CISP官方信息安全保障章节练习一Word格式文档下载.docx
《CISP官方信息安全保障章节练习一Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《CISP官方信息安全保障章节练习一Word格式文档下载.docx(10页珍藏版)》请在冰豆网上搜索。
d、制定访问规则
a
4.为保障信息系统的安全,某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案,并严格编制任务交给了小王,为此,小王决定首先编制出一份信息安全需求描述报告,关于此项工作,下面说法错误的是()
a、信息安全需求是安全方案设计和安全措施实施的依据
b、信息安全需求应当是从信息系统所有者(用户)的角度出发,使用规范化,结构化的语言来描述信息系统安全保障需求
c、信息安全需求应当基于信息安全风险评估结果,业务需求和有关政策法规和标准的合规性要求得到
d、信息安全需求来自于该公众服务信息系统的功能设计方案
d
5.我国党和政府一直重视信息安全工作,我国信息安全保障工作也取得了明显成效,关于我国信息安全实践工作,下面说法错误的是()
a、加强信息安全标准化建设,成立了“全国信息安全标准化技术委员会”制订和发布了大批信息安全技术,管理等方面的标准。
b、重视信息安全应急处理工作,确定由国家密码管理局牵头成立“国家网络应急中心”推动了应急处理和信息通报技术合作工作进展。
c、推进信息安全等级保护工作,研究制定了多个有关信息安全等级保护的规范和标准,重点保障了关系国定安全,经济命脉和社会稳定等方面重要信息系统的安全性。
d、实施了信息安全风险评估工作,探索了风险评估工作的基本规律和方法,检验并修改完善了有关标准,培养和锻炼了人才队伍。
b
6.信息安全保障是网络时代各国维护国家安全和利益的首要任务,以下哪个国家最早将网络安全上长升为国家安全战略,并制定相关战略计划。
a、中国b、俄罗斯c、美国d、英国
7.下列关于信息系统生命周期中安全需求说法不准确的是:
a、明确安全总体方针,确保安全总体方针源自业务期望
b、描述所涉及系统的安全现状,提交明确的安全需求文档
c、向相关组织和领导人宣贯风险评估准则
d、对系统规划中安全实现的可能性进行充分分析和论证
8.下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是:
a、确保采购定制的设备.软件和其他系统组件满足已定义的安全要求
b、确保整个系统已按照领导要求进行了部署和配置
c、确保系统使用人员已具备使用系统安全功能和安全特性的能力
d、确保信息系统的使用已得到授权
9.下列选项中,哪个不是我国信息安全保障工作的主要内容:
a、加强信息安全标准化工作,积极采用“等同采用.修改采用.制定”等多种方式,尽快建立和完善我国信息安全标准体系
b、建立国家信息安全研究中心,加快建立国家急需的信息安全技术体系,实现国家信息安全自主可控目标
c、建设和完善信息安全基础设施,提供国家信息安全保障能力支撑
d、加快信息安全学科建设和信息安全人才培养
10.我国信息安全保障建设包括信息安全组织与管理体制.基础设施.技术体系等方面,以下关于信息安全保障建设主要工作内容说法不正确的是:
a、健全国家信息安全组织与管理体制机制,加强信息安全工作的组织保障
b、建设信息安全基础设施,提供国家信息安全保障能力支撑
c、建立信息安全技术体系,实现国家信息化发展的自主创新
d、建立信息安全人才培养体系,加快信息安全学科建设和信息安全人才培养
11.以下哪一项不是我国信息安全保障的原则:
a、立足国情,以我为主,坚持以技术为主
b、正确处理安全与发展的关系,以安全保发展,在发展中求安全
c、统筹规划,突出重点,强化基础性工作
d、明确国家.企业.个人的责任和义务,充分发挥各方面的积极性,共同构筑国家信息安全保障体系
12.信息安全保障技术框架(InformationAssuranceTechnicalFramework,IATF)由美国国家安全局(NSA)发布,最初目的是为保障美国政府和工业的信息基础设施安全提供技术指南,其中,提出需要防护的三类“焦点区域”是:
a、网络和基础设施区域边界重要服务器
b、网络和基础设施区域边界计算环境
c、网络机房环境网络接口计算环境
d、网络机房环境网络接口重要服务器
13.关于信息安全保障的概念,下面说法错误的是:
a、信息系统面临的风险和威胁是动态变化的,信息安全保障强调动态的安全理念
b、信息安全保障已从单纯的保护和防御阶段发展为保护.检测和响应为一体的综合阶段
