发布时间 : 星期二 文章CISP官方信息安全管理章节练习二更新完毕开始阅读
36. 关于信息安全管理,说法错误的是:
a、信息安全管理是管理者为实现信息安全目标(信息资产的CIA等特性,以及业务运作的持续)而进行的计划、组织、指挥和控制的一系列活动。
b、信息安全管理是一个多层面.多因素的过程,依赖于建立信息安全组织、明确信息安全角色及职责、制订信息安全方针策略标准规范、建立有效的监督审计机制等多方面的非技术性的努力。
c、实现信息安全,技术和产品是基础,管理是关键。
d、信息安全是人员、技术、操作三者紧密合作的系统工程,是一个静态过程。 最佳答案是:d
37. 以下哪项不是信息系统安全工程中发掘信息保护需求的任务? a、确定信息安全法律和法规的要求
b、判断信息对机构任务的关系和重要性
c、建设系统的愿景描述 d、确定威胁的类别.判断影响 最佳答案是:c
38. 信息安全等级保护分级要求,第一级适用正确的是: a、适用于涉及国家安全.社会秩序.经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全.社会秩序.经济建设和公共利益造成较大损害
b、适用于一定程度上涉及国家安全.社会秩序.经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全.社会秩序.经济建设和公共利益造成一定损害
c、适用于一般的信息和信息系统,其受到破坏后,会对公民.法人和其他组织的权益有一定影响,但不危害国家安全.社会秩序.经济建设和公共利益
d、适用于涉及国家安全.社会秩序.经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全.社会秩序.经济建设和公共利益造成特别严重损害 最佳答案是:c
39. 信息系统保护轮廓(ISPP)中TOE描述应遵循的顺序为_______。 a、信息系统概述——使命描述——信息系统详细描述 b、信息系统描述——信息系统环境描述——使命描述 c、使命描述——信息系统概述——信息系统详细描述
d、使命描述——现有安全技术措施描述——现有安全管理措施描述 最佳答案是:c
40. 某公司开发了一个游戏网站,但是由于网站软件存在问题,结果在软件上线后被黑客攻击,其数据库中的网游用户真实身份数据被黑客看到。关于此案例,下面描述正确的是() a、该网站软件出现了保密性方面安全问题 b、该网站软件出现了完整性方面安全问题 c、该网站软件出现了可用性方面安全问题
d、该网站软件出现了不可否认性方面安全问题 最佳答案是:a
41. 美国的关键信息基础设施(critical Information Infrastructure,CII)包括商用设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基础设施信息安全,其主要原因不包括: a、这些行业都关系到国计民生,对经济运行和国家安全影响深远 b、这些行业都是信息化应用广泛的领域
c、这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行业更突出
d、这些行业发生信息安全事件,会造成广泛而严重的损失 最佳答案是:c
42. 小王是某大学计算科学与技术专业的毕业生,大四上学期开始找工作,期望谋求一份技术管理的职位,一次面试中,某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立”的基本概念与认识,小王的主要观点包括:(1)背景建立的目的是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,完成信息安全风验管理项目的规划和准备;(2)背景建立根据组织机构相关的行业经验执行,雄厚的经验有助于达到事半功倍的效果;(3)背景建立包括:风险管理准备.信息系统调查.信息系统分析和信息安全分析;(4)背景建立的阶段性成果包括:风险管理计划书,信息系统的描述报告,信息系统的分析报告,信息系统的安全要求报告。请问小王的所述论点中错误的是哪项:
a、第一个观点,背景建立的目的只是为了明确信息安全风险管理的范围和对象
b、第二个观点,背景建立的依据是国家.地区域行业的相关政策、法律、法规和标准 c、第三个观点,背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字 d、第四个观点,背景建立的阶段性成果中不包括有风险管理计划书 最佳答案是:b
43. 有关系统安全工程-能力成熟度模型(SSE-CMM)中的基本实施(Base Practices,BP),正确的理解是:
a、BP是基于最新技术而制定的安全参数基本配置 b、大部分BP是没有经过测试的
c、一项BP适用于组织的生存周期而非仅适用于工程的某一特定阶段 d、一项BP可以和其他BP有重叠 最佳答案是:c
44. 以下关于信息安全法治建设的意义,说法错误的是: a、信息安全法律环境是信息安全保障体系中的必要环节
b、明确违反信息安全的行为,并对该行为进行相应的处罚,以打击信息安全犯罪活动 c、信息安全主要是技术问题,技术漏洞是信息犯罪的根源
d、信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系 最佳答案是:c
45. 小张是信息安全风险管理方面的专家,被某单位邀请过去对其核心机房经受某种灾害的风险进行评估,已知:核心机房的总价价值一百万,灾害将导致资产总价值损失二成四(24%),历史数据统计告知该灾害发生的可能性为八年发生三次,请问小张最后得到的年度预期损失为多少:
a、24万 b、0.09万 c、37.5万 d、9万 最佳答案是:d
46. 假设网络中的一个设备发生故障,那么在下哪一种局域网结构更容易面临全面瘫痪? a、星型 b、总线 c、环型 d、全连接 最佳答案是:a
47. 有关危害国家秘密安全的行为的法律责任,正确的是:
a、严重违反保密规定行为只要发生,无论是否产生泄密实际后果,都要依法追究责任 b、非法获取国家秘密,不会构成刑事犯罪,不需承担刑事责任 c、过失泄露国家秘密,不会构成刑事犯罪,不需承担刑事责任 d、承担了刑事责任,无需再承担行政责任或其他处分 最佳答案是:a
48. 以下对于信息安全事件理解错误的是:
a、信息安全事件,是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件
b、对信息安全事件进行有效管理和响应,最小化事件所造成的损失和负面影响,是组织信息安全战略的一部分
c、应急响应是信息安全事件管理的重要内容
d、通过部署信息安全策略并配合部署防护措施,能够对信息及信息系统提供保护,杜绝信息安全事件的发生 最佳答案是:d
49. 制订基于风险的审计程序时,IS审计师最可能关注的是:
a、业务程序/流程 b、关键的IT应用 c、运营控制 d、业务战略 最佳答案是:a 50.
