【单选题】
一位团队成员急于将客户正在考虑的新功能添加到项目可交付成果中。在开始为这些新功能工作之前,需要谁的批准?
A. 项目经理
B. 变更控制委员会( CCB)
C. 项目发起人
D. 主题专家( SME)
查看试卷,进入试卷练习
微信扫一扫,开始刷题
解析: B 是参考答案。每项记录在案的变更请求都必须由一位责任人批准、推迟或否决,这个责任人通常是项目发起人或项目经理。应该在项目管理计划或组织程序中指定这位责任人,必要时(指当涉及到项目基准变更时),应该由变更控制委员会(CCB)来开展实施整体变更控制过程。 CCB 是一个正式组成的团体,负责审查、评价、批准、推迟或否决项目变更,以及记录和传达变更处理决定。 知识点:章节 10.1.3.1。
相关试题
【单选题】
在一个价值 100 万美元的项目中途,项目经理进行挣值分析( EVA),分析显示计划价值( PV)为 623, 000 美元,挣值( EV)为 523, 000 美元,实际成本( AC)为643, 000 美元。根据这些数字,项目的成本偏差( CV)和进度偏差( SV)分别是多少?
A. CV=+120.000 美元, SV=+100, 000 美元
B. CV=+100.000 美元, SV=+120, 000 美元
C. CV=-100.000 美元, SV=-120, 000 美元
D. CV=-120.000 美元, SV=-100, 000 美元
【单选题】
在一个项目的执行阶段,一些资源不能按照计划可用,项目经理应该怎么做?
A. 将该问题上报给项目发起人。
B. 提交变更请求。
C. 实施风险应对计划。
D. 与其他项目经理进行谈判。
【单选题】
项目经理发现由于一名资源过度承诺而导致一些任务未完成。项目经理意识到如果使用其他资源,将不影响到关键路径。项目经理应该使用什么来满足进度计划?
A. 假设情景分析
B. 资源平衡
C. 快速跟进
D. 资源平滑
【单选题】
项目发起人通知项目经理,最关键的项目标准是按时交付产品,客户对资源可用性没有时间限制,哪个行动会减少时间表,但会增加风险?
A. 添加团队成员
B. 并行执行活动
C. 外包项目执行
D. 聘请高薪专家
【单选题】
项目经理已经准备好结束一个项目,项目经理下一步应该怎么做?
A. 管理质量来确认可交付成果是否符合标准。
B. 根据项目章程衡量项目可交付成果,并请求客户验收。
C. 解决所有项目风险,以确保可交付成果将被验收。
D. 审查项目管理计划,以确保完成范围并请求客户验收。
【单选题】
项目经理成功完成一个项目,需要收集在地理位置上分散的大量相关方的反馈意见。项目经理应该用什么沟通方法来收集反馈意见?
A. 拉式沟通
B. 推式沟通
C. 有效沟通
D. 互动沟通
【单选题】
在新项目的相关方会议中,项目经理发现一名干系人对项目有抵触。项目经理记录这个问题,并对该相关方的参与程度评级。项目经理使用了哪项工具或技术来为相关方的参与程度评级?
A. 相关方参与评估矩阵
B. 风险概率和影响评估
C. 人际关系技巧
D. 专家判断
【单选题】
由于质量过程的问题,一个项目明显落后于进度计划。项目相关方坚持要求项目经理采取任何必要的行动来满足初始时间表。项目经理下一步应该怎么做?
A. 与相关方谈判质量标准并更新质量管理计划。
B. 重新确定客户的需求清单优先级并调整项目范围。
C. 在风险登记册中记录所有问题并接受质量过程。
D. 审查质量核对单以确定根本原因并实施所需的变更。
【单选题】
在项目状态审查会议期间,显而易见的是,整体项目效绩低于预期的项目目标,并且一些关键的可交付成果未能满足客户的需求。项目经理应该怎么做?
A. 更新范围管理计划并执行备选方案分析。
B. 使用德尔菲技术并执行备选方案分析。
C. 执行趋势分析并更新质量管理计划。
D. 执行根本原因和备选方案分析。
【单选题】
项目经理了解到项目进度的绩效指数( SPI)为 0.77。项目经理应该怎么做?
A. 更新成本基准
B. 更新进度基准
C. 分析关键路径上的绩效
D. 分析项目管理计划
【单选题】
在发起人批准项目后,项目经理邀请发起人、选定的团队成员和其他相关方出席一次会议。会议的主要目的是制定一份文件,该文件将指导团队确定主要项目可交付成果。这次会议的最终输出是什么?
