【单选题】
审计组应就被审计对象是否存在责任贷款向其所在单位的所有发放贷款的机构网点进行书面询证,询证函须由被询证单位 签字确认___。
A. 负责人、信贷负责人
B. 负责人、信贷负责人、网点负责人
C. 负责人、信贷负责人、所有信贷客户经理
D. 负责人、信贷负责人、信贷会计和所有信贷客户经理
查看试卷,进入试卷练习
微信扫一扫,开始刷题
相关试题
【多选题】
委托社会中介机构审计应遵循的原则___。
A. 独立性原则
B. 成本适度原则
C. 真实性原则
D. 有效性原则
E. 完整性原则
【多选题】
农信社除委托会计师事务所对年度财务报表进行审计外,还可以委托会计师事务所对下列内容进行审计___。
A. 农信社资产、负债、损益状况及资产质量
B. 农信社的内部控制系统
C. 农信社清产核资业务
D. 农信社的四项基本制度
E. 金融监管部门和省联社要求的其他审计项目,以及县级行社根据自身需求进行的特殊审计项目
【多选题】
农信社选择中介机构审计时,招、邀标活动应当遵循的原则是什么___。
A. 公开
B. 公平
C. 公正
D. 有效
E. 诚实信用的原则。
【多选题】
被审计单位发现委托的会计师事务所等中介机构存在哪些情形可以终止委托审计工作___
A. 未履行诚信、勤勉、保密义务,并造成严重社会后果的
B. 将所承担的审计业务分包或转包给其他机构的
C. 中介机构人员和时间难以保证委托书中的审计要求的
D. 审计报告或其他报告被证实存在严重质量问题的
E. 会计师事务所等中介机构没有聘请中介机构以外的审计人员参与审计工作。
【多选题】
审计工作程序共分为以下那几个阶段___
A. 审计项目准备阶段
B. 审计项目立案阶段
C. 审计项目实施阶段
D. 审计项目报告阶段
E. 审计项目整改阶段
【多选题】
审计项目准备阶段,包括以下那几个环节___
A. 制定审计方案
B. 成立审计项目组,确定审计项目负责人和成员
C. 提取被审计单位业务数据和收集外部审计资料
D. 签发审计通知书
E. 审计机构与审计人员签订审计人员承诺书
【多选题】
审计项目报告阶段,包括以下那几个环节___
A. 草拟审计报告初稿,审计项目组长(项目负责人)审核
B. 制作审计事实确认书
C. 审计组召开专题会议讨论、审议审计报告
D. 向派出审计机构上报审计报告
E. 整理现场审计档案立卷归档
【多选题】
审计项目整改阶段,包括以下那几个环节___
A. 拟定、下发审计整改通知书;
B. 建立整改台账;
C. 双向风险提示,督促被审计单位上报整改报告;
D. 整理整改档案立卷归档。
E. 与被审计单位交换意见,对审计中发现的问题进行签章确认。
【多选题】
审计项目组审计人员的主要职责是___
A. 收集、分析被审计单位的有关资料,根据审计方案进行现场审计、分析与取证
B. 及时汇报审计过程中发现的问题
C. 编制工作底稿和事实确认书
D. 建立审计查出问题台账
E. 整理装订相关的审计档案
【多选题】
审计方案的主要内容包括___
A. 审计目的和审计对象
B. 审计范围和时间
C. 审计内容和重点
D. 审计程序和方法
E. 审计要求和审计依据
【多选题】
审计证据的形式包括哪些___
A. 书面证据和实物证据
B. 视听或者电子数据资料
C. 函证
D. 数字性证据和分析性证据
E. 鉴定结论和调查笔录
【多选题】
审计项目质量考评工作注重审计过程,遵循以下原则:___
A. 独立性原则
B. 统一性原则
C. 时效性原则
D. 客观公正原则
E. 完整性原则
【多选题】
审计项目质量考评分哪几个层面___
A. 全省重大审计项目的考评
B. 区域审计机构考评
C. 县级行社审计项目考评
D. 基层信用社审计项目考评
E. 营业网点审计项目考评
【多选题】
