信息安全体系内审员培训考试题及答案
1、国双的信息安全方针是( )? [单选题]
A、信息安全、人人有责、积极预防、控制风险(正确答案) B、积极预防、控制风险、信息安全、人人有责 C、防控信息资产安全隐患,确保公司信息资产安全
答案解析:信息安全是每位国双人义不容辞的责任,积极预防以便将信息安全风险发生的可能性降至最低范围
2、下列哪种情况,对于信息的保护是安全的 [单选题] A、HR部门收到外部投递的简历,筛选后将简历发给用人部门
B、某员工打印了两份招标文件,发现其中一份没有单面打印,便丢弃到废弃纸篓内
C、会议室用完后,员工擦除了写到白板上的技术方案(正确答案)
答案解析:A选项不符合标准条款A18.1.4隐私和个人可识别信息保护,HR部门应将简历做脱敏处理后传给用人部门;B选项不符合标准中A8.2.3资产的处理,招标文件属于敏感信息,当废弃时应使用碎纸机
3、管理者代表应由谁指定专人担当? [单选题] A、法务部 B、企业决策层 C、最高管理者(正确答案)
答案解析:最高管理者应在企业最高管理层中指定专人作为管理者代表
4、每年要对公司资产做一轮风险评估,以确定风险,做到对风险可控,整个评估顺序 [单选题]
A、识别信息资产-识别信息安全风险-风险处置(正确答案)
B、识别信息资产-风险处置-识别信息安全风险
5、公司的信息资产按照保密等级,通常可分为 [单选题] A、对内公开、对外公开、保密,三个等级(正确答案) B、绝密、机密、秘密,三个等级 C、对外公开、秘密、绝密,三个等级
6、针对清空桌面策略,下列说法错误的是 [单选题] A、会议结束后,应将会议室白板或玻璃墙面的信息擦除 B、员工办公桌面,应做到敏感信息的资料存放到文件柜并上锁 C、电脑桌面建有文件夹“投标文件”,点击进去存有若干个标书(正确答案) D、电脑的回收站每周清理一次,不应长期存放大量文件
答案解析:标准条款A11.2.9清理桌面和屏幕策略包括电脑、办公工位及任何设施的桌面(会议室白板、打印机、传真机等)
7、公司在制定信息安全体系框架时,下面哪一项是首要考虑和制定的 [单选题] A、操作规程 B、安全标准 C、安全策略(正确答案)
答案解析:条款A5.5.1信息安全策略为组织信息安全提供管理指导和支持,并应发布、传达给所有员工和外部相关方
8、我们经常从网站上下载文件、软件,为了确保系统安全,以下哪项处理措施正确 [单选题] A、直接打开、使用
B、先查杀病毒,再使用(正确答案) C、习惯于下载完成自动安装
答案解析:正常情况,下载完成后应先进行病毒扫描,确保干净后再使用
9、软件供应商或制造商可以在他们自己的产品中或是客户的计算机系统上安装一个“后门”程序。以下哪一项是这种情况面临的最主要风险 [单选题] A、软件中止和黑客入侵(正确答案) B、远程监控和远程维护 C、软件中止和远程监控
答案解析:“后门程序”一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。通常会在软件正式发布前,删除后门程序,否则容易被黑客当成漏洞进行攻击
10、国双某位员工收到了一封可疑的电子邮件,邮件冒充祁总发出,上述属于何种攻击手段 [单选题] A、缓冲区溢出攻击 B、钓鱼攻击(正确答案) C、暗门攻击
答案解析:钓鱼邮件通常会冒充企业高管、机构人员等身份发出,其目的是骗取公司内部机密信息。
11、下列情况哪些是对公司经营管理影响为“安全事故”级别的网络安全事件 [单选题]
A、发生未到达“预警”的一般性安全事件
B、出现新的系统漏洞,尚未发现利用的方法或利用迹象
C、数据被破坏,无法恢复或者恢复时间过长,严重影响业务活动(正确答案) 答案解析:安全事件按形态可分为“一般性事件”、“严重安全事件”、“安全事故”。A和B属于一般性事件
12、预防信息篡改的主要方法不包括以下哪一种 [单选题]
A、使用VPN技术(正确答案) B、明文加密 C、数字签名
