CISP试题及答案-六套题(3)

安全措施

68、下述选项中对于“风险管理”的描述不正确的是：

A、风险管理员是指导和控制一个组织相关风险的协调活动，它通常包括风险评估、风险处置、风险接受和风险沟通

B、风险管理的目的是了解风险并采取措施处置风险并将风险消除

C、风险管理是信息安全工作的重要基础，因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中

D、在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全需求和安全目标。

69、在信息安全领域，风险的四要素是指？

A、资产及其价值、威胁、脆弱性、现有的和计划的控制措施

B、资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施 C、完整性、可用性、机密性、不可抵赖性

D、减低风险、转嫁风险、规避风险、接受风险

70、在信息安全风险管理体系中分哪五个层面？ A、决策层、管理层、执行层、支持层、用户层 B、决策层、管理层、建设层、维护层、用户层 C、管理层、建设层、运行层、支持层、用户层 D、决策层、管理层、执行层、监控层、用户层 71C72C73B74D75B

71、在风险管理工作中“监控审查”的目的，一是_________;二是_________. A、保证风险管理过程的有效性，保证风险管理成本的有效性 B、保证风险管理结果的有效性，保证风险管理成本的有效性

C、保证风险管理过程的有效性，保证风险管理活动的决定得到认可 D、保证风险管理结果的有效性，保证风险管理活动的决定得到认可

72、下列安全控制措施的分类中，哪个分类是正确的（p-预防性的，D-检测性的以及C-纠正性的控制） 1、网络防火墙 2、编辑和确认程序 3、账户应付支出报告 4、账户应付对账 5、RAID级别3

6、银行账单的监督复审 7、分配计算机用户标识 8、交易日志

A、P,P,D,P,P,C,D,andC B、D,P,P,P,C,C,D, andD C、P,P,D,D,C,D,P, andC D、P,D,C,C,D,P,P, andD

73、信息安全风险评估分为自评估和检查评估两种形式，下列描述不正确的是： A、信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充 B、检查评估可在自评估实施的基础上，对关键环节或重点内容实施抽样评估

C、检查评估也可委托风险评估服务技术支持方实施，但评估结果仅对检查评估的发起单位负责

D、检查评估是指信息系统上级管理部门组织有关职能部门开展的风险评估

74、某公司正在对一台关键业务服务器进行风险评估，该服务器价值138000元，针对某个特定威胁的暴露因子（EF）是45%，该威胁的年度发生率（ARO）为每10年发生1次。根据以上信息，该服务器的年度预期损失值（ALE）是多少？ A、1800元 B、62100元 C、140000元 D、6210元

75、下列哪些内容应包含在信息系统战略计划中？ A、已规划的硬件采购的规范 B、将来业务目标的分析 C、开发项目的目标日期

D、信息系统不同的年度预算目标

76D77C78B79B80A

76、以下哪一个是对人员安全管理中“授权蔓延”这概念的正确理解？ A、外来人员在进行系统维护时没有收到足够的监控 B、一个人拥有了不是其完成工作所必要的权限 C、敏感岗位和重要操作长期有一个人独自负责

D、员工由一个岗位变动到另一个岗位，累计越来越多的权限

77、ISO27002中描述的11个信息安全管理控制领域不包括： A、信息安全组织 B、资产管理 C、内容安全

D、人力资源安全

78、依据国家标准《信息安全技术信息系统灾难恢复规范》（GB/T20988），需要备用场地但不要求部署备用数据处理设备的是灾难恢复等级的第几级？ A、2 B、3 C、4 D、5

79、以下哪一种备份方式再恢复时间上最快？ A、增量备份 B、差异备份

C、完全备份 D、磁盘备份

80、计算机应急响应小组的简称是： A、CERT B、FIRST C、SANA D、CEAT

81D82D83B84C85B

81、为了保证系统日志可靠有效，以下哪一项不是日志必需具备的特征。 A、统一而精确地的时间 B、全面覆盖系统资产

C、包括访问源、访问目标和访问活动等重要信息 D、可以让系统的所有用户方便的读取

82、依据国家标准《信息安全技术信息系统灾难恢复规范》（GB/T20988），灾难恢复管理过程的主要步骤是灾难恢复需求分析，灾难恢复策略制定，灾难恢复预案制定和管理，其中灾难恢复策略实现不包括以下哪一项？ A、分析业务功能

B、选择和建设灾难备份中心 C、实现灾备系统技术方案

D、实现灾备系统技术支持和维护能力

83、在进行应用系统的的测试时，应尽可能避免使用包含个人隐私和其他敏感信息的实际生产系统中的数据，如果需要使用时。以下哪一项不是必须做的： A、测试系统应使用不低于生产关系的访问控制措施 B、为测试系统中的数据部署完善的备份与恢复措施 C、在测试完成后立即清除测试系统中的所有敏感数据 D、部署审计措施，记录生产数据的拷贝和使用

