CISP考題測(cè)試（二）偏軟件開(kāi)發(fā)和風(fēng)險(xiǎn)管理附答案

1、CISP考題測(cè)試（二）偏軟件開(kāi)發(fā)和風(fēng)險(xiǎn)管理1. 以下哪一種人給公司帶來(lái)最大的安全風(fēng)險(xiǎn)？ 單選題 *A.臨時(shí)工B.咨詢?nèi)藛TC.以前員工D.當(dāng)前員工(正確答案)答案解析：D2. 一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的什么叫做過(guò)程？ 單選題 *A.數(shù)據(jù)B.信息流C.活動(dòng)(正確答案)D.模塊答案解析：C3. 系統(tǒng)地識(shí)別和管理組織所應(yīng)用的過(guò)程，特別是這些過(guò)程之間的相互作用，稱為什么？ 單選題 *A.戴明循環(huán)B.過(guò)程方法(正確答案)C.管理體系D. 服務(wù)管理答案解析：B4. 拒絕式服務(wù)攻擊會(huì)影響信息系統(tǒng)的哪個(gè)特性？ 單選題 *A.完整性B.可用性(正確答案)C.機(jī)密性D.可控性答案解析：B5. 在信息

2、系統(tǒng)安全中，風(fēng)險(xiǎn)由以下哪兩種因素共同構(gòu)成的？ 單選題 *A.攻擊和脆弱性B.威脅和攻擊C.威脅和脆弱性(正確答案)D.威脅和破壞答案解析：C6. 在信息系統(tǒng)安全中，暴露由以下哪兩種因素共同構(gòu)成的？ 單選題 *A.攻擊和脆弱性(正確答案)B.威脅和攻擊C.威脅和脆弱性D.威脅和破壞答案解析：A7. 信息安全管理最關(guān)注的是？ 單選題 *A.外部惡意攻擊B.病毒對(duì)PC的影響C.內(nèi)部惡意攻擊(正確答案)D. 病毒對(duì)網(wǎng)絡(luò)的影響答案解析：C8. 從風(fēng)險(xiǎn)管理的角度，以下哪種方法不可取？ 單選題 *A.接受風(fēng)險(xiǎn)B.分散風(fēng)險(xiǎn)C.轉(zhuǎn)移風(fēng)險(xiǎn)D.拖延風(fēng)險(xiǎn)(正確答案)答案解析：D9. ISMS文檔體系中第一層文件是？

3、單選題 *A.信息安全方針政策(正確答案)B.信息安全工作程序C.信息安全作業(yè)指導(dǎo)書D.信息安全工作記錄答案解析：A10. 以下哪種風(fēng)險(xiǎn)被定義為合理的風(fēng)險(xiǎn)？ 單選題 *A.最小的風(fēng)險(xiǎn)B.可接收風(fēng)險(xiǎn)(正確答案)C.殘余風(fēng)險(xiǎn)D.總風(fēng)險(xiǎn)答案解析：B11. 從目前的情況看，對(duì)所有的計(jì)算機(jī)系統(tǒng)來(lái)說(shuō)，以下哪種威脅是最為嚴(yán)重的，可能造成巨大的損害？ 單選題 *A.沒(méi)有充分訓(xùn)練或粗心的用戶B.第三方C.黑客D.心懷不滿的雇員(正確答案)答案解析：D12. 如果將風(fēng)險(xiǎn)管理分為風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)減緩，那么以下哪個(gè)不屬于風(fēng)險(xiǎn)減緩的內(nèi)容？ 單選題 *A.計(jì)算風(fēng)險(xiǎn)(正確答案)B.選擇合適的安全措施C.實(shí)現(xiàn)安全措施D.接受殘

4、余風(fēng)險(xiǎn)答案解析：A13. 通常最好由誰(shuí)來(lái)確定系統(tǒng)和數(shù)據(jù)的敏感性級(jí)別？ 單選題 *A.審計(jì)師B.終端用戶C.擁有者(正確答案)D.系統(tǒng)分析員答案解析：C14. 風(fēng)險(xiǎn)分析的目的是？ 單選題 *A.在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行技術(shù)平衡；B.在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行運(yùn)作平衡；C.在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行經(jīng)濟(jì)平衡；(正確答案)D.在實(shí)施保護(hù)所需的成本與風(fēng)險(xiǎn)可能造成的影響之間進(jìn)行法律平衡；答案解析：C15. 以下哪個(gè)不屬于信息安全的三要素之一？ 單選題 *A. 機(jī)密性B. 完整性C.抗抵賴性(正確答案)D.可用性答案解析：C16. ISM

