CISP试题及答案-三套题 下载本文

B.威胁建模

C.定义安全和隐私需求(质量标准) D.设立最低安全标准/Bug栏

56.风险评估方法的选定在PDCA循环中的那个阶段完成? A.实施和运行 B.保持和改进 C.建立

D.监视和评审

57.下面关于ISO27002的说法错误的是: A.ISO27002的前身是ISO17799-1

B.ISO27002给出了通常意义下的信息安全管理最佳实践供组织机构选用,但不是全部 C.ISO27002对于每个措施的表述分”控制措施”、“实施指南”、和“其它信息”三个部分来进行描述

D.ISO27002提出了十一大类的安全管理措施,其中风险评估和处置是处于核心地位的一类安全措施

58.下述选项中对于“风险管理”的描述正确的是: A.安全必须是完美无缺、面面俱到的。

B.最完备的信息安全策略就是最优的风险管理对策。

C.在解决、预防信息安全问题时,要从经济、技术、管理的可行性和有效性上做出权衡和取舍

D.防范不足就会造成损失;防范过多就可以避免损失。

59.风险评估主要包括风险分析准备、风险素识别、风险分析和风险结果判定四个主要过程,关于这些过程,以下的说法哪一个是正确的?

A.风险分析准备的内容是识别风险的影响和可能性

B.风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度 C.风险分析的内容是识别风险的影响和可能性

D.风险结果判定的内容是发现系统存在的威胁、脆弱和控制措施

60.你来到服务器机房隔壁的一间办公室,发现窗户坏了。由于这不是你的办公室,你要求在这办公的员工请维修工来把窗户修好。你离开后,没有再过问这事。这件事的结果对与持定脆弱性相关的威胁真正出现的可能性会有什么影响? A.如果窗户被修好,威胁真正出现的可能性会增加 B.如果窗户被修好,威胁真正出现的可能性会保持不变 C.如果窗户没被修好,威胁真正出现的可能性会下降 D.如果窗户没被修好,威胁真正出现的可能性会增加

61.在对安全控制进行分析时,下面哪个描述是错误的?

A.对每一项安全控制都应该进行成本收益分析,以确定哪一项安全控制是必须的和有效的 B.应选择对业务效率影响最小的安全措施

C.选择好实施安全控制的时机和位置,提高安全控制的有效性

D.仔细评价引入的安全控制对正常业务带来的影响,采取适当措施,尽可能减少负面效应

62.以下哪一项不是信息安全管理工作必须遵循的原则?

A.风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中 B.风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作 C.由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低 D.在系统正式运行后,应注重残余风险的管理,以提高快速反应能力

63.对于信息系统风险管理描述不正确的是:

A.漏洞扫描是整个安全评估阶段重要的数据来源而非全部 B.风险管理是动态发展的,而非停滞、静态的

C.风险评估的结果以及决策方案必须能够相互比较才可以具有较好的参考意义 D.风险评估最重要的因素是技术测试工具

64.下列哪一项准确地描述了脆弱性、威胁、暴露和风险之间的关系? A.脆弱性增加了威胁,威胁利用了风险并导致了暴露 B.风险引起了脆弱性并导致了暴露,暴露又引起了威胁 C.风险允许威胁利用脆弱性,并导致了暴露

D.威胁利用脆弱性并产生影响的可能性称为风险,暴露是威胁已造成损害的实例

65.统计数据指出,对大多数计算机系统来说,最大的威胁是: A.本单位的雇员 B.黑客和商业间谍 C.未受培训的系统用户 D.技术产品和服务供应商 66.风险评估按照评估者的不同可以分为自评和第三方评估。这两种评估方式最本质的差别是什么?

A.评估结果的客观性 B.评估工具的专业程度 C.评估人员的技术能力 D.评估报告的形式

67.应当如何理解信息安全管理体系中的“信息安全策略”? A.为了达到如何保护标准而提供的一系列建议

B.为了定义访问控制需求面产生出来的一些通用性指引 C.组织高层对信息安全工作意图的正式表达 D.一种分阶段的安全处理结果

68.以下哪一个是对人员安全管理中“授权蔓延”这概念的正确理解? A.外来人员在进行系统维护时没有收到足够的监控 B.一个人拥有了不是其完成工作所必要的权限 C.敏感岗位和重要操作长期有一个人独自负责

D.员工由一个岗位变动到另一人岗位,累积越来越多权限

69.一个组织中的信息系统普通用户,以下哪一项是不应该了解的? A.谁负责信息安全管理制度的制定和发布 B.谁负责都督信息安全制度的执行

C.信息系统发生灾难后,进行恢复工作的具体流程& D.如果违反了制度可能受到的惩戒措施

70.一上组织财务系统灾难恢复计划声明恢复点目标(RPO)是没有数据损失,恢复时间目标(RTO)是72小时。以下哪一技术方案是满足需求且最经济的? A.一个可以在8小时内用异步事务的备份日志运行起来的热站 B.多区域异步更新的分布式数据库系统 C.一个同步更新数据和主备系统的热站

D.一个同步过程数据拷备、可以48小时内运行起来的混站

71.以下哪一种数据告缺方式可以保证最高的RPO要求: A.同步复制 B.异步复制 C.定点拷贝复制 D.基于磁盘的复制

72.当公司计算机网络受到攻击,进行现场保护应当: 1〉指定可靠人员看守

2〉无特殊且十分必须原因禁止任何人员进出现场

3〉应采取措施防人为地删除或修改现场计算机信息系统保留的数据和其他电子痕迹 4〉无行列且十分必须原因禁止任何人员接触现场计算机 A.1,2 B.1,2,3 C.2,3

D.1,2,3,4&

73.有一些信息安全事件是由于信息系统中多个部分共同作用造成的,人们称这类事件为“多组件事故”,应对这类安全事件最有效的方法是:

A.配置网络入侵检测系统以检测某些类型的违法或误用行为 B.使用防病毒软件,并且保持更新为最新的病毒特征码 C.将所有公共访问的服务放在网络非军事区(DMZ) D.使用集中的日志审计工具和事件关联分析软件

74.下列哪项是基于系统的输入、输出和文件的数目和复杂性测量信息系统的大小? A.功能点(FP)

B.计划评价与审查技术(PERT) C.快速应用开发(RAD) D.关键路径方法(CPM)

75.下面哪一项为系统安全工程能力成熟度模型提供了评估方法? A.ISSE B.SSAM C.SSR D.CEM

76.一个组织的系统安全能力成熟度模型达到哪个级别以后,就可以考虑为过程域(PR)的实施提供充分的资源? A.2级――计划和跟踪 B.3级――充分定义 C.4级――最化控制 D.5级――持续改进

77.IT工程建设与IT安全工程建设脱节是众多安全风险涌现的根源,同时安全风险也越来越多地体现在应用层。因此迫切需要加强对开发阶段的安全考虑,特别是要加强对数据安全性的考虑,以下哪项工作是在IT项目的开发阶段不需要重点考虑的安全因素? A.操作系统的安全加固 B.输入数据的校验 C.数据处理过程控制 D.输出数据的验证

1 A 2 C 3 D 4 C 5 B 6 B 7 D 8 B 9 A 10 D 11 C 12 D 13 A 14 D 15 D 16 D 17 C 18 A 19 B 20 C 21 D 22 A