【单选题】
客户验收测试即将结束,但是客户要求在提供批准之前进行一项变更。项目 经理应该怎么做?
A. 应用核实范围过程。
B. 通知项目发起人。
C. 进行变更,并获得批准。
D. 通过实施整体变更控制过程将该请求添加进范围当中。
查看试卷,进入试卷练习
微信扫一扫,开始刷题
参考答案: D。 解析:变更应当遵循整体变更控制过程。
相关试题
【单选题】
项目经理刚刚被任命管理一个正在进行中的项目,了解到许多批准的变更请 求还未解决。项目经理应该遵循下列哪一个流程?
A. 核实范围
B. 控制沟通
C. 指导与管理项目工作
D. 实施整体变更控制
【单选题】
项目范围已经历不断增长,这对进度和成本造成负面影响。若要尽可能减少 这些影响,项目经理最好应事先完成哪一项?
A. 制定变更管理计划
B. 请求项目发起人批准
C. 改进沟通
D. 评估项目需求,制定项目可交付成果
【单选题】
变更请求已经获得变更控制委员会( CCB)的批准。项目经理下一步应该怎么做?
A. 执行变更。
B. 更新项目管理计划。
C. 更新项目基准。
D. 通知项目发起人。
【单选题】
变更控制委员会( CCB)批准了一些影响项目进度和预算的变更。下列哪一 项应该是必需的?
A. 纠正措施或缺陷补救
B. 纠正措施或重定进度措施
C. 缺陷补救或重新定义措施
D. 强制或预防措施
【单选题】
在为一项已获批准的变更请求工作时,项目团队添加了一个不属于已批准变 更请求的功能。项目经理认为这项功能将十分有益。 若要管理这个额外的变更,项目经理下一步应该做什么?
A. 提交一份新的变更请求用户批准。
B. 执行相关方分析。
C. 将额外功能记录作为原始变更请求的组成部分。
D. 咨询项目发起人。
【单选题】
项目经理开始一个建设新厂房的项目。客户提出如果修改项目基准,项目经 理必须经过多级审批。为了记录这些审批环节,项目经理应制定下列哪一项?
A. 变更控制程序
B. 问题日志
C. 相关方参与计划
D. 相关方登记册
【单选题】
在新产品开发项目期间,政府颁布新的法规,提高了零件进口关税。项目经 理下一步该怎么做?
A. 向变更控制委员会提交变更请求。
B. 询问发起人应如何解决这个问题。
C. 评估风险登记册。
D. 使用应急预算。
【单选题】
在一个职能型组织结构中,拥有关键完工日期的项目落后于进度,但是按照 挣值分析,目前仍低于预算。为了按时交付项目,项目经理建议增加五个技能娴 熟的资源。 项目经理下一步该怎么办?
A. 更新人力资源管理计划和进度基准。
B. 将变更单提交给变更控制委员会批准。
C. 向项目发起人提交变更请求,用于批准。
D. 增加额外的资源,因为有充足的可用资金。
【单选题】
一个新产品开发项目符合进度。在执行阶段结束时,一项新法律颁布,更改 了产品的质量标准,项目经理首先应该做什么?
A. 与发起人沟通变更。
B. 更新项目沟通管理计划。
C. 协商获得更多资金,保证项目符合进度。
D. 完成并提交变更请求表。
【单选题】
一个库存管理系统的交付按价值$400 万美元的合同分包。在系统部署期间, 开发商发现测试协议不满足质量要求。需要额外的时间和资金来完成测试。 下列哪一项包含评估额外测试以及提供$20,000 美元资金的过程?
A. 风险管理计划
B. 资源管理计划
C. 变更管理计划
D. 质量管理计划
【单选题】
在项目执行期间,项目发起人离开公司。项目经理下一步该怎么做?
