CISP官方信息安全管理章节练习一 下载本文

最佳答案是:a

33. 对戴明环\方法的描述不正确的是: a、“PDCA”的含义是P-计划,D-实施,C-检查,A-改进 b、“PDCA”循环又叫\戴明\环 c、“PDCA\循环是只能用于信息安全管理体系有效进行的工作程序 d、“PDCA”循环是可用于任何一项活动有效进行的工作程序 最佳答案是:c

34. 下述选项中对于\风险管理\的描述不正确的是: a、风险管理是指导和控制一个组织相关风险的协调活动,它通常包括风险评估、风险处置、风险接受和风险沟通。

b、风险管理的目的是了解风险并采取措施处置风险并将风险消除。

c、风险管理是信息安全工作的重要基础,因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中。 d、在网络与信息系统规划设计阶段,应通过信息安全风险评估进一步明确安全需求和安全目标。

最佳答案是:b

35. 风险是需要保护的( )发生损失的可能性,它是( )和( )综合结果。 a、资产,攻击目标,威胁事件

b、设备,威胁,漏洞 c、资产,威胁,漏洞 d、以上都不对 最佳答案是:c

36. 下面威胁中不属于抵赖行为的是: a、发信者事后否认曾经发送过某条消息 b、收信者事后否认曾经接收过某条消息

c、发信者事后否认曾经发送过某条消息的内容 d、收信者接收消息后更改某部分内容 最佳答案是:d

37. 以下哪一种判断信息系统是否安全的方式是最合理的? a、是否已经通过部署安全控制措施消灭了风险 b、是否可以抵抗大部分风险

c、是否建立了具有自适应能力的信息安全模型 d、是否已经将风险控制在可接受的范围内 最佳答案是:d

38. 以下列哪种处置方法属于转移风险?

a、部署综合安全审计系统 b、对网络行为进行实时监控

c、制订完善的制度体系 d、聘用第三方专业公司提供维护外包服务 最佳答案是:d

39. 对操作系统打补丁和系统升级是以下哪种风险控制措施?

a、降低风险 b、规避风险 c、转移风险 d、接受风险 最佳答案是:a

40. 以下哪一项可认为是具有一定合理性的风险?

a、总风险 b、最小化风险 c、可接受风险 d、残余风险 最佳答案是:c

41. 在风险管理工作中“监控审查”的目的,一是:________二是_________。 a、保证风险管理过程的有效性,保证风险管理成本的有效性

b、保证风险管理结果的有效性,保证风险管理成本的有效性

c、保证风险管理过程的有效性,保证风险管理活动的决定得到认可 d、保证风险管理结果的有效性,保证风险管理活动的决定得到认可 最佳答案是:a

42. 风险管理四个步骤的正确顺序是:

a、背景建立、风险评估、风险处理、批准监督 b、背景建立、风险评估、审核批准、风险控制 c、风险评估、对象确立、审核批准、风险控制 d、风险评估、风险控制、对象确立、审核批准 最佳答案是:a

43. 在风险管理的过程中,\建立背景\即\对象确立\的过程是哪四个活动? a、风险管理准备、信息系统调查、信息系统分析、信息安全分析 b、风险管理准备、信息系统分析、信息安全分析、风险政策的制定 c、风险管理准备、风险管理政策的制定、信息系统分析、信息安全分析 d、确定对象、分析对象、审核对象、总结对象 最佳答案是:a

44. 下列对风险分析方法的描述正确的是: a、定量分析比定性分析方法使用的工具更多 b、定性分析比定量分析方法使用的工具更多 c、同一组织只用使用一种方法进行评估

d、符合组织要求的风险评估方法就是最优方法 最佳答案是:d

45. 某公司正在进行信息安全风险评估,在决定信息资产的分类与分级时,谁负有最终责任?

a、部门经理 b、高级管理层 c、信息资产所有者 d、最终用户 最佳答案是:c

46. 在一个有充分控制的信息处理计算中心中,下面哪一项可以由同一个人执行? a、安全管理和变更管理 b、计算机操作和系统开发 c、系统开发和变更管理 d、系统开发和系统维护 最佳答案是:a

47. 以下关于“最小特权”安全管理原则理解正确的是: a、组织机构内的敏感岗位不能由一个人长期负责 b、对重要的工作进行分解,分配给不同人员完成 c、一个人有且仅有其执行岗位所足够的许可和权限

d、防止员工由一个岗位变动到另一个岗位,累积越来越多的权限 最佳答案是:c

48. 根据灾难恢复演练的深度不同,可以将演练分为三个级别,这三个级别按演练深度由低到高的排序正确的是:

a、系统级演练、业务级演练、应用级演练 b、系统级演练、应用级演练、业务级演练 c、业务级演练、应用级演练、系统级演练 d、业务级演练、系统级演练、应用级演练 最佳答案是:b

