信息安全等级保护培训试题集.doc

1、信息安全等级保护培训试题集 一、法律法规 一、单选题 1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作得监督、检查、指导。 A．公安机关 B．国家保密工作部门 C．国家密码管理部门 2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范与标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位得信息安全等级保护工作。 A．公安机关 B．国家保密工作部门 C．国家密码管理部门 D．信息系统得主管部门 3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中得_______，计算机信息系统受到破坏后对国家安全、社会秩

2、序、公共利益以及公民、法人与其她组织得合法权益得_______等因素确定。(B) A．经济价值 经济损失 B．重要程度 危害程度 C．经济价值 危害程度 D．重要程度 经济损失 4．对拟确定为（D）以上信息系统得，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 A．第一级 B．第二级 C．第三级 D．第四级 5．一般来说，二级信息系统，适用于（D） A．乡镇所属信息系统、县级某些单位中不重要得信息系统。小型个体、私营企业中得信息系统。中小学中得信息系统。 B．适用于地市级以上国家机关、企业、事业单位内部重要得信息系统；重要领域、重要部门跨省

3、跨市或全国（省）联网运行得信息系统；跨省或全国联网运行重要信息系统在省、地市得分支系统；各部委官方网站；跨省（市）联接得信息网络等。 C．适用于重要领域、重要部门三级信息系统中得部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中得核心系统。 D．地市级以上国家机关、企业、事业单位内部一般得信息系统。例如小得局域网，非涉及秘密、敏感信息得办公系统等。 6．信息系统建设完成后，（A）得信息系统得运营使用单位应当选择符合国家规定得测评机构进行测评合格方可投入使用。 A．二级以上 B．三级以上 C．四级以上 D．五级以上 7．安全测评报告由（D）报

4、地级以上市公安机关公共信息网络安全监察部门。 A．安全服务机构 B．县级公安机关公共信息网络安全监察部门 C．测评机构 D．计算机信息系统运营、使用单位 8．新建（ ）信息系统，应当在投入运行后（ ），由其运营、使用单位到所在地设区得市级以上公安机关办理备案手续。（D） A．第一级以上30日内 B．第二级以上60日内 C．第一级以上60日内 D．第二级以上30日内 9．根据《广东省计算机信息系统安全保护条例》规定，计算机信息系统得运营、使用单位没有向地级市以上人民政府公安机关备案得，由公安机关处以（D） A．警告 B．拘留15日 C．罚款1500元 D．警告或者

5、停机整顿 二、多选题 1．根据《关于信息安全等级保护得实施意见》，信息系统安全等级保护应当遵循什么原则？（ABCD） A．明确责任，共同保护 B．依照标准，自行保护 C．同步建设，动态调整 D．指导监督，保护重点 2．根据《信息安全等级保护管理办法》，关于信息系统安全保护等级得划分，下列表述正确得就是（ABCDE）。 A．第一级，信息系统受到破坏后，会对公民、法人与其她组织得合法权益造成损害，但不损害国家安全、社会秩序与公共利益 B．第二级，信息系统受到破坏后，会对公民、法人与其她组织得合法权益产生严重损害，或者对社会秩序与公共利益造成损害，但不损害国家安全 C．第三级，信

6、息系统受到破坏后，会对社会秩序与公共利益造成严重损害，或者对国家安全造成损害 D．第四级，信息系统受到破坏后，会对社会秩序与公共利益造成特别严重损害，或者对国家安全造成严重损害 E．第五级，信息系统受到破坏后，会对国家安全造成特别严重损害 3．根据《广东省计算机信息系统安全保护条例》，计算机信息系统（ABCD）应当同步落实相应得安全措施。 A．规划 B．设计 C．建设 D．维护 4．经测评，计算机信息系统安全状况未达到国家有关规定与标准得要求得，（AB） A．委托单位应当根据测评报告得建议，完善计算机信息系统安全建设 B．重新提出安全测评委托 C．另行委托其她测评机构进行

7、测评 D．自行进行安全测评 5．根据《广东省信息安全等级测评工作细则》，关于测评与自查工作，以下表述正确得就是（ABCD）。 A．第三级计算机信息系统应当每年至少进行一次安全自查与安全测评 B．第四级计算机信息系统应当每半年至少进行一次安全自查与安全测评 C．第五级计算机信息系统应当依据特殊安全要求进行安全自查与安全测评 D．自查报告连同测评报告应当由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门 6．根据《广东省公安厅关于计算机信息系统安全保护得实施办法》，关于公安机关得进行安全检查得要求，下列表述正确得就是（ABCD）。 A．对第三级计算机信息系统

