CISP信息安全系统管理系统习题Word格式文档下载.docx

1、D 定性风险分析更具有主观性，而定量风险分析更具客观性6.某单位在一次信息安全风险管理活动中，风险评估报告提出服务器A的PTP服务存在高风险的漏洞，随后该单位在风险处理时选择了关闭PTP服务的处理措施，请问该措施属于哪种风险处理方式 A 风险降低B 风险躲避C 风险转移D 风险承受7.剩余风险是风险管理中的一个重要概念，在信息安全风险管理中，关于剩余风险描述错误的答案是 A 剩余风险是采取了安全措施后，仍然可能存在的风险，一般来说，是在综合考虑了安全本钱与效益后不去控制的风险B 剩余风险应受到密切监理，它会随着时间的推移而发生变化，可能会在将来诱发新的安全事件C 实施风险处理时，应将剩余风险清

2、单告知信息系统所在组织的高管，使其了解剩余风险的存在和可能造成的后果D 信息安全风险处理的主要准如此是尽可能降低和控制信息安全风险，以最小的剩余风险值作为风险管理效果评估指标9.某公司正在进展信息安全风险评估，在决定信息资产的分类与分级时，谁负有最终责任？A:部门经理B:高级管理层C:信息资产所有者D:最终用户10.以下对信息安全风险管理理解最准确的说法是：了解风险转移风险了解风险并控制风险了解风险并转移风险11.在信息安全风险管理工作中，识别风险时主要重点考虑的要素应包括：资产与其价值、威胁、脆弱性、现有的和计划的控制措施资产与其价值、系统的漏洞、脆弱性、现有的和计划的控制措施完整性、可用性

3、、某某性、不可抵赖性以上都不正确12.以下哪一项不是信息安全风险分析过程中所要完成的工作：识别用户识别脆弱性评估资产价值计算机安全事件发生的可能性13.王工是某单位系统管理员，他在某次参加了单位组织的风险管理工作时，发现当前案例中共有两个重要资产：资产A1和资产A2；其中资产A1面临两个主要威胁：威胁T1和威胁T2；而资产A2面临一个主要威胁：威胁T3；威胁T1可以利用的资产A1存在的两个脆弱性；脆弱性V1和脆弱性V2：威胁T2可以利用资产A1存在的三个脆弱性，脆弱性V3、脆弱性V4和脆弱性V5;威胁T3可以利用的资产A2存在的两个脆弱性，脆弱性V6和脆弱性V7.根据上述条件，请问：使用相乘法

4、时，应该为资产A1计算几个风险值 A 2B 3C 5D 614.A:内部计算机处理系统输入输出通讯和网络外部计算机处理15.信息安全技术 信息安全风险评估规XGBT 20984-2007中关于信息系统生命周期各阶段的风险评估描述不正确的答案是：规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求与安全战略等。设计阶段的风险评估需要根据规划阶段所明确的系统运行环境.资产重要性，提出安全功能需求。实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发.实施过程进展风险识别，并对系统建成后的安全功能进展验证。运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种全面的风险

5、评估，评估内容包括对真实运行的信息系统、资产、脆弱性等各方面。16.以下关于项目的含义，理解错误的答案是 A 项目是为达到特定的目的，使用一定资源，在确定的期间内，为特定发起人而提供特定的产品，服务或成果而进展的一次性努力B 项目有明确的开始日期，完毕日期由项目的领导者根据项目进度来随机确定C 项目资源指完成项目所需要的人、财、物等D 项目目标要遵守SWART原如此，即项目的目标要求具体Specific、可测量Measurehle,需相关方的一致同意Agree.to、现实Rcalistic、有一定的时限Time-oriented17.“CC标准是测评标准类的重要标准，从该标准的内容来看，下面哪

6、项内容是针对具体的被评测对象，描述了该对象的安全要求与其相关安全功能和安全措施，相当于从厂商角度制定的产品或系统实现方案。评估对象TOE保护轮廓PP安全目标ST评估保证级EAL18.关于信息安全管理体系，国际上有标准Information technology Security techniques Information security management systems RequirementsISO/IEC 27001：2013，而我国发布了信息技术安全技术信息安全管理体系要求GB/T 22080-2008，请问，这两个标准的关系是。IDT等同采用，此国家标准等同于该国际标准，仅有或

