发布时间 : 星期一 文章CISP官方信息安全管理章节练习二更新完毕开始阅读
b、组织内的业务系统日志文件.风险评估报告等文档是对上一级文件的执行和记录,对这些记录不需要保护和控制
c、组织在每份文件的首页,加上文件修订跟踪表,以显示每一版本的版本号.发布日期.编写人.审批人.主要修订等内容
d、层次化的文档是ISMS建设的直接体现,文档体系应当依据风险评估的结果建立 最佳答案是:b
85. 北京某公司利用SSE-CMM对其自身工程队伍能力进行自我改善,其理解正确的是: a、系统安全工程能力成熟度模型(SSE-CMM)定义了6个能力级别,当工程队伍不能执行一个过程域中的基本实践时,该过程域的过程能力是0级。 b、达到SSE-CMM最高级以后,工程队伍执行同一个过程,每次执行的结果质量必须相同。 c、系统安全工程能力成熟度模型(SSE-CMM)定义了3个风险过程:评价威胁,评价脆弱性,评价影响。
d、SSE-CMM强调系统安全工程与其他工程学科的区别性和独立性。 最佳答案是:a
86. 对信息安全事件的分级参考下列三个要素:信息系统的重要程度.系统损失和社会影响。依据信息系统的重要程度对系统进行划分,不属于正确划分级别的是:
a、特别重要信息系统 b、重要信息系统 c、一般信息系统 d、关键信息系统 最佳答案是:d
87. 企业资源规划中的总帐设置功能允许设定会计期间。对此功能的访问被授予财务、仓库和订单录入部门的用户。这种广泛的访问最有可能是因为: a、经常性地修改会计期间的需要 b、需要向关闭的会计期间过入分录 c、缺乏适当的职责分工政策和步骤 d、需要创建和修改科目表及其分配 最佳答案是:c
88. 有关能力成熟度模型(CMM)错误的理解是
a、CMM的基本思想是,因为问题是由技术落后引起的,所以新技术的运用会在一定程度上提高质量、生产率和利润率
b、CMM的思想来源于项目管理和质量管理
c、CMM是一种衡量工程实施能力的方法,是一种面向工程过程的方法
d、CMM是建立在统计过程控制理论基础上的,它基于这样一个假设,即“生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品” 最佳答案是:a
89. 信息安全管理体系(Information Securlty Management System,ISMS)的内部审核和管理审核是两项重要的管理活动,关于这两者,下面描述错误的是:
a、内部审核和管理评审都很重要,都是促进ISMS持续改进的重要动力,也都应当按照一定的周期实施 b、内部审核的实施方式多采用文件审核和现场审核的形式,而管理评审的实施方式多采用召开管理评审会议的形式进行
c、内部审核的实施主体由组织内部的ISMS内审小组,而管理评审的实施主体是由国家政策指定的第三方技术服务机构 d、组织的信息安全方针,信息目标和有关ISMS文件等,在内部审核中作为审核准则使用,但在管理评审中,这些文件是被审对象 最佳答案是:c
90.
信息安全管理体系(Information Securlty Management System,ISMS)的实施和运行ISMS阶段,是ISMS过程模型的实施阶段,下面给出了一些备选的活动,选项()描述了在此阶段组织应进行的活动。
①制定风险处理计划②实施风险处理计划③开发有效性测量程序④实施培训和意识教育计划⑤管理ISMS的运行⑥管理ISMS的资源⑦执行检测事态和响应事件的程序⑧实施内部审核⑨实施风险再评估
a、①②③④⑤⑥ b、①②③④⑤⑥⑦ c、①②③④⑤⑥⑦⑧ d、①②③④⑤⑥⑦⑧⑨ 最佳答案是:b
91. 在实施信息安全风险评估时,需要对资产的价值进行识别、分类和赋值,关于资产价值的评估,以下选项中正确的是()
a、资产的价值指采购费用 b、资产的价值指维护费用 c、资产的价值与其重要性密切相关
d、资产的价值无法估计 最佳答案是:c
92. 某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,正确的是()
a、软件安全开发生命周期较长,而其中最重要的是要在软件的编码阶段做好安全措施,就可以解决90%以上的安全问题。 b、应当尽早在软件开发的需求和设计阶段增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少得多。
c、和传统的软件开发阶段相比,微软提出的安全开发生命周期(Security Development Lifecycle,SDL)的最大特点是增加了一个专门的安全编码阶段。
d、软件的安全测试也很重要,考试到程序员的专业性,如果该开发人员已经对软件进行了安全性测试,就没有必要再组织第三方进行安全性测试。 最佳答案是:b
93. 规范的实施流程和文档管理,是信息安全风险评估能否取得成果的重要基础,某单位在实施风险评估时,按照规范形成了若干文档,其中,下面()中的文档应属于风险评估中“风险要素识别”阶段输出的文档。 a、《风险评估方案》,主要包括本次风险评估的目的、范围、目标、评估步骤、经费预算和进度安排等内容 b、《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容 c、《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、资产分类标准等内容 d、《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容 最佳答案是:d
