【单选题】
在项目执行过程中, 项目经理发现供应的材料晚到, 且在某些情况下还不正确。项目经理应该怎么做?
A. 更新质量计划。
B. 拒绝向供应商付款。
C. 执行风险分析。
D. 修改项目进度计划。
查看试卷,进入试卷练习
微信扫一扫,开始刷题
答案
B
解析
解析: B 是参考答案。 项目经理发现供应商交付的问题,属于控制采购过程。在控制采购过程里指明对供应商的付款应该与供应商的实际工作成果相关,参考章节 12.3控制采购过程。选项 A 的问题在于项目经理可以在项目过程中适时发现供应商管理中的问题,难以判断质量管理计划中存在缺陷。
相关试题
【单选题】
项目经理加入一个大型全球项目, 其中包含几位来自不同国家的人员,在规划阶段即将结束时,项目经理为项目启动大会准备了一份会议议程,其中一个议程事项是获得几个关键项目要素的一致性,在项目启动大会之前,项目经理应该怎么做?
A. 制定相关方登记册,概述每位相关方的责任
B. 详细审查项目目标,以确保所有参与者都了解项目目标
C. 协同制定项目章程,并明确定义项目的进度计划、范围和预算
D. 审查最终的工作分解结构(WBS),以便所有参与者都可以在会议中分配到任务
【单选题】
项目经理在天气条件不稳定的区域启动一个项目,这可能会导致项目进度延迟,项目发起人要求项目经理消除所有可能的威胁,以避免延迟处罚,若要满足该发起人的请求,项目经理应该怎么做?
A. 执行一份协议以将该威胁的所有权和责任转移给第三方
B. 聘用额外的检查员以确保遵守所有标准
C. 确保所有资源都了解可能的项目威胁
D. 通过确认威胁并制定单独的应急预算来接受风险
【单选题】
项目经理收到项目可交付成果的验收, 并举行了经验教训会议, 若要结束该项目, 项目经理下一步应该做什么?
A. 解散资源
B. 更新组织过程资产
C. 核实范围
D. 开展绩效评估
【单选题】
项目经理正在多个国家领导一项产品部署工作,最终部署时间非常紧迫,项目经理必须快速准备估算,项目经理应该使用什么估算技术?
A. 类比估算
B. 参数估算
C. 自下而上估算
D. 三点估算法
【单选题】
在初始项目会议期间,有权做出重要项目决策的关键相关方无法参加,若要避免潜在的项目交付风险,项目经理应该怎么做?
A. 将关键相关方集合在一起,以澄清业务需求
B. 与项目发起人开会,以获得对项目目标的批准
C. 将会议纪要发送给关键相关方
D. 与项目发起人一起审查相关方参与计划
【单选题】
在一个足球场建设项目的规划会议期间,项目团队决定在设计工程之前进行现场勘察以确定地面状况。项目团队实施的是哪一个风险管理过程?
A. 风险规划
B. 风险识别
C. 风险分析
D. 风险应对规划
【单选题】
一个在地理位置上分散的团队正在从事一个 IT 项目, 他们发现自己会改写彼此的代码, 有时还会处理相同的功能, Scrum 主管正在评估他们如何能够促进团队成员之间更加一致的沟通,从而避免这些问题, Scum 主管应该怎么做?
A. 举行冲刺评审
B. 召开回顾总结会议
C. 安排每日站会
D. 开发一个任务分配系统
【单选题】
一名团队成员已经制定一种创新方法, 来缩短项目时间表。若要与其他项目团队分享该方法, 项目经理应该更新什么?
A. 项目管理计划
B. 事业环境因素
C. 项目管理信息系统(PMIS)
D. 组织过程资产
【单选题】
一位相关方不同意月度状态报告,并要求项目经理每周亲自告知他们项目的状态,项目经理首先应该怎么做?
A. 修改状态报告的形式和频率,以满足该相关方的需求
B. 寻求与该相关方达成协议以管理他们的期望
C. 审查相关方参与计划,以重新审视该相关方的需求
D. 与该相关方会面以说明状态报告的详细信息
【单选题】
采购部门通知项目经理项目管理软件已更新。团队成员没有使用此更新过的软件经验,但需要此项技能来完成项目。项目经理应该怎么做?
