CISP考试认证练习题及答案19_2023_练习版.pdfVIP

*************************************************************************************** 试题说明 本套试题共包括1套试卷 答案和解析在每套试卷后 CISP考试认证练习题及答案19(500题) *************************************************************************************** CISP考试认证练习题及答案19 1.[单选题]访问控制方法可分为自主访问控制、强制访问控制和基于角色的访问控制，他们具有不 同的特点和应用场景。如果需要选择一个访问控制方法，要求能够支持最小特权原则和职责分离原 则，而且在不同的系统配置下可以具有不同的安全控制，那么在下列选项 中，能够满足以上要求的 选项是（ ）。 A)自主访问控制 B)强制访问控制 C)基于角色的访问控制D.以上选项都可以 2.[单选题]降低风险（或减低风险）是指通过对面临风险的资产采取保护措施的方式来降低风险 ，下面哪个措施不属于降低风险的措施（） A)减少威胁源。采用法律的手段制按计算机犯罪，发挥法律的威慑作用，从而有效遏制威胁源的动 机 B)签订外包服务合同。将有技术难点、存在实现风险的任务通过签订外部合同的方式交予第三方公 司完成，通过合同责任条款来应对风险 C)减少脆弱性。及时给系统补丁，关闭无用的网络服务端口，从而减少系统的脆弱性，降低被利用 的可能性 3.[单选题]以下哪个选项是缺乏适当的安全控制的表现 A)威胁 B)脆弱性 C)资产 D)影响 4.[单选题]恢复时间目标(Recovery Time Objective,RTO)和恢复点目标(RECOVERY Point Objective,RPO)是业务连续性和灾难恢复工作中的两个重要指标，随着信息系统越来越重要和信息 技术越来越先进，这两个指标的数值越来越小。小华准备为其工作的信息系 统拟定RTO 和 RPO 指 标，则以下描述中，正确的是 ( ) A)RTO 可以为 0，RPO 也可以为 0 B)RTO 可以为 0，RPO 不可以为 0 C)RTO 不可以为 0，RPO 可以为 0 D)RTO 不可以为 0，RPO 也不可以为0 5.[单选题]根据《关于开展信息安全风险评估工作的意见》的规定，错误的是( ) A)信息安全风险评估分自评估、检查评估两形式，应以检查评估为主，自评估和检查评估相互结合 、互为补充 B)信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效‘的原则开展 C)信息安全风险评估应管贯穿于网络和信息系统建设运行的全过程 D)开展信息安全风险评估工作应加强信息安全风险评估工作的组织领导 6.[单选题]风险处理是依据（），选择和实施合适的安全措施。风险处理的目的是为了将（）始终 控制在可接受的范围内。风险处理的方式主要有（）、（）、（）和（）四种方式。 A)风险；风险评估的结果；降低；规避；转移；接收 B)风险评估的结果；风险；降低；规避；转移；接收 C)风险评估；风险；降低；规避；转移；接收 D)风险；风险评估；降低；规避；转移；接收 7.[单选题]某网盘被发现泄露了大量私人信息，通过第三方网盘搜索引擎可查询到该网盘用户的大 量照片、通讯录。盘建议用户使用“加密分享”功能，以避免消息泄露，“加密分享”可以采用以 下哪些算法（ ）。 A)MD5 算法，SHA-1 算法 B)DSA 算法，RSA 算法 C)SHA-1 算法，SM2 算法 D)RSA 算法，SM2 算法 8.[单选题]逻辑覆盖测试是通过对程序逻辑结构的遍历实现程序的覆盖。从覆盖源代码的不同程度 可以分为以下六个标准：语句履盖、判定履盖（又称为分支覆盖）、条件覆盖、判定-条件覆盖（又 称为分支-条件覆盖）、条件组合覆盖和路径覆盖。下列几种的逻辑测试覆盖中，测试覆盖最弱的是 （） A)条件覆盖 B)条件组合覆盖 C)语句覆盖 D)判定/条件覆盖 9.[单选题]对系统安全需求进行评审,以下那类人不适合参与 A)系统分析员 B)业务代表 C)安全专家 D)合规代表 10.[单选题]下面关于信息安全保障的说法错误