CISP信息安全管理习题.docx

1、CISP信息安全管理习题1.根据相关标准，信息安全风险管理可以分为背景建立、风险评估，风险处理,批准监督、监控审查和沟通咨询等阶段。模拟该流程.文档风险分析报告应属于哪个阶段的输出成果（）。A 风险评估B 风险处理C 批准监督D 监控审查2.p某单位在实施信息安全风险评估后，形成了若干文档，下面（）中的文档不应属于风险评估ldquo；准备&rdquo；阶段输出的文档。A 风险评估工作计划，主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色进度安排等内容B 风险评估方法和工具列表，主要包括拟用的风险评估方法和测试评估工具等内容C 已有安全措施列表，主要包括经检查确认后的已有技术和管理各

2、方面安全措施等内容D 风险评估准则要求，主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等内容3。规范的实施流程和文档管理,是信息安全风险评估结果取得成果的重要基础，span style=”line-height: 20.8px;”按照规范/span的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果 （ ）A 风险评估方案B 重要保护的资产清单C 风险计算报告D 风险程度等级列表4.定量风险分析是从财务数字上对安全风险进行评估,得出可以量化的风险分析结果，准确度量风险的可能性和损失量,小王采用该方法来为单位机房计算火灾的风险大小,假设单位机房的总价值为200万

3、元人民币,暴露系数(ErpomireFactor，EF)是x，年度发生率（AnnuaIixed Rato of Occurrence，ARO)为0.1，而小王计算的年度预期损失(AnnuaIixed Loss Rrpectancy,ALE)值为5万元人民币。由此x值应该是 （ ）5。不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织机构应当根据各自的实际情况,选择适当的风险评估方法，下面的描述中，错误的是 （ ）A 定量风险分析是用从财务数字上对安全风险进行评估，得出可以量化的风险分析结果,以度量风险的可能性和损失量B 定量风险分析相比定性风险分析能得到准确的数值，所以在实际工作中

4、应使用定量风险分析,而不应选择定性风险分析C 定性风险分析过程中，往往需要凭借分析者的经验直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关D 定性风险分析更具有主观性，而定量风险分析更具客观性6.某单位在一次信息安全风险管理活动中,风险评估报告提出服务器A的PTP服务存在高风险的漏洞,随后该单位在风险处理时选择了关闭PTP服务的处理措施,请问该措施属于哪种风险处理方式 （ ）A 风险降低B 风险规避C 风险转移D 风险接受7.残余风险是风险管理中的一个重要概念，在信息安全风险管理中,关于残余风险描述错误的是 （ )A 残余风险是采取了安全措施后，仍然可能存在的风险，一般来说，

5、是在综合考虑了安全成本与效益后不去控制的风险B 残余风险应受到密切监理,它会随着时间的推移而发生变化，可能会在将来诱发新的安全事件C 实施风险处理时，应将残余风险清单告知信息系统所在组织的高管，使其了解残余风险的存在和可能造成的后果D 信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作为风险管理效果评估指标9.某公司正在进行信息安全风险评估，在决定信息资产的分类与分级时，谁负有最终责任？A:部门经理B:高级管理层C:信息资产所有者D：最终用户10。以下对信息安全风险管理理解最准确的说法是:A:了解风险B：转移风险C：了解风险并控制风险D:了解风险并转移风险11。在信

6、息安全风险管理工作中,识别风险时主要重点考虑的要素应包括：A：资产及其价值、威胁、脆弱性、现有的和计划的控制措施B:资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施C:完整性、可用性、机密性、不可抵赖性D：以上都不正确12.以下哪一项不是信息安全风险分析过程中所要完成的工作：A:识别用户B：识别脆弱性C:评估资产价值D：计算机安全事件发生的可能性13.王工是某单位系统管理员，他在某次参加了单位组织的风险管理工作时，发现当前案例中共有两个重要资产：资产A1和资产A2；其中资产A1面临两个主要威胁：威胁T1和威胁T2；而资产A2面临一个主要威胁：威胁T3；威胁T1可以利用的资产A1存在的两

7、个脆弱性；脆弱性V1和脆弱性V2:威胁T2可以利用资产A1存在的三个脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；威胁T3可以利用的资产A2存在的两个脆弱性，脆弱性V6和脆弱性V7.根据上述条件，请问：使用相乘法时，应该为资产A1计算几个风险值 （ ）A 2B 3C 5D 614。A：内部计算机处理B：系统输入输出C：通讯和网络D:外部计算机处理15。信息安全技术 信息安全风险评估规范GBT 209842007中关于信息系统生命周期各阶段的风险评估描述不正确的是：A：规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等。B:设计阶段的风险评估需要根据规划阶段所明确的系统运行