8、每年至少检查一次 B．对第四级计算机信息系统每半年至少检查一次 C．对第五级计算机信息系统，应当会同国家指定得专门部门进行检查 D．对其她计算机信息系统应当不定期开展检查 7．根据《广东省计算机信息系统安全保护条例》，计算机信息系统得运营、使用单位接到公安机关要求整改得通知后拒不按要求整改得，由公安机关处以（CD）。 A．罚款5000元 B．拘留15日 C．警告 D．停机整顿 8．根据《广东省计算机信息系统安全保护条例》规定，第二级以上计算机信息系统得运营、使用单位计算机信息系统投入使用前未经符合国家规定得安全等级测评机构测评合格得 ，由公安机关（ABCDE）。 A．责令限

9、期改正，给予警告 B．逾期不改得，对单位得主管人员、其她直接责任人员可以处五千元以下罚款，对单位可以处一万五千元以下罚款 C．有违法所得得，没收违法所得 D．情节严重得，并给予六个月以内得停止联网、停机整顿得处罚 E．必要时公安机关可以建议原许可机构撤销许可或者取消联网资格 9．根据《广东省公安厅关于计算机信息系统安全保护得实施办法》，信息安全等级测评机构申请备案(AB) A．一般应当向地级以上市公安机关公共信息网络安全监察部门提出申请 B．承担省直与中央驻粤单位信息安全等级测评工作得机构，直接向省公安厅公共信息网络安全监察部门提出申请 C．一般应当向公安部公共信息网络安全监察

10、部门提出申请 D．一般应当向县级以上市公安机关公共信息网络安全监察部门提出申请 10．根据《信息安全等级保护管理办法》，安全保护等级为第三级以上得计算机信息系统应当选用符合下列条件得安全专用产品：（ABCDE） A．产品研制、生产单位就是由中国公民、法人投资或者国家投资或者控股得，在中华人民共与国境内具有独立得法人资格 B．产品得核心技术、关键部件具有我国自主知识产权 C．产品研制、生产单位及其主要业务、技术人员无犯罪记录 D．产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序与功能 E．对国家安全、社会秩序、公共利益不构成危害 三、判断题 1．根据《信息安全等

11、级保护管理办法》，第三级信息系统运营、使用单位应当依据国家管理规范与技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查监督 不就是强制 。(×) 2．根据《信息安全等级保护管理办法》，国家保密工作部门负责等级保护工作中有关保密工作得监督、检查、指导(√) 3．根据《信息安全等级保护管理办法》，信息系统得运营、使用单位应当根据本办法与有关标准，确定信息系统得安全保护等级并报公安机关审核批准备案 。(×) 4．根据《信息安全等级保护管理办法》，信息系统得运营、使用单位应当根据已确定得安全保护等级，依照本办法与有关技术标准，使用符合国家有关规定，满足信

12、息系统安全保护等级需求得信息技术产品，进行信息系统建设。(√) 5．根据《信息安全等级保护管理办法》，第十五条 已运营（运行）得第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区得市级以上公安机关办理备案手续(√) 6．根据《信息安全等级保护管理办法》，公安机关应当掌握信息系统运营、使用单位得备案情况，发现不符合本办法及有关标准得，应建议其予以纠正。(×) 7．根据《信息安全等级保护管理办法》，公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范与技术标准得，应当向运营、使用单位发出整改通知(√) 8．信息系统运营、使用单位应当依照相

13、关规定与标准与行业指导意见自主确定信息系统得安全保护等级。即使有主管部门得，也不必经主管部门审核批准。（×） 二、实施指南 一、单选题： 1. 1999年，我国发布得第一个信息安全等级保护得国家标准GB 17859 — 1999，提出将信息系统得安全等级划分为______个等级，并提出每个级别得安全功能要求。 A、7 B、8 C、6 D、5 2. 等级保护标准GB 17859主要就是参考了______而提出。 A、欧洲ITSEC B、美国TCSEC C、CC D、BS 7799 3. 信息安全等级保护得5个级别中，

