CISP官方信息安全管理章節(jié)練習(xí)一

CISP信息安全管理章節(jié)練習(xí)一一、單選題。（共100題，共100分，每題1分）小李去參加單位組織的信息安全培訓(xùn)后，他把自己對信息安全管理體系（InformationSecurityManagementSystem,ISMS）的理解畫了以下一張圖，但是他還存在一個空白處未填寫，請幫他選擇一個最合適的選項（）。a、監(jiān)控和反饋ISMS b、批準(zhǔn)和監(jiān)督ISMS c、監(jiān)視和評審ISMS d、溝通和資詢ISMS最佳答案是:c在對安全控制進(jìn)行分析時，下面哪個描述是不準(zhǔn)確的？a、 對每一項安全控制都應(yīng)該進(jìn)行成本收益分析，以確定哪一項安全控制是必須的和有效的b、 應(yīng)確保選擇對業(yè)務(wù)效率影響最小的安全措施c、 選擇好實施安全控制的時機(jī)和位置，提高安全控制的有效性d、 仔細(xì)評價引入的安全控制對正常業(yè)務(wù)帶來的影響，采取適當(dāng)措施，盡可能減少負(fù)面效應(yīng)最佳答案是:b以下哪一項不是信息安全管理工作必須遵循的原則？a、 風(fēng)險管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個系統(tǒng)開發(fā)過程之中b、 風(fēng)險管理活動應(yīng)成為系統(tǒng)開發(fā)、運行、維護(hù)、直至廢棄的整個生命周期內(nèi)的持續(xù)性工作c、 由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險控制措施針對性會更強(qiáng)，實施成本會相對較低d、 在系統(tǒng)正式運行后，應(yīng)注重殘余風(fēng)險的管理，以提高快速反應(yīng)能力最佳答案是:c對信息安全風(fēng)險評估要素理解正確的是：a、 資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設(shè)備，也可以是業(yè)務(wù)系統(tǒng)，也可以是組織機(jī)構(gòu)b、 應(yīng)針對構(gòu)成信息系統(tǒng)的每個資產(chǎn)做風(fēng)險評價c、 脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項d、 信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅最佳答案是:a以下哪一項不是建筑物的自動化訪問審計系統(tǒng)記錄的日志的內(nèi)容：3、出入的原因 頃出入的時間強(qiáng)出入口的位置 d、是否成功進(jìn)入最佳答案是:a信息安全策略是管理層對信息安全工作意圖和方向的正式表述，以下哪一項不是信息安全策略文檔中必須包含的內(nèi)容：a、 說明信息安全對組織的重要程度b、 介紹需要符合的法律法規(guī)要求c、 信息安全技術(shù)產(chǎn)品的選型范圍d、 信息安全管理責(zé)任的定義最佳答案是:c作為信息中心的主任，你發(fā)現(xiàn)沒有足夠的人力資源保證將數(shù)據(jù)庫管理員和網(wǎng)絡(luò)管理員的崗位分配給兩個不同的人擔(dān)任，這種情況造成了一定的安全風(fēng)險，這時你應(yīng)當(dāng)怎么做？a、抱怨且無能為力 b、向上級報告該情況，等待增派人手c、 通過部署審計措施和定期審查來降低風(fēng)險d、 由于增加人力會造成新的人力成本，所以接受該風(fēng)險最佳答案是:c通過評估應(yīng)用開發(fā)項目，而不是評估能力成熟度模型（CMM），IS審計師應(yīng)該能夠驗證：a、可靠的產(chǎn)品是有保證的 b、程序員的效率得到了提高c、 安全需求得到了規(guī)劃、設(shè)計d、 預(yù)期的軟件程序（或流程）得到了遵循最佳答案是:d某公司正在對一臺關(guān)鍵業(yè)務(wù)服務(wù)器進(jìn)行風(fēng)險評估：該服務(wù)器價值138000元，針對某個特定威脅的暴露因子（EF）是45%，該威脅的年度發(fā)生率（ARO）為每10年發(fā)生1次。