A. 请求额外的时间来培训资源。
B. 更新人力资源管理计划。
C. 聘请熟悉这项更新的外部资源来完成工作。
D. 要求供应商提供主题专家(SME)来培训团队。
【单选题】
在为主承包商建设一个现场时, 项目经理得知确定施工方法所使用的信息是过时的,项目经理首先应该怎么做?
A. 更新问题日志
B. 将其添加到经验教训储存库中
C. 寻求专家的专业支持
D. 开展过程改进活动
【单选题】
项目团队分布在不同的地理位置,项目经理安排召开一次虚拟发布规划会议,当来自某个特定地区的所有团队成员全部缺席电话会议时,项目经理感到非常惊讶,若要避免这个问题,项目经理应该事先做什么?
A. 更早提前安排会议
B. 强制要求参加会议
C. 在安排会议之前确认团队成员是否有空参加
D. 用本地团队成员替换全球资源
【单选题】
在收尾项目之前,项目经理进行了挣值分析(EVA), 分析表明,进度绩效指数(SPI)为0.7,成本绩效指数(CP1)为 1.0,这些结果说明项目处于什么状态?
A. 该项目落后于进度计划,在预算范围内,但在完成所有可交付成果之前被取消了
B. 该项目符合进度计划,超出预算,但在完成所有可交付成果之前被取消了
C. 所有可交付成果均已完成,项目已提前完成,并符合预算范围
D. 所有可交付成果均已完成,项目按进度计划完成,但超出预算
【单选题】
公司的标准政策是为项目预算中的每个单项增加 5%的应急费用,财务部门要求对某一特定单项增加 10%的应急费用,因为它设计一个新的可交付成果,该单项的主题专家(SME)认为 15%的应急费用更为合适,发起人要求项目经理将预算中的平均应急费用降低到 3%,项目经理应该为该特定单项增加多少百分比的应急费用?
A. 3%
B. 5%
C. 10%
D. 15%
【单选题】
在一个敏捷项目的演示期间,项目经理缺席,在审查已完成的工作之后,产品负责人要求进行一项变更,然后获得房间中每个人的一致同意,开发团队立即开始实施这项变更,当项目经理回来工作后,这项变更已经完成,项目经理下一步应该怎么做?
A. 将该不一致性问题通知相关方
B. 将已经完成的变更更新到工作范围中
C. 与项目团队开会,讨论变更控制过程
D. 向变更控制委员会(CCB)登记这项变更并请求批准
【单选题】
为了帮忙做出关键决策,客户希望更频繁地收到技术项目更新,项目经理应该怎么做?
A. 邀请所有技术负责人和客户参加项目更新会议
B. 将该请求上报给项目发起人
C. 遵循沟通管理计划
D. 要求每位技术负责人向客户发送报告
【单选题】
项目发起人要求立即对具有明确任务的新项目进行估算。项目经理认为这个项目与另一个最近完成的项目类似。项目经理应该使用什么来确定估算?
A. 储备分析和成本汇总
B. 专家判断和成本估算
C. 资金平衡和储备分析
D. 类比估算和成本汇总
【单选题】
一个组织正在严格的时间限制下进行重大的技术升级,项目团队由内部和外部相关方、职能经理、顾问和供应商组成,其中一位关键职能经理提出多项项目变更。项目经理应该怎么做?
A. 将建议的变更纳入项目中
B. 询问顾问如何实施这些变更
C. 向相关方咨询建议的变更
D. 要求供应商对这些变更报价
【单选题】
项目经理在预算范围内按时成功收尾项目,最终产品已移交运营并对适当的文件存档,几周后,供应商提供的一个部件发生故障,但仍在保修期内,运营经理致电项目经理并要求釆取纠正措施,包括使用剩余的项目预算来支付维修费用。项目经理下一步应该怎么做?
A. 重新审查项目,确定是否有足够的剩余资金来支付维修费用,并执行纠正措施
B. 建议运营经理审查釆购文件,并遵循供应商合同中规定的保修索赔程序
C. 要求法务部门对供应商采取法律行动,以赔偿与更换和安装部件相关的成本
D. 将问题升级上报给高级管理层,以防止运营经理可能采取任何可能的行动
【单选题】
项目经理从项目管理办公室(PMO)收到项目绩效评估报告,该报告指出,其中一位相关方认为范围控制不住,但没有提供额外的细节,项目经理应该怎么做?
