST發(fā)布的()

A.ISO 27001 《Information technology–Security techniques–Informtion security management systems-Requirements》
B.X.509《Information Technology–Open Systems–The Directory:Authentication Framcwork》
C.SP 800-37《Guide for Applying the Risk Management Framcwork to FederalInformationSystems》
D.RFC 2402《IP Authenticat Header》

3.單項(xiàng)選擇題小王在學(xué)習(xí)信息安全管理體系相關(guān)知識之后,對于建立信息安全管理體系,自己總結(jié)了下面四條要求,其中理解不正確的是()

A.信息安全管理體系的建立應(yīng)參照國際國內(nèi)有關(guān)標(biāo)準(zhǔn)實(shí)施,因?yàn)檫@些標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化組織在總結(jié)研究了很多實(shí)際的或潛在的問題后,制定的能共同的和重復(fù)使用的規(guī)則
B.信息安全管理體系的建立應(yīng)基于最新的信息安全技術(shù),因?yàn)檫@是國家有關(guān)信息安全的法律和法規(guī)方面的要求,這體現(xiàn)以預(yù)防控制為主的思想
C.信息安全管理體系應(yīng)強(qiáng)調(diào)全過程和動(dòng)態(tài)控制的思想,因?yàn)榘踩珕栴}是動(dòng)態(tài)的,系統(tǒng)所處的安全環(huán)境也不會(huì)一成不變的,不可能建設(shè)永遠(yuǎn)安全的系統(tǒng)
D.信息安全管理體系應(yīng)體現(xiàn)科學(xué)性和全面性的特點(diǎn),因?yàn)橐獙π畔踩芾碓O(shè)計(jì)的方方面面實(shí)施較為均衡的管理,避免遺漏某些方面而導(dǎo)致組織的整體信息安全水平過低

5.單項(xiàng)選擇題下面有關(guān)軟件安全問題的描述中,哪項(xiàng)不是由于軟件設(shè)計(jì)缺陷引起的()

A.設(shè)計(jì)了用戶權(quán)限分級機(jī)制和最小特權(quán)原則,導(dǎo)致軟件在發(fā)布運(yùn)行后,系統(tǒng)管理員不能查看系統(tǒng)審計(jì)信息
B.設(shè)計(jì)了采用不加鹽(SALT)的SHA-1算法對用戶口令進(jìn)行加密存儲,導(dǎo)致軟件在發(fā)布運(yùn)行后,不同的用戶如使用了相同的口令會(huì)得到相同的加密結(jié)果,從而可以假冒其他用戶登錄
C.設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能,導(dǎo)致軟件在發(fā)布運(yùn)行后,被黑客攻擊獲取到用戶隱私數(shù)據(jù)
D.設(shè)計(jì)了采用自行設(shè)計(jì)的加密算法對網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行保護(hù),導(dǎo)致軟件在發(fā)布運(yùn)行后,被攻擊對手截獲網(wǎng)絡(luò)數(shù)據(jù)并破解后得到明文

最新試題

內(nèi)容安全是我國信息安全保障工作中的一個(gè)重要環(huán)節(jié),互聯(lián)網(wǎng)所帶來的數(shù)字資源大爆發(fā)是使得內(nèi)容安全越來越受到重視,以下哪個(gè)描述不屬于內(nèi)容安全的范疇()

題型:單項(xiàng)選擇題

在GSM系統(tǒng)中手機(jī)與基站通信時(shí),基站可以對手機(jī)的身份進(jìn)行認(rèn)證,而手機(jī)卻不能對基站的身份進(jìn)行認(rèn)證,因此“偽基站”系統(tǒng)可以發(fā)送與正規(guī)基站相同的廣播控制信號,攻擊者從中可以監(jiān)聽通話、獲取語音內(nèi)容與用戶識別碼等關(guān)鍵信息。GSM所采用的鑒別類型屬于()

題型:單項(xiàng)選擇題

組織開發(fā)和實(shí)施使用()來保護(hù)信息的策略,基于風(fēng)險(xiǎn)評估,宜確定需要的保護(hù)級別,并考慮需要的加擊算法的類型、強(qiáng)度和質(zhì)量。當(dāng)實(shí)施組織的()時(shí),宜考慮我國應(yīng)用密碼技術(shù)的規(guī)定和限制,以及()跨越國界時(shí)的問題。組織應(yīng)開發(fā)和頭施在密鑰生命周期中使用和保護(hù)密鑰的方針。方針應(yīng)包括密鑰在其全部生命周期中的苦理要求,包括密鑰的生成、存儲、歸檔、檢索、分配、卸任和銷毀過程中的安全。宜保護(hù)所有的密鑰免遭修改和丟失。另外,秘鑰和私有密鑰需要防范非授權(quán)的婦盡。用來生成、存儲和歸檔密鑰的設(shè)備宜進(jìn)行()

題型:單項(xiàng)選擇題

某公司在討論如何確認(rèn)已有的安全措施,對于確認(rèn)已有安全措施,下列選項(xiàng)中描述不正確的是()