5、S指的是什么？ 單選題 *A.信息安全管理B.信息系統(tǒng)管理體系C.信息系統(tǒng)管理安全D.信息安全管理體系(正確答案)答案解析：D17. 在確定威脅的可能性時(shí)，可以不考慮以下哪個(gè)？ 單選題 *A. 威脅源B.潛在弱點(diǎn)C.現(xiàn)有控制措施D.攻擊所產(chǎn)生的負(fù)面影響(正確答案)答案解析：D18. 在風(fēng)險(xiǎn)分析中，以下哪種說(shuō)法是正確的？ 單選題 *A.定量影響分析的主要優(yōu)點(diǎn)是它對(duì)風(fēng)險(xiǎn)進(jìn)行排序并對(duì)那些需要立即改善的環(huán)節(jié)進(jìn)行標(biāo)識(shí)。B. 定性影響分析可以很容易地對(duì)控制進(jìn)行成本收益分析。C.定量影響分析不能用在對(duì)控制進(jìn)行的成本收益分析中。D. 定量影響分析的主要優(yōu)點(diǎn)是它對(duì)影響大小給出了一個(gè)度量(正確答案)答案解析：D1

6、9. 通常情況下，怎樣計(jì)算風(fēng)險(xiǎn)？ 單選題 *A.將威脅可能性等級(jí)乘以威脅影響就得出了風(fēng)險(xiǎn)。(正確答案)B. 將威脅可能性等級(jí)加上威脅影響就得出了風(fēng)險(xiǎn)。C.用威脅影響除以威脅的發(fā)生概率就得出了風(fēng)險(xiǎn)。D. 用威脅概率作為指數(shù)對(duì)威脅影響進(jìn)行乘方運(yùn)算就得出了風(fēng)險(xiǎn)。答案解析：A20. 資產(chǎn)清單可包括？ 單選題 *A.服務(wù)及無(wú)形資產(chǎn)B.信息資產(chǎn)C.人員D.以上所有(正確答案)答案解析：D21. 評(píng)估IT風(fēng)險(xiǎn)被很好的達(dá)到，可以通過(guò)： 單選題 *A.評(píng)估IT資產(chǎn)和IT項(xiàng)目總共的威脅(正確答案)B.用公司的以前的真的損失經(jīng)驗(yàn)來(lái)決定現(xiàn)在的弱點(diǎn)和威脅C.審查可比較的組織出版的損失數(shù)據(jù)D.一句審計(jì)拔高審查IT控制弱點(diǎn)

7、答案解析：A22. 在部署風(fēng)險(xiǎn)管理程序的時(shí)候，哪項(xiàng)應(yīng)該最先考慮到： 單選題 *A.組織威脅，弱點(diǎn)和風(fēng)險(xiǎn)概括的理解(正確答案)B. 揭露風(fēng)險(xiǎn)的理解和妥協(xié)的潛在后果C. 基于潛在結(jié)果的風(fēng)險(xiǎn)管理優(yōu)先級(jí)的決心D. 風(fēng)險(xiǎn)緩解戰(zhàn)略足夠在一個(gè)可以接受的水平上保持風(fēng)險(xiǎn)的結(jié)果答案解析：A23. 為了解決操作人員執(zhí)行日常備份的失誤，管理層要求系統(tǒng)管理員簽字日常備份，這是一個(gè)風(fēng)險(xiǎn)例子： 單選題 *A.防止B.轉(zhuǎn)移C. 緩解(正確答案)D.接受答案解析：C24. 以下哪項(xiàng)不屬于PDCA循環(huán)的特點(diǎn)？ 單選題 *A.按順序進(jìn)行，它靠組織的力量來(lái)推動(dòng)，像車輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán)B.組織中的每個(gè)部分，甚至個(gè)人，均可

8、以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問(wèn)題C.每通過(guò)一次PDCA 循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行第二次PDCA 循環(huán)D組織中的每個(gè)部分，不包括個(gè)人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問(wèn)題(正確答案)答案解析：D25. 戴明循環(huán)執(zhí)行順序，下面哪項(xiàng)正確？ 單選題 *A.PLAN-ACT-DO-CHECKB. CHECK-PLAN-ACT-DOC. PLAN-DO-CHECK-ACT(正確答案)D. ACT-PLAN-CHECK-DO答案解析：C26. 建立ISMS的第一步是？ 單選題 *A.風(fēng)險(xiǎn)評(píng)估B.設(shè)計(jì)ISMS文檔C. 明確ISMS范圍(正確答案)D. 確定ISMS 策