A. 无视该反馈,因为没有任何细节可以支持这个问题
B. 与几位相关方分别讨论该问题,以确定是谁提供了该反馈
C. 在发送工作绩效信息后,与相关方开会以获取更多详细信息并说明所感知的问题
D. 与最资深的相关方开会,详细说明是如何妥善管理范围的
【单选题】
一个大型内容迁移项目的关键相关方对新系统的可行性表示怀疑,项目经理应该怎么做?
A. 更新沟通策略以说明这些问题
B. 指导该相关方支持新项目
C. 与相关方举行一次研讨会,记录他们的期望、关切点和问题
D. 开展组织意识宣传活动,以宣布内容的变化
【单选题】
一个项目跨越不同国家,且时间紧迫,公司未来的成功取决于是否满足最后期限。项目经理应该使用什么工具或技术来提高团队执行能力?
A. 基本规则
B. 集中办公
C. 虚拟团队
D. 培训
【单选题】
准备项目收尾时,项目经理整理了整个项目生命周期中持续记录的经验教训。随后项目经理安排项目相关方会议,继续收尾项目。为准备这次会议,项目经理应查看哪些内容?
A. 组织过程资产、项目管理计划和已经验收的可交付成果
B. 事业环境因素、项目管理计划和变更请求
C. 工作绩效报告、项目管理计划和已经验收的可交付成果
D. 风险登记册、项目管理计划和组织过程资产
【单选题】
一些内部相关方向项目经理抱怨因为他们没有收到所需的项目更新,所以他们无法正确执行任务,项目经理首先应该怎么做?
A. 要求相关方确定独立获取项目更新的方式
B. 改变相关方沟通的模式
C. 增加项目更新的频率
D. 审查沟通管理计划,确保包含所有相关方
【单选题】
一位具有独特和关键技能的主题专家(SME)不愿接受项目经理的指令,项目经理首先应该怎么做?
A. 与该主题专家的直线经理开会以解决该冲突
B. 与该主题专家一起审查项目管理计划以核实所有团队角色
C. 要求项目发起人替换该主题专家
D. 更新资源管理计划和风险登记册
【单选题】
在项目执行两年后,项目经理确信项目范围将按照承诺交付,项目团队按计划工作,所有问题都得到迅速解决,在完成日期前两个月,首席执行官命令执行一项范围变更,项目经理应该怎么做?
A. 因为会对进度和预算产生负面影响,建议首席执行官重新考虑该范围变更
B. 向首席执行官询问该范围变更的原因,讨论潜在影响,然后采取适当的措施
C. 告知首席执行官,必须通过适当的渠道进行该范围变更
D. 向前推进并按要求记录该范围变更
【单选题】
项目经理正在执行一个项目,该项目中包含简短的任务以及技能非常熟练的人员,在测试阶段,项目经理注意到很高的失败率和许多缺陷,若要避免这个问题,项目经理应该事先做什么?
A. 实施质量保证计划
B. 要求所有人员都遵循质量保证
C. 在测试阶段期间执行质量控制任务
D. 在所有任务中使用六西格玛程序
【单选题】
一位新项目发起人习惯性地错过每周一次的状态会议,并经常找职能经理讨论项目的状态,定期向其发送会议纪要,但似乎一直未读,项目经理下一步应该怎么做?
A. 指示职能经理拒绝讨论项目状态
B. 将沟通管理计划发送给该发起人
C. 将每周会议纪要重新发送给该发起人
D. 与该发起人组织一对一会议
【单选题】
最新项目报告显示进度绩效指数(SPI)为 1.1,成本绩效指数(CPI)为 0.9.项目经理应该怎么做?
A. 对进度计划赶工,让项目回到正轨。
B. 确定成本偏差的原因,并选择纠正措施。
C. 识别机会,减少项目范围。
D. 继续监控成本和进度。
【单选题】
一个正在进行的项目涉及开发新的消费产品。作为项目相关方的市场营销经理要求新的产品功能来提高市场份额。项目经理应该怎么做?
A. 实施管理相关方参与程度过程
B. 将该请求上报给项目发起人
C. 在风险登记册中添加一个风险
D. 实施整体变更控制过程
【单选题】
一个具有多元文化的项目团队分布在不同的地理位置, 这会带来挑战,因为密切沟通对团队的成功绩效非常关键,若要最大限度地减少团队的错误沟通,项目经理应该怎么做?