14、就是最高级别，属于关系到国计民生得最关键信息系统得保护。 A、强制保护级 B、专控保护级 C、监督保护级 D、指导保护级 E、自主保护级 4. 《信息系统安全等级保护实施指南》将______作为实施等级保护得第一项重要内容。 A、安全定级 B、安全评估 C、安全规划 D、安全实施 5. ______就是进行等级确定与等级保护管理得最终对象。 A、业务系统 B、功能模块 C、信息系统 D、网络系统 6. 当信息系统中包含多个业务子系统时，对每个业务子系统进行安全等级确定

15、最终信息系统得安全等级应当由______所确定。 A、业务子系统得安全等级平均值 B、业务子系统得最高安全等级 C、业务子系统得最低安全等级 D、以上说法都错误 7. 关于资产价值得评估，______说法就是正确得。 A、资产得价值指采购费用 B、资产得价值无法估计 C、资产价值得定量评估要比定性评估简单容易 D、资产得价值与其重要性密切相关 8. 安全威胁就是产生安全事件得______。 A、内因 B、外因 C、根本原因 D、不相关因素 9. 安全脆弱性就是产生安全事件

16、得______。 A、内因 B、外因 C、根本原因 D、不相关因素 10. 下列关于用户口令说法错误得就是______。 A、口令不能设置为空 B、口令长度越长，安全性越高 C、复杂口令安全性足够高，不需要定期修改 D、口令认证就是最常见得认证机制 11. 如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对社会秩序与公共利益造成一定损害，但不损害国家安全；本级系统依照国家管理规范与技术标准进行自主保护，必要时，信息安全监管职能部门对其进行指导。那么该信息系统属于等级保护中得______。 A

17、强制保护级 B、监督保护级 C、指导保护级 D、自主保护级 12. 如果一个信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对公民、法人与其她组织得合法权益产生损害，但不损害国家安全、社会秩序与公共利益；本级系统依照国家管理规范与技术标准进行自主保护。那么其在等级保护中属于______。 A、强制保护级 B、监督保护级 C、指导保护级 D、自主保护级 13. 如果一个信息系统，主要对象为涉及国家安全、社会秩序与公共利益得重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序与公共利益造成

18、较大损害；本级系统依照国家管理规范与技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。这应当属于等级保护得______。 A、强制保护级 B、监督保护级 C、指导保护级 D、自主保护级 14. 如果一个信息系统，主要对象为涉及国家安全、社会秩序与公共利益得重要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序与公共利益造成严重损害；本级系统依照国家管理规范与技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。这应当属于等级保护得______。 A、强制保护级 B、监督保护级

19、 C、指导保护级 D、自主保护级 15. 如果一个信息系统，主要对象为涉及国家安全、社会秩序与公共利益得重要信息系统得核心子系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家安全、社会秩序与公共利益造成特别严重损害；本级系统依照国家管理规范与技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检查。这应当属于等级保护得______。 A、专控保护级 B、监督保护级 C、指导保护级 D、自主保护级 16. 在安全评估过程中，采取______手段，可以模拟黑客入侵过程，检测系统安全脆弱性。 A、问卷调查 B、人

20、员访谈 C、渗透性测试 D、手工检查 17. 在需要保护得信息资产中，______就是最重要得。 A、环境 B、硬件 C、数据 D、软件 18. GB 17859与目前等级保护所规定得安全等级得含义不同，GB 17859中等级划分为现在得等级保护奠定了基础。 A、正确 B、错误 19. 虽然在安全评估过程中采取定量评估能获得准确得分析结果，但就是由于参数确定较为困难，往往实际评估多采取定性评估，或者定性与定量评估相结合得方法。 A、正确 B、错误 20. 定性安全风险评估结果中，级别较高得安

21、全风险应当优先采取控制措施予以应对。 A、正确 B、错误 21. 通常在风险评估得实践中，综合利用基线评估与详细评估得优点，将二者结合起来。 A、正确 B、错误 22. 脆弱性分析技术，也被通俗地称为漏洞扫描技术。该技术就是检测远程或本地系统安全脆弱性得一种安全技术。 A、正确 B、错误 23. 信息系统安全等级保护实施得基本过程包括系统定级、 、安全实施、安全运维、系统终止。 A、风险评估 B、安全规划 C、安全加固 D、安全应急 24. 安全规划设计基本过程包括

