logo资料库

历年的CISP试题及答案.pdf

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:0.22M 资料格式:pdf 举报 版权申诉
第1页 / 共78页
第2页 / 共78页
第3页 / 共78页
第4页 / 共78页
第5页 / 共78页
第6页 / 共78页
第7页 / 共78页
第8页 / 共78页
资料共78页,剩余部分请下载后查看
    1、 以下对信息安全描述不正确得就是 A、信息安全得基本要素包括保密性、完整性与可用性 B、信息安全就就是保障企业信息系统能够连续、可靠、正常地运行,使 安全事件对业务造成得影响减到最小,确保组织业务运行得连续性 C、信息安全就就是不出安全事故 / 事件 D、信息安全不仅仅只考虑防止信息泄密就可以了 【答案】 C 2、 以下对信息安全管理得描述错误得就是 A、保密性、完整性、可用性 B、抗抵赖性、可追溯性 C、真实性私密性可靠性 D、增值性 【答案】 D 3、 以下对信息安全管理得描述错误得就是 A、信息安全管理得核心就就是风险管理 B、人们常说,三分技术,七分管理,可见管理对信息安全得重要性 C、安全技术就是信息安全得构筑材料, 安全管理就是真正得粘合剂与催 化剂 D、信息安全管理工作得重点就是信息系统,而不就是人 【答案】 D 4、 企业按照ISO27001标准建立信息安全管理体系得过程中, 对关键成功因素得描述不正确得就是 A、 不需要全体员工得参入,只要IT部门得人员参入即可 B、 来自高级管理层得明确得支持与承诺 C、对企业员工提供必要得安全意识与技能得培训与教育 D、 所有管理者、员工及其她伙伴方理解企业信息安全策略、指南与标 准,并遵照执行 【答案】 A 5、 信息安全管理体系( ISMS)就是一个怎样得体系,以下描述不正确 得就是 A、 ISMS就是一个遵循 PDCA模式得动态发展得体系 B、 ISMS就是一个文件化、系统化得体系 C、 ISMS 采取得各项风险控制措施应该根据风险评估等途径得出得需求 而定 D、 ISMS应该就是一步到位得,应该解决所有得信息安全问题 【答案】 D 6、 PDCA特征得描述不正确得就是 A、 顺序进行,周而复始,发现问题,分析问题,然后就是解决问题 B、 大环套小环, 安全目标得达成都就是分解成多个小目标, 解决问题 一层层地 C、阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足 D、 信息安全风险管理得思路不符合 【答案】 D PDCA得问题解决思路 7、 以下哪个不就是信息安全项目得需求来源
    ,体系运 A、 国家与地方政府法律法规与合同得要求 B、 风险评估得结果 C、组织原则目标与业务需要 D、 企业领导得个人意志 【答案】 D 8、 ISO27001 认证项目一般有哪几个阶段? A、 管理评估,技术评估,操作流程评估 B、 确定范围与安全方针,风险评估,风险控制(文件编写) 行,认证 C、产品方案需求分析,解决方案提供,实施解决方案 D、 基础培训, RA 培训,文件编写培训,内部审核培训 【答案】 B 9、 构成风险得关键因素有哪些? A、 人,财,物 B、 技术,管理与操作 C、资产,威胁与弱点 D、 资产,可能性与严重性 【答案】 C 10、 以下哪些不就是应该识别得信息资产? A、 网络设备 B、客户资料 C、 办公桌椅 D、 系统管理员 【答案】 C 11、 以下哪些就是可能存在得威胁因素? A、 设备老化故障 B、病毒与蠕虫 C、 系统设计缺陷 D、 保安工作不得力 【答案】 B 12、 以下哪些不就是可能存在得弱点问题? A、 保安工作不得力 B、应用系统存在 Bug C、 内部人员故意泄密 D、 物理隔离不足 【答案】 C 13、 风险评估得过程中,首先要识别信息资产,资产识别时,以下哪 个不就是需要遵循得原则? A、 只识别与业务及信息系统有关得信息资产,分类识别 B、所有公司资产都要识别 C、 可以从业务流程出发,识别各个环节与阶段所需要以及所产出得关 键资产 D、 资产识别务必明确责任人、保管者与用户 【答案】 B B
