CISP信息安全管理习题

1.根据相关标准，信息安全风险管理可以分为背景建立、风险评估，风险处理，批准监督、监控审查和沟通咨询等阶段。模拟该流程。文档《风险分析报告》应属于哪个阶段的输出成果（）。

A 风险评估

B 风险处理

C 批准监督

D 监控审查

2.

某单位在实施信息安全风险评估后，形成了若干文档，下面（）中的文档不应属于风险评估“准备”阶段输出的文档。

A 《风险评估工作计划》，主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色进度安排等内容

B 《风险评估方法和工具列表》，主要包括拟用的风险评估方法和测试评估工具等内容

C 《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安全措施等内容

D 《风险评估准则要求》，主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等内容

3.规范的实施流程和文档管理，是信息安全风险评估结果取得成果的重要基础，按照规范的风险评估实施流程，下面哪个文档应当是风险要素识别阶段的输出成果（）

A 《风险评估方案》

B 《重要保护的资产清单》

C 《风险计算报告》

D 《风险程度等级列表》

4.定量风险分析是从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，准确度量风险的可能性和损失量，小王采用该方法来为单位机房计算火灾的风险大小，假设单位机房的总价值为200万元人民币，暴露系数（ErpomireFactor,EF）是x，年度发生率（AnnuaIixed Rato of Occurrence,ARO）为0.1，而小王计算的年度预期损失（AnnuaIixed Loss Rrpectancy,ALE）值为5万元人民币。由此x值应该是（）

5.不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织机构应当根据各自的实际情况，选择适当的风险评估方法，下面的描述中，错误的是（）

A 定量风险分析是用从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，以度量风险的可能性和损失量

B 定量风险分析相比定性风险分析能得到准确的数值，所以在实际工作中应使用定量风险分析，而不应选择定性风险分析

C 定性风险分析过程中，往往需要凭借分析者的经验直接进行，所以分析结果和风险评估团队的素质、经验和知识技能密切相关

D 定性风险分析更具有主观性，而定量风险分析更具客观性

6.某单位在一次信息安全风险管理活动中，风险评估报告提出服务器A的PTP 服务存在高风险的漏洞，随后该单位在风险处理时选择了关闭PTP服务的处理措施，请问该措施属于哪种风险处理方式（）

A 风险降低

B 风险规避

C 风险转移

D 风险接受

7.残余风险是风险管理中的一个重要概念，在信息安全风险管理中，关于残余风险描述错误的是（）

A 残余风险是采取了安全措施后，仍然可能存在的风险，一般来说，是在综合考虑了安全成本与效益后不去控制的风险

B 残余风险应受到密切监理，它会随着时间的推移而发生变化，可能会在将来诱发新的安全事件

C 实施风险处理时，应将残余风险清单告知信息系统所在组织的高管，使其了解残余风险的存在和可能造成的后果

D 信息安全风险处理的主要准则是尽可能降低和控制信息安全风险，以最小的残余风险值作为风险管理效果评估指标

9.某公司正在进行信息安全风险评估，在决定信息资产的分类与分级时，谁负有最终责任？

A:部门经理

B:高级管理层

C:信息资产所有者

D:最终用户

10.以下对信息安全风险管理理解最准确的说法是：

A:了解风险

B:转移风险

C:了解风险并控制风险

D:了解风险并转移风险

11.在信息安全风险管理工作中，识别风险时主要重点考虑的要素应包括：

A:资产及其价值、威胁、脆弱性、现有的和计划的控制措施

B:资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施

C:完整性、可用性、机密性、不可抵赖性

D:以上都不正确

12.以下哪一项不是信息安全风险分析过程中所要完成的工作：

A:识别用户

B:识别脆弱性

C:评估资产价值

D:计算机安全事件发生的可能性

13.王工是某单位系统管理员，他在某次参加了单位组织的风险管理工作时，发现当前案例中共有两个重要资产：资产A1和资产A2；其中资产A1面临两个主要威胁：威胁T1和威胁T2；而资产A2面临一个主要威胁：威胁T3；威胁T1可以利用的资产A1存在的两个脆弱性；脆弱性V1和脆弱性V2：威胁T2可以利用资产A1存在的三个脆弱性，脆弱性V3、脆弱性V4和脆弱性V5;威胁T3可以利用的资产A2存在的两个脆弱性，脆弱性V6和脆弱性V7.根据上述条件，请问：使用相乘法时，应该为资产A1计算几个风险值（）

A 2

B 3

C 5

D 6

14.A:内部计算机处理

B:系统输入输出

C:通讯和网络

D:外部计算机处理

15.《信息安全技术信息安全风险评估规范GB／T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是：

A:规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等。

B:设计阶段的风险评估需要根据规划阶段所明确的系统运行环境.资产重要性，提出安全功能需求。

C:实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发.实施过程进行风险识别，并对系统建成后的安全功能进行验证。

D:运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种全面的风险评估，评估内容包括对真实运行的信息系统、资产、脆弱性等各方面。

16.

以下关于项目的含义，理解错误的是（）

A 项目是为达到特定的目的，使用一定资源，在确定的期间内，为特定发起人而提供特定的产品，服务或成果而进行的一次性努力

B 项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定

C 项目资源指完成项目所需要的人、财、物等

D 项目目标要遵守SWART原则，即项目的目标要求具体（Specific）、可测量（Measurehle）,需相关方的一致同意（Agree.to）、现实（Rcalistic）、有一定的时限（Time-oriented）

17.“CC”标准是测评标准类的重要标准，从该标准的内容来看，下面哪项内容是针对具体的被评测对象，描述了该对象的安全要求及其相关安全功能和安全措施，相当于从厂商角度制定的产品或系统实现方案（）。

A:评估对象（TOE）

B:保护轮廓（PP）

C:安全目标（ST）

D:评估保证级（EAL）

18.

关于信息安全管理体系，国际上有标准《Information technology Security techniques Information security management systems Requirements》

（ISO/IEC 27001：2013），而我国发布了《信息技术安全技术信息安全管理体系要求》（GB/T 22080-2008），请问，这两个标准的关系是（）。

A:IDT（等同采用），此国家标准等同于该国际标准，仅有或没有编辑性修改B:EQV（等效采用），此国家标准等效于该国际标准，技术上只有很小差异C:NEQ（非等效采用）此国家标准不等效于该国际标准

D:没有采用与否的关系，两者之间版本不同，不应直接比较

19.关于标准，下面哪项理解是错误的（）。

A:标准是在一定范围内为了获得最佳秩序，经协商一致制定并由公认机构批准，共同重复使用的一种规范性文件，标准是标准化活动的重要成果

B:国际标准是由国际标准化组织通过并公开发布的标准，同样是强制性标准，当国家标准和国际标准的条款发生冲突时，应以国际标准条款为准

C:行业标准是针对没有国家标准而又需要在全国某个行业范围内统一的技术要求而制定的标准，同样是强制性标准，当行业标准和国家标准的条款发生冲突时，应以国家标准条款为准

D:地方标准由省、自治区、直辖市标准化行政主管部门制定，并报国务院标准化行政主管部门和国务院有关行政主管部门备案，在公布国家标准之后，该地方标准即应废止

20.关于信息安全管理体系的作用，下面理解错误的是（）。

A:对内而言，有助于建立起文档化的信息安全管理规范，实现有“法”可依，有章可循，有据可查

B:对内而言，是一个光花钱不挣钱的事情，需要组织通过其他方面收入来弥补投入

C:对外而言，有助于使各利益相关方对组织充满信心

D:对外而言，能起到规范外包工作流程和要求，帮助界定双方各自信息安全责任21.以下哪些是需要在信息安全策略中进行描述的：

A:组织信息系统安全架构

B:信息安全工作的基本原则

C:组织信息安全技术参数

D:组织信息安全实施手段

22.下列哪些内容应包含在信息系统战略计划中？

A:已规划的硬件采购的规范

B:将来业务目标的分析

C:开发项目的目标日期

D:信息系统不同的年度预算目标

23.