A. 实施整体变更控制。
B. 分散项目权利和决策制定。
C. 制作一份项目状态报告。
D. 进行相关方分析。
【单选题】
一个项目拥有固定完工日期。从之前的经验看,该客户以不断要求修改项目 可交付成果而出名,这会增加无法满足项目期限的风险。 为避免这个风险,项目经理应该怎么做?
A. 执行风险分析并将结果发送给客户,强调无法满足项目期限的高可能性。
B. 制定一份变更管理计划,要求联合批准变更,并将其提交给相关方批准。
C. 使用关键路径制定进度计划,并将其提交给客户,证明无变更浮动时间。
D. 通知客户项目期间不接受任何变更,除非进行合同评审。
【单选题】
预防措施已经获得变更控制委员会( CCB)的批准。项目经理下一步该怎么做?
A. 实施该措施。
B. 为风险添加应急储备。
C. 请求项目发起人的授权。
D. 签发变更请求。
【单选题】
一条新的政府法规将要求对一个处于开发阶段的产品进行变更。项目团队在 项目开始时修订项目管理计划用以实施新的需求,而非在后期添加需求。 这应该使用什么类型的变更请求?
A. 纠正措施
B. 主动措施
C. 预防措施
D. 更新措施
【单选题】
项目经理了解到一项变更请求已获批准。这项变更将影响到项目成本和项目进度。 项目经理应该怎么做?
A. 变更基准。
B. 变更风险登记册。
C. 变更工作分解结构。
D. 变更资源计划。
【单选题】
在一个符合进度计划的为期 12 个月项目的第六个月,项目发起人通知项目经 理项目必须在三个月内完工。项目经理下一步该怎么做?
A. 要求团队成员加班工作,以适应缩短的进度计划。
B. 要求额外的资金赶工。
C. 记录变更请求,并执行整体变更控制。
D. 要求更多资源快速跟进进度计划。
【单选题】
项目正在进行当中,项目经理从公司离职,任命了一名新的项目经理。发起 人让新项目经理检查一名关键相关方修改请求的状态。 项目经理可以从哪里找到这个信息?
A. 项目文件更新
B. 变更日志
C. 相关方参与计划
D. 沟通管理计划
【单选题】
客户拒绝了对产品的一项变更,即使已遵循变更控制过程。项目经理首先应该做什么?
A. 执行配置核实和审计。
B. 审查详细的变更控制日志。
C. 审计变更授权。
D. 评估变更控制绩效。
【单选题】
在项目启动大会上,首席执行官( CEO)提出的变更将会影响项目范围。项目经理应如何响应?
A. 通知 CEO 项目团队将调查所提议变更的影响。
B. 通知 CEO 范围已最终确定,无法变更。
C. 按 CEO 请求接受变更。
D. 在项目实施阶段考虑 CEO 的变更。
【单选题】
项目团队识别到一个紧急事件,要求立即进行变更。由于进度计划有限,没 有足够的时间遵循标准的变更控制流程。 项目经理下一步该怎么做?
A. 停止项目,直到变更获得变更控制委员会的批准为止。
B. 建立新的变更控制委员会来评估变更。
C. 通知项目发起人并询问意见。
D. 首先记录变更,并在之后获得变更控制委员会的批准。
【单选题】
项目团队在其试验阶段交付一个系统,客户识别到影响最终用户的一个问题。 在项目团队为这个问题工作一周后,客户通知项目经理的主管该问题未得到解决, 并要求立即采取措施。 项目经理下一步该怎么做?
A. 审查项目登记册,并采取相应措施。
B. 审查实施整体变更控制过程,并采取相应措施。
C. 审查质量管理计划,并采取相应措施。
D. 审查沟通管理计划,并采取相应措施。
【单选题】
一个制造项目预期每周将交付 100,000 件产品,周缺陷率不大于 0.01%。在过去 四周,测量到的缺陷率却是 0.3%、 0.1%、 1%和 0.45%。项目经理集合了一支专家 队,判定原材料不满足质量技术规范。团队决定将有必要修订原材料检查过程。 项目经理应如何处理这项信息?
