信息安全管理体系培训习题汇编k2016

件的能力。 （B）监督外包方的开发成果物质量。

（C）确保外包方的开发满足组织安全需求。（D）验证外包方的开发过程符合CMMI要求。 48、信息安全管理中，\防止滥用信息处理设施\是为了防止：( ) （A）工作场所出现“公私不分\的情况 （B）组织信息保密性受损。 （C）组织资产可用性受损。 （D）B+C。

49、GB/T 22080标准中所指\组织与外部方交换信息和软件的协议\必须包含的内容是：( ) （A）相关各方的信息安全责任和义务。 （B）相关各方的商务利益。 （C）相关各方的技术支持责任。 （D）质量保证条款。

50、依据GB/T 22080 ,为防止信息未授权的泄露或不当使用，介质处置时的信息处理规程须规定:（）

（A）向介质写入信息时如何确保符合安全要求。

（B）介质在改变用途前如何妥善处理信息确保符合安全要求。 （C）介质在弃置前如何妥善处理信息确保符合安全要求。 （D）A+B+C

51、监视、调整资源的使用并预测未来容量需求，这是为了保证：（） （A）资产的可用性满足业务要求。 （B）资产的完整性符合安全策略。 （C）资产的配置具有可追溯性。 （D）降低成本。 52、是否或如何为办公室增加物理安全防护设计取决于：( ) （A）该办公室业务活动涉及资产的关键性程度。 （B）该办公室资产被非授权访问或信息泄露的可能性。 （C）安全防护方案的技术难度和成本。 （D）A+B

43

53、以下属于信息安全事件的情况是：( ) （A）通信线路出现未知的干扰噪声。 （B）邮件通信被捆绑垃圾邮件。

（C）监视系统侦测到未遂的尝试破解密码行为。 （D）B+C。

54、某软件企业自行开发了用于管理其软件产品的配置管理工具，以下说法错误的是：（） （A）该企业用于向顾客交付的软件产品的测试数据应认真加以选择、保护和控制。 （B）该企业的配置管理工具的测试数据应认真加以选择、保护和控制。

（C）该企业配置管理工具不是向顾客交付的成果，因此其测试数据不是需要保护的对象。 （D）该企业配置管理库中的配置项应识别为信息安全相关资产。 55、依据GB/T 22080 ,信息的标记应表明：（ ） （A）相关供应商信息、日期、资产序列号。 （B）其敏感性和关键性的类别和等级。 （C）所属部门和批准人。

（D）信息的性质，如软件、文档。

56、依据GB/T 22080 ,组织与员工的保密性协议的内容应：( )

（A）规定的保密责任永久有效。 （B）内容不可变更。 （C）反映组织信息保护需要的保密性或不泄露协议要求。 （D）A+C 57、为了防止对应用系统中信息的未授权访问，正确的做法是：（ ）

（A）定期变更用户名和登录口令。（B）按照访问控制策略限制用户访问应用系统功能。- （C）隔离敏感系统。 （D）B+C 58、为了实现

44

在网络上自动

标识设备，以下做法错误的是（）

（A）启用动DHCP动态分配IP地址功能。 （B）为网络设备分配固定IP地址。

（C）将每一台计算机MAC与一个IP地址绑定。 （D）采取有效措施禁止修改MAC。

59、信息安全灾备管理中，关于灾难恢复能力，以下说法正确的是：( (A )恢复能力等级越高，恢复时间目标越短，恢复点目标越近。 (B )恢复能力等级越高，恢复时间目标越长，恢复点目标越长。 (C )恢复能力等级越高,恢复时间目标越短，恢复点目标越长。 (D )恢复能力等级越高，恢复时间目标越短，恢复点目标越长。 60、依据GB/T22080,以下属于设备安全中的\支持性设施\的是：（）

(A)电磁屏蔽系统、照明设施。 (B )环境监控系统、安全防范系统。 (C )不间断电源、消防设施、空气调节装置。 (D)以上全部。

45

ISMS测验二

一、简述题（每题5分，共10分）

1、审核员在某公司审核时，发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁。公司主管信息安全的负责人解释说,因保安负责公司的物理区域安全，他们夜里以及节假日要值班和巡査所有区域，所以只能给保安全权限门卡。审核员对此解释表示认同。如果你是审核员，你将如何做？

2、请阐述对GB/T 22080中A.13.2.2的审核思路。

二、案例分析题（每题6分，共30分）

请对以下场景进行分析，写出不符合标准条款的编号及内容，并写出不符合事实。 1、在某软件开发企业,质量保证部负责对软件开发成果物进行测试,该部门测试人员使用名为\“ 的系统记录测试发现的问题，然后由开发人员针对测试人员提出的问题，确定软件修改方案，修改后重新提交测试,通过后由测试人员给出\最终测试通过\的结论。软件开发人员的修改方案以及修改后重新测试的信息也分别在该\系统中予以记录。审核员请开发人员演示上述过程时发现, 幵发人员也可以登录测试问题记录的页面，且能够修改测试记录信息。当审核员问为什么会这样，该开发人员回答说，有时候开发人员与测试人员就软件问题的判定有争议，因此允许开发人员修改测试问题记录，否则会影响开发人员的绩效考核。

46