ISO27002中描述的11个信息安全管理的控制领域不包括：

A:信息安全组织

B:资产管理

C:内容安全

D:人力资源安全

24.

SSE-CMM将工程过程区域分为三类，即风险过程、工程过程、和保证过程，下面对于保证过程的说法错误的是：

A:保证是指安全需求得到满足的可信任程度

B:信任程度来自于对安全工程过程结果质量的判断

C:自验证与证实安全的主要手段包括观察、论证、分析和测试

D:PA“建立保证论据”为PA“验证与证实安全”提供了证据支持

25.

根据SSE-CMM信息安全工程过程可以划分为三个阶段，其中_______确立安全解决方案的置信度并且把这样的置信度传递给顾客。

A:保证过程

B:风险过程

C:工程和保证过程

D:安全工程过程

26.

SSE-CMM工程过程区域中的风险过程包含哪些过程区域：

A:评估威胁、评估脆弱性、评估影响

B:评估威胁、评估脆弱性、评估安全风险

C:评估威胁、评估脆弱性、评估影响、评估安全风险

D:评估威胁、评估脆弱性、评估影响、验证和证实安全

27.一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进行规范的定义？

A:2级——计划和跟踪

B:3级——充分定义

C:4级——量化控制

D:5级——持续改进

28.在风险管理准备阶段“建立背景”（对象确立）过程中不应该做的是：

A:分析系统的体系结构

B:分析系统的安全环境

C:制定风险管理计划

D:调查系统的技术特性

29.下面有关能力成熟度模型的说法错误的是:

A:能力成熟度模型可以分为过程能力方案（Continuous）和组织能力方案（Staged）两类

B:使用过程能力方案时，可以灵活选择评估和改进哪个或哪些过程域

C:使用组织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程域

D:SSE-CMM是一种属于组织能力方案（Staged）的针对系统安全工程的能力成熟度模型

30.

下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM)的主要过程:

A:风险过程

B:保证过程

C:工程过程

D:评估过程

31.信息安全管理体系描述不正确的是:

A:是一个组织整体管理体系的组成部分

B:是有范围和边界的

C:是风险评估的手段

D:其基本过程应遵循PDCA循环

32.对戴明环"PDCA"方法的描述不正确的是:

A:“PDCA”的含义是P-计划，D-实施，C-检查，A-改进

B:“PDCA”循环又叫"戴明"环

C:“PDCA"循环是只能用于信息安全管理体系有效进行的工作程序

D:“PDCA”循环是可用于任何一项活动有效进行的工作程序

33.下述选项中对于"风险管理"的描述不正确的是:

A:风险管理是指导和控制一个组织相关风险的协调活动，它通常包括风险评估、风险处置、风险接受和风险沟通。

B:风险管理的目的是了解风险并采取措施处置风险并将风险消除。

C:风险管理是信息安全工作的重要基础，因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中。

D:在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全需求和安全目标。

34.以下关于可信计算说法错误的是：

A:可信的主要目的是要建立起主动防御的信息安全保障体系

B:可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算机的概念

C:可信的整体框架包含终端可信.终端应用可信.操作系统可信.网络互联可信.互联网交易等应用系统可信

D:可信计算平台出现后会取代传统的安全防护体系和方法

35.

风险是需要保护的( )发生损失的可能性，它是( )和( )综合结果。

B:设备，威胁，漏洞

C:资产，威胁，脆弱性

D:以上都不对

36.以下列哪种处置方法属于转移风险？

A:部署综合安全审计系统

B:对网络行为进行实时监控

C:制订完善的制度体系

D:聘用第三方专业公司提供维护外包服务

37.对操作系统打补丁和系统升级是以下哪种风险控制措施?

A:降低风险

B:规避风险

C:转移风险

D:接受风险

38.以下哪一项可认为是具有一定合理性的风险?

A:总风险

B:最小化风险

C:可接受风险

D:残余风险

39.在风险管理工作中“监控审查”的目的，一是:________二是_________。

A:保证风险管理过程的有效性，保证风险管理成本的有效性

B:保证风险管理结果的有效性，保证风险管理成本的有效性

C:保证风险管理过程的有效性，保证风险管理活动的决定得到认可

D:保证风险管理结果的有效性，保证风险管理活动的决定得到认可

40.风险管理四个步骤的正确顺序是:

A:背景建立、风险评估、风险处理、批准监督

B:背景建立、风险评估、审核批准、风险控制

C:风险评估、对象确立、审核批准、风险控制

D:风险评估、风险控制、对象确立、审核批准

41.在风险管理的过程中，"建立背景"(即"对象确立")的过程是哪四个活动?

A:风险管理准备、信息系统调查、信息系统分析、信息安全分析

B:风险管理准备、信息系统分析、信息安全分析、风险政策的制定

C:风险管理准备、风险管理政策的制定、信息系统分析、信息安全分析

D:确定对象、分析对象、审核对象、总结对象

42.

下列对风险分析方法的描述正确的是:

A:定量分析比定性分析方法使用的工具更多

B:定性分析比定量分析方法使用的工具更多

C:同一组织只能使用一种方法进行评估

D:符合组织要求的风险评估方法就是最优方法

43.

在一个有充分控制的信息处理计算中心中，下面哪一项可以由同一个人执行?

A:安全管理和变更管理

B:计算机操作和系统开发

C:系统开发和变更管理

D:系统开发和系统维护

44.以下关于“最小特权”安全管理原则理解正确的是:

A:组织机构内的敏感岗位不能由一个人长期负责

B:对重要的工作进行分解，分配给不同人员完成

C:一个人有且仅有其执行岗位所足够的许可和权限

D:防止员工由一个岗位变动到另一个岗位，累积越来越多的权限

45.以下哪一个是对“岗位轮换”这一人员安全管理原则的正确理解?

A:组织机构内的敏感岗位不能由一个人长期负责

B:对重要的工作进行分解，分配给不同人员完成

C:一个人有且仅有其执行岗位所足够的许可和权限

D:防止员工由一个岗位变动到另一个岗位，累积越来越多的权限

46.在构建一个单位的内部安全管理组织体系的时候，以下哪一项不是必需考虑的内容?

A:高级管理层承诺对安全工作的支持

B:要求雇员们遵从安全策略的指示

C:在第三方协议中强调安全

D:清晰地定义部门的岗位的职责

47.风险管理中使用的控制措施，不包括以下哪种类型？

A:预防性控制措施

B:管理性控制措施

C:检查性控制措施

D:纠正性控制措施

48.风险管理中的控制措施不包括以下哪一方面？

A:行政

B:道德

C:技术

D:管理

49.风险评估不包括以下哪个活动？

A:中断引入风险的活动

B:识别资产

C:识别威胁

D:分析风险

50.在信息安全风险管理工作中，识别风险时主要重点考虑的要素应包括：

A:资产及其价值、威胁、脆弱性、现有的和计划的控制措施

B:资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施

C:完整性、可用性、机密性、不可抵赖性

D:以上都不正确

51.以下哪一项不是信息安全风险分析过程中所要完成的工作：

A:识别用户

B:识别脆弱性

C:评估资产价值

D:计算机安全事件发生的可能性

52.

关于外包的论述不正确的是：

A:企业经营管理中的诸多操作服务都可以外包

B:通过业务外包，企业也把相应的风险承担者转移给了外包商，企业从此不必对外包业务负任何直接或间接的责任

C:虽然业务可以外包，但是对与外包业务的可能的不良后果，企业仍然承担责任D:过多的外包业务可能产生额外的操作风险或其他隐患

53.