审计报告的内容包括哪些?___
A. 审计依据
B. 被审计单位的基本情况和审计的组织实施情况
C. 审计中发现的问题
D. 审计总体评价
E. 审计建议要具有针对性、实用性和可操作性
【多选题】
审计项目组进驻被审计单位后,出现下列情况,相应扣分,扣分正确的有___
A. 未能提交调阅资料清单的,一次扣1分
B. 调阅清单交接登记不齐全的,一处扣1分
C. 异地送达审计资料未明确接收责任人的,一次扣1分
D. 出现资料丢失或资料保管不善出现残损的,一处扣1分
E. 出现审计人员隐匿、伪造、篡改或毁损审计证据的,一次扣1分
【多选题】
编制审计事实确认书出现下列情况,相应扣分,扣分正确的有___
A. 问题叙述不清的,一处扣1分
B. 问题分类不正确的,一处扣2分
C. 问题定性不准确或错误的,一处扣2分
D. 擅自增删、涂改审计事实的,一处扣2分
E. 审计事实确认书应提交未提交被审计单位签字盖章确认的,一份扣2分
【多选题】
整改档案出现下列情况,相应扣分, 扣分正确的有___
A. 未按规定时间进行整改档案立卷归档的,推迟一天扣1分;
B. 整改档案整理不规范,资料不全、不详实的,一项扣0.5分;
C. 未按审计档案管理规定的范围、顺序、方法,建立审计项目纸质及电子档案的,一项扣0.5分;
D. 未按规定办理纸质和电子档案移交手续的,一次扣1分;
E. 对电子档案未按规定实行备份加密保存的,一次扣0.5分。
【多选题】
根据员工管理权限,农信社管理人员履职审计按照“分级管理,下审一级”的原则进行,以下那种说法是正确的___
A. 省联社部门负责人及市农信办领导班子成员履职审计,聘请社会审计机构组织实施
B. 县级行社理事长(董事长)、主任(行长)、监事长履职审计,原则上由省联社审计部门组织实施
C. 县级行社其他领导班子成员履职审计,由所在市农信办审计部门或区域审计中心组织实施
D. 县级行社内设部门、分支机构负责人及其他人员履职审计,由所在县级行社审计部门组织实施
E. 对拟提拔的管理人员履职审计,拟任职务达到上一级机构审计范围的,由上一级审计部门组织实施
【多选题】
合规经营评价主要包括哪些内容___
A. 贯彻执行国家经济金融方针政策、法律法规及省联社规章制度等情况
B. 辖内是否发生违法、违纪案件,并造成重大经济损失
C. 有无对辖内重大问题隐瞒不报、延误上报或报告失实的情况
D. 地方行政执法部门的检查处理情况及其它需要审计的事项
E. 金融监管部门的检查处理情况及其它需要审计的事项
【多选题】
准备阶段的审计程序为___
A. 审计立项
B. 成立审计组
C. 制定审计方案
D. 听取工作汇报
E. 发出审计通知书
【多选题】
离任审计中发现被审计对象有下列那些问题的,可建议暂不办理离任手续。对退居二线人员,可先离岗,在相关问题解决前,停发工资。___
A. 本人自贷、担保的贷款或其近亲属(按民法通则规定)贷款或其指令贷款或其营销、介绍并负收回责任的贷款形成不良未予清偿的
B. 在单位没有借支款项或遗留财务问题
C. 主管或经办的业务存在重大问题而责任不清
D. 有重大违法、违纪、违规嫌疑,尚未调查处理结束
E. 存在其他不适合离任问题
【多选题】
履职审计现场实施阶段的程序为___
A. 张贴审计公告
B. 听取工作汇报
C. 个别谈话
D. 确定被审计机构和调阅资料。
E. 实施检查及确认事实
【多选题】
审计组应就被审计对象是否存在责任贷款向其所在单位的所有发放贷款的机构网点进行书面询证,询证函须由被询证单位 签字确认,并加盖公章___
A. 单位负责人
B. 营业网点负责人
C. 信贷负责人
D. 信贷会计
E. 所有信贷客户经理
【多选题】
审计组应就被审计对象是否存在遗留财务问题向被审计对象所在单位财务部门书面询证, 询证函须由被询证部门 签字确认,并加盖公章___
