1、 《网络安全法》规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。(√)
2、 凡是涉及收集个人信息的企业都应该制定隐私政策。(√)
3、 制定App隐私政策时处理个人信息的规则不需要公开。(×)
4、 任何App或个人需要获取他人个人信息,应当依法取得同意并确保信息安全。(√)
5、 密码管理部门和有关部门、单位的工作人员在密码工作中()、()、(),或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。(ABCD)[多选题]
A.滥用职权
B、玩忽职守C、徇私舞弊D、不思进取
6、 违反《密码法》第二十九条规定,未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予(),没收违法产品和违法所得;违法所得三十万元以上的,可以并处违法所得()罚款;没有违法所得或者违法所得不足三十万元的,可以并处()罚款。(ACD)[多选题]
A.警告B、行政处分
C、一倍以上三倍以下D、十万元以上三十万元以下
7、 《密码法》的颁布实施将大大提升密码工作的()、()、()、()水平。(ABCD)[多选题]
A.科学化
B、规范化C、法治化D、现代化
8、 《密码法》以法律形式明确总体国家安全观在密码工作中的指导思想地位的重要意义是:();();();()。(出题单位:国家密码管理局)(ABCD)[多选题]
A.贯彻落实中央决策部署的重要举措B、适应新的形势任务发展的必然要求C、做好密码工作的迫切需要D、切实维护各方安全和利益的迫切需要
9、 密码管理部门对核心密码、普通密码实行严格统一管理的依据包括:()、()、()、()。(ABCD)[多选题]
A.《中华人民共和国密码法》
B、密码管理有关法律C、密码管理有关行政法规D、密码管理国家有关规定
10、密码管理部门针对核心密码、普通密码的()、()、()、()环节,制定严格的安全管理制度和保密措施。(ABCD)[多选题]
A.科研、生产
B、服务、检测C、装备、使用D、销毁
11、国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码()与()之间的转化运用。(出题单位:国家密码管理局)(AB)[多选题]
A.中国标准B、国外标准C、国际标准
D、国家标准
12、违反《密码法》第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害()、()、()等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。(ABC)[多选题]
A.国家安全
B、社会公共利益C、他人合法权益D、国计民生
13、安全认证主要目的是确认()、()、()、()。(ABCD)[多选题]
A.信息是否完整B、信息是否被篡改C、信息是否可靠D、行为是否真实
14、常见的密码算法有()、()和()。(ABC)[多选题]
A.对称密码算法B、公钥密码算法C、密码杂凑算法D、标识密码算法
15、商用密码行业标准分为()、()、()、()。(ABCD)[多选题]
A.基础类标准B、应用类标准C、检测类标准D、管理类标准
16、以下属于密码产品的是()、()、()。(ABC)[多选题]
A.链路密码机B、电话密码机C、智能电卡中使用的密码芯片D、密码保障系统集成
17、商用密码从业单位开展商用密码活动,应当符合有关()、()、商用密码()以及该从业单位()的技术要求。国家鼓励商用
18、密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。(ABCD)[多选题]
A.法律
B、行政法规C、强制性国家标准D、公开标准
19、国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施(),对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施()。(AB)[多选题]
A.进口许可
B、出口管制C、进口管制
D、出口许可
20、商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供()、()、()等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。(ABC)[多选题]
A.信息
B、技术C、培训D、检测
21、密码管理部门和有关部门建立()和()相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。(AB)[多选题]
A.日常监管
B、随机抽查C、预先审查
D、定期抽查
22、违反《密码法》规定,发生()、()泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。(出题单位:国家密码管理局)(BC)[多选题]
A.商用密码
B、核心密码C、普通密码D、高级密码
23、商用密码检测、认证机构违反《密码法》第二十五条第二款、第三款规定开展商用密码检测认证的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得()罚款;没有违法所得或者违法所得不足三十万元的,可以并处()罚款;情节严重的,依法吊销相关资质。(出题单位:国家密码管理局)(AC)[多选题]
A.一倍以上三倍以下
B、十万元以下
C、十万元以上三十万元以下D、三十万元以上
24、信息安全事态(informationsecurityevent)定义为:“表明一次可能的信息安全违规或某些控制失效的发生”。信息安全事件(informationsecurityincident)定义为:“与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态”。当发生了未经授权者通过破解密码等手段试图登录信息系统的攻击,攻击未
25、成功时属于(),攻击成功时属于()。(CD)[多选题]
A.信息安全风险
B、信息安全漏洞
