CISSP认证考试(法律、法规、调查与合规)-试卷1

CISSP认证考试（法律、法规、调查与合规）-试卷1

(总分：62.00，做题时间：90分钟)

1.Cyberlaw categorizes computer-related crime into three categories. Which of the following is an example of a crime in which the use of a computer would be categorized as incidental? （分数：

2.00）

A.Carrying out a buffer overflow to take control of a system

B.The electronic distribution of child pornography √

C.Attacking financial systems to steal funds

D.Capturing passwords as they are sent to the authentication server

解析：解析：B正确。美国已经制定了法律来打击3种类型的犯罪：计算机辅助犯罪、针对计算机的犯罪和附带计算机犯罪。如果某种犯罪属于“附带计算机犯罪”的范畴，这意味着计算机仅以一种次要的方式参与进来，但它的参与微不足道。儿童色情物品的数字发行便是一种“附带计算机犯罪”的例子。真正的犯罪是获取和共享儿童色情图片或图形。这些图片既可以存储在一个文件服务器上，也可以存放在某人桌子上的物理文件中。所以，如果某种犯罪属于这种犯罪类型，并非是一个计算机攻击另外一个计算机。虽然计算机未遭受攻击，但是它却以某种方式被人使用。因此，计算机成为与犯罪有关的额外的证据来源。A 不正确。因为利用缓冲区溢出达到控制系统的目的便是一种针对计算机的犯罪。针对计算机的犯罪是指专门针对计算机(和它的主人)的攻击。其他针对计算机犯罪的例子还有：分布式拒绝服务攻击(distributed denial-of-service attack)、安装旨在造成瘫痪的恶意软件、安装具有恶意目的的rootkits和嗅探器。C 不正确。因为攻击金融系统以偷取资金是一种计算机辅助犯罪。计算机辅助犯罪是指将计算机作为开展犯罪活动的工具。计算机辅助犯罪的例子还有：通过攻击军事系统获取军事情报资料和通过攻击重要的国家基础设施系统从事信息战活动。 D不正确。因为在密码被发送到验证服务器时截获它们是一个针对计算机犯罪的例子。“计算机辅助犯罪”和“针对计算机的犯罪”这两个类别通常容易被混淆，因为从直觉上来看，任何攻击都属于这两类。而区分它们的一种方法就是：针对计算机的犯罪没有计算机就不可能实现，而计算机辅助犯罪在没有计算机的情况下仍然可行。因此，针对计算机的犯罪在计算机普及使用之前不存在(也不可能存在)。换句话说，在过去的好时光里，你不能对你的邻居进行缓冲区溢出攻击，也不能在你敌人的系统上安装恶意软件。这些犯罪都需要用到计算机。

2.Which organization has been developed to deal with economic, social, and governance issues, and with how sensitive data is transported over borders?

（分数：2.00）

A.European Union

B.Council of Europe

C.Safe Harbor

anisation for Economic Co-operation and Development √

解析：解析：D正确。跨国家边境传输数据的国际组织必须了解和遵循经济合作与发展组织(Organisation for Economic Co-operation and Development，OECD)准则。因为关于私人数据的定义以及如何保护私人数据，大多数国家都有不同的法律条款，因此，国际贸易变得更加错综复杂并给国家经济带米了负面影响。OECD是一个国际化组织，它旨在帮助不同国家和政府共同应对全球化经济所面临的经济、社会和管理挑战。正因为如此，OECD提出了不同国家应该遵循行为指南，从而确保数据得到保护，以及各国都遵循相同的一套规则。这套规则之一便是主体应该能够找出一个组织是否拥有它们自己的私人信息，如果有的话，这信息是什么，从而纠正错误数据并对要求这样做的否定请求提出质疑。A不正确。因为欧盟(European Union)不是一个处理经济、社会和治理问题的组织，而是一个处理敏感数据保护问题的组织。欧盟的隐私原则是：必须在收集数据时具体说明收集原因：数据不能用作其他目的：不应该收集不必要的数据；数据应该只保留到完成既定任务为止：只有需要完成既定任务的人才应该拥有数据的访问权：任何负责安全地存储数据的人都不应该允许数据的无意“泄露”。 B不正确。因为欧洲理事会(Council of Europe)负责创建网络犯罪公约(Conventionfor Cybercrime)。欧洲理事会的网络犯罪公约试图创建一个应对网络犯罪的国际标准。实际上，它是第一个试图通过协调国家法律、提高侦查技术和国际合作寻求处理计算机犯罪的国际化条约。这个公约的目标包括为被告的管辖权和引渡创建一个框架。例如，只有当事故在两个司法管辖区都

