2021年CISP题库500题（含答案）.docx

1.以下对信息安全描述不正确的是A.信息安全的基本要素包括保密性、完整性和可用性B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行，使安 全事件对业务造成的影响减到最小，确保组织业务运行的连续性C.信息安全就是不出安全事故/事件D.信息安全不仅仅只考虑防止信息泄密就可以了【答案】C2.以下对信息安全管理的描述错误的是A.保密性、完整性、可用性B.抗抵赖性、可追溯性C.真实性私密性可靠性D.增值性【答案】D3.以下对信息安全管理的描述错误的是A.信息安全管理的核心就是风险管理B.人们常说，三分技术，七分管理，可见管理对信息安全的重要性C.安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂D.信息安全管理工作的重点是信息系统，而不是人【答案】D4.企业按照I S 0 2 7 0 0 1标准建立信息安全管理体系的过程中， 对关键成功因素的描述不正确的是A.不需要全体员工的参入，只要I T部门的人员参入即可B.来自高级管理层的明确的支持和承诺C.对企业员工提供必要的安全意识和技能的培训和教育D.所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准，并 遵照执行【答案】A.信息安全管理体系（ISMS）是一个怎样的体系，以下描述不正确的 是A. ISMS是一个遵循PDCA模式的动态发展的体系ISMS是一个文件化、系统化的体系C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而 定D.ISMS应该是一步到位的，应该解决所有的信息安全问题【答案】D. PDCA特征的描述不正确的是A.顺序进行，周而复始，发现问题，分析问题，然后是解决问题B.大环套小环，安全目标的达成都是分解成多个小目标，一层层地解 决问题C.阶梯式上升，每次循环都要进行总结，巩固成绩，改进不足D.信息安全风险管理的思路不符合PDCA的问题解决思路【答案】D7.以下哪个不是信息安全项目的需求来源A.国家和地方政府法律法规与合同的要求【答案】A.下列哪一项是首席安全官的正常职责？A.定期审查和评价安全策略B.执行用户应用系统和软件测试与评价C.授予或废除用户对IT资源的访问权限D.批准对数据和应用系统的访问权限【答案】B.向外部机构提供其信息处理设施的物理访问权限前，组织应当做什 么？A.该外部机构的过程应当可以被独立机构进行IT审计B.该组织应执行一个风险评估，设计并实施适当的控制C.该外部机构的任何访问应被限制在DMZ区之内D.应当给该外部机构的员工培训其安全程序【答案】B.某组织的信息系统策略规定，终端用户的ID在该用户终止后90天 内失效。组织的信息安全内审核员应：A.报告该控制是有效的，因为用户ID失效是符合信息系统策略规定的时 间段的B.核实用户的访问权限是基于用所必需原则的C.建议改变这个信息系统策略，以保证用户ID的失效与用户终止一致D.建议终止用户的活动日志能被定期审查【答案】C.减少与钓鱼相关的风险的最有效控制是：A.系统的集中监控B.钓鱼的信号包括在防病毒软件中C.在内部网络上发布反钓鱼策略D.对所有用户进行安全培训【答案】D.在人力资源审计期间，安全管理体系内审员被告知在IT部门和人力资 源部门中有一个关于期望的IT服务水平的口头协议。安全管理体系内审 员首先应该做什么？A.为两部门起草一份服务水平协议B.向高级管理层报告存在未被书面签订的协议C.向两部门确认协议的内容D.推迟审计直到协议成为书面文档【答案】C.下面哪一个是定义深度防御安全原则的例子？A.使用由两个不同提供商提供的防火墙检查进入网络的流量B.在主机上使用防火墙和逻辑访问控制来控制进入网络的流量C.在数据中心建设中不使用明显标志D.使用两个防火墙检查不同类型进入网络的流量【答案】A.下面哪一种是最安全和最经济的方法，对于在一个小规模到一个中 等规模的组织中通过互联网连接私有网络？A.虚拟专用网B专线C.租用线路D.综合服务数字网.