CISP认证模拟试题及参考答案.docxVIP

CISP认证模拟试题及参考答案

一、单项选择题（共10题，每题3分，共30分）

以下哪项不属于信息安全管理体系（ISMS）的核心原则？（）

A.风险导向

B.持续改进

C.全员参与

D.技术优先

在信息安全风险评估中，“威胁利用漏洞导致资产损失的可能性”指的是（）

A.风险值

B.脆弱性

C.威胁发生概率

D.风险等级

某企业为保护核心业务系统数据，采用定期数据备份+异地存放的方式，该措施属于信息安全保障中的（）

A.预防措施

B.检测措施

C.恢复措施

D.响应措施

根据《网络安全法》，网络运营者应当对其收集的用户信息严格保密，并建立健全（）制度。

A.信息分级

B.信息保护

C.数据分类

D.隐私保护

以下哪种加密算法属于非对称加密算法？（）

A.AES

B.DES

C.RSA

D.3DES

信息安全事件响应中，“识别事件发生、确定事件范围和严重程度”属于哪个阶段的工作？（）

A.准备阶段

B.检测与分析阶段

C.遏制阶段

D.根除阶段

企业内部员工因操作失误导致敏感信息泄露，该风险属于（）

A.外部风险

B.技术风险

C.人为风险

D.环境风险

以下哪项不是等级保护2.0中网络安全等级保护的级别？（）

A.第一级（用户自主保护级）

B.第二级（系统审计保护级）

C.第三级（安全标记保护级）

D.第五级（强制保护级）

在访问控制中，“基于角色的访问控制（RBAC）”的核心是（）

A.基于用户身份分配权限

B.基于岗位角色分配权限

C.基于资源类型分配权限

D.基于操作行为分配权限

信息安全风险处理的方式不包括（）

A.风险规避

B.风险转移

C.风险忽略

D.风险降低

二、多项选择题（共5题，每题4分，共20分；多选、少选、错选均不得分）

以下属于信息安全“三大要素（CIA三元组）”的有（）

A.保密性（Confidentiality）

B.完整性（Integrity）

C.可用性（Availability）

D.可控性（Controllability）

网络安全防护技术中，属于边界防护的措施有（）

A.防火墙

B.入侵检测系统（IDS）

C.数据加密

D.虚拟专用网络（VPN）

信息安全管理体系（ISMS）建立过程中，需要制定的文件包括（）

A.安全方针

B.程序文件

C.作业指导书

D.记录表单

以下属于常见的信息安全威胁的有（）

A.恶意代码（病毒、木马等）

B.网络钓鱼

C.权限滥用

D.自然灾害

数据备份的关键要素包括（）

A.备份频率

B.备份介质

C.备份验证

D.备份恢复测试

三、判断题（共5题，每题2分，共10分；对的打“√”，错的打“×”）

信息安全的核心是保护信息的保密性，可用性和完整性无需优先考虑。（）

风险评估只需要在信息系统建设初期进行一次即可。（）

加密技术既能保护数据的保密性，也能保证数据的完整性。（）

等级保护2.0要求所有网络信息系统都必须达到第三级保护水平。（）

信息安全事件响应的最终目标是尽快恢复系统运行，无需追究相关人员责任。（）

四、案例分析题（共2题，每题20分，共40分）

案例一

某电商企业近期发生一起数据泄露事件：由于客服人员使用弱密码（123456）登录客户管理系统，被黑客暴力破解后，获取了10万条用户姓名、手机号、收货地址等信息，并在暗网出售。事件发生后，企业未及时发现，直到用户投诉才知晓。

请结合案例回答：

该事件中存在哪些信息安全风险点？（8分）

针对这些风险点，企业应采取哪些整改措施？（12分）

案例二

某政府部门计划上线一套政务服务系统，涉及公众个人信息查询、业务办理等功能。按照等级保护2.0要求，该系统被定为第三级。

请回答：

第三级网络安全等级保护的核心要求包括哪些方面？（10分）

该政务服务系统在数据安全方面应采取哪些防护措施？（10分）

参考答案及解析

一、单项选择题

D解析：ISMS核心原则包括风险导向、持续改进、全员参与等，技术是实现手段而非核心原则，故选D。

A解析：风险值=威胁发生概率×脆弱性严重程度×资产价值，题干描述符合风险值定义，故选A。

C解析：数据备份+异地存放的核心目的是灾难发生后恢复数据，属于恢复措施，故选C。

B解析：《网络安全法》第四十条明确要求网络运营者建立健全用户信息保护制度，故选B。

C解析：RSA是非对称加密算法，AES、DES、3DES均为对称加密算法，故选C。

B解析：检测与分析阶段的核