c、在全球互联互通的网络空间环境下,可单纯依靠技术措施来保障信息安全
d、信息安全保障把信息安全从技术扩展到管理,通过技术.管理和工程等措施的综合融合,形成对信息.信息系统及业务使命的保障
14.关于信息安全保障技术框架(IATF),以下说法不正确的是:
a、分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本
b、IATF从人.技术和操作三个层面提供一个框架实施多层保护,使攻击者即使攻破一层也无法破坏整个信息基础设施
c、允许在关键区域(例如区域边界)使用高安全级保障解决方案,确保系统安全性
d、IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制
15.下面关于信息系统安全保障模型的说法不正确的是:
a、国家标准《信息系统安全保障评估框架第一部分:
简介和一般模型》(GB/T20274.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心
b、模型中的信息系统生命周期模型是抽象的概念性说明模型,在信息系统安全保障具体操作时,可根据具体环境和要求进行改动和细化
c、信息系统安全保障强调的是动态持续性的长效安全,而不仅是某时间点下的安全
d、信息系统安全保障主要是确保信息系统的保密性.完整性和可用性,单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入
16.在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时,正确的理解是:
a、测量单位是基本实施(BasePractices,BP)
b、测量单位是通用实施(GenericPractices,GP)
c、测量单位是过程区域(ProcessAreas,PA)
d、测量单位是公共特征(CommonFeatures,CF)
17.下面关于信息系统安全保障的说法不正确的是:
a、信息系统安全保障与信息系统的规划组织.开发采购.实施交付.运行维护和废弃等生命周期密切相关
b、信息系统安全保障要素包括信息的完整性.可用性和保密性
c、信息系统安全需要从技术.工程.管理和人员四个领域进行综合保障
d、信息系统安全保障需要将信息系统面临的风险降低到可接受的程度,从而实现其业务使命
18.关于我国加强信息安全保障工作的主要原则,以下说法错误的是:
a、立足国情,以我为主,坚持技术与管理并重
b、正确处理安全和发展的关系,以安全保发展,在发展中求安全
c、统筹规划,突出重点,强化基础工作
d、全面提高信息安全防护能力,保护公众利益,维护国家安全
19.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成的间接损失,在以下软件安全开发策略中,不符合软件安全保障思想的是:
a、在软件立项时考虑到软件安全相关费用,经费中预留了安全测试.安全评审相关费用,确保安全经费得到落实
b、在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足
c、确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码
d、在软件上线前对软件进行全面安全性测试,包括源代码分析.模糊测试.渗透测试,未经以上测试的软件不允许上线运行
20.依据国家标准GB/T20274《信息系统安全保障评估框架》,安全环境指的是:
a、组织机构内部相关的组织、业务、管理策略
b、所有的信息系统安全相关的运行环境,如已知的物理部署、自然条件、建筑物等
c、国家的法律法规、行业的政策、制度规范等
d、以上都是
21.质量保证小组通常负责:
a、确保从系统处理收到的输出是完整的
b、监督计算机处理任务的执行
c、确保程序、程序的更改以及存档符合制定的标准
d、设计流程来保护数据,以免被意外泄露、更改或破坏
22.关于信息安全保障的说法中,下面说法正确的是:
a、信息安全保障工作的核心是技术
b、信息安全保障工作的核心是管理
c、信息安全保障工作的核心是标准法规
d、以上说法均不正确
23.信息安全保障强调安全是动态的安全,意味着:
a、信息安全是一个不确定性的概念
b、信息安全是一个主观的概念
c、信息安全必须覆盖信息系统整个生命周期,随着安全风险的变化有针对性地进行调整
d、信息安全只能保证信息系统在有限物理范围内的安全,无法保证整个信息系统的安全
24.信息系统安全保障要求包括哪些内容?