【答案】A.通过社会工程的方法进行非授权访问的风险可以通过以下方法避 免：A.安全意识程序B.非对称加密C.入侵侦测系统D.非军事区【答案】A65.在安全人员的帮助下，对数据提供访问权的责任在于：A.数据所有者.B.程序员C.系统分析师.D.库管员【答案】A66.信息安全策略,声称”密码的显示必须以掩码的形式”的目的是防范 下面哪种攻击风险？A.尾随B.垃圾搜索C.肩窥D.冒充【答案】C.管理体系审计员进行通信访问控制审查，首先应该关注：A.维护使用各种系统资源的访问日志B.在用户访问系统资源之前的授权和认证C.通过加密或其他方式对存储在服务器上数据的充分保护D.确定是否可以利用终端系统资源的责任制和能力.【答案】D.下列哪一种防病毒软件的实施策略在内部公司网络中是最有效的：A.服务器防毒软件B.病毒墙C.工作站防病毒软件D.病毒库及时更新【答案】D.测试程序变更管理流程时，安全管理体系内审员使用的最有效的方 法是：A.由系统生成的信息跟踪到变更管理文档B.检查变更管理文档中涉及的证据的精确性和正确性C.由变更管理文档跟踪到生成审计轨迹的系统D.检查变更管理文档中涉及的证据的完整性【答案】A.内部审计部门，从组织结构上向财务总监而不是审计委员会报告，最 有可能：A.导致对其审计独立性的质疑B.报告较多业务细节和相关发现C.加强了审计建议的执行D.在建议中采取更对有效行动【答案】A71.下面哪一种情况可以使信息系统安全官员实现有效进行安全控制 的目的？A.完整性控制的需求是基于风险分析的结果B.控制已经过了测试C.安全控制规范是基于风险分析的结果D.控制是在可重复的基础上被测试的【答案】D72.下列哪一种情况会损害计算机安全策略的有效性？A.发布安全策略时B.重新检查安全策略时C.测试安全策略时D.可以预测到违反安全策略的强制性措施时【答案】D.组织的安全策略可以是广义的，也可以是狭义的，下面哪一条是属 于广义的安全策略？A.应急计划B.远程办法C.计算机安全程序D.电子邮件个人隐私【答案】C.基本的计算机安全需求不包括下列哪一条：A.安全策略和标识B.绝对的保证和持续的保护C.身份鉴别和落实责任D.合理的保证和连续的保护【答案】B75.软件的盗版是一个严重的问题。在下面哪一种说法中反盗版的策略 和实际行为是矛盾的？A.员工的教育和培训B.远距离工作(Telecommuting)与禁止员工携带工作软件回家C.自动日志和审计软件D.策略的发布与策略的强制执行【答案】B76.组织内数据安全官的最为重要的职责是：A.推荐并监督数据安全策略B.在组织内推广安全意识C.制定IT安全策略下的安全程序/流程D.管理物理和逻辑访问控制【答案】A77.下面哪一种方式，能够最有效的约束雇员只能履行其分内的工作？A.应用级访问控制B.数据加密C,卸掉雇员电脑上的软盘和光盘驱动器D.使用网络监控设备【答案】A78.内部审计师发现不是所有雇员都了解企业的信息安全策略。内部审 计师应当得出以下哪项结论：A.这种缺乏了解会导致不经意地泄露敏感信息B.信息安全不是对所有职能都是关键的C. IS审计应当为那些雇员提供培训D.该审计发现应当促使管理层对员工进行继续教育【答案】A79.设计信息安全策略时，最重要的一点是所有的信息安全策略应该：A.非现场存储B.b) 由IS经理签署C.发布并传播给用户D.经常更新【答案】C.负责制定、执行和维护内部安全控制制度的责任在于：A. IS审计员.B管理层.C.外部审计师.D.程序开发人员.【答案】B.组织与供应商协商服务水平协议，下面哪一个最先发生？A.制定可行性研究.B.检查是否符合公司策略.C.草拟服务水平协议.D.草拟服务水平要求【答案】B82.以下哪一个是数据保护的最重要的目标？A.确定需要访问信息的人员B.确保信息的完整性C.拒绝或授权对系统的访问D.监控逻辑访问【答案】A83.在逻辑访问控制中如果用户账户被共享，这种局面可能造成的最大 风险是：A.非授权用户可以使用ID擅自进入.B.用户访问管理费时.C.很容易猜测密码.D.无法确定用户责任【答案】D84.作为信息安全治理的成果，战略方针提供了：A.企业所需的安全要求B.遵从最佳实务的安全基准C.