49. 以下哪一个是对“岗位轮换”这一人员安全管理原则的正确理解?

a、组织机构内的敏感岗位不能由一个人长期负责 b、对重要的工作进行分解,分配给不同人员完成 c、一个人有且仅有其执行岗位所足够的许可和权限

d、防止员工由一个岗位变动到另一个岗位,累积越来越多的权限 最佳答案是:a

50. 在构建一个单位的内部安全管理组织体系的时候,以下哪一项不是必需考虑的内容? a、高级管理层承诺对安全工作的支持 b、要求雇员们遵从安全策略的指示 c、在第三方协议中强调安全

d、清晰地定义部门的岗位的职责 最佳答案是:c

51. 灾难发生后,系统和数据必须恢复到灾难发生前的

a、时间要求 b、时间点要求 c、数据状态 d、运行状态 最佳答案是:b

52. 当发现信息系统被攻击时,以下哪一项是首先应该做的? a、切断所有可能导致入侵的通信线路

b、采取措施遏制攻击行为 c、判断哪些系统和数据遭到了破坏 d、与有关部门联系 最佳答案是:d

53. 应急方法学定义了安全事件处理的流程,这个流程的顺序是: a、准备-遏制-检测-根除-恢复-跟进 b、准备-检测-遏制-恢复-根除-跟进 c、准备-检测-遏制-根除-恢复-跟进 d、准备-遏制-根除-检测-恢复-跟进 最佳答案是:c

54. 以下哪种情形下最适合使用同步数据备份策略? a、对灾难的承受能力高 b、恢复时间目标(RTO)长 c、恢复点目标(RPO)短 d、恢复点目标(RPO)长 最佳答案是:c

55. 当备份一个应用程序系统的数据时,以下哪一项是应该首先考虑的关键性问题?

a、什么时候进行备份? b、在哪里进行备份? c、怎样存储备份? d、需要各份哪些数据? 最佳答案是:d

56. 有效的IT治理要求组织结构和程序确保 a、组织的战略和目标包括IT战略 b、业务战略来自于IT战略

c、 IT治理是独立的,与整体治理相区别 d、 IT战略扩大了组织的战略和目标 最佳答案是:d

57. SSE-CMM,即系统安全工程---能力成熟度模型,它的六个级别,其中计划和跟踪级着重于_______。

a、规范化地裁剪组织层面的过程定义 b、项目层面定义、计划和执行问题

c、测量 d、一个组织或项目执行了包含基本实施的过程

最佳答案是:b

58. 以下对信息安全风险管理理解最准确的说法是:

a、了解风险 b、转移风险 c、了解风险并控制风险 d、了解风险并转移风险 最佳答案是:c 59. “进不来”“拿不走”“看不懂”“改不了”“走不脱”是网络信息安全建设的目的。其中,“看不懂”是指下面哪种安全服务:

a、数据加密 b、身份认证 c、数据完整性 d、访问控制 最佳答案是:a

60. 以下对于信息安全管理体系说法不正确的是: a、处理 b、实施 c、检查 d、行动 最佳答案是:a

61. 风险管理中使用的控制措施,不包括以下哪种类型?

a、预防性控制措施 b、管理性控制措施 c、检查性控制措施 d、纠正性控制措施

最佳答案是:b

62. 风险管理中的控制措施不包括以下哪一方面? a、行政 b、道德 c、技术 d、管理 最佳答案是:b

63. 风险评估不包括以下哪个活动?

a、中断引入风险的活动 b、识别资产 c、识别威胁 d、分析风险 最佳答案是:a

64. 在信息安全风险管理工作中,识别风险时主要重点考虑的要素应包括: a、资产及其价值、威胁、脆弱性、现有的和计划的控制措施

b、资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施 c、完整性、可用性、机密性、不可抵赖性 最佳答案是:a

65. 以下哪一项不是信息安全风险分析过程中所要完成的工作:

a、识别用户 b、识别脆弱性 c、评估资产价值 d、计算机安全事件发生的可能性

最佳答案是:a

66. 机构应该把信息系统安全看作:

a、业务中心 b、风险中心 c、业务促进因素 d、业务抑制因素 最佳答案是:c

67. 以下关于ISO/IEC27001所应用的过程方法主要特点说法错误的是: a、理解组织的信息安全要求和建立信息安全方针与目标的标准 b、从组织整体业务风险的角度管理组织的信息安全风险 c、监视和评审ISMS的执行情况和有效性 d、基于主观测量的持续改进 最佳答案是:d

68. 在检查岗位职责时什么是最重要的评估标准?

a、工作职能中所有要做的工作和需要的培训都有详细的定义 b、职责清晰,每个人都清楚自己在组织中的角色 c、强制休假和岗位轮换被执行

d、绩效得到监控和提升是基于清晰定义的目标