CISP模拟考试卷二.docxVIP

PAGE PAGE 1 CISP模拟考试卷二 1.关于风险要素识别阶段工作内容叙述错误的是（）A.资产识别是指对需要保护的资产和系统进行识别和分类B.威胁识别是指识别与每项资产相关的可能威胁和漏洞及其的可能性C.脆弱性识别以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估D.确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系统平台、网络平台和应用平台2.风险评估工作的使用在一定程度上解决了手动评估的局限性，最主要的是它能够将专家知识进行集中，使专家的经验知识被广泛使用，根据在风险评估过程中的主要任务和作用原理，风险评估工具可以为以下几类，其中错误的是（）A.风险评估与管理工具B.系统基础平台风险评估工具C.风险评估辅助工具D.环境风险评估工具3.风险要素识别是风险评估实施过程中的一个重要步骤，小李将风险要素识别的主要过程使用图形来表示，如下图所示，请为图中空白框中空白框处选择一个最合适的选项（）A.识别面临的风险并赋值B.识别存在的脆弱性并赋值C.制定安全措施实施计划D.检查安全措施有效性4.以下关于直接附加存储(DAS)说法错误的是（）A.DAS能够在服务器物理位置比较芬酸的情况下实现大容量存储，是一种常用的数据存储方法。B.DAS实现了操作系统与数据的分离，存取性能较高并且实施简单。C.DAS的缺点在于对服务器依赖性强，当服务器发生故障时，连续在服务器上的存储设备中的数据不能被存取。D.较网络附加存储(NAS)，DAS节省硬盘空间，数据非常集中，便于对数据进行管理和备份。5.对信息安全事件的分级参考下列三个要素，信息系统的重要程度，系统损失和社会影响，依据信息系统的重要程度对信息系统进行划分，不属于正确划分级别的（）A.特别重要信息系统B.重要信息系统C.一般信息系统D.关键信息系统6.文档体系建设是信息安全管理体系(ISMS)建设的直接体现，下列说法不正确的是（）A.组织内的信息安全方针文件、信息安全规章制度文件，信息安全相关操作规范文件等文档是组织的工作标准，也是ISMS审核的依据。B.组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和记录，对这些记录不需要保护和控制。C.组织在每份文件修订跟踪表，以显示每一版本的版本号、发布日期，编写人，审批人，主要修订等内容。D.层次化的文档是ISMS建设的直接体现，文档体系应当依据风险评估的结果建立。7.下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是：（）A.确保采购/定制的设备，软件和其他系统组件满足已定义的安全要求。B.确保整个系统已按照领导要求进行了部署和配置。C.确保系统使用人员已具备使用系统安全功能和安全特征能力。D.确保信息系统的使用已得到授权。8.规范的实施流程和文档管理，是信息安全风险评估能否取得成果的重要基础。某单位的实施风险评估时，形成了《风险评估方案》应是如下（）中的输出结果。A.风险评估准备阶段B.风险要素识别阶段C.风险分析阶段D.风险结果判定阶段9.某单位在实施信息安全风险评估后，形成了若干文档，下面（）种的文档不应属于风险评估中“风险评估准备”阶段输出的文档。A.《风险评估工作计划》，主要包括本次风险评估的目的、意义、目标、组织结构、角色及职责、经费预算和进度安排等内容。B.《风险评估方法和工具列表》，主要包括拟用的风险评估方法和测试评估工具等内容。C 《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安全措施等内容。D.《风险评估准则要求》，主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、资产分类标准、资产分类准则等内容。10.不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织机构应当根据各自的实际情况，选择适当的风险评估方法。下面的描述中，错误的是（）A.定量风险分析试图从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，以度量风险的可能性和损失量。B.定量风险分析相比定性风险分析能得到准确的数值，所以在实际工作中应使用定量风险分析，而不应选择定型风险分析。C.定性风险分析过程中，往往需要凭借分析者的经验和直接进行，所以分析结果和风险评估团队的素质，经验和知识技能密切相关。D.定性风险分析更具主观性，而定量风险分析更具客观性。11.在信息安全管理体系的实施过程中，管理者的作用对于信息安全管理体系能否成功实施非常重要，但是以下选项中不属于管理者应有职责的是（）A.制定并颁布信息安全方针，为组织的信息安全管理体系建设指明方向并提供总体纲领，明确总体要求。B.确