日常化制度化的解决方案D.风险暴露的理解【答案】A85.企业由于人力资源短缺，IT支持一直以来由一位最终用户兼职，最 恰当的补偿性控制是：A.限制物理访问计算设备B.检查事务和应用日志C.雇用新IT员工之前进行背景调查D.在双休日锁定用户会话【答案】B.关于安全策略的说法，不正确的是A.得到安全经理的审核批准后发布B.应采取适当的方式让有关人员获得并理解最新版本的策略文档C.控制安全策略的发布范围，注意保密D.系统变更后和定期的策略文件评审和改进【答案】A.哪一项不是管理层承诺完成的？A.确定组织的总体安全目标B.购买性能良好的信息安全产品C.推动安全意识教育D.评审安全策略的有效性【答案】B88.安全策略体系文件应当包括的内容不包括A.信息安全的定义、总体目标、范围及对组织的重要性B.对安全管理职责的定义和划分C. 口令、加密的使用是阻止性的技术控制措施；D.违反安全策略的后果【答案】C89.对信息安全的理解，正确的是A.信息资产的保密性、完整性和可用性不受损害的能力，是通过信息安 全保障措施实现的B.通过信息安全保障措施，确保信息不被丢失C.通过信息安全保证措施，确保固定资产及相关财务信息的完整性D,通过技术保障措施，确保信息系统及财务数据的完整性、机密性及可 用性【答案】A90.以下哪项是组织中为了完成信息安全目标，针对信息系统，遵循安 全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指 导、协调和控制等活动？A.反应业务目标的信息安全方针、目标以及活动；B.来自所有级别管理者的可视化的支持与承诺；C.提供适当的意识、教育与培训D.以上所有【答案】D91.信息安全管理体系要求的核心内容是？A.风险评估B.关键路径法C.PDCA循环D.PERT【答案】C92.有效减少偶然或故意的未授权访问、误用和滥用的有效方法是如下 哪项？A.访问控制B.职责分离C.加密D.认证【答案】B.下面哪一项组成了 QA三元组？A.保密性，完整性，保障B.保密性，完整性，可用性C.保密性，综合性，保障D.保密性，综合性，可用性【答案】B.在信息安全策略体系中，下面哪一项属于计算机或信息安全的强制 性规则？A.标准(Standard)B.安全策略(Security policy)C.方针(Guideline)D.流程(Procedure)【答案】A.在许多组织机构中，产生总体安全性问题的主要原因是：A.缺少安全性管理B.缺少故障管理C.缺少风险分析D.缺少技术控制机制【答案】A.下面哪一项最好地描述了风险分析的目的？A.识别用于保护资产的责任义务和规章制度B.识别资产以及保护资产所使用的技术控制措施C.识别资产、脆弱性并计算潜在的风险D.识别同责任义务有直接关系的威胁【答案】C.以下哪一项对安全风险的描述是准确的？A.安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损 失或损害的可能性。B.安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产 损失事实。C.安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产 损失或损害的可能性D.安全风险是指资产的脆弱性被威胁利用的情形。【答案】C.以下哪些不属于脆弱性范畴？A.黑客攻击B.操作系统漏洞C.应用程序BUGD.人员的不良操作习惯【答案】A.依据信息系统安全保障模型，以下那个不是安全保证对象A.机密性B.管理C.过程D.人员【答案】A.以下哪一项是已经被确认了的具有一定合理性的风险？A.总风险B.最小化风险C.可接受风险D.残余风险【答案】C.以下哪一种人给公司带来最大的安全风险？A.临时工B.咨询人员C.以前员工D.当前员工【答案】D. 一组将输入转化为输出的相互关联或相互作用的什么叫做过程？A.数据B.信息流C.活动D.模块【答案】C103.系统地识别和管理组织所应用的过程，特别是这些过程之间的相 互作用，称为什么？A.戴明循环B.过程方法C.管理体系D.服务管理【答案】B.