20232024年度浙江省注册信息安全专业人员真题附答案.docx
39页
2023-2024年度浙江省注册信息安全专业人员真题精选附答案一单选题(共100题)1、为了减少成本,一个保险公司对关键应用程序正在使用云计算技术,如下哪个选项是信息系统审计人员最关心的,() A. 在主要技术事故场景中恢复服务没有的能力 B. 共享环境中的数据被其他公司访问 C. 服务提供上没有把对事件进行调查包括在内 D. 当供应商离开时,服务的长期稳定性 试题答案:B 2、分片攻击发生在() A. 数据包被发送时 B. 数据包在传输过程中 C. 数据包被接收时 D. 数据包的数据进行重组时 试题答案:B 3、在评审敏感电子报告时,IS审计师注意到没有加密以上可能违背: () A. 关于工作报告版本的审计跟踪 B. 审计阶段的批准 C. 工作报告的访问权限 D. 工作报告的保密性 试题答案:D 4、ISMS过程中,实施信息安全教育应在哪个阶段进行,() A. 实施和运行 B. 保持和改进 C. 建立 D. 监视和评审 试题答案:A 5、“可信计算基(TCB)”不包括() A. 执行安全策略的所有硬件 B. 执行安全策略的软件 C. 执行安全策略的程序组件 D. 执行安全策略的人 试题答案:D 6、下面哪一个通常会在应用运行手册中发现()。
A. 源文件细节 B. 密码错误和发现的行为 C. 程序流程图和文件定义 D. 应用源代码的变更纪录 试题答案:B 7、一个制造商正在开发一个新的数据库系统,该系统用来处理批量订单所生产的产品的有关数据工作人员每天要回答客户提出的有关订货的生产情况完工的订货在每天晚上要成批地打印出发票对生产数据最好的访问方法是() A. 索引顺序的 B. 直接的 C. 杂乱无章的 D. 顺序的 试题答案:A 8、IT治理确保组织的IT战略符合于() A. 企业目标 B. IT目标 C. 审计目标 D. 控制目标 试题答案:A 9、美国国防部提出的《信息保障技术框架》(IATF)在描述信息系统的安全需求时,将信息技术信息分为() A. 内网和外网两个部分 B. 本地计算环境、区域边界、网络和基础设施、支撑性基础设施四个部分 C. 用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分 D. 可信用户终端、服务器、系统软件、网络设备和通信线路、应用软件、安全防护措施六个部分 试题答案:B 10、TCP/IP协议簇包含的面向连接的协议处于() A. 传输层 B. 应用层 C. 物理层 D. 网络层 试题答案:A 11、下列哪一种方法强调依靠用户原型,并能够不断更新以适应用户和业务需求的变化()。
A. 面向数据的系统开发方法 B. 面向对象的系统开发方法 C. 业务流程重组 D. 快速应用开发 试题答案:D 12、一旦业务功能发生变化,已打印的表格和其他备用资源都可能要改变下面哪一种情况构成了对组织的主要风险() A. 在异地存储的备用资源详细目录没有及时更新 B. 在备份计算机和恢复设备上存储的备用资源详细目录没有及时更新 C. 没有对紧急情况下的供应商或备选供应商进行评估,不知道供应商是否还 D. 过期的材料没有从有用的资源中剔除 试题答案:C 13、下面哪种生物测定技术具有最小的错误接受率() A. 虹膜 B. 视网膜 C. 指纹 D. 脸型 试题答案:B 14、ISMS审核时,首次会议的目的不包括以下哪个,() A. 明确审核目的、审核准则和审核范围 B. 明确审核员的分工 C. 明确接受审核方责任,为配合审核提供必要资源和授权 D. 明确审核进度和审核方法,且在整个审核过程中不可调整 试题答案:D 15、IS审计师推荐使用库控制软件以便提供合理保证:() A. 程序变更得到授权 B. 只有经过彻底测试的程序才能被发布 C. 被修改的程序自动转移到生产库 D. 源代码和可执行代码的完整性得以保持 试题答案:A 16、一个组织的数据中心的成本是10000000美元,实际遭受损失的机率是万分之一。
数据中心登记在册的价值是5000000美元在零利润现价交易条件下,这个组织需要付给保险公司的最小保险费是多少() A. 1000美元 B. 10000美元 C. 5000美元 D. 500美元 试题答案:A 17、以下有关通信与日常操作描述不正确的是() A. 信息系统的变更应该是受控的 B. 企业在岗位设计和人员工作分配时应该遵循职责分离的原则 C. 移动介质使用是一个管理难题,应该采取有效措施,防止信息泄漏 D. 内部安全审计无需遵循独立性、客观性的原则 试题答案:D 18、以下哪个入侵检测技术能检测到未知的攻击行为,() A. 基于误用的检测技术 B. 基于异常的检测技术 C. 基于日志分析的技术 D. 基于漏洞机理研究的技术 试题答案:B 19、系统测试的主要目的是() A. 测试设计产生的控制总数 B. 判断系统的文档是否准确 C. 评估系统功能 D. 