A. 负责人
B. 信贷会计
C. 会计
D. 出纳
E. 所有信贷客户经理
【多选题】
全省农信社内部审计工作的主要目标任务是什么___
A. 内部审计工作体系进一步健全
B. 队伍建设进一步加强
C. 加强与外部监督的沟通配合
D. 强化业务条线监督
E. 内部审计水平进一步提升
【多选题】
各市农信办如何加强对县级行社日常经营管理行为的监督___
A. 做好对辖内县级行社的内部审计工作的指导、监督、考核和评价
B. 对县级行社重要经营管理活动、大额财务开支、大额资金管理和内部控制制度执行落实情况进行重点审计检查
C. 切实加强非现场检查和风险监控工作
D. 及时开展对县级行社新开办业务的监督检查
E. 对存在风险隐患的县级行社分支机构进行突击检查和整体移位式检查,确保重大风险隐患能够被及时发现、及时化解和消除
【多选题】
如何充分发挥县级行社审计监督主体作用___
A. 充分发挥县级行社内部审计职能,切实做好序时审计,加强对日常经营行为的监督
B. 各县级行社内部审计人员要实行分片包社责任制,对基层网点的所有业务活动进行全面的、不间断的审计检查,做到“时间不间断、业务全覆盖”
C. 要通过调阅监控录像、明查暗访等方式对重点岗位、重点人员进行重点关注,及时发现问题和风险隐患
D. 要对检查发现的问题认真记录、如实反映并督促整改。
E. 做好对辖内县级行社的内部审计工作的指导、监督、考核和评价
【多选题】
省联社内审部门如何持续强化重点项目审计___
A. 对辖内农信社业务经营和财务收支等重要业务组织开展专项审计
B. 对市农信办履行职责和财务收支情况进行检查
C. 组织开展对省联社管理干部的离任审计和经济责任审计,逐步推行对理(董)事履职情况的评价工作
D. 对内部检查暴露问题较多、案件风险隐患较大的县级行社进行解剖检查
E. 对容易发生案件事故的业务领域进行重点检查,促进县级行社经营管理活动的进一步规范,提高风险防控水平
【多选题】
如何认真做好业务专项检查工作___
A. 省联社内审部门组织做好千万元以上大额贷款的风险检查,对经省联社、市农信办咨询的大额贷款进行全覆盖检查
B. 各市农信办做好千万以上贷款的风险检查。
C. 加强对不良贷款清收盘活情况的监督检查,对存在弄虚作假行为的进行问责
D. 对财务收支变化较大的县级行社进行专项检查,确保财务收支的真实性、合法性
E. 认真开展IT系统审计,提升科技管控能力,防范出现系统性风险
【多选题】
为全面提升内部审计效能,如何进一步完善内部审计制度___
A. 完善离任审计办法,明确和量化对被审计人员的综合等级评定标准
B. 建立内部审计工作的考核评价制度
C. 出台审计项目主办责任人制度
D. 出台内部审计人员考核评价办法
E. 建立和完善内部审计工作问责制
【多选题】
审计检查工作检查人承诺事项下列哪些是正确的___
A. 自觉遵守审计工作的各项规章制度和纪律,树立审计监督工作良好形象
B. 坚持原则,认真仔细开展检查,客观公正反映问题,不扩大、不缩小、不隐瞒,对检查结果的真实性负责
C. 按照保密工作的要求,认真做好检查保密工作
D. 遇有需要回避的事项,检查人员应当参与不用回避
E. 认真执行廉政建设和廉洁自律的有关规定
【多选题】
审计检查工作被检查单位承诺事项那些是正确的___
A. 积极配合检查组开展工作,并提供必要的工作条件;
B. 及时提供检查所需资料,并对所提供资料的真实性、合法性、完整性负责;
C. 对检查人员提出的问题如实回答,对所反映的问题真实性负责不用负责
D. 对检查出的问题认真整改,并按时报送整改报告;
E. 遗漏或隐瞒需要披露的重大事项和重大关联交易信息
【多选题】
审计检查工作被检查人承诺事项有哪些? ___
A. 积极配合检查组开展工作
