CISP官方信息安全保障章节练习一Word格式文档下载.docx

1、d、制定访问规则a4.为保障信息系统的安全，某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案，并严格编制任务交给了小王，为此，小王决定首先编制出一份信息安全需求描述报告，关于此项工作，下面说法错误的是（）a、信息安全需求是安全方案设计和安全措施实施的依据b、信息安全需求应当是从信息系统所有者（用户）的角度出发，使用规范化，结构化的语言来描述信息系统安全保障需求c、信息安全需求应当基于信息安全风险评估结果，业务需求和有关政策法规和标准的合规性要求得到d、信息安全需求来自于该公众服务信息系统的功能设计方案d5.我国党和政府一直重视信息安全工作，我国信息安全保障工作也取得了明显成效，关

2、于我国信息安全实践工作，下面说法错误的是（）a、加强信息安全标准化建设，成立了“全国信息安全标准化技术委员会”制订和发布了大批信息安全技术，管理等方面的标准。b、重视信息安全应急处理工作，确定由国家密码管理局牵头成立“国家网络应急中心”推动了应急处理和信息通报技术合作工作进展。c、推进信息安全等级保护工作，研究制定了多个有关信息安全等级保护的规范和标准，重点保障了关系国定安全，经济命脉和社会稳定等方面重要信息系统的安全性。d、实施了信息安全风险评估工作，探索了风险评估工作的基本规律和方法，检验并修改完善了有关标准，培养和锻炼了人才队伍。b6.信息安全保障是网络时代各国维护国家安全和利益的首要任

3、务，以下哪个国家最早将网络安全上长升为国家安全战略，并制定相关战略计划。a、中国b、俄罗斯c、美国d、英国7.下列关于信息系统生命周期中安全需求说法不准确的是：a、明确安全总体方针，确保安全总体方针源自业务期望b、描述所涉及系统的安全现状，提交明确的安全需求文档c、向相关组织和领导人宣贯风险评估准则d、对系统规划中安全实现的可能性进行充分分析和论证8.下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是：a、确保采购定制的设备.软件和其他系统组件满足已定义的安全要求b、确保整个系统已按照领导要求进行了部署和配置c、确保系统使用人员已具备使用系统安全功能和安全特性的能力d、确保信息系

4、统的使用已得到授权9.下列选项中，哪个不是我国信息安全保障工作的主要内容：a、加强信息安全标准化工作，积极采用“等同采用.修改采用.制定”等多种方式，尽快建立和完善我国信息安全标准体系b、建立国家信息安全研究中心，加快建立国家急需的信息安全技术体系，实现国家信息安全自主可控目标c、建设和完善信息安全基础设施，提供国家信息安全保障能力支撑d、加快信息安全学科建设和信息安全人才培养10.我国信息安全保障建设包括信息安全组织与管理体制.基础设施.技术体系等方面，以下关于信息安全保障建设主要工作内容说法不正确的是：a、健全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障b、建设信息安全基础设

5、施，提供国家信息安全保障能力支撑c、建立信息安全技术体系，实现国家信息化发展的自主创新d、建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养11.以下哪一项不是我国信息安全保障的原则：a、立足国情，以我为主，坚持以技术为主b、正确处理安全与发展的关系，以安全保发展，在发展中求安全c、统筹规划，突出重点，强化基础性工作d、明确国家.企业.个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系12.信息安全保障技术框架（InformationAssuranceTechnicalFramework，IATF）由美国国家安全局（NSA）发布，最初目的是为保障美国政府和工业

6、的信息基础设施安全提供技术指南，其中，提出需要防护的三类“焦点区域”是：a、网络和基础设施区域边界重要服务器b、网络和基础设施区域边界计算环境c、网络机房环境网络接口计算环境d、网络机房环境网络接口重要服务器13.关于信息安全保障的概念，下面说法错误的是：a、信息系统面临的风险和威胁是动态变化的，信息安全保障强调动态的安全理念b、信息安全保障已从单纯的保护和防御阶段发展为保护.检测和响应为一体的综合阶段c、在全球互联互通的网络空间环境下，可单纯依靠技术措施来保障信息安全d、信息安全保障把信息安全从技术扩展到管理，通过技术.管理和工程等措施的综合融合，形成对信息.信息系统及业务使命的保障14.关

7、于信息安全保障技术框架（IATF），以下说法不正确的是：a、分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本b、IATF从人.技术和操作三个层面提供一个框架实施多层保护，使攻击者即使攻破一层也无法破坏整个信息基础设施c、允许在关键区域（例如区域边界）使用高安全级保障解决方案，确保系统安全性d、IATF深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制15.下面关于信息系统安全保障模型的说法不正确的是：a、国家标准信息系统安全保障评估框架第一部分：简介和一般模型（GBT202741-2006）中的信息系统安全保障模型将风险和策略作为基础和核心b、模型中

8、的信息系统生命周期模型是抽象的概念性说明模型，在信息系统安全保障具体操作时，可根据具体环境和要求进行改动和细化c、信息系统安全保障强调的是动态持续性的长效安全，而不仅是某时间点下的安全d、信息系统安全保障主要是确保信息系统的保密性.完整性和可用性，单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入16.在使用系统安全工程-能力成熟度模型（SSE-CMM）对一个组织的安全工程能力成熟度进行测量时，正确的理解是：a、测量单位是基本实施（BasePractices，BP）b、测量单位是通用实施（GenericPractices，GP）c、测量单位是过程区域（ProcessAreas，PA）

9、d、测量单位是公共特征（CommonFeatures，CF）17.下面关于信息系统安全保障的说法不正确的是：a、信息系统安全保障与信息系统的规划组织.开发采购.实施交付.运行维护和废弃等生命周期密切相关b、信息系统安全保障要素包括信息的完整性.可用性和保密性c、信息系统安全需要从技术.工程.管理和人员四个领域进行综合保障d、信息系统安全保障需要将信息系统面临的风险降低到可接受的程度，从而实现其业务使命18.关于我国加强信息安全保障工作的主要原则，以下说法错误的是：a、立足国情，以我为主，坚持技术与管理并重b、正确处理安全和发展的关系，以安全保发展，在发展中求安全c、统筹规划，突出重点，强化基础

10、工作d、全面提高信息安全防护能力，保护公众利益，维护国家安全19.软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想，在有限资源前提下实现软件安全最优防护，避免防范不足带来的直接损失，也需要关注过度防范造成的间接损失，在以下软件安全开发策略中，不符合软件安全保障思想的是：a、在软件立项时考虑到软件安全相关费用，经费中预留了安全测试.安全评审相关费用，确保安全经费得到落实b、在软件安全设计时，邀请软件安全开发专家对软件架构设计进行评审，及时发现架构设计中存在的安全不足c、确保对软编码人员进行安全培训，使开发人员了解安全编码基本原则和方法，确保开发人员编写出安全的代码d、在软件上线前对软件

11、进行全面安全性测试，包括源代码分析.模糊测试.渗透测试，未经以上测试的软件不允许上线运行20.依据国家标准GB/T20274信息系统安全保障评估框架，安全环境指的是：a、组织机构内部相关的组织、业务、管理策略b、所有的信息系统安全相关的运行环境，如已知的物理部署、自然条件、建筑物等c、国家的法律法规、行业的政策、制度规范等d、以上都是21.质量保证小组通常负责：a、确保从系统处理收到的输出是完整的b、监督计算机处理任务的执行c、确保程序、程序的更改以及存档符合制定的标准d、设计流程来保护数据，以免被意外泄露、更改或破坏22.关于信息安全保障的说法中，下面说法正确的是：a、信息安全保障工作的核心

12、是技术b、信息安全保障工作的核心是管理c、信息安全保障工作的核心是标准法规d、以上说法均不正确23.信息安全保障强调安全是动态的安全，意味着：a、信息安全是一个不确定性的概念b、信息安全是一个主观的概念c、信息安全必须覆盖信息系统整个生命周期，随着安全风险的变化有针对性地进行调整d、信息安全只能保证信息系统在有限物理范围内的安全，无法保证整个信息系统的安全24.信息系统安全保障要求包括哪些内容？a、信息系统安全技术架构能力成熟度要求、信息系统安全管理能力成熟度要求、信息系统安全工程能力成熟度要求b、信息系统技术安全保障要求、信息系统管理安全保障要求、信息系统安全工程安全保障要求c、系统技术保障