A. 安排每日虚拟会议
B. 制定并审查项目仪表板
C. 发送每日项目状态报告
D. 每天通过电子邮件与团队核对
【单选题】
在执行一个新产品开发项目期间, 一位关键相关方要求添加一项功能, 项目经理下一步应该怎么做?
A. 分析该变更的影响
B. 更新变更日志
C. 拒绝该变更
D. 寻求项目发起人的批准
【单选题】
项目经理在项目中途被替换了。新项目经理在之前的项目中遇到一些未发现风险的问题,希望确保所有关键人员均参与风险识别,项目经理应该参考哪一份文件?
A. 资源日历
B. 风险登记册
C. 相关方登记册
D. 项目章程
【单选题】
新聘用的项目经理加入一个正在进行的项目, 而该项目已经落后于进度, 在规划阶段未考虑到几个时间制约因素, 并且批准的基准进度计划具有不灵活的完工期限, 项目经理首先应该怎么做?
A. 制定进度计划
B. 控制进度计划
C. 为项目活动排序
D. 快速跟进进度计划
【单选题】
一个已识别到的风险发生了,从而触发一个次生的已经识别风险,项目经理首先应该怎么做?
A. 审查风险登记册
B. 进行风险审计
C. 提交变更请求
D. 继续商定的风险减轻措施
【单选题】
一个软件开发项目的截止日期即将来临,只有在产品通过质量控制测试之后才能交付产品,但是由于与质量控制团队的关系不佳,开发人员反对测试。项目经理应该怎么做?
A. 分析即将发生的延迟影响并通知客户
B. 立即与两个团队开会,以确保达到质量标准
C. 聘请分包商进行质量管理任务
D. 根据团队意见更新质量管理计划
【单选题】
项目经理正在为相关方准备项目收尾演示,一位相关方曾有拒绝签署项目收尾的历史,在演示之前,项目经理应该怎么做?
A. 与该相关方交谈以了解任何疑虑
B. 要求所有相关方审查项目结果的详细报告
C. 准备对该相关方最可能关注的问题点做出回应
D. 请项目发起人与该相关方进行交涉
推荐试题
【单选题】
62,GB/T 22080-2008《信息技术 安全技术 信息安全管理体系要求》指出,建立信息安全管理体系应参架PDCA模型进行,即信息安全管理体系应包括建立ISMS、 实施和运行ISKS监视和评审ISMS保持和改进ISMS等过程,并在这些过程中应实施若干活动。请选出以下描达错误的选项___ .
A. “制定ISMS方针”是建立ISMS阶段工作内容
B. “实施培训和意识教育计划”是实施和运行ISMS阶段工作内容
C. “进行有效性测量”是监视和评审ISMS阶段工作内容
D. “实施内部审核”是保持和改进ISMS阶段工作内容
【单选题】
63,以下关于数字签名说法正确的是___
A. 数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息
B. 数字签名能够解决数据的加密传输,即安全传输问题
C. 数字签名一般采用对称加密机制
D. 数字签名能够解决篡改、伪造等安全性问题
【单选题】
64,关于标准,下面哪项理解是错误的___.
A. 标准是在一定范围内为了获得最佳秩序,经协商一致制定并由公认机构批准, 共同重复使用的一种规范性文件。标准是标准化活动的重要成果
B. 国际标准是由国际标准化组织通过并公开发布的标准。同样是强制性标准,当国家标准和国际标准的条款发生冲突时,应以国际标准条款为准
C. 行业标准是针对没有国家标准又需要在全国某个行业范围内统一的技术要求而制定的标准,同样是强制性标准,当行业标准和锁价标准发生冲突时,应以国家标准条款为准
D. 地方标准由省、自治区、直辖市标准化行政主管部门制定。并报国务院标准化行政主管部门和国务院的有关行政主管部门备案,在公布国家标准之后,该地方标准即应废止。
【单选题】
65,在设计信息系统安全保障方案时,以下哪个做法是错误的___
A. 要充分符合信息安全需求并且实际可行
B. 要充分考虑成本效益,在满足合理性要求和风险处置要求的前提下,尽量控制成本
C. 要使用当前最新的技术和成本最高的设备,从而保障信息系统的绝对安全
D. 要充分考虑用户管理和文化的可接受性,减少系统方案实施障碍
【单选题】
66,目前,信息系统面临外部攻击者的恶意攻击威胁,从威胁能力和掌握资源分,这些威胁可以按照个人威胁;组织威胁和国家威胁三个层面划分。则下面选项中属于组织威胁的是___。