拒绝式服务攻击会影响信息系统的哪个特性？A.完整性B可用性C.机密性D.可控性【答案】B.在信息系统安全中，风险由以下哪两种因素共同构成的？A.攻击和脆弱性B.威胁和攻击C.威胁和脆弱性D.威胁和破坏【答案】C.在信息系统安全中，暴露由以下哪两种因素共同构成的？A.攻击和脆弱性B.威胁和攻击C.威胁和脆弱性D.威胁和破坏【答案】A107.信息安全管理最关注的是？A.外部恶意攻击B.病毒对PC的影响C.内部恶意攻击D.病毒对网络的影响【答案】C.从风险管理的角度，以下哪种方法不可取？A.接受风险B.分散风险C.转移风险D.拖延风险【答案】D. ISMS文档体系中第一层文件是？A.信息安全方针政策B.信息安全工作程序C.信息安全作业指导书D.信息安全工作记录【答案】A110.以下哪种风险被定义为合理的风险？A.最小的风险B.可接收风险C.残余风险D.总风险【答案】B.从目前的情况看，对所有的计算机系统来说，以下哪种威胁是最 为严重的，可能造成巨大的损害？A.没有充分训练或粗心的用户B.第三方C.黑客D.心怀不满的雇员【答案】D.如果将风险管理分为风险评估和风险减缓，那么以下哪个不属于 风险减缓的内容？A.计算风险B.选择合适的安全措施C.实现安全措施D.接受残余风险【答案】A113.通常最好由谁来确定系统和数据的敏感性级别？A.审计师B.终端用户C.拥有者D.系统分析员【答案】C.风险分析的目的是？A.在实施保护所需的成本与风险可能造成的影响之间进行技术平衡；B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡；C.在实施保护所需的成本与风险可能造成的影响之间进行经济平衡；D.在实施保护所需的成本与风险可能造成的影响之间进行法律平衡； 【答案】C114 .以下哪个不属于信息安全的三要素之一？A.机密性B.完整性C.抗抵赖性D.可用性【答案】C. ISMS指的是什么？A.信息安全管理B.信息系统管理体系C.信息系统管理安全D.信息安全管理体系【答案】D117.在确定威胁的可能性时，可以不考虑以下哪个？A.威胁源B.潜在弱点C.现有控制措施D.攻击所产生的负面影响【答案】D118.在风险分析中，以下哪种说法是正确的？A.定量影响分析的主要优点是它对风险进行排序并对那些需要立即改善 的环节进行标识。B.定性影响分析可以很容易地对控制进行成本收益分析。C.定量影响分析不能用在对控制进行的成本收益分析中。D,定量影响分析的主要优点是它对影响大小给出了一个度量【答案】D119.通常情况下，怎样计算风险？A.将威胁可能性等级乘以威胁影响就得出了风险。B.将威胁可能性等级加上威胁影响就得出了风险。C.用威胁影响除以威胁的发生概率就得出了风险。D.用威胁概率作为指数对威胁影响进行乘方运算就得出了风险。【答案】A120.资产清单可包括？A.服务及无形资产B.信息资产C.人员D.以上所有【答案】D.评估IT风险被很好的达到，可以通过：A.评估IT资产和IT项目总共的威胁B.用公司的以前的真的损失经验来决定现在的弱点和威胁C.审查可比较的组织出版的损失数据D.一句审计拔高审查IT控制弱点【答案】A.在部署风险管理程序的时候，哪项应该最先考虑到：A.组织威胁，弱点和风险概括的理解B.揭露风险的理解和妥协的潜在后果C.基于潜在结果的风险管理优先级的决心D.风险缓解战略足够在一个可以接受的水平上保持风险的结果【答案】A.为了解决操作人员执行日常备份的失误，管理层要求系统管理员 签字日常备份，这是一个风险例子：A.防止B.转移C.缓解D.接受【答案】C.以下哪项不属于PDCA循环的特点？A.按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不 断循环B.组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层 一层地解决问题C.每通过一次PDCA循环，都要进行总结，提出新目标，再进行第二次 PDCA循环B.风险评估的结果C.组织原则目标和业务需要D.企业领导的个人意志【答案】D8. IS027001认证项目一般有哪几个阶段？