A. 执行优势、劣势、机会与威胁(SWOT)分析。
B. 提出变更请求。
C. 请求额外的质量资源。
D. 开展一致成本研究。
【单选题】
由于缺乏供应商支持,实施了将一个外部软件模块替换成内部模块的权变措 施。由于没有供应商答复的计划日期,项目经理应该怎么做?
A. 等待供应商的答复,并将该问题上报给项目发起人
B. 将该权变措施作为一项变更请求提交给变更控制委员会(CCB)
C. 遵循范围管理计划
D. 更新问题日志
【单选题】
项目工作完成后三个月,客户继续请求对可交付成果进行一些小变更,称项 目仍在继续进行。客户的运营团体已经使用这些可交付成果,并无任何问题,但是管理层仍未验收该项目。项目经理应该采取什么措施?
A. 联系法律部门,根据合同启动法律诉讼
B. 根据范围核实的验收文件协商项目收尾
C. 通知客户所有活动均已执行并宣布项目收尾
D. 进行变更,因为是有必要的,并且可能对未来客户关系有利
【单选题】
项目经理已经收到多个批准的需求变更。所有变更均按照变更控制流程进行。 六个月后,团队无法确定已完成进度的百分比。为避免这种情况,项目经理应该 怎么做?
A. 确保项目进度计划包含所有批准的变更,并已与项目团队沟通
B. 安排与团队召开一次周会,审查项目管理计划,并包含相应的变更
C. 识别并分析可交付成果以及分配给每名团队成员的相关工作
D. 构造和组织工作分解结构
【单选题】
在可交付成果阶段,一个价值数十亿美元的项目遇到严重的质量问题。彻底 调查和分析识别到根本原因,现在需要重新定义项目范围。项目经理下一步应该怎么做?
A. 更新经验教训知识库。
B. 修订采购管理计划。
C. 通知关键项目相关方。
D. 执行变更管理计划。
【单选题】
项目发起人担心多个项目范围变更,并希望了解未来的范围变更对项目可交 付成果的完成有何影响。项目经理应是用什么工具或技术来解决这个问题?
A. 蒙特卡洛模拟
B. 专家判断
C. 趋势分析
D. 德尔菲技术
【单选题】
项目经理接到来自供应商的电话,说由于工厂发生洪水,可交付成果将发生 严重延期。项目经理下一步应该怎么做?
A. 检查协议或采购订单。
B. 更新项目进度计划。
C. 提交一份合同变更请求。
D. 确认工作说明书(SOW)。
【单选题】
在一个 IT 系统实施项目的执行阶段,客户要求开发团队变更。这些变更已经 获得批准。但项目经理认为这些变更与原始项目需求有冲突。项目经理应该怎么做?
A. 更新变更日志
B. 提出变更请求
C. 修订变更管理计划
D. 执行预防和纠正措施
【单选题】
项目团队定期向客户演示软件。客户在这些演示中请求变更,然后合并这些 变更。这导致团队落后于进度计划。若要预防这个问题,项目经理应该是先做什么?
A. 使用快速跟进
B. 将这种变更定义为项目风险
C. 创建一个变更控制过程
D. 分配更多的项目资源
【单选题】
项目的主要相关方要求对一个优先问题立即采取纠正措施,并批准项目经理 继续。项目经理下一步应该怎么做?
A. 请求变更控制委员会(CCB)的批准。
B. 评估对关键路径的影响,并更新进度基准。
C. 更新问题日志。
D. 继续进行变更。
【单选题】
在项目执行两周时,团队成员报告客户询问工程师有关一个可能的新功能问 题。项目经理下一步该怎么做?
A. 与客户讨论变更项目范围的风险。
B. 记录客户的问题,并根据变更管理计划进行。
C. 告知客户任何变化都将导致更高的成本。
D. 评估影响,并与客户一起审查项目范围。
【单选题】
项目经理担心大量的变更请求已经导致项目偏离其原始目的。哪一份文件有 助于评估这些变更请求的影响?