C、信息安全事态D、信息安全事件
26、可信计算的体系由()和()构成,为期所在的网络环境提供相应等级的安全保障。(AB)[多选题]
A.可信计算节点
B、可信连接C、可信根
D、可信部件
27、为了识别改进已实施的ISMS的需要,信息安全测量方案和已制定的测量构造宜确保组织有效地达到目标和可重复测量,并为利益相关者提供测量结果。一个信息安全测量方案宜包括以下过程:(ABCD)[多选题]
A.测度和测量的制定
B、测量运行C、数据分析和测量结果报告D、信息安全测量方案的评价和改进
28、安全可控保障是什么?()(ABC)[多选题]
A、数据支配权B、产品控制权C、产品选择权D、知识所有权
29、信息安全治理的目标是?()(ABC)[多选题]
A.使信息安全目标和战略向业务目标和战略看齐(战略一致)B、为治理者和利益相关者带来价值(价值传递)C、确保信息风险问题得到充分解决(责任承担)D、建立组织范围的信息安全 E.采用基于风险的方法
30、哪些是恶意软件类信息安全事件?()(BC)[多选题]
A、网络扫描
B、计算机病毒C、网络蠕虫D、版权违反
E.权限滥用
31、网络安全威胁信息模型包括8个组件,以下属于这些组件的是()。(ABCD)[多选题]
A.可观测数据
B、攻击活动C、攻击目标D、攻击方法
32、为保障供应链完整性,宜采取以下措施:(ABCD)[多选题]
A.采取硬件完整性保护措施,如硬件拆箱保护;
B、验证集成商、供应商和外部服务提供商提供的篡改保护机制C、直接从经过验证的源获取二进制或机器可执行代码D、对信息系统和组件的完整性进行测试和验证
33、ICT供应链脆弱性既包括产品或服务在其生命周期内的脆弱性,也包括ICT供应链脆弱性。ICT供应链脆弱性可能存在于()。(ABC)[多选题]
A.产品或服务生命周期中的系统或组件;
B、直接影响系统生命周期的开发和运维环境;C、运输ICT产品或组件的物流和交付环境,包括逻辑或物理的;D、以上均不存在
34、信息技术产品安全检测机构应对其在()场所中实施的活动负责。(ABCD)[多选题]
A.固定场所
B、临时场所C、可移动的场所D、客户场所
35、由于多数入侵检测和防御系统(IDPS)基于攻击特征,因此IDPS的价值相当于针对事件分析的攻击特征数据库。由于不断发现新的攻击和脆弱性,因此,需持续更新IDPS攻击特征数据库。故选
36、择IDPS时组织至少需考虑如下方面():(ABCD)[多选题]
A.更新的及时性
B、内部分发的有效性C、更新实施D、攻击特征更新后对系统影响
37、GB/T20988—2007《信息安全技术信息系统灾难恢复规范》灾难恢复的工作范围包括哪几个阶段?(ABCD)[多选题]
A.灾难恢复需求的确定
B、灾难恢复策略的制定C、灾难恢复策略的实现D、灾难恢复预案的制定、落实和管理
38、信息技术产品安全可控评价的基本评价原则是什么?(ACD)[多选题]
A.科学合理B、整体易测
C、客观公正D、知识产权保护
39、电子认证服务岗位主要有以下那几类?(ABCD)[多选题]
A.安全管理类B、运行维护类C、客户服务类D、专业技术类
40、电子认证服务质量分级有以下那几级?(ABD)[多选题]
A.基本执行级B、计划跟踪级C、充分定义级
D、优化控制级
41、可信网络连接是中国可信计算的重大创新之一,其核心技术三元对等鉴别架构(又称“虎符TePA”)已纳入国际标准,编号“ISO/IEC9798-3:Amd1:2010”(2010年6月),中国可信网络连接具有的优势有()。(ABCD)[多选题]
A.支持双向用户认证B、支持双向平台认证C、支持隔离/修补,确保接入网络的主机对网络的受限访问,以及在线的修补服务,直到接入网络的主机是可信赖的D、是一个开放性架构,符合一系列标准
42、以下属于信息安全风险管理的基本步骤的是?(ABCD)[多选题]
A.背景建立B、风险评估C、风险处理D、批准监督E.监视评审
43、安全事件造成的损失由什么因素直接计算而来?(CE)[多选题]
A.威胁出现的频率
B、安全事件的可能性
C、脆弱性的严重程度D、安全措施有效性
E.资产价值
44、风险管理准备的内容包括?(ABCD)[多选题]
A.确定风险管理对象B、组建风险管理团队C、制定风险管理计划D、获得支持E.调查信息系统的业务目标、特性
45、信息系统安全运维活动包括以下那几类?(ABCD)[多选题]
A.安全运维策略确定B、安全运维组织管理C、安全运维规程制定D、安全运维支撑系统
46、政府部门日常信息管理资产管理应:(ABCDE)[多选题]
A.应建立并严格执行资产管理制度;B、应指定专人负责资产管理;C、应建立资产台账(清单),统一编号、统一标识、统一发放;D、应及时记录资产状态和使用情况,保证账物相符;E.应建立并严格执行设备维修维护和报废管理制度。
47、在信息安全服务交付过程中,属于违规行为的是()。(AC)[多选题]
A.未经客户书面授权,传播、使用共享账号和密码B、客户授权到期后,删除和销毁持有的客户网络数据
C、未经客户书面授权,访问客户系统,收集、篡改、处理客户网络中的数据和信息D、服务快结束时,仔细检查并确认所提供的产品或服务中未预留任何未公开接口和账号
48、从组织信息安全治理角度,信息安全服务过程模型包含哪些要素?(ABCDE)[多选题]
A.组织战略B、规划设计C、实施交付D、监视支持E.检查改进
49、根据GB/T30276-2020《信息安全技术网络安全漏洞管理规范》,在漏洞发现和报告阶段,对漏洞发现者的要求包括()。(ABCD)[多选题]
A.遵循国家相关法律、法规的前提下,可通过人工或者自动化方法对漏洞进行探测、分析,并证实漏洞存在的真实性。B、在实施漏洞发现活动时,不应对用户的系统运行和数据安全造成影响和损害,不应有为了发现漏洞而侵犯其他组织的业务运行和数据安全的行为。C、在识别网络产品或服务的潜在漏洞时,应主动评估可能存在的安全风险。D、应采取防止漏洞信息泄露的有效措施。
50、标准GB/T22186-2016《信息安全技术具有中央处理器的IC卡芯片安全技术要求》对IC卡芯片哪些评估保障级(EAL)的安全要求进行了定义?()(BCD)[多选题]
A.EAL4
B、EAL4+C、EAL5+D、EAL6+