确保系统操作熟悉新制度 试题答案:C 20、计算机取证的工作顺序是() A. 1准备,2提取,3保护,4分析,5提交 B. 1准备,2保护,3提取,4分析,5提交 C. 1准备,2保护,3提取,4提交,5分析 D. 1准备,2提取,3保护,4分析,5提交 试题答案:B 21、下面哪个功能属于操作系统中的安全功能,() A. 控制用户的作业排序和运行 B. 对计算机用户访问系统和资源情况进行记录 C. 保护系统程序和作业,禁止不合要求的对程序和数据的访问 D. 实现主机和外设的并行处理以及异常情况的处理 试题答案:C 22、在审计企业资源规划(ERP)财务系统的逻辑访问控制期间,IS审计师发现某些用户账户为多人共享、用户ID基于角色而不是基于个人身份、这些账户允许对ERP中的金融交易进行访问。
IS审计师接下来应该做什么,() A. 寻求补偿控制 B. 审查金融交易日志 C. 审查审计范围 D. 要求管理员禁用这些账户 试题答案:A 23、人员入职过程中,以下做法不正确的是(), A. 入职中签署劳动合同及保密协议 B. 分配工作需要的最低权限 C. 允许访问企业所有的信息资产 D. 进行安全意思培训 试题答案:C 24、在IS审计的计划阶段中,IS审计员是首要目标是:() A. 处理审计目标 B. 收集充分证据 C. 确定合适的测试 D. 最小化审计资源 试题答案:A 25、作为一名信息安全专业人员,你正在为某公司设计信息资源的访问控制策略由于该公司的人员流动较大,你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限,最应该采用下列哪一种访问控制模型,() A. 自主访问控制(DAC) B. 强制访问控制(MAC) C. 基于角色访问控制(RBAC) D. 最小特权(LEASTPrivilege) 试题答案:C 26、通常情况下,以下哪一种数据的更新变化频率最高,对备份系统的数据备份频率要求也最高() A. 业务应用数据 B. 临时数据 C. 基础数据 D. 系统数据 试题答案:A 27、程序员在工资发放应用程序中包括了查找自己工资号码的例行程序,作为结果,如果自己的工作号码没有找到,这个例行程序将产生随机数并替换掉所有的薪水金额。
这种程序被称作() A. 清理scavenging B. 数据泄露 C. 尾随 D. 特洛伊木马 试题答案:D 28、以下哪一项信息资源访问规则会对访问控制的有效性产生最大影响() A. 知所必需的原则 B. 最小授权的原则 C. 职责分离的原则 D. 授权延伸的原则 试题答案:D 29、以下哪一类设备可以延伸网络,具有存储数据帧的能力并作为存储转发设备工作,() A. 路由器 B. 网桥 C. 中继器 D. 网关 试题答案:B 30、在银行信息系统审计期间,信息系统审计员评估是否企业对员工访问操作系统进行了适当的管理,信息系统审计人员应该判断是否企业执行了:() A. 定期检查用户活动日志 B. 在特定领域登记核实用户授权 C. 检查数据通信活动日志 D. 定期检查改变的数据文件 试题答案:A 31、当火警开始响起的时候,一个信息系统审计师在数据中心执行审计审计范围包括,灾难恢复,因此审计师需要观察数据中心新的工作人员对警报的反应,下列哪一项对数据中心的工作人员来说是最重要的活动,() A. 通知当地消防部门 B. 准备启动灭火系统 C. 确保在数据中心的所有人员被疏散 D. 从数据中心删除所有备份磁带 试题答案:C 32、测试连接两个或两个以上的系统的组件,信息从一个区域到另一个区域被称为()。
A. Pilot测试 B. 平行测试 C. 接口测试 D. 回归测试 试题答案:C 33、在测试中使用清洁真实的交易数据的优点在于() A. 可以包括所有交易类型 B. 每种错误情况都可能测试到 C. 评估结果不需要特定的程序 D. 测试交易代表实际处理 试题答案:D 34、下面哪项是分级保护的技术标准,() A. BMB-17 B. BMB-23 C. BMB-20 D. BMB-5 试题答案:A 35、工具程序组和需要的软件模块执行机器代码应用程序版本是() A. 文本编辑 B. 程序库管理 C. 链接编辑程序和载入程序 D. Debuggers和开发服务工具 试题答案:C 36、在编制一个单位的信息安全响应计划时,以下哪一项的内容是最全面的() A. 角色与职责、预防和预警机制、应急响应流程、应急响应保障措施 B. 角色与职责、预防和预警机制、应急响应流程、应急响应联络措施 C. 应急组织架构、预防和预警机制、应急响应流程、人力保障、技术保障 D. 应急组织架构、事件检测机制、事件预警通报机制、应急响应流程、人力保障、技术保障 试题答案:A 37、用于IT开发项目的业务模式(或业务案例)文档应该被保留,直到() A. 系统的生命周期结束 B. 项目获得批准 C. 用户验收了系统 D. 系统被投入生产 试题答案:A 38、当程序变化是,从下列哪种总体种抽样效果最好()。
A. 测试库清单 B. 源代码清单 C. 程序变更要求 。
