CISP信息安全系统管理系统习题.docx

CISP信息安全系统管理系统习题.docx

《CISP信息安全系统管理系统习题.docx》由会员分享，可在线阅读，更多相关《CISP信息安全系统管理系统习题.docx（26页珍藏版）》请在冰豆网上搜索。

CISP信息安全系统管理系统习题

1.根据相关标准，信息安全风险管理可以分为背景建立、风险评估，风险处理，批准监督、监控审查和沟通咨询等阶段。

模拟该流程。

文档《风险分析报告》应属于哪个阶段的输出成果（）。

A风险评估

B风险处理

C批准监督

D监控审查

2.

某单位在实施信息安全风险评估后，形成了若干文档，下面（）中的文档不应属于风险评估“准备”阶段输出的文档。

A《风险评估工作计划》，主要包括本次风险评估的目的、意义、围、目标、组织结构、角色进度安排等容

B《风险评估方法和工具列表》，主要包括拟用的风险评估方法和测试评估工具等容

C《已有安全措施列表》，主要包括经检查确认后的已有技术和管理各方面安全措施等容

D《风险评估准则要求》，主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、分类准则等容

3.规的实施流程和文档管理，是信息安全风险评估结果取得成果的重要基础，

20.8px;">按照规的风险评估实施流程，下面哪个文档应当是风险要素识别阶段的输出成果（）

A《风险评估方案》

B《重要保护的资产清单》

C《风险计算报告》

D《风险程度等级列表》

4.定量风险分析是从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，准确度量风险的可能性和损失量，小王采用该方法来为单位机房计算火灾的风险大小，假设单位机房的总价值为200万元人民币，暴露系数（ErpomireFactor,EF）是x，年度发生率（AnnuaIixedRatoofOccurrence,ARO）为0.1，而小王计算的年度预期损失（AnnuaIixedLossRrpectancy,ALE）值为5万元人民币。

由此x值应该是（）

5.不同的信息安全风险评估方法可能得到不同的风险评估结果，所以组织机构应当根据各自的实际情况，选择适当的风险评估方法，下面的描述中，错误的是（）

A定量风险分析是用从财务数字上对安全风险进行评估，得出可以量化的风险分析结果，以度量风险的可能性和损失量

B定量风险分析相比定性风险分析能得到准确的数值，所以在实际工作中应使用定量风险分析，而不应选择定性风险分析

C定性风险分析过程中，往往需要凭借分析者的经验直接进行，所以分析结果和风险评估团队的素质、经验和知识技能密切相关

D定性风险分析更具有主观性，而定量风险分析更具客观性

6.某单位在一次信息安全风险管理活动中，风险评估报告提出服务器A的PTP服务存在高风险的漏洞，随后该单位在风险处理时选择了关闭PTP服务的处理措施，请问该措施属于哪种风险处理方式（）

A风险降低

B风险规避

C风险转移

D风险接受

7.残余风险是风险管理中的一个重要概念，在信息安全风险管理中，关于残余风险描述错误的是（）

A残余风险是采取了安全措施后，仍然可能存在的风险，一般来说，是在综合考虑了安全成本与效益后不去控制的风险

B残余风险应受到密切监理，它会随着时间的推移而发生变化，可能会在将来诱发新的安全事件

C实施风险处理时，应将残余风险清单告知信息系统所在组织的高管，使其了解残余风险的存在和可能造成的后果

D信息安全风险处理的主要准则是尽可能降低和控制信息安全风险，以最小的残余风险值作为风险管理效果评估指标

9.某公司正在进行信息安全风险评估，在决定信息资产的分类与分级时，谁负有最终责任？

A:

部门经理

B:

高级管理层

C:

信息资产所有者

D:

最终用户

10.以下对信息安全风险管理理解最准确的说法是：

A:

了解风险

B:

转移风险

C:

了解风险并控制风险

D:

了解风险并转移风险

11.在信息安全风险管理工作中，识别风险时主要重点考虑的要素应包括：

A:

资产及其价值、威胁、脆弱性、现有的和计划的控制措施

B:

资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施

C:

完整性、可用性、性、不可抵赖性

D:

以上都不正确

12.以下哪一项不是信息安全风险分析过程中所要完成的工作：

A:

识别用户

B:

识别脆弱性

C:

评估资产价值

D:

计算机安全事件发生的可能性

13.王工是某单位系统管理员，他在某次参加了单位组织的风险管理工作时，发现当前案例中共有两个重要资产：

资产A1和资产A2；其中资产A1面临两个主要威胁：

威胁T1和威胁T2；而资产A2面临一个主要威胁：

威胁T3；威胁T1可以利用的资产A1存在的两个脆弱性；脆弱性V1和脆弱性V2：

威胁T2可以利用资产A1存在的三个脆弱性，脆弱性V3、脆弱性V4和脆弱性V5;威胁T3可以利用的资产A2存在的两个脆弱性，脆弱性V6和脆弱性V7.根据上述条件，请问：

使用相乘法时，应该为资产A1计算几个风险值（）

A2

B3

C5

D6

14.A:

部计算机处理

B:

系统输入输出

C:

通讯和网络

D:

外部计算机处理

15.《信息安全技术信息安全风险评估规GB／T20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是：

A:

规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等。

B:

设计阶段的风险评估需要根据规划阶段所明确的系统运行环境.资产重要性，提出安全功能需求。

C:

实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发.实施过程进行风险识别，并对系统建成后的安全功能进行验证。

D:

运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种全面的风险评估，评估容包括对真实运行的信息系统、资产、脆弱性等各方面。

16.

以下关于项目的含义，理解错误的是（）

A项目是为达到特定的目的，使用一定资源，在确定的期间，为特定发起人而提供特定的产品，服务或成果而进行的一次性努力

B项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定

C项目资源指完成项目所需要的人、财、物等

D项目目标要遵守SWART原则，即项目的目标要求具体（Specific）、可测量（Measurehle）,需相关方的一致同意（Agree.to）、现实（Rcalistic）、有一定的时限（Time-oriented）

17.“CC”标准是测评标准类的重要标准，从该标准的容来看，下面哪项容是针对具体的被评测对象，描述了该对象的安全要求及其相关安全功能和安全措施，相当于从厂商角度制定的产品或系统实现方案（）。

A:

评估对象（TOE）

B:

保护轮廓（PP）

C:

安全目标（ST）

D:

评估保证级（EAL）

18.

关于信息安全管理体系，国际上有标准《InformationtechnologySecuritytechniquesInformationsecuritymanagementsystemsRequirements》（ISO/IEC27001：

2013），而我国发布了《信息技术安全技术信息安全管理体系要求》（GB/T22080-2008），请问，这两个标准的关系是（）。

A:

IDT（等同采用），此国家标准等同于该国际标准，仅有或没有编辑性修改

B:

EQV（等效采用），此国家标准等效于该国际标准，技术上只有很小差异

C:

NEQ（非等效采用）此国家标准不等效于该国际标准

D:

没有采用与否的关系，两者之间版本不同，不应直接比较

19.关于标准，下面哪项理解是错误的（）。

A:

标准是在一定围为了获得最佳秩序，经协商一致制定并由公认机构批准，共同重复使用的一种规性文件，标准是标准化活动的重要成果

B:

国际标准是由国际标准化组织通过并公开发布的标准，同样是强制性标准，当国家标准和国际标准的条款发生冲突时，应以国际标准条款为准

C:

行业标准是针对没有国家标准而又需要在全国某个行业围统一的技术要求而制定的标准，同样是强制性标准，当行业标准和国家标准的条款发生冲突时，应以国家标准条款为准

D:

地方标准由省、自治区、直辖市标准化行政主管部门制定，并报国务院标准化行政主管部门和国务院有关行政主管部门备案，在公布国家标准之后，该地方标准即应废止

20.关于信息安全管理体系的作用，下面理解错误的是（）。

A:

对而言，有助于建立起文档化的信息安全管理规，实现有“法”可依，有章可循，有据可查

B:

对而言，是一个光花钱不挣钱的事情，需要组织通过其他方面收入来弥补投入

C:

对外而言，有助于使各利益相关方对组织充满信心

D:

对外而言，能起到规外包工作流程和要求，帮助界定双方各自信息安全责任

21.以下哪些是需要在信息安全策略中进行描述的：

A:

组织信息系统安全架构

B:

信息安全工作的基本原则

C:

组织信息安全技术参数

D:

组织信息安全实施手段

22.下列哪些容应包含在信息系统战略计划中？

A:

已规划的硬件采购的规

B:

将来业务目标的分析

C:

开发项目的目标日期

D:

信息系统不同的年度预算目标

23.

ISO27002中描述的11个信息安全管理的控制领域不包括：

A:

信息安全组织

B:

资产管理

C:

容安全

D:

人力资源安全

24.

SSE-CMM将工程过程区域分为三类，即风险过程、工程过程、和保证过程，下面对于保证过程的说法错误的是：

A:

保证是指安全需求得到满足的可信任程度

B:

信任程度来自于对安全工程过程结果质量的判断

C:

自验证与证实安全的主要手段包括观察、论证、分析和测试

D:

PA“建立保证论据”为PA“验证与证实安全”提供了证据支持

25.

根据SSE-CMM信息安全工程过程可以划分为三个阶段，其中_______确立安全解决方案的置信度并且把这样的置信度传递给顾客。

A:

保证过程

B:

风险过程

C:

工程和保证过程

D:

安全工程过程

26.

SSE-CMM工程过程区域中的风险过程包含哪些过程区域：

A:

评估威胁、评估脆弱性、评估影响

B:

评估威胁、评估脆弱性、评估安全风险

C:

评估威胁、评估脆弱性、评估影响、评估安全风险

D:

评估威胁、评估脆弱性、评估影响、验证和证实安全

27.一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进行规的定义？

A:

2级——计划和跟踪

B:

3级——充分定义

C:

4级——量化控制

D:

5级——持续改进

28.在风险管理准备阶段“建立背景”（对象确立）过程中不应该做的是：

A:

分析系统的体系结构

B:

分析系统的安全环境

C:

制定风险管理计划

D:

调查系统的技术特性

29.下面有关能力成熟度模型的说法错误的是:

A:

能力成熟度模型可以分为过程能力方案（Continuous）和组织能力方案（Staged）两类

B:

使用过程能力方案时，可以灵活选择评估和改进哪个或哪些过程域

C:

使用组织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程域

D:

SSE-CMM是一种属于组织能力方案（Staged）的针对系统安全工程的能力成熟度模型

30.

下列哪项不是信息系统安全工程能力成熟度模型（SSE-CMM）的主要过程:

A:

风险过程

B:

保证过程

C:

工程过程

D:

评估过程

31.信息安全管理体系描述不正确的是:

A:

是一个组织整体管理体系的组成部分

B:

是有围和边界的

C:

是风险评估的手段

D:

其基本过程应遵循PDCA循环

32.对戴明环"PDCA"方法的描述不正确的是:

A:

“PDCA”的含义是P-计划，D-实施，C-检查，A-改进

B:

“PDCA”循环又叫"戴明"环

C:

“PDCA"循环是只能用于信息安全管理体系有效进行的工作程序

D:

“PDCA”循环是可用于任何一项活动有效进行的工作程序

33.下述选项中对于"风险管理"的描述不正确的是:

A:

风险管理是指导和控制一个组织相关风险的协调活动，它通常包括风险评估、风险处置、风险接受和风险沟通。

B:

风险管理的目的是了解风险并采取措施处置风险并将风险消除。

C:

风险管理是信息安全工作的重要基础，因此信息安全风险管理必须贯穿到信息安全保障工作、信息系统的整个生命周期中。

D:

在网络与信息系统规划设计阶段，应通过信息安全风险评估进一步明确安全需求和安全目标。

34.以下关于可信计算说法错误的是：

A:

可信的主要目的是要建立起主动防御的信息安全保障体系

B:

可信计算机安全评价标准（TCSEC）中第一次提出了可信计算机和可信计算机的概念

C:

可信的整体框架包含终端可信.终端应用可信.操作系统可信.网络互联可信.互联网交易等应用系统可信

D:

可信计算平台出现后会取代传统的安全防护体系和方法

35.

风险是需要保护的（）发生损失的可能性，它是（）和（）综合结果。

A:

资产，攻击目标，威胁事件

B:

设备，威胁，漏洞

C:

资产，威胁，脆弱性

D:

以上都不对

36.以下列哪种处置方法属于转移风险？

A:

部署综合安全审计系统

B:

对网络行为进行实时监控

C:

制订完善的制度体系

D:

聘用第三方专业公司提供维护外包服务

37.对操作系统打补丁和系统升级是以下哪种风险控制措施?

A:

降低风险

B:

规避风险

C:

转移风险

D:

接受风险

38.以下哪一项可认为是具有一定合理性的风险?

A:

总风险

B:

最小化风险

C:

可接受风险

D:

残余风险

39.在风险管理工作中“监控审查”的目的，一是:

________二是_________。

A:

保证风险管理过程的有效性，保证风险管理成本的有效性

B:

保证风险管理结果的有效性，保证风险管理成本的有效性

C:

保证风险管理过程的有效性，保证风险管理活动的决定得到认可

D:

保证风险管理结果的有效性，保证风险管理活动的决定得到认可

40.风险管理四个步骤的正确顺序是:

A:

背景建立、风险评估、风险处理、批准监督

B:

背景建立、风险评估、审核批准、风险控制

C:

风险评估、对象确立、审核批准、风险控制

D:

风险评估、风险控制、对象确立、审核批准

41.在风险管理的过程中，"建立背景"（即"对象确立"）的过程是哪四个活动?

A:

风险管理准备、信息系统调查、信息系统分析、信息安全分析

B:

风险管理准备、信息系统分析、信息安全分析、风险政策的制定

C:

风险管理准备、风险管理政策的制定、信息系统分析、信息安全分析

D:

确定对象、分析对象、审核对象、总结对象

42.

下列对风险分析方法的描述正确的是:

A:

定量分析比定性分析方法使用的工具更多

B:

定性分析比定量分析方法使用的工具更多

C:

同一组织只能使用一种方法进行评估

D:

符合组织要求的风险评估方法就是最优方法

43.

在一个有充分控制的信息处理计算中心中，下面哪一项可以由同一个人执行?

A:

安全管理和变更管理

B:

计算机操作和系统开发

C:

系统开发和变更管理

D:

系统开发和系统维护

44.以下关于“最小特权”安全管理原则理解正确的是:

A:

组织机构的敏感岗位不能由一个人长期负责

B:

对重要的工作进行分解，分配给不同人员完成

C:

一个人有且仅有其执行岗位所足够的许可和权限

D:

防止员工由一个岗位变动到另一个岗位，累积越来越多的权限

45.以下哪一个是对“岗位轮换”这一人员安全管理原则的正确理解?

A:

组织机构的敏感岗位不能由一个人长期负责

B:

对重要的工作进行分解，分配给不同人员完成

C:

一个人有且仅有其执行岗位所足够的许可和权限

D:

防止员工由一个岗位变动到另一个岗位，累积越来越多的权限

46.在构建一个单位的部安全管理组织体系的时候，以下哪一项不是必需考虑的容?