风险计算原理可以用下面的范式形式化地加以说明: 风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)) 以下关于上式各项说明错误的是:
a、R表示安全风险计算函数,A表示资产,T表示威胁,V表示脆弱性 b、L表示威胁利资产脆弱性导致安全事件的可能性 c、F表示安全事件发生后造成的损失
d、Ia,Va分别表示安全事件作用全部资产的价值与其对应资产的严重程度 最佳答案是:d
51. 为了不断完善一个组织的信息安全管理,应对组织的信息安全管理方法及实施情况进行独立评审,这种独立评审_______。 a、必须按固定的时间间隔来进行
b、应当由信息系统的运行维护人员发起
c、可以由内部审核部门或专业的第三方机构来实施
d、结束后,评审者应组织针对不符合安全策略的问题设计和实施纠正措施 最佳答案是:c
52. 关于信息安全事件管理和应急响应,以下说法错误的是: a、应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
b、应急响应方法,将应急响应管理过程分为遏制.根除.处置.恢复.报告和跟踪6个阶段 c、对信息安全事件的分级主要参考信息系统的重要程度.系统损失和社会影响三方面因素 d、根据信息安全事件的分级参考要素,可将信息安全事件划分为4个级别:特别重大事件(Ⅰ级).重大事件(Ⅱ级).较大事件(Ⅲ级)和一般事件(Ⅳ级) 最佳答案是:b
53. 以下关于灾难恢复和数据备份的理解,说法正确的是: a、增量备份是备份从上次完全备份后更新的全部数据文件
b、依据具备的灾难恢复资源程度的不同,灾难恢复能力分为7个等级 c、数据备份按数据类型划分可以划分为系统数据备份和用户数据备份 d、如果系统在一段时间内没有出现问题,就可以不用再进行容灾演练了 最佳答案是:c
54. 某公司拟建设面向内部员工的办公自动化系统和面向外部客户的营销系统,通过公开招标选择M公司为承建单位,并选择了H监理公司承担该项目的全程监理工作,目前,各个应用系统均已完成开发,M公司已经提交了验收申请,监理公司需要对A公司提交的软件
配置文件进行审查,在以下所提交的文档中,哪一项属于开发类文档:
a、项目计划书 b、质量控制计划 c、评审报告 d、需求说明书 最佳答案是:d
55. 某公司在执行灾难恢复测试时.信息安全专业人员注意到灾难恢复站点的服务器的运行速度缓慢,为了找到根本愿因,他应该首先检查: a、灾难恢复站点的错误事件报告
b、灾难恢复测试计划 c、灾难恢复计划(DRP) d、主站点和灾难恢复站点的配置文件
最佳答案是:a 56.
作为业务持续性计划的一部分,在进行业务影响分析(BIT)时的步骤是: 1.标识关键的业务过程
2.开发恢复优先级 3.标识关键的IT资源
4.表示中断影响和允许的中断时间
a、1-3-4-2 b、1-3-2-4 c、1-2-3-4 d、1-4-3-2 最佳答案是:b
57. 有关系统安全工程-能力成熟度模型(SSZ-CMM),错误的理解是:
a、SSE-CMM要求实施组织与其他组织相互作用,如开发方.产品供应商.集成商和咨询服务商等
b、SSE-CMM可以使安全工程成为一个确定的.成熟的和可度量的科目
c、基手SSE-CMM的工程是独立工程,与软件工程.硬件工程.通信工程等分别规划实施 d、SSE-CMM覆盖整个组织的活动,包括管理.组织和工程活动等,而不仅仅是系统安全的工程活动 最佳答案是:c
58. 有关危害国家秘密安全的行为,包括:
a、严重违反保密规定行为.定密不当行为.公共信息网络运营商及服务商不履行保密义务的行为.保密行政管理部门的工作人员的违法行为
b、严重违反保密规定行为.公共信息网络运营商及服务商不履行保密义务的行为.保密行政管理部门的工作人员的违法行为,但不包括定密不当行为
c、严重违反保密规定行为.定密不当行为.保密行政管理部门的工作人员的违法行为,但不包括公共信息网络运营商及服务商不履行保密义务的行为
d、严重违反保密规定行为.定密不当行为.公共信息网络运营商及服务商不履行保密义务的行为,但不包括保密行政管理部门的工作人员的违法行为 最佳答案是:a
59. 在契约性协议包含源代码第三方保存契约(escrow)的目的是: a、保证在供应商不存在时源代码仍然有效 b、允许定制软件以满足特定的业务需求 c、审核源代码以保证控制的充分性 d、保证供应商已遵从法律要求 最佳答案是:a
60. 有关国家秘密,错误的是:
a、国家秘密是关系国家安全和利益的事项 b、国家秘密的确定没有正式的法定程序