« 返回题库列表2026年CISP认证考试高频考点汇总|历年真题答案+备考资料免费下载
问题 #1
某网站为了开发的便利,使用SA 链接数据库,由于网站脚本中被发现存在SQL 注入漏洞,导致攻击者利用内置存储过程XP.cmctstell 删除了系统中的一个重要文件,在进行问题分析时,作为安全专家,你应该指出该网站设计违反了以下哪项原则:
问题 #2
微软提出了STRIDE 模型,其中Repudation(抵赖)的缩写,关于此项安全要求,下面描述错误的是()
A. 某用户在登陆系统并下载数据后,却声称“我没有下载过数据”,软件系统中的这种威胁就属于R 威胁
B. 解决R 威胁,可以选择使用抗抵赖性服务技术来解决,如强认证、数字签名、安全审计等技术措施
问题 #3
关于信息安全管理,下面理解片面的是()
A. 信息安全管理是组织整体管理的重要、固有组成部分,它是组织实现其业务目标的重要保障
B. 信息安全管理是一个不断演进、循环发展的动态过程,不是一成不变的
问题 #4
以下哪项制度或标准被作为我国的一项基础制度加以推行,并且有一定强制性,其实施的主要目标是有效地提高我国信息和信息系统安全建设的整体水平,重点保障基础信息网络和重要信息系统的安全()
A. 信息安全管理体系(ISMS)
B. 信息安全等级保护
问题 #5
小明是某大学计算科学与技术专业的毕业生,大四上学期开始找工作,期望谋求一份技术管理的职位,一次面试中,某公司的技术经理让小王谈一谈信息安全风险管理中的背景建立的几本概念与认识,小明的主要观点包括:(1)背景建立的目的是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,完成信息安全风险管理项目的规划和准备;(2)背景建立根据组织机构相关的行业经验执行,雄厚的经验有助于达到事半功倍的效果(3)背景建立包括:风险管理准备、信息系统调查、信息系统分析和信息安全分析(4.)背景建立的阶段性成果包括:风
问题 #6
降低风险(或减低风险)指通过对面的风险的资产采取保护措施的方式来降低风险,下面那个措施不属于降低风险的措施()
A. 减少威胁源,采用法律的手段制裁计算机的犯罪,发挥法律的威慑作用,从而有效遏制威胁源的动机
B. 签订外包服务合同,将有计算难点,存在实现风险的任务通过签订外部合同的方式交予第三方公司完成,通过合同责任条款来应对风险
问题 #7
关于风险要素识别阶段工作内容叙述错误的是:
A. 资产识别是指对需求保护的资产和系统等进行识别和分类
B. 威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性
问题 #8
某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后,认识到信息安全风险评估分为自评估和检查评估两种形式,该部门将有检查评估的特点和要求整理成如下四条报告给单位领导,其中描述错误的是
A. 检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估
B. 检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测
问题 #9
规范的实施流程和文档管理,是信息安全风险评估结能否取得成果的重要基础,按照规范的风险评估实施流程,下面哪个文档应当是风险要素识别阶段的输出成果()
A. 《风险评估方案》
B. 《需要保护的资产清单》
问题 #10
在信息安全管理的实施过程中,管理者的作用于信息安全管理体系能否成功实施非常重要,但是一下选项中不属于管理者应有职责的是()
A. 制定并颁发信息安全方针,为组织的信息安全管理体系建设指明方向并提供总体纲领,明确总体要求
B. 确保组织的信息安全管理体系目标和相应的计划得以制定,目标应明确、可度量,计划应具体、可事实
问题 #11
信息安全管理体系(Information Security Management System ,ISMS)的内部审核和管理审核是两项重要的管理活动,关于这两者,下面描述的错误是
A. 内部审核和管理评审都很重要,都是促进ISMS 持续改进的重要动力,也都应当按照一定的周期实施
B. 内部审核的实施方式多采用文件审核和现场审核的形式,而管理评审的实施方式多采用召开管理评审会议形式进行
问题 #12
在风险管理中,残余风险是指实施了新的或增强的安全措施后还剩下的风险,关于残余风险,下面描述错误的是()
A. 风险处理措施确定以后,应编制详细的残余风险清单,并获得管理层对残余风险的书面批准,这也是风险管理中的一个重要过程