7、没有编辑性修改EQV等效采用，此国家标准等效于该国际标准，技术上只有很小差异NEQ非等效采用此国家标准不等效于该国际标准没有采用与否的关系，两者之间版本不同，不应直接比拟19.关于标准，下面哪项理解是错误的。标准是在一定X围内为了获得最优秩序，经协商一致制定并由公认机构批准，共同重复使用的一种规X性文件，标准是标准化活动的重要成果国际标准是由国际标准化组织通过并公开发布的标准，同样是强制性标准，当国家标准和国际标准的条款发生冲突时，应以国际标准条款为准行业标准是针对没有国家标准而又需要在全国某个行业X围内统一的技术要求而制定的标准，同样是强制性标准，当行业标准和国家标准的条款发生冲突时，应以国

8、家标准条款为准地方标准由省、自治区、直辖市标准化行政主管部门制定，并报国务院标准化行政主管部门和国务院有关行政主管部门备案，在公布国家标准之后，该地方标准即应废止20.关于信息安全管理体系的作用，下面理解错误的答案是。对内而言，有助于建立起文档化的信息安全管理规X，实现有“法可依，有章可循，有据可查对内而言，是一个光花钱不挣钱的事情，需要组织通过其他方面收入来弥补投入对外而言，有助于使各利益相关方对组织充满信心对外而言，能起到规X外包工作流程和要求，帮助界定双方各自信息安全责任21.以下哪些是需要在信息安全策略中进展描述的：组织信息系统安全架构信息安全工作的根本原如此组织信息安全技术参数组织信

9、息安全实施手段22.如下哪些内容应包含在信息系统战略计划中？已规划的硬件采购的规X将来业务目标的分析开发项目的目标日期信息系统不同的年度预算目标23.ISO27002中描述的11个信息安全管理的控制领域不包括：信息安全组织资产管理内容安全人力资源安全24.SSE-CMM将工程过程区域分为三类，即风险过程、工程过程、和保证过程，下面对于保证过程的说法错误的答案是：保证是指安全需求得到满足的可信任程度信任程度来自于对安全工程过程结果质量的判断自验证与证实安全的主要手段包括观察、论证、分析和测试PA“建立保证论据为PA“验证与证实安全提供了证据支持25.根据SSE-CMM信息安全工程过程可以划分为三

10、个阶段，其中_确立安全解决方案的置信度并且把这样的置信度传递给顾客。保证过程风险过程工程和保证过程安全工程过程26.SSE-CMM工程过程区域中的风险过程包含哪些过程区域：评估威胁、评估脆弱性、评估影响评估威胁、评估脆弱性、评估安全风险评估威胁、评估脆弱性、评估影响、评估安全风险评估威胁、评估脆弱性、评估影响、验证和证实安全27.一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进展规X的定义？2级计划和跟踪3级充分定义4级量化控制5级持续改良28.在风险管理准备阶段“建立背景对象确立过程中不应该做的是：分析系统的体系结构分析系统的安全环境制定风险管理计划调查系统的技术特性2

11、9.下面有关能力成熟度模型的说法错误的答案是:能力成熟度模型可以分为过程能力方案Continuous和组织能力方案Staged两类使用过程能力方案时，可以灵活选择评估和改良哪个或哪些过程域使用组织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程域SSE-CMM是一种属于组织能力方案Staged的针对系统安全工程的能力成熟度模型30.如下哪项不是信息系统安全工程能力成熟度模型（SSE-CMM）的主要过程:工程过程评估过程31.信息安全管理体系描述不正确的答案是:是一个组织整体管理体系的组成局部是有X围和边界的是风险评估的手段其根本过程应遵循PDCA循环32.对戴明环PDCA方法的描述

12、不正确的答案是:“PDCA的含义是P-计划，D-实施，C-检查，A-改良“PDCA循环又叫戴明环“PDCA循环是只能用于信息安全管理体系有效进展的工作程序“PDCA循环是可用于任何一项活动有效进展的工作程序33.下述选项中对于风险管理的描述不正确的答案是:风险管理是指导和控制一个组织相关风险的协调活动，它通常包括风险评估、风险处置、风险承受和风险沟通。风险管理的目的是了解风险并采取措施处置风险并将风险消除。风险管理是信息安全工作的重要根底，因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中。在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全需求和安全目标。