根據(jù)以上信息，該服務(wù)器的年度預(yù)期損失值（ALE）是多少？a、1800元 b、62100元c、140000元d、6210元最佳答案是:d下列哪些內(nèi)容應(yīng)包含在信息系統(tǒng)戰(zhàn)略計劃中？a、 已規(guī)劃的硬件采購的規(guī)范b、將來業(yè)務(wù)目標(biāo)的分析c、開發(fā)項目的目標(biāo)日期 d、信息系統(tǒng)不同的年度預(yù)算目標(biāo)最佳答案是:bISO27002中描述的11個信息安全管理的控制領(lǐng)域不包括：a、信息安全組織 b、資產(chǎn)管理 c、內(nèi)容安全 d、人力資源安全最佳答案是:cSSE-CMM將工程過程區(qū)域分為三類，即風(fēng)險過程、工程過程、和保證過程，下面對于保證過程的說法錯誤的是：a、 保證是指安全需求得到滿足的可信任程度b、 信任程度來自于對安全工程過程結(jié)果質(zhì)量的判斷c、 自驗證與證實安全的主要手段包括觀察、論證、分析和測試d、 PA“建立保證論據(jù)”為PA“驗證與證實安全”提供了證據(jù)支持最佳答案是:d根據(jù)SSE-CMM信息安全工程過程可以劃分為三個階段，其中確立安全解決方案的置信度并且把這樣的置信度傳遞給顧客。a、保證過程b、風(fēng)險過程頃工程和保證過程 d、安全工程過程最佳答案是:aSSE-CMM工程過程區(qū)域中的風(fēng)險過程包含哪些過程區(qū)域：a、 評估威脅、評估脆弱性、評估影響b、 評估威脅、評估脆弱性、評估安全風(fēng)險c、 評估威脅、評估脆弱性、評估影響、評估安全風(fēng)險d、評估威脅、評估脆弱性、評估影響、驗證和證實安全最佳答案是:c一個組織的系統(tǒng)安全能力成熟度達(dá)到哪個級別以后，就可以對組織層面的過程進(jìn)行規(guī)范的定義？a、2級 計劃和跟蹤 b、3級 充分定義 c、4級 量化控制 d、5級——持續(xù)改進(jìn)最佳答案是:b信息系統(tǒng)安全工程（ISSE）的一個重要目標(biāo)就是在IT項目的各個階段充分考慮安全因素，在IT項目的立項階段，以下哪一項不是必須進(jìn)行的工作：a、 明確業(yè)務(wù)對信息安全的要求b、 識別來自法律法規(guī)的安全要求c、 論證安全要求是否正確完整d、 通過測試證明系統(tǒng)的功能和性能可以滿足安全要求最佳答案是:d信息化建設(shè)和信息安全建設(shè)的關(guān)系應(yīng)該是：a、 信息化建設(shè)的結(jié)果就是信息安全建設(shè)的開始b、 信息化建設(shè)和信息安全建設(shè)應(yīng)同步規(guī)劃、同步實施c、 信息化建設(shè)和信息安全建設(shè)是交替進(jìn)行的，無法區(qū)分誰先誰后d、 以上說法都正確最佳答案是:b下面有關(guān)我國信息安全管理體制的說法錯誤的是？3、目前我國的信息安全保障工作是相關(guān)部門各司其職、相互配合、齊抓共管的局面b、 我國的信息安全保障工作綜合利用法律、管理和技術(shù)的手段c、 我國的信息安全管理應(yīng)堅持及時檢測、快速響應(yīng)、綜合治理的方針d、 我國對于信息安全責(zé)任的原則是誰主管、誰負(fù)責(zé)；誰經(jīng)營、誰負(fù)責(zé)最佳答案是:c一個信息系統(tǒng)審計師正在為一個醫(yī)療機(jī)構(gòu)的兩種應(yīng)用環(huán)境-生產(chǎn)和測試進(jìn)行檢查。