发布时间 : 星期一 文章CISP官方信息安全管理章节练习二更新完毕开始阅读
c、除了明确规定需要长期保密的,其他的国家秘密都是有保密期限的 d、国家秘密只限一定范围的人知悉 最佳答案是:b
61. 在可信计算机系统评估准则(TCSEC)中,下列哪一项是满足强制保护要求的最低级别? a、C2 b、C1 c、B2 d、B1 最佳答案是:d
62. 最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个? a、软件在Linux下按照时,设定运行时使用nobody用户运行实例
b、软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账号连接数据库
c、软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账号连接数据库,该账号仅对日志表拥有权限
d、为了保证软件在Windows下能稳定的运行,设定运行权限为system,确保系统运行正常,不会因为权限不足产生运行错误 最佳答案是:d
63. 某单位计划在今年开发一套办公自动化(OA)系统,将集团公司各地的机构通过互联网进行协同办公,在OA系统的设计方案评审会上,提出了不少安全开发的建议,作为安全专家,请指出大家提的建议中不太合适的一条?
a、对软件开发商提出安全相关要求,确保软件开发商对安全足够的重视,投入资源解决软件安全问题
b、要求软件开发人员进行安全开发培训,使开发人员掌握基本软件安全开发知识 c、要求软件开发商使用Java而不是ASP作为开发语言,避免产生SQL注入漏洞
d、要求软件开发商对软件进行模块化设计,各模块明确输入和输出数据格式,并在使用前对输入数据进行校验 最佳答案是:c
64. 某单位根据业务需要准备立项开发一个业务软件,对于软件开发安全投入经费研讨时开发部门和信息中心就发生了分歧,开发部门认为开发阶段无需投入,软件开发完成后发现问题后再针对性的解决,比前期安全投入要成本更低;信息中心则认为应在软件安全开发阶段投入,后期解决代价太大,双方争执不下,作为信息安全专家,请选择对软件开发安全投入的准确说法?
a、信息中心的考虑是正确的,在软件立项投入解决软件安全问题,总体经费投入比软件运行后的费用要低
b、软件开发部门的说法是正确的,因为软件发现问题后更清楚问题所在,安排人员进行代码修订更简单,因此费用更低
c、双方的说法都正确,需要根据具体情况分析是开发阶段投入解决问题还是在上线后再解决问题费用更低
d、双方的说法都错误,软件安全问题在任何时候投入解决都可以,只要是一样的问题,解决的代价相同 最佳答案是:a
65. 某集团公司根据业务需要,在各地分支机构部署前置机,为了保证安全,集团总部要求前置机开放日志共享,由总部服务器采集进行集中分析,在运行过程中发现攻击者也可通过共享从前置机中提取日志,从而导致部分敏感信息泄露,根据降低攻击面的原则,应采取以下哪项处理措施?
a、由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取日志进行分析
b、为配合总部的安全策略,会带来一定的安全问题,但不影响系统使用,因此接受此风险 c、日志的存在就是安全风险,最好的办法就是取消日志,通过设置让前置机不记录日志 d、只允许特定的IP地址从前置机提取日志,对日志共享设置访问密码且限定访问的时间 最佳答案是:d
66. 有关项目管理,错误的理解是:
a、项目管理是一门关于项目资金.时间.人力等资源控制的管理科学
b、项目管理是运用系统的观点.方法和理论,对项目涉及的全部工作进行有效地管理,不受项目资源的约束
c、项目管理包括对项目范围.时间.成本.质量.人力资源.沟通.风险.采购.集成的管理 d、项目管理是系统工程思想针对具体项目的实践应用 最佳答案是:b
67. 在戴明环(PDCA)模型中,处置(ACT)环节的信息安全管理活动是:
a、建立环境 b、实施风险处理计划 c、持续的监视与评审风险 d、持续改进信息安全管理过程 最佳答案是:d
68. 以下哪一项不属于常见的风险评估与管理工具: a、基于信息安全标准的风险评估与管理工具 b、基于知识的风险评估与管理工具 c、基于模型的风险评估与管理工具 d、基于经验的风险评估与管理工具 最佳答案是:d
69. IS审计师发现被审计的企业,各部门均制订了充分的业务连续性计划(BCP),但是没有整个企业的BCP。那么,IS审计师应该采取的最佳行动是: a、各业务部门都有适当的BCP就够了,无需其他 b、建议增加、制订全企业的、综合的BCP c、确定各部门的BCP是否一致,没有冲突
d、建议合并所有BCP为一个单独的全企业的BCP 最佳答案是:c
70. 国家科学技术秘密的密级分为绝密级、机密级、秘密级,以下哪项属于绝密级的描述? a、处于国际先进水平,并且有军事用途或者对经济建设具有重要影响的 b、能够局部反应国家防御和治安实力的
c、我国独有、不受自然条件因素制约、能体现民族特色的精华,并且社会效益或者经济效益显著的传统工艺
d、国际领先,并且对国防建设或者经济建设具有特别重大影响的 最佳答案是:d
71. 关于我国加强信息安全保障工作的总体要求,以下说法错误的是: a、坚持积极防御.综合防范的方针
b、重点保障基础信息网络和重要信息系统安全 c、创建安全健康的网络环境 d、提高个人隐私保护意识 最佳答案是:d
72. 某单位信息安全岗位员工,利用个人业余时间,在社交网络平台上向业内同不定期发布信息安全相关知识和前沿动态资讯,这一行为主要符合以下哪一条注册信息安全专业人员
(CISP)职业道德准则:
a、避免任何损害CISP声誉形象的行为
b、自觉维护公众信息安全,拒绝并抵制通过计算机网络系统泄露个人隐私的行为 c、帮助和指导信息安全同行提升信息安全保障知识和能力 d、不在公众网络传播反动.暴力.黄色.低俗信息及非法软件 最佳答案是:c
73. 某银行信息系统为了满足业务发展的需要准备进行升级改造,以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素?
