CISP官方信息安全管理章节练习一
CISP练习题(1)
1、如果接收机和发送机不在一个局域网,则数据要经过下面哪一个设备进行一次或多次转发()A、路由器B、交换机C、集线器D、防火墙答案:A2、信息系统安全主要从几个方面进行评估?A、1个(技术)B、2个(技术、管理)C、3个(技术、管理、工程)D、4个(技术、管理、工程、应用)答案:C3、对称密码算法与非对称密码算法相比,具有的特点是()A、加密密钥与解密秘钥不同B、加密速度快C、密钥管理简单D、可以用于数字签名答案:B4、在应急响应的六阶段方法的遏制阶段,若遇到异常,用户所做的工作应遵循的行为规范是()A、应尽快关闭系统或断开网络B、应修改系统或应用软件达到抑制目的C、监控并记录可以的现象,直到处理该类安全事件的人员到达D、按照应急响应策略向系统所有者报告任何可疑的现象答案:C5、对信息安全保障的理解不正确的是()A、信息安全保障应综合技术、管理和人B、购买性能良好的信息安全产品、培训高素质的信息安全技术人员就能保障信息系统的安全C、社会各方的积极参与是信息安全保障所必需的D、应该在信息系统生命周期的全过程都进行信息安全保障答案:B6、关于信息系统安全保障工程实施通用模型的说法,不正确的是()A、系统生命周期包括5个阶段B、系统生命周期立项阶段的退出准则为信息系统的整体规划完成C、信息系统安全保障工程实施框架描述了信息系统安全工程应用于系统生命周期的具体工程实践流程D、信息系统安全工程由六个过程组成答案:B7、常见的网络信息系统不安全因素包括()A、网络因素B、应用因素C、管理因素D、以上皆是答案:D8、SSL提供哪些协议上的数据安全:A、HTTP,FTP和TCP/IPB、SKIP,SNMP和IPC、UDP,VPN和SONETD、PPTP,DMI和RC4答案:A9、以下哪一项是伪装成有用程序的恶意软件?A、计算机病毒B、特洛伊木马C、逻辑炸弹D、蠕虫程序答案:B10、操作应用系统由于错误发生故障下列哪个控制是最没有用的?A、错误统计B、日志C、检查点控制D、回复记录答案:A11、在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性以下哪一层提供了抗抵赖性?A、表示层B、应用层C、传输层D、数据链路层答案:B12、Intranet没有使用以下哪一项?A、Java编程语言B、TCP/IP协议C、公众网络D、电子邮件答案:C13、下列关于计算机病毒说法错误的是()A、有些病毒仅能攻击某一种操作系统,如winD.owsB、病毒一般附着在其他应用程序之后C、每种病毒都会给用户造成严重后果D、有些病毒能损坏计算机硬件答案:C14、关于系统安全工程能力成熟模型(SSE-CMM)的说法,不正确的是()A、对安全服务提供商来说,SSE-CMM中包含的很多安全过程实施元素有助于理解客户的安全需求B、SSE-CMM覆盖整个工程的生命周期、整个组织机构、并与其它规范并行的相互作用,以及其它机构发生相互作用C、SSE-CMM将安全工程划分三个基本的过程:风险、工程、保证D、SSE-CMM主要用于指导系统安全工程的完善和改进,使系统安全工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的、可度量的学科答案:A15、计算机病毒会对下列计算机服务造成威胁,除了:A、完整性B、有效性C、保密性D、可用性答案:C16、“可信计算基(TCB)”不包括:A、执行安全策略的所有硬件B、执行安全策略的软件C、执行安全策略的程序组件D、执行安全策略的人答案:D17、下面哪种方法产生的密码是最难记忆的?A、将用户的生日倒转或是重排B、将用户的年薪倒转或是重排C、将用户配偶的名字倒转或是重排D、用户随机给出的字母答案:D18、以下哪一项计算机安全程序的组成部分是其他组成部分的基础?A、制度和措施B、漏洞分析C、意外事故处理计划D、采购计划答案:A19、关于信息安全风险评估工作的一些说法,不正确的是()A、按“严密组织、规范操作、讲究科学、注重实效”的原则展开B、应按照“谁主管谁负责。
CISP考试(习题卷1)
CISP考试(习题卷1)第1部分:单项选择题,共94题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]制定应急响应策略主要需要考虑A)系统恢复能力等级划分B)系统恢复资源的要求C)费用考虑D)人员考虑答案:D解析:2.[单选题]信息安全风险评估师信息安全风险管理工作中的重要环节。
在《关于开展信息安全 风险评估工作的意见》(国信办[2006]5 号)中,指出了风险评估分为自评估和检 查评估两种形式,并对两种工作形式提出了有关工作原则和要求。
