随着信息安全涉及的范围越来越广，各个组织对信息安全管理的需求越来越迫切。越来越 多的组织开始尝试使用参考 ISO27001 介绍的 ISMS 来实施信息安全管理体系，提高组织的信 息安全管理能力。关于 ISMS，下面描述错误的是?

近几年,无线通信技术迅猛发展,广泛应用于各个领域。而无线信道是一个开放性信道,它在赋 予无线用户通信自由的同时也给无线通信网络带来一些不安全因素。下列选项中,对无线通信技 术的安全特点描述正确的是

关于源代码审核，下列说法正确的是

关于信息安全事件管理和应急响应，以下说法错误的是

若一个组织声称自己的 ISMS 符合 IS0/IEC27001 或 GB/T22080 标准要求，其信息安 全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区 域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访 问、损坏和干扰，关键或敏感的信息及信息处理设施应放在安全区域内，并受到相应保护， 该目标可以通过以下控制措施来实现，不包括哪项

随着信息技术的不断发展，信息系统的重要性也越来越突出。而与此同时，发生的信息安 全事件也越来越多。综合分析信息安全问题产生的根源，下面描述正确的是

IPv4 协议在设计之初并没有过多地考虑安全问题，为了能够使网络方便地进行互联、互通， 仅仅依靠 IP 头部的校验和字段来保证 IP 包的安全，因此 IP 包很容易被篡改，并重新计算和校 验。IETF 于 1994 年开始制定 IPSec 协议标准，其设计目标是在 IPv4 和 IPv6 环境中为网络层 流量提供灵活、透明的安全服务，保护 TCP/IP 通信免遭窃听和篡改，保证数据的完整性和机密 性，有效抵御网络攻击，同时保持易用性。下列选项中说法错误的是

规范的实施流程和文档管理是信息安全风险评估能否取得成果的重要基础。按照规范的风险 评估实施流程，下面哪个文档应当是风险要素识别阶段的输出成果

某电子商务网站在开发设计时，使用了威胁建模方法来分折电子商务网站所面临的威胁。 STRIDE 是微软 SDL 中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消 减措施，Spoofing 是 STRIDE 中欺骗类的威胁，以下威胁中哪个可以归入此类威胁

规范的实施流程和文档管理是信息安全风险评估能否取得成果的重要基础。某单位在实施风 险评估时，形成了《风险评估方案》并得到了管理决策层的认可。在风险评估实施的各个阶段中， 该《风险评估方案》应是如下( )中的输出结果

.若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求，其信息安全控 制措施通常需要在资产管理方面实施常规控制，资产管理包含对资产负责和信息分类两个控制目 标。信息分类控制的目标是为了确保信息受到适当级别的保护，通常采取以下哪项控制措施

某贸易公司的 OA 系统由于存在系统漏洞，被攻击者上传了木马病毒并删除了系统中的数 据，由于系统备份是每周六进行一次，事件发生时间为周三，因此导致该公司三个工作日的数据 丢失并使得 OA 系统在随后两天内无法访问。影响到了与公司有业务往来部分公司业务。在事 故处理报告中，根据 GB/Z20968-2007《信息安全事件分级分类指南》，该事件的准确分类和 定级应该是

若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求，其信息安全 控制措施通常需要在资产管理方面实施常规控制，资产管理包含对资产负责和信息分类两个控制 目标。信息分类控制的目标是为了确保信息受到适当级别的保护，通常采取以下哪项控制措施

数据在进行传输前，需要由协议自上而下对数据进行封装。在 TCP/IP 协议中，数据封装 的顺序是

在信息安全管理的实施过程中，管理者对于信息安全管理体系能否成功实施起到非常重要 的作用。以下选项中不属于管理者应有职责的是

王工是某单位的系统管理员，他在某次参加了单位组织的风险管理工作时，根据任务安排， 他依据已有的资产列表，逐个分析可能危害这些资产的主体，动机，途径等多种因素，分析这些 因素出现及造成损失的可能性大小，并为其赋值。请问，他这个工作属于下面哪一个阶段的工作

信息安全风险管理过程的模型如图所示。按照流程，请问，信息安全风险管理包括()六个 方面的内容 。( ) 是信息安全风险管理的四个基本步骤，()则贯穿于这四个基本步骤中

COBIT(信息和相关技术的控制目标)是国际专业协会 ISACA 为信息技术(IT)管理和 IT 治理创建的良好的实践框架。COBIT 提供了一套可实施的“信息技术控制”，并围绕 IT 相关流 程和推动因素的逻辑框架进行组织。COBIT 模型如图所示，按照流程，请问 COBIT 组件包括()、 ()、()、()、()等部分，如下哪个选项最好

信息安全管理体系(ISMS)的建设和实施是一个组织的战略性举措，若一个组织声称自己的 ISMS 符合 ISO/ IEC27001 或 GB/T22080 标准要求，则需实施准确要求，并需要实施以下 ISMS 建设的各项工作， 哪一项不属于 ISMS 建设的工作

我国依照信息系统的重要程度、安全事件造成的系统损失以及带来的社会影响等因素，将信息安全事件分 为若干个级别。其中，如使特别重要信息系统遭受特别重大的系统损失，如造成系统大面积瘫痪，使其丧 失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏的，应属于哪一级信息安全事件