A. 里程碑清单
B. 工作分解结构(WBS)字典
C. 范围管理计划
D. 需求管理计划
【单选题】
一个项目已经启动,该项目拟标准化四个国家的人力资源模块开发。每个国家都有不同的人力资源管理流程。其中两个国家与相关方,没有提供任何意见,迫使项目经理在没有他们的意见下制定项目计划,并将其发送给四个国家的所有相关方进行批准。到目前为止已经收到三份批准。项目经理下一步应该怎么做?
A. 开始项目执行,因为项目计划不需要所有相关方的意见。
B. 开始项目,因为大多数相关方已经批准了这项计划。
C. 等到所有项目相关方都参与并批准项目计划,然后开始项目执行。
D. 等待所有相关方的意见,然后由于大多数相关方已经批准,先开始项目执行。
【单选题】
在一个为期两年的新高速公路建设项目的前八个月中,由于缺乏一种机械,项目落后于进度计划。这属于哪一种事业环境因素?
A. 组织结构
B. 基础设施
C. 相关方风险界值
D. 可持续性
【单选题】
两家公司之间的并购项目正处于启动阶段,显然这个项目对这两个组织产生影响。若要确保项目成功,发起人应关注下列哪一项?
A. 明确定义项目目标,优先事项和战略
B. 预算
C. 沟通管理计划
D. 变更管理计划
【单选题】
项目经理正在管理价值 300 万美元、涉及两个供应商的项目。项目经理为每名供应商创建了一份工作说明书(SOW)。下列哪一项需要 SOW 的信息?
A. 风险管理计划
B. 合同
C. 采购管理计划
D. 供应商范围说明书
【单选题】
项目经理负责管理一个项目,该项目旨在推出一项新服务,项目经理得知,技术部门对于使用已提供的培训来操作这项服务感到不自信。项目经理首先应该怎么做?
A. 完成一项变更控制要求并将该问题纳入经验教训中
B. 建议团队与指定的相关方一起审查验收标准
C. 将可交付成果转移给对操作这项服务更有信心的另一团队
D. 停止项目以确认操作员对接受的培训感到满意
【单选题】
一个全球多学科项目的项目经理如何才能确保在所有学科中使用变更控制过程?
A. 执行影响分析以考虑所有项目学科
B. 确保变更控制委员会( CCB)有来自所有学科的代表
C. 邀请所有学科参加变更控制系统委员会会议,但仅从所参加的学科收集意见
D. 代表其他学科控制所有变更请求
【单选题】
在一个项目中,一位关键项目团队成员因私事请假两个月,项目经理首先应该怎么做?
A. 询问这位关键团队成员是否可以推迟请假
B. 与职能经理协商替换一名团队成员
C. 评估对项目的影响
D. 审查志愿管理计划
【单选题】
在项目启动期间,项目经理进行了成本效益分析,结果为 0.6,项目经理下一步应该怎么做?
A. 咨询专家,寻找选择方案,并重新执行分析
B. 与项目发起人一起审查结果,以确认项目的可行性
C. 审查报告以确定是应该开始项目还是拒绝项目
D. 咨询相关方关于项目的批准情况
【单选题】
项目经理正在管理一项创建新项目管理办公室( PMO)的计划,必须创建一种方法来管理项目组合、项目群和项目。项目经理应该使用哪一项来管理期望?
A. 相关方分析
B. 专家判断
C. 沟通技能
D. 团队会议
【单选题】
一家跨国公司的组织单位有大量的产品增强功能待办事项,这些产品增强功能是暂时保留的用户故事。待批准的预算申请在上周获得批准。 作为启动程序的一部分,新分配的项目经理应该做什么?
A. 记录项目生命周期和方法讨论需求
B. 为所有用户故事制定一份进度计划
C. 对所有用户故事执行风险评估
D. 根据以前相同产品的项目分配资源
【单选题】
项目经理需要身处不同国家的两位副总裁提供意见。应该使用哪种沟通方法?
A. 推式沟通
B. 拉式沟通
C. 选择式沟通
D. 交互式沟通
【单选题】
在项目结束时要求进行一项重要变更,虽然需要进行这项变更来解决可能影响业务连续性的紧急问题,但会延长进度计划并增加成本。项目经理下一步应该怎么做?
A. 拒绝该变更
B. 提交变更请求
C. 实施该变更
D. 沟通对预算和进度的影响
【单选题】
一个大型项目包含将由分包商执行的许多阶段。团队成员各自负责一个阶段。项目经理应该使用什么来执行质量管理计划?