A. 问题日志
B. 项目范围说明书
C. 需求跟踪矩阵
D. 范围基准
【单选题】
执行项目后评价时,项目经理识别到产品设计是各种制造问题的根本原因。 项目经理下一步应该怎么做?
A. 更新风险登记册。
B. 审查项目管理计划。
C. 应用实施整体变更控制过程。
D. 更新经验教训知识库。
【单选题】
一个项目符合进度计划,且接近最终交付日期。在状态会上, 相关方要求项 目经理在项目收尾之前包含一个额外的可交付成果。这个可交付成果之前讨论过, 但是,没有协议约定包含该可交付成果。项目经理首先应该做什么?
A. 将可交付成果包含进项目中。
B. 执行影响分析。
C. 核实范围说明书。
D. 创建变更请求。
【单选题】
在项目执行期间,项目经理注意到一个成本偏差。采取措施之前,应查看哪一项计划?
A. 变更管理计划
B. 需求管理计划
C. 风险管理计划
D. 进度管理计划
【单选题】
在项目执行期间,一名团队成员建议增加一个新功能,将为客户提供高价值。 但需要一些额外成本。项目经理应该怎么做?
A. 批准团队成员的建议。
B. 拒绝团队成员的建议。
C. 与客户谈话。
D. 咨询变更控制委员会(CCB)。
【单选题】
在项目执行期间, 项目经理得知必须包含一个新项目相关方的需求。这将需 要三天时间实施,但预期不会影响关键路径。项目经理应该怎么做?
A. 实施整体变更控制过程
B. 签发变更请求
C. 更新相关方登记册
D. 从项目团队获得专家判断
【单选题】
一名工程师在没有提交变更请求的情况下,完成一个项目相关方的一项可交 付成果设计变更请求。项目经理应该怎么做?
A. 获得为何进行变更的相关信息。
B. 审查变更的影响,并提交变更请求。
C. 更新问题日志。
D. 指示该工程师撤销变更。
【单选题】
用户验收测试后,项目发起人要求变更一个在需求定义阶段约定的功能。项 目经理应该怎么做?
A. 立即实施变更,更新项目管理计划。
B. 向变更控制委员会(CCB)提交一份变更请求。
C. 更新需求追踪矩阵。
D. 要求项目发起人批准,并实施变更。
推荐试题
【单选题】
SABSA模型包括___,它是一个( ), 它在第一层从安全的角度定义了( ).模型的每一层在抽象方面逐层减少,细节逐层增加,因此,它的层级都是建在其他层之上的,从策略逐渐到技术和解决方案的( ).其思路上创新提出了一个包括战略、概念、设计、实施、度量和审计层次的( ) .
A. 五层:业务需求:分层模型:实施实践:安全链条
B. 六层:分层模型:业务需求:实施实践:安全链条
C. 五层:分层模型:业务需求:实施实践:安全链条
D. 六层:分层模型:实施实践:业务需求:安全链条
【单选题】
PFKI的主要理论基础是___.
A. 对称密码算法
B. 公钥密码算法
C. 量子密码
D. 摘要算法
【单选题】
82关于信息安全保障技术框架(IATF),以下说法不正确的是___.
A. 分层策略允许在适当的时候采用低安全级保障解决方案以使降低信息安全保障的成本
B. IATP从人、技术和操作三个层面提供个框架实施多层保护,使攻击者即使攻破一层也无法破环整个信息基础设
C. 允许在关键区域(例如区城边界)使用高安全级保障解决方案,确保系统安全性
D. IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制
【单选题】
常见的访问控制模型包括自主访间控制模型、强制访问控制模型和基于角色的访问控制模型等。下面描述中错误的是___。
A. 从安全性等级来看,这三个模型安全性从低到高的排序是自主访问控制模型、强制访间控制模型和基于角色的访间控制模型
B. 自主访问控制是一种广 泛应用的方法,资源的所有者(往往也是创建者)可以规定谁有权访问它们的资源,具有较好的易用性和可扩展性
C. 强制访问控制模型要求主体和客体都有一- 个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体。该模型具有一定的抗恶意程序攻击能力,适用于专用或安全性要求较高的系统
D. 基于角色的访问控制模型的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限,该模型便于实施授权管理和安全约束,容易实现最小特权、职责分离等各种安全策略
【单选题】
小王在学习信息安全管理体系相关知识之后,对于建立信息安全管理体系,自己总结了下面四条要求,其中理解不正确的是___.