    14、 风险分析得目得就是? A、 在实施保护所需得成本与风险可能造成得影响之间进行技术平衡; B、在实施保护所需得成本与风险可能造成得影响之间进行运作平衡; C、 在实施保护所需得成本与风险可能造成得影响之间进行经济平衡; D、 在实施保护所需得成本与风险可能造成得影响之间进行法律平衡; 【答案】 C 15、 对于信息安全风险得描述不正确得就是? A、 企业信息安全风险管理就就是要做到零风险 B、 在信息安全领域,风险( Risk)就就是指信息资产遭受损坏并给企 业带来负面影响及其潜在可能性 C、风险管理( Risk Management )就就是以可接受得代价,识别控制减 少或消除可能影响信息系统得安全风险得过程。 D、 风险评估( Risk Assessment)就就是对信息与信息处理设施面临得 威胁、受到得影响、存在得弱点以及威胁发生得可能性得评估。 【答案】 A 16、 有关定性风险评估与定量风险评估得区别,以下描述不正确得就 是 A、 定性风险评估比较主观,而定量风险评估更客观 B、 定性风险评估容易实施,定量风险评估往往数据准确性很难保证 C、定性风险评估更成熟,定量风险评估还停留在理论阶段 D、 定性风险评估与定量风险评估没有本质区别,可以通用 【答案】 D 17、 降低企业所面临得信息安全风险,可能得处理手段不包括哪些 A、 通过良好得系统设计、及时更新系统补丁,降低或减少信息系统自 身得缺陷 B、 通过数据备份、双机热备等冗余手段来提升信息系统得可靠性; C、建立必要得安全制度与部署必要得技术手段, 攻击 D、 通过业务外包得方式,转嫁所有得安全风险 【答案】 D 18、 风险评估得基本过程就是怎样得? A、 识别并评估重要得信息资产,识别各种可能得威胁与严重得弱点, 最终确定风险 防范黑客与恶意软件得 B、 通过以往发生得信息安全事件,找到风险所在 C、风险评估就就是对照安全检查单, 查瞧相关得管理与技术措施就是否 到位 D、 风险评估并没有规律可循,完全取决于评估者得经验所在 【答案】 A 19、 企业从获得良好得信息安全管控水平得角度出发,以下哪些行为 就是适当得 A、 只关注外来得威胁,忽视企业内部人员得问题 B、 相信来自陌生人得邮件,好奇打开邮件附件 C、开着电脑离开,就像离开家却忘记关灯那样 D、 及时更新系统与安装系统与应用得补丁
    【答案】 D 20、 以下对 ISO27001 标准得描述不正确得就是 A、 企业通过 ISO27001 认证则必须符合 ISO27001 信息安全管理体系规 范得所有要求 B、 ISO27001 标准与信息系统等级保护等国家标准相冲突 C、 ISO27001 就是源自于英国得国家标准 BS7799 D、 ISO27001 就是当前国际上最被认可得信息安全管理标准 【答案】 B 21、 对安全策略得描述不正确得就是 A、 信息安全策略(或者方针)就是由组织得最高管理者正式制订与发 布得描述企业信息安全目标与方向,用于指导信息安全管理体系得建立 与实施过程 B、 策略应有一个属主,负责按复查程序维护与复查该策略 C、安全策略得内容包括管理层对信息安全目标与原则得声明与承诺; D、 安全策略一旦建立与发布,则不可变更; 【答案】 D 22、 以下对企业信息安全活动得组织描述不正确得就是 A、 企业应该在组织内建立发起与控制信息安全实施得管理框架。 B、 企业应该维护被外部合作伙伴或者客户访问与使用得企业信息处理 设施与信息资产得安全。 C、在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外 部伙伴访问。应该让外部伙伴意识到其责任与必须遵守得规定。 D、 企业在开展业务活动得过程中,应该完全相信员工,不应该对内部 员工采取安全管控措施 【答案】 D 23、 企业信息资产得管理与控制得描述不正确得就是 A、 企业应该建立与维护一个完整得信息资产清单,并明确信息资产得 管控责任; B、 企业应该根据信息资产得重要性与安全级别得不同要求, 得管控措施; C、企业得信息资产不应该分类分级,所有得信息系统要统一对待 D、 企业可以根据业务运作流程与信息系统拓扑结构来识别所有得信息 资产 【答案】 C 24、 有关人员安全得描述不正确得就是 A、 人员得安全管理就是企业信息安全管理活动中最难得环节 B、 重要或敏感岗位得人员入职之前,需要做好人员得背景检查 C、企业人员预算受限得情况下, 职责分离难以实施, 企业对此无能为力, 也无需做任何工作 D、 人员离职之后,必须清除离职员工所有得逻辑访问帐号 【答案】 C 25、 以下有关通信与日常操作描述不正确得就是 A、 信息系统得变更应该就是受控得 B、 企业在岗位设计与人员工作分配时应该遵循职责分离得原则 采取对应