A. 质量测量指标
B. 质量审计
C. 根本原因分析
D. 因果分析
【单选题】
项目经理识别到本地和虚拟团队成员之间的进度优先级存在冲突,项目经理安排了一次电话会议来管理这个冲突。项目经理使用的是哪种冲突解决技巧?
A. 缓和/包容
B. 合作/解决问题
C. 强迫/命令
D. 妥协/调解
【单选题】
项目发起人对项目进行审查并对一些项目风险提出质疑,项目发起人要求项目经理分析这些风险对项目总体目标的影响。项目经理应该执行下列哪一项?
A. 定量和定性风险分析
B. 假设条件和制约因素分析
C. 优势、劣势、机会与威胁( SWOT)分析
D. 核对单分析
【单选题】
管理层将一个国际项目分配给一位新项目经理。这是该项目经理第一次与团队合作,团队成员位于两个国家,数量平均分布,一个团队由最合适作为个人工作的成员组成,另一个团队由最适合作为团队工作的成员组成。项目经理该怎么做?
A. 更新风险登记册
B. 要求团队在项目期间以相同的风格工作
C. 修订沟通管理计划
D. 为团队设置一个虚拟协作工作,以便每天签到
【单选题】
一个项目团队成员已经延迟两次交付一个工作包,其职能经理已经通知项目经理,该团队成员资历较新,需要时间学习。项目经理应该怎么做?
A. 要求职能经理替换该团队成员
B. 与该团队成员私下讨论该问题
C. 向该团队成员提供培训
D. 在团队会议上讨论该问题
【单选题】
一位新团队成员在一个月前加入团队,并接受了资源管理计划中规定的必要培训,这位新团队成员无法按时完成分配的任务,从而影响到团队绩效。项目经理下一项应该怎么做?
A. 识别所需的额外培训并更新资源管理计划
B. 将问题升级上报给管理层,要求将该团队成员调到另一个项目,并找到一位经验更丰富的资源作为替代
C. 与该团队成员讨论这个问题, 并一致达成一项具有可测量纠正措施的行动计划
D. 在下一次计划的绩效评估中解决该团队成员的培训需求。
【单选题】
一家银行正在执行一个项目,在整个组织中部署新软件。在完成项目的第一阶段后,项目经理召集所有部门的职能经理召开会议,以审查项目问题并收集经验教训。项目经理应该在会议期间使用什么来检查项目问题并分析经验教训?
A. 头脑风暴
B. 因果分析
C. 专家判断
D. 散点图
【单选题】
某位项目相关方要求对已批准的产品设计进行变更,程序员仅需少量工作就可进行这项变更。但是存在一个风险,即另一位相关方将不同意这项变更。项目经理应该怎么做?
A. 由于不存在重大的财务影响,因此实施这项变更
B. 根据变更管理计划创建一份变更请求
C. 请求项目发起人的批准
D. 与相关方谈判接受这项变更
【单选题】
项目发起人任命一位高级工程师到指导委员会,来帮助监督项目管理计划。该工程师经常不同意由项目团队制定的计划,并在提交批准之前对项目管理计划表达严重关切。项目经理应该怎么做?
A. 通知项目发起人,该工程师延迟了规划过程
B. 与指导委员会一起审查项目计划,并解决该工程师提出的任何问题
C. 与工程师进行私下会议,了解并解决他关切的问题
D. 提交项目管理计划,并在以后通过遵循变更管理程序解决该工程师的关切问题
【单选题】
项目可行性研究确定了应该创建什么产品。现在,开发与原始需求冲突的另一种产品的一项变更请求,已经获得批准,在变更请求获得批准前已进行数据分析。项目经理应该怎么做?
A. 实施该变更请求
B. 拒绝该变更请求
C. 请求详细的数据分析报告
D. 请求新产品的可行性研究
【单选题】
一家组织执行了电子邮件迁移项目,虽然电子邮件迁移成功,但用户地址簿信息的迁移却不正确,这会影响到该组织的内部沟通。项目经理应该怎么做?
A. 向所有相关方解释这种情况,然后就后续步骤达成一致
B. 确定迁移错误的根本原因
C. 要求项目团队提出纠正措施
D. 请求发起人批准延长项目时间
【单选题】
由于一个施工项目的相关方数量异常之多, 因此在初始规划阶段起草若干职能要求,项目经理应该关注什么方法?
A. 需求管理计划
B. 变更管理计划
C. 组织过程资产
D. 资源管理计划
【单选题】
一位团队成员通知项目经理,供应商延迟交付一个重要部件,由于潜在的影响,该团队成员希望项目经理允许直接通知发起人并生成与这种情况相关的警报。项目经理应该查阅哪一份计划?