B. 及时提供检查所需资料,对所提供资料的真实性不用负责
C. 如实回答检查组询问、调查落实的相关信息
D. 不遗漏或隐瞒需要报告的个人重大事项和重大关联交易信息
E. 其他根据工作需要个人应承诺的事项
【多选题】
后续稽核审计工作遵循的原则是___
A. 公平公正
B. 落实责任
C. 客观公正
D. 实事求是
E. 整改到位的原则。
【多选题】
后续稽核审计报告的内容包括___
A. 审计目的
B. 审查结果
C. 以前审计报告中反映的问题
D. 整改措施、整改结果和人员处理情况
E. 后续稽核审计新发现的问题及后续稽核审计评价
【多选题】
在检查过程中,检查人员如有违背廉政承诺或被检查单位反映有不廉洁行为的经查实后,应如何处理___
A. 情节严重的,按有关规定处理后调离审计队伍,取消审计资格,五年后重新考试取得审计资格后方可从事审计监督工作
B. 情节严重的,按有关规定处理后调离审计队伍,取消审计资格,终身不得从事审计监督工作
C. 触犯法律的,根据违规情况,移交司法部门处理
D. 触犯法律的,移交司法部门处理
E. 情节轻微的可以免于追究违纪责任
【多选题】
后续稽核审计的主要内容是什么___
A. 被检查单位是否成立相应的违规违纪问题整改组织
B. 是否按照以保障资金安全或账务归真为核心制定详细的整改措施、是否落实整改责任人
C. 是否存在为整改而造成新的违规问题
D. 原审计工作是否存在严重的错审、漏审情况
E. 针对已经存在的问题是否建立或完善相应的内部控制制度,并得到有效实施
【多选题】
综合业务风险实时预警指导思想是什么___
A. 转变监督理念,提升监督手段,实现由规范性监督为主向风险性监督为主转变,
B. 由事后监督为主向事前监督为主转变
C. 由现场监督为主向现场监督和非现场监督并重转变
D. 防范道德风险, 规范员工个人行为
E. 防范操作风险,规范经营行为和操作流程
【多选题】
综合业务风险实时预警系统重点应做好的工作有___
A. 提高认识,成立专门组织
B. 明确职责,合理分工
C. 加强现场审计监督,提高管控风险的水平
D. 严格预警信息管理,有效防范风险
E. 加强信息沟通,提升系统运行效率
【多选题】
省联社、各市农信办成立风险实时预警系统管理中心,监控中心人员组成有___
A. 风险监控中心主管
B. 系统管理员
C. 综合柜员
D. 系统监控员
E. 程序设计员
推荐试题
【单选题】
69,入侵检测系统有其技术优越性,但也有局限性,下列说法错误的是___
A. 对用户知识要求高,配置、操作和管理使用过于简单,容易遭到攻击
B. 高虚频率,入侵检测系统会产生大量的警告信息和可疑的入侵行为记录,用户处理负担很重
C. 入侵检测系统在应对自身攻击时,对其他数据的检测可能会被控制或者受到影响
D. 警告消息记录如果不完整,可能无法与入侵行为关联
【单选题】
70,以下关于数字签名说法正确的是___
A. 数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息
B. 数字签名能够解决数据的加密传输,即安全传输问题
C. 数字签名一般采用对称加密机制
D. 数字签名能够解决篡改、伪造等安全性问题
【单选题】
71,由于Internet安全问题日益突出,基于TCP/IP协议,相关组织和专家在协议的不同层次设计了相应的安全通信协议,用来保障网络各层次的安全,其中,属于或依俯于传输层的安全协议 是___
A. PP2P
B. L2TP
C. SSL
D. IPSec
【单选题】
72,软件存在漏洞和缺陷是不可避免的,实践中常用软件缺陷密度(Defects/KLOC)来衡量软件的安全性,假设某个软件共有29.6万行源代码,总共被检测出145个缺陷啊,则可以计算出其软件缺陷密度值是___.