A.管理评估，技术评估，操作流程评估.确定范围和安全方针，风险评估，风险控制（文件编写），体系运行，诔C.产品方案需求分析，解决方案提供，实施解决方案D.基础培训，RA培训，文件编写培训，内部审核培训【答案】B.构成风险的关键因素有哪些？A.人，财，物B.技术，管理和操作C.资产，威胁和弱点D.资产，可能性和严重性【答案】C10.以下哪些不是应该识别的信息资产？A.网络设备B.客户资料C.办公桌椅D.系统管理员【答案】C11.以下哪些是可能存在的威胁因素？ BA.设备老化故障B.病毒和蠕虫C.系统设计缺陷D.保安工作不得力【答案】B.以下哪些不是可能存在的弱点问题？A.保安工作不得力B.应用系统存在BugC.内部人员故意泄密D.物理隔离不足【答案】C.风险评估的过程中，首先要识别信息资产，资产识别时，以下哪个 不是需要遵循的原则？A.只识别与业务及信息系统有关的信息资产，分类识别B.所有公司资产都要识别C.可以从业务流程出发，识别各个环节和阶段所需要以及所产出的关键 资产D.资产识别务必明确责任人、保管者和用户【答案】B.风险分析的目的是？D.D.组织中的每个部分，不包括个人，均可以PDCA循环，大环套小环， 一层一层地解决问题【答案】D125.戴明循环执行顺序，下面哪项正确？A.PLAN-ACT-DO-CHECKCHECK-PLAN-ACT-DOB. PLAN-DO-CHECK-ACTACT-PLAN-CHECK-DO【答案】C.建立ISMS的第一步是？A.风险评估B.设计ISMS文档C.明确ISMS范围D.确定ISMS策略【答案】C.建立ISMS的步骤正确的是？A.明确ISMS范围.确定ISMS策略.定义风险评估方法.进行风险评估-设计 和选择风险处置方法设计ISMS文件-进行管理者承诺（审批）B.定义风险评估方法-进行风险评估-设计和选择风险处置方法.设计ISMS 文件进行管理者承诺（审批）-确定ISMS策略C.确定ISMS策略明确ISMS范围一定义风险评估方法-进行风险评估-设计 和选择风险处置方法设计ISMS文件-进行管理者承诺（审批）D.明确ISMS范围定义风险评估方法-进行风险评估-设计和选择风险处置 方法确定ISMS策略.设计ISMS文件.进行管理者承诺（审批）【答案】A.除以下哪项可作为ISMS审核（包括内审和外审）的依据，文件审 核、现场审核的依据？A.机房登记记录B.信息安全管理体系C.权限申请记录D.离职人员的口述【答案】D.以下哪项是ISMS文件的作用？A.是指导组织有关信息安全工作方面的内部“法规” -使工作有章可循。B.是控制措施（controls）的重要部分C.提供客观证据-为满足相关方要求，以及持续改进提供依据D.以上所有【答案】D.以下哪项不是记录控制的要求？A.清晰、易于识别和检索B.记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应 形成文件并实施C.建立并保持，以提供证据D.记录应尽可能的达到最详细【答案】D.下面哪项是信息安全管理体系中CHECK （检查）中的工作内容？A.按照计划的时间间隔进行风险评估的评审B.实施所选择的控制措施C.采取合适的纠正和预防措施。从其它组织和组织自身的安全经验中吸 取教训D.确保改进达到了预期目标【答案】A.指导和规范信息安全管理的所有活动的文件叫做？A.过程B.安全目标C.安全策略D.安全范围【答案】C.信息安全管理措施不包括：A.安全策略B.物理和环境安全C.访问控制D.安全范围【答案】D.下面安全策略的特性中，不包括哪一项？A.指导性B.静态性C.可审核性D.非技术性【答案】B.信息安全活动应由来自组织不同部门并具备相关角色和工作职责 的代表进行，下面哪项包括非典型的安全协调应包括的人员？A.管理人员、用户、应用设计人员B.系统运维人员、内部审计人员、安全专员C.内部审计人员、安全专员、领域专家D.应用设计人员、内部审计人员、离职人员【答案】D.下面那一项不是风险评估的目的？A.分析组织的安全需求B.制订安全策略和实施安防措施的依据C.组织实现信息安全的必要的、重要的步骤D.完全消除组织的风险【答案】D.