a、信息系统安全技术架构能力成熟度要求、信息系统安全管理能力成熟度要求、信息系统安全工程能力成熟度要求
b、信息系统技术安全保障要求、信息系统管理安全保障要求、信息系统安全工程安全保障要求
c、系统技术保障技术要求、信息系统管理保障控制需求、信息系统工程保障控制需求
d、系统安全保障目的、环境安全保障目的
25.信息安全保障的最终目标是:
a、掌控系统的风险,制定正确的策略
b、确保系统的保密性.完整性和可用性
c、是系统的技术.管理.工程过程和人员等安全保障质量达到要求
d、保障信息系统实现组织机构的使命
26.关于信息保障技术框架(IATF),下列说法错误的是:
a、IATF强调深度防御,关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障
b、IATF强调深度防御,即对信息系统采用多层防护,实现组织的业务安全运作
c、IATF强调从技术、管理和人等多个角度来保障信息系统的安全
d、IATF强调的是以安全监测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全
27.以下那种信息安全工作实践应用了信息安全保障的核心原理和思想?
a、以ISMS运行为核心,采用技术和管理手段对建设好的系统进行维护
b、以IATF为基础,涉及包括防毒、入侵检测、加密、审计在内的安全防护体系
c、以CIA为核心,对计算机网络进行安全加固、检测和评估
d、在系统生命周期内,以人为本,按照技管并重的原则,通过安全工程过程来构建安全体系
28.信息安全保障是一种立体保障,在运行时的安全工作不包括:
a、安全评估b、产品选购c、备份与灾难恢复d、监控
29.以下关于信息安全保障说法中哪一项不正确?
a、信息安全保障是为了支撑业务高效稳定的运行
b、以安全促发展,在发展中求安全
c、信息安全保障不是持续性开展的活动
d、信息安全保障的实现,需要将信息安全技术与管理相结合
30.信息安全保障要素不包括以下哪一项?
a、技术b、工程c、组织d、管理
31.各国在信息安全保障组织架构有两种主要形式,一种是由一个部门集中管理国家信息安全相关工作,另一种是多个部门分别管理,同时加强协调工作。
下列各国中,哪一个国家是采取多部门协调的做法:
a、德国b、法国c、美国d、以上国家都不是
32.依据GB/T24364-2009《信息安全技术信息安全应急响应计划规范》,应急响应方法论的响应过程的第二步是:
a、准备b、确认c、遏制d、根除
33.以下对确定信息系统的安全保护等级理解正确的是:
a、信息系统的安全保护等级是信息系统的客观属性
b、确定信息系统的安全保护等级时应考虑已采取或将采取的安全保护措施
c、确定信息系统的安全保护等级时应考虑风险评估的结果
d、确定信息系统的安全保护等级时应仅考虑业务信息的安全性
34.关于信息安全保障管理体系建设所需要重点考虑的因素,下列说法错误的是:
a、国家、上级机关的相关政策法规要求
b、组织的业务使命c、信息系统面临的风险d、项目的经费预算
35.关于信息安全保障,下列说法正确的是:
a、信息安全保障是一个客观到主观的过程,即通过采取技术、管理、工程等手段,对信息资源的保密性、完整性、可用性提供保护,从而给信息系统所有者以信心
b、信息安全保障的需求是由信息安全策略所决定的,是自上而下的一个过程,在这个过程中,决策者的能力和决心非常重要
c、信息系统安全并不追求万无一失,而是要根据资金预算,做到量力而行
d、以上说法都正确
36.在灾难发生期间,下列哪一种应用系统应当首先被恢复?
a、总账系统b、供应链系统c、固定资产系统d、客户需求处理系统
37.与PDR模型相比,P2DR模型多了哪一个环节?
a、防护b、检测c、反应d、策略
38.以下关于信息系统安全保障是主观和客观的结合说法最准确的是:
a、信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理、安全工程和人员安全等,以全面保障信息系统安全
b、通过技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心
c、是一种通过客观证据向信息系统评估者提供主观信心的活动
d、是主观和客观综合评估的结果
39.以下哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模型具备的特点?
a、强调信息系统安全保障持续发展的动态性,即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程
b、强调信息系统安全保障的概念,通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标
c、以安全概念和关系为基础,将安全威胁和风险控制措施作为信息系统安全保障的基础和核心
d、通过以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征
40.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?
a、提高信息技术产品的国产化率
b、保证信息安全资金投入c、加快信息安全人才培养d、重视信息安全应急处理工作
升级会员 