在一次訪談中，該審計師注意到生產(chǎn)數(shù)據(jù)被用于測試環(huán)境以測試程序改變什么是這種情況下最顯著的潛在風(fēng)險？a、 測試環(huán)境可能沒有充分的訪問控制來確保數(shù)據(jù)機(jī)密性b、 測試環(huán)境可能由于使用生產(chǎn)數(shù)據(jù)而產(chǎn)生不精確的結(jié)果c、 測試環(huán)境的硬件可能與生產(chǎn)環(huán)境的不同d、 測試環(huán)境可能沒有充足的控制以確保數(shù)據(jù)精確性最佳答案是:a風(fēng)險評估方法的選定在PDCA循環(huán)中的哪個階段完成？a、實施和運行 b、保持和改進(jìn)c、建立 d、監(jiān)視和評審最佳答案是:c在風(fēng)險管理準(zhǔn)備階段“建立背景”（對象確立）過程中不應(yīng)該做的是：a、分析系統(tǒng)的體系結(jié)構(gòu) b、分析系統(tǒng)的安全環(huán)境 c、制定風(fēng)險管理計劃 d、調(diào)查系統(tǒng)的技術(shù)特性最佳答案是:c下面有關(guān)能力成熟度模型的說法錯誤的是：a、 能力成熟度模型可以分為過程能力方案（Continuous）和組織能力方案（Staged）兩類b、 使用過程能力方案時，可以靈活選擇評估和改進(jìn)哪個或哪些過程域c、 使用組織機(jī)構(gòu)成熟度方案時，每一個能力級別都對應(yīng)于一組已經(jīng)定義好的過程域d、 SSE-CMM是一種屬于組織能力方案(Staged)的針對系統(tǒng)安全工程的能力成熟度模型最佳答案是:c下列哪項不是信息系統(tǒng)安全工程能力成熟度模型(SSE-CMM)的主要過程：a、風(fēng)險過程b、保證過程頃工程過程 d、評估過程最佳答案是:d關(guān)于信息安全發(fā)展的幾個階段，下列說法中錯誤的是：a、 信息安全的發(fā)展，是伴隨著信息技術(shù)的發(fā)展，為應(yīng)對其面臨不同的威脅而發(fā)展起來的b、 通信安全階段中，最重要的是通過密碼技術(shù)保證所傳遞信息的保密性完整性和可用性c、 信息安全階段，綜合了通信安全階段和計算機(jī)安全階段的需求d、 信息安全保障階段，最重要的目標(biāo)是保障組織機(jī)構(gòu)使命(業(yè)務(wù))的正常運行最佳答案是:b建立數(shù)據(jù)所有權(quán)關(guān)系的任務(wù)應(yīng)當(dāng)是下列哪一種人的責(zé)任？a、職能部門用戶b、內(nèi)部審計人員c、數(shù)據(jù)處理人員 d、外部審計人員最佳答案是:aPPDR模型不包括：a、策略 b、檢測 c、響應(yīng) d、加密最佳答案是:d信息安全管理者需要完成方方面面的繁雜工作，這些日常工作根本的目標(biāo)是a、避免系統(tǒng)軟硬件的損傷 b、監(jiān)視系統(tǒng)用戶和維護(hù)人員的行為c、保護(hù)組織的信息資產(chǎn) d、給入侵行為制造障礙，并在發(fā)生入侵后及時發(fā)現(xiàn)、準(zhǔn)確記錄最佳答案是:c信息安全管理的根本方法是：a、風(fēng)險處置b、應(yīng)急響應(yīng) c、風(fēng)險管理 d、風(fēng)險評估最佳答案是:c信息安全管理體系描述不正確的是：a、 是一個組織整體管理體系的組成部分b、是有范圍和邊界的 c、是風(fēng)險評估的手段 d、其基本過程應(yīng)遵循PDCA循環(huán)最佳答案是:c軟件的盜版是一個嚴(yán)重的問題。