A. 喜欢恶作剧、实现自我挑战的娱乐型黑客
B. 实施犯罪,获取非法经济利益网络犯罪团伙
C. 搜集政治、军事、经济等情报信息的情报机构
D. 巩固战略优势、执行军事任务、进行目标破坏的信息作战部队
【单选题】
67,信息系统安全保障评估概念和关系如图所示。信息系统安全保障评估,局势在信息系统所处的运行环境中信息系统安全保障的具体工作和活动进行客观的评估。通过信息系统安全保障评估所收集的___,向信息系统的所有相关方提供信息系统的()能够实现其安全保障策略。能够将其所面临的风险降低到其可接受的程度的主观信心。信息系统安全保障评估的评估对象是(),信息系统不仅包含了仅讨论技术的信息技术系统,还包括同信息系统所处的运行环境相关的人和管理等领域,信息系统安全保障是一个动态持续的过程,涉及信息系统整个()因此信息系统安全保障评估也应该提供一种()的信心。
A. 安全保障工作;客观证据;信息系统;生命周期;动态持续
B. 客观证据;安全保障工作;信息系统;生命周期;动态持续
C. 客观证据;安全保障工作;生命周期;信息系统;动态持续
D. 客观证据;安全保障工作;动态持续;信息系统;生命周期
【单选题】
68,自主访问控制模型(DAC)的访问控制关系,可以用访问控制表(ACL)来表示,该ACL利用在客体上符附加一个主体明细表的方法来表示访问控制矩阵,通常使用由客体指向的链表来储存相关数据。下面选项中,说法正确的是___
A. ACL是Bell- LaPadula模型的具体实现
B. ACL在删除用户时,去除该用户所有的访问权限比较方便
C. ACL对于统计某个体能访问哪些客体比较方便
D. ACL在增加客体时,增加相关的访问控制权限较为简单
【单选题】
69,随着信息技术的不断发展,信息系统的重要性也越来越突出,而与此同时,发生的信息安全事件也越来越多。综合分析信息安全向题产生的根源,下面描述正确的是___.
A. 信息系统自身存在脆弱性是根本原因。信息系统越来越重要,同时自身在开发、部署和使用过程中存在的脆弱性导致了诸多的信息安全事件发生。因此,杜绝脆弱性的存在是解决信息安全问顾的根本所在.
B. 信息系统面临诸多黑客的威胁,包括恶意攻击者和恶作剧攻击者。信息系统应用越来族广泛,接触信息系统的人越多,信息系统越可能遭受攻击。因此,避免有恶意攻击可能的人接触信息系统就可以解决信息安全问题
C. 信息安全问题产生的根源要从内因和外因两个方面分析,因为信息系统自身存在脆弱性,同时外部又有成胁源,从而导致信息系统可能发生安全事件。因此,要防范信息安全风险,需从内外因同时着手
D. 信息安全问题的根本原因是内因、外因和人三个因素的综合作用,内国和外因都可能导致安全事件的发生,但最重要的还是人的因素,外部攻击者和内部工作人员通过远程攻击,本地破坏和内外勾结等手段导致安全事件发生。因此,对人这个因素的防范应是安全工作重点
【单选题】
70,关于《网络安全法》域外适用效力的理解,以下哪项是错误的___
A. 当前对于境外的网络攻击,我国只能通过向来源国采取抗议
B. ,对于来自境外的网络安全威胁我国可以组织技术力量进行监测,防御和处置C.对于来自境外的违法信息我国可以加以阻断传播
【单选题】
71,企业安全架构(Sherwood Applied Business Security Architecture, SABSA) 是企业架构的一个子集,它定义了___,包括各层级的( )、流程和规程,以及它们与整个企业的战略,战术和运营链接的方式,用全面的。严格的方法描述了组成完整的信息安全管理体系(ISMS) 所有组件的( )。开发企业安全架构的主要原因是确保安全工作以一个标准化的和节省成本的方式与业务实践相结合。架构在抽象层面工作,它提供了一个( ) .除了安全性之外,这种类型的架构让组织更好地实现( )、集成性、易用性、标准化和便于治理性。
A. 信息安全战略:解决方案:结构和行为:可供参考的框架:互操作性
B. 信息安全战略:结构和行为:解决方案:可供参考的框架:互操作性
C. 信息安全战略:解决方案:可供参考的框架:结构和行为:互操作性
D. 信息安全战略:可供参考的框架:解决方案:结构和行为:互操作性
【单选题】
