CISP信息安全工程章节练习一
一、单选题。(共33题,共100分,每题3.0303030303分)
1. 如果你作为甲方负责监督一个信息安全工程项目的实施,当乙方提出一项工程变更时你最应当关注的是:
a、变更的流程是否符合预先的规定 b、变更是否会对项目进度造成拖延 c、变更的原因和造成的影响
d、变更后是否进行了准确的记录 最佳答案是:c
2. 以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述? a、应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统安全保障的考虑 b、应充分调研信息安全技术发展情况和信息安全产品市场,选择最先进的安全解决方案和技术产品
c、应在将信息安全作为实施和开发人员的一项重要工作内容,提出安全开发的规范并切实落实
d、应详细规定系统验收测试中有关系统安全性测试的内容 最佳答案是:a
3. 在进行应用系统的测试时,应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据,如果需要使用时,以下哪一项不是必须做的: a、测试系统应使用不低于生产系统的访问控制措施 b、为测试系统中的数据部署完善的备份与恢复措施 c、在测试完成后立即清除测试系统中的所有敏感数据 d、部署审计措施,记录生产数据的拷贝和使用 最佳答案是:b
4. 以下关于信息安全工程说法正确的是: a、信息化建设中系统功能的实现是最重要的
b、信息化建设可以先实施系统,然后对系统进行安全加固
c、信息化建设在规划阶段合理规划信息安全,在建设阶段要同步实施信息安全建设 d、信息化建设没有必要涉及信息安全建设 最佳答案是:c
5. 信息安全工程监理模型不包括下面哪一项?
a、监理咨询服务 b、咨询监理支撑要素 c、监理咨询阶段过程 d、控制管理措施
最佳答案是:a
6. 信息安全工程监理工程师不需要做的工作是:_________。
a、编写验收测试方案 b、审核验收测试方案 c、监督验收测试过程 d、审核验收测试报告 最佳答案是:a
7. 信息安全工程监理的作用不包括下面哪一项? a、弥补建设单位在技术与管理上的经验不足 b、帮助承建单位攻克技术难点,顺利实施项目 c、改善建设单位与承建单位之间的交流沟通 d、通过监理控制积极促进项目保质按期完成
最佳答案是:b
8. 一家公司在实施一套新的C/S结构的企业资源管理(CRP)系统。分支机构传送客户订单到一个中心生产设备,下列哪项最好地保证了订单准确的输入和相应的生产了产品? a、在ERP系统中记录所有的客户订单 b、验证生产的产品和客户订单的内容 c、在订单传输过程中使用hash运算 d、(产品主管)在生产前批准订单 最佳答案是:b
9. IT工程建设与IT安全工程建设脱节是众多安全风险涌现的根源,同时安全风险也越来越多地体现在应用层,因此迫切需要加强对开发阶段的安全考虑,特别是要加强对数据安全性的考虑,以下哪项工作是在IT项目的开发阶段不需要重点考虑的安全因素:
a、操作系统的安全加固 b、输入数据的校验 c、数据处理过程控制 d、输出数据的验证 最佳答案是:a
10. 在IT项目管理中为了保证系统的安全性,应当充分考虑对数据的正确处理,以下哪一项不是对数据输入进行校验可以实现的安全目标: a、防止出现数据范围以外的值 b、防止出现错误的数据处理顺序
c、防止缓冲区溢出攻击 d、防止代码注入攻击 最佳答案是:b
11. 以下对信息安全问题产生的根源描述最准确的是: a、信息安全问题是由于信息技术的不断发展造成的
b、信息安全问题是由于黑客组织和犯罪集团追求名和利造成的 c、信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的
d、信息安全问题产生的内因是信息系统的复杂性,外因是对手的威胁与破坏 最佳答案是:d
12. 关于信息安全策略的说法中,下面说法正确的是: a、信息安全策略的制定是以信息系统的规模为基础
b、信息安全策略的制定是以信息系统的网络拓扑结构为基础 c、信息安全策略是以信息系统风险管理为基础
d、在信息系统尚未建设完成之前,无法确定信息安全策略 最佳答案是:c
13. 从系统工程的角度来处理信息安全问题,以下说法错误的是:
a、系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。 b、系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内。
c、系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法。
d、系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的.成熟的.可测量的先进学科。 最佳答案是:c
14. 以下哪一项不属于信息安全工程监理模型的组成部分:
a、监理咨询支撑要素 b、控制和管理手段 c、监理咨询阶段过程 d、监理组织安全实施 最佳答案是:d
15. 在某网络机房建设项目中,在施工前,以下哪一项不属于监理需要审核的内容:
a、审核实施投资计划 b、审核实施进度计划 c、审核工程实施人员 d、企业资质
最佳答案是:a
16. 信息安全工程监理的职责包括:
a、质量控制.进度控制.成本控制.合同管理.信息管理和协调 b、质量控制.进度控制.成本控制.合同管理和协调
c、确定安全要求.认可设计方案.监视安全态势.建立保障证据和协调 d、确定安全要求.认可设计方案.监视安全态势和协调 最佳答案是:a
17. 某项目的主要内容为建造A类机房,监理单位需要根据《电子信息系统机房设计规范》(GB50174-2008)的相关要求,对承建单位的施工设计方案进行审核,以下关于监理单位给出的审核意见错误的是:
a、在异地建立备份机房时,设计时应与主用机房等级相同
b、由于高端小型机发热量大,因此采用活动地板上送风,下回风的方式
c、因机房属于A级主机房,因此设计方案中应考虑配备柴油发电机,当市电发生故障时,所配备的柴油发电机应能承担全部负荷的需要 d、A级主机房应设置洁净气体灭火系统 最佳答案是:b 18.
审计客户/服务器数据库安全时,IS审计师应该最关注于哪一方面的可用性?
a、系统工具 b、应用程序生成器 c、系统安全文档 d、访问存储流程 最佳答案是:a
19. 以下系统工程说法错误的是: a、系统工程是基本理论的技术实现
b、系统工程是一种对所有系统都具有普遍意义的科学方法
c、系统工程是组织管理系统规划.研究.制造.试验.使用的科学方法 d、系统工程是一种方法论 最佳答案是:a
20. 系统安全工程-能力成熟度模型(Systems Security Engineoring-Capability maturity model,SSE-CMM)定义的包含评估威胁.评估脆弱牲.评估影响和评估安全风险的基本过程领域是: a、风险过程 b、工程过程 c、保证过程 d、评估过程 最佳答案是:a
21. 有关系统安全工程-能力成熟度模型(SSE-CMM)中的通用实施(Generic Practices,GP),错误的理解是:
a、GP是涉及过程的管理.测量和制度化方面的活动
b、GP适用于域维中部分过程区域(Process Areas,PA)的活动而非所有PA的活动 c、在工程实施时,GP应该作为基本实施(Base,Practices,BP)的一部分加以执行 d、在评估时,GP用于判定工程组织执行某个PA的能力 最佳答案是:b
22. 关于业务连续性计划(BCP)以下说法最恰当的是: