A.信息系统的开发设计，应该越早考虑系统的安全需求越好
B.信息系统的设计、开发、实施、运行和维护过程中的安全问题，不仅仅要考虑提供一个安全的开发环境，同时还要考虑开发出安全的系统
C.信息系统在加密技术的应用方面，其关键是选择密码算法，而不是密钥的管理
D.运营系统上的敏感、真实数据直接用作测试数据将带来很大的安全风险

A.口令是最常见的验证身份的措施，也是重要的信息资产，应妥善保护和管理
B.系统管理员在给用户分配访问权限时，应该遵循“最小特权原则”，即分配给员工的访问权限只需满足其工作需要的权限，工作之外的权限一律不能分配
C.单点登录系统（一次登录/验证，即可访问多个系统）最大的优势是提升了便利性，但是又面临着“把所有鸡蛋放在一个篮子”的风险
D.双因子认证（又称强认证）就是一个系统需要两道密码才能进入

A.信息系统的变更应该是受控的
B.企业在岗位设计和人员工作分配时应该遵循职责分离的原则
C.移动介质使用是一个管理难题，应该采取有效措施，防止信息泄漏
D.内部安全审计无需遵循独立性、客观性的原则

A.人员的安全管理是企业信息安全管理活动中最难的环节
B.重要或敏感岗位的人员入职之前，需要做好人员的背景检查
C.企业人员预算受限的情况下，职责分离难以实施，企业对此无能为力，也无需做任何工作
D.人员离职之后，必须清除离职员工所有的逻辑访问帐号

A.企业应该建立和维护一个完整的信息资产清单，并明确信息资产的管控责任
B.企业应该根据信息资产的重要性和安全级别的不同要求，采取对应的管控措施
C.企业的信息资产不应该分类分级，所有的信息系统要统一对待
D.企业可以根据业务运作流程和信息系统拓扑结构来识别所有的信息资产

A.企业应该在组织内建立发起和控制信息安全实施的管理框架
B.企业应该维护被外部合作伙伴或者客户访问和使用的企业信息处理设施和信息资产的安全
C.在没有采取必要控制措施，包括签署相关协议之前，不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定
D.企业在开展业务活动的过程中，应该完全相信员工，不应该对内部员工采取安全管控措施

A.信息安全策略（或者方针）是由组织的最高管理者正式制订和发布的描述企业信息安全目标和方向，用于指导信息安全管理体系的建立和实施过程
B.策略应有一个属主，负责按复查程序维护和复查该策略
C.安全策略的内容包括管理层对信息安全目标和原则的声明和承诺
D.安全策略一旦建立和发布，则不可变更

A.企业通过ISO27001认证则必须符合ISO27001信息安全管理体系规范的所有要求
B.ISO27001标准与信息系统等级保护等国家标准相冲突
C.ISO27001是源自于英国的国家标准BS7799
D.ISO27001是当前国际上最被认可的信息安全管理标准

A.只关注外来的威胁，忽视企业内部人员的问题
B.相信来自陌生人的邮件，好奇打开邮件附件
C.开着电脑离开，就像离开家却忘记关灯那样
D.及时更新系统和安装系统和应用的补丁

A.识别并评估重要的信息资产，识别各种可能的威胁和严重的弱点，最终确定风险
B.通过以往发生的信息安全事件，找到风险所在
C.风险评估就是对照安全检查单，查看相关的管理和技术措施是否到位
D.风险评估并没有规律可循，完全取决于评估者的经验所在

A.通过良好的系统设计、及时更新系统补丁，降低或减少信息系统自身的缺陷
B.通过数据备份、双机热备等冗余手段来提升信息系统的可靠性；
C.建立必要的安全制度和部署必要的技术手段，防范黑客和恶意软件的攻击
D.通过业务外包的方式，转嫁所有的安全风险