（）是实现安全管理的前提。A、信息安全等级保护B、风险评估C、信息安全策略D、信息安全管理体系

第1题：

以下对确定信息系统的安全保护等级理解正确的是（）。

• A、信息系统的安全保护等级是信息系统的客观属性
• B、确定信息系统的安全保护等级时应考虑已采取或将采取的安全保护措施
• C、确定信息系统的安全保护等级时应考虑风险评估的结果
• D、确定信息系统的安全保护等级时应仅考虑业务信息的安全性

第2题：

关于信息安全策略的说法中，下面说法正确的是（）

• A、信息安全策略的制定是以信息系统的规模为基础
• B、信息安全策略的制定是以信息系统的网络拓扑结构为基础
• C、信息安全策略是以信息系统风险管理为基础
• D、在信息系统尚未建设完成之前，无法确定信息安全策略

第3题：

信息安全管理是信息安全技术体系结构之一，哪一个不是现有的信息安全管理的内容？（）

• A、安全风险评估
• B、信息安全等级保护
• C、访问控制检测
• D、信息系统安全工程

第4题：

你认为建立信息安全管理体系时，首先因该（）

• A、风险评估
• B、建立信息安全方针和目标
• C、风险管理
• D、制定安全策略

第5题：

下面哪个不是ISO27000系列包含的标准（）

• A、《信息安全管理体系要求》
• B、《信息安全风险管理》
• C、《信息安全度量》
• D、《信息安全评估规范》

第6题：

在信息安全管理体系中，带有高层目标的信息安全策略是被描述在（）

• A、信息安全管理手册
• B、信息安全管理制度
• C、信息安全指南和手册
• D、信息安全记录文档

第7题：

根据《银行业金融机构全面风险管理指引》的规定，商业银行在信息安全管理体系方面应（）。

• A、建立合理的信息安全管理组织架构及制度体系
• B、信息安全管理体系完整，信息安全管理策略覆盖全面
• C、电子银行信息安全管理体系完整
• D、建立信息安全标准和评估体系
• E、保证信息科技管理是否符合国家法律法规准则和监管要求

第8题：

第9题：

第10题：

第11题：

第12题：

第13题：

非涉密信息系统的信息安全风险评估应由专业测评机构完成，形成（）和风险评估报告。

• A、安全测评报告
• B、等级测评报告
• C、安全保护报告
• D、等级保护报告

第14题：

信息系统安全建设整改工作规划和工作部署不包括（）

• A、确定信息系统安全等级保护测评方案
• B、信息系统安全保护现状分析
• C、确定安全策略，制定安全建设整改方案
• D、信息系统安全管理建设
• E、信息系统安全技术建设
• F、开展信息系统安全自查和等级测评

第15题：

建立信息安全管理体系时，首先应（）。

• A、建立安全管理组织
• B、建立信息安全方针和目标
• C、风险评估
• D、制订安全策略

第16题：

信息安全风险评估是信息安全管理体系建立的基础，以下说法错误的是（）

• A、信息安全管理体系的建立需要确定信息安全需求，而信息安全需求获取的主要手段就是信息安全风险评估
• B、风险评估可以对信息资产进行鉴定和评估，然后对信息资产面对的各种威胁和脆弱性进行评估
• C、风险评估可以确定需要实施的具体安全控制措施
• D、风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合

第17题：

ISO／IBC27001《信息技术安全技术信息安全管理体系要求》的内容是基于（）

• A、BS7799-1《信息安全实施细则》
• B、BS7799-2《信息安全管理体系规范》
• C、信息技术安全评估准则（简称ITSEC）
• D、信息技术安全评估通用标准（简称CC）

第18题：

对于信息安全策略的描述错误的是（）？

• A、信息安全策略是以风险管理为基础，需要做到面面俱到，杜绝风险的存在
• B、信息安全策略是在有限资源的前提下选择最优的风险管理对策
• C、防范不足会造成直接的损失；防范过多又会造成间接的损失
• D、信息安全保障需要从经济、技术、管理的可行性和有效性上做出权衡和取舍

第19题：

“三个纳入”是指（）。

• A、将信息安全纳入公司安全生产管理体系
• B、将等级保护纳入信息安全日常管理中
• C、将信息安全纳入信息化工作中
• D、将信息安全纳入绩效考核中

第20题：

第21题：

第22题：

第23题：