在下面哪一種說法中反盜版的政策和實際行為是矛盾的?a、員工的教育和培訓(xùn) b、遠(yuǎn)距離工作(Telecommuting)與禁止員工攜帶工作軟件回家c、 自動日志和審計軟件d、政策的發(fā)布與政策的強(qiáng)制執(zhí)行最佳答案是:b以下對PDCA循環(huán)特點描述不正確的是：a、 按順序進(jìn)行，周而復(fù)始，不斷循環(huán)b、 組織中的每個部分，甚至個人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題c、 每通過一次PDCA循環(huán),都要進(jìn)行總結(jié)，提出新目標(biāo),再進(jìn)行第二次PDCA循環(huán)d、 可以由任何一個階段開始，周而復(fù)始，不斷循環(huán)最佳答案是:dISMS過程中，實施信息安全教育應(yīng)在哪個階段進(jìn)行？a、實施和運行 b、保持和改進(jìn) c、建立 d、監(jiān)視和評審最佳答案是:a對戴明環(huán)"PDCA"方法的描述不正確的是：a、 “PDCA”的含義是P-計劃，D-實施，C-檢查，A-改進(jìn)b、 “PDCA”循環(huán)又叫"戴明"環(huán)c、 "PDCA"循環(huán)是只能用于信息安全管理體系有效進(jìn)行的工作程序d、 “PDCA”循環(huán)是可用于任何一項活動有效進(jìn)行的工作程序最佳答案是:c下述選項中對于"風(fēng)險管理"的描述不正確的是：a、 風(fēng)險管理是指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動，它通常包括風(fēng)險評估、風(fēng)險處置、風(fēng)險接受和風(fēng)險溝通。b、 風(fēng)險管理的目的是了解風(fēng)險并采取措施處置風(fēng)險并將風(fēng)險消除。c、 風(fēng)險管理是信息安全工作的重要基礎(chǔ)，因此信息安全風(fēng)險管理必須貫穿到信息安全保障工作、信息系統(tǒng)的整個生命周期中。d、 在網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃設(shè)計階段，應(yīng)通過信息安全風(fēng)險評估進(jìn)一步明確安全需求和安全目標(biāo)。最佳答案是:b風(fēng)險是需要保護(hù)的（）發(fā)生損失的可能性，它是（）和（）綜合結(jié)果。a、 資產(chǎn)，攻擊目標(biāo)，威脅事件b、設(shè)備，威脅，漏洞 c、資產(chǎn)，威脅，漏洞 d、以上都不對最佳答案是:c下面威脅中不屬于抵賴行為的是：a、 發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條消息b、 收信者事后否認(rèn)曾經(jīng)接收過某條消息c、 發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過某條消息的內(nèi)容d、 收信者接收消息后更改某部分內(nèi)容最佳答案是:d以下哪一種判斷信息系統(tǒng)是否安全的方式是最合理的？a、 是否已經(jīng)通過部署安全控制措施消滅了風(fēng)險b、 是否可以抵抗大部分風(fēng)險c、 是否建立了具有自適應(yīng)能力的信息安全模型d、 是否已經(jīng)將風(fēng)險控制在可接受的范圍內(nèi)最佳答案是:d以下列哪種處置方法屬于轉(zhuǎn)移風(fēng)險？a、部署綜合安全審計系統(tǒng) b、對網(wǎng)絡(luò)行為進(jìn)行實時監(jiān)控c、制訂完善的制度體系 d、聘用第三方專業(yè)公司提供維護(hù)外包服務(wù)最佳答案是:d對操作系統(tǒng)打補(bǔ)丁和系統(tǒng)升級是以下哪種風(fēng)險控制措施？a、降低風(fēng)險 b、規(guī)避風(fēng)險 c、轉(zhuǎn)移風(fēng)險 d、接受風(fēng)險最佳答案是:a以下哪一項可認(rèn)為是具有一定合理性的風(fēng)險？