A. 信息安全管理体系的建立应参照国际国内有关标准实施,因为这此标准是标准化组织在总结研究了很多实际的或潜在的问题后,制定的能共同的和重复使用的规则
B. 信息安全管理体系的建立应基于最新的信息安全技术,因为这是国家有关信息安全的法律和法规方面的要求,这体现以预防控制为主的思想
C. 信息安全管理体系应强调全过程和动态控制的思想,因为安全问题是动态的,系统所处的安全环境也不会一成不变,不可能建设永远安全的系统
D. 信息安全管理体系应体现科学性和全面性的特点,因为要对信息安全管理涉及的方方面面实施较为均衡的管理,避免遗漏某些方面而导致组织的整体信息安全水平过低
【单选题】
Kerberos协议是一种集中访问控制协议,它能在复杂的网络环境中,为用户提供安全的单点登录服务.单点登录是指用户在网络中进行一次身份认证,便可以访问其授权的所有网络资源,而不再需要其他的身份认证过程,实质是消息M在多个应用系统之间的传递或共享.其中,消息M是指以下选项中的___.
A. 安全凭证
B. 用户名
C. 加新密钥
D. 会话密钥
【单选题】
关于信息安全管理,下面理解片面的是___.
A. 信息安全管理是组织整体管理的重要、固有组成部分,它是组织实现其业务目标的重要保障
B. 信息安全管理是一个不断演进、循环发展的动态过程,不是一成不变的
C. 在信息安全建设中,技术是基础,管理是拔高,即有效的管理依赖于良好的技术基础
D. 坚持管理与技术并重的原则,是我国加强信息安全保障工作的主要原则之一
【单选题】
在某信息系统的设计中,用户登录过程是这样的:(1)用户通过HTTP 协议访问信息系统:(2)用户在登录页面输入用户名和口令:(3)信息系统在服务器端检查用户名和密码的正确性,如果正确,则鉴别完成.可以看出.,这个盗别过程属于___
A. 单向盗别
B. 双向鉴别
C. 三向鉴别
D. 第三方鉴别
【单选题】
若一个组织声称自己的ISMS 符合 ISO/IEC 27001或GB/T22080标准要求,其信息安全控制措施通常需要在人力资源安全方面实施常规控制,人力资源安全划分为3个控制阶段,不包括哪一项___
A. 任用之前
B. 任用中
C. 任用终止或变化
D. 任用公示
【单选题】
以下哪项制度成标准被作为我国的一项基础制度加以推行,并且有一定强制性,其实施的主要目标是有效地提高我国信息和信息系统安全建设的整体水平,重点保障基础信息网络和重要信息系统的安全.___
A. 信息安全管理体系(ISMS)
B. 信息安全等级保护
C. NIST SP800
D. ISO 270000系列
【单选题】
CC标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC标准的先进性___
A. 结构的开放性,即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展
B. 表达方式的通用性,即给出通用的表达方式
C. 独立性,它强调将安全的功能和保证分离
D. 实用性,将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中
【单选题】
关于对信息安全事件进行分类分级管理的原因描述不正确的是___.