下面选项中描述 错误的是?A)自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行 的风险评估B)检查评估是指信息系统上级管理部门组织的国家有关职能部门依法开展的 风险评估C)信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补 充D)自评估和检查评估是相互排斥的,单位应慎重地从两种工作形式选择一个, 并坚持使用答案:D解析:3.[单选题]区别脆弱性评估和渗透测试是脆弱性评估A)检查基础设施并探测脆弱性,然而穿透性测试目的在于通过脆弱性检测其可能带来的损失B)和渗透测试为不同的名称但是同一活动C)是通过自动化工具执行,而渗透测试是一种完全的手动过程D)是通过商业工具执行,而渗透测试是执行公共进程答案:A解析:4.[单选题]某个新成立的互联网金融公司拥有 10 个与互联网直接连接的 IP 地址,但是该网 络内有 15 台个人计算机,这些个人计算机不会同时开机并连接互联网。
为解决公司员 工的上网问题,公司决定将这 10 个互联网地址集中起来使用,当任意一台个人计算机 开机并连接网络时,管理中心从这 10 个地址中任意取出一个尚未分配的 IP 地址分配给 这个人的计算机。
他关机时,管理中心将该地为收回,并重新设置为未分配。
可见,只 要同时打开的个人计算机数量少于或等于可供分配的 IP 地址,那么,每台个人计算机 可以获取一个 IP 地址,并实现与互联网的连接。
CISP官方信息安全技术章节练习一
CISP信息安全技术章节练习一一、单选题。
(共100题,共100分,每题1分)1. 安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?a、操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞b、为了方便进行数据备份,安装Windows操作系统时只使用一个分区所有数据和操作系统都存放在C盘c、操作系统上部署防病毒软件,以对抗病毒的威胁d、将默认的管理员账号Administrator改名,降低口令暴力破解攻击的发生可能最佳答案是:b2. 对于抽样而言,以下哪项是正确的?a、抽样一般运用于与不成文或无形的控制相关联的总体b、如果内部控制健全,置信系统可以取的较低c、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样d、变量抽样是估计给定控制或相关控制集合发生率的技术最佳答案是:b3. 以下关于账户策略中密码策略中各项作用说明,哪个是错误的:a、“密码必须符合复杂性要求”是用于避免用户产生诸如1234,1111这样的弱口令b、“密码长度最小值”是强制用户使用一定长度以上的密码c、“强制密码历史”是强制用户不能再使用曾经使用过的任何密码d、“密码最长存留期”是为了避免用户使用密码时间过长而不更换最佳答案是:c4.如图所示,主体S对客体01有读(R)权限,对客体O2有读(R)、写(W)、拥有(Own)权限。
该图所表示的访问控制实现方法是:a、访问控制表(ACL)b、访问控制矩阵c、能力表(CL)d、前缀表(Profiles)最佳答案是:c5. 关于数据库恢复技术,下列说法不正确的是:a、数据库恢复技术的实现主要依靠各种数据的冗余和恢复机制技术来解决,当数据库中数据被破坏时,可以利用冗余数据来进行修复b、数据库管理员定期地将整个数据库或部分数据库文件备份到磁带或另一个磁盘上保存起来,是数据库恢复中采用的基本技术c、日志文件在数据库恢复中起着非常重要的作用,可以用来进行事务故障恢复和系统故障恢复,并协助后备副本进行介质故障恢复d、计算机系统发生故障导致数据未储存到固定存储器上,利用日志文件中故障发生的数据值,将数据库恢复到故障发生前的完整状态,这一对事务的操作称为提交最佳答案是:d6. 以下关于WIndows系统账号存储管理机制SAM(Security Accounts Manager)的说法哪个是正确的:a、存储在注册中的账号数据是管理员组用户都可以访问,具有较高的安全性b、存储在注册表中的账号数据只有administrator账户才有权访问,具有较高的安全性c、存续在册表中的账号数据任何用户都可以直接访问,灵活方便d、存储在注册表中的账号数据有只有System账户才能访问,具有较高的安全性最佳答案是:d7. 以下关于安全套接层(Security Sockets Layer,SSL)说法错误的是:a、受到SSL防护的web服务器比没有SSL的web服务器要安全b、当浏览器上的统一资源定位符(Uniform Resource Locator,URL)出现https时,说明用户正使用配置了SSL协议的Web服务器c、SSL可以看到浏览器与服务器之间的安全通道d、SSL提供了一种可靠地端到端的安全服务最佳答案是:a8. 以下哪一项不是常见威胁对应的消减措施:a、假冒攻击可以采用身份认证机制来防范b、为了防止传输的信息被篡改,收发双方可以使用单向Hash函数来验证数据的完整性c、为了防止发送方否认曾经发送过的消息,收发双方可以使用消息验证码来防止抵赖d、为了防止用户提升权限,可以采用访问控制表的方式来管理权限最佳答案是:c9. 