中要重点考虑对移动计算设备和远程工作用户的控制措施

44、下面哪一项最好地描述了组织机构的安全策略？ A、定义了访问控制需求的总体指导方针 B、建议了如何符合标准

C、表明管理者意图的高层陈述

D、表明所使用的技术控制措施的高层陈述

45、为什么一个公司内部的风险评估团队应该由来自不同部门的人员组成？ A、确保风险评估过程是公平的

B、因为风险正是由于这些来自不同部门的人员所引起的，因此他们应该承担风险评估的职责

C、因为不同部门的人员对本部门所面临的风险最清楚，由此进行的风险评估也最接近于实际情况

D、风险评估团队不应该由来自不同部门的人员组成，而应该由一个来自公司外部的小型团队组成

46、信息分类是信息安全管理工作的重要环节，下面那一项不是对信息进行分类时需要重点考虑的？ A、信息的价值 B、信息的时效性 C、信息的存储方式 D、法律法规的规定

47、下面哪一项关于对违反安全规定的员工进行惩戒的说法是错误的？ A、对安全违规的发现和验证是进行惩戒的重要前提 B、惩戒措施的一个重要意义在于它的威慑性

C、出于公平，进行惩戒时不应考虑员工是否是初犯，是否接受过培训 D、尽管法律诉讼是一种严厉有效的惩戒手段，但使用它时一定要十分慎重

48、风险分析的目标是达到：

A、风险影响和保护性措施之间的价值平衡 B、风险影响和保护性措施之间的操作平衡 C、风险影响和保护性措施之间的技术平衡 D、风险影响和保护性措施之间的逻辑平衡

49、以下对“信息安全风险”的描述正确的是

A、是来自外部的威胁利用了系统自身存在脆弱性作用于资产形成风险 B、是系统自身存在的威胁利用了来自外部的脆弱性作用于资产形成风险 C、是来自外部的威胁利用了系统自身存在的脆弱性作用于网络形成风险 D、是系统自身存在的威胁利用了来自外部的脆弱性作用于网络形成风险

50、在ISO27001-2005中，制定风险处臵计划应该在PDCA的哪个阶段进行？ A、Plan

B、Do

C、Check D、Act

51、目前数据大集中是我国重要的大型分布式信息系统建设和发展的趋势，数据大集中就是将数据集中存储和管理，为业务信息系统的运行搭建了统一的数据平台，对这种做法的认识正确的是？

A．数据库系统庞大会提高管理成本 B．数据库系统庞大会降低管理效率 C．数据的集中会降低风险的可控性 D. 数据的集中会造成风险的集中

52、对程序源代码进行访问控制管理时，以下那种做法是错误的？ A．若有可能，在实际生产系统中不保留源程序库。 B．对源程序库的访问进行严格的审计

C．技术支持人员应可以不受限制的访问源程序 D．对源程序库的拷贝应受到严格的控制规程的制约

53、以下对系统日志信息的操作中哪项是最不应当发生的？ A、对日志内容进行编辑

B、只抽取部分条目进行保存和查看 C、用新的日志覆盖旧的日志 D、使用专用工具对日志进行分析

54、以下哪一项是对信息系统经常不能满足用户需求的最好解释： A、没有适当的质量管理工具 B、经常变化的用户需求 C、用户参与需求挖掘不够 D、项目管理能力不强

55、许多安全管理工作在信息系统生存周期中的运行维护阶段发生。以下哪一种行为通常是不是在这一阶段中发生的？ A、进行系统备份 B、管理加密密钥

C、认可安全控制措施 D、升级安全软件

56、在信息安全管理工作中“符合性”的含义不包括哪一项？ A、对法律法规的符合

B、对安全策略和标准的符合 C、对用户预期服务效果的符合 D、通过审计措施来验证符合情况

57、下面哪一项最准确的阐述了安全监测措施和安全审计措施之间的区别？ A、审计措施不能自动执行，而检测措施可以自动执行 B、监视措施不能自动执行，而审计措施可以自动执行

C、审计措施是一次性地或周期性地进行，而监测措施是实时地进行 D、监测措施一次性地或周期性地进行，而审计措施是实时地进行

58、口令是验证用户身份的最常用手段，以下哪一种口令的潜在风险影响范围最大？ A、长期没有修改的口令 B、过短的口令

C、两个人公用的口令

D、设备供应商提供的默认口令

59、系统工程是信息安全工程的基础学科，钱学森说：“系统工程时组织管理系统规划，研究、制造、实验，科学的管理方法，使一种对所有系统都具有普遍意义的科学方法，以下哪项对系统工程的理解是正确的 A、系统工程是一种方法论 B、系统工程是一种技术实现 C、系统工程是一种基本理论

D、系统工程不以人参与系统为研究对象

60、项目管理是信息安全工程的基本理论，以下哪项对项目管理的理解是正确的： A、项目管理的基本要素是质量，进度和成本 B、项目管理的基本要素是范围，人力和沟通

C、项目管理是从项目的执行开始到项目结束的全过程进行计划、组织

D、项目管理是项目的管理者，在有限的资源约束下，运用系统的观点，方法和理论。对项目涉及的技术工作进行有效地管理

61、在信息系统的设计阶段必须做以下工作除了： A、决定使用哪些安全控制措施 B、对设计方案的安全性进行评估 C、开发信息系统的运行维护手册 D、开发测试、验收和认可方案

62、信息系统安全保障工程是一门跨学科的工程管理过程，他是基于对信息系统安全保障需求的发掘和对——————的理解，以经济，科学的方法来设计、开发、和建设信息系统，以便他能满足用户安全保障需求的科学和艺术。 A、安全风险 B、安全保障 C、安全技术 D、安全管理

63、关于SSE-CMM的描述错误的是：

A、1993年4月美国国家安全局资助，有安全工业界，英国国防部办公室和加拿大通信安全机构共同组成SSE-CMM项目组。

B、SSE-CMM的能力级别分为6个级别。

C、SSE-CMM讲安全工程过程划分为三类：风险、工程和保证。 D、SSE的最高能力级别是量化控制

64、下面对SSE-CMM说法错误的是？

A、它通过域维和能力维共同形成对安全工程能力的评价 B、域维定义了工程能力的所有实施活动 C、能力维定义了工程能力的判断标注 D、“公共特征”是域维中对获得过程区目标的必要步骤的定义

65在SSE-CMM中对工程过程能力的评价分为三个层次，由宏 观到微观依次是

A能力级别-公共特征（CF）-通用实践（GP） B能力级别-通用实践-（GP）-公共特征（CF） C通用实践-（GP）-能力级别-公共特征（CF） D公共特征（CF）-能力级别-通用实践-（GP）、

66、如果可以在组织范围定义文档化的标准过程，在所有的项目规划、执行和跟踪已定义的过程，并且可以很好地协调项目活动和组织活动，则组织的安全能力成熟度可以达到？ A、规划跟踪定义 B、充分定义级 C、量化控制级 D、持续改进级

67、根据SSE-CMM以下哪项不是在安全工程过程中实施安全控制时需要做的？ A、获得用户对安全需求的理解 B、建立安全控制的职责 C、管理安全控制的配臵

D、进行针对安全控制的教育培训

68、下面哪条不属于SSE-CMM中能力级别3“充分定义”级的基本内容： A、改进组织能力 B、定义标准过程 C、协调安全实施 D、执行已定义的过程