A. 信息安全事件的种类很多,严重程度也不尽相同,其响应和处理方式也应各不相同
B. 对信息安全事件进行分类和分级管理,是有效防范和响应信息安全事件的基础
C. 能够使事前准备、事中应对和事后处理的各项相关工作更具针对性和有效性
D. 我国早期的计算机安全事件的应急响应工作主要包括计算机病毒防范和“千年虫”问题的解决,关于网络安全应急响应的起步最早
【单选题】
《信息安全保障技术框架》(Information Assurance Technical Framework, IATF)是由___发布的。
【单选题】
ISO9001-2000标准鼓励的制定、实施质量管理体系以及改进其有效性时采用过程方法,通过满足顾客要求,增进顾客满意度。下图是关于过程方法的示意图,图中括号空白处应填写___。
【单选题】
数字签名不能实现的安全特性为___.
A. 防抵赖
B. 防伪造
C. 防冒允
D. 保密通信
【单选题】
即使最好用的安全产品也存在___.结果,在任何的系统中敌手最终都能够找出一个被开发出的漏洞.一种有效的对策是在敌手和它的目标之间配备多种( ).每一种机制都应包括( )两种手段.
A. 安全机制:安全缺陷:保护和检测
B. 安全缺陷:安全机制:保护和检测
C. 安全缺陷:保护和检测:安全机制
D. 安全缺陷:安全机制:外边和内部
【单选题】
有关危害国家秘密安全的行为包括___.
A. 严重违反保密规定行为,定密不当行为,公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为
B. 严重违反保密规定行为,公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为,但不包括定密不当行为
C. 严重违反保密规定行为,定密不当行为、保密行政管理部门的工作人员的违法行为,但不包括公共信息网络运营商及服务商不履行保密义务的行为
D. 严重违反保密规定行为,定密不当行为,公共信息网络运营商及服务商不履行保密义务的行为,但不包括保密行政管理部门的工作人员的违法行为
【单选题】
若一个组织声称自己的ISMS符合ISO/IEC 27001或GB/T22080标准要求,其信息安全控制措施通常在以下方面实瓶常规控制,不包括哪一项___
A. 信息安全方针,信息安全组织、资产管理
B. 人力资源安全,物理和环境安全,通信和操作管理
C. 访问控制、信息系统状取、开发和维护、符合性
D. 规划与建立.ISMS
【单选题】
Network,IPsec VPN)时,以下说法正确的是___.
A. , 配置MDS安全算法可以提供可靠地数据加密
B. 配置AES算法可以提供可靠的数据完整性验证
C. 部署IPsec VPN网络时,需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,来减少IPsec安全关联(Security Authentication, SA)资源的消耗
D. 报文验证头协议(Authentication Header, AH)可以提供数据机密性
【单选题】
在风险管理中,残余风险是指在实施了新的或增强的安全措施后还剩下的风险,关于残余风险,下面描述错误的是___.
A. 风险处理措施确定以后,应编制详细的残余风险清单,并获得管理层对残余风险的书面批准,这也是风险管理中的一个重要过程
B. 管理层确认接受残余风险,是对风险评估工作的一种肯定,表示管理层已经全面了解了组织所面临的风险,并理解在风险一旦变为现实后,组织能够且必须承担引发的后果
C. 接受残余风险,则表明没有必要防范和加固所有的安全漏洞,也没有必要无限制地提高安全保护指施的强度,对安全保护措施的选择要考虑到成木和技术等因素的限制
D. 如果残余风险没有降低到可接受的级别,则只能被动地选择接受风险,即对A险不采収诚一猡竹先理指飏,按父
【单选题】
若一个组织声称自已的ISMS符合ISO/IEC 27001或 GB/T22080 标准要求,其信息安全控制措施通常需要在物理和环境安全方面实施常规控制.物理和环境安全领域包括安全区域和设备安全两个控制目标.安全以区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰,关键或敏感的信息及信息处理设施应放在安全区域内,并受到相应保护,该目标可以通过以下控制措施来实现,不包括哪一项___
A. 物理安全边界、物理入口控制
B. 办公室、房间和设施的安全保护,外部和环境威胁的安全防护
C. 在安全区域工作,公共访问、交接区安全
D. 人力资源安全
【单选题】
对于关键信息基础设施的理解以下哪项是正确的___
【单选题】
关于信息安全管理,下列理解正确的是___
A.
