收藏
下载资源

cisp官方信息安全管理章节练习二

上传人:bao****ty 文档编号:117008534 上传时间:2019-11-18 格式:DOCX 页数:16 大小:36.72KB
返回 下载 相关 举报
cisp官方信息安全管理章节练习二_第1页
第1页 / 共16页
cisp官方信息安全管理章节练习二_第2页
第2页 / 共16页
cisp官方信息安全管理章节练习二_第3页
第3页 / 共16页
cisp官方信息安全管理章节练习二_第4页
第4页 / 共16页
cisp官方信息安全管理章节练习二_第5页
第5页 / 共16页
点击查看更多>>
资源描述

《cisp官方信息安全管理章节练习二》由会员分享,可在线阅读,更多相关《cisp官方信息安全管理章节练习二(16页珍藏版)》请在金锄头文库上搜索。

1、CISP信息安全管理章节练习二一、单选题。(共101题,共100分,每题0.990099009901分)1. 下哪项不是信息安全策略变更的原因? a、每年至少一次管理评审 b、业务发生重大变更 c、管理机构发生变更 d、设备发生变更 最佳答案是:d2. “通知相关人员ISMS的变更”是建立信息安全管理体系哪个阶段的活动? a、规划和建立 b、实施和运行 c、监视和评审 d、保持和改进 最佳答案是:d3. 在信息安全管理体系中,带有高层目标的信息安全策略是被描述在 a、信息安全管理手册 b、信息安全管理制度 c、信息安全指南和手册 d、信息安全记录文档 最佳答案是:a4. 信息安全应急响应计划的

2、制定是一个周而复始的.持续改进的过程,以下哪个阶段不在其中? a、应急响应需求分析和应急响应策略的制定 b、编制应急响应计划文档 c、应急响应计划的测试、培训、演练和维护 d、应急响应计划的废弃与存档 最佳答案是:d5. 以下哪一个不是我国信息安全事件分级的分级要素? a、信息系统的重要程度 b、系统损失 c、系统保密级别 d、社会影响 最佳答案是:c6. 某制造类公司欲建自动化发票支付系统,要求该系统在复核和授权控制上花费相当少的时间,同时能识别出需要深入追究的错误,以下哪一项措施能最好地满足上述需求? a、 建立一个与供应商相联的内部客户机用及服务器网络以提升效率 b、 将其外包给一家专业

3、的自动化支付和账务收发处理公司 c、 与重要供应商建立采用标准格式的、计算机对计算机的电子业务文档和交易处理用EDI系统 d、 重组现有流程并重新设计现有系统 最佳答案是:c7. 某机构通过一张网络拓扑图为甲方编写了信息安全规划并实施,其后发现实施后出现诸多安全隐患并影响业务运行效率,其根本的原因是 a、设计方技术能力不够 b、没有参照国家相关要求建立规划设计 c、没有和用户共同确立安全需求 d、没有成熟实施团队和实施计划 最佳答案是:c8. 信息安全风险评估是信息安全管理体系建立的基础,以下说法错误的是? a、信息安全管理体系的建立需要确定信息安全需求,而信息安全需求获取的主要手段就是信息安

4、全风险评估 b、风险评估可以对信息资产进行鉴定和评估,然后对信息资产面对的各种威胁和脆弱性进行评估 c、风险评估可以确定需要实施的具体安全控制措施 d、风险评估的结果应进行相应的风险处置,本质上,风险处置的最佳集合就是信息安全管理体系的控制措施集合。 最佳答案是:c9. 关于信息安全等级保护政策,下列说法错误的是? a、非涉密计算机信息系统实行等级保护,涉密计算机信息系统实行分级保护 b、信息安全等级保护实行“自主定级,自主保护”的原则 c、信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督 d、对三级以上信息系统实行备案要求,由公安机关颁发本案证明 最佳答案是:d10. 对

5、每个字符和每一帧都传输冗余信息,可以实现对错误的检测和校正,这种方法称为: a、反馈错误控制 b、块求和校验 c、转发错误控制 d、循环冗余校验 最佳答案是:c11. 业务影响分析(BIA)的主要目的是: a、 识别影响组织运行持续性的事件 b、 提供灾难后恢复运营的计划 c、 公开对机构物理和逻辑安全的评鉴 d、 提供一个有效的灾难恢复计划的框架 最佳答案是:a12. 信息系统生命周期阶段正确的划分是: a、设计、实施、运维、废弃 b、规划、实施、运维、废弃 c、规划、设计、实施、运维、废弃 d、设计、实施、运行 最佳答案是:c13. 以下哪个不是计算机取证工作的作用? a、通过证据查找肇事

6、者 b、通过证据推断犯罪过程 c、通过证据判断受害者损失程度 d、恢复数据降低损失 最佳答案是:d14. 在信息系统设计阶段,“安全产品选择”处于风险管理过程的哪个阶段? a、背景建立 b、风险评估 c、风险处理 d、批准监督 最佳答案是:c15. 下述选项中对于风险管理的描述正确的是: a、安全必须是完美无缺、面面俱到的 b、最完备的信息安全策略就是最优的风险管理对策 c、在应对信息安全风险时,要从经济、技术、管理的可行性和有效性上做出权衡和取舍 d、防范不足就会造成损失:防范过多就可以避免损失 最佳答案是:c16. 应对信息安全风险的主要目标是什么? a、消除可能会影响公司的每一种威胁 b

7、、管理风险,以使由风险产生的问题降至最低限度 c、尽量多实施安全措施以消除资产暴露在其下的每一种风险 d、尽量忽略风险,不使成本过高 最佳答案是:b17. 当员工或外单位的工作人员离开组织或岗位变化时,必须进行以下的管理程序除了: a、明确此人不再具有以前的职责 b、确保归还应当归还的资产 c、确保属于以前职责的访问权限被撤销 d、安全管理员陪同此人离开工作场所 最佳答案是:d18. IATF深度防御战略的三个层面不包括: a、人员 b、法律 c、技术 d、运行 最佳答案是:b19. 能够最佳地提供本地服务器上的将处理的工资数据的访问控制的是: a、将每次访问记入个人信息(即:作日志) b、对

8、敏感的交易事务使用单独的密码/口令 c、使用软件来约束授权用户的访问 d、限制只有营业时间内才允许系统访问 最佳答案是:c20. 注重安全管理体系建设,人员意识的培训和教育,是信息安全发展哪一个阶段的特点? a、通信安全 b、计算机安全 c、信息安全 d、信息安全保障 最佳答案是:d21. 下面哪一种方式,能够最有效的约束雇员只能履行其分内的工作? a、应用级访问控制 b、数据加密 c、卸掉雇员电脑上的软盘和光盘驱动器 d、使用网络监控设备 最佳答案是:a22. 信息系统的业务特性应该从哪里获取? a、机构的使命 b、机构的战略背景和战略目标 c、机构的业务内容和业务流程 d、机构的组织结构和

9、管理制度 最佳答案是:c23. 如果将风险管理分为风险评估和风险减缓,那么以下哪个不属于风险减缓的内容? a、计算风险 b、选择控制措施 c、实现安全措施 d、接受残余风险 最佳答案是:a24. 以下哪些是需要在信息安全策略中进行描述的: a、组织信息系统安全架构 b、信息安全工作的基本原则 c、组织信息安全技术参数 d、组织信息安全实施手段 最佳答案是:b25. 计算机取证的工作顺序是: a、1准备2提取3保护4分析5提交 b、1准备2保护3提取4分析5提交 c、1准备2保护3提取4提交5分析 d、1准备2提取3保护4分析5提交 最佳答案是:b26. 灾难恢复策略中的内容来自于: a、灾难恢

10、复需求分析 b、风险分析 c、业务影响分析 d、国家保准和上级部门的明确规定 最佳答案是:a27. 以下对异地备份中心的理解最准确的是: a、与生产中心不在同一城市 b、与生产中心距离100公里以上 c、与生产中心距离200公里以上 d、与生产中心面临相同区域性风险的机率很小 最佳答案是:d28. 关于监理过程中成本控制,下列说法中正确的是? a、成本只要不超过预计的收益即可 b、成本应控制得越低越好 c、成本控制由承建单位实现,监理单位只能记录实际开销 d、成本控制的主要目的是在批准的预算条件下确保项目保质按期完成 最佳答案是:d29. 下面的角色对应的信息安全职责不合理的是: a、高级管理

11、层最终责任 b、信息安全部门主管提供各种信息安全工作必须的资源 c、系统的普通使用者遵守日常操作规范 d、审计人员检查安全策略是否被遵从 最佳答案是:b30. 某机构在风险管理过程中,“批准”通常由谁来执行? a、第三方的风险评估机构 b、信息安全主管 c、机构决策层 d、以上都不是 最佳答案是:c31. “在没有足够安全保障的信息系统中,不处理特别敏感的信息”,属于什么风险处置策略? a、规避风险 b、转移风险 c、接受封箱 d、减低风险 最佳答案是:a32. 当开发一个业务连续性计划时,应该用下列哪种工具来获得对组织业务流程的理解? a、 业务连续性自我审计 b、 资源恢复分析 c、 差距

12、分析 d、 风险评估 最佳答案是:d33. 在风险评估中进行定量的后果分析时,如果采用年度风险损失值(ALE,annualized loss expectancy)的方法进行计算,应当使用以下那个公式? a、SLE(单次损失预期值)ARO(年度发生率) b、ARO(年度发生率)EF(暴露因子) c、SLE(单次损失预期值)EF(暴露因子)ARO(年度发生率) d、ARO(年度发生率)SLE(单次损失预期值)-EF(暴露因子) 最佳答案是:c34. 以下哪一个是对人员安全管理中“授权蔓延”这概念的正确理解? a、往来人员在进行系统维护时没有受到足够的监控 b、一个人拥有了不是其完成工作所必要的权

13、限 c、敏感岗位和重要操作长期有一个人独自负责 d、员工有一个岗位变动到另一个岗位,累积越来越多的权限 最佳答案是:d35. 职责分离的主要目的是: a、不允许任何一个人可以从头到尾控制某一工作的整个流程 b、不同部门的雇员不可以在一起工作 c、对于所有的资源都必须有保护措施 d、对于所有的设备都必须有操作控制措施 最佳答案是:a36. 关于信息安全管理,说法错误的是: a、信息安全管理是管理者为实现信息安全目标(信息资产的CIA等特性,以及业务运作的持续)而进行的计划、组织、指挥和控制的一系列活动。 b、信息安全管理是一个多层面.多因素的过程,依赖于建立信息安全组织、明确信息安全角色及职责、

14、制订信息安全方针策略标准规范、建立有效的监督审计机制等多方面的非技术性的努力。 c、实现信息安全,技术和产品是基础,管理是关键。 d、信息安全是人员、技术、操作三者紧密合作的系统工程,是一个静态过程。 最佳答案是:d37. 以下哪项不是信息系统安全工程中发掘信息保护需求的任务? a、确定信息安全法律和法规的要求 b、判断信息对机构任务的关系和重要性 c、建设系统的愿景描述 d、确定威胁的类别.判断影响 最佳答案是:c38. 信息安全等级保护分级要求,第一级适用正确的是: a、适用于涉及国家安全.社会秩序.经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全.社会秩序.经济建设和公共利益造成较大损害 b、适用于一定程度上涉及国家安全.社会秩序.经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全.社会秩序.经济建设和公共利益造成一定损害 c、适用于一般的信息和信息系统,其受到破坏后,会对公民.法人和其他组织的权

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号