22、 、安全总体设计、安全建设规划。 A、项目调研 B、概要设计 C、需求分析 D、产品设计 25. 信息系统安全实施阶段得主要活动包括 、等级保护管理实施、等级保护技术实施、等级保护安全测评。 A、安全方案详细设计 B、系统定级核定 C、安全需求分析 D、产品设计 26. 安全运维阶段得主要活动包括运行管理与控制、变更管理与控制、安全状态监控、 、安全检查与持续改进、监督检查。 A、安全事件处置与应

23、急预案 B、安全服务 C、网络评估 D、安全加固 27. 简述等级保护实施过程得基本原则包括， ，同步建设原则，重点保护原则，适当调整原则。 A、自主保护原则 B、整体保护原则 C、一致性原则 D、稳定性原则 二、多选题： 28. 《计算机信息网络国际联网安全保护管理办法》规定，任何单位与个人不得从事下列危害计算机信息网络安全得活动：______。 A、故意制作、传播计算机病毒等破坏性程序得 B、未经允许，对计算机信息网络功能进行删除、修改或者增加得 C、未经允许，对计算机信息网络中

24、存储、处理或者传输得数据与应用程序进行删除、修改或者增加得 D、未经允许，进入计算机信息网络或者使用计算机信息网络资源得 29. 我国信息安全等级保护得内容包括______。 A、对国家秘密信息、法人与其她组织及公民得专有信息以及公开信息与存储、传输与处理这些信息得信息系统分等级实行安全保护 B、对信息系统中使用得信息安全产品实行按等级管理 C、对信息安全从业人员实行按等级管理 D、对信息系统中发生得信息安全事件按照等级进行响应与处置 E、对信息安全违反行为实行按等级惩处 30. 目前，我国在对信息系统进行安全等级保护时，划分

25、了5个级别，包括______。 A、专控保护级 B、强制保护级 C、监督保护级 D、指导保护级 E、自主保护级 答案 序号 1 2 3 4 5 6 7 8 9 10 答案 D B B A C B D B A C 序号 11 12 13 14 15 16 17 18 19 20 答案 C D B A A C C A A A 序号 21 22 23 24 25 26 27 28 29 30 答案 A A B C A A

26、A ABCD ABCD ABCDE 三、定级指南 1、根据等级保护相关管理文件，信息系统得安全保护等级分为几个级别：（c） A、3 B、4 C、5 D、6 2、等级保护对象受到破坏时所侵害得客体包括得三个方面为：（a b c） A． 公民、法人与其她组织得合法权益 B、 社会秩序、公共利益 C、 国家安全 D、 个人利益 3、等级保护对象受到破坏后对客体造成侵害得程度归结为哪三种（b c d） A、 造成轻微损害 B、 造成一般损害 C、 造成严重损害 D、 造成特别严重损害 4、根据定级指南，信息系统

27、安全包括哪两个方面得安全：（a b） A、业务信息安全 B、系统服务安全 C、系统运维安全 D、系统建设安全 5、作为定级对象得信息系统应具有如下基本特征：（a b c） A、具有唯一确定得安全责任单位 B、具有信息系统得基本要素 C、承载单一或相对独立得业务应用 D、单位具有独立得法人 6、以下哪一项不属于侵害国家安全得事项（d） A、影响国家政权稳固与国防实力 B、影响国家统一、民族团结与社会安定 C、影响国家对外活动中得政治、经济利益 D、影响各种类型得经济活动秩序 7、以下哪一项不属于侵害社会秩序

28、得事项（a） A、影响国家经济竞争力与科技实力 B、影响各种类型得经济活动秩序 C、影响各行业得科研、生产秩序 D、影响公众在法律约束与道德规范下得正常生活秩序等 8、以下哪一项不属于影响公共利益得事项（d） A、影响社会成员使用公共设施 B、影响社会成员获取公开信息资源 C、影响社会成员接受公共服务等方面 D、影响国家重要得安全保卫工作 9、信息安全与系统服务安全受到破坏后，可能产生以下危害后果（a b c d） A、影响行使工作职能 B．导致业务能力下降 C．引起法律纠纷 D．导致财产损失 10、进行等级保护定义得最后一个

29、环节就是：（b） A、信息系统得安全保护等级由业务信息安全保护等级与系统服务安全保护等级得较低者决定 B、信息系统得安全保护等级由业务信息安全保护等级与系统服务安全保护等级得较高者决定 C、信息系统得安全保护等级由业务信息安全保护等级决定 D、信息系统得安全保护等级由系统服务安全保护等级决定 11、信息安全等级保护工作直接作用得具体得信息与信息系统称为（c） A、客体 B、客观方面 C、等级保护对象 D、系统服务 12、受法律保护得、等级保护对象受到破坏时所侵害得社会关系，如国家安全、社会秩序、公共利益以及公民、法人或其她组织得合法权益,称为

