96.组织应定期监控、审查、审计 () 服务,确保协议中的信息安全条款和条件被遵守,信息安全事件和问题得到妥善管理。应将管理供应商关系的责任分配给指定的个人或 () 团队。另外,组织应确保落实供应商符合性审查和相关协议要求强制执行的责任。应保存足够的技术技能和资源的可用性以监视协议要求尤其是 () 要求的实现。当发现服务交付的不足时,宜采取 ().当供应商提供的服务,包括对 () 方针、规程和控制措施的维持和改进等发生变更时,应在考虑到其对业务信息、系统、过程的重要性和重新评估风险的基础上管理。
A. 供应商;服务管理;信息安全;合适的措施;信息安全
B. 服务管理;供应商;信息安全;合适的措施;信息安全
C. 供应商;信息安全;服务管理;合适的措施;信息安全
D. 供应商;合适的措施;服务管理;信息安全;信息安全
解析:解析:P124
https://www.shititong.cn/cha-kan/shiti/0005fc54-653c-c0b0-c0ba-f2840f59e014.html
点击查看答案
93.在以下标准中,属于推荐性国家标准的是
A. GB/T XXXX.X-200X
B. GB XXXX-200X
C. DBXX/T XXX-200X
D. GB/Z XXX-XXX-200X
解析:解析:A 为国标推荐标准;B 为国标强制标准;C 为地方标准;D 为国标指导标准。
https://www.shititong.cn/cha-kan/shiti/0005fc54-66a2-0988-c0ba-f2840f59e00d.html
点击查看答案
11.关于我国信息安全保障的基本原则,下列说法中不正确的是:
A. 要与国际接轨,积极吸收国外先进经验并加强合作,遵循国际标准和通行做法,坚持管理与技术并重
B. 信息化发展和信息安全不是矛盾的关系,不能牺牲一方以保证另一方
C. 在信息安全保障建设的各项工作中,既要统筹规划,又要突出重点
D. 在国家信息安全保障工作中,要充分发挥国家、企业和个人的积极性,不能忽视任何一方的作用。
解析:解析:我国信息安全保障首先要遵循国家标准。
https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-42f0-c0ba-f2840f59e008.html
点击查看答案
38.关于《网络安全法》域外适用效力的理解,以下哪项是错误的()
A. 对于来自境外的违法信息我国可以加以阻断传播
B. 对于来自境外的网络安全威胁我国可以组织技术力量进行监测、防御和处置
C. 对于来自境外的网络攻击我国可以追究其法律责任
D. 当前对于境外的网络攻击, 我国只能通过向来源国采取抗议
解析:解析:对境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施活动,造成严重后果的, 依法追究法律责任。 P55 页。
https://www.shititong.cn/cha-kan/shiti/0005fc54-65f2-f538-c0ba-f2840f59e006.html
点击查看答案
5.ISO2007:2013《信息技术-安全技术-信息安全管理体系-要求》为在组织内为建立、实施、保持和不断改进() 制定了要求。ISO27001 标准的前身为() 的 BS7799 标准,该标准于 1993 年由() 立项,于 1995 年英国首次出版 BS7799-1:1995 《信息安全管理实施细则》, 它提供了一套综合的、由信息安全最佳惯例组成的() ,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一() ,并且适用大、中、小组织。
A. ISMS;德国; 德国贸易工业部;实施规则; 参考基准
B. ISMS;法国; 法国贸易工业部;实施规则; 参考基准
C. ISMS;英国; 英国贸易工业部;实施规则; 参考基准
D. ISMS;德国; 德国贸易工业部;参考基准; 实施规则
https://www.shititong.cn/cha-kan/shiti/0005fc54-65f2-ed68-c0ba-f2840f59e004.html
点击查看答案
58.下面哪一项安全控制措施不是用来检测未经授权的信息处理活动的:
A. 设置网络连接时限
B. 记录并分析系统错误日志
C. 记录并分析用户和管理员操作日志
D. 启用时钟同步
解析:解析:A 属于防护措施;BCD 属于检测措施,可以用来检测未经授权的信息处理活动。
https://www.shititong.cn/cha-kan/shiti/0005fc54-67f9-c988-c0ba-f2840f59e011.html
点击查看答案
6.信息系统安全保障是在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的业务。信息系统保障工作如图所示。从该图不难得出,信息系统是()。信息系统安全风险的因素主要有()
A. 用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和;信息系统自身存在的漏洞
B. 用于采集、处理整个基础设施、组织结构、人员和组件的总和;信息系统自身存在的漏洞、来自系统外部的威胁和人为操作引入的安全风险
C. 用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和;信息系统来自系统外部的威胁和人为操作引入的安全风险
D. 用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和;信息系统自身存在的漏洞和来自系统外部的威胁
解析:解析:信息系统是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的综合。信息系统安全风险是具体的风险,产生风险的因素主要有信息系统自身存在的漏洞和来自系统外部的威胁。P31 页。
https://www.shititong.cn/cha-kan/shiti/0005fc54-66a1-fdd0-c0ba-f2840f59e005.html
点击查看答案
32.在入侵检测( )的运行中,最常见的问题是:()
A. 误报检测
B. 接收陷阱消息
C. 误拒绝率
D. 拒绝服务攻击
解析:解析:P354
https://www.shititong.cn/cha-kan/shiti/0005fc54-675f-46d8-c0ba-f2840f59e000.html
点击查看答案
5.为增强 Web 应用程序的安全性,某软件开发经理决定加强 Web 软件安全开发培训,下面哪项内容不在考虑范围内
A. 关于网站身份鉴别技术方面安全知识的培训
B. 针对 OpenSSL 心脏出血漏洞方面安全知识的培训
C. 针对 SQL 注入漏洞的安全编程培训
D. 关于 ARM 系统漏洞挖掘方面安全知识的培训
解析:解析:D 属于 ARM 系统,不属于 WEB 安全领域。
https://www.shititong.cn/cha-kan/shiti/0005fc54-6893-d320-c0ba-f2840f59e004.html
点击查看答案
94.主体 S 对客体 01 有读( )权限,对客体 02 有读( )、写( )、拥有( )权限,该访问控制实现方法是:
A. 访问控制表(ACL)
B. 访问控制矩阵
C. 能力表(CL)
D. 前缀表(Profiles)
解析:解析:定义主体访问客体的权限叫作 CL。定义客体被主体访问的权限叫 ACL。
https://www.shititong.cn/cha-kan/shiti/0005fc54-67f9-cd70-c0ba-f2840f59e01a.html
点击查看答案