9、略答案解析：C27. 建立ISMS的步驟正確的是？ 單選題 *A.明確ISMS范圍-確定ISMS策略-定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾(審批)(正確答案)B.定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾(審批)-確定ISMS策略C.確定ISMS策略-明確ISMS范圍-定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾(審批)D.明確ISMS范圍-定義風(fēng)險(xiǎn)評(píng)估方法-進(jìn)行風(fēng)險(xiǎn)評(píng)估-設(shè)計(jì)和選擇風(fēng)險(xiǎn)處置方法-確定ISMS策略-設(shè)計(jì)ISMS文件-進(jìn)行管理者承諾(審批)

10、答案解析：A28. 除以下哪項(xiàng)可作為ISMS審核(包括內(nèi)審和外審)的依據(jù)，文件審核、現(xiàn)場(chǎng)審核的依據(jù)？ 單選題 *A.機(jī)房登記記錄B.信息安全管理體系C.權(quán)限申請(qǐng)記錄D.離職人員的口述(正確答案)答案解析：D29. 以下哪項(xiàng)是 ISMS文件的作用？ 單選題 *A. 是指導(dǎo)組織有關(guān)信息安全工作方面的內(nèi)部“法規(guī)”-使工作有章可循。B.是控制措施(controls)的重要部分C.提供客觀證據(jù)-為滿足相關(guān)方要求，以及持續(xù)改進(jìn)提供依據(jù)D.以上所有(正確答案)答案解析：D30. 以下哪項(xiàng)不是記錄控制的要求？ 單選題 *A.清晰、易于識(shí)別和檢索B.記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形

11、成文件并實(shí)施C. 建立并保持，以提供證據(jù)D.記錄應(yīng)盡可能的達(dá)到最詳細(xì)(正確答案)答案解析：D31. 下面哪項(xiàng)是信息安全管理體系中CHECK(檢查)中的工作內(nèi)容？ 單選題 *A.按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審(正確答案)B.實(shí)施所選擇的控制措施C.采取合適的糾正和預(yù)防措施。從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)D.確保改進(jìn)達(dá)到了預(yù)期目標(biāo)答案解析：A32. 指導(dǎo)和規(guī)范信息安全管理的所有活動(dòng)的文件叫做？ 單選題 *A.過(guò)程B.安全目標(biāo)C.安全策略(正確答案)D.安全范圍答案解析：C33. 信息安全管理措施不包括： 單選題 *A. 安全策略B.物理和環(huán)境安全C.訪問(wèn)控制D.安全范圍(正確答案)

12、答案解析：D34. 下面安全策略的特性中，不包括哪一項(xiàng)？ 單選題 *A. 指導(dǎo)性B.靜態(tài)性(正確答案)C.可審核性D.非技術(shù)性答案解析：B35. 信息安全活動(dòng)應(yīng)由來(lái)自組織不同部門并具備相關(guān)角色和工作職責(zé)的代表進(jìn)行，下面哪項(xiàng)包括非典型的安全協(xié)調(diào)應(yīng)包括的人員？ 單選題 *A.管理人員、用戶、應(yīng)用設(shè)計(jì)人員B.系統(tǒng)運(yùn)維人員、內(nèi)部審計(jì)人員、安全專員C.內(nèi)部審計(jì)人員、安全專員、領(lǐng)域?qū)＜褼.應(yīng)用設(shè)計(jì)人員、內(nèi)部審計(jì)人員、離職人員(正確答案)答案解析：D36. 下面那一項(xiàng)不是風(fēng)險(xiǎn)評(píng)估的目的？ 單選題 *A.分析組織的安全需求B.制訂安全策略和實(shí)施安防措施的依據(jù)C.組織實(shí)現(xiàn)信息安全的必要的、重要的步驟D.完全消除