    C、移动介质使用就是一个管理难题,应该采取有效措施,防止信息泄漏 D、 内部安全审计无需遵循独立性、客观性得原则 【答案】 D 26、 以下有关访问控制得描述不正确得就是 A、 口令就是最常见得验证身份得措施,也就是重要得信息资产,应妥 善保护与管理 B、 系统管理员在给用户分配访问权限时, 应该遵循 “最小特权原则” , 即分配给员工得访问权限只需满足其工作需要得权限,工作之外得权限 一律不能分配 C、单点登录系统(一次登录 / 验证,即可访问多个系统)最大得优势就 是提升了便利性, 但就是又面临着 “把所有鸡蛋放在一个篮子” 得风险; D、 双因子认证 (又称强认证) 就就是一个系统需要两道密码才能进入; 【答案】 D 27、 有关信息系统得设计、开发、实施、运行与维护过程中得安全问 题,以下描述错误得就是 A、 信息系统得开发设计,应该越早考虑系统得安全需求越好 B、 信息系统得设计、开发、实施、运行与维护过程中得安全问题,不 仅仅要考虑提供一个安全得开发环境,同时还要考虑开发出安全得系统 C、信息系统在加密技术得应用方面,其关键就是选择密码算法,而不就 是密钥得管理 D、 运营系统上得敏感、真实数据直接用作测试数据将带来很大得安全 风险 【答案】 C 这意味着企业面临得信 28、 有关信息安全事件得描述不正确得就是 A、 信息安全事件得处理应该分类、分级 B、 信息安全事件得数量可以反映企业得信息安全管控水平 C、某个时期内企业得信息安全事件得数量为零, 息安全风险很小 D、 信息安全事件处理流程中得一个重要环节就是对事件发生得根源得 追溯,以吸取教训、总结经验,防止类似事情再次发生 【答案】 C 29、 以下有关信息安全方面得业务连续性管理得描述,不正确得就是 A、 信息安全方面得业务连续性管理就就是要保障企业关键业务在遭受 重大灾难 / 破坏时,能够及时恢复,保障企业业务持续运营 B、 企业在业务连续性建设项目一个重要任务就就是识别企业关键得、 核心业务 C、业务连续性计划文档要随着业务得外部环境得变化, 计划文档 D、 信息安全方面得业务连续性管理只与 人员无须参入 【答案】 D 30、 企业信息安全事件得恢复过程中,以下哪个就是最关键得? A、 数据 B、 应用系统 及时修订连续性 IT 部门相关, 与其她业务部门
    C、通信链路 D、 硬件 / 软件 【答案】 A 31、 企业 ISMS(信息安全管理体系 )建设得原则不包括以下哪个 A、 管理层足够重视 B、 需要全员参与 C、不必遵循过程得方法 D、 需要持续改进 【答案】 C 32、 PDCA特征得描述不正确得就是 A、 顺序进行,周而复始,发现问题,分析问题,然后就是解决问题 B、 大环套小环, 安全目标得达成都就是分解成多个小目标, 解决问题 C、阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足 D、 信息安全风险管理得思路不符合 【答案】 D PDCA得问题解决思路 一层层地 33、 对于在 ISMS 内审中所发现得问题, 在审核之后应该实施必要得改 进措施并进行跟踪与评价,以下描述不正确得就是? A、 改进措施包括纠正与预防措施 B、 改进措施可由受审单位提出并实施 C、不可以对体系文件进行更新或修改 D、 对改进措施得评价应该包括措施得有效性得分析 【答案】 C 来自利益伙伴得反馈 34、 ISMS得审核得层次不包括以下哪个? A、 符合性审核 B、 有效性审核 C、正确性审核 D、 文件审核 【答案】 C 35、 以下哪个不可以作为 