【单选题】
BXB82.一个相关方认为最近一个项目的可交付成果没有实现,若要获得该相关方的批准,项目经理应该怎么做?___
A. 分析该相关方的需求和期望并审查项目范围
B. 与该相关方一起审查项目章程
C. 与该相关方一起审查质量管理计划
D. 获得该相关方的新需求并执行风险分析
查看试卷,进入试卷练习
微信扫一扫,开始刷题
答案
A
解析
暂无解析
相关试题
【单选题】
BXB83.一位相关方要求更频繁,更详细地更新项目状态。该相关方也表示有兴趣协助该项目。项目经理下一步该怎么做?___
A. 尽快发送详细的状态报告并更新相关方登记册
B. 将该相关方包含在所有详细的项目状态沟通中,并将该相关方的参与度更新为支持
C. 与团队开会以审查相关方登记册并重新评估角色和报告要求
D. 更新具有同样参与程度的所有相关方的详细状态报告
【单选题】
BXB84.一名指导委员会成员提交了一项新请求,这项请求似乎没有得到充分考虑,可能会对项目产生负面影响。项目经理下一步应该怎么做?___
A. 评估该请求的影响
B. 记录该请求,并将其提交给变更控制委员会(CCB)
C. 要求支持的成员说服该指导委员会成员撤回请求
D. 拒绝该请求,并告知该指导委员会成员拒绝的原因
【单选题】
BXB85.团队利用最新技术完成了新产品的原型。在测试期间,产品不符合性能规格。项目经理应该怎么做?___
A. 与项目发起人重新协商性能规格
B. 执行根本原因分析,找出原因
C. 向变更控制委员会(CCB)提出偏差请求
D. 通知发起人,并实施纠正措施
【单选题】
BXB86.一个国际项目的团队由来自不同的背景,年龄和兴趣的个人组成。项目一开始后就发现他们在齐心协力一起合作。项目经理如何才能促进更好的团队合作?___
A. 举行正式的团队会议来讨论团队合作的重要性
B. 与团队开会以解释基本规则,共同愿景和价值观,并更好的理解团队成员的优先级
C. 请人力资源部门对团队进行多样性方面的教育和培训
D. 让团队自行建设,然后在下一次绩效评估会议上处理问题
【单选题】
BXB87.一位团队成员发现一项新法规可能影响一个异地项目的交付日期,项目经理下一步应该怎么做?___
A. 要求项目发起人接收该风险
B. 在进度计划中添加额外时间
C. 更新风险登记册进行风险分析
D. 请主要相关方将该问题提交给变更控制委员会(CCB)
【单选题】
BXB88.一位团队成员急于将客户正在考虑的新功能添加到项目可交付成果中。在开始为这些新功能工作之前,需要谁的批准?___
A. 项目经理
B. 变更控制委员会(CCB)
C. 项目发起人
D. 主题专家(SME)
【单选题】
BXB89.团队成员不清楚项目经理的主要职责和职权级别,哪一份文件可以帮助团队成员了解这一点?___
A. 项目章程
B. 项目管理计划
C. 组织结构
D. 项目资源管理计划
【单选题】
BXB90.项目经理加入一个新项目,该项目的项目章程和项目管理计划已获批准。若要开始项目,项目经理下一步应该做什么?___
A. 创建工作分解结构(WBS)
B. 安排召开项目启动大会
C. 获得必要的项目资源
D. 定义项目管理计划的活动
【单选题】
BXB91.在项目管理计划获得批准后,项目经理得知该项目的工作环境存在潜在问题。项目经理应该审查哪份文件?___
A. 项目章程
B. 质量管理计划
C. 相关方管理计划
D. 组织过程资产
【单选题】
BXB92.尽管未获得事先同意,一位项目团队成员假设客户将会批准,开发了一个功能。项目经理应该怎么做?___
A. 坚持不包含这个功能
B. 由于工作已经完成,继续进行项目
C. 查阅范围管理计划来决定下一步行动
D. 通知相关方,并签发变更请求
【单选题】
BXB93.一家农业设备制造商因一个缺陷部件而召回数千个产品。这个问题导致许多客户不满,公司花费500万美元来修理和更换零件。哪一种成本预算类型可以防止这个问题?___
A. 非一致性成本
B. 一致性成本
C. 矩阵图
D. 多标准决策分析
【单选题】
BXB94.一个制造工厂施工项目现场发生地震。这影响到整个项目预算。项目经理应该考虑什么类型的储备分析?___
A. 应急储备
B. 管理储备
C. 项目储备
D. 基准储备
【单选题】
BXB95.一个工厂扩建项目已接近完成50%,这时一群当地居民组成一个维权组织来抗议该项目。项目经理应该怎么做?___
A. 执行相关方分析,并相应调整相关方参与计划
B. 通知项目发起人,该维权组织体现了项目进度的一个凤险