13、組織的風(fēng)險(xiǎn)(正確答案)答案解析：D37. 下面那個(gè)不是信息安全風(fēng)險(xiǎn)的要素？ 單選題 *A.資產(chǎn)及其價(jià)值B.數(shù)據(jù)安全(正確答案)C.威脅D.控制措施答案解析：B38. 信息安全風(fēng)險(xiǎn)管理的對(duì)象不包括如下哪項(xiàng) 單選題 *A.信息自身B.信息載體C.信息網(wǎng)絡(luò)(正確答案)D.信息環(huán)境答案解析：C39. 信息安全風(fēng)險(xiǎn)管理的最終責(zé)任人是？ 單選題 *A.決策層(正確答案)B.管理層C.執(zhí)行層D.支持層答案解析：A40. 信息安全風(fēng)險(xiǎn)評(píng)估對(duì)象確立的主要依據(jù)是什么 單選題 *A.系統(tǒng)設(shè)備的類型B.系統(tǒng)的業(yè)務(wù)目標(biāo)和特性(正確答案)C.系統(tǒng)的技術(shù)架構(gòu)D.系統(tǒng)的網(wǎng)絡(luò)環(huán)境答案解析：B41. 下面哪一項(xiàng)不是風(fēng)險(xiǎn)評(píng)估的過(guò)程

14、？ 單選題 *A.風(fēng)險(xiǎn)因素識(shí)別B.風(fēng)險(xiǎn)程度分析C.風(fēng)險(xiǎn)控制選擇(正確答案)D.風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)答案解析：C42. 風(fēng)險(xiǎn)控制是依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇和實(shí)施合適的安全措施。下面哪個(gè)不是風(fēng)險(xiǎn)控制的方式？ 單選題 *A.規(guī)避風(fēng)險(xiǎn)B.轉(zhuǎn)移風(fēng)險(xiǎn)C.接受風(fēng)險(xiǎn)(正確答案)D.降低風(fēng)險(xiǎn)答案解析：C43. 降低風(fēng)險(xiǎn)的控制措施有很多，下面哪一個(gè)不屬于降低風(fēng)險(xiǎn)的措施？ 單選題 *A.在網(wǎng)絡(luò)上部署防火墻B.對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密C.制定機(jī)房安全管理制度D.購(gòu)買物理場(chǎng)所的財(cái)產(chǎn)保險(xiǎn)(正確答案)答案解析：D44. 信息安全審核是指通過(guò)審查、測(cè)試、評(píng)審等手段，檢驗(yàn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的結(jié)果是否滿足信息系統(tǒng)的安全要求，這個(gè)工作一

15、般由誰(shuí)完成？ 單選題 *A.機(jī)構(gòu)內(nèi)部人員B.外部專業(yè)機(jī)構(gòu)C.獨(dú)立第三方機(jī)構(gòu)D.以上皆可(正確答案)答案解析：D45. 如何對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的過(guò)程進(jìn)行質(zhì)量監(jiān)控和管理？ 單選題 *A.對(duì)風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)的漏洞進(jìn)行確認(rèn)B.針對(duì)風(fēng)險(xiǎn)評(píng)估的過(guò)程文檔和結(jié)果報(bào)告進(jìn)行監(jiān)控和審查(正確答案)C.對(duì)風(fēng)險(xiǎn)評(píng)估的信息系統(tǒng)進(jìn)行安全調(diào)查D.對(duì)風(fēng)險(xiǎn)控制測(cè)措施有有效性進(jìn)行測(cè)試答案解析：B46. 信息系統(tǒng)的價(jià)值確定需要與哪個(gè)部門進(jìn)行有效溝通確定？ 單選題 *A.系統(tǒng)維護(hù)部門B.系統(tǒng)開(kāi)發(fā)部門C.財(cái)務(wù)部門D.業(yè)務(wù)部門(正確答案)答案解析：D47. 下面哪一個(gè)不是系統(tǒng)規(guī)劃階段風(fēng)險(xiǎn)管理的工作內(nèi)容 單選題 *A.明確安全總體方針B.明確系

16、統(tǒng)安全架構(gòu)(正確答案)C.風(fēng)險(xiǎn)評(píng)價(jià)準(zhǔn)則達(dá)成一致D.安全需求分析答案解析：B48. 下面哪一個(gè)不是系統(tǒng)設(shè)計(jì)階段風(fēng)險(xiǎn)管理的工作內(nèi)容 單選題 *A.安全技術(shù)選擇B.軟件設(shè)計(jì)風(fēng)險(xiǎn)控制C.安全產(chǎn)品選擇D.安全需求分析(正確答案)答案解析：D49. 下面哪一個(gè)不是系統(tǒng)實(shí)施階段風(fēng)險(xiǎn)管理的工作內(nèi)容 單選題 *A.安全測(cè)試B.檢查與配置C.配置變更(正確答案)D.人員培訓(xùn)答案解析：C50. 下面哪一個(gè)不是系統(tǒng)運(yùn)行維護(hù)階段風(fēng)險(xiǎn)管理的工作內(nèi)容 單選題 *A.安全運(yùn)行和管理B.安全測(cè)試(正確答案)C.變更管理D.風(fēng)險(xiǎn)再次評(píng)估答案解析：B51. 下面哪一個(gè)不是系統(tǒng)廢棄階段風(fēng)險(xiǎn)管理的工作內(nèi)容 單選題 *A.安全測(cè)試(正確