是犯罪行为时，条约中的引渡条款才可生效。 C不正确。因为安全港(Safe Harbor)不是一个组织，而是对希望与欧洲各实体交换数据的组织的一系列要求。一直以来，欧洲在保护隐私数据方面的控制都要比美国和世界其他地区更加严格。所以，过去当美国和欧洲公司需要交换数据时就会出现混乱，业务也会中断，因为律师不得不介入以找出如何在不同的法律框架内工作的方法。为了收拾这一残局，一个叫做“安全港”框架应运而生，它描述了任何计划从欧洲转移隐私数据或者向欧洲转移隐私数据的实体都应如何保护这些数据。与欧洲实体打交道的美国公司可以以这个规则为基础获得合格证书，从而使得数据传输能够更快、更容易地进行。

3.Different countries have different legal systems. Which of the following correctly describes customary law?

（分数：2.00）

A.Not many countries work under this law purely; most instead use a mixed system where this law, which deals mainly with personal conduct and patterns of behavior, is an integrated component. √

B.It covers all aspects of human life, but is commonly divided into responsibilities and obligations to others, and religious duties.

C.It is a rule-based law focused on codified law.

D.Based on previous interpretations of laws, this system reflects the community's morals and expectations.

解析：解析：A正确。习惯法(Customary Law)是一个与个人行为习惯和行为模式有关的法律。它基于一个地区的传统和习俗而制定。它是随着社区的出现以及人与人的合作成为必要而产生的。不是所有的国家都纯粹依照习惯法体系行事；相反，绝大多数国家使用的是集成了习惯法的混合体系(被编撰成法典的民法系统来源于习惯法)。习惯法通常用于世界上拥有混合法律体系的地区，比如中国和印度。习惯法体系常使用罚款或者提供服务等赔偿方式。 B不正确。因为此选项描述的是宗教法律体系。习惯法是与个人的行为习惯和行为模式有关的法律，而宗教法律体系则通常分为对他人承担的责任和义务，以及宗教职责。宗教法律体系是基于一个地区的宗教信仰。例如，在伊斯兰教国家，法律是根据古兰经的规则而制定的。然而，每个伊斯兰教国家的法律也不尽相同。 C不正确。因为民法(civil law)是以规则为基础，多数情况下以成文法(即被写下来的法律)为中心。民法是世界上使用最广泛的法律体系，也是欧洲最常用的法律体系。它是各州或各国建立的进行自我规范的法律。因此，民法还可以细分为若干小类，比如法国民法、德国民法等。 D不正确。因为普通法(common law)是基于以前法律的解释。在过去，法官会走遍全国执行法律和解决争端。他们没有书面的法律集，所以他们根据自己的法律习惯和先例来判案。这个体系反映了社会的道德和期望。

4.Widgets Inc. wishes to protect its logo from unauthorized use. Which of the following will protect the logo and ensure that others cannot copy and use it?

（分数：2.00）

A.Patent

B.Copyright

C.Trademark √

D.Trade secret law

解析：解析：C正确。知识产权(intellectual property)受几种不同法律的保护，到底受哪种法律的保护取决于知识产权的资源类型。商标法用于保护单词、名称、标志、声音、形状、颜色或它们的组合——例如Logo。公司之所以把这些或这些的组合注册成商标是因为在人们和世界面前，它代表着这个公司(品牌标识)。公司的营销部门努力创新的目的是希望该公司引起人们的关注，并在众多竞争者中脱颖而出。把这种努力的结果在政府部门注册成商标是正确保护它，确保其他人不会复制和使用它的一个方法。A不正确。因为专利权(patent)保护发明，而商标权保护单词、名称、标注、声音、形状、颜色或它们的组合。专利被授予个人或公司，以承认其合法所有权，使他们能够防止别人使用或者复制受专利保护的发明。专利涵盖了发明。发明必须新颖、实用而不显而易见。专利权是对知识产权最有力的保护形式。 B不正确。因为在美国，版权(copyright)法保护作者对公开发行、复制、展示和对原著改编的控制权利。这个法律涵盖了多个作品类别：图案、图形、音乐、戏剧、文学、电影、雕塑、录音和建筑。版权法并不涵盖特定资源。它保护的是对资源的想法的表现，而不是资源本身。版权法通常用于保护作家的作品、艺术家的绘画、程