13、技术要求、信息系统管理保障控制需求、信息系统工程保障控制需求d、系统安全保障目的、环境安全保障目的25.信息安全保障的最终目标是：a、掌控系统的风险，制定正确的策略b、确保系统的保密性.完整性和可用性c、是系统的技术.管理.工程过程和人员等安全保障质量达到要求d、保障信息系统实现组织机构的使命26.关于信息保障技术框架（IATF），下列说法错误的是：a、IATF强调深度防御，关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障b、IATF强调深度防御，即对信息系统采用多层防护，实现组织的业务安全运作c、IATF强调从技术、管理和人等多个角度来保障信息系统的安全d、IA

14、TF强调的是以安全监测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全27.以下那种信息安全工作实践应用了信息安全保障的核心原理和思想？a、以ISMS运行为核心，采用技术和管理手段对建设好的系统进行维护b、以IATF为基础，涉及包括防毒、入侵检测、加密、审计在内的安全防护体系c、以CIA为核心，对计算机网络进行安全加固、检测和评估d、在系统生命周期内，以人为本，按照技管并重的原则，通过安全工程过程来构建安全体系28.信息安全保障是一种立体保障，在运行时的安全工作不包括：a、安全评估b、产品选购c、备份与灾难恢复d、监控29.以下关于信息安全保障说法中哪一项不正确？a、信息安全保障是为了支

15、撑业务高效稳定的运行b、以安全促发展，在发展中求安全c、信息安全保障不是持续性开展的活动d、信息安全保障的实现，需要将信息安全技术与管理相结合30.信息安全保障要素不包括以下哪一项？a、技术b、工程c、组织d、管理31.各国在信息安全保障组织架构有两种主要形式，一种是由一个部门集中管理国家信息安全相关工作，另一种是多个部门分别管理，同时加强协调工作。下列各国中，哪一个国家是采取多部门协调的做法:a、德国b、法国c、美国d、以上国家都不是32.依据GB/T24364-2009信息安全技术信息安全应急响应计划规范，应急响应方法论的响应过程的第二步是：a、准备b、确认c、遏制d、根除33.以下对确定

16、信息系统的安全保护等级理解正确的是:a、信息系统的安全保护等级是信息系统的客观属性b、确定信息系统的安全保护等级时应考虑已采取或将采取的安全保护措施c、确定信息系统的安全保护等级时应考虑风险评估的结果d、确定信息系统的安全保护等级时应仅考虑业务信息的安全性34.关于信息安全保障管理体系建设所需要重点考虑的因素，下列说法错误的是:a、国家、上级机关的相关政策法规要求b、组织的业务使命c、信息系统面临的风险d、项目的经费预算35.关于信息安全保障，下列说法正确的是:a、信息安全保障是一个客观到主观的过程，即通过采取技术、管理、工程等手段，对信息资源的保密性、完整性、可用性提供保护，从而给信息系统所

17、有者以信心b、信息安全保障的需求是由信息安全策略所决定的，是自上而下的一个过程，在这个过程中，决策者的能力和决心非常重要c、信息系统安全并不追求万无一失，而是要根据资金预算，做到量力而行d、以上说法都正确36.在灾难发生期间，下列哪一种应用系统应当首先被恢复？a、总账系统b、供应链系统c、固定资产系统d、客户需求处理系统37.与PDR模型相比，P2DR模型多了哪一个环节？a、防护b、检测c、反应d、策略38.以下关于信息系统安全保障是主观和客观的结合说法最准确的是：a、信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障信息系统安全b、通过技术、管理、工程和

18、人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心c、是一种通过客观证据向信息系统评估者提供主观信心的活动d、是主观和客观综合评估的结果39.以下哪一项不是GB/T20274信息安全保障评估框架给出的信息安全保障模型具备的特点？a、强调信息系统安全保障持续发展的动态性，即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程b、强调信息系统安全保障的概念，通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标c、以安全概念和关系为基础，将安全威胁和风险控制措施作为信息系统安全保障的基础和核心d、通过以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素，从而使信息系统安全保障实现信息安全的安全特征40.以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一？a、提高信息技术产品的国产化率b、保证信息安全资金投入c、加快信息安全人才培养d、重视信息安全应急处理工作