72,具有行政法律责任强制力的安全管理规定和安全制度包括___(1)安全事件(包括安全事故)报告制度(2) 安全等级保护制度(3)信息系统安全监控(4)安全专用产品销售许可证制度
A. 1, 2, 4
B. 2, 3
C. 2, 3, 4
D. 1, 2,3
【单选题】
73,若一个组织声称自己的ISMS 符合ISO/IEC 27001 或GB/722080标准要求,其信息安全控制措施通常需要在资产管理方面实施常规控制,资产管理包含对资产负责和信息分类两个控制目标。对资产负责的控制目标是实现和保持对组织资产的适当保护。这一控制目标的实现由以下控制措施的落实来保障。不包括哪___
A. 资产清单
B. 资产责任人
C. 资产的可接受使用
D. 分类指南、信息的标记和处理
【单选题】
74,保护检测响应(Protection- Detection Response, PDR)模型是( )工作中常用的模型,其思想是承认___中漏洞的存在,正视系统面临的( ),通过采取适度防护、加强( )、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。
A. 信息系统:信息安全保障:威胁:检测工作
B. 信息安全保障:信息系统:检测工作:威胁
C. 信息安全保障:信息系统:威胁:检测工作
D. 信息安全保障:威胁:信息系统:检测工作
【单选题】
75, 按服我国信息安全等级保护的有关政策和标准,有些信息承统只需要自主定级、自主保护按照要求向公安机关备案即可,可以不需要上级或主管部门来测评和检查。此类信息系统应属于___ .
A. 零级系统
B. 一级系统
C. 二级系统
D. 三级系统
【单选题】
76,以下关于法律的说法错误的是___
A. 法律是国家意志的体现
B. 法律可以是公开的,也可以是“内部的”
C. 一旦制定就比较稳定,长期有效,不允许经常更改
D. 法律对违法犯罪的后果有明确规定,是一种“硬约束”
【单选题】
77,与PDR模型相比,P2DR模型则更强调___即强调系统安全的(),并且以安全监测()和自适应填充“安全间隙”为循环来提高( )
A. 漏洞检测;控制和对抗;动态性;网络安全
B. 动态性;控制和对抗;漏洞监测;网络安全
C. 控制和对抗;漏洞监测;动态性;网络安全
D. 控制和对抗;动态性;漏洞监测;网络安全
【单选题】
78,残余风险是风险管理中的一个重要概念。在信息安全风险管理中,关于残余风险描述错误的是___
A. 残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成本和效益后不去控制的风险
B. 残余风险应受到密切监视,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件
C. 实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果
D. 信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小残余风险值作为风险管理效果评估指标
【单选题】
79,下列我国哪个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全保障工作的主要原则___
A. 《关于加强政府信息系统安全和保密管理工作的通知》
B. 《中华人民共和国计算机信息系统安全保护条例》
C. 《国家信息化领导小组关于加强信息安全保障工作的意见》
D. 《关于开展信息安全风险评估工作的意见》
【单选题】
80, SABSA模型包括___,它是一个( ), 它在第一层从安全的角度定义了( ).模型的每一层在抽象方面逐层减少,细节逐层增加,因此,它的层级都是建在其他层之上的,从策略逐渐到技术和解决方案的( ).其思路上创新提出了一个包括战略、概念、设计、实施、度量和审计层次的( ) .
A. 五层:业务需求:分层模型:实施实践:安全链条
B. 六层:分层模型:业务需求:实施实践:安全链条
C. 五层:分层模型:业务需求:实施实践:安全链条
D. 六层:分层模型:实施实践:业务需求:安全链条
【单选题】
82,关于信息安全保障技术框架(IATF),以下说法不正确的是___.
