您好,欢迎访问三七文档
当前位置:首页 > 行业资料 > 其它行业文档 > CISP试题及答案(515多题)
AB1以下对信息安全描述不正确的是信息安全的基本要素包括保密性、完整性和可用性信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影2以下对信息安全管理的描述错误的是保密性、完整性、可用性抗抵赖性、可追溯性3以下对信息安全管理的描述错误的是信息安全管理的核心就是风险管理人们常说,三分技术,七分管理,可见管理对信息安全的重要性4企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是不需要全体员工的参入,只要IT部门的人员参入即可 来自高级管理层的明确的支持和承诺5信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是ISMS是一个遵循PDCA模式的动态发展的体系 ISMS是一个文件化、系统化的体系6PDCA特征的描述不正确的是顺序进行,周而复始,发现问题,分析问题,然后是解决问题 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题7以下哪个不是信息安全项目的需求来源国家和地方政府法律法规与合同的要求 风险评估的结果8ISO27001认证项目一般有哪几个阶段?管理评估,技术评估,操作流程评估 确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证9构成风险的关键因素有哪些?人,财,物 技术,管理和操作10以下哪些不是应该识别的信息资产? 网络设备客户资料11以下哪些是可能存在的威胁因素?B 设备老化故障病毒和蠕虫12以下哪些不是可能存在的弱点问题? 保安工作不得力应用系统存在Bug13风险评估的过程中,首先要识别信息资产,资产识别时,以下哪个不是需要遵循的原则? 只识别与业务及信息系统有关的信息资产,分类识别所有公司资产都要识别14风险分析的目的是? 在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;15对于信息安全风险的描述不正确的是?企业信息安全风险管理就是要做到零风险 在信息安全领域,风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在序号题目描述备选答案16有关定性风险评估和定量风险评估的区别,以下描述不正确的是定性风险评估比较主观,而定量风险评估更客观 定性风险评估容易实施,定量风险评估往往数据准确性很难保证17降低企业所面临的信息安全风险,可能的处理手段不包括哪些通过良好的系统设计、及时更新系统补丁,降低或减少信息系统自身的缺 通过数据备份、双机热备等冗余手段来提升信息系统的可靠性;18风险评估的基本过程是怎样的?识别并评估重要的信息资产,识别各种可能的威胁和严重的弱点,最终确 通过以往发生的信息安全事件,找到风险所在19企业从获得良好的信息安全管控水平的角度出发,以下哪些行为是适当的只关注外来的威胁,忽视企业内部人员的问题 相信来自陌生人的邮件,好奇打开邮件附件20以下对ISO27001标准的描述不正确的是企业通过ISO27001认证则必须符合ISO27001信息安全管理体系规范的所 ISO27001标准与信息系统等级保护等国家标准相冲突21对安全策略的描述不正确的是信息安全策略(或者方针)是由组织的最高管理者正式制订和发布的描述 策略应有一个属主,负责按复查程序维护和复查该策略22以下对企业信息安全活动的组织描述不正确的是企业应该在组织内建立发起和控制信息安全实施的管理框架。 