CISP考试认证练习题及答案9_2022_背题版.pdfVIP

*************************************************************************************** 试题说明 本套试题共包括1套试卷 每题均显示答案和解析 CISP考试认证练习题及答案9(500题) *************************************************************************************** CISP考试认证练习题及答案9 1.[单选题]以下系统工程说法错误的是： A)系统工程是基本理论的技术实现 B)系统工程是一种对所有系统都具有普片意义的科学方法 C)系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法D.系统工程是一种方法论 答案:A 解析: 2.[单选题]王工是某单位的系统管理员,他在某次参加了单位组织的风险管理工作时,发现当前案例 中共有两个重要资产:资产A1和资产A2;其中资产A1面临两个主要威胁,威胁T1和威胁T2;而资产A2面 临一个主要威胁,威胁T3;威胁T1可以利用的资产A1存在的两个脆弱性;脆弱性V1和脆弱性V2;威胁 T2可以利用的资产A1存在的三个脆弱性,脆弱性V3、脆弱性V4和脆弱性V5;威胁T3可以利用的资产 A2存在的两个脆弱性;脆弱性V6和脆弱性V7.根据上述条件,请问:使用相乘法时,应该为资产A1计算几 个风险值() A)2 B)3 C)5D.6 答案:C 解析: 3.[单选题]有关系统安全工程-能力成熟度模型(SSE-CMM)中的通用实施(Generic Practices ,GP)错 误理解是: A)GP是涉及过程的管理、测量和制度化方面的活动 B)GP适用于域维中部分过程区域(Process Aractices ,PA)活动而非所有PA的活动 C)在工程实施时,GP应该作为基本实施( Base Practices,BP)的一部分加以执行 D)在评估时,GP用于判定工程组织执行某个PA的能力 答案:B 解析: 4.[单选题]对信息安全事件的分级参考下列三个要素:信息系统的重要程度、系统损失和社会影响, 依据信息系统的重要程度对信息进行划分,不属于正确划分级别的是: A)特别重要信息系统 B)重要信息系统 C)一般信息系统 D)关键信息系统 答案:D 解析: 5.[单选题]恶意代码问题，不仅使企业和用户蒙受了巨大的经济损失，而且使国家的安全面临着严 重威胁。目前国际上一些发达国家（如美国，德国，日本等）均已在该领域投入大量资金和人力进 行了长期的研究，并取得了一定的成功。程序员小张想开发一款恶意代码的检测软件，经过相关准 备后，他在如下选项中选择了一个最正确的代码的检测思路进行了软件开发，你认为是哪一个（） A)简单运行 B)发送者身份判断 C)禁止未识别软件运行 D)特征码扫描 答案:D 解析: 6.[单选题]下列哪一项最好地支持了24/7可用性? A)日常备份 B)离线存储 C)镜像 D)定期测试 答案:C 解析: 7.[单选题]风险评估的基本过程是怎样的 A)识别并评估重要的信息资产，识别各种可能的威胁和严重的弱点，最终确定风险 B)通过以往发生的信息安全事件，找到风险所在 C)风险评估就是对照安全检查单，查看相关的管理和技术措施是否到位 D)风险评估并没有规律可循，完全取决于评估者的经验所在 答案:A 解析: 8.[单选题]信息安全应急响应,是指一个组织为了应对各种安全意外事件的发生所采取的防范措施 ,既包括预防性措施也包 括事件发生后的应对措施。应急响应方法和过程并不是唯一的,在下面的应 急响应管理流程图中,空白方填写正确的 选项是( ) A)培训阶段 B)文档阶段 C)报告阶段 D)检测阶段 答案:D 解析: 9.[单选题]组织应定期监控、审查、审计()服务,确保协议中的信息安全条款和条件被遵守,信息安 全事件和问题得到妥善管理。应将管理供应商关系的责任分配给指定的个人或()团队。另外,组织应 确保落实供应商符合性审查和相关协议要求强制执行的责任。应保存足够的技术技能和资源的可用 性以监视协议要求尤其是()要求的实现。当发现服务交付的不足时,宜采取().当供应商提供的