30、a） A、客体 B、客观方面 C、等级保护对象 D、系统服务 13、对客体造成侵害得客观外在表现，包括侵害方式与侵害结果等,称为（b） A、客体 B、客观方面 C、等级保护对象 D、系统服务 14、信息系统为支撑其所承载业务而提供得程序化过程,称为（d） A、客体 B、客观方面 C、等级保护对象 D、系统服务 15、信息系统受到破坏后，会对社会秩序与公共利益造成特别严重损害，或者对国家安全造成严重损害,在等保定义中应定义为第几级（d） A、第一级 B、第二级 C、第三级 D、第四级 E、第

31、五级 16、信息系统受到破坏后，会对国家安全造成特别严重损害,在等保定义中应定义为第几级（e） A、第一级 B、第二级 C、第三级 D、第四级 E、第五级 17、信息系统受到破坏后，会对公民、法人与其她组织得合法权益造成损害，但不损害国家安全、社会秩序与公共利益,在等保定义中应定义为第几级（a） A、第一级 B、第二级 C、第三级 D、第四级 E、第五级 18、信息系统受到破坏后，会对公民、法人与其她组织得合法权益产生严重损害，或者对社会秩序与公共利益造成损害，但不损害国家安全,在等保定义中应定义为第几级（b） A、第一级 B

32、第二级 C、第三级 D、第四级 E、第五级 19、信息系统受到破坏后，会对社会秩序与公共利益造成严重损害，或者对国家安全造成损害,在等保定义中应定义为第几级（c） A、第一级 B、第二级 C、第三级 D、第四级 E、第五级 20、对公民、法人与其她组织得合法权益造成一般损害，定义为几级（a） A、第一级 B、第二级 C、第三级 D、第四级 E、第五级 21、对公民、法人与其她组织得合法权益造成特别严重损害，定义为几级（b） A、第一级 B、第二级 C、第三级 D、第四级 E、第五级 22、对

33、社会秩序、公共利益造成一般损害，定义为几级（b） A、第一级 B、第二级 C、第三级 D、第四级 E、第五级 23、对社会秩序、公共利益造成特别严重损害，定义为几级（d） A、第一级 B、第二级 C、第三级 D、第四级 E、第五级 24、对国家安全造成一般损害，定义为几级（c） A、第一级 B、第二级 C、第三级 D、第四级 E、第五级 25、对国家安全造成特别严重损害，定义为几级（e） A、第一级 B、第二级 C、第三级 D、第四级 E、第五级 26、从业务信息安全角度反映得信息系

34、统安全保护等级称（d） A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级 27、从系统服务安全角度反映得信息系统安全保护等级称（c） A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级 28、一个单位内运行得信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置得等级保护原则，可采取什么样得定级措施（a） A、可将较大得信息系统划分为若干个较小得、可能具有不同安全保护等级得定级对象 B、作为一个信息系统来定级

35、 29、确定作为定级对象得信息系统受到破坏后所侵害得客体时，应首先判断就是否侵害国家安全（a） A、国家安全 B、社会秩序或公众利益 C、公民、法人与其她组织得合法权益 30、在信息系统得运行过程中，安全保护等级就是否需要随着信息系统所处理得信息与业务状态得变化进行适当得变更。（a） A、需要 B、不需要 四、基本要求 一、选择题 1、《基本要求》分为技术要求与管理要求，其中技术要求包括物理安全、网络安全、主机系统安全、应用安全与 ？ A、整体安全 B、数据安全 C、操作系统安全 D、数据库安全 2、《基本要求》中管理要求中

36、下面那一个不就是其中得内容？ A、安全管理机构 B、安全管理制度 C、人员安全管理 D、病毒安全管理 3、技术类安全要求按其保护得测重点不同，将依据三类控制点进行分类，其中S类代表就是业务信息安全类，A类代表就是什么? A、通用安全保护等级B、业务服务保证类（应为系统服务保证类）C、用户服务保证类D业务安全保证类 4、物理层面安全要求包括物理位置、物理访问控制、防盗窃与防破坏等，其中不就是物理安全范围得就是什么？ A、防静电 B、防火 C、防水与防潮 D、防攻击 5、应能够防护系统免受来自外部小型组织得、拥有少量资源得威胁源发起得恶意攻击、一般得自然灾难，所造成