以下对PDCA循环解释不正确的是:

A:处理

B:实施

C:检查

D:行动

以下工作哪个不是计算机取证准备阶段的工作

A:获得授权

B:准备工具

C:介质准备

D:保护数据

以下关于ISO/IEC27001标准说法不正确的是：

A:本标准可被内部和外部相关方用于一致性评估，审核的重点就是组织信息安全的现状，对布属的信息安全控制是好的还是坏的做出评判

B:本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS

C:目前国际标准化组织推出的四个管理体系标准：质量管理体系，职业健康安全管理体系、环境管理体系、信息安全管理体系，都采用了相同的方法，即PDCA 模型

D:本标准注重监视和评审，因为监视和评审是持续改进的基础，如果缺乏对执行情况和有效性的测量，改进就成了“无的放矢”

平行模拟法是指

A.开发一个模拟系统，将被审计单位真实数据放入模拟系统中运行，观察其输出是否与被审计单位信息系统相一致

B.在信息系统中建立虚拟实体，然后将有关数据与真实运行数据一起输入信息系统中处理，将虚拟实体的运行结果与预期进行比较

C.将已处理过的真实数据在相同的信息系统或程序副本上再处理一次，将二次结果与以前结果进行比较

D.以上都不对

下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的：

A:设置网络连接时限

B:记录并分析系统错误日志

C:记录并分析用户和管理员操作日志

D:启用时钟同步

下列安全控制措施的分类中，哪个分类是正确的（P-预防性的，D-检测性的以及C-纠正性的控制）：1.网络防火墙2.RAID级别33.银行账单的监督复审4.分配计算机用户标识5.交易日志

A:P，P，C，D，and C

B:D，C，C，D，and D

C:P，C，D，P，and D

D:P，D，P，P，and C

风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程，关于这些过程，以下的说法哪一个是正确的？

A:风险分析准备的内容是识别风险的影响和可能性

B:风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度

C:风险分析的内容是识别风险的影响和可能性

D:风险结果判定的内容是发生系统存在的威胁、脆弱性和控制措施

你来到服务器机房隔壁的一间办公室，发现窗户坏了。由于这不是你的办公室，你要求在这里办公的员工请维修工来把窗户修好。你离开后，没有再过问这扇窗户的事情。这件事的结果对与特定脆弱性相关的威胁真正出现的可能性会有什么影响？

A:如果窗户被修好，威胁真正出现的可能性会增加

B:如果窗户被修好，威胁真正出现的可能性会保持不变

C:如果窗户没有被修好，威胁真正出现的可能性会下降

D:如果窗户没有被修好，威胁真正出现的可能性会增加

计算机应急响应小组的简称是？

A:CERT

B:FIRST

C:SANA

D:CEAT

在金融交易的电子数据交换（EDI）通信过程中，对金额字段计算校验和是为确保

A.完整性

B.实性

C.授权

D.不可否认性

数据输入、处理和输出控制审计属于下列哪一项审计的范畴

A.应用控制审计

B.一般控制审计

C.项目管理审计

D.以上都不对

选择审计流程时，信息安全审计师应运用自己的专业性判断，以确保

A.收集充分的证据

B.所有识别出的重大缺陷在合理的期限内均得以纠正

C.识别出所有严重漏洞

D.将审计成本控制在最低水平

执行计算机取证调查时，对于收集到证据，IS审计师最应关注的是

A.证据的分析

B.证据的评估

C.证据的保存

D.证据的泄露

下列哪种说法针对审计证据可靠性的说法是错误的

A.间接获取的审计证据比直接获取的审计证据更可靠

B. 从被审计单位直接观察测试获取的审计证据比经被审计单位加工处理后提交的审计证据更可靠

C.原件形式的审计证据比复制件形式的审计证据更可靠

D.以上都不对

在以下那种情况下，组织应当对公众和媒体告知其信息系统中发生的信息安全事件？

A 当信息安全事件的负面影响扩展到本组织以外时

B 只要发生了安全事件就应当公告

C 只有公众的生命财产安全受到巨大危害时才公告

D 当信息安全事件平息后

信息安全管理体系（information Securlty Management System. 简称ISMS）要求建立过程体系，该过程体系是在如下（）基础上构建的。

A:IATF（Information Assurance Technical Framework）

B:P2DR(Policy，Protection，Detection，Response)

C:PDCERF（Preparation，Detection，Containment，Eradication，Recovery，Follow-up）

D:PDCA（Plan，Do，Check，Act）

关于风险要素识别阶段工作内容叙述错误的是：

A:资产识别是指对需要保护的资产和系统等进行识别和分类

B:威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性

C:脆弱性识别以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估

D:确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系统平台、网络平台和应用平台

企业资源规划中的总帐设置功能允许设定会计期间。对此功能的访问被授予财务、仓库和订单录入部门的用户。这种广泛的访问最有可能是因为：

A: 经常性地修改会计期间的需要

B: 需要向关闭的会计期间过入分录

C: 缺乏适当的职责分工政策和步骤

D: 需要创建和修改科目表及其分配

许多组织强制要求雇员休假一周或更长时间，以便：

A: 确保雇员维持生产质量，从而生产力更高

B: 减少雇员从事不当或非法行为的机会

C: 为其他雇员提供交叉培训

D: 消除当某个雇员一次休假一天造成的潜在的混乱

文档体系建设是信息安全管理体系(ISMS)建设的直接体现，下列说法不正确的是：

A:组织内的信息安全方针文件.信息安全规章制度文件.信息安全相关操作规范文件等文档是组织的工作标准，也是ISMS审核的依据

B:组织内的业务系统日志文件.风险评估报告等文档是对上一级文件的执行和记录，对这些记录不需要保护和控制

C:组织在每份文件的首页，加上文件修订跟踪表，以显示每一版本的版本号.发布日期.编写人.审批人.主要修订等内容

D:层次化的文档是ISMS建设的直接体现，文档体系应当依据风险评估的结果建立

信息安全风险的三要素是指：

A:资产、威胁、脆弱性

B:资产、使命、威胁

C:使命、威胁、脆弱性

D:威胁、脆弱性、使命

下列哪个领域经常面临微型计算机迅速发展带来的风险？1、备份和恢复。2、应用程序开发成本。3、记录的批量更新。4、访问的安全。5、违反版权法。

A:4、2、2

B: 2、3、4

C: 3、4、5

D: 1、4、5

如果已决定买进软件而不是内部自行开发，那么这一决定通常发生于：

A:项目需求定义阶段

B:项目可行性研究阶段

C:项目详细设计阶段

D:项目编程阶段

某银行信息系统为了满足业务发展的需要准备进行升级改造，以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素?

A:信息系统安全必须遵循的相关法律法规，国家以及金融行业安全标准

B:信息系统所承载该银行业务正常运行的安全需求

C:消除或降低该银行信息系统面临的所有安全风险

D:该银行整体安全策略

某集团公司根据业务需要，在各地分支机构部署前置机，为了保证安全，集团总部要求前置机开放日志共享，由总部服务器采集进行集中分析，在运行过程中发现攻击者也可通过共享从前置机中提取日志，从而导致部分敏感信息泄露，根据降低攻击面的原则，应采取以下哪项处理措施?