8、环境。资产重要性，提出安全功能需求。C：实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发。实施过程进行风险识别，并对系统建成后的安全功能进行验证。D：运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种全面的风险评估，评估内容包括对真实运行的信息系统、资产、脆弱性等各方面.16。以下关于项目的含义,理解错误的是 （ ）/pA 项目是为达到特定的目的,使用一定资源，在确定的期间内，为特定发起人而提供特定的产品，服务或成果而进行的一次性努力B 项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定C 项目资源指完成项目所需要的人、财、物等D 项目目标要遵守SW

9、ART原则,即项目的目标要求具体（Specific）、可测量（Measurehle），需相关方的一致同意（Agree.to）、现实(Rcalistic）、有一定的时限(Time-oriented）17。“CC标准是测评标准类的重要标准，从该标准的内容来看，下面哪项内容是针对具体的被评测对象，描述了该对象的安全要求及其相关安全功能和安全措施，相当于从厂商角度制定的产品或系统实现方案（）。A：评估对象(TOE）B:保护轮廓（PP）C：安全目标(ST)D：评估保证级（EAL)18.p关于信息安全管理体系，国际上有标准Information technology Security techniques

10、 Information security management systems Requirements(ISO/IEC 27001:2013),而我国发布了信息技术安全技术信息安全管理体系要求（GB/T 22080-2008),请问,这两个标准的关系是(）.A：IDT（等同采用)，此国家标准等同于该国际标准,仅有或没有编辑性修改B：EQV（等效采用）,此国家标准等效于该国际标准，技术上只有很小差异C:NEQ(非等效采用）此国家标准不等效于该国际标准D：没有采用与否的关系，两者之间版本不同，不应直接比较19.关于标准，下面哪项理解是错误的(）。A:标准是在一定范围内为了获得最佳秩序，经协商一

11、致制定并由公认机构批准,共同重复使用的一种规范性文件，标准是标准化活动的重要成果B：国际标准是由国际标准化组织通过并公开发布的标准,同样是强制性标准，当国家标准和国际标准的条款发生冲突时，应以国际标准条款为准C：行业标准是针对没有国家标准而又需要在全国某个行业范围内统一的技术要求而制定的标准，同样是强制性标准,当行业标准和国家标准的条款发生冲突时，应以国家标准条款为准D：地方标准由省、自治区、直辖市标准化行政主管部门制定，并报国务院标准化行政主管部门和国务院有关行政主管部门备案，在公布国家标准之后，该地方标准即应废止20。关于信息安全管理体系的作用，下面理解错误的是（）。A:对内而言，有助于建

12、立起文档化的信息安全管理规范，实现有“法可依，有章可循，有据可查B：对内而言,是一个光花钱不挣钱的事情，需要组织通过其他方面收入来弥补投入C:对外而言，有助于使各利益相关方对组织充满信心D：对外而言，能起到规范外包工作流程和要求，帮助界定双方各自信息安全责任21.以下哪些是需要在信息安全策略中进行描述的:A：组织信息系统安全架构B：信息安全工作的基本原则C:组织信息安全技术参数D:组织信息安全实施手段22。下列哪些内容应包含在信息系统战略计划中？A:已规划的硬件采购的规范B：将来业务目标的分析C：开发项目的目标日期D：信息系统不同的年度预算目标23。pISO27002中描述的11个信息安全管理

13、的控制领域不包括：A:保证是指安全需求得到满足的可信任程度B:信任程度来自于对安全工程过程结果质量的判断C：自验证与证实安全的主要手段包括观察、论证、分析和测试D：PA“建立保证论据”为PA“验证与证实安全”提供了证据支持25.根据SSE-CMM信息安全工程过程可以划分为三个阶段，其中_确立安全解决方案的置信度并且把这样的置信度传递给顾客。/pA：保证过程B:风险过程C:工程和保证过程D：安全工程过程26.SSE-CMM工程过程区域中的风险过程包含哪些过程区域：/pA：评估威胁、评估脆弱性、评估影响B:评估威胁、评估脆弱性、评估安全风险C：评估威胁、评估脆弱性、评估影响、评估安全风险D:评估威

14、胁、评估脆弱性、评估影响、验证和证实安全27.一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进行规范的定义？A:2级-计划和跟踪B：3级-充分定义C：4级-量化控制D：5级持续改进28.在风险管理准备阶段“建立背景”（对象确立）过程中不应该做的是：A：分析系统的体系结构B：分析系统的安全环境C：制定风险管理计划D:调查系统的技术特性29.下面有关能力成熟度模型的说法错误的是:A:能力成熟度模型可以分为过程能力方案（Continuous）和组织能力方案（Staged）两类B:使用过程能力方案时，可以灵活选择评估和改进哪个或哪些过程域C:使用组织机构成熟度方案时，每一个能力级