17、答案)B.對(duì)廢棄對(duì)象的風(fēng)險(xiǎn)評(píng)估C.防止敏感信息泄漏D.人員培訓(xùn)答案解析：A52. 系統(tǒng)上線前應(yīng)當(dāng)對(duì)系統(tǒng)安全配置進(jìn)行檢查，不包括下列哪種安全檢查 單選題 *A.主機(jī)操作系統(tǒng)安全配置檢查B.網(wǎng)絡(luò)設(shè)備安全配置檢查C.系統(tǒng)軟件安全漏洞檢查(正確答案)D.數(shù)據(jù)庫(kù)安全配置檢查答案解析：C53. 風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中資產(chǎn)識(shí)別的依據(jù)是什么 單選題 *A.依據(jù)資產(chǎn)分類分級(jí)的標(biāo)準(zhǔn)(正確答案)B.依據(jù)資產(chǎn)調(diào)查的結(jié)果C.依據(jù)人員訪談的結(jié)果D.依據(jù)技術(shù)人員提供的資產(chǎn)清單答案解析：A54. 風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中資產(chǎn)識(shí)別的范圍主要包括什么類別 單選題 *A.網(wǎng)絡(luò)硬件資產(chǎn)B.數(shù)據(jù)資產(chǎn)C.軟件資產(chǎn)D.以上都包括(正確答案)答案解析

18、：D55. 風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中脆弱性識(shí)別主要包括什么方面 單選題 *A.軟件開(kāi)發(fā)漏洞B.網(wǎng)站應(yīng)用漏洞C.主機(jī)系統(tǒng)漏洞D.技術(shù)漏洞與管理漏洞(正確答案)答案解析：D56. 下面哪一個(gè)不是脆弱性識(shí)別的手段 單選題 *A.人員訪談B.技術(shù)工具檢測(cè)C.信息資產(chǎn)核查(正確答案)D.安全專家人工分析答案解析：C57. 信息資產(chǎn)面臨的主要威脅來(lái)源主要包括 單選題 *A.自然災(zāi)害B.系統(tǒng)故障C.內(nèi)部人員操作失誤D.以上都包括(正確答案)答案解析：D58. 下面關(guān)于定性風(fēng)險(xiǎn)評(píng)估方法的說(shuō)法正確的是 單選題 *A.通過(guò)將資產(chǎn)價(jià)值和風(fēng)險(xiǎn)等量化為財(cái)務(wù)價(jià)值和方式來(lái)進(jìn)行計(jì)算的一種方法B.采用文字形式或敘述性的數(shù)值范圍來(lái)描述

19、潛在后果的大小程度及這些后果發(fā)生的可能性(正確答案)C.在后果和可能性分析中采用數(shù)值，并采用從各種各樣的來(lái)源中得到的數(shù)據(jù)D.定性風(fēng)險(xiǎn)分析提供了較好的成本效益分析答案解析：B59. 下面關(guān)于定性風(fēng)險(xiǎn)評(píng)估方法的說(shuō)法不正確的是 單選題 *A.易于操作，可以對(duì)風(fēng)險(xiǎn)進(jìn)行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進(jìn)行標(biāo)識(shí)B.主觀性強(qiáng)，分析結(jié)果的質(zhì)量取決于風(fēng)險(xiǎn)評(píng)估小組成員的經(jīng)驗(yàn)和素質(zhì)C.耗時(shí)短、成本低、可控性高D.能夠提供量化的數(shù)據(jù)支持，易被管理層所理解和接受(正確答案)答案解析：D60. 下面關(guān)于定量風(fēng)險(xiǎn)評(píng)估方法的說(shuō)法正確的是 單選題 *A.易于操作，可以對(duì)風(fēng)險(xiǎn)進(jìn)行排序并能夠?qū)δ切┬枰⒓锤纳频沫h(huán)節(jié)進(jìn)行標(biāo)識(shí)B.能