答案解析:防范信息篡改主要使用:数据加密技术、数字签名、数据摘要,最好利用网络安全智能防御技术;而VPN(虚拟专用网)则通过一个公用网络建立一个临时的、安全的连接,是一条穿过混乱公用网络的安全、稳定的通道,不能起到预防信息的篡改
13、日常办公使用计算机时经常要设置口令,以下最安全的口令是 [单选题] A、#.kpW43Z(正确答案) B、abcd1479 C、我的生日
答案解析:A10.1.1中基于风险评估,宜确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量,强度越大,安全性越高
14、多层的楼房中,最适合做数据中心的位置是 [单选题] A、一层 B、地下室 C、顶层
D、除以上外的任何楼层(正确答案)
答案解析:机房集中放置交换机、服务器等IT设备,通过设计在楼层的中间位置,综合布线成本相对较低。地下室由于地势原因,管道较多,也有积水排水困难等风险
15、对于位于北京总部的国双大厦,以下关于门禁卡的说法正确的是 [单选题] A、上、下班统一刷卡进出公司 B、东、西两侧闸机均可刷卡进出 C、西侧闸机中间是访客专用通道
D、外来访客由公司接待人员在一层前台领取访客卡或临时门禁卡进出公司(正确答案)
答案解析:根据公司2019年1月7日发布的邮件,要求员工采用人脸识别西进东出、东侧闸机中间是访客专用通道,同时只有访客卡和临时门禁卡可以进出
16、机房作为重要的信息安全场所,应用于机房的灭火器应选择 [单选题] A、干粉灭火器
B、二氧化氮灭火器(正确答案) C、泡沫灭火器
答案解析:干粉灭火器扑灭一般可燃固体火灾,通常放置到办公场所内;二氧化氮灭火器适用于扑救易燃液体或带电设备的火灾,包括机房、实验室、配电室等环境要求比较高的场所;泡沫灭火器适于用扑救木竹类、针织物、纸张及油类物质,广泛应用于油田、油库、工厂、商场等场所
17、公司应明确员工的雇佣条件和考察评价的方法与程序,减少因雇佣不当而产生的安全风险。人员考察的内容不包括 [单选题] A、身份考验、来自组织和个人的品格鉴定 B、家庭背景情况调查(正确答案) C、学历和履历的真实性和完整性 D、学术及专业资格
答案解析:标准条款A7.1.1审查要求“对所有任用候选者的背景进行验证核查,与业务要求、访问信息的等级和察觉的风险相适宜”,背调中不包括家庭背景调查
18、为了保护企业的知识产权和其它资产,当终止与员工的聘用关系时,下面哪一项是最好的方法 [单选题]
A、进行离职谈话,禁止员工账号,更改密码,必要时应让员工单独签署离职保密协议或竞业协议(正确答案)
B、进行离职谈话,禁止员工账号,更改密码 C、列出员工在解聘前需要注意的所有责任
答案解析:标准条款A7.3.1任用终止或变更的责任要求“应确定任用终止或变更后仍有效的信息安全责任及其职责,传达至员工或合同方并执行
19、关于笔记本电脑的日常管理,以下哪个说法不正确 [单选题]
A、公司统一配发电脑,正常情况下禁止员工在公司使用私人笔记本电脑办公 B、某些员工将公司配发的笔记本闲置,使用私人笔记本办公,公司管理部门并不知晓(正确答案)
C、公司每年进行资产盘点,以确保配发的笔记本电脑正常使用
D、除公司明令禁装的360系列软件外,游戏类、抄股类软件原则上禁止安装 答案解析:公司2018年10月新颁布的《电脑管理制度》,明确禁止员工使用私人笔记本办公。如因特殊情况需要报备到资产主管部门
20、公司对于笔记本电脑报废或变更使用人之前的作法,下面哪个说法正确 [单选题]
A、笔记本电脑报废前不需要做任何处理,直接交给电脑回收公司 B、笔记本电脑变更使用人时,先完成划拨再进行数据清空
C、人员离职交还笔记本电脑后,由IT人员负责清空数据后再入库(正确答案) 答案解析:标准条款A11.2.7设备的安全处置或再利用要求“包含储存介质的设备所有部分应进行核查,确保在处置或再利用前,任何敏感信息和注册软件已被删除或安全的重写”