a、總風(fēng)險b、最小化風(fēng)險 c、可接受風(fēng)險 d、殘余風(fēng)險最佳答案是:c在風(fēng)險管理工作中“監(jiān)控審查”的目的，一是:二是。a、 保證風(fēng)險管理過程的有效性，保證風(fēng)險管理成本的有效性b、 保證風(fēng)險管理結(jié)果的有效性，保證風(fēng)險管理成本的有效性c、 保證風(fēng)險管理過程的有效性，保證風(fēng)險管理活動的決定得到認(rèn)可d、保證風(fēng)險管理結(jié)果的有效性，保證風(fēng)險管理活動的決定得到認(rèn)可最佳答案是:a風(fēng)險管理四個步驟的正確順序是：a、 背景建立、風(fēng)險評估、風(fēng)險處理、批準(zhǔn)監(jiān)督b、 背景建立、風(fēng)險評估、審核批準(zhǔn)、風(fēng)險控制c、 風(fēng)險評估、對象確立、審核批準(zhǔn)、風(fēng)險控制d、 風(fēng)險評估、風(fēng)險控制、對象確立、審核批準(zhǔn)最佳答案是:a在風(fēng)險管理的過程中，"建立背景"（即"對象確立"）的過程是哪四個活動？a、 風(fēng)險管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析、信息安全分析b、 風(fēng)險管理準(zhǔn)備、信息系統(tǒng)分析、信息安全分析、風(fēng)險政策的制定c、 風(fēng)險管理準(zhǔn)備、風(fēng)險管理政策的制定、信息系統(tǒng)分析、信息安全分析d、 確定對象、分析對象、審核對象、總結(jié)對象最佳答案是:a下列對風(fēng)險分析方法的描述正確的是：a、 定量分析比定性分析方法使用的工具更多b、 定性分析比定量分析方法使用的工具更多c、 同一組織只用使用一種方法進(jìn)行評估d、 符合組織要求的風(fēng)險評估方法就是最優(yōu)方法最佳答案是:d某公司正在進(jìn)行信息安全風(fēng)險評估，在決定信息資產(chǎn)的分類與分級時，誰負(fù)有最終責(zé)任?a、部門經(jīng)理 b、高級管理層 c、信息資產(chǎn)所有者d、最終用戶最佳答案是:c在一個有充分控制的信息處理計算中心中，下面哪一項可以由同一個人執(zhí)行？a、安全管理和變更管理 b、計算機(jī)操作和系統(tǒng)開發(fā) c、系統(tǒng)開發(fā)和變更管理 d、系統(tǒng)開發(fā)和系統(tǒng)維護(hù)最佳答案是:a以下關(guān)于“最小特權(quán)”安全管理原則理解正確的是：a、 組織機(jī)構(gòu)內(nèi)的敏感崗位不能由一個人長期負(fù)責(zé)b、 對重要的工作進(jìn)行分解，分配給不同人員完成c、 一個人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限d、 防止員工由一個崗位變動到另一個崗位，累積越來越多的權(quán)限最佳答案是:c根據(jù)災(zāi)難恢復(fù)演練的深度不同，可以將演練分為三個級別，這三個級別按演練深度由低到高的排序正確的是：a、 系統(tǒng)級演練、業(yè)務(wù)級演練、應(yīng)用級演練b、 系統(tǒng)級演練、應(yīng)用級演練、業(yè)務(wù)級演練c、 業(yè)務(wù)級演練、應(yīng)用級演練、系統(tǒng)級演練d、 業(yè)務(wù)級演練、系統(tǒng)級演練、應(yīng)用級演練最佳答案是:b以下哪一個是對“崗位輪換”這一人員安全管理原則的正確理解？a、 組織機(jī)構(gòu)內(nèi)的敏感崗位不能由一個人長期負(fù)責(zé)b、 對重要的工作進(jìn)行分解，分配給不同人員完成c、 一個人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限d、防止員工由一個崗位變動到另一個崗位，累積越來越多的權(quán)限最佳答案是:a在構(gòu)建一個單位的內(nèi)部安全管理組織體系的時候，以下哪一項不是必需考慮的內(nèi)容？