A. 采购管理计划
B. 沟通管理计划
C. 相关方参与计划
D. 风险管理计划
【单选题】
项目经理加入一个新的价值数百万美元的项目,要求成功实施来自各部门的可交付成果。若要成功实施该项目。项目经理首先应该怎么做?
A. 拜访客户以确保已为关键客户相关方识别到所有沟通渠道
B. 执行相关方分析并进行详细的需求会议
C. 立即识别在该项目上工作的最佳资源
D. 与已经成功向客户交付的外部供应商签订合同
【单选题】
一个风险在项目现场变成现实,这个风险记录在风险登记册中,调查团队得出结论,如果进行了适当的风险管理,本可以预防这个风险。若要避免这个问题,项目经理应该事先做什么?
A. 审查过往项目的经验教训
B. 更新现有风险管理计划
C. 为风险登记册上的事项指定风险责任人
D. 为已识别到的风险减轻行动
【单选题】
一名新项目经理收到一份项目章程草案,哪些信息将帮助项目经理参与完成这份文件?
A. 商业论证
B. 项目进度计划
C. 成本基准
D. 项目管理系统( PMIS)
【单选题】
项目经理与一个由 15 人组成的团队召开会议,会议不断发生中断,会议目标几乎没有完成。若要解决这个问题,项目经理应该怎么做?
A. 冲突管理
B. 政治意识
C. 非语言沟通
D. 积极倾听
推荐试题
【单选题】
61。小华在某电子商务公司工作,某天他在查看信息系统设计文档时,发现其中标注该信息系统的RPO(恢复点目标)指标为3小时,请问这意味着___
A. 该信息系统发生重大信息安全事件后,工作人员应在3小时内到位,完成问题定位和应急处理工作
B. 该信息系统发生重大信息安全事件后,工作人员应在3小时内完成应急处理工作,并恢复对外运行
C. 若该信息系统发生重大信息安全事件,工作人员在完成处置和灾难恢复工作后,系统至少能提供3小时的紧急业务服务能力
D. 若该信息系统发生重大信息安全事件,工作人员在完成处置和灾难恢复工作后,系统至多能丢失3小时的业务数据
【单选题】
62。某社交网站的用户点击了该网站上的一个广告,该广告含有一个跨站脚本,会将他的浏览器定向到旅游网站,旅游网站则获得了他的社交网络信息,虽然该用户没有主动访问该旅游网站,但旅游网站已经截获了他的社交网络信息(还有他的好友们的信息),于是犯罪分子便可以躲藏在社交网站的广告后面,截获用户的个人信息了,这种向Web页面插入恶意html代码的攻击方式称为___
A. 分布式拒绝服务攻击
B. 跨站脚本攻击
C. SQL注入攻击
D. 缓冲区溢出攻击
【单选题】
63。从Linux内核2。1版开始,实现了基于权能的特权管理机制,实现了对超级用户的特权分割,打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,提高了操作系统的安全性,下列选项中,对特权管理机制的理解错误的是___
A. 普通用户及其shell没有任何权能,而超级用户及其shell在系统启动之初拥有全部权能
B. 系统管理员可以剥夺和恢复超级用户的某些权能
C. 进程可以放弃自己的某些权能
D. 当普通用户的某些操作设计特权操作时,仍然通过setuid实现
【单选题】
64。在国家标准GB/T 20274.1-2006《信息安全技术信息系统安全保障评估框架第一部分:简介和一般模型》中,信息系统安全保障模型包含哪几个方面?___
A. 保障要素、生命周期和运行维护
B. 保障要素、生命周期和安全特征
C. 规划组织、生命周期和安全特征
D. 规划组织、生命周期和运行维护
【单选题】
65。部署瓦联网协议安全虚拟专用网(Internet Protocol Security Virtual Private Notwork, IPsec VPN) 时,以下说法正确的是___
A. 配置MD5安全算法可以提供可靠地数据加密
B. 配置AES算法可以提供可靠的数据完整性验证
C. 部署IPsec VPN网络时,需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,来减少IPsec安全关联(Security Authentication,SA)资源的消耗
D. 报文验证头协议(Authentication Headr,AH)可以提供数据机密性
【单选题】
66。数据在进行传输前,需要由协议找自上而下对数据进行封装,TCP/IP协议中,数据封装的顺序是___
A. 传输层、网络接口层、互联网络层
B. 传输层、互联网络层、网络接口层
C. 互联网络层、传输层、网络接口层
D. 互联网络层、网络接口层、传输层
【单选题】
67。风险,在GB/T 22081 中定义为事态的概率及其结果的组合,风险的目标可能有很多不同的方面,如财务目标、健康和人身安全目标、信息安全目标和环境目标等;目标也可能有不同的级别,如战略目标、组织目标、项目目标、产品目标和过程目标等。ISO/IBC 13335-1 中揭示了风险各要素关系模型,如图所示,请结合此图,怎么才能降低风险对组织产生的影响?___