A. 0.00049
B. 0.049
C. 0.49
D. 49
【单选题】
73,应急响应是信息安全事件管理的重要内容。基于应急响应工作的特点和事件的不规则性,事先创定出事件应急响应方法和过程,有助于一个组织在事件发生时阻止混乱的发生成是在混乱状态中迅速恢复控制,将损失和负面影响降到最低。应急响应方法和过程并不是唯一的。一种被广为接受的应急响应方法是将应急响应管理过程分为6个阶段,为准备→检测→遏制-,根除→恢复→跟踪总结。请问下列说法有关于信息安全应急响应管理过程错误的是 ___
A. 确定重要资产和风险,实施针对风险的防护措施是信息安全应急响应规划过程中最关键的步骤
B. 在检测阶段,首先要进行监测、报告及信息收集
C. 遏制措施可能会因为事件的类别和级别不同而完全不同。常见的遏制措施有完全关闭所有系统、拔掉网线等
D. 应按照应急响应计划中事先制定的业务恢复优先顺序和恢复步骤,顺次恢复相关的系统
【单选题】
74,Kerberos协议是常用的集中访问控制协议,通过可信第三方的认证服务,减轻应用服务器的负担,Kerberos的动行环境由密钥分发中心(KDC)、应用服务器和客户端三个部分组成,其中,KDC分为认证服务器AS和篡改授权服务器TGS两部分,下图展示了Kerberos协议的三个阶段,分别 为(I)Kerberos获得服务许可票据,(2)Kerberos获得服务,(3)Kerberos获得票据许可票据,下列选项中,对这三个阶段的排序正确的是___
A. (1)-(2)-(3)
B. (3)-(2)-(1)
C. (2)-(1)-(3)
D. (3)-(1)-(2)
【单选题】
75,小华在某电子商务公司工作,某天他在查看信息系统设计文档时,发现其中标注该信息系统的RPO(恢复点目标)指标为3小时,请问这意味着___
A. 该信息系统发生重大信息安全事件后,工作人员应在3小时内到位,完成问题定位和应急处理工作
B. 该信息系统发生重大信息安全事件后,工作人员应在3小时内完成应急处理工作,并恢复对外运行
C. 若该信息系统发生重大信息安全事件,工作人员在完成处置和灾难恢复工作后,系统至少能提供3小时的紧急业务服务能力
D. 若该信息系统发生重大信息安全事件,工作人员在完成处置和灾难恢复工作后,系统至多能丢失3小时的业务数据
【单选题】
76,《国家信息化领导小组关于加强信息安全保障工作的意见》中办发【2003】27号明确了我国信息安全保障工作的___,加强信息安全保障工作的(),需要重点加强的信息安全保障工作,27号文的重大意义是,安标志着我国信息安全保障工作有了(),我国最近十余年的信息安全保障工作都是围绕此政策性文件而()的,渗透了我国()的各项工作。
A. 方针;主要原则;总体纲领;展开和推进;信息安全保障建设
B. 总体要求;总体纲领;主要原则;展开;信息安全保障建设
C. 方针和总体要求;主要原则;总体纲领;展开和推进;信息安全保障建设
D. 总体要求;主要原则;总体纲领;展开;信息安全保障建设
【单选题】
77,规范的实施流程和文档管理,是信息安全风险评估能否取得成果的重要基础,某单位在实施风险评估时,按照规范形成了若干文档,其中,下面___中的文档应属于风险评估中“风险要素识别”阶段输出的文档。
A. 《风险评估方案》,主要包括本次风险评估的目的、范围、目标、评估步骤、经费预算和进度安排等内容
B. 《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容
C. 《风险评估准则要求》,主要包括现有风险评估参考标准、采用的风险分析方法、资产分类标准等内容
D. 《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容
【单选题】
78,以下关于互联网协议安全(Internet Protocol Security,IPsec)协议说法错误的是___
