128、IT一般性控制内控流程要求安全管理员每^寸网络管理员的审计监控和问

题处理结果进行审核。

A.15天B.周C.月D.季度

129、下面哪一项最好地描述了风险分析的目的？

A.识别用于保护资产的责任义务和规章制度

B.识别资产以及保护资产所使用的技术控制措施

C.识别资产、脆弱性并计算潜在的风险

D.识别同责任义务有直接关系的威胁

130、在ISO27001中，对信息安全的“可用性”的描述是：

A.确保只有被授权的人才可以访问信息

B.确保信息和信息处理方法的准确性和完整性

C.确保在需要时，被授权的用户可以访问信息和相关的资产

D.以上内容都不是

131、中国石化内部控制要求信息系统风险评估至少行一次。

A.一年B.一季度C.三年D.五年

132、在IT运维人员和最终用户的职责分离存在控制弱点时，下列哪项将成为合适的补偿性措施：

A.限制对服务器设备的物理访问B.审查交易日志和应用日志

C.在雇佣IT人员以前做背景调查D.在最终用户不活动后锁定会话

133、常见的对称加密算法有：

A.RSA RC2 RC4 B.DES 3DES RC2 RC4

C.椭圆算法、DES 3DES D.MD5、SHA

十四、信息安全不定项选择题（每题1.5分，共20题，合计30分；少选得0.5分，多选不得分）

134、信息安全管理体系建设是PDCA动态持续改进的一个循环过程，包括规划和建立、实施和运行、监视和评审、保持和改进四个部分，其中属于监视和评审阶段的内容是：

A.执行检测安全事件程序B.执行信息安全管理体系监视程序

C.测量控制措施的有效性D.评审可接受残余风险

135、下面于主动类型的黑客攻击行为。

A.拒绝服务B.中间人C.窃听D.嗅探

136、下面对信息安全策略的描述正确的是？

A.信息安全策略应对信息安全工作的原则和目标进行清晰的定义

B.一般信息安全策略体系文件是分层次的

C.信息安全策略中应将安全技术措施的具体实施方法和时间计划规定清楚

D.应当将高层管理者的意图和判断表达清楚

137、公安机关负责信息安全等级保护工作的：

A.测评B.监督C.检查D.指导

13 8、以下控制内容属于IT一般性控制的有:

A.客户信用控制B.系统变更控制

C.程序和数据访问控制D.系统操作和运行控制

139、下面对IDS的描述错误的是：

A.基于特征的系统可以检测新的攻击类型

B.基于特征的系统比基于行为的系统产生更多的误报