84、下列有关能力成熟度模型的说法错误的是：

A、能力成熟度模型可以分为过程能力方案（Continuous）和组织能力方案（Staged）两类 B、使用过程能力方案时，可以灵活选择评估和改进哪个或哪些过程域

C、使用组织机构成熟度方案时，每一个能力级别都对应一组已经定义好的过程域

D、SSE-CMM是一种属于组织能力方案（Staged）的针对系统安全工程的能力成熟度模型 85、一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进行规范的定义？

A、2级—计划和跟踪 B、3级—充分定义 C、4级—量化控制 D、5级—持续改进

86D87C88D89B90C

86、下列哪项不是信息系统安全工程能力成熟度模型（SSE-CMM）的主要过程： A、风险过程 B、保证过程 C、工程过程 D、评估过程

87、SSE-CMM工程过程区域中的风险过程包含哪些过程区域？ A、评估威胁、评估脆弱性、评估影响 B、评估威胁、评估脆弱性、评估安全风险

C、评估威胁、评估脆弱性、评估影响、评估安全风险 D、评估威胁、评估脆弱性、评估影响、验证和证实安全

88、信息系统安全工程（ISSE）的一个重要目标就是在IT项目的各个阶段充分考虑安全因素，在IT项目的立项阶段，以下哪一项不是必须进行的工作： A、明确业务对信息安全的要求 B、识别来自法律法规的安全要求 C、论证安全要求是否正确完整

D、通过测试证明系统的功能和性能可以满足安全需求

89、信息化建设和信息安全建设的关系应当是： A、信息化建设的结果就是信息安全建设的开始

B、信息化建设和信息安全建设应同步规划、同步实施

C、信息化建设和信息安全建设是交替进行的，无法区分谁先谁后 D、以上说法都正确 90、如果你作为甲方负责监管一个信息安全工程项目的实施，当乙方提出一项工程变更时你最应当关注的是：

A、变更的流程是否符合预先的规定 B、变更是否会对项目进度造成拖延 C、变更的原因和造成的影响

D、变更后是否进行了准确地记录

91A92B93D94D95C

91、以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述？ A、应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑

B、应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品

C、应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的规范并切实落实

D、应详细规定系统验收测试中有关系统安全性测试的内容 92、在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其他敏感信息的实际生产

系统中的数据，如果需要使用时，以下哪一项不是必须做的： A、测试系统应使用不低于生产系统的访问控制措施 B、为测试系统中的数据部署完善的备份与恢复措施 C、在测试完成后立即清除测试系统中的所有敏感数据 D、部署审计措施，记录产生数据的拷贝和使用

93、关于监理过程中成本控制，下列说法中正确的是？ A、成本只要不超过预计的收益即可 B、成本应控制得越低越好

C、成本控制由承建单位实现，监理单位只能记录实际开始

D、成本控制的主要目的是在批注的预算条件下确保项目保质按期完成

94、《刑法》第六章第285、286、287条对与计算机犯罪的内容和量刑进行了明确的规定，以下哪一项不是其中规定的罪行？ A 非法侵入计算机信息系统罪 B 破坏计算机信息系统罪 C 利用计算机实施犯罪

D 国家重要信息系统管理者玩忽职守罪

95、计算机取证的合法原则是：

A、计算机取证的目的是获取证据，因此首先必须确保证据获取再履行相关法律手续 B、计算机取证在任何时候都必须保证符合相关法律法规 C、计算机取证只能由执法机构才能执行，以确保其合法性

D、计算机取证必须获得执法机关的授权才可进行以确保合法性原则

96B97B98C99B100A

96、对第三方服务进行安全管理时，以下说法正确的是： A、服务水平协议的签定可以免除系统安全管理者的责任

B、第三方服务的变更管理的对象包括第三方服务造成的系统变化和服务商贸的变化 C、服务水平协议的执行情况的监督，是服务方项目经理的职责，不是系统管理者的责任 D、安全加固的工作不能由第三方服务商进行

97、对涉密系统进行安全保密测评应当依据以下哪个标准？

A、BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》 B、BMB20-2007《涉及国家秘密的计算机信息系统分级保护测评指南》 C、GB17859-1999《计算机信息系统安全保护等级划分准则》 D、GB/T20271-2006《信息安全技术信息系统统用安全技术要求》

98、下列事项是我国在2009年下发的关于政府信息系统安全保障工作的政策文件： A、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高校 B、《关于加强政府信息系统安全和保密管理工作的通知》（国发办17号） C、《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》（国办发28号） D、《国务院办公厅关于印发<国家网络与信息安全事件应急预案>的通知》（国办函168

99、信息系统安全保护等级为3级的系统，应当在（）年进行一次等级测评？ A、0.5 B、1 C、2 D、3

100、以下哪一项是用于CC的评估级别？

A、EAL1，EAL2，EAL3,EAL4，EAL5，EAL6，EAL7 B、A1，B1，B2，B3，C2，C1，D C、E0，E1，E2，E3，E4，E5，E6

D、AD0，AD1，AD2，AD3，AD4，AD5，AD6

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库CISP试题及答案-六套题(3)在线全文阅读。