A. 组织应该根据风险建立响应的保护要求,通过构架防护措施降低风险对组织产生的影响
B. 加强防护措施,降低风险
C. 减少威胁和脆弱点降低风险
D. 减少资产降低风险
【单选题】
68。Windows系统中,安全标识符(SID)是标识用户、组和计算机账户的唯一编码,在操作系统内部使用,当授予用户、组、服务或者其他安全主休访问对象的权限时,操作系统会把SID和权限写入对象的ACL中,小刘在学习了SID的组成后,为了巩固所学知识,在自己计算机的Windows操作系统中使用whooml/users操作查看当前用户的SID,得到是的SID为S-1-5-21-1534169462-1651380828-111620652-500。下列选项中,关于此SID的理解错误的是___
A. 前三位S-1-5表示此SID是由Windows NT 颁发的
B. 第一个子颁发机构是21
C. Windows NT 的SID的三个子颁发机构是 1534169462、1651380828、111620651
D. 此SID以500结尾,表示内置guest
【单选题】
69。某电子商务网战在开发设计时,使用了威胁建模方法来分析电子商务网站所面临的威胁,STRIDE是微软SDL中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing 是STRIDE中欺骗类的威胁,以下威胁中哪个可以归入此类威胁___
A. 网站竟争对手可能雇佣攻击者实施DDOS攻击,降低网站访问速度
B. 网站使用HTTP协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄漏,例如购买的商品金额等
C. 网站使用HTTP协议进行浏览等操作,无法确认数据与用户发出的是否一致辞,可能数据被中途篡改
D. 网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息
【单选题】
70。某信息安全公司的团队某款名为“红包快抢”的外挂进行分析,发现此外挂是一个典型的木马后门,使黑客能够获得受害者电脑的访问权,该后门程序为了达到长期驻留在受害都的计算机中,通过修改注册表启动项来达到后门程序随受害者计算机系统启动而启动,这防范此类木马后门的攻击,以下做法无用的是___
A. ,不下载,不执行、不接收来厉明的软件
B. 不随意打开来历不明的邮件,不浏览不健康不正规的网站
C. 使用共享文件夹
D. 安装反病毒软件和防火墙,安装专门的木马防治软件
【单选题】
71。关于信息安全应急响应管理过程描述不正确的是___
A. 基于应急响应工作的特点和事件的不规则性,事先制定出事件应急响应方法和过程,有助于一个组织在事件发生时阻止混乱的发生或是在混乱状态中迅速恢复控制,将损失和负面影响降至最低
B. 应急响应方法和过程并不是唯一的
C. 一种被广为接受的应急响应方法是将应急响应管理过程分为准备、检测、遏制、恢复和跟踪总结6个阶段
D. 一种被广为接受的应急响应方法是将应急管理过程分为准备、检测、遏制、根除、恢复和跟踪总结6个阶段,这6个阶段的响应方法一定能确保事件处理的成功
【单选题】
72。某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户账户的安全,项目开发人员决定用户登录时除了用户名口令认证方式外,还加入基于数字证书的身份认证功能,同时用户口令使用SMA-1算法加密后存放在后台数据库中,请问以上安全设计遵循的是哪项安全设计原则___
A. 最小特权原则
B. 职责分离原则
C. 纵深防御原则
D. 最少共享机制原则
【单选题】
73。CC标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC标准的先进性___
A. 结构的开放性,即功能和保证要求都可以具体的“保护轮廓”和“安全目标”中进一步细化和扩展
B. 表达方式的通用性,即给出通用的表达方式
C. 独决性,它强调将安全的功能和保证分离
D. 实用性,将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中
【单选题】
74。超文本传输协议(HyperText Transfer Protocol,HTTP)是互联网上广泛使用的一种网络协议,下面哪种协议基于HTTP并结合SSL协议,具备用户鉴别和通信数据加密等功能___
A. HTTP 1.0协议
B. HTTP 1.1协议
C. HTTPS协议
D. HHTTPD协议
【单选题】