C. 与该维权组织开会,将其需求添加到该项目中
D. 教育该维权组织,让其了解该项目将为社区带来的好处
【单选题】
BXB96.一家组织执行了电子邮件迁移项目,虽然电子邮件迁移成功,但用户地址簿信息的迁移却不正确,这会影响到该组织的内部沟通,项目经理应该怎么做?___
A. 向所有相关方解释这种情况,然后就后续步骤达成一致
B. 确定迀移错误的根本原因
C. 要求项目团队提出纠正措施
D. 请求发起人批准延长项目时间
【单选题】
BXB97.一家组织启动一个项目来实施一个新的企业资源规划(ERP)系统,一个第三方就该系统的某个具体模块对ERP供应商提了侵权索赔。如果该第三方的侵权索赔成功,项目经理应该怎么做?___
A. 坚称ERP供应商已获得该模块的权利,以便组织可以继续使用该模块
B. 要求ERP供应商将该模块免费更换为同等相当的模块
C. 坚持让ERP供应商退还该模块的成本,包括所有相关的实施费用
D. 取消合同
【单选题】
BXB98.一个关键项目资源的职能经理通知项目经理,该资源对项目的方向和进度表示严重关 切。这个信息让经理感到意外,因为在最近的任何团队会议都没有表达存在这个问题。项目经理应该怎么做? ___
A. 向该关键资源沟通遵循沟通管理计划的重要性,以有效解决问题
B. 进行一项行动,以更好了解该资源关切的问题,并制定一份计划来解决这些问题
C. 在问题日志中添加这些关切的问题,并在下次项目状态会议上讨论这些问题
D. 与该关键资源和职能经理开会,以讨论他们关切的问题
【单选题】
BXB99.一家组织希望开展一个网络开发项目。在与相关方讨论之后,销售团队决定在不同渠道投资,将会产生更多收入。这是使用什么工具或技术来做出这个决定?___
A. 专家判断
B. 成本效益分析
C. 访谈
D. 头脑风暴
【单选题】
BXB100.一个釆用固定总价(FFP)合同的项目己经到达其最终里程碑,项目经理对最终产品充满信心,并向客户背书该产品,一周后,项目发起人通知项目经理,客户正在针对其所认可的产品向他们公司提起诉讼。 项目经理应该事先做什么来避免这种情况?___
A. 确认项目团队向客户收费的工作小时数
B. 向客户批注该产品之前重新测试该产品
C. 花时间与客户一起了解项目的需求
D. 要求客户正式书面通知合同已经完成
【单选题】
BXB101.由于不可预见的社区反对意见,一个项目暂时停止,由于在项目规划阶段没有将其识别为一项风险,因此未将其纳入风险登记册。项目经理应该怎么做? ___
A. 通过会议和头脑风暴向相关方推荐减轻措施
B. 重新计划剩余工作,并为未完成的任务和完成日期重新制定进度计划
C. 将该事项升级上报给项目发起人和职能经理
D. 与相关方开会以审查各种应急方案,建议适当行动方案
【单选题】
BXB102.项目收尾时,项目经理审查上一个阶段收尾信息,以验证所有项目工作是否完成。项目经理应该做什么?___
A. 集合团队,认可她们对项目付出的努力
B. 通知项目发起人项目已收尾
C. 在组织过程资产中更新经验教训
D. 执行偏差分析
【单选题】
BXB103.在一次迭代结束时,一位团队成员告诉项目经理,由于几天前出现且无法解决的问题,一个计划任务未完成。若要在将来逢免这种情况,项目经理应该怎么做?___
A. 在回顾总结会议上讨论该问题
B. 在演示中说明该问题
C. 在下一次迭代规划会上讨论该问题
D. 在下一次每日站立会上审查该问题
【单选题】
BXB104.根据迄今为止取得的项目进展,项目团队希望改变他们在项目开始时选择的风险管理方法,项目经理本应该怎么做?___
A. 查阅风险管理计划,并鼓励项目团队遵循项目的约定变更控制流程
B. 拒绝进行变更,因为这种方法己经获得相关方的同意
C. 告诉项目团队,风险管理方法是根据项目需求确定的,不能改变
D. 因项目团队确定新的风险管理方法而奖励团队
【单选题】
BXB105.由于一个组织的项目发起人在地理上分散在不同地方。项目管理办公室(PMO)启动了一个项目来实施定制的、统一的组织过程。这个过程包括在每个里程碑结束时产生所需的工作。该项目的结束将被用作未来实施的原型。确保这个目标取得成功,项目经理应该怎么做?___
A. 制定详细的项目管理计划,与所有相关方分享
B. 让相关方参与并在每个阶段结束时要求签署
C. 促成每周状态更新的虚拟会议
D. 每周更新一次项目管理计划
【单选题】
BXB106.由于质量过程的问题,一个项目明显落后于进度计划。项目相关方坚持要求项目经理采取任何必要的行动来满足初始时间表。项目经理下一步应该怎么做?___