題型:單項(xiàng)選擇題

信息安全風(fēng)險(xiǎn)管理是基于()的信息安全管理,也就是始終以()為主線進(jìn)行信息安全的管理。應(yīng)根據(jù)實(shí)際()的不同來理解信息安全風(fēng)險(xiǎn)管理的側(cè)重點(diǎn),即()選擇的范圍和對象重點(diǎn)應(yīng)有所不同。

題型:單項(xiàng)選擇題

小明對即時(shí)通訊軟件有一定的了解,他知道盡管即時(shí)通訊應(yīng)用能夠幫助我們通過互聯(lián)網(wǎng)進(jìn)行交流,但如果不采取恰當(dāng)?shù)姆雷o(hù)措施,即時(shí)通訊可能被攻擊者利用給個(gè)人和組織機(jī)構(gòu)帶來新的安全風(fēng)險(xiǎn),對如何安全使用即時(shí)通訊,小明列出如下四項(xiàng)措施,其中錯(cuò)誤的是()

題型:單項(xiàng)選擇題

在規(guī)定的時(shí)間間隔或重大變化發(fā)生時(shí),組織的()和實(shí)施方法(如信息安全的控制目標(biāo)、控制措施、方針、過程和規(guī)程)應(yīng)()。獨(dú)立評審宜由管理者啟動(dòng),由獨(dú)立于被評審范圍的人員執(zhí)行,例如內(nèi)部審核部門、獨(dú)立的管理人員或?qū)iT進(jìn)行這種評審的第三方組織。從事這些評審的人員宜具備適當(dāng)?shù)模ǎ?。管理人員宜對自己職責(zé)圍范內(nèi)的信息處理是否符合合適的安全策略、標(biāo)準(zhǔn)和任何其他安全要求進(jìn)行()。為了日常評審的效率,可以考慮使用自動(dòng)測量和()。評審結(jié)果和管理人員采取的糾正措施宜被記錄,且這些記錄宜予以維護(hù)。

題型:單項(xiàng)選擇題

當(dāng)使用移動(dòng)設(shè)備時(shí),應(yīng)特別注意確保()不外泄。移動(dòng)設(shè)備方針應(yīng)考慮與非保護(hù)環(huán)境移動(dòng)設(shè)備同時(shí)工作時(shí)的風(fēng)險(xiǎn)。當(dāng)在公共場所、會(huì)議室和其他不受保護(hù)的區(qū)域使用移動(dòng)計(jì)算設(shè)施時(shí),要加以小心。應(yīng)采取保護(hù)措施以避免通過這些設(shè)備存儲和處理的信息未授權(quán)的訪問或泄露,如使用()、強(qiáng)制使用密鑰身份驗(yàn)證信息。要對移動(dòng)計(jì)算設(shè)施進(jìn)行物理保護(hù),以防被偷竊,例如,特別是遺留在汽車和其他形式的交通工具上、旅館房間、會(huì)議中心和會(huì)議室。要為移動(dòng)計(jì)算設(shè)施的被竊或丟失等情況建立一個(gè)符合法律,保險(xiǎn)和組織的其他安全要求的(),攜帶重要、敏感或關(guān)鍵業(yè)務(wù)信息的設(shè)備不宜無人值守,若有可能要以物理的力式鎖起來,或使用()來僅護(hù)設(shè)備。對千使用移動(dòng)計(jì)算設(shè)施的人員要安排培訓(xùn),以提高他們對這種工作方式導(dǎo)致的附加風(fēng)險(xiǎn)的意識,并且要實(shí)施控制措施。

題型:單項(xiàng)選擇題

對操作系統(tǒng)軟件安裝方面應(yīng)建立安裝(),運(yùn)行系統(tǒng)要安裝經(jīng)過批準(zhǔn)的可執(zhí)行代碼,不安裝開發(fā)代碼和(),應(yīng)用和操作系統(tǒng)軟件要在大范圍的、成功的測試之后才能實(shí)施。而且要僅由受過培訓(xùn)的管理員,根據(jù)合適的(),進(jìn)行運(yùn)行軟件、應(yīng)用和程序庫的更新;必要時(shí)在管理者批準(zhǔn)情況下,僅為了支持目的才授予供應(yīng)商物理或邏輯訪問權(quán),并且要監(jiān)督供應(yīng)商的活動(dòng)。對于用戶能安裝何種類型的軟件,組織宜定義并強(qiáng)制執(zhí)行嚴(yán)格的方針,宜使用()。不受控制的計(jì)算機(jī)設(shè)備上的軟件安裝可能導(dǎo)致脆弱性。進(jìn)行導(dǎo)致信息泄露;整體性損失或其他信息安全事件或違反()

題型:單項(xiàng)選擇題

某貿(mào)易公司的OA系統(tǒng)由于存在系統(tǒng)漏洞,被攻擊者上傳了木馬病毒并刪除了系統(tǒng)中的數(shù)據(jù),這屬于()

題型:單項(xiàng)選擇題