75。以下关于信息安全工程说法正确的是___
A. 信息化建设中系统功能的实现是最重要的
B. 信息化建设可以先实施系统,而后对系统进行安全加固
C. 信息化建设中在规划阶段合理规划信息安全,在建设阶段要同步实施信息安全建设
D. 信息化建设没有必要涉及信息安全建设
【单选题】
76。GB/T 22080-2008 《信息技术 安全技术 信息安全管理体系 要求》指出,建立信息安全管理体系应参照PDCA模型进行,即信息安全管理体系应包括建立ISMS、实施和运行ISMS、监视和评审ISMS、保持和改进ISMS等过程,并在这些过程中应实施若干活动,请选出以下描述错误的选项___
A. “制定ISMS方针”是建产ISMS阶段工作内容
B. “实施培训和意识教育计划“是实施和运行ISMS阶段工作内容
C. “进行有效性测量”是监视和评审ISMS阶段工作内容
D. “实施内部审核”是保护和改进ISMS阶段工作内容
【单选题】
77。我国等级保护政策发展的正确顺序是___ ①等级保护相关政策文件颁布②计算机系统安全保护等级划分思想提出③等级保护相关标准发布 ④网络安全法将等级保护制度作为基本策 ⑤等级保护工作试点
A. ①②③④⑤
B. ②③①⑤④
C. ②⑤①③④
D. ①②④③⑤
【单选题】
78。与PDR模型相比,P2DR模型则更强调___,即强调系统安全的(D),并且以安全检测、(D)和自适应填充“安全间隙”为循环来提高(D)
A. 漏洞监测:控制和对抗:动态性:网络安全
B. 动态性:控制和对抗:漏洞监测:网络安全
C. 控制和对抗:漏洞监测:动态性:网络安全
D. 控制和对抗:动态性:漏洞监测:网络安全
【单选题】
79。若一个组织声称自己的ISMS符合ISO/IEC 27001 或GB/T 22080 标准要求,其信息安全控制措施通常需要在资产管理方面实施常规控制,资产管理包含对资产负责和信息分类两个控制目标,信息分类控制的目标是为了确保信息受到适当级别的保护,通常采取以上哪项控制措施___
A. 资产清单
B. 资产责任人
C. 资产的可接受使用
D. 分类指南,信息的标记和处理
【单选题】
80。若一个组织声称自己的ISMS符合ISO/IBC 27001或GB/T22080标准要求,其信息安全控制措施通常在以下方面实施常规控制,不包括哪一项___
A. 信息安全方针、信息安全组织、资产管理
B. 人力资源安全、物理和环境安全、通信和操作管理
C. 访问控制、信息系统获取、开发和维护、符合性
D. 规划与建立ISMS
【单选题】
81。某贸易公司的OA系统由于存在系统漏洞,被攻击者传上了木马病毒并删除了系统中的数据,由于系统备份是每周六进行一次,事件发生时间为周三,因此导致该公司三个工作日的数据丢失并使得OA系统在随后两天内无法访问,影响到了与公司有业务往来部分公司业务。在事故处理报告中,根据GB/z20986-2007《信息安全事件分级分类指南》,该事件的准确分类和定级应该是___
A. 有害程序事件 特别重大事件(I级)
B. 信息破坏事件 重大事件(II级)
C. 有害程序事件 较大事件(III级)
D. 信息破坏事件 一般事件(IV级)
【单选题】
82。下面对过国家秘密定级和范围的描述,哪项不符合《保守国家秘密法》要求___
A. 国家秘密及其密级的具体范围,由国家保密工作部分分别会问外交、公安、国家安全和其他中央有关机关规定
B. 各级国家机关、单位对所产生的国家秘密事项,应当按照国家秘密及其密级具体范围的规定确定密级
C. 对是否属于国家秘密和属于何种密级不明确的事项,可由各单位自行参考国家要求确定和定级,然后报国家保密工作部分确定
D. 对是否属于国家秘密和属于何种密级不明确的事项,由国家保密工作部分,省,自治区、直辖市的保密工作部门,省、自治区政府所在地的市和经国务院批准的较大的时的保密工作部分或者国家保密工作部门审定的机关确定
【单选题】
83。以下关于互联网协议安全(Internet Protocol Security,IPsec)协议说法错误的是___
A. 在传送模式中,保护的IP负载
B. 验证头协议(Authentication Head,AH)和IP封装安全载荷协议(Encapsu;ating Security Payload,ESP)都能以传输模式式作
C. 在隧道模式中,保护的是整个互联网协议(Internet Protocol,IP)包,包括IP头
D. IPsec仅能保证传输数据的可认认证性和保密性
【单选题】
84。随着信息安全涉及的范围越来越广,各个组织对信息安全管理的需求越来越迫切,越来越多的组织开始尝试使用参考ISO27001介绍的ISMS来实施信息安全管理体系,提高组织的信息安全管理能力,关于ISMS,下面描述错误的是___。