B. 管理层确认接收残余风险,是对风险评估工作的一种肯定,表示管理层已经全面了解了组织所面临的风险,并理解在风险一旦变为现实后,组织能够且承担引发的后果
问题 #13
关于业务连续性计划(BCP)以下说法最恰当的是:
A. 组织为避免所有业务功能因重大事件而中断,减少业务风此案而建立的一个控制过程。
B. 组织为避免关键业务功能因重大事件而中断,减少业务风险而建立的一个控制过程。
问题 #14
在某次信息安全应急响应过程中,小王正在实施如下措施:消除或阻断攻击源,找到并消除系统的脆弱性/漏洞、修改安全策略,加强防范措施、格式化被感染而已程序的介质等,请问,按照应急响应方法,这些工作应处于以下哪个阶段()
问题 #15
关于信息安全事件管理和应急响应,以下说法错误的是:
A. 应急响应是指组织为了应急突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
B. 应急响应方法,将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪6 个阶段
问题 #16
对信息安全事件的分级参考下列三个要素:信息系统的重要程度、系统损失和社会影响,依据信息系统的重要程度对信息进行划分,不属于正确划分级别的是:
问题 #17
恢复时间目标(RTO)和恢复点目标(RPO)是信息系统灾难恢复中的重要概念,关于这两个值能否为零,正确的选项是()
A. RTO 可以为0,RPO 也可以为0
B. RTO 可以为0,RPO 不可以为0
问题 #18
某政府机构拟建设一机房,在工程安全监理单位参与下制定了招标文件,项目分二期,一期目标为年内实现系统上线运营,二期目标为次年上半年完成运行系统风险的处理:招标文件经营管理层审批后发布,就此工程项目而言,以下正确的是:
A. 此项目将项目目标分解为系统上线运营和运行系统风险处理分期实施,具有合理性和可行性
B. 在工程安全监理的参与下,确保了此招标文件的合理性
问题 #19
对系统工程(Systems Engineering ,SE )的理解,以下错误的是:
A. 系统工程偏重于对工程的组织与经营管理进行研究
B. 系统工程不属于技术实现,而是一种方法论
问题 #20
系统工程的模型之一霍尔三维结构模型由时间维、逻辑维和知识维组成。有关此模型,错误的是:
A. 霍尔三维机构体系形成地描述了系统工程研究的框架
B. 时间维表示系统工程活动从开始到结束按照时间顺序排列的全过程
问题 #21
北京某公司利用SSE-CMM 对其自身工程队伍能力进行自我改善,其理解正确的是:
A. 系统安全工程能力成熟度模型(SSE-CMM)定义了6 个能力级别,当工程队不能执行一个过程域中的基本实践时,该过程域的过程能力为0 级
B. 达到SSE-CMM 最高级以后,工程队伍执行同一个过程,每次执行结果质量必须相同。
问题 #22
以下哪一项不是信息系统集成项目的特点:
A. 信息系统集成项目要以满足客户和用户的需求为根本出发点。
B. 系统集成就是选择最好的产品和技术,开发响应的软件和硬件,将其集成到信息系统的过程。
问题 #23
信息安全工程监理是信息系统工程监理的重要组成部分,信息安全工程监理适用的信息化工程中,以下选择最合适的是:
问题 #24
以下关于信息安全工程说法正确的是:
A. 信息化建设中系统功能的实现是最重要的
B. 信息化建设可以实施系统,而后对系统进行安全加固
问题 #25
有关系统安全工程-能力成熟度模型(sse-cmm)中的基本实施(Base Practices ,BP),正确的理解是:
A. BP 是基于最新技术而制定的安全参数基本配置
B. 大部分BP 是没有进过测试的
问题 #26
有关系统安全工程-能力成熟度模型(SSE-CMM)中的通用实施(Generic Practices ,GP)错误理解是:
A. GP 是涉及过程的管理、测量和制度化方面的活动
B. GP 适用于域维中部分过程区域(Process Aractices ,PA)活动而非所有PA 的活动
问题 #27
在使用系统安全工程-能力成熟度模型(SSE-CCM)对一个组织的安全工程能力成熟度进行测量时,有关测量结果,错误的理解是:
A. 如果该组织在执行某个特定的过程区域时具备了一个特定级别的部分公共特征时,则这个组织在这个过程区域的能力成熟度未达到此级
B. 如果该组织某个过程区域(Process Areas,PA)具备了“定义标准过程”、“执行已定义的过程”两个公共特征,则此过程区域的能力成熟度级别达到3 级“充分定义级”
问题 #28