20、夠通過(guò)成本效益分析控制成本(正確答案)C.耗時(shí)短、成本低、可控性高D.主觀性強(qiáng)，分析結(jié)果的質(zhì)量取決于風(fēng)險(xiǎn)評(píng)估小組成員的經(jīng)驗(yàn)和素質(zhì)答案解析：B61. 年度損失值（）的計(jì)算方法是什么 單選題 *A.ALE=ARO*AVB.ALE=AV*SLEC.ALE=ARO*SLE(正確答案)D.ALE=AV*EF答案解析：C62. 矩陣分析法通常是哪種風(fēng)險(xiǎn)評(píng)估采用的方法 單選題 *A.定性風(fēng)險(xiǎn)評(píng)估(正確答案)B.定量分析評(píng)估C.安全漏洞評(píng)估D.安全管理評(píng)估答案解析：A63. 風(fēng)險(xiǎn)評(píng)估和管理工具通常是指什么工具 單選題 *A.漏洞掃描工具B.入侵檢測(cè)系統(tǒng)C.安全審計(jì)工具D.安全評(píng)估流程管理工具(正確答案)答案解

21、析：D64. 安全管理評(píng)估工具通常不包括 單選題 *A.調(diào)查問(wèn)卷B.檢查列表C.訪談提綱D.漏洞掃描(正確答案)答案解析：D65. 安全技術(shù)評(píng)估工具通常不包括 單選題 *A.漏洞掃描工具B.入侵檢測(cè)系統(tǒng)C.調(diào)查問(wèn)卷(正確答案)D.滲透測(cè)試工具答案解析：C66. 對(duì)于信息安全管理，風(fēng)險(xiǎn)評(píng)估的方法比起基線的方法，主要的優(yōu)勢(shì)在于它確保 單選題 *A.信息資產(chǎn)被過(guò)度保護(hù)B.不考慮資產(chǎn)的價(jià)值，基本水平的保護(hù)都會(huì)被實(shí)施C.對(duì)信息資產(chǎn)實(shí)施適當(dāng)水平的保護(hù)(正確答案)D.對(duì)所有信息資產(chǎn)保護(hù)都投入相同的資源答案解析：C67. 區(qū)別脆弱性評(píng)估和滲透測(cè)試是脆弱性評(píng)估 單選題 *A.檢查基礎(chǔ)設(shè)施并探測(cè)脆弱性，然而穿透性

22、測(cè)試目的在于通過(guò)脆弱性檢測(cè)其可能帶來(lái)的損失(正確答案)B.和滲透測(cè)試為不同的名稱但是同一活動(dòng)C.是通過(guò)自動(dòng)化工具執(zhí)行，而滲透測(cè)試是一種完全的手動(dòng)過(guò)程D.是通過(guò)商業(yè)工具執(zhí)行，而滲透測(cè)試是執(zhí)行公共進(jìn)程答案解析：A68. 合適的信息資產(chǎn)存放的安全措施維護(hù)是誰(shuí)的責(zé)任 單選題 *A.安全管理員B.系統(tǒng)管理員C.數(shù)據(jù)和系統(tǒng)所有者(正確答案)D.系統(tǒng)運(yùn)行組答案解析：C69. 要很好的評(píng)估信息安全風(fēng)險(xiǎn)，可以通過(guò)： 單選題 *A.評(píng)估IT資產(chǎn)和IT項(xiàng)目的威脅(正確答案)B.用公司的以前的真的損失經(jīng)驗(yàn)來(lái)決定現(xiàn)在的弱點(diǎn)和威脅C.審查可比較的組織公開(kāi)的損失統(tǒng)計(jì)D.審查在審計(jì)報(bào)告中的可識(shí)別的IT控制缺陷答案解析：A70

