A、 确保组织的信息安全管理体系目标和相应的计划得以制定,目标应明确、可度量,计划应具体、可实施
B、 制定并颁布信息安全方针,为组织的信息安全管理体系建设指明方向并提供总体纲领,明确总体要求
C、 建立健全信息安全制度,明确安全风险管理作用,实施信息安全风险评估过程,确保信息安全风险评估技术选择合理、计算正确
D、 向组织传达满足信息安全的重要性,传达满足信息安全要求、达成信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性
答案:C
解析:解析:”实施信息安全风险评估过程”不属于管理者责任。
A、 确保组织的信息安全管理体系目标和相应的计划得以制定,目标应明确、可度量,计划应具体、可实施
B、 制定并颁布信息安全方针,为组织的信息安全管理体系建设指明方向并提供总体纲领,明确总体要求
C、 建立健全信息安全制度,明确安全风险管理作用,实施信息安全风险评估过程,确保信息安全风险评估技术选择合理、计算正确
D、 向组织传达满足信息安全的重要性,传达满足信息安全要求、达成信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性
答案:C
解析:解析:”实施信息安全风险评估过程”不属于管理者责任。
A. 残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成本与效益后不去控制的风险
B. 残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件
C. 实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果
D. 信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作为风险管理效果评估指标
解析:解析:”不去控制”错误,残余风险无法消除,但需要监视、控制。
A. 组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规范文件等文档是组织的工作标准,也是 ISMS 审核的依据
B. 组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和记录,对这些记录不需要保护和控制
C. 组织在每份文件的首页,加上文件修订跟踪表,以显示每一版本的版本号、发布日期、编写人、审批人、主要修订等内容
D. 层次化的文档是 ISMS 建设的直接体现,文档体系应当依据风险评估的结果建立
解析:解析:信息安全管理体系运行记录需要保护和控制。
A. 数字签名
B. 非安全信道的密钥交换
C. 消息认证码
D. 身份认证
解析:解析:ABD 都是是公钥密码应用的范畴。
A. 系统工程只需使用定量分析的方法,通过建立实际对象的数学模型,应用合适的优化算法对模型求解,解决实际问题
B. 系统工程的目的是实现总体效果最优化,即从复杂问题的总体入手,认为总体大于各部分之和,各部分虽然存在不足,但总体可以优化
C. 霍尔三维结构将系统工程整个活动过程分为前后紧密衔接的 7 个阶段和 7 个步骤
D. 系统工程不属于基本理论,也不属于技术基础,它研究的重点是方法论
解析:解析:系统工程是 20 世纪中期兴起的一门新兴的交叉学科,它主要是应用定性分析和定量分析相结合的方法,通过实际对象的数学模型,应用合适的优化算法对模型进行求解,从而解决实际问题。P175 页。
A. 只要用户拿到了认证服务器(AS)发送的票据许可票据(TGT)并且该 TGT 没有过期,就可以使用该 TGT 通过票据授权服务器(TGS)完成到任一个服务器的认证而不必重新输入密码
B. 认证服务器(AS)和票据授权服务器(TGS)是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于 AS 和 TGS 的性能和安全
C. 该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段,仅支持服务器对用户的单向认证
D. 该协议是一种基于对称密码算法的网络认证协议,随用户数量增加,密钥管理较复杂
解析:解析:Kerberos 由 MIT 于 1988 年开发,用于分布式环境中,完成服务器与用户之间的相互认证。
A. 策略
B. 活动
C. 组织
D. 管理者
解析:解析:参考 ISO9001-2000 标准过程方法
A. 对内而言,是一个光花钱不挣钱的事情, 需要组织通过其他方面收入来弥补投入
B. 对外而言,能起到规范外包工作流程和要求, 帮助界定双方各自信息安全责任
C. 对外而言,有助于使各利益相关方对组织充满信心
D. 对内而言,有助于建立起文档化的信息安全管理规范,实现有“法”可依,有章可循, 有据可查
解析:解析:“光花钱不挣钱的事情”错误
A. 流程描述、框架、控制目标、管理指南、成熟度模型
B. 框架、流程描述、管理目标、控制目标、成熟度模型
C. 框架、流程描述、控制目标、管理指南、成熟度模型
D. 框架、管理指南、流程描述、控制目标、成熟度模型
A. 仅提供数字签名
B. 仅提供保密性
C. 仅提供不可否认性
D. 保密性和消息完整性
解析:解析:密文 E(K2,M)保障保密性,消息验证码 MAC 为 C(K1,E(K2,M))保障完整性。
A. 检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估
B. 检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测
C. 检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施
D. 检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点
解析:解析:自评估由本级单位发起,检查评估由被评估组织的上级管理机关或业务主管机关发起,P247 页。