银行业信息安全培训试题

信息安全培训试题

一、单选

1、信息科技风险指在商业银行运用过程中，由于自然因素、（B）、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

A 制度落实

B 技术标准

C 人为因素

D 不可抗力

2、信息科技风险管理的第一责任人是（A）。

A 银行的法定代表人

B 信息技术部负责人

C CIO

D 其他

3、信息科技指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行（A），建立完整的管理组织架构，制订完善的管理制度和流程。

A 信息科技治理

B 信息安全管理

系统持续性管理C．

D 突发事件管理

4、所有科技风险事件都可以归于信息系统连续性或（D）出问题的事件。

A 保密性

B 完整性

C 可用性

D 安全性

5、设立或指派一个特定部门负责信息科技（D）管理工作，该部门为信息科技突发事件应急响应小组的成员之一。

A 安全

B 审计

C 合规

D 风险

6、内部审计部门设立专门的信息科技风险审计岗位，负责（A）进行审计。

A 信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等

B制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等

C 信息科技审计制度和流程的实施，对信息科技整个生命周期和重大事件等

信息科技审计制度和流程的实施，制订和执行信息科技审计计划D 等

7、信息科技风险管理策略，包括但不限于下述领域（C）。

A信息分级与保护；信息系统开发、测试和维护；信息科技运行和维护；访问控制；物理安全；人员安全

B信息分级与保护；信息系统开发、测试和维护；访问控制；物理安全；人员安全；业务连续性计划与应急处置C信息分级与保护；信息系统开发、测试和维护；信息科技运行和维护；访问控制；物理安全；人员安全；业务连续性计划与应急处置

D 信息分级与保护；信息科技运行和维护；访问控制；物理安全；人员安全；业务连续性计划与应急处置

8、依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施。定义每个业务级别的控制内容，包括最高权限用户的审查、控制对数据和系统的物理和逻辑访问、访问授权（C）为原则、审批和授权、验证和调节。。

A以“最小授权”

B以“必需知道”

C以“必需知道”和“最小授权”

D以上都不是

9、信息科技风险管理应制定明确的（D）等，定期进行更新和公示A信息科技风险管理制度

B 技术标准

操作规程C

D 信息科技风险管理制度、技术标准和操作规程

10、制定每种类型操作系统的基本安全要求，确保所有系统满足基本安全要求；明确定义包括（A）等不同用户组的访问权限。

A 终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员

B 终端用户、计算机操作人员、系统管理员和用户管理员

C系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员

D 终端用户、系统开发人员、系统测试人员、计算机操作人员

11、商业银行应保证（C）中包含足够的内容，以便完成有效的内部控制、解决系统故障和满足审计需要。

A 交易日志

B 系统日志

C 交易日志和系统日志

D 监控日志

12、对信息系统的（C）管理制定制度和流程。。

A立项

B 投产

C全生命周期

D 终止

13、制定信息系统变更的制度和流程，确保系统的可靠性、完整性）

C（: 和可维护性。应包括以下要求．

A生产系统与开发系统、测试系统有效隔离。

B生产系统与开发系统、测试系统的管理职能相分离。

C生产系统与开发系统、测试系统有效隔离，生产系统与开发系统、测试系统的管理职能相分离。

D生产系统与开发系统、测试系统有限隔离。

14、除得到管理层批准执行紧急修复任务外，禁止（C）进入生产系统，且所有的紧急修复活动都应立即进行记录和审核。

A 应用程序开发

B 维护人员

C 应用程序开发和维护人员

D 所有人员

15、将完成开发和测试环境的程序或系统配置变更应用到生产系统时，应得到（C）的批准，并对变更进行及时记录和定期复查。

A 信息科技部门

B 业务部门

C 信息科技部门和业务部门

D 机房管理人员

16、所有变更都应记入日志，由信息科技部门和业务部门共同审核签字，并事先进行（A），以便必要时可以恢复原来的系统版本和数据文件。