下面那个不是信息安全风险的要素？A.资产及其价值B.数据安全C.威胁D.控制措施【答案】B.信息安全风险管理的对象不包括如下哪项A.信息自身B.信息载体C.信息网络D.信息环境【答案】C.信息安全风险管理的最终责任人是？A.决策层B.管理层C.执行层D.支持层【答案】A.信息安全风险评估对象确立的主要依据是什么A.系统设备的类型B.系统的业务目标和特性C.系统的技术架构D.系统的网络环境【答案】B.下面哪一项不是风险评估的过程？A.风险因素识别B.风险程度分析C.风险控制选择D.风险等级评价【答案】C.风险控制是依据风险评估的结果，选择和实施合适的安全措施。 下面哪个不是风险控制的方式？A.规避风险B.转移风险C.接受风险D.降低风险【答案】C.降低风险的控制措施有很多，下面哪一个不属于降低风险的措 施？A.在网络上部署防火墙B.对网络上传输的数据进行加密C.制定机房安全管理制度D.购买物理场所的财产保险【答案】D.信息安全审核是指通过审查、测试、评审等手段，检验风险评估 和风险控制的结果是否满足信息系统的安全要求，这个工作一般由谁完 成？A.机构内部人员B.外部专业机构C.独立第三方机构D.以上皆可【答案】D.如何对信息安全风险评估的过程进行质量监控和管理？A.对风险评估发现的漏洞进行确认B.针对风险评估的过程文档和结果报告进行监控和审查C.对风险评估的信息系统进行安全调查D.对风险控制测措施有有效性进行测试【答案】B.信息系统的价值确定需要与哪个部门进行有效沟通确定?A.系统维护部门B.系统开发部门C.财务部门D.业务部门【答案】D.下面哪一个不是系统规划阶段风险管理的工作内容A.明确安全总体方针B.明确系统安全架构C.风险评价准则达成一致D.安全需求分析【答案】B.下面哪一个不是系统设计阶段风险管理的工作内容A.安全技术选择B.软件设计风险控制C.安全产品选择D.安全需求分析【答案】D.下面哪一个不是系统实施阶段风险管理的工作内容A.安全测试B.检查与配置C.配置变更D.人员培训【答案】C.下面哪一个不是系统运行维护阶段风险管理的工作内容A.安全运行和管理B.安全测试C.变更管理D.风险再次评估【答案】B.下面哪一个不是系统废弃阶段风险管理的工作内容A.安全测试B.对废弃对象的风险评估C.防止敏感信息泄漏D.人员培训【答案】A.系统上线前应当对系统安全配置进行检查，不包括下列哪种安全 检查A.主机操作系统安全配置检查B.网络设备安全配置检查C.系统软件安全漏洞检查D.数据库安全配置检查【答案】C.风险评估实施过程中资产识别的依据是什么A.依据资产分类分级的标准B.依据资产调查的结果C.依据人员访谈的结果D.依据技术人员提供的资产清单【答案】A.风险评估实施过程中资产识别的范围主要包括什么类别A.网络硬件资产B.数据资产C.软件资产D.以上都包括【答案】D.风险评估实施过程中脆弱性识别主要包括什么方面A.软件开发漏洞B.网站应用漏洞C.主机系统漏洞D.技术漏洞与管理漏洞【答案】D.下面哪一个不是脆弱性识别的手段A.人员访谈B.技术工具检测C.信息资产核查D.安全专家人工分析【答案】C.信息资产面临的主要威胁来源主要包括A.自然灾害B.系统故障C.内部人员操作失误D.以上都包括【答案】D.下面关于定性风险评估方法的说法正确的是A.通过将资产价值和风险等量化为财务价值和方式来进行计算的一种方 法B.采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些 后果发生的可能性C.在后果和可能性分析中采用数值，并采用从各种各样的来源中得到的数据D.定性风险分析提供了较好的成本效益分析【答案】B.下面关于定性风险评估方法的说法不正确的是A.易于操作，可以对风险进行排序并能够对那些需要立即改善的环节进 行标识B.主观性强，分析结果的质量取决于风险评估小组成员的经验和素质 CJ耗时短、成本低、可控性高IID.能够提供量化的数据支持，易被管理层所理解和接受【答案】D.下面关于定量风险评估方法的说法正确的是A.易于操作，可以对风险进行排序并能够对那些需要立即改善的环节进 行标识B.能够通过成本效益分析控制成本C.