A. 在传送模式中,保护的IP负载
B. 验证头协议(Authentication Head,AH)和IP封装安全载荷协议(Encapsu;ating Security Payload,ESP)都能以传输模式式作
C. 在隧道模式中,保护的是整个互联网协议(Internet Protocol,IP)包,包括IP头
D. IPsec仅能保证传输数据的可认认证性和保密性
【单选题】
79,由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是___
A. 要求开发人员采用敏捷开发模型进行开发
B. 要求所有的开发人员参加软件安全意识培训
C. 要求规范软件编码,并制定公司的安全编码准则
D. 要求增加软件安全测试环节,尽早发现软件安全问题
【单选题】
84, 风险,在GB/T 22081 中定义为事态的概率及其结果的组合,风险的目标可能有很多不同的方面,如财务目标、健康和人身安全目标、信息安全目标和环境目标等;目标也可能有不同的级别,如战略目标、组织目标、项目目标、产品目标和过程目标等。ISO/IBC 13335-1 中揭示了风险各要素关系模型,如图所示,请结合此图,怎么才能降低风险对组织产生的影响?___
A. 组织应该根据风险建立响应的保护要求,通过构架防护措施降低风险对组织产生的影响(解释:A可以算是BCD的综合)
B. 加强防护措施,降低风险
C. 减少威胁和脆弱点降低风险
D. 减少资产降低风险
【单选题】
85, 某单位在一次信息安全风险管理活动中,风险评估报告提出服务器A的FTP服务存在高风险漏洞,随后该单位在风险处理时选择了关闭FTP服务的处理措施,请问该措施属于哪种风险处理方式___
A. 风险降低
B. 风险规避
C. 风险转移
D. 风险接受
【单选题】
86,Gary MoGrow博士及其合作都提出软件安全应由三根支柱来支撑,这三个支柱是___
A. 测代码审核,风险分析和渗透测试
B. 应用风险管理,软件安全接触点和安全知识
C. 威胁建模,渗透测试和软件安全接触点
D. 威胁建模,测代码审核和模模糊测试
【单选题】
87,王工是某单位的系统管理用员,他在某次参加了单位组织的风险管理工作时,发现当前案例中共有两个重要资产;资产A1和资产A2;其中资产A1面临两个主要威胁;威胁T1和威胁T2;面资产A2面临一个主要威胁;威胁T3;威胁T1可以利用的资产A1存在的两个脆弱性;脆弱性V1和脆弱性V2;威胁T2存在的两个脆弱性;脆弱性V6和脆弱性V7,根据上述条件,请问;使用相乘法时,应该为资产A1计算几个风险值___
【单选题】
88,___第二十条规定存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照(A)实行分级保护,(A)应当按照国家保密标准配备保密设施、设备、(A)设备应当与涉密信息系统同步规划、同步建设、同步运行9三同步),涉密信息系统应当按照规定,经(A)后,方可投入使用。
A. 《保密法》;涉密程度;涉密信息系统保密设施;检查合格
B. 《国家保密法》;涉密程度;涉密系统;保密设施;检查合格
C. 《国家保密法》;涉密程度;涉密系统;保密设施;检查合格
D. 《安全保密法》;涉密程度;涉密信息系统;保密设施;检查合格
【单选题】
89,以下关于法律的说法错误的是___
A. 法律是国家意志的统一体现,有严密的逻辑体系和效力
B. 法律可以是公开的,也可以是“内部”的
C. 一旦制定,就比较稳定,长期有效,不允许经常更改
D. 法律对违法犯罪的后果由明确规定,是一种“硬约束”
【单选题】
90,金女士经常通过计算机在互联网上购物,从安全角度看,下面哪项是不好的操作习惯___
A. 使用专用上网购物用计算机,安装好软件后不要对该计算机上的系统软件,应用软件进行升级
B. 为计算机安装具有良好声誉的安全防护软件,包括病毒查杀,安全检查和安全加固方面的软件
