ISP官方信息安全管理章节练习一.doc

CISP信息安全管理章节练习一 一、单选题。(共100题，共100分，每题1分) a、监控和反馈ISMS b、批准和监督 a、监控和反馈ISMS b、批准和监督ISMS c、监视和评审ISMS 洵 ISMS d、沟通和资 最徙答架是:c 在对安全控制进行分析时，下而哪个描述是不准确的？ a、 对每一项安全控制都应该进行成木收益分析，以确定哪一项安全控制是必须的和冇效的 b、 应确保选择对业务效率影响最小的安全措施 c、 选择好实施安全控制的时机和位置，提高安全控制的有效性 d、 仔细评价引入的安企控制对H?:常业务带来的影响，采取适当措施，尽可能减少负而效应 最佳答案是:b 以下哪一项不足信怠安全管理工作必须遵循的原则？ 3、风险管理在系统开发之初就应该予以充分考虑，并要贯穿干整个系统开发过程之中 b、风险管理活动应成为系统开发、运行、维护、直负废弃的整个生命周期内的持续性工作 C、由于在系统投入使川后部署和应川风险控制措施针对性会更强，实施成本会相对较低 d、在系统正式运行后，应注秉残余风险的管理，以提高快速反应能力 蛣佳答案是:C 对信息安全风险评估要素理解正确的是： a、 资产识别的粒度随若评估范围、评估目的的不同而不同，既可以是硬件设备，也可以是 业务系统，也可以是组织机构 b、 应针对构成信息系统的毎个资产做风险评价 c、 脆弱性识别足将信息系统安全现状与国家或行业的安全要求做符介性比对而找出的差距 项 d、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁 最佳答案是:a 以下哪一项不是建筑物的自动化访问审汁系统记录的日志的内容： a、出入的原因 b、出入的吋间 c、出入U的位置 d、是否成功进入 最佳答案是 信怠安全策略是管理层对信息安全工作意图和方向的正式表述，以下哪一项不是信息安 全策略文捫中必须包含的内祚： a、 说明信息安全对组织的重要程度 b、 介绍需要符合的法律法规要求 c、 信息安全技水产品的选型范围 d、 信息安全管理责任的定义 最佳答案是x 作为信息屮心的主任，你发现没宥足够的人力资源保证将数据库管理员和网络管繩员的 岗位分配给两个不hd的人担任，这种情况造成了一定的安全风险，这吋你应当怎么做？ a、抱怨且无能为力 b、向上级报告该情况，等待增派人手 c、 通过部署审计措施和定期审查來降低风险 d、 由于增加人力会造成新的人力成木，所以接受该风险 蛣佳答案是:c 通过评估应用开发项口，而不是评估能力成熟度模型（CMM）, IS审计师应该能够验证: a、可靠的产品是有保证的 b、程序员的效率得到Y提高 c、 安全耑求得到了规划、设计 d、 预期的软件程序（或流程）得到了遵循 蛣佳答案是:d 某公司正在对一台关键业务服务器进行风险评估：该服务器价值138000元，针对某个特 定威胁的暴露因子（EF）是45%,该威胁的年度发生率（ARO）为每10年发生1次。根据 以上信息，该服务器的年度预期损失值（ALE）是多少？ a、1800 元 b、62100 元 c、140000 元 d、6210 元 蛣佳答案是:d 下列哪些内界应毡含在信息系统战略计划中？ a、 已规划的硬件采购的规范 b、 将来业务R标的分析 c、开发项鬥的FI标円期 d、信息系统不M的年度预算R 最佳答案足:b IS027002屮描述的11个信息安全管理的控制领域不毡括： a、信息安全组织 b、资产管理 c、内容安全 d、人力资源安全 最伸答架是:c 12.SSE-CMM将工程过程区域分为三类，即风险过程、工程过程、和仅证过程，下而对于保 证过程的说法错误的是： a、 保证是指安全需求得到满足的可信任程度 b、 信任程度来自于对安全工程过程结果质量的判断 c、 验证与证实安全的主要手段包拈观察、论证、分析和测试 d、 PA “建立保证论据”为PA “验证与证实安全”提供了证椐支持 蛣佳答案是:d 根据SSE-CMM信息安全工程过程可以划分为三个阶段，其:中 确立安全解决方案 的置信度并且把这样的置信度传递给顾客。 a、 保证过程 b、风险过程 c、工程和保证过程 d、安全工程过程 最佳答案是:a SSE-CMM工程过程区域中的风险过程包含哪些过程区域: 3、评估威胁、评估脆弱性、评估影响 b、 评估威胁、评估脆弱性、评估安全风险 C、评佔威胁、评估脆弱性、评佔影响、评佔安全风险 d、评佔威胁、评估脆弱性、评估影响、验证和证实安全 最佳答案是:c 一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进行规范 的定义？ a、2级——计划和跟踪 b、3级——充分定义 c、4级——麗化控制 d、5 级——持续改进 最佳答案是:b 信息系统安全工程(ISSE)的一个熏要目标就是在IT项目的各个阶段充分考虑安全因素， 在IT项0