某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户账户的安全,项目开发人员决定用户登陆时如果用户名或口令输入错误,给用户返回“用户名或口令输入错误”信息,输入错误达到三次,将暂时禁止登录该账户,请问以上安全设计遵循的是哪项安全设计原则:a、最少共享机制原则b、经济机制原则c、不信任原则d、默认故障处理保护原则最佳答案是:c10. 某网站管理员小邓在流量监测中发现近期网站的入站ICMP流量上升了250%,尽管网站没有发现任何的性能下降或其他问题,但为了安全起见,他仍然向主管领导提出了应对措施,作为主管负责人,请选择有效的针对此问题的应对措施:a、在防火墙上设置策略,阻止所有的ICMP流量进入(关掉ping)b、删除服务器上的ping.exe程序c、增加带宽以应对可能的拒绝服务攻击d、增加网站服务器以应对即将来临的拒绝服务攻击最佳答案是:a11. 由于发生了一起针对服务器的口令暴力破解攻击,管理员决定对设置账户锁定策略以对抗口令暴力破解。
CISP试题及答案
CISP试题及答案预览说明:预览图片所展示的格式为文档的源格式展示,下载源文件没有水印,内容可编辑和复制1. 以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】 C2. 以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】 D3. 以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统,而不是人【答案】 D4. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是A. 不需要全体员工的参入,只要IT部门的人员参入即可B. 来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D. 所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行【答案】 A5. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是A. ISMS是一个遵循PDCA模式的动态发展的体系B. ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定D. ISMS应该是一步到位的,应该解决所有的信息安全问题【答案】 D6. PDCA特征的描述不正确的是A. 顺序进行,周而复始,发现问题,分析问题,然后是解决问题B. 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足D. 信息安全风险管理的思路不符合PDCA的问题解决思路【答案】 D7. 以下哪个不是信息安全项目的需求来源A. 国家和地方政府法律法规与合同的要求B. 风险评估的结果C.组织原则目标和业务需要D. 企业领导的个人意志【答案】 D8. ISO27001认证项目一般有哪几个阶段?A. 管理评估,技术评估,操作流程评估B. 确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C.产品方案需求分析,解决方案提供,实施解决方案D. 基础培训,RA培训,文件编写培训,内部审核培训【答案】 B9. 构成风险的关键因素有哪些?A. 人,财,物B. 技术,管理和操作C.资产,威胁和弱点D. 资产,可能性和严重性【答案】 C10. 以下哪些不是应该识别的信息资产?A. 网络设备B.客户资料C. 办公桌椅D. 系统管理员【答案】 C11. 以下哪些是可能存在的威胁因素?BA. 设备老化故障B.病毒和蠕虫C. 系统设计缺陷D. 保安工作不得力【答案】 B12. 以下哪些不是可能存在的弱点问题?A. 保安工作不得力B.应用系统存在BugC. 内部人员故意泄密D. 物理隔离不足【答案】 C13. 风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则?A. 只识别与业务及信息系统有关的信息资产,分类识别B.所有公司资产都要识别C. 可以从业务流程出发,识别各个环节和阶段所需要以及所产出的关键资产D. 资产识别务必明确责任人、保管者和用户【答案】 B14. 风险分析的目的是?A. 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;D. 在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;【答案】 C15. 对于信息安全风险的描述不正确的是?A. 企业信息安全风险管理就是要做到零风险B. 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性C.风险管理(Risk Management)就是以可接受的代价,识别控制减少或消除可能影响信息系统的安全风险的过程。