A. 与相关方谈判质量标准并更新质量管理计划
B. 重新确定客户的需求清单优先级并调整项目范围
C. 在风险登记册中记录所有问题并接受质量过程
D. 审查质量核对单以确定根本原因并实施所需的变更
【单选题】
BXB107.由于缺乏资金,一个项目在启动阶段被终止,项目经理必须对项目收尾。项目经理首先应该做什么?___
A. 查阅沟通管理计划,适当地通知所有相关方
B. 审查组织的项目收尾指南
C. 执行风险分析,确定终止项目的潜在影响
D. 结束所有项目采购过程
【单选题】
BXB108.在经验教训会议上,团队的反馈非常积极,项目经理意识到这是因为团队不想损失可能获得的奖金。若要获得团队的诚实反馈,项目经理应该怎么做?___
A. 进行匿名电子调查
B. 使用分析技术收集绩效和其他指标
C. 让发起人参与获得独立评估
D. 正视团队成员的明显偏差
【单选题】
BXB109.在一个多功能项目的规划阶段,项目经理发现没有足够的资源来生产软件包。项目经理通过与第三方公司签署服务水平协议(SLA)来外包此软件包的生产。项目经理使用的是哪一项风险应对策略?___
A. 减轻
B. 转移
C. 接受
D. 规避
【单选题】
BXB110.在一个新项目的规划阶段,质量保证经理坚持要求将精度和准确度标准添加进质量管理计划中。项目经理可以从哪里找到这个信息?___
A. 事业环境因素
B. 需求文件
C. 变更控制过程文档
D. 组织过程资产
【单选题】
BXB111.在一次项目会议期间,团队得知项目所需的一台设备的成本降低,成本管理计划已获得批准。项目经理应该怎么做?___
A. 继续执行项目而不通知变更控制委员会(CCB)
B. 遵循变更管理计划,并要求变更控制委员会批准成本变更
C. 更新变更管理计划,以包含该成本变更
D. 将该成本降低事宜通知变更控制委员会,并继续执行项目
【单选题】
BXB112.在项目经理里程碑评审期间,项目经理与项目团队讨论从上一阶段获得的经验教训,由于存在许多技术难题和冲突,顶目团队要求项目经理将经验教训讨论会推迟到所有项目里程碑都完成之后。项目经理应该怎么做?___
A. 营造一种信任氛围,让个人可以讨论经验教训并分享知识
B. 由于该项目正处于落后于进度的危险之中,因此取消经验教训讨论会
C. 在问题日志中添加经验教训
D. 独立收集经验教训
【单选题】
BXB113.在项目状态审查会议期间,显而易见的是,整体项目效绩低于预期的项目目标,并且一些关键的可交付成果未能满足客户的需求。项目经理应该怎么做?___
A. 更新范围管理计划并执行备选方案分析
B. 使用德尔菲技术并执行备选方案分析
C. 执行趋势分析并更新质量管理计划
D. 执行根本原因和备选方案分析
【单选题】
BXB114.在一个项目的执行阶段,项目经理需要快速分配资源以建立团队并按时满足项目要求,项目经理下一步应该怎么做?___
A. 创建图书馆服务
B. 举行一系列研讨会
C. 培训新团队
D. 举行网络研讨会
【单选题】
BXB115.在项目启动阶段,项目经理审查了经验教训知识库。项目经理得知,之前有一个项目由于不断的范围蔓延而失败,这个项目无法负担额外的时间或预算。为避免项目失败,项目经理应该怎么做?___
A. 拒绝所有超出范围的变更请求
B. 管理关键相关方的期望
C. 将该信息升级上报给发起人
D. 包含严格和正式的过程批准变更
【单选题】
BXB116.在一个项目的用户验收阶段,一些用户抱怨他们的期望未得到满足,项目经理事先应该釆取哪一个不同做法?___
A. 考虑相关方的反馈
B. 执行风险评估
C. 实施冲突管理技术
D. 与用户建立一种专业关系
【单选题】
BXB117.在每周一次的项目会议上,一位团队成员表示在修订项可交付成果时,一名销售经理对客户服务过程做出一项重要评论,影响到整个项目。项目经理对销售经理参与项目可交付成果感到吃惊。若要预防这个问题,项目经理应该事先做什么?___
A. 完善风险审查会议,制定风险登记册
B. 执行相关方分析,并制定相关方参与计划
C. 将职能团队过程包含进问题曰志中,并制定预防措施
D. 识别项目范围并通知相关方
【单选题】
BXB118.在项目收尾过程中,项目经理得知他们必须快速加入一个更高优先级的项目。如果立即启动项目,这个新项目将为公司来200万美元的增量价值。项目经理应该怎么做?___
A. 关闭所有风险并转到新项目
B. 将剩余任务委托给替代资源
C. 确保所有相关项目文件均已存档
D. 执行项目标杆对照