a、 高級管理層承諾對安全工作的支持b、 要求雇員們遵從安全策略的指示c、 在第三方協(xié)議中強(qiáng)調(diào)安全d、 清晰地定義部門的崗位的職責(zé)最佳答案是:c災(zāi)難發(fā)生后，系統(tǒng)和數(shù)據(jù)必須恢復(fù)到災(zāi)難發(fā)生前的a、時間要求b、時間點要求 c、數(shù)據(jù)狀態(tài)d、運行狀態(tài)最佳答案是:b當(dāng)發(fā)現(xiàn)信息系統(tǒng)被攻擊時，以下哪一項是首先應(yīng)該做的？a、 切斷所有可能導(dǎo)致入侵的通信線路b、采取措施遏制攻擊行為 c、判斷哪些系統(tǒng)和數(shù)據(jù)遭到了破壞d、與有關(guān)部門聯(lián)系最佳答案是:d應(yīng)急方法學(xué)定義了安全事件處理的流程，這個流程的順序是a、 準(zhǔn)備-遏制-檢測-根除-恢復(fù)-跟進(jìn)b、 準(zhǔn)備-檢測-遏制-恢復(fù)-根除-跟進(jìn)c、 準(zhǔn)備-檢測-遏制-根除-恢復(fù)-跟進(jìn)d、 準(zhǔn)備-遏制-根除-檢測-恢復(fù)-跟進(jìn)最佳答案是:c以下哪種情形下最適合使用同步數(shù)據(jù)備份策略？a、對災(zāi)難的承受能力高 b、恢復(fù)時間目標(biāo)(RTO)長 c、恢復(fù)點目標(biāo)(RPO)短 d、恢復(fù)點目標(biāo)(RPO)長最佳答案是:c當(dāng)備份一個應(yīng)用程序系統(tǒng)的數(shù)據(jù)時，以下哪一項是應(yīng)該首先考慮的關(guān)鍵性問題？a、什么時候進(jìn)行備份？ b、在哪里進(jìn)行備份？ c、怎樣存儲備份？ d、需要各份哪些數(shù)據(jù)？最佳答案是:d有效的IT治理要求組織結(jié)構(gòu)和程序確保a、 組織的戰(zhàn)略和目標(biāo)包括IT戰(zhàn)略b、 業(yè)務(wù)戰(zhàn)略來自于IT戰(zhàn)略c、 IT治理是獨立的，與整體治理相區(qū)別d、 IT戰(zhàn)略擴(kuò)大了組織的戰(zhàn)略和目標(biāo)最佳答案是:dSSE-CMM，即系統(tǒng)安全工程---能力成熟度模型,它的六個級別，其中計劃和跟蹤級著重于a、規(guī)范化地裁剪組織層面的過程定義如項目層面定義、計劃和執(zhí)行問題c、測量d、一個組織或項目執(zhí)行了包含基本實施的過程最佳答案是:b以下對信息安全風(fēng)險管理理解最準(zhǔn)確的說法是：3、了解風(fēng)險b、轉(zhuǎn)移風(fēng)險 強(qiáng)了解風(fēng)險并控制風(fēng)險 d>T解風(fēng)險并轉(zhuǎn)移風(fēng)險最佳答案是:c“進(jìn)不來”“拿不走”“看不懂”“改不了”“走不脫”是網(wǎng)絡(luò)信息安全建設(shè)的目的。其中，“看不懂”是指下面哪種安全服務(wù)：a、數(shù)據(jù)加密 b、身份認(rèn)證 c、數(shù)據(jù)完整性 d、訪問控制最佳答案是:a以下對于信息安全管理體系說法不正確的是：a、處理 b、實施c、檢查d、行動最佳答案是:a風(fēng)險管理中使用的控制措施，不包括以下哪種類型？a、預(yù)防性控制措施 b、管理性控制措施c、檢查性控制措施 d、糾正性控制措施最佳答案是:b風(fēng)險管理中的控制措施不包括以下哪一方面？a、行政 b、道德c、技術(shù)d、管理最佳答案是:b風(fēng)險評估不包括以下哪個活動？