CISP模拟练习题350道(带答案)
CISP模拟练习题350道(带答案)- - 1 - - 中电运行技术研究院------------------------------------------------------------------------------------------------------------------------------------------------中国信息安全测评中心CISP认证模拟试题中电运行信息安全网络技术测评中心编辑- - 2 - - 中电运行技术研究院------------------------------------------------------------------------------------------------------------------------------------------------1.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?A.提高信息技术产品的国产化率B.保证信息安全资金投入C.加快信息安全人才培养D.重视信息安全应急处理工作2.以下哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模型具备的特点?A.强调信息系统安全保障持续发展的动态性,即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程B.强调信息系统安全保障的概念,通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标C.以安全概念和关系为基础,将安全威胁和风险控制措施作为信息系统安全保障的基础和核心D.通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征3.以下关于信息系统安全保障是主观和客观的结合说法最准确的是:A.信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理、安全工程和人员安全等,以全面保障信息系统安全B.通过技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心C.是一种通过客观证据向信息系统评估者提供主观信心的活动D.是主观和客观综合评估的结果4.与PDR模型相比,P2DR模型多了哪一个环节?A.防护B.检测C.反应D.策略5.在密码学的Kerchhoff假设中,密码系统的安全性仅依赖于_______。
CISP必须练习1
一、单选题。
(共100题,共100分,每题1分)1. 信息安全工程作为信息安全保障的重要组成部门,主要是为了解决:a、信息系统的技术架构安全问题b、信息系统组成部门的组件安全问题c、信息系统生命周期的过程安全问题d、信息系统运行维护的安全管理问题最佳答案是:c2. 系统工程的模型之一霍尔三维结构模型由时间维,逻辑维和知识维组成,有关此模型,错误的是:a、霍尔三维结构体系形象地描述了系统工程研究的框架b、时间维表示系统工程活动从开始到结束按时间顺序排列的全过程c、逻辑维的七个步骤与时间维的七个阶段严格对应,即时间维第一阶段应执行逻辑维步骤的活动,时间维第二阶段应执行逻辑维第二步骤的活动d、知识维利率可能需要运用的工程,医学,建筑,商业,法律,管理,社会科学和艺术等多种知识和技能最佳答案是:c3. 有关质量管理,错误的理解是:a、质量管理是与指挥和控制组织质量相关的一系列相互协调的活动,是为了实现质量目标而进行的所有管理性质的活动b、规范质量管理体系相关活动的标准是 ISO 9000系列标准c、质量管理体系将资源与结果结合,以结果管理方法进行系统的管理d、质量管理体系从机构,程序,过程和总结四个方面进行规范来提升质量最佳答案是:c4. 以下关于项目的含义,理解错误的是:a、项目是为达到特定的目的,使用一定资源,在确定的期间内,为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。
b、项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定。
c、项目资源指完成项目所需要的人、财、物等。
d、项目目标要遵守SMART原则,即项目的目标要求具体(Specific)、可测量(Measurable)、需相关方的一致同意(Agree to)、现实(Realistic)、有一定的时限(Time-oriented)。
最佳答案是:b5. 以下哪一项不是信息系统集成项目的特点:a、信息系统集成项目要以满足客户和用户的需求为根本出发点。
CISP官方最新试题
CISP官方最新试题CISP10月最新试题一、单选题。