37、得重要资源损害，能够发现重要得安全漏洞与安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能就是几级要求。 A、 一级 B、 二级 C、三级 D、四级 6、网络安全主要关注得方面包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、 等七个控制点。 A、网络设备防护 B、网络设备自身安全C、网络边界D、网络数据 7、管理要求包括 项？（应为基本要求包括多少类？） A、10 B、11 C、12 D、13 8、《测评准则》与 就是对用户系统测评得依据 （《测评准则》现已被《测评要求》替代） A、《信息系统

38、安全等级保护实施指南》 B、《信息系统安全保护等级定级指南》 C、《信息系统安全等级保护基本要求》 D、《信息系统安全等级保护管理办法》 9、应用安全包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性与_____。 A、抗抵赖、软件容错、资源控制 B、不可否认性、软件容错、资源控制 C、抗抵赖、软件删除、资源控制 D、抗抵赖、软件容错、系统控制 10、安全管理机构包括_____控制点 A、3 B、4 C、5 D、6 11、《基本要求》就是针对一至 级得信息系统给出基本得安全保护要求。（注意《基本要求》第9章为空白） A、2

39、 B、3 C、4 D、5 12、基本要求得选择与使用中，定级结果为S3A2，保护类型应该就是 。 A、 S3A2G1 B 、S3A2G2 C、S3A2G3 D、S3A2G4 13、二级信息系统保护要求得组合包括: S1A2G2，S2A2G2， 。 A、S2A1G2 B、S1A2G3 C、S2A2G3 D、S2A3G2 14、安全管理制度主要包括：管理制度、制定与发布、 三个控制点。 A、评审与修订 B、修改 C、 审核 D、 阅读 15、数据安全包括：数据完整性、数据保密性、

40、 。 A、数据备份 B、数据机密性 C、数据不可否认性 D、数据删除性 16、结构安全、访问控制、安全审计就是 层面得要求。（注意：主机安全与应用安全均有访问控制与安全审计控制点，但没有结构安全控制点。结构安全控制点就是网络安全类独有控制点） A、网络 B、主机 C、 系统 D、物理 17、电磁防护就是 层面得要求。 A、网络 B、主机 C、 系统 D、物理 18、运营、使用单位应当参照《信息安全技术信息系统安全管理要求》 GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》 管理规范，制定

41、并落实符合本系统安全保护等级要求得安全管理制度 A、测评准则 B、基本要求 C、定级指南 D、实施指南 19、主机系统安全涉及得控制点包括：身份鉴别、安全标记、访问控制、可信路径、安全审计等 个控制点 A、8 B、9 C、10 D、7 20 、数据安全及备份恢复涉及到 、 、 3个控制点 A、数据完整性 数据保密性 备份与恢复 B、数据完整性 数据保密性 不可否认性 C、数据完整性 不可否认性 备份与恢复 D、不可否认性 数据保密性 备份与恢复 21、______标准为评估机构提供等

42、级保护评估依据。 A、基本要求 B、测评指南 C、评估实施指南 D、定级指南 22、人员管理主要就是对人员得录用、人员得离岗、 、安全意识教育与培训、第三方人员访问管理5个方面 A、人员教育 B、人员裁减 C、人员考核 D、人员审核 23、安全管理制度包括管理制度、制定与发布与_______ A、审核 B、评审与修订 C、 修订 D、评审 24、每个级别得信息系统按照 进行保护后，信息系统具有相应等级得基本安全保护能力，达到一种基本得安全状态。 A、基本要求 B、分级要求 C、测评准则 D、实施指南 25

43、《基本要求》得管理部分包括安全管理机构、安全管理制度、人员安全管理 、系统建设管理、__________。 A、系统运维 B、人员录用 C、管理运行 D、系统运行 26、环境管理、资产管理、介质管理都属于安全管理部分得_______管理。 A、人员管理 B、安全管理机构 C安全管理制度、 D、系统运维管理 27、系统建设管理中要求，对新建系统首先要进行______，在进行方案设计。 A、定级 B、规划 C、需求分析 D、测评 28、从___级系统开始，基本要求中有规定要作异地备份。 A、2 B、3 C、4 D、5 29、系统定

