CISSP认证考试(业务连续性和灾难恢复)-试卷1.pdfVIP

CISSP认证考试（业务连续性和灾难恢复）-试卷1

(总分：64.00，做题时间：90分钟)

1.TheNISTorganizationhasdefinedbestpracticesforcreatingcontinuityplans.Whichofthe

followingphasesdealswithidentifyingandprioritizingcriticalfunctionsandsystems?

（分数：2.00）

A.Identifypreventivecontrols.

B.Developthecontinuityplanningpolicystatement.

C.Developrecoverystrategies.

D.Conductthebusinessimpactanalysis.√

解析：解析：D正确。尽管创建连续性计划没有具体的科学方程式可以遵循，但某些最佳做法已经经过了

时间的考验，证明了自己的价值。美国国家标准技术研究院(NationalInstituteofStandardsand

Technology，NIST)是一家负责开发最佳做法并记录它们从而方便所有人使用的组织。NIST在它的专门出

版物800-34，ContinuityPlanningGuideforInformationTechnologySystems中概述了7个步骤：制

定连续性计划说明书、进行业务影响分析、确定预防控制措施、制定恢复战略、制定应急计划、测试应急

计划、进行训练和演习，以及维护计划。进行业务影响分析包括确定关键功能和系统，使组织根据需要对

它们进行优先级排列。此外，它还包括确定漏洞和威胁，以及计算风险。A不正确。因为确定预防控制措

施必须在对关键功能和系统的优先级进行了排列、确定了它们的漏洞、威胁和风险(它是业务影响分析的一

部分)之后进行。进行业务影响分析是创建连续性计划的第2步，制定预防控制措施是第3步。B不正确。

因为制定连续性计划政策说明书主要涉及撰写指南，该指南是制定业务连续性计划提供的必备，也用于给

必要的角色授权以执行这些任务。它是创建连续性计划的第1步，因而排在确定和对关键系统和功能进行

优先级排序(即进行业务影响分析)步骤之前。C不正确。因为制定恢复战略涉及制定确保系统和关键功能

能够快速上线的方法。在此之前，必须进行业务影响分析，判断哪个系统和功能是关键的，所以应该在恢

复时优先考虑。

2.Ashiscompanysbusinesscontinuitycoordinator,Matthewisresponsibleforhelpingrecruit

memberstothebusinesscontinuityplanning(BCP)committee.Whichofthefollowingdoesnot

correctlydescribethiseffort?

（分数：2.00）

A.Committeemembersshouldbeinvolvedwiththeplanningstages,aswellasthetestingand

implementationstages.

B.Thesmallertheteamthebetter,tokeepmeetingsundercontrol.√

C.Thebusinesscontinuitycoordinatorshouldworkwithmanagementtoappointcommitteemembers.

D.Theteamshouldconsistofpeoplefromdifferentdepartmentsacrossthecompany.

解析：解析：B正确。为了能表示组织内的每一个部门，业务连续性计划(BusinessContinuityPlanning，

BCP)委员会的规模应该足够大。其成员必须由熟悉公司的不同部门的人组成，因为每个部门都有自己独特

的功能，也面临各自不同的风险和威胁。最好的业务连续性计划是将所有问题和威胁都拿到桌面上来讨论。

只由少量熟知一两个部门的人进行讨论的效果肯定不好。这个委员会至少