(共10题,共100分,每题10分)1. 小陈在某电器城购买了一台冰箱,并留下了个人姓名、电话在和电子邮件地址等信,第二天他收到了一封来自电器城提示他中奖的邮件上,查看该邮件后他按照提示操作缴纳中奖税款后并没有得到中奖奖金,再打电话询问电器城才得知电器城并没有开的活动,在此案例中,下面描述错误的是()a、小陈应当注意保护自己的隐私,没有必要告诉别人的信息不要登记和公布给别人b、小陈钱被骗走了,这类网络犯罪案件也应该向公安局报案c、邮件服务运营商通过技术手段,可以在一定程度上阻止此类钓鱼邮件和哄骗邮件d、小陈应当向电器城索赔,追回损失最佳答案是:d2. 信息安全风险评估是信息安全风险管理工作中的重要环节,在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》(国信办(2006)5号)中,指出了风险评估分为自评估和检查评估两种形式,并对两种工作形式提出了有关工作原则和要求,下面选项中描述正确的是( )。
a、信息安全风险评估应以检查评估为主,自评估和检查评估相互结合.互为补充b、自评估只能是由发起单位内部的人员来实施,而检查评估是由上级指定的风险评估服务机构来实施c、自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估d、检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测最佳答案是:c3. 在设计信息系统安全保障方案时,以下哪个做法是错误的:a、要充分切合信息安全需求并且实际可行b、要充分考虑成本效益,在满足合规性要求和风险处置要求的前提下,尽量控制成本c、要充分采取新技术,在使用过程中不断完善成熟,精益求精,实现技术投入保值要求d、要充分考虑用户管理和文化的可接受性,减少系统方案实施障碍最佳答案是:c4. 评估数据库应用的便捷性时,IS审计师应该验证:a、能够使用结构化查询语言(SQL)b、与其他系统之间存在信息的导入、导出程序c、系统中采用了索引(Index)d、所有实体(entities)都有关键名、主键和外键最佳答案是:a5. 某银行网上交易系统开发项目在设计阶段分析系统运行过程中可能存在的攻击,请问以下哪一项工作不能降低该系统的受攻击面:a、分析系统功能的重要性b、分析从哪里可以访问这些功能c、采取合理措施降低特权d、分析系统应满足的性能要求最佳答案是:d6. 以下关于软件程序安全编写和编译过程应该注意的问题说法不正确的是:a、采用最新的集成编译环境和支持工具b、充分使用编译环境提供的安全编译选项来保护软件代码的安全性c、源代码审核是指仅通过分析或检查源程序的语法、结构、过程、接口等来检查程序的正确性,报告源代码中可能隐藏的错误和缺陷。
CISP信息安全管理习题0001
1•根据相关标准,信息安全风险管理可以分为背景建立、风险评估,风险处理,批准监督、监控审查和沟通咨询等阶段。
模拟该流程。
文档《风险分析报告》应属于哪个阶段的输出成果()。
A风险评估B风险处理C批准监督D监控审查2.<p>某单位在实施信息安全风险评估后,形成了若干文档,下面()中的文档不应属于风险评估&dquo;准备”阶段输出的文档。
</p>A《风险评估工作计划》,主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色进度安排等内容B《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容C《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容D《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等内容3•规范的实施流程和文档管理,是信息安全风险评估结果取得成果的重要基础,vspan style="line-height: 20.8px;"> 按照规范v/span>的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果()A《风险评估方案》B《重要保护的资产清单》C《风险计算报告》D《风险程度等级列表》4.定量风险分析是从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,准确度量风险的可能性和损失量,小王采用该方法来为单位机房计算火灾的风险大小,假设单位机房的总价值为200万元人民币,暴露系数(ErpomireFactor,EF )是x,年度发生率(Annualixed Rato ofOccurrence,ARO )为0.1,而小王计算的年度预期损失(Annualixed Loss Rrpectancy,ALE )值为5万元人民币。