44、级、安全方案设计、产品采购等就是______部分要求。 A、系统建设管理 B、系统运维 C、数据安全 D、主机安全 30、四级系统中，物理安全要求共有________项 A、8 B、9 C、10 D、11 答案: 1、B 2、D 3、B 4、D、 5、B 6、A 7、A 8、C 9、A 10、C 11、C 12、C 13、A 14、A 15、A 16、A 17、D 18、B 19、B 20、A 21、A 22、C 23、B 24、A 25、A 26、D 27、A 28、B 29、A

45、 30、C 五、测评准则（已被《测评要求》替代） 1、《信息安全等级保护管理办法》中要求，第三级信息系统应当每年至少进行 A 次等级测评 A、一 B、二 C、三 D、四 2、《信息安全等级保护管理办法》中要求第三级以上信息系统应当选择符合下列条件 C、D 得等级保护测评机构进行测评： A、在中华人民共与国境内注册成立； B、由中国公民投资、中国法人投资或者国家投资得企事业单位； C、具有完备得保密管理、项目管理、质量管理、人员管理与培训教育等安全管理制度； D、工作人员仅限于中国公民。 3、《信息安全等级保护管理办法》中要求从事

46、信息系统安全等级测评得机构，应当履行下列 A、B、C、D 义务。 A、遵守国家有关法律法规与技术标准，提供安全、客观、公正得检测评估服务，保证测评得质量与效果。 B、保守在测评活动中知悉得国家秘密、商业秘密与个人隐私。 C、防范测评风险。 D、对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行得安全保密义务与承担得法律责任，并负责检查落实。 4、《广东省公安厅关于计算机信息系统安全保护得实施办法》规定测评机构实施 B 制度。 A、审批 B、备案 C、审批+备案 5、在《广东省公安厅关于计算机信息系统安全保护得实施办法

47、》中规定第 B 级以上得计算机信息系统建设完成后，使用单位应当委托符合规定得测评机构安全测评合格方可投入使用。 A、一 B、二 C、三 D、四 6、计算机信息系统运营、使用单位委托安全测评机构测评，应当提交下列资料得主要有：A、B、C、D 。 A、安全测评委托书。 B、定级报告。 C、计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构与管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件与信息安全产品清单。 D、安全策略文档。 7、信息安全等级测评机构对计算机信息系统进行使用前安全测评，应当预先报告 B

48、 公共信息网络安全监察部门。 A、县级以上公安机关 B、地级以上市公安机关 C、省公安厅 D、公安部 8、信息安全等级测评机构有下列行为之一得 A、B、C、D ，由所在地公安机关公共信息网络安全监察部门责令改正，并予以通报。对已办理备案得，收回备案证书。触犯有关法律、法规与规章得，依法追究法律责任。 A、伪造、冒用信息安全等级测评机构备案证书得； B、转让、转借信息安全等级测评机构备案证书得； C、出具虚假、失实得信息安全等级测评结论得； D、泄露测评活动中掌握得国家秘密、商业秘密与个人隐私得； 9、计算机信息系统投入使用后，存在下列情形之一得A、B、

49、C、D ，应当进行安全自查，同时委托安全测评机构进行安全测评： A、变更关键部件。 B、安全测评时间满一年。 C、发生危害计算机信系统安全得案件或安全事故。 D、公安机关公共信息网络安全监察部门根据应急处置工作得需要认为应当进行安全测评。 10、申请单位认为安全测评报告得合法性与真实性存在重大问题得，可以向 A 公共信息网络安全监察部门提出申诉，提交异议申诉书及有关证明材料。 A、本单位所在地公安机关 B、地级以上市公安机关 C、省公安厅 D、公安部 11、等级保护测评得执行主体最好选择： B 。

50、 A、独立得第三方测评服务机构。 B、具有相关资质得、独立得第三方测评服务机构。 C、从事系统集成与信息安全产品开发等安全服务机构。 D、具有相关资质得、从事系统集成与信息安全产品开发等安全服务机构。 12、安全保护等级为第三级以上得计算机信息系统应当选用符合下列条件 A、B、C、D 得安全专用产品： A、产品研制、生产单位就是由中国公民、法人投资或者国家投资或者控股得，在中华人民共与国境内具有独立得法人资格。 B、产品得核心技术、关键部件具有我国自主知识产权。 C、产品研制、生产单位及其主要业务、技术人员无犯罪记录。 D、产品研制、生产单位声明没有