【单选题】
BXB119.在项目交付期间,质量审计揭示了一个未识别到的产品需求。项目经理应该怎么做?___
A. 审查并更新风险报告
B. 更新测试和评估文档
C. 将产品需求发送给质量管理团队
D. 使用应急应对来采取纠正措施
【单选题】
BXB120.顶目执行期间,客户请求进行一个小变更。在执行高层级审查后,开发人员确定进行变更所需的工作影响较小且可被吸收。项目经理下一步应该怎么做?___
A. 要求开发人员继续进行修改
B. 签发变更请求
C. 更新问题日志
D. 向所有项目相关方沟通提议的变更
【单选题】
BXB121.在项目执行期间,团队成员提出纠正措施,帮助满足项目需求。项目经理应该怎么做?___
A. 将其包含在经验教训数据库中
B. 遵循变更管理计划
C. 将其正确地记录在问题日志中
D. 更新项目管理计划
【单选题】
BXB122.项目经理通过电子邮件向所有项目相关方(包括本地和海外团队成员)发布每周项目更新,一个海外项目团队担心由于对项目需求的误解而无法实现目标。项目经理应该怎么做?___
A. 单独与该海外团队谈话澄清该问题
B. 将该问题记录在问题日志中
C. 分配另一个海外团队来帮助/指导他们
D. 与所有相关方开会,讨论这个问题
推荐试题
【单选题】
82,关于信息安全保障技术框架(IATF),以下说法不正确的是___
A. ,分层策略允许在适当的时候采用低安全级保障解决方案以使降低信息安全保障的成本
B. ,IATP从人、技术和操作三个层面提供个框架实施多层保护,使攻击者即使攻破一层也无法破环整个信息基础设
C. ,允许在关键区域(例如区城边界)使用高安全级保障解决方案,确保系统安全性
D. , IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制
【单选题】
83,常见的访问控制模型包括自主访间控制模型、强制访问控制模型和基于角色的访问控制模型等。下面描述中错误的是___。
A. ,从安全性等级来看,这三个模型安全性从低到高的排序是自主访问控制模型、强制访间控制模型和基于角色的访间控制模型
B. ,自主访问控制是一种广 泛应用的方法,资源的所有者(往往也是创建者)可以规定谁有权访问它们的资源,具有较好的易用性和可扩展性
C. ,强制访问控制模型要求主体和客体都有一- 个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体。该模型具有一定的抗恶意程序攻击能力,适用于专用或安全性要求较高的系统
D. ,基于角色的访问控制模型的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限,该模型便于实施授权管理和安全约束,容易实现最小特权、职责分离等各种安全策略
【单选题】
84,小王在学习信息安全管理体系相关知识之后,对于建立信息安全管理体系,自己总结了下面四条要求,其中理解不正确的是___,
A. , 信息安全管理体系的建立应参照国际国内有关标准实施,因为这此标准是标准化组织在总结研究了很多实际的或潜在的问题后,制定的能共同的和重复使用的规则
B. 信息安全管理体系的建立应基于最新的信息安全技术,因为这是国家有关信息安全的法律和法规方面的要求,这体现以预防控制为主的思想
C. 信息安全管理体系应强调全过程和动态控制的思想,因为安全问题是动态的,系统所处的安全环境也不会一成不变,不可能建设永远安全的系统
D. ,信息安全管理体系应体现科学性和全面性的特点,因为要对信息安全管理涉及的方方面面实施较为均衡的管理,避免遗漏某些方面而导致组织的整体信息安全水平过低
【单选题】
85,Kerberos协议是一种集中访问控制协议,它能在复杂的网络环境中,为用户提供安全的单点登录服务,单点登录是指用户在网络中进行一次身份认证,便可以访问其授权的所有网络资源,而不再需要其他的身份认证过程,实质是消息M在多个应用系统之间的传递或共享,其中,消息M是指以下选项中的___,
A. ,安全凭证
B. ,用户名
C. ,加新密钥
D. ,会话密钥
【单选题】
86,关于信息安全管理,下面理解片面的是___,
A. ,信息安全管理是组织整体管理的重要、固有组成部分,它是组织实现其业务目标的重要保障
B. ,信息安全管理是一个不断演进、循环发展的动态过程,不是一成不变的
C. ,在信息安全建设中,技术是基础,管理是拔高,即有效的管理依赖于良好的技术基础
D. ,坚持管理与技术并重的原则,是我国加强信息安全保障工作的主要原则之一