由此x值应该是 ()5.不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选择适当的风险评估方法,下面的描述中,错误的是() A定量风险分析是用从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和损失量B定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析C定性风险分析过程中,往往需要凭借分析者的经验直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关D定性风险分析更具有主观性,而定量风险分析更具客观性6•某单位在一次信息安全风险管理活动中,风险评估报告提出服务器A的PTP 服务存在高风险的漏洞,随后该单位在风险处理时选择了关闭PTP服务的处理措施,请问该措施属于哪种风险处理方式()A风险降低B风险规避C风险转移D风险接受7.残余风险是风险管理中的一个重要概念,在信息安全风险管理中,关于残余风险描述错误的是()A残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成本与效益后不去控制的风险B残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件C实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果D信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作为风险管理效果评估指标9•某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任?A:部门经理B:高级管理层C:信息资产所有者D:最终用户10.以下对信息安全风险管理理解最准确的说法是:A: 了解风险B:转移风险C: 了解风险并控制风险D: 了解风险并转移风险11.在信息安全风险管理工作中,识别风险时主要重点考虑的要素应包括:A:资产及其价值、威胁、脆弱性、现有的和计划的控制措施B:资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施C:完整性、可用性、机密性、不可抵赖性D:以上都不正确12.以下哪一项不是信息安全风险分析过程中所要完成的工作:A:识别用户B:识别脆弱性C:评估资产价值D:计算机安全事件发生的可能性13.王工是某单位系统管理员,他在某次参加了单位组织的风险管理工作时,发现当前案例中共有两个重要资产:资产A1和资产A2 ;其中资产A1面临两个主要威胁:威胁T1和威胁T2;而资产A2面临一个主要威胁:威胁T3;威胁T1 可以利用的资产A1存在的两个脆弱性;脆弱性V1和脆弱性V2 :威胁T2可以利用资产A1存在的三个脆弱性,脆弱性V3、脆弱性V4和脆弱性V5;威胁T3 可以利用的资产A2存在的两个脆弱性,脆弱性V6和脆弱性V7.根据上述条件,请问:使用相乘法时,应该为资产A1计算几个风险值()B 3C 5D 614.A:内部计算机处理B:系统输入输出C:通讯和网络D:外部计算机处理15•《信息安全技术信息安全风险评估规范GB /T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是:A:规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CISP信息安全管理章节练习一一、单选题。
(共100题,共100分,每题1分)1. 小李去参加单位组织的信息安全培训后,他把自己对信息安全管理体系(Information Security Management System, ISMS)的理解画了以下一张图,但是他还存在一个空白处未填写,请帮他选择一个最合适的选项()。
a、监控和反馈ISMSb、批准和监督ISMSc、监视和评审ISMSd、沟通和资询ISMS最佳答案是:c2. 在对安全控制进行分析时,下面哪个描述是不准确的?a、对每一项安全控制都应该进行成本收益分析,以确定哪一项安全控制是必须的和有效的b、应确保选择对业务效率影响最小的安全措施c、选择好实施安全控制的时机和位置,提高安全控制的有效性d、仔细评价引入的安全控制对正常业务带来的影响,采取适当措施,尽可能减少负面效应最佳答案是:b3. 以下哪一项不是信息安全管理工作必须遵循的原则?a、风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中b、风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作c、由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低d、在系统正式运行后,应注重残余风险的管理,以提高快速反应能力最佳答案是:c4. 对信息安全风险评估要素理解正确的是:a、资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构b、应针对构成信息系统的每个资产做风险评价c、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项d、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁最佳答案是:a5. 