23、. 下列哪項(xiàng)是用于降低風(fēng)險(xiǎn)的機(jī)制 單選題 *A.安全和控制實(shí)踐(正確答案)B.財(cái)產(chǎn)和責(zé)任保險(xiǎn)C.審計(jì)與認(rèn)證D.合同和服務(wù)水平協(xié)議答案解析：A71. 回顧組織的風(fēng)險(xiǎn)評(píng)估流程時(shí)應(yīng)首先 單選題 *A.鑒別對(duì)于信息資產(chǎn)威脅的合理性B.分析技術(shù)和組織弱點(diǎn)C.鑒別并對(duì)信息資產(chǎn)進(jìn)行分級(jí)(正確答案)D.對(duì)潛在的安全漏洞效果進(jìn)行評(píng)價(jià)答案解析：C72. 在實(shí)施風(fēng)險(xiǎn)分析期間，識(shí)別出威脅和潛在影響后應(yīng)該 單選題 *A.識(shí)別和評(píng)定管理層使用的風(fēng)險(xiǎn)評(píng)估方法B.識(shí)別信息資產(chǎn)和基本系統(tǒng)C.揭示對(duì)管理的威脅和影響D.識(shí)別和評(píng)價(jià)現(xiàn)有控制(正確答案)答案解析：D73. 在制定控制前，管理層首先應(yīng)該保證控制 單選題 *A.滿足控制一

24、個(gè)風(fēng)險(xiǎn)問(wèn)題的要求(正確答案)B.不減少生產(chǎn)力C.基于成本效益的分析D.檢測(cè)行或改正性的答案解析：A74. 在未受保護(hù)的通信線路上傳輸數(shù)據(jù)和使用弱口令是一種？ 單選題 *A.弱點(diǎn)(正確答案)B.威脅C.可能性D.影響答案解析：A75. 數(shù)據(jù)保護(hù)最重要的目標(biāo)是以下項(xiàng)目中的哪一個(gè) 單選題 *A.識(shí)別需要獲得相關(guān)信息的用戶B.確保信息的完整性(正確答案)C.對(duì)信息系統(tǒng)的訪問(wèn)進(jìn)行拒絕或授權(quán)D.監(jiān)控邏輯訪問(wèn)答案解析：B76. 對(duì)一項(xiàng)應(yīng)用的控制進(jìn)行了檢查,將會(huì)評(píng)估 單選題 *A.該應(yīng)用在滿足業(yè)務(wù)流程上的效率B.任何被發(fā)現(xiàn)風(fēng)險(xiǎn)影響(正確答案)C.業(yè)務(wù)流程服務(wù)的應(yīng)用D.應(yīng)用程序的優(yōu)化答案解析：B77. 在評(píng)估邏

25、輯訪問(wèn)控制時(shí)，應(yīng)該首先做什么 單選題 *A.把應(yīng)用在潛在訪問(wèn)路徑上的控制項(xiàng)記錄下來(lái)B.在訪問(wèn)路徑上測(cè)試控制來(lái)檢測(cè)是否他們具功能化C.按照寫明的策略和實(shí)踐評(píng)估安全環(huán)境D.對(duì)信息流程的安全風(fēng)險(xiǎn)進(jìn)行了解(正確答案)答案解析：D78. 在評(píng)估信息系統(tǒng)的管理風(fēng)險(xiǎn)。首先要查看 單選題 *A.控制措施已經(jīng)適當(dāng)B.控制的有效性適當(dāng)C.監(jiān)測(cè)資產(chǎn)有關(guān)風(fēng)險(xiǎn)的機(jī)制D.影響資產(chǎn)的漏洞和威脅(正確答案)答案解析：D79. 在開(kāi)發(fā)一個(gè)風(fēng)險(xiǎn)管理程序時(shí)，什么是首先完成的活動(dòng) 單選題 *A.威脅評(píng)估B.數(shù)據(jù)分類C.資產(chǎn)清單(正確答案)D.關(guān)鍵程度分析答案解析：C80. 在檢查IT安全風(fēng)險(xiǎn)管理程序，安全風(fēng)險(xiǎn)的測(cè)量應(yīng)該 單選題 *A

26、.列舉所有的網(wǎng)絡(luò)風(fēng)險(xiǎn)B.對(duì)應(yīng)IT戰(zhàn)略計(jì)劃持續(xù)跟蹤C(jī).考慮整個(gè)IT環(huán)境(正確答案)D.識(shí)別對(duì)(信息系統(tǒng))的弱點(diǎn)的容忍度的結(jié)果答案解析：C81. 在實(shí)施風(fēng)險(xiǎn)管理程序的時(shí)候，下列哪一項(xiàng)應(yīng)該被最先考慮到： 單選題 *A.組織的威脅，弱點(diǎn)和風(fēng)險(xiǎn)概貌的理解(正確答案)B.揭露風(fēng)險(xiǎn)的理解和妥協(xié)的潛在后果C.基于潛在結(jié)果的風(fēng)險(xiǎn)管理優(yōu)先級(jí)的決心D.風(fēng)險(xiǎn)緩解戰(zhàn)略足夠使風(fēng)險(xiǎn)的結(jié)果保持在一個(gè)可以接受的水平上答案解析：A82. 授權(quán)訪問(wèn)信息資產(chǎn)的責(zé)任人應(yīng)該是 單選題 *A.資產(chǎn)保管員B.安全管理員C.資產(chǎn)所有人(正確答案)D.安全主管答案解析：C83. 滲透測(cè)試作為網(wǎng)絡(luò)安全評(píng)估的一部分 單選題 *A.提供保證所有弱點(diǎn)都