【单选题】
87,在某信息系统的设计中,用户登录过程是这样的:(1)用户通过HTTP 协议访问信息系统:(2)用户在登录页面输入用户名和口令:(3)信息系统在服务器端检查用户名和密码的正确性,如果正确,则鉴别完成,可以看出,,这个盗别过程属于___
A. ,单向盗别
B. ,双向鉴别
C. ,三向鉴别
D. ,第三方鉴别
【单选题】
88,若一个组织声称自己的ISMS 符合 ISO/IEC 27001或GB/T22080标准要求,其信息安全控制措施通常需要在人力资源安全方面实施常规控制,人力资源安全划分为3个控制阶段,不包括哪一项___
A. ,任用之前
B. ,任用中
C. ,任用终止或变化
D. ,任用公示
【单选题】
89,以下哪项制度成标准被作为我国的一项基础制度加以推行,并且有一定强制性,其实施的主要目标是有效地提高我国信息和信息系统安全建设的整体水平,重点保障基础信息网络和重要信息系统的安全,___
A. ,信息安全管理体系(ISMS)
B. ,信息安全等级保护
C. ,NIST SP800
D. ,ISO 270000系列
【单选题】
90,CC标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC标准的先进性___
A. ,结构的开放性,即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展
B. ,表达方式的通用性,即给出通用的表达方式
C. ,独立性,它强调将安全的功能和保证分离
D. ,实用性,将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中
【单选题】
91,关于对信息安全事件进行分类分级管理的原因描述不正确的是___,
A. ,信息安全事件的种类很多,严重程度也不尽相同,其响应和处理方式也应各不相同
B. ,对信息安全事件进行分类和分级管理,是有效防范和响应信息安全事件的基础
C. ,能够使事前准备、事中应对和事后处理的各项相关工作更具针对性和有效性
D. ,我国早期的计算机安全事件的应急响应工作主要包括计算机病毒防范和“千年虫”问题的解决,关于网络安全应急响应的起步最早
【单选题】
92, 《信息安全保障技术框架》(Information Assurance Technical Framework, IATF)是由___发布的。
A. 中国
B. 美国
C. 俄罗斯
D. 欧盟
【单选题】
93, ISO9001-2000标准鼓励的制定、实施质量管理体系以及改进其有效性时采用过程方法,通过满足顾客要求,增进顾客满意度。下图是关于过程方法的示意图,图中括号空白处应填写___。
A. 策略
B. 管理者
C. 组织
D. 活动
【单选题】
95,即使最好用的安全产品也存在___,结果,在任何的系统中敌手最终都能够找出一个被开发出的漏洞,一种有效的对策是在敌手和它的目标之间配备多种( ),每一种机制都应包括( )两种手段,
A. ,安全机制:安全缺陷:保护和检测
B. ,安全缺陷:安全机制:保护和检测
C. ,安全缺陷:保护和检测:安全机制
D. ,安全缺陷:安全机制:外边和内部
【单选题】
96,有关危害国家秘密安全的行为包括___
A. ,严重违反保密规定行为,定密不当行为,公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为
B. ,严重违反保密规定行为,公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为,但不包括定密不当行为
C. ,严重违反保密规定行为,定密不当行为、保密行政管理部门的工作人员的违法行为,但不包括公共信息网络运营商及服务商不履行保密义务的行为
D. ,严重违反保密规定行为,定密不当行为,公共信息网络运营商及服务商不履行保密义务的行为,但不包括保密行政管理部门的工作人员的违法行为
【单选题】
97,若一个组织声称自己的ISMS符合ISO/IEC 27001或GB/T22080标准要求,其信息安全控制措施通常在以下方面实瓶常规控制,不包括哪一项___
A. , 信息安全方针,信息安全组织、资产管理
B. , 人力资源安全,物理和环境安全,通信和操作管理
C. 访问控制、信息系统状取、开发和维护、符合性
D. , 规划与建立,ISMS
【单选题】
Network,IPsec VPN)时,以下说法正确的是___,
A. , 配置MDS安全算法可以提供可靠地数据加密