以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容:a、出入的原因b、出入的时间c、出入口的位置d、是否成功进入最佳答案是:a6. 信息安全策略是管理层对信息安全工作意图和方向的正式表述,以下哪一项不是信息安全策略文档中必须包含的内容:a、说明信息安全对组织的重要程度b、介绍需要符合的法律法规要求c、信息安全技术产品的选型范围d、信息安全管理责任的定义最佳答案是:c7. 作为信息中心的主任,你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任,这种情况造成了一定的安全风险,这时你应当怎么做?a、抱怨且无能为力b、向上级报告该情况,等待增派人手c、通过部署审计措施和定期审查来降低风险d、由于增加人力会造成新的人力成本,所以接受该风险最佳答案是:c8. 通过评估应用开发项目,而不是评估能力成熟度模型(CMM),IS审计师应该能够验证:a、可靠的产品是有保证的b、程序员的效率得到了提高c、安全需求得到了规划、设计d、预期的软件程序(或流程)得到了遵循最佳答案是:d9. 某公司正在对一台关键业务服务器进行风险评估:该服务器价值138000元,针对某个特定威胁的暴露因子(EF)是45%,该威胁的年度发生率(ARO)为每10年发生1次。
根据以上信息,该服务器的年度预期损失值(ALE)是多少?a、1800元b、62100元c、140000元d、6210元最佳答案是:d10. 下列哪些内容应包含在信息系统战略计划中?a、已规划的硬件采购的规范b、将来业务目标的分析c、开发项目的目标日期d、信息系统不同的年度预算目标最佳答案是:b11. ISO27002中描述的11个信息安全管理的控制领域不包括:a、信息安全组织b、资产管理c、内容安全d、人力资源安全最佳答案是:c12. SSE-CMM将工程过程区域分为三类,即风险过程、工程过程、和保证过程,下面对于保证过程的说法错误的是:a、保证是指安全需求得到满足的可信任程度b、信任程度来自于对安全工程过程结果质量的判断c、自验证与证实安全的主要手段包括观察、论证、分析和测试d、PA“建立保证论据”为PA“验证与证实安全”提供了证据支持最佳答案是:d13. 根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中_______确立安全解决方案的置信度并且把这样的置信度传递给顾客。
a、保证过程b、风险过程c、工程和保证过程d、安全工程过程最佳答案是:a14. SSE-CMM工程过程区域中的风险过程包含哪些过程区域:a、评估威胁、评估脆弱性、评估影响b、评估威胁、评估脆弱性、评估安全风险c、评估威胁、评估脆弱性、评估影响、评估安全风险d、评估威胁、评估脆弱性、评估影响、验证和证实安全最佳答案是:c15. 一个组织的系统安全能力成熟度达到哪个级别以后,就可以对组织层面的过程进行规范的定义?a、2级——计划和跟踪b、3级——充分定义c、4级——量化控制d、5级——持续改进最佳答案是:b16. 信息系统安全工程(ISSE)的一个重要目标就是在IT项目的各个阶段充分考虑安全因素,在IT项目的立项阶段,以下哪一项不是必须进行的工作:a、明确业务对信息安全的要求b、识别来自法律法规的安全要求c、论证安全要求是否正确完整d、通过测试证明系统的功能和性能可以满足安全要求最佳答案是:d17. 信息化建设和信息安全建设的关系应该是:a、信息化建设的结果就是信息安全建设的开始b、信息化建设和信息安全建设应同步规划、同步实施c、信息化建设和信息安全建设是交替进行的,无法区分谁先谁后d、以上说法都正确最佳答案是:b18. 下面有关我国信息安全管理体制的说法错误的是?a、目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面b、我国的信息安全保障工作综合利用法律、管理和技术的手段c、我国的信息安全管理应坚持及时检测、快速响应、综合治理的方针d、我国对于信息安全责任的原则是谁主管、谁负责;谁经营、谁负责最佳答案是:c19. 一个信息系统审计师正在为一个医疗机构的两种应用环境-生产和测试进行检查。