15、别都对应于一组已经定义好的过程域D:SSECMM是一种属于组织能力方案（Staged）的针对系统安全工程的能力成熟度模型30。下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM）的主要过程:A:风险过程B：保证过程C：工程过程D：评估过程31。信息安全管理体系描述不正确的是:A:是一个组织整体管理体系的组成部分B:是有范围和边界的C:是风险评估的手段D:其基本过程应遵循PDCA循环32.对戴明环”PDCA方法的描述不正确的是：A:“PDCA”的含义是P-计划，D-实施，C-检查，A改进B：“PDCA”循环又叫”戴明”环C:“PDCA”循环是只能用于信息安全管理体系有效进行的工作程序D：

16、“PDCA”循环是可用于任何一项活动有效进行的工作程序33.下述选项中对于”风险管理”的描述不正确的是:A：风险管理是指导和控制一个组织相关风险的协调活动，它通常包括风险评估、风险处置、风险接受和风险沟通。B：风险管理的目的是了解风险并采取措施处置风险并将风险消除.C：风险管理是信息安全工作的重要基础，因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中。D:在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全需求和安全目标。34.以下关于可信计算说法错误的是:A：可信的主要目的是要建立起主动防御的信息安全保障体系B：可信计算机安全评价标准(TCSEC）中第一

17、次提出了可信计算机和可信计算机的概念C:可信的整体框架包含终端可信.终端应用可信.操作系统可信.网络互联可信.互联网交易等应用系统可信D:可信计算平台出现后会取代传统的安全防护体系和方法35.p风险是需要保护的（ )发生损失的可能性，它是（ ）和( )综合结果。A：资产,攻击目标，威胁事件B:设备,威胁，漏洞C:资产,威胁，脆弱性D：以上都不对36.以下列哪种处置方法属于转移风险？A：部署综合安全审计系统B：对网络行为进行实时监控C:制订完善的制度体系D:聘用第三方专业公司提供维护外包服务37.对操作系统打补丁和系统升级是以下哪种风险控制措施?A:降低风险B：规避风险C：转移风险D:接受风险3

18、8。以下哪一项可认为是具有一定合理性的风险？A:总风险B:最小化风险C:可接受风险D：残余风险39。在风险管理工作中“监控审查的目的，一是：_二是_。A:保证风险管理过程的有效性,保证风险管理成本的有效性B:保证风险管理结果的有效性，保证风险管理成本的有效性C:保证风险管理过程的有效性,保证风险管理活动的决定得到认可D:保证风险管理结果的有效性，保证风险管理活动的决定得到认可40。风险管理四个步骤的正确顺序是:A:背景建立、风险评估、风险处理、批准监督B：背景建立、风险评估、审核批准、风险控制C：风险评估、对象确立、审核批准、风险控制D：风险评估、风险控制、对象确立、审核批准41.在风险管理的

19、过程中，”建立背景(即对象确立)的过程是哪四个活动？A:风险管理准备、信息系统调查、信息系统分析、信息安全分析B:风险管理准备、信息系统分析、信息安全分析、风险政策的制定C：风险管理准备、风险管理政策的制定、信息系统分析、信息安全分析D：确定对象、分析对象、审核对象、总结对象42。p下列对风险分析方法的描述正确的是:A：定量分析比定性分析方法使用的工具更多B：定性分析比定量分析方法使用的工具更多C：同一组织只能使用一种方法进行评估D:符合组织要求的风险评估方法就是最优方法43。关于外包的论述不正确的是：/pA：企业经营管理中的诸多操作服务都可以外包B:通过业务外包，企业也把相应的风险承担者转移

20、给了外包商,企业从此不必对外包业务负任何直接或间接的责任C：虽然业务可以外包，但是对与外包业务的可能的不良后果，企业仍然承担责任D：过多的外包业务可能产生额外的操作风险或其他隐患53。以下对PDCA循环解释不正确的是：/pA：处理B：实施C：检查D:行动以下工作哪个不是计算机取证准备阶段的工作A:获得授权B:准备工具C：介质准备D:保护数据以下关于ISO/IEC27001标准说法不正确的是：A：本标准可被内部和外部相关方用于一致性评估,审核的重点就是组织信息安全的现状，对布属的信息安全控制是好的还是坏的做出评判B:本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISM

21、SC：目前国际标准化组织推出的四个管理体系标准:质量管理体系，职业健康安全管理体系、环境管理体系、信息安全管理体系，都采用了相同的方法,即PDCA模型D：本标准注重监视和评审，因为监视和评审是持续改进的基础，如果缺乏对执行情况和有效性的测量，改进就成了“无的放矢平行模拟法是指A.开发一个模拟系统，将被审计单位真实数据放入模拟系统中运行，观察其输出是否与被审计单位信息系统相一致B.在信息系统中建立虚拟实体，然后将有关数据与真实运行数据一起输入信息系统中处理,将虚拟实体的运行结果与预期进行比较C。将已处理过的真实数据在相同的信息系统或程序副本上再处理一次，将二次结果与以前结果进行比较D.以上都不对