B.
C.
D. 坚持管理与技术并重的原则,是我国加强信息安全保障工作的主要原则之一
【单选题】
若一个组织声称自己的ISMS符合ISO/IEC 27001或GB/T22080标准要求。其信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰。关键或敏感的信息及信息处理设施应放在安全区域内并受到相应保护。该目标可以通过以下控制措施来实现,不包括哪一项___。
A. 物理安全边界、物理入口控制
B. 办公室、房间和设施的安全保护。外部和环境威胁的安全防护
C. 在安全区域工作。公共访问、交接区安全
D. 人力资源安全
【单选题】
访问控制的实施一般包括两个步骤,首先要鉴别主体的合法身份,接着根据当前系统的访问控制规则授予相应用户的访问权限。在此过程中,涉及主体、客体、访问控制实施部件和访问控制决策部件之间的交互。下图所示的访问控制实施步骤中,标有数字的方框代表了主体、客体、访问控制实施部件和访问控制决策部件。下列选项中,标有数字1、2、3、4的方框分别对应的实体或部件正确的是___
A. 主体、访问控制决策、客体、访问控制实施
B. 主体、访问控制实施、客体、访问控制决策
C. 客体、访问控制决策、主体、访问控制实施
D. 客体、访问控制实施、主体、访问控制决策
【单选题】
以下哪个说法最符合《网络安全法》中关于网络的定义___
A. 计算机局域网
B. 包含服务器、交换机等设备的系统
C. 覆盖处理各种信息的设备的网络空间
D. 人与人交往联系的社会网络
【单选题】
关于信息安全保障技术框架(IATF),以下说法不正确的是___
A. 分层策略允许在适当的时候采用低安全保障解决方案以便降低信息安全保障的成本
B. IATF从人、技术和操作三个层面提供一个框架实施多层保护,使攻击者即使攻破一层也无法破环整个信息基础设施
C. 允许在关键区域(例如区域边界)使用高安全级保障解决方案,确保系统安全
D. IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制
【单选题】
10我国等级保护政策发展的正确顺序是___---1等级保护相关政策文件的发布---2计算机系统安全保护等级划分的思想提出---3等级保护相关标准发布---4网络安全法等级保护制度作为基本国策---5等级保护工作试点
A. 1.2.3.4.5
B. 2.3.1.5.4
C. 2.5.1.3.4
D. 1.2.4.3.5
【单选题】
一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成,而其安全性质是由___决定的
A. 加密算法
B. 解密算法
C. 加密和解密算法
D. 密钥
【单选题】
Kerberos协议是常用的集中访问控制协议,通过可信第三方的认证服务,减轻应用服务器的负担,Kerberos的动行环境由密钥分发中心(KDC)、应用服务器和客户端三个部分组成,其中,KDC分为认证服务器AS和篡改授权服务器TGS两部分,下图展示了Kerberos协议的三个阶段,分别 为(I)Kerberos获得服务许可票据,(2)Kerberos获得服务,(3)Kerberos获得票据许可票据,下列选项中,对这三个阶段的排序正确的是___
A. (1)-(2)-(3)
B. (3)-(2)-(1)
C. (2)-(1)-(3)
D. (3)-(1)-(2)
【单选题】
关于信息安全管理体系的作用,下面理解错误的是___。
A. 对内而言,有助于建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查
B. 对内而言,是一个光花钱不挣钱的事情,需要组织通过其他方面收入来弥补投入
C. 对外而言,有助于使各利益相关方对组织充满信心
D. 对外而言,能起到规范外包工作流程和要求,帮助界定双方各自信息安全责任
【单选题】
以下关于法律的说法错误的是___
A. 法律是国家姿态的一种体现,有严密的逻辑体系和效力
B. 法律是可以公开的,也可以是“内部”的