27、被發(fā)現(xiàn)B.在不需要警告所有組織的管理層的情況下執(zhí)行C.找到存在的能夠獲得未授權(quán)訪問(wèn)的漏洞(正確答案)D.在網(wǎng)絡(luò)邊界上執(zhí)行不會(huì)破壞信息資產(chǎn)84. 一個(gè)組織的網(wǎng)絡(luò)設(shè)備的資產(chǎn)價(jià)值為100000元，一場(chǎng)意外火災(zāi)使其損壞了價(jià)值的25%,按照經(jīng)驗(yàn)統(tǒng)計(jì)，這種火災(zāi)一般每5年發(fā)生一次，年預(yù)期損失ALE為 單選題 *A.5000元(正確答案)B.10000元C.25000元D.15000元答案解析：A85. 一個(gè)個(gè)人經(jīng)濟(jì)上存在問(wèn)題的公司職員有權(quán)獨(dú)立訪問(wèn)高敏感度的信息，他可能竊取這些信息賣給公司的競(jìng)爭(zhēng)對(duì)手，如何控制這個(gè)風(fēng)險(xiǎn) 單選題 *A.開(kāi)除這名職員B.限制這名職員訪問(wèn)敏感信息(正確答案)C.刪除敏感信息D.將此職

28、員送公安部門答案解析：B86. 以下哪一種人最有可能給公司帶來(lái)最大的安全風(fēng)險(xiǎn)？ 單選題 *A.臨時(shí)工B.當(dāng)前員工(正確答案)C.以前員工D.咨詢?nèi)藛T答案解析：B87. 當(dāng)以下哪一類人員維護(hù)應(yīng)用系統(tǒng)軟件的時(shí)候，會(huì)造成對(duì)“職責(zé)分離”原則的違背？ 單選題 *A.數(shù)據(jù)維護(hù)管理員B.系統(tǒng)故障處理員C.系統(tǒng)維護(hù)管理員D.系統(tǒng)程序員(正確答案)答案解析：D88. 下列角色誰(shuí)應(yīng)該承擔(dān)決定信息系統(tǒng)資源所需的保護(hù)級(jí)別的主要責(zé)任？ 單選題 *A.信息系統(tǒng)安全專家B.業(yè)務(wù)主管(正確答案)C.安全主管D.系統(tǒng)審查員答案解析：B89. 職責(zé)分離的主要目的是？ 單選題 *A.防止一個(gè)人從頭到尾整個(gè)控制某一交易或者活動(dòng)(正確

29、答案)B.不同部門的雇員不可以在一起工作C.對(duì)于所有的資源都必須有保護(hù)措施D.對(duì)于所有的設(shè)備都必須有操作控制措施答案解析：A90. 以下哪種做法是正確的“職責(zé)分離”做法？ 單選題 *A.程序員不允許訪問(wèn)產(chǎn)品數(shù)據(jù)文件(正確答案)B.程序員可以使用系統(tǒng)控制臺(tái)C.控制臺(tái)操作員可以操作磁帶和硬盤D.磁帶操作員可以使用系統(tǒng)控制臺(tái)答案解析：A91. 以下哪個(gè)是數(shù)據(jù)庫(kù)管理員（）可以行使的職責(zé)？ 單選題 *A.計(jì)算機(jī)的操作B.應(yīng)用程序開(kāi)發(fā)C.系統(tǒng)容量規(guī)劃(正確答案)D.應(yīng)用程序維護(hù)答案解析：C92. 信息安全管理體系策略文件中第一層文件是？ 單選題 *A.信息安全工作程序B.信息安全方針政策(正確答案)C.信息安全作業(yè)指導(dǎo)書D.信息安全工作記錄答案解析：B93. 對(duì)安全策略的描述不正確的是？ 單選題 *A.信息安全策略應(yīng)得到組織的