a、中斷引入風(fēng)險的活動 b、識別資產(chǎn) c、識別威脅 d、分析風(fēng)險最佳答案是:a在信息安全風(fēng)險管理工作中，識別風(fēng)險時主要重點考慮的要素應(yīng)包括：a、 資產(chǎn)及其價值、威脅、脆弱性、現(xiàn)有的和計劃的控制措施b、 資產(chǎn)及其價值、系統(tǒng)的漏洞、脆弱性、現(xiàn)有的和計劃的控制措施c、 完整性、可用性、機(jī)密性、不可抵賴性最佳答案是:a以下哪一項不是信息安全風(fēng)險分析過程中所要完成的工作：a、識別用戶 b、識別脆弱性c、評估資產(chǎn)價值 d、計算機(jī)安全事件發(fā)生的可能性最佳答案是:a機(jī)構(gòu)應(yīng)該把信息系統(tǒng)安全看作：a、業(yè)務(wù)中心 b、風(fēng)險中心c、業(yè)務(wù)促進(jìn)因素 d、業(yè)務(wù)抑制因素最佳答案是:c以下關(guān)于ISO/IEC27001所應(yīng)用的過程方法主要特點說法錯誤的是：a、 理解組織的信息安全要求和建立信息安全方針與目標(biāo)的標(biāo)準(zhǔn)b、 從組織整體業(yè)務(wù)風(fēng)險的角度管理組織的信息安全風(fēng)險c、 監(jiān)視和評審ISMS的執(zhí)行情況和有效性d、 基于主觀測量的持續(xù)改進(jìn)最佳答案是:d在檢查崗位職責(zé)時什么是最重要的評估標(biāo)準(zhǔn)？3、工作職能中所有要做的工作和需要的培訓(xùn)都有詳細(xì)的定義b、 職責(zé)清晰，每個人都清楚自己在組織中的角色c、 強(qiáng)制休假和崗位輪換被執(zhí)行d、 績效得到監(jiān)控和提升是基于清晰定義的目標(biāo)最佳答案是:b在信息安全管理中進(jìn)行，可以有效解決人員安全意識薄弱問題。a、內(nèi)容監(jiān)控 b、安全教育和培訓(xùn) c、責(zé)任追查和懲處 d、訪問控制最佳答案是:b以下哪一項最能體現(xiàn)27002管理控制措施中預(yù)防控制措施的目的？a、減少威脅的可能性b、減少災(zāi)難發(fā)生的可能性 c、防御風(fēng)險的發(fā)生并降低其影響最佳答案是:d關(guān)于外包的論述不正確的是：a、 企業(yè)經(jīng)營管理中的諸多操作成服務(wù)都可以外包b、 通過業(yè)務(wù)外包，企業(yè)也把相應(yīng)的風(fēng)險承擔(dān)者轉(zhuǎn)移給了外包商，企業(yè)從此不必對外包業(yè)務(wù)負(fù)任何直接或間接的責(zé)任c、 雖然業(yè)務(wù)可以外包，但是對與外包業(yè)務(wù)的可能的不良后果，企業(yè)仍然承擔(dān)責(zé)任d、 過多的外包業(yè)務(wù)可能產(chǎn)生額外的操作風(fēng)險或其他隱患最佳答案是:b以下哪一項措施可最有效地支持24/7可用性？a、日常備份b、異地存儲 c、鏡像d、定期測試最佳答案是:c企業(yè)最終決定直接采購商業(yè)化的軟件包，而不是開發(fā)。那么，傳統(tǒng)的軟件開發(fā)生產(chǎn)周期(SDLC)中設(shè)計和開發(fā)階段，就被置換為：a、挑選和配置階段 b、可行性研究和需求定義階段c、實施和測試階段 d、(無，不需要置換)最佳答案是:a下面哪一項為系統(tǒng)安全工程能力成熟度模型提供了評估方法：a、ISSEb、SSAM c、SSR d、.GEM最佳答案是:b按照SSE-CMM，能力級別第三級是指：a、定量控制b、計劃和跟蹤 c、持續(xù)改進(jìn) d、充分定義最佳答案是:b下列哪項不是SSE-CMM模型中工程過程的過程區(qū)別？