CISP考试认证(习题卷11).pdfVIP

试卷科目：考试 CISP考试认证(习题卷11) 第1部分：单项选择题，共250题，每题只有一个正确答案,多选或少选均不得分。 1.[单选题]52.目前，很多行业用户在进行信息安全产品选项时，均要求产品需通过安全测评。关于信息安全产品测评 的意义，下列说法中不正确的是: A)有助于建立和实施信息安全产品的市场准入制度 B)对用户采购信息安全产品，设计、建设、使用和管理安全的信息系统提供科学公正的专业指导 C)对信息安全产品的研究、开发、生产以及信息安全服务的组织提供严格的规范引导和质量监督 D)打破市场垄断，为信息安全产业发展创造一个良好的竞争环境 答案:D 解析: 2.[单选题]以下哪个不是 SDL 的思想之一？ A)SDL 是持续改进的过程，通过持续改进和优化以适用各种安全变化，追求最优效果 B)SDL 要将安全思想和意识嵌入到软件团队和企业文化中 C)SDL要实现安全的可度量性 D)SDL 是对传统软件开发过程的重要补充，用于完善传统软件开发中的不足 答案:D 解析: 3.[单选题]目前,很多行业用户在进行信息安全产品选项时,均要求产品需通过安全测评。关于信息安全产品测评的意义 ,下列说法中不正确的是:( ) A)有助于建立和实施信息安全产品的市场准入制度 B)对用户采购信息安全产品,设计、建设、使用和管理安全的信息系统提供科学公正的专业指导 C)对信息安全产品的研究、开发、生产以及信息安全服务的组织提供严格的规范引导和质量监督 D)打破市场垄断,为信息安全产业发展创造一个良好的竞争环境 答案:D 解析:题干中信息安全产品测评的主要目的是安全作用,不是经济作用。 4.[单选题]美 国 国 家 标准 与 技 术 研 究 院 ( National Institute of Standards andTechnology, NIST) 隶属 美国商务部, NIST 发布的很多关于计算机安全的指南文档。 下面哪个文档是由 NIST 发布的 A)IS0 27001 《 information technology-Security techniques-Informtion security management systems- Requirements》 B)X.509 《 information Technology-Open Systems-The Directory:Authentication Framcwork》 C)SP 800-37《 Guide forApplying the Risk ManagementFramework to Federal》 D)RFC 2402 《IP Authenticat Header》 答案:C 解析: 5.[单选题]SSE-CMM 工程过程区域中的风险过程包含哪些过程区域： A)评估威胁、评估脆弱性、评估影响 B)评估威胁、评估脆弱性、评估安全风险 C)评估威胁、评估脆弱性、评估影响、评估安全风险 D)评估威胁、评估脆弱性、评估影响、验证和证实安全 答案:C 解析: 考试题卷11 1/50 试卷科目：考试 6.[单选题]信息安全测评是指依据相关标准，从安全功能等角度对信息技术产品、信息系统、服务提供商以及人员进行 测试和评估，以下关于信息安全测评说法不正确的是？ A)信息产品安全评估是测评机构对产品的安全性做出的独立评价，增强用户对已评估产品安全的信任 B)目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两种类型 C)信息安全工程能力评估是对信息安全服务提供者的资格状况、技术实力和实施服务过程质量保证能力的具体衡量和评 价 D)信息系统风险评估是系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件可能造成的危害程度 ，提出有针对性的安全防护策略和整改措施 答案:B 解析: 7.[单选题]在某个公司中,以下哪个角色最适合评估信息安全的有效性? A)公司的专家 B)业务经理 C)IT审计员 D)信息安全经理 答案:C 解析: 8.[单选题]质量保证小组通常负责： A)确保从系统处理收到的输出是完整