C. 在IE的配置客中,设置只能下载和安装经过签名的,安全的ActiveX控件
D. 在使用网络浏览器时,设置不在计算机中保留网络历史记录和表单数据
【单选题】
92,关于Wi-Fi联盟提出的安全协议WPA和WPA2的区别,下面描述正确的是___
A. WPA是有线局域安全协议,而WPA2是无线局域网协议
B. WPA是适用于中国的无线局域安全协议,而WPA2是适用于全世界的无线局域网协议
C. WPA没有使用密码算法对接入进行认证,而WPA2使用了密码算法对接入进行认证
D. WPA是依照802.11i标准草案制定的,而WPA2是依照802.11i正式标准制定的
【单选题】
93,对信息安全事件的分级参考下列三个要素:信息系统的重要程度、系统损失和社会影响,依据信息系统的重要程度对信息上系统进行划分,不属于正确划分级别的是___
A. 特别重要信息系统
B. 重要信息系统
C. 一般信息系统
D. 关键信息系统
【单选题】
94,在国家标准GB/T 20274.1-2006《信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》中,信息系统安全保障模型包含哪几个方面?___
A. 保障要素、生命周期和运行维护
B. 保障要素、生命周期和安全特征
C. 规划组织、生命周期和安全特征
D. 规划组织、生命周期和运行维护
【单选题】
95,实体身份鉴别的方法多种多样,且随着技术的进步,鉴别方法的强度不断提高,常见的方法有利用口令鉴别、令牌鉴别、指纹鉴别等。小王在登录某移动支付平台时,首先需要通过指纹对用户身份进行鉴别,通过鉴别后,他才能作为合法用户使用自己的账户进行支付、转账等操作。这种鉴别方法属于下列选项中的___
A. 实体所知的鉴别方法
B. 实体所有的鉴别方法
C. 实体特征的鉴别方法
D. 实体所见的鉴别方法
【单选题】
96,在某次信息安全应急响应过程中,小王正在实施如下措施,消除或阻断攻击派,找到并消除系统的脆弱性/漏洞、修改安全策略、加强防范措施、格式化被感染恶意程序的介质,请问,按照PDCERF应急响应方法,这些工作应处于以下哪个阶段___
A. 准备阶段
B. 检测阶段
C. 遏制阶段
D. 根除阶段
【单选题】
97,按照我国信息安全等级保护的有关政策和标准,有些信息系统只需自主定价、自主保护,按照要求向公安机关备案即可,可以不需要上级或主管部门来测评和检查。此类信息系统应属于___
A. 零级系统
B. 一级系统
C. 二级系统
D. 三级系统
【单选题】
98,以下关于灾难恢复和数据备份的理解,说法正确的是___
A. 增量备份是备份从上次完全备份后更新的全部数据文件
B. 依据具备的灾难恢复资源程度的不同,灾难恢复能力分为7个等级
C. 数据备份按数据类型划分为系统数据备份和用户数据备份
D. 如果系统在一段时间内没有出现问题,就可以不用再进行容灾演练了
【单选题】
99,有关系统安全工程-能力成熟度模型(SSE-CMM),错误的理解是___
A. SSE-CMM要求实施组织与其他组织相互作用,如开发方、产品供应商、集成商和咨询服务商等
B. SSE-CMM可以使安全工程成为一个确定的、成熟的和可度量的科目
C. 基于SSE-CMM的工程是独立工程,与软件工程,硬件工程,通信工程等分别规划实施
D. SSE-CMM覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动
【单选题】
100,数据在进行传输前,需要由协议找自上而下对数据进行封装,TCP/IP协议中,数据封装的顺序是___
A. 传输层、网络接口层、互联网络层
B. 传输层、互联网络层、网络接口层
C. 互联网络层、传输层、网络接口层
D. 互联网络层、网络接口层、传输层
【单选题】
关于信息安全管理,下列理解正确的是___
A.
B.
C.