a、明確安全需求 b、評估影響 c、提供安全輸入 d、協(xié)調(diào)安全最佳答案是:b以下對PDCA循環(huán)解釋不正確的是：a、處理 b、實施 c、檢查 d、行動最佳答案是:a在SSE-CMM中對工程過程能力的評價分為三個層次，由宏觀到微觀依次是：a、 能力級別-公共特征(CF)-通用實踐(GP)b、 能力級別-通用實踐-(GP)-公共特征(CF)c、 通用實踐-(GP)-能力級別-公共特征(CF)d、 公共特征(CF)-能力級別-通用實踐-(CP)最佳答案是:a根據(jù)SSE-CMM，安全工程過程能力由低到高劃分為：a、 未實施、基本實施、計劃跟蹤、充分定義、量化控制和持續(xù)改進(jìn)等6個級別b、 基本實施、計劃跟蹤、充分定義、量化控制和持續(xù)改進(jìn)等5個級別c、 基本實施、計劃跟蹤、量化控制、充分定義和持續(xù)改進(jìn)等5個級別d、 未實施、基本實施、計劃跟蹤、充分定義4個級別最佳答案是:a下列哪項不是SSE-CMM模型中工程過程的過程區(qū)域？a、明確安全需求 b、評估影響 c、提供安全輸入 d、協(xié)調(diào)安全最佳答案是:b系統(tǒng)安全工程不包含以下哪個過程類：3、工程過程類 b、組織過程類 C、管理過程類 d、項目過程類最佳答案是:CISSE（信息系統(tǒng)安全工程）是美國發(fā)布的IATF3.0版本中提出的設(shè)計和實施信息系統(tǒng)a、安全工程方法 b、安全工程框架 c、安全工程體系結(jié)構(gòu) d、安全工程標(biāo)準(zhǔn)最佳答案是:a不同信息安全發(fā)展階段，信息安全具有不同的的特征，在信息安全保障階段信息安全的基本特征不包括：a、 具有高度復(fù)雜性和不能控制的特點b、 具有保護(hù)對象全生命周期安全要求的特征c、 具有多層次和多角度的體系化防御要求的特征d、 具有動態(tài)發(fā)展變化的特征最佳答案是:a信息安全工作具有投資收益的要求，以下關(guān)于信息安全與業(yè)務(wù)發(fā)展的關(guān)系說法最準(zhǔn)確的是：a、 信息安全的投入很容易測算其產(chǎn)生收益的b、 信息安全為業(yè)務(wù)發(fā)展提供基礎(chǔ)安全保障c、 信息安全與網(wǎng)絡(luò)信息系統(tǒng)有著密切聯(lián)系d、 信息安全的投入是不能測算其產(chǎn)生收益的最佳答案是:bPDR模型和P2DR模型采用了動態(tài)循環(huán)的機(jī)制實現(xiàn)系統(tǒng)保護(hù)、檢測和響應(yīng)。這種模型的特點理解錯誤的是：a、 模型已入了動態(tài)時間基線，符合信息安全發(fā)展理念b、 模型強(qiáng)調(diào)持續(xù)的保護(hù)和響應(yīng)，符合相對安全理念c、 模型是基于人為的管理和控制而運行的d、 模型引入了多層防御機(jī)制，符合安全的“木桶原理”最佳答案是:c從風(fēng)險的觀點來看，一個具有任務(wù)緊急性，核心功能性的計算機(jī)應(yīng)用程序系統(tǒng)的開發(fā)和維護(hù)項目應(yīng)該：a、內(nèi)部實現(xiàn) b、外部采購實現(xiàn)c、合作實現(xiàn) d、多來源合作實現(xiàn)最佳答案是:a在許多組織機(jī)構(gòu)中，產(chǎn)生總體安全性問題的主要原因是：a、缺少安全性管理 b、缺少故障管理 c、缺少風(fēng)險分析d、缺少技術(shù)控制機(jī)制最佳答案是:a如果對于程序變動的手工控制收效甚微，以下哪一種方法將是最有效的？a、自動軟件管理 b、書面化制度 c、書面化方案 d、書面化標(biāo)準(zhǔn)最佳答案是:a以下哪一項不是《信息安全事件分級分類指南》中信息安全事件分級需要參考的三個重要因素之一？a、信息系統(tǒng)的重要程度 b、信息系統(tǒng)的用戶數(shù)量 c、事件造成的系統(tǒng)損失 d、事件造成的社會影響最佳答案是:b依照《信息安全事件分級分類指南》中對信息安全事件分類的規(guī)定，以下哪一項屬于有害程序事件？a、信息被篡改 b、黃色反動信息傳播 c、網(wǎng)絡(luò)釣魚