在一次访谈中,该审计师注意到生产数据被用于测试环境以测试程序改变什么是这种情况下最显著的潜在风险?a、测试环境可能没有充分的访问控制来确保数据机密性b、测试环境可能由于使用生产数据而产生不精确的结果c、测试环境的硬件可能与生产环境的不同d、测试环境可能没有充足的控制以确保数据精确性最佳答案是:a20. 风险评估方法的选定在PDCA循环中的哪个阶段完成?a、实施和运行b、保持和改进c、建立d、监视和评审最佳答案是:c21. 在风险管理准备阶段“建立背景”(对象确立)过程中不应该做的是:a、分析系统的体系结构b、分析系统的安全环境c、制定风险管理计划d、调查系统的技术特性最佳答案是:c22. 下面有关能力成熟度模型的说法错误的是:a、能力成熟度模型可以分为过程能力方案(Continuous)和组织能力方案(Staged)两类b、使用过程能力方案时,可以灵活选择评估和改进哪个或哪些过程域c、使用组织机构成熟度方案时,每一个能力级别都对应于一组已经定义好的过程域d、SSE-CMM是一种属于组织能力方案(Staged)的针对系统安全工程的能力成熟度模型最佳答案是:c23. 下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM)的主要过程:a、风险过程b、保证过程c、工程过程d、评估过程最佳答案是:d24. 关于信息安全发展的几个阶段,下列说法中错误的是:a、信息安全的发展,是伴随着信息技术的发展,为应对其面临不同的威胁而发展起来的b、通信安全阶段中,最重要的是通过密码技术保证所传递信息的保密性完整性和可用性c、信息安全阶段,综合了通信安全阶段和计算机安全阶段的需求d、信息安全保障阶段,最重要的目标是保障组织机构使命(业务)的正常运行最佳答案是:b25. 建立数据所有权关系的任务应当是下列哪一种人的责任?a、职能部门用户b、内部审计人员c、数据处理人员d、外部审计人员最佳答案是:a26. PPDR模型不包括:a、策略b、检测c、响应d、加密最佳答案是:d27. 信息安全管理者需要完成方方面面的繁杂工作,这些日常工作根本的目标是:a、避免系统软硬件的损伤b、监视系统用户和维护人员的行为c、保护组织的信息资产d、给入侵行为制造障碍,并在发生入侵后及时发现、准确记录最佳答案是:c28. 信息安全管理的根本方法是:a、风险处置b、应急响应c、风险管理d、风险评估最佳答案是:c29. 信息安全管理体系描述不正确的是:a、是一个组织整体管理体系的组成部分b、是有范围和边界的c、是风险评估的手段d、其基本过程应遵循PDCA循环最佳答案是:c30. 软件的盗版是一个严重的问题。
在下面哪一种说法中反盗版的政策和实际行为是矛盾的?a、员工的教育和培训b、远距离工作(Telecommuting)与禁止员工携带工作软件回家c、自动日志和审计软件d、政策的发布与政策的强制执行最佳答案是:b31. 以下对PDCA循环特点描述不正确的是:a、按顺序进行,周而复始,不断循环b、组织中的每个部分,甚至个人,均可以PDCA循环,大环套小环,一层一层地解决问题c、每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环d、可以由任何一个阶段开始,周而复始,不断循环最佳答案是:d32. ISMS过程中,实施信息安全教育应在哪个阶段进行?a、实施和运行b、保持和改进c、建立d、监视和评审最佳答案是:a33. 对戴明环"PDCA"方法的描述不正确的是:a、“PDCA”的含义是P-计划,D-实施,C-检查,A-改进b、“PDCA”循环又叫"戴明"环c、“PDCA"循环是只能用于信息安全管理体系有效进行的工作程序d、“PDCA”循环是可用于任何一项活动有效进行的工作程序最佳答案是:c34. 下述选项中对于"风险管理"的描述不正确的是:a、风险管理是指导和控制一个组织相关风险的协调活动,它通常包括风险评估、风险处置、风险接受和风险沟通。
b、风险管理的目的是了解风险并采取措施处置风险并将风险消除。
c、风险管理是信息安全工作的重要基础,因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中。
d、在网络与信息系统规划设计阶段,应通过信息安全风险评估进一步明确安全需求和安全目标。
最佳答案是:b35. 风险是需要保护的( )发生损失的可能性,它是( )和( )综合结果。
a、资产,攻击目标,威胁事件b、设备,威胁,漏洞c、资产,威胁,漏洞d、以上都不对最佳答案是:c36. 下面威胁中不属于抵赖行为的是:a、发信者事后否认曾经发送过某条消息b、收信者事后否认曾经接收过某条消息c、发信者事后否认曾经发送过某条消息的内容d、收信者接收消息后更改某部分内容最佳答案是:d37. 以下哪一种判断信息系统是否安全的方式是最合理的?a、是否已经通过部署安全控制措施消灭了风险b、是否可以抵抗大部分风险c、是否建立了具有自适应能力的信息安全模型d、是否已经将风险控制在可接受的范围内最佳答案是:d38. 以下列哪种处置方法属于转移风险?a、部署综合安全审计系统b、对网络行为进行实时监控c、制订完善的制度体系d、聘用第三方专业公司提供维护外包服务最佳答案是:d39. 对操作系统打补丁和系统升级是以下哪种风险控制措施?a、降低风险b、规避风险c、转移风险d、接受风险最佳答案是:a40. 以下哪一项可认为是具有一定合理性的风险?a、总风险b、最小化风险c、可接受风险d、残余风险最佳答案是:c41. 在风险管理工作中“监控审查”的目的,一是:________二是_________。