《CISP信息安全管理风险课堂例题.docx》由会员分享,可在线阅读,更多相关《CISP信息安全管理风险课堂例题.docx(5页珍藏版)》请在金锄头文库上搜索。
1、1、 以下关于风险评估的描述不正确的是?a) 作为风险评估的要素之一,威胁发生的可能需要被评估b) 作为风险评估的要素之一,威胁发生后产生的影响需要被评估c) 风险评估是风险管理的第一步d) 风险评估是风险管理的最终结果2、 以下哪个选项是缺乏适当的安全控制的表现a) 威胁b) 脆弱性c) 资产d) 影响3、 下面那个不是信息安全风险的要素?a) 资产及其价值b) 数据安全c) 威胁d) 控制措施4、 信息安全风险管理的对象不包括如下哪项a) 信息自身b) 信息载体c) 信息网络d) 信息环境5、 信息安全风险管理的最终责任人是?a) 决策层b) 管理层c) 执行层d) 支持层6、 信息安全风
2、险评估对象确立的主要依据是什么a) 系统设备的类型b) 系统的业务目标和特性c) 系统的技术架构d) 系统的网络环境7、 下面哪一项不是风险评估的过程?a) 风险因素识别b) 风险程度分析c) 风险控制选择d) 风险等级评价8、 风险控制是依据风险评估的结果,选择和实施合适的安全措施。下面哪个不是风险控制的方式?a) 规避风险b) 转移风险c) 接受风险d) 降低风险9、 如何对信息安全风险评估的过程进行质量监控和管理?a) 对风险评估发现的漏洞进行确认b) 针对风险评估的过程文档和结果报告进行监控和审查c) 对风险评估的信息系统进行安全调查d) 对风险控制测措施有有效性进行测试10、 信息系
3、统的价值确定需要与哪个部门进行有效沟通确定?a) 系统维护部门b) 系统开发部门c) 财务部门d) 业务部门11、 系统上线前应当对系统安全配置进行检查,不包括下列哪种安全检查?a) 主机操作系统安全配置检查b) 网络设备安全配置检查c) 系统软件安全漏洞检查d) 数据库安全配置检查12、 风险评估实施过程中资产识别的依据是什么?a) 依据资产分类分级的标准b) 依据资产调查的结果c) 依据人员访谈的结果d) 依据技术人员提供的资产清单13、 风险评估实施过程中资产识别的范围主要包括什么类别?a) 网络硬件资产b) 数据资产c) 软件资产d) 以上都包括14、 风险评估实施过程中脆弱性识别主要
4、包括什么方面a) 软件开发漏洞b) 网站应用漏洞c) 主机系统漏洞d) 技术漏洞与管理漏洞15、 下面哪一个不是脆弱性识别的手段?a) 人员访谈b) 技术工具检测c) 信息资产核查d) 安全专家人工分析16、 年度损失值(ALE)的计算方法是什么?a) ALE=ARO*AVb) ALE=AV*SLEc) ALE=ARO*SLEd) ALE=AV*EF17、 合适的信息资产存放的安全措施维护是谁的责任?a) 安全管理员b) 系统管理员c) 数据和系统所有者d) 系统运行组18、 要很好的评估信息安全风险,可以通过:a) 评估IT资产和IT项目的威胁b) 用公司的以前的真的损失经验来决定现在的弱点
5、和威胁c) 审查可比较的组织公开的损失统计d) 审查在审计报告中的可识别IT控制缺陷19、 在制定控制前,管理层首先应该保证控制:a) 满足控制一个风险问题的要求b) 不减少生产力c) 基于成本效益的分析d) 检测行或改正性的20、 对一项应用的控制进行了检查,将会评估a) 该应用在满足业务流程上的效率b) 任何被发现风险影响c) 业务流程服务的应用d) 应用程序的优化21、 在评估逻辑访问控制时,应该首先做什么?a) 把应用在潜在访问路径上的控制项记录下来b) 在访问路径上测试控制来检测是否他们具功能化c) 按照写明的策略和实践评估安全环境d) 对信息流程的安全风险进行了解22、 在检查IT安全风险管理程序,安全风险的测量应该a) 列举所有的网络风险b) 对应IT战略计划持续跟踪c) 考虑整个IT环境d) 识别对(信息系统)的弱点的容忍度的结果23、 一个组织的网络设备的资产价值为100000元,一场意外火灾使其损坏了价值的25%,按照经验统计,这种火灾一般每5年发生一次,年预期损失ALE为:a) 5000元b) 10000元c) 25000元d) 15000元24、 一个个人经济上存在问题的公司职员有权独立访问高敏感度的信息,他可能窃取这些信息卖给公司的竞争对手,如何控制这个风险?a) 开除这名职员b) 限制这名职员访问敏感信息c) 删除敏感信息d) 将此职员送公安部门