系统安全工程-能力成熟度模型(SSE-CMM)定义的包含评估威胁、评估脆弱性、评估影响和评估安全风险的基本过程领域是:
问题 #29
.以下行为不属于违反国家涉密规定的行为:
A. 将涉密计算机、涉密存储设备接入互联网及其他公共信息网络
B. 通过普通邮政等无保密及措施的渠道传递国家秘密载体
问题 #30
具有行政法律责任强制的安全管理规定和安全制度包括1>安全事件(包括安全事故)报告制度 2>安全等级保护制度 3>信息系统安全监控 4>安全专用产品销售许可证制度
问题 #31
信息系统建设完成后,()的信息系统的而运营使用单位应当选择符合国家规定的测评机构进行测评合格后方可投入使用
问题 #32
为了保障网络安全,维护网络安全空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,加强在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,2015 年6 月,第十二届全国人大常委会第十五次会议初次审议了一部法律草案,并与7 月6 日起在网上全文公布,向社会公开征求意见,这部法律草案是()
A. 《中华人民共和国保守国家秘密法(草案)》
B. 《中华人民共和国网络安全法(草案)》
问题 #33
为了进一步提高信息安全的保障能力和防护水平,保障和促进信息化建设的健康发展,公安部等4 部分联合发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号),对等级保护工作的开展提供宏观指导和约束,明确了等级保护工作的基本内容、工作要求和实施计划,以及各部门工作职责分工等,关于该文件,下面理解正确的是
A. 该文件时一个由部委发布的政策性文件,不属于法律文件
B. 该文件适用于2004 年的等级保护工作,其内容不能越苏到2005 年及之后的工作
问题 #34
CC 标准是目前系统安全认证方面最权威的而标准,那一项不是体现CC 标准的先进性?
A. 结构开放性,即功能和保证要求可以“保护轮廓”和“安全目标”中进行一步细化和扩展
B. 表达方式的通用性,即给出通用的表达方式
问题 #35
对于数字证书而言,一般采用的是哪个标准?
A. ISO/IEC 1540B
B. 802.11
D.X. 509
问题 #36
在可信计算机系统评估准则(TCSEC)中,下列哪一项是满足强制保护要求的最低级别?
问题 #37
关于标准,下面哪项理解是错误的()
A. 标准是在一定范围内为了获得最佳秩序,经协协商一致制定并由公认机构批准,共同重复使用的一种规范性文件,标准是标准化活动的重要成果
B. 国际标准是由国际标准化组织通过并公布的标准,同样是强制性标准,当国家标准和国际标准的条款发生冲突,应以国际标准条款为准。
问题 #38
2005 年,RFC4301(Request for Comments 4301:Security Architecture for the Intermet Protocol)发布,用以取代原先的RFC2401,该标准建议规定了IPsec 系统基础架构,描述如何在IP 层(IPv4/IPv6)为流量提供安全业务,请问此类RFC 系列标准建设是由哪个组织发布的()
问题 #39
关于信息安全管理体系,国际上有标准(ISO/IEC 27001:2013)而我国发布了《信息技术安全技术信息安全管理体系要求》(GB/T 22080-2008)请问,这两个标准的关系是:
A. IDT (等同采用),此国家标准等同于该国际标准,仅有或没有编辑性修改
B. EQV(等效采用),此国家标准不等效于该国际标准
问题 #40
信息安全工程监理的职责包括:
A. 质量控制、进度控制、成本控制、合同管理、信息管理和协调
B. 质量控制、进度控制、成本控制、合同管理和协调
问题 #41
关于信息安全保障的概念,下面说法错误的是:
A. 信息系统面临的风险和威胁是动态变化的,信息安全保障强调动态的安全理念
B. 信息安全保障已从单纯保护和防御阶段发展为集保护、检测和响应为一体的综合阶段
问题 #42
关于监理过程中成本控制,下列说法中正确的是?
A. 成本只要不超过预计的收益即可
B. 成本应控制得越低越好
问题 #43
下列关于ISO15408 信息技术安全评估准则(简称CC)通用性的特点,即给出通用的表达方式,描述不正确的是______。
A. 如果用户、开发者、评估者和认可者都使用CC 语言,互相就容易理解沟通
B. 通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义
问题 #44
对涉密系统进行安全保密测评应当依据以下哪个标准?
A. BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》
B. BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》
问题 #45
ISO/IEC27001《信息技术安全技术信息安全管理体系要求》的内容是基于()
A. BS7799-1《信息安全实施细则》
B. BS7799-2《信息安全管理体系规范》
问题 #46
在GB/T18336《信息技术安全性评估准则》(CC 标准)中,有关保护轮廓(Protection Profile,PP)和安全目标(Security Target,ST),错误的是:
A. PP 是描述一类产品或系统的安全要求
B. PP 描述的安全要求与具体实现无关
问题 #47
以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项重点工作内容之一?
A. 提高信息技术产品的国产化率
B. 保证信息安全资金投入
问题 #48
以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述?
A. 应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统安全保障的考虑
B. 应充分调研信息安全技术发展情况和信息安全产品市场,选择最先进的安全解决方案和技术产品
问题 #50
由于频繁出现软件运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是()
问题 #51
根据信息安全风险要素之间的关系,下图中空白处应该填写()
问题 #52
信息安全标准化工作是我国信息安全保障工作的重要组成部分之一,也是政府进行宏观管理的重要依据,同时也是保护国家利益,促进产业发展的重要手段之一,关于我国标准化工作,下面选项中描述错误的是()
问题 #53
最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个?
A. 软件在Linux 下按照时,设定运行时使用nobody 用户运行实例
B. 软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账号连接数据库
问题 #54
主机A 向主机B 发出的数据采用AH 或ESP 的传输模式对经过互联网的数据流量进行保护时,主机A 和主机B 的IP 地址在应该在下列哪个范围?
A. 10.0.0.0~10.255.255.255
B. 172.16.0.0~172.31.255.255 C、192.168.0.0~192.168.255.255
问题 #55
某电子商务网站最近发生了一起安全事件,出现了一个价值1000 元的商品用1 元被买走的情况,经分析是由于设计时出于性能考虑,在浏览时使用Http 协议,攻击者通过伪造数据包使得向购物车添加商品的价格被修改.利用此漏洞,攻击者将价值1000 元的商品以1 元添加到购物车中,而付款时又没有验证的环节,导致以上问题,对于网站的这个问题原因分析及解决措施。最正确的说法应该是?
A. 该问题的产生是由于使用了不安全的协议导致的,为了避免再发生类似的闯题,应对全网站进行安全改造,所有的访问都强制要求使用https
B. 该问题产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位,没有找到该威胁并采取相应的消减措施
问题 #56
以下哪个选项不是防火墙提供的安全功能?
问题 #57
以下关于可信计算说法错误的是:
A. 可信的主要目的是要建立起主动防御的信息安全保障体系
B. 可信计算机安全评价标准(TCSEC)中第一次提出了可信计算机和可信计算基的概念
问题 #58
Linux 系统对文件的权限是以模式位的形式来表示,对于文件名为test 的一个文件,属于admin 组中user 用户,以下哪个是该文件正确的模式表示?
A. - rwx r-x r-x 3 user admin 1024 Sep 13 11:58 test
B. d rwx r-x r-x 3 user admin 1024 Sep 13 11:58 test
问题 #59
Apache Web 服务器的配置文件一般位于/usr/local/apache/conf 目录,其中用来控制用户访问Apache 目录的配置文件是:
A. http
B. srL conf
D.Inet. conf
问题 #60
应用软件的数据存储在数据库中,为了保证数据安全,应设置良好的数据库防护策略,以下不属于数据库防护策略的是?
A. 安装最新的数据库软件安全补丁
B. 对存储的敏感数据进行安全加密
问题 #61
下列哪项内容描述的是缓冲区溢出漏洞?
A. 通过把SQL 命令插入到web 表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL 命令
B. 攻击者在远程WEB 页面的HTML 代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。
问题 #62
对恶意代码的预防,需要采取增强安全防范策略与意识等措施,关于以下预防措施或意识,说法错误的是:
A. 在使用来自外部的移动介质前,需要进行安全扫描
B. 限制用户对管理员权限的使用
问题 #63
安全专家在对某网站进行安全部署时,调整了Apache 的运行权限,从root 权限降低为nobody 用户,以下操作的主要目的是:
A. 为了提高Apache 软件运行效率
B. 为了提高Apache 软件的可靠性
问题 #64
下列关于计算机病毒感染能力的说法不正确的是:
A. 能将自身代码注入到引导区
B. 能将自身代码注入到扇区中的文件镜像
问题 #66
通过向被攻击者发送大量的ICMP 回应请求,消耗被攻击者的资源来进行响应,直至被攻击者再也无法处理有效的网络信息流时,这种攻击称之为:
问题 #67
以下哪个拒绝服务攻击方式不是流量型拒绝服务攻击
问题 #68
传输控制协议(TCP)是传输层协议,以下关于TCP 协议的说法,哪个是正确的?