A:由于共享导致了安全问题，应直接关闭日志共享，禁止总部提取日志进行分析

B:为配合总部的安全策略，会带来一定的安全问题，但不影响系统使用，因此接受此风险

C:日志的存在就是安全风险，最好的办法就是取消日志，通过设置让前置机不记录日志

D:只允许特定的IP地址从前置机提取日志，对日志共享设置访问密码且限定访问的时间

在契约性协议包含源代码第三方保存契约(escrow)的目的是：

A:保证在供应商不存在时源代码仍然有效

B:允许定制软件以满足特定的业务需求

C:审核源代码以保证控制的充分性

D:保证供应商已遵从法律要求

为了保护企业的知识产权和其它资产，当终止与员工的聘用关系时下面哪一项是最好的方法？

A:进行离职谈话，让员工签署保密协议，禁止员工账号，更改密码

B:进行离职谈话，禁止员工账号，更改密码

C:让员工签署跨边界协议

D:列出员工在解聘前需要注意的所有责任

下面哪种方法产生的密码是最难记忆的？

A:将用户的生日倒转或是重排

B:将用户的年薪倒转或是重排

C:将用户配偶的名字倒转或是重排

D:用户随机给出的字母

在信息安全策略体系中，下面哪一项属于计算机或信息安全的强制性规则？A:标准（Standard）

B:安全策略（Security policy）

C:方针（Guideline）

D:流程（Procedure）

软件的供应商或是制造商可以在他们自己的产品中或是客户的计算机系统上安装一个“后门”程序。以下哪一项是这种情况面临的最主要风险？

A:软件中止和黑客入侵

B:远程监控和远程维护

C:软件中止和远程监控

D:远程维护和黑客入侵

以下哪一项计算机安全程序的组成部分是其它组成部分的基础？

A:制度和措施

B:漏洞分析

C:意外事故处理计划

D:采购计划

ISMS所要求的文件应予以保护和控制，应编制形成文件控制程序，下列哪项不是该程序所规定的管理措施？

A:确保文件的更改和现行修订状态得到标识

B:防止作废文件的非预期使用

C:确保文件可以为需要者所获得，但防止需要者对文件进行转移、存储和销毁D:确保在使用处可获得适用文件的最新版本

以下对于信息安全事件理解错误的是：

A:信息安全事件，是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件

B:对信息安全事件进行有效管理和响应，最小化事件所造成的损失和负面影响，是组织信息安全战略的一部分

C:应急响应是信息安全事件管理的重要内容

D:通过部署信息安全策略并配合部署防护措施，能够对信息及信息系统提供保护，杜绝信息安全事件的发生

小王是某大学计算科学与技术专业的毕业生，大四上学期开始找工作，期望谋求一份技术管理的职位，一次面试中，某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立”的基本概念与认识，小王的主要观点包括：(1)背景建立的目的是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求，完成信息安全风验管理项目的规划和准备；(2)背景建立根据组织机构相关的行业经验执行，雄厚的经验有助于达到事半功倍的效果；(3)背景建立包括：风险管理准备.信息系统调查.信息系统分析和信息安全分析；(4)背景建立的阶段性成果包括：风险管理计划书，信息系统的描述报告，信息系统的分析报告，信息系统的安全要求报告。请问小王的所述论点中错误的是哪项：

A:第一个观点，背景建立的目的只是为了明确信息安全风险管理的范围和对象B:第二个观点，背景建立的依据是国家.地区域行业的相关政策、法律、法规和标准

C:第三个观点，背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字

D:第四个观点，背景建立的阶段性成果中不包括有风险管理计划书

关于信息安全管理，说法错误的是：

A:信息安全管理是管理者为实现信息安全目标（信息资产的CIA等特性，以及业务运作的持续）而进行的计划、组织、指挥和控制的一系列活动。

B:信息安全管理是一个多层面.多因素的过程，依赖于建立信息安全组织、明确信息安全角色及职责、制订信息安全方针策略标准规范、建立有效的监督审计机制等多方面的非技术性的努力。

C:实现信息安全，技术和产品是基础，管理是关键。

D:信息安全是人员、技术、操作三者紧密合作的系统工程，是一个静态过程。

职责分离的主要目的是：

A:不允许任何一个人可以从头到尾控制某一工作的整个流程

B:不同部门的雇员不可以在一起工作

C:对于所有的资源都必须有保护措施

D:对于所有的设备都必须有操作控制措施

以下哪一个是对人员安全管理中“授权蔓延”这概念的正确理解？

A:往来人员在进行系统维护时没有受到足够的监控

B:一个人拥有了不是其完成工作所必要的权限

C:敏感岗位和重要操作长期有一个人独自负责

D:员工有一个岗位变动到另一个岗位，累积越来越多的权限

信息系统的业务特性应该从哪里获取?

A:机构的使命

B:机构的战略背景和战略目标

C:机构的业务内容和业务流程

D:机构的组织结构和管理制度

注重安全管理体系建设，人员意识的培训和教育，是信息安全发展哪一个阶段的特点？

A:通信安全

B:计算机安全

C:信息安全

D:信息安全保障

能够最佳地提供本地服务器上的将处理的工资数据的访问控制的是：

A:将每次访问记入个人信息（即：作日志）

B:对敏感的交易事务使用单独的密码/口令

C:使用软件来约束授权用户的访问

D:限制只有营业时间内才允许系统访问

以下哪一项在防止数据介质被滥用时是不推荐使用的方法：

A:禁用主机的CD驱动、USB接口等I/O设备

B:对不再使用的硬盘进行严格的数据清除

C:将不再使用的纸质文件用碎纸机粉碎

D:用快速格式化删除存储介质中的保密文件

以下关于CSIRT的说法错误的是：

A:CSIRT是“计算机安全应急响应小组”的英文缩写

B:CSIRT应当包括法律、技术和其他专家，以及刑侦管理人员

C:CSIRT应当是一个常设机构，其成员应当专职从事应急响应，以便最快速地做出反应

D:应急响应工作本质上是被动的，因此CSIRT应当在事件发生前做好充分准备，尽可能争取主动

随着（）的增加，信息系统的安全风险降低。

A:威胁

B:脆弱性

C:资产的重要度

D:控制措施

以下哪一项措施不是用来支持“最小权限原则”的：

A:严格限制系统管理员的数量

B:管理员应使用普通用户身份进行常规操作，如阅读邮件

C:将系统用户的角色分为管理员、审计员和普通用户

D:只允许系统软件和应用系统需要使用的数据通过防火墙

网络与信息安全管理措施

网络与信息安全管理措施 网络与信息安全不仅关系到学校的开展，还将影响到国家的安全、社会的稳定。我校将认真的开展网络与信息安全工作，通过检查进一步明确安全责任，建立健全的管理制度，落实技术防范措施，对有毒有害的信息进行过滤、确保网络与信息安全。 一、网站安全保障措施 1、主控室设置经公安部认证的防火墙，做好安全策略，拒绝外来的恶意攻击，保障网络正常运行。 2、对计算机病毒、有害电子邮件进行有效的防范措施，防止有害信息对网络系统的干扰和破坏。 3、做好日志的记录。内容包括IP地址，对应的IP地址情况等。 4、关闭网络系统中暂不使用的服务功能，及相关端口，并及时用补丁修复系统漏洞，定期查杀病毒。 5、服务器平时处于锁定状态，并保管好登录密码;后台管理界面设置超级用户名及密码，并绑定IP，以防他人登入。 6、学校机房按照机房标准建设，内有必备的防静电地板、，定期进行电力、防火、防潮、检查。 二、信息安全保密管理制度 1、信息监控制度： （1）、网络信息必须标明来源;(即有关转载信息都必须

标明转载的地址) （2）、相关责任人定期或不定期检查网络系统安全，实施有效监控，做好安全监督工作； （3）、不得利用国际互联网制作、复制、查阅和传播一系列以下信息，如有违反规定有关部门将按规定对其进行处理； A、反对宪法所确定的基本原则的； B、危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的； C、损害国家荣誉和利益的； D、煽动民族仇恨、民族歧视、破坏民族团结的； E、破坏国家宗教政策，宣扬邪教和封建迷信的； F、散布谣言，扰乱社会秩序，破坏社会稳定的； G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的； H、侮辱或者诽谤他人，侵害他人合法权益的； 含有法律、行政法规禁止的其他内容的。 2、组织结构： 设置专门的网络安全管理员，并由其上级进行监督、对学校网络系统管理实行责任制，对网络系统的管理人员，以及领导明确各级人员的责任，管理网络系统的正常运行，严格抓管理工作，实行谁管理谁负责。

信息安全管理试题集

信息安全管理试题集

信息安全管理－试题集 判断题： 1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×） 注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×） 注释：应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×） 注释：共3种计算机犯罪，但只有2种新的犯罪类型。 单选题： 1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D.