D. 坚持管理与技术并重的原则,是我国加强信息安全保障工作的主要原则之一
【单选题】
若一个组织声称自己的ISMS符合ISO/IEC 27001或GB/T22080标准要求。其信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰。关键或敏感的信息及信息处理设施应放在安全区域内并受到相应保护。该目标可以通过以下控制措施来实现,不包括哪一项___。
A. 物理安全边界、物理入口控制
B. 办公室、房间和设施的安全保护。外部和环境威胁的安全防护
C. 在安全区域工作。公共访问、交接区安全
D. 人力资源安全
【单选题】
访问控制的实施一般包括两个步骤,首先要鉴别主体的合法身份,接着根据当前系统的访问控制规则授予相应用户的访问权限。在此过程中,涉及主体、客体、访问控制实施部件和访问控制决策部件之间的交互。下图所示的访问控制实施步骤中,标有数字的方框代表了主体、客体、访问控制实施部件和访问控制决策部件。下列选项中,标有数字1、2、3、4的方框分别对应的实体或部件正确的是___
A. 主体、访问控制决策、客体、访问控制实施
B. 主体、访问控制实施、客体、访问控制决策
C. 客体、访问控制决策、主体、访问控制实施
D. 客体、访问控制实施、主体、访问控制决策
【单选题】
以下哪个说法最符合《网络安全法》中关于网络的定义___
A. 计算机局域网
B. 包含服务器、交换机等设备的系统
C. 覆盖处理各种信息的设备的网络空间
D. 人与人交往联系的社会网络
【单选题】
关于信息安全保障技术框架(IATF),以下说法不正确的是___
A. 分层策略允许在适当的时候采用低安全保障解决方案以便降低信息安全保障的成本
B. IATF从人、技术和操作三个层面提供一个框架实施多层保护,使攻击者即使攻破一层也无法破环整个信息基础设施
C. 允许在关键区域(例如区域边界)使用高安全级保障解决方案,确保系统安全
D. IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制
【单选题】
10我国等级保护政策发展的正确顺序是___---1等级保护相关政策文件的发布---2计算机系统安全保护等级划分的思想提出---3等级保护相关标准发布---4网络安全法等级保护制度作为基本国策---5等级保护工作试点
A. 1.2.3.4.5
B. 2.3.1.5.4
C. 2.5.1.3.4
D. 1.2.4.3.5
【单选题】
一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成,而其安全性质是由___决定的
A. 加密算法
B. 解密算法
C. 加密和解密算法
D. 密钥
【单选题】
Kerberos协议是常用的集中访问控制协议,通过可信第三方的认证服务,减轻应用服务器的负担,Kerberos的动行环境由密钥分发中心(KDC)、应用服务器和客户端三个部分组成,其中,KDC分为认证服务器AS和篡改授权服务器TGS两部分,下图展示了Kerberos协议的三个阶段,分别 为(I)Kerberos获得服务许可票据,(2)Kerberos获得服务,(3)Kerberos获得票据许可票据,下列选项中,对这三个阶段的排序正确的是___
A. (1)-(2)-(3)
B. (3)-(2)-(1)
C. (2)-(1)-(3)
D. (3)-(1)-(2)
【单选题】
关于信息安全管理体系的作用,下面理解错误的是___。
A. 对内而言,有助于建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查
B. 对内而言,是一个光花钱不挣钱的事情,需要组织通过其他方面收入来弥补投入
C. 对外而言,有助于使各利益相关方对组织充满信心
D. 对外而言,能起到规范外包工作流程和要求,帮助界定双方各自信息安全责任
【单选题】
以下关于法律的说法错误的是___
A. 法律是国家姿态的一种体现,有严密的逻辑体系和效力
B. 法律是可以公开的,也可以是“内部”的
C. 一旦制定,就比较稳定,长期有效,不允许经常更改
D. 法律对违法犯罪的后果有明确约定,是一种“硬约束”
【单选题】
信息系统由三个部分组成,即___:作为保护和预防机制。分为三个层次:__:信息安全其中基本属性是__
A. 硬件、软件和通信;物理、个人和组织;保密性、完整性和可用性;
B. 硬件、软件和通信;保密性、完整性和可用性;物理、个人和组织;
C. 物理、个人和组织;硬件、软件和通信;保密性、完整性和可用性;
D. 物理、个人和组织;保密性、完整性和可用性;硬件、软件和通信;
【单选题】
信息系统中,访问控制是重要的安全功能之一。他的任务是在用户对系统资源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类,通过对主体身份的识别来限制其对客体的访问权限。下列选项中,对主体、客体和访问权限的描述中错误的是___
A. 对文件进行操作的用户是一种主体
B. 主体可以接受客体的信息和数据,也可能改变客体相关的信息
C. 访问权限是指主体对客体所允许的操作
D. 对目录的访问权可分为读、写和拒绝访问
【单选题】
为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工作所需要的一系列标准,这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标准中,___规定了等级保护定级阶段的依据、对象、流程、方法及等级变更等内容。
A. GB/T20271-2006《信息系统通用安全技术要求》
B. GB/T22240-2008《信息系统安全保护等级定级指南》
C. GB/T25070-2010《信息系统等级保护安全设计技术要求》
D. GB/T20269-2006《信息系统安全管理要求》