A. 相比传输层的另外一个协议UDP,TCP 既提供传输可靠性,还同时具有更高的效率,因此具有广泛的用途
B. TCP 协议包头中包含了源IP 地址和目的IP 地址,因此TCP 协议负责将数据传送到正确的主机
问题 #69
以下关于UDP 协议的说法,哪个是错误的?
A. UDP 具有简单高效的特点,常被攻击者用来实施流量型拒绝服务攻击
B. UDP 协议包头中包含了源端口号和目的端口号,因此UDP 可通过端口号将数据包送达正确的程序
问题 #70
有关项目管理,错误的理解是:
A. 项目管理是一门关于项目资金、时间、人力等资源控制的管理科学
B. 项目管理是运用系统的观点、方法和理论,对项目涉及的全部工作进行有效地管理,不受项目资源的约束
问题 #71
近年来利用DNS 劫持攻击大型网站恶性攻击事件时有发生,防范这种攻击比较有效的方法是?
A. 加强网站源代码的安全性
B. 对网络客户端进行安全评估
问题 #72
关于源代码审核,下列说法正确的是:
A. 人工审核源代码审校的效率低,但采用多人并行分析可以完全弥补这个缺点
B. 源代码审核通过提供非预期的输入并监视异常结果来发现软件故障,从而定位可能导致安全弱点的薄弱之处
问题 #73
在戴明环(PDCA)模型中,处置(ACT)环节的信息安全管理活动是:
问题 #75
在信息系统设计阶段,“安全产品选择”处于风险管理过程的哪个阶段?
问题 #76
以下关于“最小特权”安全管理原则理解正确的是:
A. 组织机构内的敏感岗位不能由一个人长期负责
B. 对重要的工作进行分解,分配给不同人员完成
问题 #77
以下哪一项不属于常见的风险评估与管理工具:
A. 基于信息安全标准的风险评估与管理工具
B. 基于知识的风险评估与管理工具
问题 #78
以下说法正确的是:
A. 验收测试是由承建方和用户按照用户使用手册执行软件验收
B. 软件测试的目的是为了验证软件功能是否正确
问题 #79
信息系统安全保护等级为3 级的系统,应当()年进行一次等级测评?
问题 #80
国家科学技术秘密的密级分为绝密级、机密级、秘密级,以下哪项属于绝密级的描述?
A. 处于国际先进水平,并且有军事用途或者对经济建设具有重要影响的
B. 能够局部反应国家防御和治安实力的
问题 #81
关于我国加强信息安全保障工作的总体要求,以下说法错误的是:
A. 坚持积极防御、综合防范的方针
B. 重点保障基础信息网络和重要信息系统安全
问题 #82
根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》的规定,以下正确的是:
A. 涉密信息系统的风险评估应按照《信息安全等级保护管理办法》等国家有关保密规定和标准进行
B. 非涉密信息系统的风险评估应按照《非涉及国家秘密的信息系统分级保护管理办法》等要求进行
问题 #83
某单位信息安全岗位员工,利用个人业余时间,在社交网络平台上向业内同不定期发布信息安全相关知识和前沿动态资讯,这一行为主要符合以下哪一条注册信息安全专业人员(CISP)职业道德准则:
A. 避免任何损害CISP 声誉形象的行为
B. 自觉维护公众信息安全,拒绝并抵制通过计算机网络系统泄露个人隐私的行为
问题 #84
以下哪一项不是我国信息安全保障的原则:
A. 立足国情,以我为主,坚持以技术为主
B. 正确处理安全与发展的关系,以安全保发展,在发展中求安全
问题 #85
下列选项中,哪个不是我国信息安全保障工作的主要内容:
A. 加强信息安全标准化工作,积极采用“等同采用、修改采用、制定”等多种方式,尽快建立和完善我国信息安全标准体系
B. 建立国家信息安全研究中心,加快建立国家急需的信息安全技术体系,实现国家信息安全自主可控目标
问题 #86
关于信息安全管理,说法错误的是:
A. 信息安全管理是管理者为实现信息安全目标(信息资产的CIA 等特性,以及业务运作的持续)而进行的计划、组织、指挥、协调和控制的一系列活动。
B. 信息安全管理是一个多层面、多因素的过程,依赖于建立信息安全组织、明确信息安全角色及职责、制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术性的努力。
问题 #87
以下哪个选项不是信息安全需求的来源?