94. 不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况选择适当的风险评估方法。下面的描述中错误的是()。
a、定量风险分析试图从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和缺失量 b、定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析
c、定性风险分析过程中,往往需要凭借分析者的经验和直接进行,所以分析结果和风险评
估团队的素质.经验和知识技能密切相关
d、定性风险分析更具主观性,而定量风险分析更具客观性 最佳答案是:b
95. 在信息安全管理体系的实施过程中,管理者的作用对于信息安全管理体系能否成功实施非常重要,但是以下选项中不属于管理者应有职责的是()。
a、制定并颁布信息安全方针,为组织的信息安全管理体系建设指明方向并提供总体纲领,明确总体要求
b、确保组织的信息安全管理体系目标和相应的计划得以制定,目标应明确、可度量、计划应具体、可实施
c、向组织传达满足信息安全的重要指示,传达满足信息安全要求.达成信息安全目标.符合信息安全方针、履行法律责任和持续改进的重要性
d、建立健全信息安全制度,明确信息安全风险管理作用,实施信息安全风险评估过程,确保信息安全风险评估技术选择合理、计算正确 最佳答案是:d
96. 在某个信息系统实施案例中,A单位(甲方)允许B公司(乙方)在甲方的测试天南地北中开发和部署业务系统,同时为防范风险,A单位在和B公司签订合同中,制定有关条款,明确了如果由于B公司操作原因引起的设备损坏,则B公司需按价赔偿。可以看出,该赔偿条款应用了风险管理中()的风险处置措施。
a、降低风险 b、规避风险 c、转移风险 d、拒绝风险 最佳答案是:c
97. 信息安全测评是指依据相关标准,从安全功能等角度对信息技术产品、信息系统、服务提供商以及人员进行测试和评估,以下关于信息安全测评说法不正确的是: a、信息产品安全评估是测评机构对产品的安全性做出的独立评价,增强用户对己评估产品安全的信任 b、目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两种类型
c、信息安全工程能力评估是对信息安全服务提供者的资格状况、技术实力和实施服务过程质量保证能力的具体衡量和评价。 d、信息系统风险评估是系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件可能造成的危害程度,提出有针对性的安全防护策略和整改措施 最佳答案是:b
98. 关于风险要素识别阶段工作内容叙述错误的是:
a、资产识别是指对需要保护的资产和系统等进行识别和分类
b、威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性
c、脆弱性识别以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估
d、确认已有的安全措施仅属于技术层面的工作,牵涉到具体方面包括:物理平台、系统平台、网络平台和应用平台 最佳答案是:d
99. 信息安全管理体系(information Securlty Management System. 简称ISMS)要求建立过程体系,该过程体系是在如下()基础上构建的。
a、IATF(Information Assurance Technical Framework) b、P2DR(Policy,Protection,Detection,Response)
c、PDCERF(Preparation,Detection,Containment,Eradication,Recovery,Follow-up)
d、PDCA(Plan,Do,Check,Act) 最佳答案是:d
100. 在风险管理中,残余风险是指在实施了新的或增强的安全措施后还剩下的风险,关于残余风险,下面描述错误的是()
a、风险处理措施确定以后,应编制详细的残余风险清单,并获得管理层对残余风险的书面批准,这也是风险管理中的一个重要过程
b、管理层确认接受残余风险,是对风险评估工作的一种肯定,表示管理层已经全面了解了组织所面临的风险,并理解在风险一旦变为,组织能够且必须承担引发的后果
c、接受残余风险,则表明没有必要防范和加固所有的安全漏洞,也没有必要无限制地提高安全保护措施的强度,对安全保护措施的选择要考虑到成本和技术等因素的限制
d、如果残余风险没有降低到可接受的级别,则只能被动地选择接受风险,即对风险不采取进一步的处理措施,接受风险可能带来的结果 最佳答案是:d
101. 小王在学习定量风险评估方法后,决定试着为单位机房计算火灾的风险大小,假设单位机房的总价值为400万元人民币,暴露系数(ExposureFactor,EF)是25%,年度发生率(Annualized Rate of Occurrence,ARO)为0.2,那么小王计算的年度预期损失(Annuallzed Loss Expectanoy,ALE)应该是()。
a、100万元人民币 b、400万元人民币 c、20万元人民币 d、180万元人民币
最佳答案是:c