安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性，下列（ C ）不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的（ A ）安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是（ C ）的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注：美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是（ D ）。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是（ B ）。 A. ISO 15408 B. ISO 17799/ISO 27001(英） C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国（A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是（ A ）。

信息安全复习题(含答案)

信息安全复习题 一、多选题 1. 在互联网上的计算机病毒呈现出的特点是____。ABCD A 与因特网更加紧密地结合，利用一切可以利用的方式进行传播 B 所有的病毒都具有混合型特征，破坏性大大增强 C 因为其扩散极快，不再追求隐蔽性，而更加注重欺骗性 D 利用系统漏洞传播病毒 E 利用软件复制传播病毒 2. 全国人民代表大会常务委员会《关于维护互联网安全的决定》规定，利用互联网实施违法行为，尚不构成犯罪的，对直接负责的主管人员和其他直接责任人员，依法给予____或者____。AB A 行政处分 B 纪律处分 C 民事处分 D 刑事处分 3. 《计算机信息网络国际联网安全保护管理办法》规定，任何单位和个人不得从事下列危害计算机信息网络安全的活动____。ABCD A 故意制作、传播计算机病毒等破坏性程序的 B 未经允许，对计算机信息网络功能进行删除、修改或者增加的 C 未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的 D 未经允许，进入计算机信息网络或者使用计算机信息网络资源的 4. 用于实时的入侵检测信息分析的技术手段有____。AD A 模式匹配 B 完整性分析 C 可靠性分析 D 统计分析 E 可用性分析 214. 《互联网上网服务营业场所管理条例》规定，____负责互联网上网服务营业场所经营许可审批和服务质量监督。ABC A 省电信管理机构 B 自治区电信管理机构 C 直辖市电信管理机构

D 自治县电信管理机构 E 省信息安全管理机构 5. 《互联网信息服务管理办法》规定，互联网信息服务提供者不得制作、复制、发布、传播的信息内容有。ADE A 损害国家荣誉和利益的信息 B 个人通信地址 C 个人文学作品 D 散布淫秽、色情信息 E 侮辱或者诽谤他人，侵害他人合法权益的信息 6. 《计算机信息系统安全保护条例》规定，____由公安机关处以警告或者停机整顿。ABCDE A 违反计算机信息系统安全等级保护制度，危害计算机信息系统安全的 B 违反计算机信息系统国际联网备案制度的 C 有危害计算机信息系统安全的其他行为的 D 不按照规定时间报告计算机信息系统中发生的案件的 E 接到公安机关要求改进安全状况的通知后，在限期内拒不改进的 7. 与计算机有关的违法案件，要____，以界定是属于行政违法案件，还是刑事违法案件。ABD A 根据违法行为的情节和所造成的后果进行界定 B 根据违法行为的类别进行界定 C 根据违法行为人的身份进行界定 D 根据违法行为所违反的法律规范来界定 8. 对于违法行为的行政处罚具有的特点是____。ABCD A 行政处罚的实施主体是公安机关 B 行政处罚的对象是行政违法的公民、法人或其他组织 C 必须有确定的行政违法行为才能进行行政处罚 D 行政处罚具有行政强制性 9.___是行政处罚的主要类别。ABCDE A 人身自由罚 B 声誉罚 C 财产罚 D 资格罚 E 责令作为与不作为罚 10. 互联网服务提供者和联网使用单位应当落实的互联网安全保护技术措施包括____ ABCD A 防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施 B 重要数据库和系统主要设备的冗灾备份措施

2018最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)

最新ISO27001信息安全管理体系全套文件（手册+程序文件+作业规范）

信息安全管理体系程序文件目录

信息安全管理体系作业文件目录

1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类： 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事故： a) 企业秘密、机密及国家秘密泄露或丢失； b) 服务器停运4 小时以上； c) 造成信息资产损失的火灾、洪水、雷击等灾害； d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事故： a) 企业机密及国家秘密泄露； b) 服务器停运8 小时以上； c) 造成机房设备毁灭的火灾、洪水、雷击等灾害； d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括： a) 未产生恶劣影响的服务、设备或者实施的遗失； b) 未产生事故的系统故障或超载； c) 未产生不良结果的人为误操作； d) 未产生恶劣影响的物理进入的违规

信息安全管理练习题

信息安全管理练习题-2014 判断题： 1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×） 注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×） 注释：应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×） 注释：共3种计算机犯罪，但只有2种新的犯罪类型。 单选题： 1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性，下列（C）不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的（A）安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是（C）的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注：美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是（D）。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是（B）。 A. ISO 15408 B. ISO 17799/ISO 27001(英） C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国（A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部 令 8. 在PDR安全模型中最核心的组件是（A）。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施

【精品推荐】ISO27001信息安全管理体系全套文件

目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7

6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15

参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性

网络及信息安全管理组织机构设置及工作职责.docx

网络与信息安全管理组织机构设置及工作职责一、网络与信息安全责任人： 1. 网络与信息安全第一责任人：企业 法定代表人姓名；工作职责为：对机构内的信息安全工作负有领 导责任；联系方式：电话及邮箱。（联系电话应为本人常用、真实 有效的手机号码，可抽测。） 2.网络与信息安全责任人：分管信息安全工作的负责人姓名；工作职责为：对企业内信息安全工作负有直接领导责任。联系方式：电话及邮箱。（联系电话应为本人常用、真实有效的手机号码，可抽测。）（上述两项请全部填写）二、网络与信息安全管理组织机 构设置及工作职责 1.企业需设置或指定网络与信息安全主管部门（如信息安全领导小组、信息安全工作组、信息安全部等），负责本企业网络与信息安全 相关工作；企业网络与信息安全管理组织架构：包括主管部门、相关 配合部门； 2.网络与信息安全管理机构职责（包括但不限于下述内容，要对公 司实际制度建立和管理情况进行简述）：（ 1）建立健全网络与信息 安全规章制度，以及各项规章制度执行情况监督检查；（ 2）开展网 络与信息安全风险监测预警和评估控制、隐患排查整改工作；（ 3） 建立健全网络与信息安全事件应急处置和上报制度，以及组 织开展应急演练；（ 4）建立健全从业人员网络与信息安全教育培 训以及考核制度；（ 5）违法有害信息监测处置制度和技术手段建 设；（ 6）建立健全用户信息保护制度。 3.对于申请 IDC/ISP( 开展网站接入业务的）企业，在许可证申请 完成后，开展业务前，企业的 IDC/ISP 信息安全管理系统需与我局IDC/ISP 信息安全管理系统进行对接，并且按照《工业和信息化部办 公厅关于印发《互联网信息安全管理系统使用及运行维护管理办法 （试行）》（工信厅网安（2016）135 号）要求，制定本企业 IDC/ISP 信息安全管理系统的运行维护管理办法。 网络与信息安全一、网络与信息安全管理人员配备情况及相应资质请按照下表内容在系统管理人员配备情上填写相关文字信息： 况及相应资质网络与信息安全管理人员配备情况表 责任人 第一责任人( 公司法人 /总经理）姓名身份联系归属工作全职/资质证号方式部门内容兼职情况 （手 机）