A. 在组织中,应由信息技术责任部门(如信息中心)制定并颁布信息安全方针,为组织的ISMS建设指明方向并提供总体纲领,明确总体要求
B. 组织的管理层应确保ISMS目标和相应的计划得以制定,信息安全管理目标应明确、可度量,风险管理计划应其体,具备可行性
C. 组织的信息安全目标、信息安全方针和要求应传达到全组织范围内,应包括全体员工,同时,也应传达到客户、合作伙伴和供应商等外部各方
D. 组织的管理层应全面了解组织所面临的信息安全风险,决定风险可接受级别和风险可接受准则,并确认接受相关残余风险
【单选题】
85。___第二十条规定存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照(A)实行分级保护,(A)应当按照国家保密标准配备保密设施、设备、(A)设备应当与涉密信息系统同步规划、同步建设、同步运行9三同步),涉密信息系统应当按照规定,经(A)后,方可投入使用。
A. 《保密法》;涉笔程度;涉密信息系统保密设施;检查合格
B. 《国家保密法》;涉密程度;涉密系统;保密设施;检查合格
C. 《国家保密法》;涉密程度;涉密系统;保密设施;检查合格
D. 《安全保密法》;涉密程度;涉密信息系统;保密设施;检查合格
【单选题】
86。关于密钥管理,下列说法错误的是___
A. 科克霍夫原则指出算法的安全性不应基于算法的保密,而应基于密钥的安全性
B. 保密通信过程,通信使用之前用过的会话密钥建立会话,不影响通信安全
C. 密钥管理需要考虑密钥产生、存储、备份、分配、更新、撤销等生命周期过程的每一个环节
D. 在网络通信中,通信双方可利用Diffie-Hellman协议协商出会话密钥
【单选题】
87。某单位在一次信息安全风险管理活动中,风险评估报告提出服务器A的FTP服务存在高风险漏洞,随后该单位在风险处理时选择了关闭FTP服务的处理措施,请问该措施属于哪种风险处理方式___
A. 风险降低
B. 风险规避
C. 风险转移
D. 风险接受
【单选题】
88。防火墙是网络信息系统建设中常常采用的一类产品,它在内外网隔离方面的作用是___
A. 既能物理隔离,又能逻辑隔离
B. 能物理隔离,但不能逻辑隔离
C. 不能物理隔离,但是能逻辑隔离
D. 不能物理隔离,也不能逻辑隔离
【单选题】
89。某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重要,计划编制本单位信息安全应急响应预案,在向主管领导写报告时,他列举了编制信息安全应急响应预案的好处和重要性,在他罗列的四条理由中,其中不适合作为理由的一条是___
A. 应急预案是明确关键业务系统信息安全应急响应指挥体系和工作机制的重要方式
B. 应急预案是提高应对网络和信息系统突发事件能力,减少突发事件造成的损失和危害,保障信息系统运行平稳,安全、有序、高效的手段
C. 编制应急预案是国家网络安全对所有单位的强制要求,因此必须建设
D. 应急预案是保障单位业务系统信息安全的重要措施
【单选题】
90。以下关于威胁建模流程程步骤说法不正确的是___
A. 威胁建模主要流程包过四步;确定建模对象、识别威胁、评估威胁和消减威胁
B. 评估威胁是对威胁进行分析,评估被利用和攻击发生的概率,了解被攻击资产的受损后果,并计算风险
C. 消减威胁是根据威胁的评估结果,确定是否要消除该威胁以及消减的技术措施,可以通过重新设计直接消除威胁,或设计采用技术手法来消减威胁
D. 识别威胁是发现组件或进程存在的威胁,它可能是悉意的,威胁就是漏洞
【单选题】
91。有关系统共程的特点,以下错误的是___
A. 系统工程研究问题一般采用先决定整体框架,后进入详细设计的程序
B. 系统工程的基本特点,是需要把研究对象结构为多个组织部分分别独立研究
C. 系统工程研究强调多学科协作,根据研究问题涉及到的学科和专业范围,组成一个知识结构合理的专家体系
D. 系统工程研究是以系统思想为指导,采取的理论和方法是综合集成各学科、各领域的理论和方法
【单选题】
92。Linux系统的安全设置主要从磁盘分区、账户安全设置、禁用危险服务、远程登录安全、用户鉴别安全、审计策略、保护root账户、使用网络防火墙和文件权限操作共10个方面来完成,小张在学习了Linux系统安全的相关知识后,尝试为自己计算机的Linux系统进行安全配置。下列选项是他的部分操作,其中不合理是___
A. ,编辑文件/etc/passwd,检查文件中用户ID,禁用所有的ID=0的用户
B. 编辑文件/etc/ssh/sshd_config,将Penmitroorlogin 设置为no
C. 编辑文件/etc/pam.d/system-auth,设置auth required pam_tally.so onerr=fail deny=6 unlock_time=300