A:

高级管理层承诺对安全工作的支持

B:

要求雇员们遵从安全策略的指示

C:

在第三方协议中强调安全

D:

清晰地定义部门的岗位的职责

47.风险管理中使用的控制措施，不包括以下哪种类型？

A:

预防性控制措施

B:

管理性控制措施

C:

检查性控制措施

D:

纠正性控制措施

48.风险管理中的控制措施不包括以下哪一方面？

A:

行政

B:

道德

C:

技术

D:

管理

49.风险评估不包括以下哪个活动？

A:

中断引入风险的活动

B:

识别资产

C:

识别威胁

D:

分析风险

50.在信息安全风险管理工作中，识别风险时主要重点考虑的要素应包括：

A:

资产及其价值、威胁、脆弱性、现有的和计划的控制措施

B:

资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施

C:

完整性、可用性、性、不可抵赖性

D:

以上都不正确

51.以下哪一项不是信息安全风险分析过程中所要完成的工作：

A:

识别用户

B:

识别脆弱性

C:

评估资产价值

D:

计算机安全事件发生的可能性

52.

关于外包的论述不正确的是：

A:

企业经营管理中的诸多操作服务都可以外包

B:

通过业务外包，企业也把相应的风险承担者转移给了外包商，企业从此不必对外包业务负任何直接或间接的责任

C:

虽然业务可以外包，但是对与外包业务的可能的不良后果，企业仍然承担责任

D:

过多的外包业务可能产生额外的操作风险或其他隐患

53.

以下对PDCA循环解释不正确的是:

A:

处理

B:

实施

C:

检查

D:

行动

以下工作哪个不是计算机取证准备阶段的工作

A:

获得授权

B:

准备工具

C:

介质准备

D:

保护数据

以下关于ISO/IEC27001标准说法不正确的是：

A:

本标准可被部和外部相关方用于一致性评估，审核的重点就是组织信息安全的现状，对布属的信息安全控制是好的还是坏的做出评判

B:

本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS

C:

目前国际标准化组织推出的四个管理体系标准：

质量管理体系，职业健康安全管理体系、环境管理体系、信息安全管理体系，都采用了相同的方法，即PDCA模型

D:

本标准注重监视和评审，因为监视和评审是持续改进的基础，如果缺乏对执行情况和有效性的测量，改进就成了“无的放矢”

平行模拟法是指

A.开发一个模拟系统，将被审计单位真实数据放入模拟系统中运行，观察其输出是否与被审计单位信息系统相一致

B.在信息系统中建立虚拟实体，然后将有关数据与真实运行数据一起输入信息系统中处理，将虚拟实体的运行结果与预期进行比较

C.将已处理过的真实数据在相同的信息系统或程序副本上再处理一次，将二次结果与以前结果进行比较

D.以上都不对

下面哪一项安全控制措施不是用来检测XX的信息处理活动的：

A:

设置网络连接时限

B:

记录并分析系统错误日志

C:

记录并分析用户和管理员操作日志

D:

启用时钟同步

下列安全控制措施的分类中，哪个分类是正确的（P-预防性的，D-检测性的以及C-纠正性的控制）：

1.网络防火墙2.RAID级别33.银行账单的监督复审4.分配计算机用户标识5.交易日志

A:

P，P，C，D，andC

B:

D，C，C，D，andD

C:

P，C，D，P，andD

D:

P，D，P，P，andC

风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程，关于这些过程，以下的说法哪一个是正确的？

A:

风险分析准备的容是识别风险的影响和可能性

B:

风险要素识别的容是识别可能发生的安全事件对信息系统的影响程度

C:

风险分析的容是识别风险的影响和可能性

D:

风险结果判定的容是发生系统存在的威胁、脆弱性和控制措施

你来到服务器机房隔壁的一间办公室，发现窗户坏了。

由于这不是你的办公室，你要求在这里办公的员工请维修工来把窗户修好。

你离开后，没有再过问这扇窗户的事情。

这件事的结果对与特定脆弱性相关的威胁真正出现的可能性会有什么影响？

A:

如果窗户被修好，威胁真正出现的可能性会增加

B:

如果窗户被修好，威胁真正出现的可能性会保持不变

C:

如果窗户没有被修好，威胁真正出现的可能性会下降

D:

如果窗户没有被修好，威胁真正出现的可能性会增加

计算机应急响应小组的简称是？

A:

CERT

B:

FIRST

C:

SANA

D:

CEAT

在金融交易的电子数据交换（EDI）通信过程中，对金额字段计算校验和是为确保

A.完整性

B.实性

C.授权

D.不可否认性

数据输入、处理和输出控制审计属于下列哪一项审计的畴

A.应用控制审计

B.一般控制审计

C.项目管理审计

D.以上都不对

选择审计流程时，信息安全审计师应运用自己的专业性判断，以确保

A.收集充分的证据

B.所有识别出的重大缺陷在合理的期限均得以纠正

C.识别出所有严重漏洞

D.将审计成本控制在最低水平

执行计算机取证调查时，对于收集到证据，IS审计师最应关注的是

A.证据的分析

B.证据的评估

C.证据的保存

D.证据的泄露

下列哪种说法针对审计证据可靠性的说法是错误的

A.间接获取的审计证据比直接获取的审计证据更可靠

B.从被审计单位直接观察测试获取的审计证据比经被审计单位加工处理后提交的审计证据更可靠

C.原件形式的审计证据比复制件形式的审计证据更可靠

D.以上都不对

在以下那种情况下，组织应当对公众和媒体告知其信息系统中发生的信息安全事件？

A 当信息安全事件的负面影响扩展到本组织以外时

B 只要发生了安全事件就应当公告

C 只有公众的生命财产安全受到巨大危害时才公告

D 当信息安全事件平息后 

信息安全管理体系（informationSecurltyManagementSystem.简称ISMS）要求建立过程体系，该过程体系是在如下（）基础上构建的。

A:

IATF（InformationAssuranceTechnicalFramework）

B:

P2DR（Policy，Protection，Detection，Response）

C:

PDCERF（Preparation，Detection，Containment，Eradication，Recovery，Follow-up）

D:

PDCA（Plan，Do，Check，Act）

关于风险要素识别阶段工作容叙述错误的是：

A:

资产识别是指对需要保护的资产和系统等进行识别和分类

B:

威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性

C:

脆弱性识别以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估

D:

确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：

物理平台、系统平台、网络平台和应用平台

企业资源规划中的总帐设置功能允许设定会计期间。

对此功能的访问被授予财务、仓库和订单录入部门的用户。

这种广泛的访问最有可能是因为：

A:

经常性地修改会计期间的需要

B:

需要向关闭的会计期间过入分录

C:

缺乏适当的职责分工政策和步骤

D:

需要创建和修改科目表及其分配

许多组织强制要求雇员休假一周或更长时间，以便：

A:

确保雇员维持生产质量，从而生产力更高

B:

减少雇员从事不当或非法行为的机会

C:

为其他雇员提供交叉培训

D:

消除当某个雇员一次休假一天造成的潜在的混乱

文档体系建设是信息安全管理体系（ISMS）建设的直接体现，下列说法不正确的是：

A:

组织的信息安全方针文件.信息安全规章制度文件.信息安全相关操作规文件等文档是组织的工作标准，也是ISMS审核的依据

B:

组织的业务系统日志文件.风险评估报告等文档是对上一级文件的执行和记录，对这些记录不需要保护和控制

C:

组织在每份文件的首页，加上文件修订跟踪表，以显示每一版本的版本号.发布日期.编写人.审批人.主要修订等容

D:

层次化的文档是ISMS建设