13、34.以下关于可信计算说法错误的答案是：可信的主要目的是要建立起主动防御的信息安全保障体系可信计算机安全评价标准（TCSEC）中第一次提出了可信计算机和可信计算机的概念可信计算平台出现后会取代传统的安全防护体系和方法35.风险是需要保护的（ ）发生损失的可能性，它是（ ）和（ ）综合结果。资产，攻击目标，威胁事件设备，威胁，漏洞资产，威胁，脆弱性以上都不对36.以如下哪种处置方法属于转移风险？部署综合安全审计系统对网络行为进展实时监控制订完善的制度体系聘用第三方专业公司提供维护外包服务37.对操作系统打补丁和系统升级是以下哪种风险控制措施?降低风险躲避风险承受风险38.以下哪一项可认为是具有一

14、定合理性的风险?总风险最小化风险可承受风险剩余风险39.在风险管理工作中“监控审查的目的，一是:_二是_。保证风险管理过程的有效性，保证风险管理本钱的有效性保证风险管理结果的有效性，保证风险管理本钱的有效性保证风险管理过程的有效性，保证风险管理活动的决定得到认可保证风险管理结果的有效性，保证风险管理活动的决定得到认可40.风险管理四个步骤的正确顺序是:背景建立、风险评估、风险处理、批准监视背景建立、风险评估、审核批准、风险控制风险评估、对象确立、审核批准、风险控制风险评估、风险控制、对象确立、审核批准41.在风险管理的过程中，建立背景（即对象确立）的过程是哪四个活动?风险管理准备、信息系统调查

15、、信息系统分析、信息安全分析风险管理准备、信息系统分析、信息安全分析、风险政策的制定风险管理准备、风险管理政策的制定、信息系统分析、信息安全分析确定对象、分析对象、审核对象、总结对象42.如下对风险分析方法的描述正确的答案是:定量分析比定性分析方法使用的工具更多定性分析比定量分析方法使用的工具更多同一组织只能使用一种方法进展评估符合组织要求的风险评估方法就是最优方法43.在一个有充分控制的信息处理计算中心中，下面哪一项可以由同一个人执行?安全管理和变更管理计算机操作和系统开发系统开发和变更管理系统开发和系统维护44.以下关于“最小特权安全管理原如此理解正确的答案是:组织机构内的敏感岗位不能由一

16、个人长期负责对重要的工作进展分解，分配给不同人员完成一个人有且仅有其执行岗位所足够的许可和权限防止员工由一个岗位变动到另一个岗位，累积越来越多的权限45.以下哪一个是对“岗位轮换这一人员安全管理原如此的正确理解?46.在构建一个单位的内部安全管理组织体系的时候，以下哪一项不是必需考虑的内容?高级管理层承诺对安全工作的支持要求雇员们遵从安全策略的指示在第三方协议中强调安全清晰地定义部门的岗位的职责47.风险管理中使用的控制措施，不包括以下哪种类型？预防性控制措施管理性控制措施检查性控制措施纠正性控制措施48.风险管理中的控制措施不包括以下哪一方面？行政道德技术管理49.风险评估不包括以下哪个活动

17、？中断引入风险的活动识别资产识别威胁分析风险50.在信息安全风险管理工作中，识别风险时主要重点考虑的要素应包括：51.以下哪一项不是信息安全风险分析过程中所要完成的工作：52.关于外包的论述不正确的答案是：企业经营管理中的诸多操作服务都可以外包通过业务外包，企业也把相应的风险承当者转移给了外包商，企业从此不必对外包业务负任何直接或间接的责任虽然业务可以外包，但是对与外包业务的可能的不良后果，企业仍然承当责任过多的外包业务可能产生额外的操作风险或其他隐患53.以下对PDCA循环解释不正确的答案是:处理实施检查行动以下工作哪个不是计算机取证准备阶段的工作获得授权准备工具介质准备保护数据以下关于IS

18、O/IEC27001标准说法不正确的答案是：本标准可被内部和外部相关方用于一致性评估，审核的重点就是组织信息安全的现状，对布属的信息安全控制是好的还是坏的做出评判本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改良一个组织的ISMS目前国际标准化组织推出的四个管理体系标准：质量管理体系，职业健康安全管理体系、环境管理体系、信息安全管理体系，都采用了一样的方法，即PDCA模型本标准注重监视和评审，因为监视和评审是持续改良的根底，如果缺乏对执行情况和有效性的测量，改良就成了“无的放矢平行模拟法是指A.开发一个模拟系统，将被审计单位真实数据放入模拟系统中运行，观察其输出是否与被审计单位信

