CISP模拟考试题及答案.docxVIP

CISP模拟考试题及答案

一、单项选择题（共10题，每题3分，共30分）

以下哪项不属于信息安全保障体系中的“安全管理”核心内容？（）

A.安全策略制定与维护

B.漏洞扫描与补丁管理

C.人员安全意识培训

D.安全合规审计

在信息系统等级保护中，二级信息系统的安全保护策略应满足（）要求？

A.自主保护

B.指导保护

C.监督保护

D.强制保护

下列关于数据备份的说法，错误的是（）

A.全量备份是对所有数据进行完整备份，恢复速度最快

B.增量备份仅备份上次备份后变化的数据，备份时间最短

C.差异备份备份上次全量备份后变化的数据，恢复时需结合全量备份

D.冷备份需在系统停机状态下进行，不影响业务运行

某企业发现员工违规将内部机密文件通过邮件发送外部，该行为违反了信息安全的哪项基本原则？（）

A.保密性

B.完整性

C.可用性

D.不可否认性

以下哪种加密算法属于非对称加密算法？（）

A.AES

B.DES

C.RSA

D.3DES

信息安全风险评估中，“风险值”的计算逻辑是（）

A.风险值=威胁概率×脆弱性严重程度

B.风险值=威胁影响×脆弱性暴露面

C.风险值=威胁发生概率×影响程度

D.风险值=脆弱性数量×威胁类型

下列关于防火墙的描述，正确的是（）

A.防火墙可有效防范内部人员的恶意攻击

B.防火墙能拦截所有网络攻击行为

C.防火墙主要基于网络层和传输层规则过滤流量

D.防火墙无需定期更新规则库

我国《网络安全法》规定，网络运营者应当对其收集的用户信息严格保密，不得（）

A.用于合法经营活动

B.向第三方提供（经用户同意除外）

C.存储在境内服务器

D.进行加密处理

以下哪项不属于应急响应的核心阶段？（）

A.检测与预警

B.漏洞扫描

C.遏制与消除

D.恢复与总结

安全基线配置的核心目的是（）

A.提升系统运行效率

B.统一系统安全配置标准，减少安全漏洞

C.满足个性化业务需求

D.降低系统维护成本

二、多项选择题（共5题，每题4分，共20分，多选、少选、错选均不得分）

信息安全的核心属性包括（）

A.保密性

B.完整性

C.可用性

D.可追溯性

E.不可否认性

以下哪些属于常见的网络攻击手段？（）

A.DDoS攻击

B.SQL注入

C.缓冲区溢出

D.数据备份

E.钓鱼攻击

企业信息安全管理制度应包含的核心内容有（）

A.人员安全管理

B.设备与环境安全管理

C.数据分类分级管理

D.应急响应预案

E.安全审计与追责机制

等级保护2.0中，信息系统安全保护等级划分为五级，其中涉及“国家主权、安全”的等级是（）

A.第一级

B.第三级

C.第四级

D.第五级

E.第二级

数据安全生命周期管理包括哪些阶段？（）

A.数据采集

B.数据存储

C.数据传输

D.数据使用

E.数据销毁

三、判断题（共10题，每题2分，共20分，正确选√，错误选×）

信息安全的目标是彻底消除所有安全风险。（）

对称加密算法的加密密钥和解密密钥相同，加密效率高于非对称加密。（）

漏洞扫描工具可以发现所有系统安全漏洞。（）

等级保护中，第三级信息系统适用于涉及国家安全、公共利益的重要信息系统。（）

数据脱敏是指对敏感数据进行变形处理，使其不影响业务使用但无法还原原始数据。（）

防火墙可以替代入侵检测系统（IDS）的全部功能。（）

员工离职时，应及时回收其账号、权限及相关安全设备，属于人员安全管理范畴。（）

非对称加密算法可用于数据加密和数字签名。（）

网络安全事件发生后，应优先恢复业务，再追溯攻击源头。（）

我国《数据安全法》规定，重要数据应当实行出境安全评估制度。（）

四、案例分析题（共1题，30分）

某互联网科技公司主营业务为在线教育平台，存储了大量用户（含未成年人）的个人信息、学习数据及交易记录。近期，该公司遭遇黑客攻击，导致部分用户信息泄露，包括姓名、手机号、家庭住址等敏感数据，引发用户投诉和媒体关注。

请结合CISP相关知识，回答以下问题：

该事件属于哪类安全事件？违反了哪些信息安全核心属性？（10分）

针对该事件，公司应启动应急响应的哪些关键步骤？（10分）

为避免类似事件再次发生，公司应从哪些方面完善信息安全保障体系？（10分）

参考答案及解析

一、单项选择题

B解析：漏洞扫描与补丁管理属于技术防护范畴，其余三项均为安全管理核心内容。

B解析：等级保护中，一级自主保护、二级指导保护、三级监督保护