ISMS 管理评审得输入 A、 ISMS 审计与评审得结果 B、 C、 某个信息安全项目得技术方案 D、 预防与纠正措施得状态 【答案】 C 36、 有关认证与认可得描述,以下不正确得就是 A、 认证就就是第三方依据程序对产品、过程、服务符合规定要求给予 书面保证(合格证书) B、 根据对象得不同,认证通常分为产品认证与体系认证 C、认可就是由某权威机构依据程序对某团体或个人具有从事特定任务得 能力给予得正式承认 D、 企业通过 ISO27001认证则说明企业符合 ISO27001 与 ISO27002 标准 得要求 【答案】 D
    37、 信息得存在及传播方式 A、 存在于计算机、磁带、纸张等介质中 B、 记忆在人得大脑里 C、、 通过网络打印机复印机等方式进行传播 D、 通过投影仪显示 【答案】 D 38、 下面哪个组合不就是就是信息资产 A、 硬件、软件、文档资料 B、 关键人员 C、、 组织提供得信息服务 D、 桌子、椅子 【答案】 D 39、 实施 ISMS 内审时,确定 ISMS 得控制目标、控制措施、过程与程 序应该要符合相关要求,以下哪个不就是? A、 约定得标准及相关法律得要求 B、已识别得安全需求 C、 控制措施有效实施与维护 D、 ISO13335风险评估方法 【答案】 D 40、 以下对审核发现描述正确得就是 A、 用作依据得一组方针、程序或要求 B、与审核准则有关得并且能够证实得记录、事实陈述或其她信息 C、 将收集到得审核证据依照审核准则进行评价得结果,可以就是合格 符合项,也可以就是不合格 / 不符合项 D、 对审核对象得物理位置、组织结构、活动与过程以及时限得描述 【答案】 C / 41、 ISMS审核常用得审核方法不包括? A、 纠正预防 B、文件审核 C、 现场审核 D、 渗透测试 【答案】 A 42、 ISMS得内部审核员(非审核组长)得责任不包括? A、 熟悉必要得文件与程序; B、根据要求编制检查列表; C、 配合支持审核组长得工作,有效完成审核任务; D、 负责实施整改内审中发现得问题; 【答案】 D 43、 审核在实施审核时,所使用得检查表不包括得内容有? A、 审核依据 B、审核证据记录 C、 审核发现 D、 数据收集方法与工具 【答案】 C
    44、 ISMS审核时,首次会议得目得不包括以下哪个? A、 明确审核目得、审核准则与审核范围 B、明确审核员得分工 C、 明确接受审核方责任,为配合审核提供必要资源与授权 D、 明确审核进度与审核方法,且在整个审核过程中不可调整 【答案】 D 45、 ISMS审核时,对审核发现中,以下哪个就是属于严重不符合项? A、 关键得控制程序没有得到贯彻, 缺乏标准规定得要求可构成严重不 符合项 B、风险评估方法没有按照 ISO27005(信息安全风险管理)标准进行 C、 孤立得偶发性得且对信息安全管理体系无直接影响得问题; D、 审核员识别得可能改进项 【答案】 D 46、 以下关于 ISMS内部审核报告得描述不正确得就是? A、 内审报告就是作为内审小组提交给管理者代表或最高管理者得工作 成果 B、内审报告中必须包含对不符合性项得改进建议 C、 内审报告在提交给管理者代表或者最高管理者之前应该受审方管理 者沟通协商,核实报告内容。 D、 内审报告中必须包括对纠正预防措施实施情况得跟踪 【答案】 D 47、 信息系统审核员应该预期谁来授权对生产数据与生产系统得访 问? A、流程所有者 B、系统管理员 C、安全管理员 D、数据所有者 【答案】 D 48、 当保护组织得信息系统时,在网络防火墙被破坏以后,通常得下 一道防线就是下列哪一项? A、 个人防火墙 B、防病毒软件 C、入侵检测系统 D、虚拟局域网设置 【答案】 C 49、 负责授权访问业务系统得职责应该属于: A、数据拥有者 B、安全管理员 C、 IT 安全经理 D、请求者得直接上司 【答案】 A 50、 在提供给一个外部代理商访问信息处理设施前,一个组织应该怎 么做? A、外部代理商得处理应该接受一个来自独立代理进行得 IS 审计。
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料