CISP官方信息安全管理章节练习一.docxVIP

CISP信息安全管理章节练习一 一、单选题。(共100题,共100分,每题1分) 1. 小李去参加单位组织的信息安全培训后，他把自己对信息安全管理体系（Information Security Management System, ISMS）的理解画了以下一张图，但是他还存在一个空白处未填写，请帮他选择一个最合适的选项（）。 a、监控和反馈ISMS b、批准和监督ISMS c、监视和评审ISMS d、沟通和资询ISMS 最佳答案是:c 2. 在对安全控制进行分析时，下面哪个描述是不准确的？ a、对每一项安全控制都应该进行成本收益分析，以确定哪一项安全控制是必须的和有效的 b、应确保选择对业务效率影响最小的安全措施 c、选择好实施安全控制的时机和位置，提高安全控制的有效性 d、仔细评价引入的安全控制对正常业务带来的影响，采取适当措施，尽可能减少负面效应 最佳答案是:b 3. 以下哪一项不是信息安全管理工作必须遵循的原则？ a、风险管理在系统开发之初就应该予以充分考虑，并要贯穿于整个系统开发过程之中 b、风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作 c、由于在系统投入使用后部署和应用风险控制措施针对性会更强，实施成本会相对较低 d、在系统正式运行后，应注重残余风险的管理，以提高快速反应能力 最佳答案是:c 4. 对信息安全风险评估要素理解正确的是： a、资产识别的粒度随着评估范围、评估目的的不同而不同，既可以是硬件设备，也可以是业务系统，也可以是组织机构 b、应针对构成信息系统的每个资产做风险评价 c、脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项 d、信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁 最佳答案是:a 5. 以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容： a、出入的原因 b、出入的时间 c、出入口的位置 d、是否成功进入 最佳答案是:a 6. 信息安全策略是管理层对信息安全工作意图和方向的正式表述，以下哪一项不是信息安全策略文档中必须包含的内容： a、说明信息安全对组织的重要程度 b、介绍需要符合的法律法规要求 c、信息安全技术产品的选型范围 d、信息安全管理责任的定义 最佳答案是:c 7. 作为信息中心的主任，你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任，这种情况造成了一定的安全风险，这时你应当怎么做？ a、抱怨且无能为力 b、向上级报告该情况，等待增派人手 c、通过部署审计措施和定期审查来降低风险 d、由于增加人力会造成新的人力成本，所以接受该风险 最佳答案是:c 8. 通过评估应用开发项目，而不是评估能力成熟度模型（CMM），IS审计师应该能够验证： a、可靠的产品是有保证的 b、程序员的效率得到了提高 c、安全需求得到了规划、设计 d、预期的软件程序（或流程）得到了遵循 最佳答案是:d 9. 某公司正在对一台关键业务服务器进行风险评估：该服务器价值138000元，针对某个特定威胁的暴露因子（EF）是45%，该威胁的年度发生率（ARO）为每10年发生1次。根据以上信息，该服务器的年度预期损失值（ALE）是多少？ a、1800元 b、62100元 c、140000元 d、6210元 最佳答案是:d 10. 下列哪些内容应包含在信息系统战略计划中？ a、已规划的硬件采购的规范 b、将来业务目标的分析 c、开发项目的目标日期 d、信息系统不同的年度预算目标 最佳答案是:b 11. ISO27002中描述的11个信息安全管理的控制领域不包括： a、信息安全组织 b、资产管理 c、内容安全 d、人力资源安全 最佳答案是:c 12. SSE-CMM将工程过程区域分为三类，即风险过程、工程过程、和保证过程，下面对于保证过程的说法错误的是： a、保证是指安全需求得到满足的可信任程度 b、信任程度来自于对安全工程过程结果质量的判断 c、自验证与证实安全的主要手段包括观察、论证、分析和测试 d、PA“建立保证论据”为PA“验证与证实安全”提供了证据支持 最佳答案是:d 13. 根据SSE-CMM信息安全工程过程可以划分为三个阶段，其中_______确立安全解决方案的置信度并且把这样的置信度传递给顾客。 a、保证过程 b、风险过程 c、工程和保证过程 d、安全工程过程 最佳答案是:a 14. SSE-C