企业应该维护被外部合作伙伴或者客户访问和使用的企业信息处理设施和信息资产的安全23企业信息资产的管理和控制的描述不正确的是企业应该建立和维护一个完整的信息资产清单,并明确信息资产的管控责 企业应该根据信息资产的重要性和安全级别的不同要求,采取对应的管控措施;24有关人员安全的描述不正确的是人员的安全管理是企业信息安全管理活动中最难的环节 重要或敏感岗位的人员入职之前,需要做好人员的背景检查25以下有关通信与日常操作描述不正确的是信息系统的变更应该是受控的 企业在岗位设计和人员工作分配时应该遵循职责分离的原则26以下有关访问控制的描述不正确的是口令是最常见的验证身份的措施,也是重要的信息资产,应妥善保护和 系统管理员在给用户分配访问权限时,应该遵循“最小特权原则”,即分配给员工的访问权27有关信息系统的设计、开发、实施、运行和维护过程中的安全问题,以下描述错误的是信息系统的开发设计,应该越早考虑系统的安全需求越好 信息系统的设计、开发、实施、运行和维护过程中的安全问题,不仅仅要考虑提供一个安28有关信息安全事件的描述不正确的是信息安全事件的处理应该分类、分级 信息安全事件的数量可以反映企业的信息安全管控水平29以下有关信息安全方面的业务连续性管理的描述,不正确的是信息安全方面的业务连续性管理就是要保障企业关键业务在遭受重大灾难/ 企业在业务连续性建设项目一个重要任务就是识别企业关键的、核心业务30企业信息安全事件的恢复过程中,以下哪个是最关键的?数据 应用系统31企业ISMS(信息安全管理体系)建设的原则不包括以下哪个管理层足够重视 需要全员参与32PDCA特征的描述不正确的是顺序进行,周而复始,发现问题,分析问题,然后是解决问题 大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题33对于在ISMS内审中所发现的问题,在审核之后应该实施必要的改进措施并进行跟踪和评价,以下描述不正确的是?改进措施包括纠正和预防措施 改进措施可由受审单位提出并实施34ISMS的审核的层次不包括以下哪个?符合性审核 有效性审核35以下哪个不可以作为ISMS管理评审的输入ISMS审计和评审的结果 来自利益伙伴的反馈36有关认证和认可的描述,以下不正确的是认证就是第三方依据程序对产品、过程、服务符合规定要求给予书面保证 根据对象的不同,认证通常分为产品认证和体系认证37信息的存在及传播方式 存在于计算机、磁带、纸张等介质中 记忆在人的大脑里38下面哪个组合不是是信息资产 硬件、软件、文档资料 关键人员39实施ISMS内审时,确定ISMS的控制目标、控制措施、过程和程序应该要符合相关要求,以下哪个不是? 约定的标准及相关法律的要求已识别的安全需求40以下对审核发现描述正确的是 用作依据的一组方针、程序或要求与审核准则有关的并且能够证实的记录、事实陈述或其他信息41ISMS审核常用的审核方法不包括? 纠正预防文件审核42ISMS的内部审核员(非审核组长)的责任不包括? 熟悉必要的文件和程序;根据要求编制检查列表;43审核在实施审核时,所使用的检查表不包括的内容有? 审核依据审核证据记录44ISMS审核时,首次会议的目的不包括以下哪个? 明确审核目的、审核准则和审核范围明确审核员的分工45ISMS审核时,对审核发现中,以下哪个是属于严重不符合项? 关键的控制程序没有得到贯彻,缺乏标准规定的要求可构成严重不符合项风险评估方法没有按照ISO27005(信息安全风险管理)标准进行46以下关于ISMS内部审核报告的描述不正确的是? 内审报告是作为内审小组提交给管理者代表或最高管理者的工作成果内审报告中必须包含对不符合性项的改进建议47信息系统审核员应该预期谁来授权对生产数据和生产系统的访问?流程所有者系统管理员48当保护组织的信息系统时,在网络防火墙被破坏以后,通常的下一道防线是下列哪一项?个人防火墙防病毒软件49 负责授权访问业务系统的职责应该属于:数据拥有者安全管理员50在提供给一个外部代理商访问信息处理设施前,一个组织应该怎么做?外部代理商的处理应该接受一个来自独立代理进行的IS审计。外部代理商的员工必须接受该组织的安全程序的培训。51处理报废电脑的流程时,以下哪一个选项对于安全专业人员来说是最重要考虑的内容?在扇区这个级别上,硬盘已经被多次重复写入,但是在离开组织前没有进行重新格式化。硬盘上所有的文件和文件夹都分别删除了,并在离开组织进行重新格式化。52一个组织已经创建了一个策略来定义用户禁止访问的网站类型。