问题:
[单选] 以下有关访问控制的描述不正确的是()
口令是最常见的验证身份的措施,也是重要的信息资产,应妥善保护和管理。系统管理员在给用户分配访问权限时,应该遵循“最小特权原则”,即分配给员工的访问权限只需满足其工作需要的权限,工作之外的权限一律不能分配。单点登录系统(一次登录/验证,即可访问多个系统)最大的优势是提升了便利性,但是又面临着“把所有鸡蛋放在一个篮子”的风险;。双因子认证(又称强认证)就是一个系统需要两道密码才能进入。
问题:
[单选] 有关信息系统的设计、开发、实施、运行和维护过程中的安全问题,以下描述错误的是()
信息系统的开发设计,应该越早考虑系统的安全需求越好。信息系统的设计、开发、实施、运行和维护过程中的安全问题,不仅仅要考虑提供一个安全的开发环境,同时还要考虑开发出安全的系统。信息系统在加密技术的应用方面,其关键是选择密码算法,而不是密钥的管理。运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险。
问题:
[单选] 有关信息安全事件的描述不正确的是()
信息安全事件的处理应该分类、分级。信息安全事件的数量可以反映企业的信息安全管控水平。某个时期内企业的信息安全事件的数量为零,这意味着企业面临的信息安全风险很小。信息安全事件处理流程中的一个重要环节是对事件发生的根源的追溯,以吸取教训、总结经验,防止类似事情再次发生。
问题:
[单选] 以下有关信息安全方面的业务连续性管理的描述,不正确的是()
信息安全方面的业务连续性管理就是要保障企业关键业务在遭受重大灾难/破坏时,能够及时恢复,保障企业业务持续运营。企业在业务连续性建设项目一个重要任务就是识别企业关键的、核心业务。业务连续性计划文档要随着业务的外部环境的变化,及时修订连续性计划文档。信息安全方面的业务连续性管理只与IT部门相关,与其他业务部门人员无须参入。
问题:
[单选] 企业信息安全事件的恢复过程中,以下哪个是最关键的?()
数据。应用系统。通信链路。硬件/软件。
问题:
[单选] 企业ISMS(信息安全管理体系)建设的原则不包括以下哪个()
管理层足够重视。需要全员参与。不必遵循过程的方法。需要持续改进。
问题:
[单选] 对于在ISMS内审中所发现的问题,在审核之后应该实施必要的改进措施并进行跟踪和评价,以下描述不正确的是?()
改进措施包括纠正和预防措施。改进措施可由受审单位提出并实施。不可以对体系文件进行更新或修改。对改进措施的评价应该包括措施的有效性的分析。
问题:
[单选] ISMS的审核的层次不包括以下哪个?()
符合性审核。有效性审核。正确性审核。文件审核。
问题:
[单选] 以下哪个不可以作为ISMS管理评审的输入()
ISMS审计和评审的结果。来自利益伙伴的反馈。某个信息安全项目的技术方案。预防和纠正措施的状态。
问题:
[单选] 有关认证和认可的描述,以下不正确的是()
认证就是第三方依据程序对产品、过程、服务符合规定要求给予书面保证(合格证书)。根据对象的不同,认证通常分为产品认证和体系认证。认可是由某权威机构依据程序对某团体或个人具有从事特定任务的能力给予的正式承认。企业通过ISO27001认证则说明企业符合ISO27001和ISO27002标准的要求。