网络与信息安全习题集 及答案

《网络与信息安全》综合练习题 一．选择题 1．以下对网络安全管理的描述中，正确的是（）。 A）安全管理不需要对重要网络资源的访问进行监视。 B）安全管理不需要验证用户的访问权限和优先级。 C）安全管理的操作依赖于设备的类型。 D）安全管理的目标是保证重要的信息不被未授权的用户访问。 2．以下有关网络管理功能的描述中，错误的是（）。 A）配置管理是掌握和控制网络的配置信息。 B）故障管理是对网络中的故障进行定位。 C）性能管理是监视和调整工作参数，改善网络性能。 D）安全管理是使网络性能维持在较好水平。 3．有些计算机系统的安全性不高，不对用户进行验证，这类系统的安全级别是（）。 A）D1 B）A1 C）C1 D）C2 4．Windows NT操作系统能够达到的最高安全级别是（）。 A）C1 B）C2 C）D1 D）D2 5．下面操作系统能够达到C2安全级别的是（）。 Ⅰ.Windows 3.x Ⅱ.Apple System 7.x Ⅲ.Windows NT Ⅳ.NetWare3.x A）Ⅰ和Ⅲ B）Ⅱ和Ⅲ C）Ⅱ和Ⅳ D）Ⅲ和Ⅳ 6．计算机系统处理敏感信息需要的最低安全级别是（）。 A）D1 B）C1 C）C2 D）B1 7．计算机系统具有不同的安全级别，其中Windows 98的安全等级是（）。 A）B1 B）C1 C）C2 D）D1 8.计算机系统具有不同的安全等级，其中Windows NT的安全等级是（）。 A）B1 B）C1 C）C2 D）D1 9.网络安全的基本目标是实现信息的机密性、合法性、完整性和_________。 10．网络安全的基本目标是保证信息的机密性、可用性、合法性和________________。11．某种网络安全威胁是通过非法手段取得对数据的使用权，并对数据进行恶意添加和修改。

员工信息安全管理规定练习题

1.在公司办公区域内，如发现未佩戴胸卡或可疑人员进入，公司员工有责任和权利要求其出示胸牌或有效授权证明，如确认其是非授权进入，需立即向公司（）或（）汇报。 1.部门负责人 2.公司保安 3.人力资源部 4.公司行政部和部门信息专员 2.在信息系统使用规定中,明文规定员工不得使用（）的软件 1.未经公司授权 2.已被授权 3.开源 4.试用版 3.公司禁止使用工作计算机扫描网络、进行网络嗅探，什么情况除外？ 1.为了个人电脑安全,搜查同事电脑是否感染病毒 2.该工作属于工作职责范围 3.帮助同事 4.个人具备网管工作能力 4.计算机系统的安全保护是指保障计算机及其相关、配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以( ) 1.保证计算机信息系统各项配套设施的正常运作 2.维护计算机信息系统的安全运行 3.降低计算机损耗，保持正常运营 4.保证环境对信息系统的破坏降到最低 5.操作系统TCP/IP配置为( )，非特殊要求不得私自设立IP地址 1.IT管理部指定 2.个人设定 3.自动获取 4.192.168.0.X 6.网上信息发布,以下哪些行为违反公司信息安全管理规定: 1.在个人博客上发布项目信息 2.在公开论坛上私自代表公司发布信息 3.使用私人笔记本电脑在公司上网参与网络赌博 4.以上说法都不对

7.仅有（）的员工可以使用公司办公设备 1.经过授权 2.未经过授权 3.所有员工 4.行政部员工 8.操作系统计算机名必须与工作计算机资产标签上的编号保持一致。如因（），需要向IT管理部说明，获得IT管理部同意后方可使用特殊计算机名。 1.个人域帐户名 2.特殊要求不能保持一致 3.考勤打卡号 4.个人邮箱帐号 9.对于远程连接和远程访问控制必须为访问控制的账户设定密码，口令长度应遵循以下哪些规则？ 1.口令的长度应不低于4位 2.口令的长度应不低于6位 3.口令应由大小写字母,数字或特殊字符组成 4.口令中只能包含数字 10.员工日常办公信息处理的设备包括( )等 1.复印机 2.传真机 3.碎纸机 4.打印机 11.在员工工作计算机管理规定中,明文规定禁止将机密信息保留在( ) 1.共用存储介质 2.公用电脑上 3.个人工作用电脑上 4.申请并批准使用的移动存储介质 12.《员工信息安全管理规定》适用的范围是:( ) 1.公司的计算机设备安全 2.员工个人财产和人身安全 3.公司内所有员工，和在公司安全区域内工作的外协人员和客户的计算机信息系统及信息数 据 4.客户的计算机和设备

最新ISO27001：2013信息安全管理体系一整套程序文件(共41个程序184页)

XXXXXXXXX有限责任公司 信息安全管理体系 程序文件 编号：XXXX-B-01～XXXX-B-41 （符合ISO/IEC 27001-2013标准） 拟编：信息安全小组日期：2015年02月01日 审核：管代日期：2015年02月01日 批准：批准人名日期：2015年02月01日 发放编号: 01 受控状态：受控 2015年2月1日发布2015年2月1日实施

[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序 [XXXX-B-03]记录控制程序 [XXXX-B-04]纠正措施控制程序 [XXXX-B-05]预防措施控制程序 [XXXX-B-06]内部审核管理程序 [XXXX-B-07]管理评审程序 [XXXX-B-08]监视和测量管理程序 A6[XXXX-B-09]远程工作管理程序 A7[XXXX-B-10]人力资源管理程序 A8[XXXX-B-11]商业秘密管理程序 A8[XXXX-B-12]信息分类管理程序 A8[XXXX-B-13]计算机管理程序 A8[XXXX-B-14]可移动介质管理程序 A9[XXXX-B-15]用户访问管理程序 A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序 A10[XXXX-B-18]账号密码控制程序 A11[XXXX-B-19]安全区域管理程序 A12.1.2[XXXX-B-20]变更管理程序 A12.1.3[XXXX-B-21]容量管理程序 A12.2.1[XXXX-B-22]恶意软件管理程序 A12.3[XXXX-B-23]重要信息备份管理程序 A12.6[XXXX-B-24]技术薄弱点管理程序 A13[XXXX-B-25]电子邮件管理程序

网络及信息安全管理制度

网络与信息安全管理制度 根据《中华人民共和国计算机信息安全管理条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》和有关法律、法规的规定，为落实网络与信息安全工作，学校通过检查进一步明确安全责任，建立健全的管理制度，落实技术防范措施，坚持“安全第一，预防为主”的方针，对有毒有害的信息进行过滤、对用户信息进行保密，确保网络与信息安全，努力打造“平安校园网络”，特制定本办法。 一、学校党政领导要加强对学校网络应用的监督、检查，发现问题及时处理。 二、不得利用国际互联网制作、复制、发布和传播下列信息： 1、反对宪法所确定的基本原则的； 2、危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的； 3、损害国家荣誉和利益的； 4、煽动民族仇恨、民族歧视、破坏民族团结的； 5、破坏国家宗教政策，宣扬邪教和封建迷信的； 6、散布谣言，扰乱社会秩序，破坏社会稳定的； 7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的； 8、侮辱或者诽谤他人，侵害他人合法权益的； 9、含有法律、行政法规禁止的其他内容的。 三、学校建立了健全的信息安全保密管理制度，实现信息安全保密责任制，切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，确保使用网络和提供信息服务的安全。 四、学校建立健全学校网络安全保护管理制度，提高网络安全防范手段，网络管理员经常检查网络安全保护管理以及技术指施的落实情况。网络管理中心在组织安全检查时，对检查中发现的问题，应当提出改进意见，作出详细记录，存档备查。 五、学校网络信息发布的内容需经过学校相关部门的严格审批和登记，并建立相应的信息管理制度。 六、学校网页不得擅自连接境外的新闻网站，不得擅自登载境外新闻媒体和互联网站发布的新闻。 七、根据校园网络运行的实际情况并结合上级部门的有关规定，本办法将适时予以修订。 八、在学生中广泛开展教育活动，提倡师生文明上网，开展健康文明的网络文化活动。