哪个是最有效的技术来达成这个策略?A.状态检测防火墙B.网页内容过滤53当组织将客户信用审查系统外包给第三方服务提供商时,下列哪一项是信息安全专业人士最重要的考虑因素?该提供商:满足并超过行业安全标准同意可以接受外部安全审查54一个组织将制定一项策略以定义了禁止用户访问的WEB站点类型。为强制执行这一策略,最有效的技术是什么?状态检测防火墙WE内容过滤器55在制定一个正式的企业安全计划时,最关键的成功因素将是?成立一个审查委员会建立一个安全部门56对业务应用系统授权访问的责任属于:数据所有者安全管理员57下列哪一项是首席安全官的正常职责?定期审查和评价安全策略执行用户应用系统和软件测试与评价58向外部机构提供其信息处理设施的物理访问权限前,组织应当做什么?该外部机构的过程应当可以被独立机构进行IT审计该组织应执行一个风险评估,设计并实施适当的控制59某组织的信息系统策略规定,终端用户的ID在该用户终止后90天内失效。组织的信息安全内审核员应:报告该控制是有效的,因为用户ID失效是符合信息系统策略规定的时间段的核实用户的访问权限是基于用所必需原则的60减少与钓鱼相关的风险的最有效控制是:系统的集中监控钓鱼的信号包括在防病毒软件中61在人力资源审计期间,安全管理体系内审员被告知在IT部门和人力资源部门中有一个关于期望的IT服务水平的口头协议。为两部门起草一份服务水平协议向高级管理层报告存在未被书面签订的协议62下面哪一个是定义深度防御安全原则的例子?使用由两个不同提供商提供的防火墙检查进入网络的流量在主机上使用防火墙和逻辑访问控制来控制进入网络的流量63下面哪一种是最安全和最经济的方法,对于在一个小规模到一个中等规模的组织中通过互联网连接私有网络? 虚拟专用网专线64通过社会工程的方法进行非授权访问的风险可以通过以下方法避免: 安全意识程序非对称加密65在安全人员的帮助下,对数据提供访问权的责任在于: 数据所有者.程序员66信息安全策略,声称密码的显示必须以掩码的形式的目的是防范下面哪种攻击风险? 尾随垃圾搜索67管理体系审计员进行通信访问控制审查,首先应该关注: 维护使用各种系统资源的访问日志在用户访问系统资源之前的授权和认证68下列哪一种防病毒软件的实施策略在内部公司网络中是最有效的: 服务器防毒软件病毒墙69测试程序变更管理流程时,安全管理体系内审员使用的最有效的方法是:由系统生成的信息跟踪到变更管理文档检查变更管理文档中涉及的证据的精确性和正确性70内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能:导致对其审计独立性的质疑报告较多业务细节和相关发现71下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的?完整性控制的需求是基于风险分析的结果控制已经过了测试72下列哪一种情况会损害计算机安全策略的有效性?发布安全策略时重新检查安全策略时73组织的安全策略可以是广义的,也可以是狭义的,下面哪一条是属于广义的安全策略?应急计划远程办法74基本的计算机安全需求不包括下列哪一条:安全策略和标识绝对的保证和持续的保护75软件的盗版是一个严重的问题。在下面哪一种说法中反盗版的策略和实际行为是矛盾的?员工的教育和培训远距离工作(Telecommuting)与禁止员工携带工作软件回家76组织内数据安全官的最为重要的职责是:推荐并监督数据安全策略在组织内推广安全意识77下面哪一种方式,能够最有效的约束雇员只能履行其分内的工作?应用级访问控制数据加密78内部审计师发现不是所有雇员都了解企业的信息安全策略。内部审计师应当得出以下哪项结论:这种缺乏了解会导致不经意地泄露敏感信息信息安全不是对所有职能都是关键的79设计信息安全策略时,最重要的一点是所有的信息安全策略应该: 非现场存储b) 由IS经理签署80负责制定、执行和维护内部安全控制制度的责任在于:IS审计员.管理层.81组织与供应商协商
本文标题:CISP试题及答案(515多题)
链接地址:https://www.777doc.com/doc-5531110 .html