A. 分层策略允许在适当的时候采用低安全级保障解决方案以使降低信息安全保障的成本
B. IATP从人、技术和操作三个层面提供个框架实施多层保护,使攻击者即使攻破一层也无法破环整个信息基础设
C. 允许在关键区域(例如区城边界)使用高安全级保障解决方案,确保系统安全性
D. IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制
【单选题】
83,常见的访问控制模型包括自主访间控制模型、强制访问控制模型和基于角色的访问控制模型等。下面描述中错误的是___。
A. 从安全性等级来看,这三个模型安全性从低到高的排序是自主访问控制模型、强制访间控制模型和基于角色的访间控制模型
B. 自主访问控制是一种广 泛应用的方法,资源的所有者(往往也是创建者)可以规定谁有权访问它们的资源,具有较好的易用性和可扩展性
C. 强制访问控制模型要求主体和客体都有一- 个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体。该模型具有一定的抗恶意程序攻击能力,适用于专用或安全性要求较高的系统
D. 基于角色的访问控制模型的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限,该模型便于实施授权管理和安全约束,容易实现最小特权、职责分离等各种安全策略
【单选题】
84,小王在学习信息安全管理体系相关知识之后,对于建立信息安全管理体系,自己总结了下面四条要求,其中理解不正确的是___.
A. 信息安全管理体系的建立应参照国际国内有关标准实施,因为这此标准是标准化组织在总结研究了很多实际的或潜在的问题后,制定的能共同的和重复使用的规则
B. 信息安全管理体系的建立应基于最新的信息安全技术,因为这是国家有关信息安全的法律和法规方面的要求,这体现以预防控制为主的思想
C. 信息安全管理体系应强调全过程和动态控制的思想,因为安全问题是动态的,系统所处的安全环境也不会一成不变,不可能建设永远安全的系统
D. 信息安全管理体系应体现科学性和全面性的特点,因为要对信息安全管理涉及的方方面面实施较为均衡的管理,避免遗漏某些方面而导致组织的整体信息安全水平过低
【单选题】
85,Kerberos协议是一种集中访问控制协议,它能在复杂的网络环境中,为用户提供安全的单点登录服务.单点登录是指用户在网络中进行一次身份认证,便可以访问其授权的所有网络资源,而不再需要其他的身份认证过程,实质是消息M在多个应用系统之间的传递或共享.其中,消息M是指以下选项中的___.
A. 安全凭证
B. 用户名
C. 加新密钥
D. 会话密钥
【单选题】
86,关于信息安全管理,下面理解片面的是___.
A. 信息安全管理是组织整体管理的重要、固有组成部分,它是组织实现其业务目标的重要保障
B. 信息安全管理是一个不断演进、循环发展的动态过程,不是一成不变的
C. 在信息安全建设中,技术是基础,管理是拔高,即有效的管理依赖于良好的技术基础
D. 坚持管理与技术并重的原则,是我国加强信息安全保障工作的主要原则之一
【单选题】
87,在某信息系统的设计中,用户登录过程是这样的:(1)用户通过HTTP 协议访问信息系统:(2)用户在登录页面输入用户名和口令:(3)信息系统在服务器端检查用户名和密码的正确性,如果正确,则鉴别完成.可以看出.,这个盗别过程属于___
A. 单向盗别
B. 双向鉴别
C. 三向鉴别
D. 第三方鉴别
【单选题】
88,若一个组织声称自己的ISMS 符合 ISO/IEC 27001或GB/T22080标准要求,其信息安全控制措施通常需要在人力资源安全方面实施常规控制,人力资源安全划分为3个控制阶段,不包括哪一项___
A. 任用之前
B. 任用中
C. 任用终止或变化
D. 任用公示
【单选题】
89,以下哪项制度成标准被作为我国的一项基础制度加以推行,并且有一定强制性,其实施的主要目标是有效地提高我国信息和信息系统安全建设的整体水平,重点保障基础信息网络和重要信息系统的安全.___
A. 信息安全管理体系(ISMS)
B. 信息安全等级保护
C. NIST SP800
D. ISO 270000系列
【单选题】
90,CC标准是目前系统安全认证方面最权威的标准,以下哪一项没有体现CC标准的先进性___
A. 结构的开放性,即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展
B. 表达方式的通用性,即给出通用的表达方式
C. 独立性,它强调将安全的功能和保证分离
D. 实用性,将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中
【单选题】
91,关于对信息安全事件进行分类分级管理的原因描述不正确的是___.