B. 配置AES算法可以提供可靠的数据完整性验证
C. , 部署IPsec VPN网络时,需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,来减少IPsec安全关联(Security Authentication, SA)资源的消耗
D. ,报文验证头协议(Authentication Header, AH)可以提供数据机密性
【单选题】
99,在风险管理中,残余风险是指在实施了新的或增强的安全措施后还剩下的风险,关于残余风险,下面描述错误的是___,
A. ,风险处理措施确定以后,应编制详细的残余风险清单,并获得管理层对残余风险的书面批准,这也是风险管理中的一个重要过程
B. ,管理层确认接受残余风险,是对风险评估工作的一种肯定,表示管理层已经全面了解了组织所面临的风险,并理解在风险一旦变为现实后,组织能够且必须承担引发的后果
C. ,接受残余风险,则表明没有必要防范和加固所有的安全漏洞,也没有必要无限制地提高安全保护指施的强度,对安全保护措施的选择要考虑到成木和技术等因素的限制
D. ,如果残余风险没有降低到可接受的级别,则只能被动地选择接受风险,即对A险不采収诚一猡竹先理指飏,按父
【单选题】
100,若一个组织声称自已的ISMS符合ISO/IEC 27001或 GB/T22080 标准要求,其信息安全控制措施通常需要在物理和环境安全方面实施常规控制,物理和环境安全领域包括安全区域和设备安全两个控制目标,安全以区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰,关键或敏感的信息及信息处理设施应放在安全区域内,并受到相应保护,该目标可以通过以下控制措施来实现,不包括哪一项___
A. ,物理安全边界、物理入口控制
B. ,办公室、房间和设施的安全保护,外部和环境威胁的安全防护
C. ,在安全区域工作,公共访问、交接区安全
D. ,人力资源安全
【单选题】
1,某信息安全公司的团队某款名为“红包快抢”的外挂进行分析,发现此外挂是一个典型的木马后门,使黑客能够获得受害者电脑的访问权,该后门程序为了达到长期驻留在受害都的计算机中,通过修改注册表启动项来达到后门程序随受害者计算机系统启动而启动,这防范此类木马后门的攻击,以下做法无用的是___
A. 不下载,不执行、不接收来厉明的软件
B. 不随意打开来历不明的邮件,不浏览不健康不正规的网站
C. 使用共享文件夹
D. 安装反病毒软件和防火墙,安装专门的木马防治软件
【单选题】
2,某单位门户网站开发完成后,测试人员使用模型测试进行安全性测试,以下关于模型测试过程的说法正确的是___
A. 模拟正常用户输入行为,生成大量数据包作为测试用例
B. 数据处理点,数据通道的入口点和可信边界点往往不是测试对象
C. 监测和记录输入数据后程序正常运行的情况
D. 深入分析问题测试过程中产生崩溃或异常的原因,必要时需要测试人员手工重现并分析
【单选题】
3,某电子商务网战在开发设计时,使用了威胁建模方法来分析电子商务网站所面临的威胁,STRIDE是微软SDL中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing 是STRIDE中欺骗类的威胁,以下威胁中哪个可以归入此类威胁___
A. 网站竟争对手可能雇佣攻击者实施DDOS攻击,降低网站访问速度
B. 网站使用HTTP协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄漏,例如购买的商品金额等
C. 网站使用HTTP协议进行浏览等操作,无法确认数据与用户发出的是否一致辞,可能数据被中途篡改
D. 网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息
【单选题】
4,公钥基础设施(Public Key Infrastructure,PKI)引入数字证书的概念,用来表示用户的身份,下图简要地描述了终端实体(用户)从认证权威机构CA申请、撤销和更新数字证书的流程,请为中间框空白处选择合适的选项___
A. 证书库
B. RA
C. OCSP
D. CRL库
【单选题】
5,保护-检测-响应(Protection-Detection-Hesponse,PDR)模型是___工作中常用的模型,其思想是承认(C)中漏洞的存在,正视系统面临的(C)。通过采取适度防护、加强(C)、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。