信息安全管理练习题

-2014 信息安全管理练习题判断题： 1. 信息安全保障阶段中，安全策略是核心，对事先保护、事发检测和响应、事后恢复起到了统一指导作用。（×） 注释：在统一安全策略的指导下，安全事件的事先预防（保护），事发处理（检测Detection和响应Reaction)、事后恢复（恢复Restoration）四个主要环节相互配合，构成一个完整的保障体系，在这里安全策略只是指导作用，而非核心。 2. 一旦发现计算机违法犯罪案件，信息系统所有者应当在2天内迅速向当地公安机关报案，并配合公安机关的取证和调查。（×） 注释：应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定，定义了3种新的犯罪类型（×） 注释：共3种计算机犯罪，但只有2种新的犯罪类型。 单选题： 1. 信息安全经历了三个发展阶段，以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性，下列（ C ）不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的（ A ）安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是（ C ）的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注：美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是（ D ）。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是（ B ）。 A. ISO 15408 B. ISO 17799/ISO 27001(英） C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国（ A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是（ A ）。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施 9. 在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的结果文档被称为（ A )。 A. 可接受使用策略AUP B. 安全方针 C. 适用性声明 D. 操作规范 应当具有至少10. 互联网服务提供者和联网使用单位落实的记录留存技术措施，

网络与信息安全管理组织机构设置及工作职责[001]

精心整理 精心整理 网络与信息安全管理组织机构设置及工作职责 一、网络与信息安全责任人：1.网络与信息安全第一责任人：企业法定代表人姓名；工作职责为：对机构内的信息安全工作负有领导责任；联系方式：电话及邮箱。（联系电话应为本人常用、真实有效的手机号码，可抽测。） 2.网络与信息安全责任人：分管信息安全工作的负责人姓名；工作职责为：对企业内信息安全工作负有直接领导责任。联系方式：电话及邮箱。（联系电话应为本人常用、真实有效的手机号码，可抽测。）（上述两项请全部填写）二、网络与信息安全管理组织机构设置及工作职责 1.企业需设置或指定网络与信息安全主管部门（如信息安全领导小组、信息安全工作组、信息安全部等），负责本企业网络与信息安全相关工作；企业网络与信息安全管理组织架构：包括主管部门、相关配合部门； 2.网络与信息安全管理机构职责（包括但不限于下述内容，要对公司实际制度建立和管理情况进行简述）：（1）建立健全网络与信息安全规章制度，以及各项规章制度执行情况监督检查；（2）开展网络与信息安全风险监测预警和评估控制、隐患排查整改工作；（3）建立健全网络与信息安全事件应急处置和上报制度，以及组织开展应急演练；（4）建立健全从业人员网络与信息安全教育培训以及考核制度；（5）违法有害信息监测处置制度和技术手段建设；（6）建立健全用户信息保护制度。 3.对于申请IDC/ISP(开展网站接入业务的）企业，在许可证申请完成后，开展业务前，企业的IDC/ISP 信息安全管理系统需与我局IDC/ISP 信息安全管理系统进行对接，并且按照《工业和信息化部办公厅关于印发《互联网信息安全管理系统使用及运行维护管理办法（试行）》（工信厅网安（2016）135号）要求，制定本企业IDC/ISP 信息安全管理系统的运行维护管理办法。 网络与信息安全管理人员配备情况及相应资质 一、网络与信息安全管理人员配备情况及相应资质请按 照下表内容在系统上填写相关文字信息： 网络与信息安全管理人员配备情况表 责任人 姓名 身份证号 联系方式（手机） 归属部门 工作内容 全职/兼职 资质情况 第一责任人(公司法人/

信息安全管理体系建设

a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间：2015年12月

信息化建设引言 随着我国中小企业信息化的普及，信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面：信息化在中小企业的发展程中，对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展，与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识，导致中小企业的信息安全面临着较大的风险，我国中企业信息化进程已经步入普及阶段，解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的，由 新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的 就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的围之内，获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域，三分技术，七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系，提出一个适合我国中小企业的信息安全管理的模型，用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行（如下

网络及信息安全管理制度汇编

中心机房管理制度 计算机机房属机密重地。为做到严格管理，保证安全，特制订如下制度： 第一条中心机房的管理由系统管理员负责，非机房工作人员未经允许不准进入，机房门口明显位置应张贴告示：“机房重地，非请莫入”。 第二条机房内应保持整洁，严禁吸烟、吃喝、聊天、会客、休息。不准在计算机及工作台附近放置可能危及设备安全的物品。 第三条机房内严禁一切与工作无关的操作。严禁外来信息载体带入机房，未经允许不准将机器设备和数据带出机房。 第四条认真做好机房内各类记录介质的保管工作，落实专人收集、保管，信息载体必须安全存放并严密保管，防止丢失或失效。机房资料外借必须经批准并履行手续，方可借出。作废资料严禁外泄。 第五条机房工作人员要随时掌握机房运行环境和设备运行状态，保证设备随时畅通。机房设备开关必须先经检查确认正常后再按顺序依次开关机。 第六条机房工作人员对机房存在的隐患及设备故障要及时报告，并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。

第七条机房设备应由专业人员操作、使用，禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障，应及时报请维修，以免影响工作。 第八条外单位人员因工作需要进入机房时，必须报经局领导审批后方可进入，进入机房后须听从工作人员的指挥，未经许可，不得触及机房内设施。 第九条外来人员参观机房，须指定人员陪同。操作人员按陪同人员要求可以在电脑演示、咨询；对参观人员不合理要求，陪同人员应婉拒，其他人员不得擅自操作。 第十条中心机房处理秘密事务时，不得接待参观人员或靠近观看。

网络安全管理制度 第一条严格遵守法律、行政法规和国家其他有关规定，确保计算机信息系统的安全。 第二条连入局域网的用户严禁访问外部网络，若因工作需要，上网查询信息，允许访问与工作相关的网站，但须报告计算机管理部门，并在专业人员的指导下完成。非本局工作人员不允许上网查询信息。严禁访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密，侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非工作人员操纵系统，禁止不合法的登录情况出现。遇到安全问题应及时向计算机管理部门报告，并采取措施及时解决。 第五条局域网要采取安全管理措施，保障计算机网络设备和配套设施的安全，保障信息的安全，保障运行环境的安全。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论，不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络