19、息系统相一致B.在信息系统中建立虚拟实体，然后将有关数据与真实运行数据一起输入信息系统中处理，将虚拟实体的运行结果与预期进展比拟C.将已处理过的真实数据在一样的信息系统或程序副本上再处理一次，将二次结果与以前结果进展比拟下面哪一项安全控制措施不是用来检测XX的信息处理活动的：设置网络连接时限记录并分析系统错误日志记录并分析用户和管理员操作日志启用时钟同步P，P，C，D，and CD，C，C，D，and DP，C，D，P，and DP，D，P，P，and C风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程，关于这些过程，以下的说法哪一个是正确的？风险分析准备的内容是

20、识别风险的影响和可能性风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度风险分析的内容是识别风险的影响和可能性风险结果判定的内容是发生系统存在的威胁、脆弱性和控制措施你来到服务器机房隔壁的一间办公室，发现窗户坏了。由于这不是你的办公室，你要求在这里办公的员工请维修工来把窗户修好。你离开后，没有再过问这扇窗户的事情。这件事的结果对与特定脆弱性相关的威胁真正出现的可能性会有什么影响？如果窗户被修好，威胁真正出现的可能性会增加如果窗户被修好，威胁真正出现的可能性会保持不变如果窗户没有被修好，威胁真正出现的可能性会下降如果窗户没有被修好，威胁真正出现的可能性会增加计算机应急响应小组的简称是

21、？CERTFIRSTSANACEAT在金融交易的电子数据交换EDI通信过程中，对金额字段计算校验和是为确保数据输入、处理和输出控制审计属于如下哪一项审计的X畴选择审计流程时，信息安全审计师应运用自己的专业性判断，以确保执行计算机取证调查时，对于收集到证据，IS审计师最应关注的是如下哪种说法针对审计证据可靠性的说法是错误的B. 从被审计单位直接观察测试获取的审计证据比经被审计单位加工处理后提交的审计证据更可靠在以下那种情况下，组织应当对公众和媒体告知其信息系统中发生的信息安全事件？A 当信息安全事件的负面影响扩展到本组织以外时B 只要发生了安全事件就应当公告C 只有公众的生命财产安全受到巨大危害

22、时才公告D 当信息安全事件平息后信息安全管理体系information Securlty Management System. 简称ISMS要求建立过程体系，该过程体系是在如下根底上构建的。IATFInformation Assurance Technical FrameworkP2DR（Policy，Protection，Detection，Response）PDCERFPreparation，Detection，Containment，Eradication，Recovery，Follow-upPDCAPlan，Do，Check，Act关于风险要素识别阶段工作内容表示错误的答案是：资产识别

23、是指对需要保护的资产和系统等进展识别和分类威胁识别是指识别与每项资产相关的可能威胁和漏洞与其发生的可能性脆弱性识别以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进展评估确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系统平台、网络平台和应用平台企业资源规划中的总帐设置功能允许设定会计期间。对此功能的访问被授予财务、仓库和订单录入部门的用户。这种广泛的访问最有可能是因为： 经常性地修改会计期间的需要 需要向关闭的会计期间过入分录 缺乏适当的职责分工政策和步骤 需要创建和修改科目表与其分配许多组织强制要求雇员休假一周或更长时间，以便：

24、确保雇员维持生产质量，从而生产力更高 减少雇员从事不当或非法行为的机会 为其他雇员提供交叉培训 消除当某个雇员一次休假一天造成的潜在的混乱文档体系建设是信息安全管理体系（ISMS）建设的直接表现，如下说法不正确的答案是：组织内的信息安全方针文件.信息安全规章制度文件.信息安全相关操作规X文件等文档是组织的工作标准，也是ISMS审核的依据组织内的业务系统日志文件.风险评估报告等文档是对上一级文件的执行和记录，对这些记录不需要保护和控制层次化的文档是ISMS建设的直接表现，文档体系应当依据风险评估的结果建立信息安全风险的三要素是指：资产、威胁、脆弱性资产、使命、威胁使命、威胁、脆弱性威胁、脆弱性、使命如下哪个领域经常面临微型计算机迅速开展带来的风险？1、备份和恢复。2、应用程序开发本钱。3、记录的批量更新。4、访问的安全。5、违反法。4、2、2 2、3、4 3、4、5 1、4、5如果已决定买进软件而不是内部自行开发，那么这一决定通常发生于：项目需求定义阶段项目可行性研究阶段项目详细设计阶段项目编程阶段某银行信息系统为了满足业务开展的需要准备进展升级改造，以下哪一项不是此次改造某某息系统安全需求分析