C. 一旦制定,就比较稳定,长期有效,不允许经常更改
D. 法律对违法犯罪的后果有明确约定,是一种“硬约束”
【单选题】
信息系统由三个部分组成,即___:作为保护和预防机制。分为三个层次:__:信息安全其中基本属性是__
A. 硬件、软件和通信;物理、个人和组织;保密性、完整性和可用性;
B. 硬件、软件和通信;保密性、完整性和可用性;物理、个人和组织;
C. 物理、个人和组织;硬件、软件和通信;保密性、完整性和可用性;
D. 物理、个人和组织;保密性、完整性和可用性;硬件、软件和通信;
【单选题】
信息系统中,访问控制是重要的安全功能之一。他的任务是在用户对系统资源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类,通过对主体身份的识别来限制其对客体的访问权限。下列选项中,对主体、客体和访问权限的描述中错误的是___
A. 对文件进行操作的用户是一种主体
B. 主体可以接受客体的信息和数据,也可能改变客体相关的信息
C. 访问权限是指主体对客体所允许的操作
D. 对目录的访问权可分为读、写和拒绝访问
【单选题】
为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工作所需要的一系列标准,这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标准中,___规定了等级保护定级阶段的依据、对象、流程、方法及等级变更等内容。
A. GB/T20271-2006《信息系统通用安全技术要求》
B. GB/T22240-2008《信息系统安全保护等级定级指南》
C. GB/T25070-2010《信息系统等级保护安全设计技术要求》
D. GB/T20269-2006《信息系统安全管理要求》
【单选题】
根据信息安全风险要素之间的关系,下图中空白处应填写___
A. 资产
B. 安全事件
C. 脆弱性
D. 安全措施
【单选题】
小王在学习信息安全管理体系相关知识之后,对于建立信息安全体系,自己总结了下面四条要求,其中理解不正确的是___
A. 信息安全管理体系的建立应参照国际国内有关标准实施,因为这些标准是标准化组织在总结研究了很多实际的或潜在的问题后,制定的能共同的和重复使用的规则
B. 信息安全管理体系的建立应基于最新的信息安全技术,因为这是国家有关信息安全的法律和法规的要求,这体现以预防控制为主的思想
C. 信息安全管理体系应强调全过程和动态控制的思想,因为安全问题是动态的,系统所处的安全环境也不会一成不变的,不可能建设永远的安全系统
D. 信息安全管理体系应体现科学性和全面性的特点,因为要对信息安全管理涉及的方方面面实施较为均衡的管理,避免遗漏某些方面而导致组织的整体信息安全水平过低
【单选题】
在某信息系统的设计中,用户登录过程是这样的,(1)用户通过HTTP协议访问信息系统(2)用户在登录页面输入用户名和口令(3)信息系统在服务器端检查用户名和密码正确性,如果正确,则鉴别完成。可以看出这个鉴别过程属于___
A. 单向鉴别
B. 双向鉴别
C. 三向鉴别
D. 第三方鉴别
【单选题】
若一个组织声称自己ISMS符合ISO/IBC27001或GB/22080标准要求,其信息安全控制措施通常需要在人力资源安全方面实施管理控制,人力资源安全划分为3个控制阶段,不包括哪一项___
A. 任用之前
B. 任用中
C. 任用终止或变化
D. 任用后
【单选题】
关于信息安全应急响应管理过程描述不正确的是___
A. 基于应急响应工作的特点和事件的不规则性,事先制定出事件应急响应方法和过程,有助于一个组织在事件发生时阻止乱的发生成是在混乱状态中迅速恢复控制,将损失和负面影响降到最低
B. 应急响应方法和过程并不是唯一的
C. 一种被广为接受的应急响应方法是将应急响应管理过程分为准备、检测、遏制、根除、恢复和跟踪总结6个阶段
D. 一种被广为接受的应急响应方法是将应急响应管理过程分为准备、检测、遏制、根除、恢复和跟踪总结6个阶段,这6个阶段的响应方法一定能确保时间处理成功