A. 法律法规与合同条约的要求
B. 组织的原则、目标和规定
问题 #88
下列关于信息系统生命周期中实施阶段所涉及主要安全需求描述错误的是:
A. 确保采购定制的设备、软件和其他系统组件满足已定义的安全要求
B. 确保整个系统已按照领导要求进行了部署和配置
问题 #89
下列关于信息系统生命周期中安全需求说法不准确的是:
A. 明确安全总体方针,确保安全总体方针源自业务期望
B. 描述所涉及系统的安全现状,提交明确的安全需求文档
问题 #90
小张在某单位是负责事信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候,小张主要负责讲解风险评估工作形式,小张认为:1.风险评估工作形式包括:自评估和检查评估;2.自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估;3.检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估;4.对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个,非此即彼.请问小张的所述论点中错误的是哪项:
问题 #91
小李在某单位是负责信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训,一次培训的时候,小李主要负责讲解风险评估方法。请问小李的所述论点中错误的是哪项:
A. 风险评估方法包括:定性风险分析、定量风险分析以及半定量风险分析
B. 定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例,因此具有随意性
问题 #92
风险评估工具的使用在一定程度上解决了手动评佑的局限性,最主要的是它能够将专家知识进行集中,使专家的经验知识被广泛使用,根据在风险评估过程中的主要任务和作用愿理,风险评估工具可以为以下几类,其中错误的是:
A. 风险评估与管理工具
B. 系统基础平台风险评估工具
问题 #93
为了解风险和控制风险,应当及时进行风险评估活动,我国有关文件指出:风险评估的工作形式可分为自评估和检查评估两种,关于自评估,下面选项中描述错误的是()。
A. 自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估
B. 自评估应参照相应标准、依据制定的评估方案和准则,结合系统特定的安全要求实施
问题 #94
信息安全风险评估是信息安全风险管理工作中的重要环节,在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》(国信办(2006)5 号)中,风险评估分为自评估和检查评估两种形式,并对两种工作形式提出了有关工作原则和要求,下面选项中描述正确的是( )。
A. 信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充
B. 信息安全风险评估应以检查评估为主,自评估和检查评估相互结合、互为补充
问题 #95
小王在学习定量风险评估方法后,决定试着为单位机房计算火灾的风险大小,假设单位机房的总价值为200 万元人民币,暴露系数(Exposure Factor,EF)是25%,年度发生率(Annualized Rate of Occurrence,ARO)为0.1,那么小王计算的年度预期损失(Annualized Loss Expectancy,ALE)应该是().
问题 #96
规范的实施流程和文档管理,是信息安全风险评估结能否取得成果的重要基础,某单位在实施风险评估时,形成了《风险评估方案》并得到了管理决策层的认可,在风险评估实施的各个阶段中,该《风险评估方案》应是如下( )中的输出结果。
问题 #97
规范的实施流程和文档管理,是信息安全风险评估能否取得成功的重要基础。某单41 位在实施风险评估时,形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中,该《待评估信息系统相关设备及资产清单》应是如下()
问题 #98
风险要素识别是风险评估实施过程中的一个重要步骤,有关安全要素,请选择一个最合适的选项()。
A. 识别面临的风险并赋值
B. 识别存在的脆弱性并赋值
问题 #99
某单位在实施信息安全风险评估后,形成了若干文挡,下面( )中的文挡不应属于风险评估中“风险评估准备”阶段输出的文档。
A. 《风险评估工作计划》,主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色及职责、经费预算和进度安排等内容
B. 《风险评估方法和工具列表》。主要包括拟用的风险评估方法和测试评估工具等内容
问题 #100
文档体系建设是信息安全管理体系(ISMS)建设的直接体现,下列说法不正确的是:
A. 组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规范文件等文档是组织的工作标准,也是ISMS 审核的依据
B. 组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和记录,对这些记录不需要保护和控制
闽公网安备 35012102500533号
|
闽ICP备18010967号-7