CISP官方信息安全管理章节练习一

CISP信息安全管理章节练习一

一、单选题。(共100题,共100分,每题1分)

1. 小李去参加单位组织的信息安全培训后，他把自己对信息安全管理体系（Information Security Management System, ISMS）的理解画了以下一张图，但是他还存在一个空白处未填写，请帮他选择一个最合适的选项（）。

a、监控和反馈ISMS

b、批准和监督ISMS

c、监视和评审ISMS

d、沟通和资询ISMS

最佳答案是:c

2. 在对安全控制进行分析时，下面哪个描述是不准确的？

a、对每一项安全控制都应该进行成本收益分析，以确定哪一项安全控制是必须的和有效的

b、应确保选择对业务效率影响最小的安全措施

c、选择好实施安全控制的时机和位置，提高安全控制的有效性

d、仔细评价引入的安全控制对正常业务带来的影响，采取适当措施，尽可能减少负面效应最佳答案是:b

3. 以下哪一项不是信息安全管理工作必须遵循的原则？

a、风险管理在系统开发之初就应该予以充分考虑，并要贯穿于整个系统开发过程之中

b、风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作

c、由于在系统投入使用后部署和应用风险控制措施针对性会更强，实施成本会相对较低

d、在系统正式运行后，应注重残余风险的管理，以提高快速反应能力

最佳答案是:c

4. 对信息安全风险评估要素理解正确的是：

a、资产识别的粒度随着评估范围、评估目的的不同而不同，既可以是硬件设备，也可以是业务系统，也可以是组织机构

b、应针对构成信息系统的每个资产做风险评价

c、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项

d、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁

最佳答案是:a

5. 以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容：

a、出入的原因

b、出入的时间

c、出入口的位置

d、是否成功进入

最佳答案是:a

6. 信息安全策略是管理层对信息安全工作意图和方向的正式表述，以下哪一项不是信息安全策略文档中必须包含的内容：

a、说明信息安全对组织的重要程度

b、介绍需要符合的法律法规要求

c、信息安全技术产品的选型范围

d、信息安全管理责任的定义

最佳答案是:c

7. 作为信息中心的主任，你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任，这种情况造成了一定的安全风险，这时你应当怎么做？

a、抱怨且无能为力

b、向上级报告该情况，等待增派人手

c、通过部署审计措施和定期审查来降低风险

d、由于增加人力会造成新的人力成本，所以接受该风险

最佳答案是:c

8. 通过评估应用开发项目，而不是评估能力成熟度模型（CMM），IS审计师应该能够验证：

a、可靠的产品是有保证的

b、程序员的效率得到了提高

c、安全需求得到了规划、设计

d、预期的软件程序（或流程）得到了遵循

最佳答案是:d

9. 某公司正在对一台关键业务服务器进行风险评估：该服务器价值138000元，针对某个特定威胁的暴露因子（EF）是45%，该威胁的年度发生率（ARO）为每10年发生1次。根据以上信息，该服务器的年度预期损失值（ALE）是多少？

a、1800元

b、62100元

c、140000元

d、6210元

最佳答案是:d

10. 下列哪些内容应包含在信息系统战略计划中？

a、已规划的硬件采购的规范

b、将来业务目标的分析

c、开发项目的目标日期

d、信息系统不同的年度预算目标

最佳答案是:b

11. ISO27002中描述的11个信息安全管理的控制领域不包括：

a、信息安全组织

b、资产管理

c、内容安全

d、人力资源安全

最佳答案是:c

12. SSE-CMM将工程过程区域分为三类，即风险过程、工程过程、和保证过程，下面对于保证过程的说法错误的是：

a、保证是指安全需求得到满足的可信任程度

b、信任程度来自于对安全工程过程结果质量的判断

c、自验证与证实安全的主要手段包括观察、论证、分析和测试

d、PA“建立保证论据”为PA“验证与证实安全”提供了证据支持

最佳答案是:d

13. 根据SSE-CMM信息安全工程过程可以划分为三个阶段，其中_______确立安全解决方案的置信度并且把这样的置信度传递给顾客。

a、保证过程

b、风险过程

c、工程和保证过程

d、安全工程过程

最佳答案是:a

14. SSE-CMM工程过程区域中的风险过程包含哪些过程区域：

a、评估威胁、评估脆弱性、评估影响

b、评估威胁、评估脆弱性、评估安全风险

c、评估威胁、评估脆弱性、评估影响、评估安全风险

d、评估威胁、评估脆弱性、评估影响、验证和证实安全

最佳答案是:c

15. 一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进行规范的定义？

a、2级——计划和跟踪

b、3级——充分定义

c、4级——量化控制

d、5级——持续改进

最佳答案是:b

16. 信息系统安全工程（ISSE）的一个重要目标就是在IT项目的各个阶段充分考虑安全因素，在IT项目的立项阶段，以下哪一项不是必须进行的工作：

a、明确业务对信息安全的要求

b、识别来自法律法规的安全要求

c、论证安全要求是否正确完整

d、通过测试证明系统的功能和性能可以满足安全要求

最佳答案是:d

17. 信息化建设和信息安全建设的关系应该是：

a、信息化建设的结果就是信息安全建设的开始

b、信息化建设和信息安全建设应同步规划、同步实施

c、信息化建设和信息安全建设是交替进行的，无法区分谁先谁后

d、以上说法都正确

最佳答案是:b

18. 下面有关我国信息安全管理体制的说法错误的是？

a、目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面

b、我国的信息安全保障工作综合利用法律、管理和技术的手段

c、我国的信息安全管理应坚持及时检测、快速响应、综合治理的方针

d、我国对于信息安全责任的原则是谁主管、谁负责；谁经营、谁负责

最佳答案是:c

19. 一个信息系统审计师正在为一个医疗机构的两种应用环境-生产和测试进行检查。在一次访谈中，该审计师注意到生产数据被用于测试环境以测试程序改变什么是这种情况下最显著的潜在风险？

a、测试环境可能没有充分的访问控制来确保数据机密性

b、测试环境可能由于使用生产数据而产生不精确的结果

c、测试环境的硬件可能与生产环境的不同

d、测试环境可能没有充足的控制以确保数据精确性

最佳答案是:a

20. 风险评估方法的选定在PDCA循环中的哪个阶段完成？

a、实施和运行

b、保持和改进

c、建立

d、监视和评审

最佳答案是:c

21. 在风险管理准备阶段“建立背景”（对象确立）过程中不应该做的是：

a、分析系统的体系结构

b、分析系统的安全环境

c、制定风险管理计划

d、调查系统的技术特性

最佳答案是:c

22. 下面有关能力成熟度模型的说法错误的是:

a、能力成熟度模型可以分为过程能力方案（Continuous）和组织能力方案（Staged）两类

b、使用过程能力方案时，可以灵活选择评估和改进哪个或哪些过程域