A. 信息系统;信息安全保障;威胁;检测工作
B. 信息安全保障;信息系统;检测工作;威胁
C. 信息安全保障;信息系统;威胁;检测工作
D. 信息安全保障;威胁;信息系统;检测工作
【单选题】
6,某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题后在针对性的解决,比前期安全投入要成本更低,信息中心则认为应在软件安全开发阶段投入,后期解决代价太大,双方争执不下,作为信息安全专家,请选择对软件开发安全投入的准确说法___
A. 信息中心的考虑是正确的,在软件立项投入解决软件安全问题,总体经费投入比软件运行后的费用要低
B. ,软件开发部门的说法是正确的,因为软件发现问题后更清楚问题所在,安排人员进行代码修订更简单,因此费用更低
C. 双方的说法都正确,需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低
D. 双方的说法都错误,软件安全问题在任何时候投入解决都可以,只要是一样的问题,解决的代价相同
【单选题】
7,某IT公司针对信息安全事件已经建立了完善的预案,在年度企业信息安全总结会上,信息安全管理员对今年应急预案工作做出了四个总结工作是错误,作为企业的CSO,请你指出存在问题的是哪个总结?___
A. 公司自身拥有优势的技术人员,系统也是自己开发的,无需进行应急演练工作,因此今年的仅制定了应急演练相关流程及文档,为了不影响业务,应急演练工作不举行
B. 公司制定的应急演练流程包括应急事件通报、确定应急事件优先级应急响应启动实施、应急响应时间后期运维、更新现在应急预案5个阶段,流程完善可用
C. 公司应急预案包括了基本环境类、业务系统、安全事件类、安全事件类和其他类,基本覆盖了各类应急事件类型
D. 公司应急预案对事件分裂依据GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》,分为7个基本类别,预案符合国家相关标准
【单选题】
14,某网络安全公司基于网络的实时入侵检测技术,动态监测来自于外部网络和内部网络的所有访问行为,当检测到来自内外网络针对或通过防火墙的攻击行为,会及时响应,并通知防火墙实时阻断攻击源,从而进一步提高了系统的抗击能力,更有效地保护了网络资源,提高了防御体系级别,但入侵检测技术不能实现以下哪种功能___
A. 检测并分析用户和系统的活动
B. 核查系统的配置漏洞,评估系统关键资源和数据文件的完整性
C. 防止IP地址欺骗
D. 识别违反安全策略的用户活动
【单选题】
15,Windows系统中,安全标识符(SID)是标识用户、组和计算机账户的唯一编码,在操作系统内部使用,当授予用户、组、服务或者其他安全主休访问对象的权限时,操作系统会把SID和权限写入对象的ACL中,小刘在学习了SID的组成后,为了巩固所学知识,在自己计算机的Windows操作系统中使用whooml/users操作查看当前用户的SID,得到是的SID为S-1-5-21-1534169462-1651380828-111620652-500。下列选项中,关于此SID的理解错误的是___
A. 前三位S-1-5表示此SID是由Windows NT 颁发的
B. 第一个子颁发机构是21
C. Windows NT 的SID的三个子颁发机构是 1534169462、1651380828、111620651
D. 此SID以500结尾,表示内置guest
【单选题】
16,小牛在对某公司的信息系统进行风险评估后,因考虑到该业务系统中部分涉及金融交易的功能模块风险太高,他建议该公司以放弃这个功能模块的方式来处理风险,请问这种风险处置的方法是___
A. 降低风险
B. 规避风险
C. 放弃风险
D. 转移风险
【单选题】
18,以下关于信息安全工程说法正确的是___
A. 信息化建设中系统功能的实现是最重要的
B. 信息化建设可以先实施系统,而后对系统进行安全加固
C. 信息化建设中在规划阶段合理规划信息安全,在建设阶段要同步实施信息安全建设
D. 信息化建设没有必要涉及信息安全建设
【单选题】
19,私有IP地址是一段保留的IP地址,只使用在局域网中,无法在Internet上使用,关于私有地址,下面描述正确的是___
A. A类和B类地址中没有私有地址,C类地址中可以设置私有地址
B. A类地址中没有私有地址,B类和C类地址中可以设置私有地址
