发布时间 : 星期日 文章CISP官方信息安全管理章节练习二更新完毕开始阅读
CISP信息安全管理章节练习二
一、单选题。(共101题,共100分,每题0.990099009901分) 1. 下哪项不是信息安全策略变更的原因?
a、每年至少一次管理评审 b、业务发生重大变更 c、管理机构发生变更 d、设备发生变更 最佳答案是:d
2. “通知相关人员ISMS的变更”是建立信息安全管理体系哪个阶段的活动? a、规划和建立 b、实施和运行 c、监视和评审 d、保持和改进 最佳答案是:d
3. 在信息安全管理体系中,带有高层目标的信息安全策略是被描述在
a、信息安全管理手册 b、信息安全管理制度 c、信息安全指南和手册 d、信息安全记录文档 最佳答案是:a
4. 信息安全应急响应计划的制定是一个周而复始的.持续改进的过程,以下哪个阶段不在其中?
a、应急响应需求分析和应急响应策略的制定
b、编制应急响应计划文档 c、应急响应计划的测试、培训、演练和维护 d、应急响应计划的废弃与存档 最佳答案是:d
5. 以下哪一个不是我国信息安全事件分级的分级要素?
a、信息系统的重要程度 b、系统损失 c、系统保密级别 d、社会影响 最佳答案是:c
6. 某制造类公司欲建自动化发票支付系统,要求该系统在复核和授权控制上花费相当少的时间,同时能识别出需要深入追究的错误,以下哪一项措施能最好地满足上述需求? a、建立一个与供应商相联的内部客户机用及服务器网络以提升效率 b、将其外包给一家专业的自动化支付和账务收发处理公司
c、与重要供应商建立采用标准格式的、计算机对计算机的电子业务文档和交易处理用EDI系统
d、重组现有流程并重新设计现有系统 最佳答案是:c
7. 某机构通过一张网络拓扑图为甲方编写了信息安全规划并实施,其后发现实施后出现诸多安全隐患并影响业务运行效率,其根本的原因是
a、设计方技术能力不够 b、没有参照国家相关要求建立规划设计 c、没有和用户共同确立安全需求 d、没有成熟实施团队和实施计划 最佳答案是:c
8. 信息安全风险评估是信息安全管理体系建立的基础,以下说法错误的是? a、信息安全管理体系的建立需要确定信息安全需求,而信息安全需求获取的主要手段就是信息安全风险评估 b、风险评估可以对信息资产进行鉴定和评估,然后对信息资产面对的各种威胁和脆弱性进行评估
c、风险评估可以确定需要实施的具体安全控制措施
d、风险评估的结果应进行相应的风险处置,本质上,风险处置的最佳集合就是信息安全管理体系的控制措施集合。
最佳答案是:c
9. 关于信息安全等级保护政策,下列说法错误的是?
a、非涉密计算机信息系统实行等级保护,涉密计算机信息系统实行分级保护 b、信息安全等级保护实行“自主定级,自主保护”的原则
c、信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督 d、对三级以上信息系统实行备案要求,由公安机关颁发本案证明 最佳答案是:d
10. 对每个字符和每一帧都传输冗余信息,可以实现对错误的检测和校正,这种方法称为: a、反馈错误控制 b、块求和校验 c、转发错误控制 d、循环冗余校验 最佳答案是:c
11. 业务影响分析(BIA)的主要目的是: a、识别影响组织运行持续性的事件 b、提供灾难后恢复运营的计划
c、公开对机构物理和逻辑安全的评鉴 d、提供一个有效的灾难恢复计划的框架 最佳答案是:a
12. 信息系统生命周期阶段正确的划分是: a、设计、实施、运维、废弃 b、规划、实施、运维、废弃
c、规划、设计、实施、运维、废弃 d、设计、实施、运行 最佳答案是:c
13. 以下哪个不是计算机取证工作的作用?