A. 信息安全事件的种类很多,严重程度也不尽相同,其响应和处理方式也应各不相同
B. 对信息安全事件进行分类和分级管理,是有效防范和响应信息安全事件的基础
C. 能够使事前准备、事中应对和事后处理的各项相关工作更具针对性和有效性
D. 我国早期的计算机安全事件的应急响应工作主要包括计算机病毒防范和“千年虫”问题的解决,关于网络安全应急响应的起步最早
【单选题】
92, 《信息安全保障技术框架》(Information Assurance Technical Framework, IATF)是由___发布的。
A. 中国
B. 美国
C. 俄罗斯
D. 欧盟
【单选题】
93, ISO9001-2000标准鼓励的制定、实施质量管理体系以及改进其有效性时采用过程方法,通过满足顾客要求,增进顾客满意度。下图是关于过程方法的示意图,图中括号空白处应填写___。
A. 策略
B. 管理者
C. 组织
D. 活动
【单选题】
95,即使最好用的安全产品也存在___.结果,在任何的系统中敌手最终都能够找出一个被开发出的漏洞.一种有效的对策是在敌手和它的目标之间配备多种( ).每一种机制都应包括( )两种手段.
A. 安全机制:安全缺陷:保护和检测
B. 安全缺陷:安全机制:保护和检测
C. 安全缺陷:保护和检测:安全机制
D. 安全缺陷:安全机制:外边和内部
【单选题】
96,有关危害国家秘密安全的行为包括___
A. 严重违反保密规定行为,定密不当行为,公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为
B. 严重违反保密规定行为,公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为,但不包括定密不当行为
C. 严重违反保密规定行为,定密不当行为、保密行政管理部门的工作人员的违法行为,但不包括公共信息网络运营商及服务商不履行保密义务的行为
D. 严重违反保密规定行为,定密不当行为,公共信息网络运营商及服务商不履行保密义务的行为,但不包括保密行政管理部门的工作人员的违法行为
【单选题】
97,若一个组织声称自己的ISMS符合ISO/IEC 27001或GB/T22080标准要求,其信息安全控制措施通常在以下方面实瓶常规控制,不包括哪一项___
A. 信息安全方针,信息安全组织、资产管理
B. 人力资源安全,物理和环境安全,通信和操作管理
C. 访问控制、信息系统状取、开发和维护、符合性
D. 规划与建立.ISMS
【单选题】
98,部署互联网协议安全虚拟专用网(Internet Protocol Security Virtual Private Network,IPsec VPN)时,以下说法正确的是___.
A. , 配置MDS安全算法可以提供可靠地数据加密
B. 配置AES算法可以提供可靠的数据完整性验证
C. 部署IPsec VPN网络时,需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,来减少IPsec安全关联(Security Authentication, SA)资源的消耗
D. 报文验证头协议(Authentication Header, AH)可以提供数据机密性
【单选题】
99,在风险管理中,残余风险是指在实施了新的或增强的安全措施后还剩下的风险,关于残余风险,下面描述错误的是___
A. 风险处理措施确定以后,应编制详细的残余风险清单,并获得管理层对残余风险的书面批准,这也是风险管理中的一个重要过程
B. 管理层确认接受残余风险,是对风险评估工作的一种肯定,表示管理层已经全面了解了组织所面临的风险,并理解在风险一旦变为现实后,组织能够且必须承担引发的后果
C. 接受残余风险,则表明没有必要防范和加固所有的安全漏洞,也没有必要无限制地提高安全保护指施的强度,对安全保护措施的选择要考虑到成木和技术等因素的限制
D. 如果残余风险没有降低到可接受的级别,则只能被动地选择接受风险,即对A险不采収诚一猡竹先理指飏,按父
【单选题】
100,若一个组织声称自已的ISMS符合ISO/IEC 27001或 GB/T22080 标准要求,其信息安全控制措施通常需要在物理和环境安全方面实施常规控制.物理和环境安全领域包括安全区域和设备安全两个控制目标.安全以区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰,关键或敏感的信息及信息处理设施应放在安全区域内,并受到相应保护,该目标可以通过以下控制措施来实现,不包括哪一项___
A. 物理安全边界、物理入口控制
B. 办公室、房间和设施的安全保护,外部和环境威胁的安全防护
C. 在安全区域工作,公共访问、交接区安全
D. 人力资源安全
【单选题】
1。小李在检查公司对外服务网站的源代码时,发现程序在发生诸如没有找到资源、数据库连接错误、写临时文件错误等问题时,会将详细的错误原因在结果页面上显示出来。从安全角度考虑,小李决定修改代码。将详细的错误原因都隐藏起来,在页面上仅仅告知用户“抱歉。发生内部错误!“请问这种处理方法的主要目的是___
A. 避免缓冲区溢出
B. 安全出来系统异常
C. 安全使用临时文件
D. 最小化反馈信息