C. A类、B类和C类地址中都有可以设置私有地址
D. A类、B类和C类地址中都没有私有地址
【单选题】
20,信息安全组织的管理涉及内部组织和外部各方面两个控制目标,为了实现对组织内部信息安全的有效管理,应该实施常规的控制措施,不包括哪些选项___
A. 信息安全的管理承诺,信息安全协调,信息安全职责的分配
B. 信息处理设施的授权过程,保密性协议,与政府部门的联系
C. 与特定利益集团的联系,信息安全的独立评审
D. 与外部各方相关风险的识别,处理外部各方协议的安全问题
【单选题】
21,一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成,而其安全性是由下列哪个选项决定的___
A. 加密算法
B. 解密算法
C. 加密和解密算法
D. 密钥
【单选题】
22,防火墙是网络信息系统建设中常常采用的一类产品,它在内外网隔离方面的作用是___
A. 既能物理隔离,又能逻辑隔离
B. 能物理隔离,但不能逻辑隔离
C. 不能物理隔离,但是能逻辑隔离
D. 不能物理隔离,也不能逻辑隔离
【单选题】
23, 小王在学习定量风险评估方法后,决定试着为单位机房计算火灾的风险大小,假设单位机房的总价值为400万元人民币,暴露系数(Exposure Factor,EF)是25%,年度发生率(Annualixed Rate of Occurrence, ARO)为0。2。那么小王计算的年度预算损失(Annualixed Loss Expectancy,ALE )应该是___
A. 100万元人民币
B. 400万元人民币
C. 20万元人民币
D. 180万元人民币
【单选题】
24,信息系统安全保障评估概念和关系如图所示,信息系统安全保障评估,就是在信息系统所处运行环境中对信息系统安全保障的具体工作和活动进行客观的评估,通过信息系统安全保障评估所搜集的___,向信息系统的所有相关方提供信息系统的(B)能够实现其安全保障策略,能够将其所面临的风险降低到其可接受的程度的主观信心,信息系统安全保障评估的评估对象是(B),信息系统不仅包含仅讨论术的信息技术系统,还包括同信息系统所处的运行环境相关的人和管理等领域,信息系统安全保障是一个动态持续的过程,涉及信息系统整个(B),因此信息系统安全保障的评估也应该提供一种(B)的信心。
A. 安全保障工作;客观证据;信息系统;生命周期;动态持续
B. 客观证据;安全保障工作;信息系统;生命周期;动态持续
C. 客观证据;安全保障工作;生命周期;信息系统;动态持续
D. 客观证据:安全保障工作:动态持续:信息系统:生命周期
【单选题】
25,关于计算机取证描述正确的是___
A. 计算机取证是使用先进的技术和工具,按照标准规程全面地检查计算机系统,以提取和保护有关计算机犯罪的相关证据的活动
B. 取证的目的包括:通过证据查找肇事者,通过证据推断受害都损失程度及收集证据提供法律支持
C. 电子证据是计算机系统运行过程中产生的各种信息记录存储的电子化资料及物品,对于电子证据,取证工作主要围绕两方面进行,证据的获取和证据的保护
D. 计算机取证的过程可以分为准备、保护、提取、分析和提交5个步骤
【单选题】
26,在信息安全风险管理过程中,背景建立是实施工作的第一步,下面哪项是错误的___
A. 背景建立的依据是国家,地区行业的相关政策、法律、法规和标准,以及机构的使命,信息系统的业务目标和特性
B. 背景建立阶段应识别需要保护的资产、面临的威胁以及存在的脆弱性,并分别赋值,同时确认已有的安全措施,形成需要保护的资产清单
C. 前景建立阶段应调查信息系统的业务目标、业务特性、管理特性和技术特性、形成信息系统的描述报告
D. 背景建立阶段应分析信息系统的体系结构和关键要素,分析信息系统的安全环境和要求,形成信息系统的安全要求操作
【单选题】
27,具有行政法律责任强制的安全管理规定和安全制度包括___1>安全事件(包括安全事故)报告制度2>安全等级保护制度3>信息系统安全监控4>安全专用产品销售许可证制度
A. 1,2,4
B. 2,3
C. 2,3, 4
D. 1,2, 3
【单选题】
28,若一个组织声称自己的ISMS符合ISO/IBC 27001或GB/T22080标准要求,其信息安全控制措施通常在以下方面实施常规控制,不包括哪一项___
A. 信息安全方针、信息安全组织、资产管理
B. 人力资源安全、物理和环境安全、通信和操作管理
C. 访问控制、信息系统获取、开发和维护、符合性
D. 规划与建立ISMS