a、信息系统安全必须遵循的相关法律法规,国家以及金融行业安全标准 b、信息系统所承载该银行业务正常运行的安全需求 c、消除或降低该银行信息系统面临的所有安全风险 d、该银行整体安全策略 最佳答案是:c
74. 小张在某单位是负责事信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候,小张主要负责讲解风险评估工作形式,小张认为:1.风险评估工作形式包括:自评估和检查评估;2.自评估是指信息系统拥有.运营或使用单位发起的对本单位信息系统进行风险评估;3.检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估;4.对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个,非此即彼,请问小张的所述论点中错误的是哪项: a、第一个观点 b、第二个观点 c、第三个观点 d、第四个观点 最佳答案是:d
75. 小李在某单位是负责信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训,一次培训的时候,小李主要负责讲解风险评估方法。请问小李的所述论点中错误的是哪项:
a、风险评估方法包括:定性风险分析.定量风险分析以及半定量风险分析
b、定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例,因此具有随意性 c、定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值,因此更具客观性 d、半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值方式,实现对风险各要素的度量数值化 最佳答案是:b
76. 风险评估工具的使用在一定程度上解决了手动评估的局限性,最主要的是它能够将专家知识进行集中,使专家的经验知识被广泛使用,根据在风险评估过程中的主要任务和作用原理,风险评估工具可以为以下几类,其中错误的是:
a、风险评估与管理工具 b、系统基础平台风险评估工具 c、风险评估辅助工具 d、环境风险评估工具 最佳答案是:d
77. 为了解风险和控制风险,应当及时进行风险评估活动,我国有关文件指出:风险评估的工作形式可分为自评估和检查评估两种,关于自评估,下面选项中描述错误的是( )。 a、自评估是由信息系统拥有.运营或使用单位发起的对本单位信息系统进行的风险评估 b、自评估应参照相应标准.依据制定的评估方案和评估准则,结合系统特定的安全要求实施
c、自评估应当是由发起单位自行组织力量完成,而不应委托社会风险评估服务机构来实施 d、周期性的自评估可以在评估流程上适当简化,如重点针对上次评估后系统变化部分进行
最佳答案是:c
78. 如果已决定买进软件而不是内部自行开发,那么这一决定通常发生于:
a、项目需求定义阶段 b、项目可行性研究阶段 c、项目详细设计阶段 d、项目编程阶段 最佳答案是:b
79. 某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后,认识到信息安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导,其中描述错误的是( )。
a、检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估
b、检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测
c、检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施 d、检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点 最佳答案是:b
80. 小王在学习定量风险评估方法后,决定试着为单位机房计算火灾的风险大小,假设单位机房的总价值为200万元人民币,暴露系数(ExposureFactor,EF)是25%,年度发生率(Annualized Rate ofOccurrence,ARO)为0.1,那么小王计算的年度预期损失(Annualized Loss Expectancy,ALE)应该是()。
a、5万元人民币 b、50万元人民币 c、2.5万元人民币 d、25万元人民币 最佳答案是:a
81. 规范的实施流程和文档管理,是信息安全风险评估结能否取得成果的重要基础,某单位在实施风险评估时,形成了《风险评估方案》并得到了管理决策层的认可,在风险评估实施的各个阶段中,该《风险评估方案》应是如下( )中的输出结果。
a、风险评估准备阶段 b、风险要素识别阶段 c、风险分析阶段 d、风险结果判定阶段 最佳答案是:a
82. 规范的实施流程和文档管理,是信息安全风险评估能否取得成功的重要基础。某单位在实施风险评估时,形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中,该《待评估信息系统相关设备及资产清单》应是如下( )中的输出结果。 a、风险评估准备 b、风险要素识别 c、风险分析 d、风险结果判定 最佳答案是:a
83. 某单位在实施信息安全风险评估后,形成了若干文挡,下面( )中的文挡不应属于风险评估中“风险评估准备”阶段输出的文档。 a、《风险评估工作计划》,主要包括本次风险评估的目的.意义.范围.目标.组织结构.角色及职责.经费预算和进度安排等内容 b、《风险评估方法和工具列表》。主要包括拟用的风险评估方法和测试评估工具等内容 c、《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容 d、《风险评估准则要求》,主要包括风险评估参考标准.采用的风险分析方法.风险计算方法.资产分类标准.资产分类准则等内容 最佳答案是:c
84. 文档体系建设是信息安全管理体系(ISMS)建设的直接体现,下列说法不正确的是: a、组织内的信息安全方针文件.信息安全规章制度文件.信息安全相关操作规范文件等文档是组织的工作标准,也是ISMS审核的依据