a、通过证据查找肇事者 b、通过证据推断犯罪过程 c、通过证据判断受害者损失程度
d、恢复数据降低损失 最佳答案是:d
14. 在信息系统设计阶段,“安全产品选择”处于风险管理过程的哪个阶段? a、背景建立 b、风险评估 c、风险处理 d、批准监督 最佳答案是:c
15. 下述选项中对于\风险管理\的描述正确的是: a、安全必须是完美无缺、面面俱到的
b、最完备的信息安全策略就是最优的风险管理对策
c、在应对信息安全风险时,要从经济、技术、管理的可行性和有效性上做出权衡和取舍 d、防范不足就会造成损失:防范过多就可以避免损失 最佳答案是:c
16. 应对信息安全风险的主要目标是什么? a、消除可能会影响公司的每一种威胁
b、管理风险,以使由风险产生的问题降至最低限度
c、尽量多实施安全措施以消除资产暴露在其下的每一种风险 d、尽量忽略风险,不使成本过高 最佳答案是:b
17. 当员工或外单位的工作人员离开组织或岗位变化时,必须进行以下的管理程序除了: a、明确此人不再具有以前的职责
b、确保归还应当归还的资产
c、确保属于以前职责的访问权限被撤销 d、安全管理员陪同此人离开工作场所 最佳答案是:d
18. IATF深度防御战略的三个层面不包括:
a、人员 b、法律 c、技术 d、运行 最佳答案是:b
19. 能够最佳地提供本地服务器上的将处理的工资数据的访问控制的是: a、将每次访问记入个人信息(即:作日志) b、对敏感的交易事务使用单独的密码/口令 c、使用软件来约束授权用户的访问
d、限制只有营业时间内才允许系统访问 最佳答案是:c
20. 注重安全管理体系建设,人员意识的培训和教育,是信息安全发展哪一个阶段的特点? a、通信安全 b、计算机安全 c、信息安全 d、信息安全保障 最佳答案是:d
21. 下面哪一种方式,能够最有效的约束雇员只能履行其分内的工作?
a、应用级访问控制 b、数据加密 c、卸掉雇员电脑上的软盘和光盘驱动器 d、使用网络监控设备 最佳答案是:a
22. 信息系统的业务特性应该从哪里获取?
a、机构的使命 b、机构的战略背景和战略目标 c、机构的业务内容和业务流程 d、机构的组织结构和管理制度 最佳答案是:c
23. 如果将风险管理分为风险评估和风险减缓,那么以下哪个不属于风险减缓的内容? a、计算风险 b、选择控制措施 c、实现安全措施 d、接受残余风险 最佳答案是:a
24. 以下哪些是需要在信息安全策略中进行描述的:
a、组织信息系统安全架构 b、信息安全工作的基本原则 c、组织信息安全技术参数 d、组织信息安全实施手段 最佳答案是:b
25. 计算机取证的工作顺序是:
a、1准备2提取3保护4分析5提交 b、1准备2保护3提取4分析5提交 c、1准备2保护3提取4提交5分析 d、1准备2提取3保护4分析5提交 最佳答案是:b
26. 灾难恢复策略中的内容来自于:
a、灾难恢复需求分析 b、风险分析 c、业务影响分析 d、国家保准和上级部门的明确规定 最佳答案是:a
27. 以下对异地备份中心的理解最准确的是: a、与生产中心不在同一城市
b、与生产中心距离100公里以上 c、与生产中心距离200公里以上
d、与生产中心面临相同区域性风险的机率很小 最佳答案是:d
28. 关于监理过程中成本控制,下列说法中正确的是? a、成本只要不超过预计的收益即可
b、成本应控制得越低越好 c、成本控制由承建单位实现,监理单位只能记录实际开销 d、成本控制的主要目的是在批准的预算条件下确保项目保质按期完成 最佳答案是:d
29. 下面的角色对应的信息安全职责不合理的是: a、高级管理层——最终责任
b、信息安全部门主管——提供各种信息安全工作必须的资源 c、系统的普通使用者——遵守日常操作规范 d、审计人员——检查安全策略是否被遵从 最佳答案是:b
30. 某机构在风险管理过程中,“批准”通常由谁来执行?
a、第三方的风险评估机构 b、信息安全主管 c、机构决策层 d、以上都不是 最佳答案是:c
31. “在没有足够安全保障的信息系统中,不处理特别敏感的信息”,属于什么风险处置策略?
a、规避风险 b、转移风险 c、接受封箱 d、减低风险 最佳答案是:a
32. 当开发一个业务连续性计划时,应该用下列哪种工具来获得对组织业务流程的理解? a、业务连续性自我审计 b、资源恢复分析 c、差距分析 d、风险评估 最佳答案是:d
33. 在风险评估中进行定量的后果分析时,如果采用年度风险损失值(ALE,annualized loss expectancy)的方法进行计算,应当使用以下那个公式? a、SLE(单次损失预期值)×ARO(年度发生率) b、ARO(年度发生率)×EF(暴露因子)
c、SLE(单次损失预期值)×EF(暴露因子)×ARO(年度发生率) d、ARO(年度发生率)×SLE(单次损失预期值)-EF(暴露因子) 最佳答案是:c
34. 以下哪一个是对人员安全管理中“授权蔓延”这概念的正确理解? a、往来人员在进行系统维护时没有受到足够的监控 b、一个人拥有了不是其完成工作所必要的权限 c、敏感岗位和重要操作长期有一个人独自负责
d、员工有一个岗位变动到另一个岗位,累积越来越多的权限 最佳答案是:d
35. 职责分离的主要目的是:
a、不允许任何一个人可以从头到尾控制某一工作的整个流程 b、不同部门的雇员不可以在一起工作 c、对于所有的资源都必须有保护措施
d、对于所有的设备都必须有操作控制措施 最佳答案是:a