信息安全管理体系ISMS真题-案例分析及参考答案

ISMS信息安全技术真题 案例分析参考答案 试题一（25分） 阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。 【说明】 某市电力公司准备在其市区及各县实施远程无线抄表系统，代替人工抄表。经过考察，电力公司指定了国外的S公司作为远程无线抄表系统的无线模块提供商，并选定本市F智能电气公司作为项目总包单位，负责购买相应的无线模块，开发与目前电力运营系统的接口，进行全面的项目管理和系统集成工作。F公司的杨经理是该项目的项目经理。 在初步了解用户的需求后，F公司立即着手系统的开发与集成工作。5个月后，整套系统安装完成，通过初步调试后就交付用户使用。但从系统运行之日起，不断有问题暴露，电力公司要求F公司负责解决。可其中很多问题，比如数据实时采集时间过长、无线传输时数据丢失，甚至有关技术指标不符合国家电表标准等等，均涉及到无线模块。于是杨经理同S公司联系并要求解决相关技术问题，而此时S公司因内部原因退出中国大陆市场。因此，系统不得不面临改造。 【问题1】（6分） 请用300字以内文字指出F公司在项目执行过程中有何不妥。 【问题2】（9分） 风险识别是风险管理的重要活动。请简要说明风险识别的主要内容并指出选用S公司无线模块产品存在哪些风险？ 【问题3】（10分） 请用400字以内文字说明项目经理应采取哪些办法解决上述案例中的问题。 参考答案： [问题一] 请用300字以内文字指出F公司项目执行过程中有何不妥。 答案： 1. 没有建立完善的项目管理体系或制定合理的项目管理计划并遵照执行。 2. 需求开发与需求管理不规范，没有严格进行需求定义与验证，也没有形成书面的《系统需求规格说明书》。 3. 缺乏全面的质量管理，缺少完整的测试计划和测试活动，没有系统的验收标准或验收流程不规范。 4. 整个开发过程缺乏用户参与，比如进行阶段式的验收，阶段性成果的签字确认。 5. 缺乏对分包商（S公司）的监督管理，尤其是对S公司无线模块产品的质量管理 6. 没有了解或咨询国家或行业的相关标准、技术规范。 7. 没有对项目进行可行性分析。 [问题二] 风险识别是风险管理的重要活动。请简要说明风险识别的主要内容并指出选用S 公司无线模块存在哪些风险？ 答案： 风险识别是确定何种风险可能会对项目产生影响，并将这些风险的特征形成文件。

网络及信息安全管理意见

网络安全管理制度(意见) 第一条严格遵守法律、行政法规和国家其他有关规定，确保计算机信息系统的安全。 第二条非政府工作人员不允许在本网络内上网查询信息。严禁工作人员访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密，侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非政府工作人员操纵电脑，禁止不合法的登录情况出现。 第五条局域网内要采取安全管理措施。每台电脑需装杀毒软件，每周定时查杀病毒和木马，并自动修复系统漏洞。建议使用360杀毒软件或金山卫士(此两款软件均免费)。养成良好的操作习惯，经常备份重要资料。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论，不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络服务和破坏网络设备的活动。

第七条局域网应统一规划、建设，未经许可，不得私自将陌生的计算机接入局域网，不得将涉密电脑接入局域网。 第八条不得向其它非本部门工作人员透露内部网登录用户名和密码，做好各个应用系统的用户名和密码的保密工作。 第九条存储介质(包含：U盘、移动硬盘、光盘)在与计算机连接前，确保被计算机内安装有防木马和病毒的软件。如果杀毒软件提示有病毒存在，请做杀毒处理。不得在发现病毒的情况下强行拷贝数据。 第十条在发现某台计算机中毒后，请拔出网线，进行单机杀毒或重装系统，以免造成网络内部感染，导致网络崩溃。

数据、资料和信息的安全管理制度 第一条机房及使用计算机的单位都要设立专人负责文字及磁介质资料的安全管理工作。 第二条各单位要建立资料管理登记簿，详细记录资料的分类、名称、用途、借阅情况等，便于查找和使用。 第三条各项技术资料应集中统一保管，严格借阅制度。 第四条应用系统和操作系统需用磁带、光盘备份。对重要的动态数据应定时清理、备份，并报送有关部门存放。 第五条存放税收业务应用系统及重要信息的磁带光盘严禁外借，确因工作需要，须报请有关领导批准。 第六条对需要长期保存的数据磁带、磁盘，应在一年内进行转储，以防止数据失效造成损失。 第七条对有关电脑文件、数据进行加密处理。为保密需要，应定期或不定期地更换不同保密方法或密码口令。若须查阅保密信息，须经有关领导批准，才能查询、打印有关保密资料。对保密信息应严加看管，不得遗失、私自传播。 第八条及时关注电脑界病毒防治情况和提示，根据要求调整计算机参数或安装防毒软件，避免电脑病毒侵袭。 第九条对于联入局域网的计算机，任何人在未经批准的情况下，不得向局域网内拷入软件或文档。 第十条任何微机需安装软件时，由各单位提出申请，

网络数据和信息安全管理规范

网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】

X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人： XXX 审核人： XXX 批准人： XXX 20XX年X月X日发布 20XX年X月X日实施

目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行，充分发挥信息服务方面的重要作用，更好的为公司运营提供服务，依据国家有关法律、法规的规定，结合公司实际情况制定本规定。 术语 本规范中的名词术语（比如“计算机信息安全”等）符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识，控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全，是指防止有害信息在计算机网络上的传播和扩散，防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏，防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全，是指保护计算机网络的正常运行，防止网络被入侵、攻击等，保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员，是指从事的保障计算机信息及网络安全工作的人员。 普通用户，是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统，指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务，包含通过开放端口提供的网络服务，如WWW、Email、FTP、Telnet、DNS等。有害信息，参见国家现在法律法规的定义。

信息安全管理复习习题

信息安全管理第一复习习题 一、填空题 1 . 常用的数据保密技术有：防侦收、防辐射、信息加密、物理加密 2.计算机信息系统的不安全因素来自两个方面：一方面是信息网络本身存在的安全缺陷；另一方面是：人为因素和自然因素. 3.由信息系统自身存在的安全隐患导致信息系统不安全的主要因素有：网络操作系统的脆弱性、TCP/IP协议的安全缺陷、数据库管理系统的脆弱性、系统资源共享、数据通信、计算机病毒。 4.信息安全管理包括：安全风险管理、安全策略、安全教育，这三个组成部分构成了整个企业信息安全管理体系。 5.计算机信息系统安全保护等级根据我国的国家标准划分为五个等级。 第一级：用户自主保护等级；第二级;系统审计保护级_；第三级：安全标准保护级； 第四级：结构化保护及，第五级：访问验证保护级 6．风险概念模型指出，风险由起源、方式、途径、受体、和后果五个方面构成，分别是：威胁源、威胁行为、脆弱性、资产、影响。 7.威胁源是风险源头，按性质通常可以分为三种：自然威胁、环境威胁、人为威胁。 8安全机制的组合包括：用户鉴别、访问控制、安全保密、安全传输、安全审计、安全恢复 其中访问控制的主要作用是：防止滥用；安全审计的主要作用是：抗抵赖。 9.信息系统安全评估工作贯穿于信息系统整个生命周期内，安全评估的具体工作包括：风险评估、安全检查、安全保障等级评估、安全认证与认可 10. 计算机机房的安全分为A、B、C、类 11．电磁泄漏的两种主要方式为：辐射泄漏、传到泄露、抑制电磁泄漏的两种主要技术有：电子隐蔽、物理抑制。 12．计算机及其外设工作时，伴随着信息的输入、传输、存储、处理、输出过程，有用信息会通过寄生信号向外泄漏，其泄漏的主要部件有：显示器、主机、键盘、打印机、通信设备、电源、其中最容易被监听到的泄露设备为：显示器。相比液晶显示器与CRT显示器，CRT的泄密更为严重一些。 14．计算机信息系统的运行安全包括风险管理：风险管理、审计跟踪、备份恢复、应急 15．木马一般有两个程序，一个是：客户端，另一个是：服务器端。如果要给别人计算机上种木马，则受害者一方运行的是：服务器_程序，而自己使用的是：客户端。来控制受害者机器的。 16．木马的传播方式主要有两种：一种是通过：邮件，控制端将木马程序以附件的形式夹在