22、下面哪一项安全控制措施不是用来检测XX的信息处理活动的：A：设置网络连接时限B:记录并分析系统错误日志C:记录并分析用户和管理员操作日志D：启用时钟同步下列安全控制措施的分类中，哪个分类是正确的（P预防性的，D检测性的以及C-纠正性的控制)：1。网络防火墙2.RAID级别33。银行账单的监督复审4。分配计算机用户标识5.交易日志A：P,P，C,D,and CB:D,C，C，D，and DC：P,C，D，P,and DD：P，D,P，P，and C风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程，关于这些过程，以下的说法哪一个是正确的?A：风险分析准备的内容是识别风

23、险的影响和可能性B：风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度C:风险分析的内容是识别风险的影响和可能性D：风险结果判定的内容是发生系统存在的威胁、脆弱性和控制措施你来到服务器机房隔壁的一间办公室,发现窗户坏了.由于这不是你的办公室,你要求在这里办公的员工请维修工来把窗户修好。你离开后，没有再过问这扇窗户的事情。这件事的结果对与特定脆弱性相关的威胁真正出现的可能性会有什么影响？A:如果窗户被修好，威胁真正出现的可能性会增加B：如果窗户被修好,威胁真正出现的可能性会保持不变C:如果窗户没有被修好，威胁真正出现的可能性会下降D:如果窗户没有被修好，威胁真正出现的可能性会增加计算

24、机应急响应小组的简称是？A:CERTB：FIRSTC:SANAD：CEAT在金融交易的电子数据交换(EDI）通信过程中,对金额字段计算校验和是为确保A。完整性B。实性C。授权D。不可否认性数据输入、处理和输出控制审计属于下列哪一项审计的范畴A.应用控制审计B。一般控制审计C.项目管理审计D。以上都不对选择审计流程时，信息安全审计师应运用自己的专业性判断，以确保A.收集充分的证据B。所有识别出的重大缺陷在合理的期限内均得以纠正C。识别出所有严重漏洞D。将审计成本控制在最低水平执行计算机取证调查时，对于收集到证据,IS审计师最应关注的是A。证据的分析B.证据的评估C。证据的保存D。证据的泄露下列哪

25、种说法针对审计证据可靠性的说法是错误的A.间接获取的审计证据比直接获取的审计证据更可靠B. 从被审计单位直接观察测试获取的审计证据比经被审计单位加工处理后提交的审计证据更可靠C。原件形式的审计证据比复制件形式的审计证据更可靠D.以上都不对在以下那种情况下，组织应当对公众和媒体告知其信息系统中发生的信息安全事件？A 当信息安全事件的负面影响扩展到本组织以外时B 只要发生了安全事件就应当公告C 只有公众的生命财产安全受到巨大危害时才公告D 当信息安全事件平息后信息安全管理体系（information Securlty Management System. 简称ISMS）要求建立过程体系，该过程体系

26、是在如下（）基础上构建的.A：IATF（Information Assurance Technical Framework）B:P2DR（Policy，Protection，Detection，Response)C:PDCERF（Preparation,Detection，Containment，Eradication,Recovery，Followup）D：PDCA（Plan，Do，Check，Act)关于风险要素识别阶段工作内容叙述错误的是：A:资产识别是指对需要保护的资产和系统等进行识别和分类B：威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性C:脆弱性识别以资产为核心,针

27、对每一项需要保护的资产,识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估D：确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系统平台、网络平台和应用平台企业资源规划中的总帐设置功能允许设定会计期间。对此功能的访问被授予财务、仓库和订单录入部门的用户.这种广泛的访问最有可能是因为：A： 经常性地修改会计期间的需要B： 需要向关闭的会计期间过入分录C： 缺乏适当的职责分工政策和步骤D： 需要创建和修改科目表及其分配许多组织强制要求雇员休假一周或更长时间，以便:A： 确保雇员维持生产质量，从而生产力更高B: 减少雇员从事不当或非法行为的机会C： 为其他雇员提供交叉培训D: 消除当某个雇员一次休假一天造成的潜在的混乱文档体系建设是信息安全管理体系(ISMS)建设的直接体现，下列说法不正确的是:A：组织内的信息安全方针文件.信息安全规章制度文件.信息安全相关操作规范文件等文档是组织的工作标准，也是ISMS审核的依据B：组织内的业务系统日志文件。风险评估报告等文档是对上一级文件的执行和记录，对这些记录不需要保护和控制C:组织在每份文件的首页，加上文件修订跟踪表，以显示每一版本的版