D. 编辑文件/etc/profile,设置TMOUT=600
【单选题】
93。由于密码技术都依赖于密钥匙,因此密钥的安全管理是密钥技术应用中非常重要的环节,下列关于密钥匙管理说法错误的是___
A. 科克霍夫在《军事密码学》中指出系统的保密性不依赖于对加密体制或算法的保密,而依赖于密钥
B. 在保密通信过程中,通信双方可以一直使用之前用过的会话密钥,不影响安全性
C. 密钥匙管理需要在安全策略的指导下处理密钥生命周期的整个过程,包括产生、存储、备份、分配、更新、撤销等
D. 在保密通信过程中,通信双方也可利用Diffie-Helinan协议协商会话密钥进行保密通信
【单选题】
94。操作系统用于管理计算机资源,控制整个系统运行,是计算机软件的基础,操作系统安全是计算、网络及信息系统安全的基础,一般操作系统都提供了相应的安全配置接口,小王新买了一台计算机,开机后首先对带的Windows 操作系统进行配置,他的主要操作有:(1)关闭不必要的服务和端口;(2)在“本地安全策略”中配置账号策略、本地策略、公钥策略和IP安全策略:(3)备份敏感文件,禁止建立空连接,下栽最新补丁:(4)关闭审核策略,开启口令策略,开启口令策略,开启账户策略,这些操作中错误的是___
A. 操作(1),应该关闭不必要的服务和所有端口
B. 操作(2),在“本地安全策略”中不应该配置公钥策略,而应该配置私钥策略
C. 操作(3),备份敏感文件会导致这些文件遭到窃取的几率增加
D. 操作(4),应该开启审核策略
【单选题】
95。某单位门户网站开发完成后,测试人员使用模型测试进行安全性测试,以下关于模型测试过程的说法正确的是___
A. 模拟正常用户输入行为,生成大量数据包作为测试用例
B. 数据处理点,数据通道的入口点和可信边界点往往不是测试对象
C. 监测和记录输入数据后程序正常运行的情况
D. 深入分析问题测试过程中产生崩溃或异常的原因,必要时需要测试人员手工重现并分析
【单选题】
96。Apache HIIP Server(简称Apache)是一个开放源代码Web服务运行平台,在使用过程中,该软件默认会将自己的软件名和版本号发送给客户端。从安全角度出发,为隐藏这些信息,应当采取以下哪种措施___
A. 不选择Windows平台下安装使用
B. 安装后,修改配置文件http.cenf中的有关参数
C. 安装后,删除Apache HTTP Server源码
D. 从正确的官方网站下载Apache HTTP Server,并安装使用
【单选题】
97。关于信息安全事件管理和应急响应,以下说法错误的是___
A. 应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
B. 应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6个阶段
C. 对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素
D. 根据信息安全事件的分级参考要素,可将信息安全事作为分为4个级别;特别重大事件(II级)、较大事件(III级)和一般事件(IV级)
【单选题】
98。王工是某单位的系统管理用员,他在某次参加了单位组织的风险管理工作时,发现当前案例中共有两个重要资产;资产A1和资产A2;其中资产A1面临两个主要威胁;威胁T1和威胁T2;面资产A2面临一个主要威胁;威胁T3;威胁T1可以利用的资产A1存在的两个脆弱性;脆弱性V1和脆弱性V2;威胁T2存在的两个脆弱性;脆弱性V6和脆弱性V7,根据上述条件,请问;使用相乘法时,应该为资产A1计算几个风险值___
【单选题】
99。保护-检测-响应(Protection-Detection-Hesponse,PDR)模型是___工作中常用的模型,其思想是承认(C)中漏洞的存在,正视系统面临的(C)。通过采取适度防护、加强(C)、落实对安全事件的响应、建立对威胁的防护来保障系统的安全
A. 信息系统;信息安全保障;威胁;检测工作
B. 信息安全保障;信息系统;检测工作;威胁
C. 信息安全保障;信息系统;威胁;检测工作
D. 信息安全保障;威胁;信息系统;检测工作
【单选题】
100。根据《关于开展信息安全风险评估工作的意见》的规定,错误的是___
A. 信息安全风险评估分自评估、检查评估两形式,应以检查评估为主,自评估和检查评估相互结合、互为补充
B. 信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效‘的原则开展
C. 信息安全风险评估应管贯穿于网络和信息系统建设运行的全过程
D. 开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导