“耗时短、成本低、可控性高IID.主观性强，分析结果的质量取决于风险评估小组成员的经验和素质 【答案】B.年度损失值（ALE）的计算方法是什么A.ALE=ARO*AVB.ALE=AV*SLEC.HALE=ARO*SLEIID.ALE=AV*EF【答案】C.矩阵分析法通常是哪种风险评估采用的方法A.定性风险评估B.定量分析评估C.安全漏洞评估D.安全管理评估【答案】A.风险评估和管理工具通常是指什么工具A.漏洞扫描工具B.入侵检测系统C.安全审计工具D.安全评估流程管理工具【答案】D.安全管理评估工具通常不包括A.调查问卷B.检查列表C.访谈提纲D.漏洞扫描【答案】D.安全技术评估工具通常不包括A.漏洞扫描工具B.入侵检测系统C.调查问卷D.渗透测试工具【答案】C.对于信息安全管理.，风险评估的方法比起基线的方法，主要的优 势在于它确保A信息资产被过度保护B.不考虑资产的价值，基本水平的保护都会被实施C.对信息资产实施适当水平的保护D.对所有信息资产保护都投入相同的资源【答案】C.区别脆弱性评估和渗透测试是脆弱性评估A.检查基础设施并探测脆弱性，然而穿透性测试目的在于通过脆弱性检 测其可能带来的损失B.和渗透测试为不同的名称但是同一活动C.是通过自动化工具执行，而渗透测试是一种完全的手动过程D.是通过商业工具执行，而渗透测试是执行公共进程【答案】A.合适的信息资产存放的安全措施维护是谁的责任A.安全管理员B.系统管理员C.数据和系统所有者D.系统运行组【答案】C.要很好的评估信息安全风险，可以通过：A.评估IT资产和IT项目的威胁B.用公司的以前的真的损失经验来决定现在的弱点和威胁C.审查可比较的组织公开的损失统计D.审查在审计报告中的可识别的IT控制缺陷【答案】A.下列哪项是用于降低风险的机制A.安全和控制实践B.财产和责任保险C.审计与认证D.合同和服务水平协议【答案】A.回顾组织的风险评估流程时应首先A.鉴别对于信息资产威胁的合理性B.分析技术和组织弱点C.鉴别并对信息资产进行分级D.对潜在的安全漏洞效果进行评价【答案】C.在实施风险分析期间，识别出威胁和潜在影响后应该A.识别和评定管理层使用的风险评估方法B.识别信息资产和基本系统C.揭示对管理的威胁和影响D.识别和评价现有控制【答案】D.在制定控制前，管理层首先应该保证控制A.满足控制一个风险问题的要求B.不减少生产力C.基于成本效益的分析D.检测行或改正性的【答案】A.在未受保护的通信线路上传输数据和使用弱口令是一种?A溺点B.威胁C.可能性D影响【答案】A.数据保护最重要的目标是以下项目中的哪一个A.识别需要获得相关信息的用户B.确保信息的完整性C.对信息系统的访问进行拒绝或授权D.监控逻辑访问【答案】B.对一项应用的控制进行了检查，将会评估A.该应用在满足业务流程上的效率B.任何被发现风险影响C.业务流程服务的应用D.应用程序的优化【答案】B.在评估逻辑访问控制时，应该首先做什么A.把应用在潜在访问路径上的控制项记录下来B.在访问路径上测试控制来检测是否他们具功能化C.按照写明的策略和实践评估安全环境D.对信息流程的安全风险进行了解【答案】D.在评估信息系统的管理风险。首先要查看A.控制措施已经适当B腔制的有效性适当C.监测资产有关风险的机制D.影响资产的漏洞和威胁【答案】D.在开发一个风险管理程序时，什么是首先完成的活动A.威胁评估B.数据分类C.资产清单D.关键程度分析【答案】C.在检查IT安全风险管理程序，安全风险的测量应该A.列举所有的网络风险B.对应IT战略计划持续跟踪C.考虑整个IT环境D.识另U对（信息系统）的弱点的容忍度的结果【答案】C.在实施风险管理程序的时候，下列哪一项应该被最先考虑到：A.组织的威胁，弱点和风险概貌的理解B.揭露风险的理解和妥协的潜在后果C.基于潜在结果的风险管理优先级的决心D.风险缓解战略足够使风险的结果保持在一个可以接受的水平上【答案】A.授权访问信息资产的责任人应该是A.资产保管员B.安全管理员C.资产所有人D.安全主管【答案】C.渗透测试作为网络安全评估的一部分A.提供保证所有弱点都被发现B.在不需要警告所有组织的管理层的情况下执行C.找到存在的能够获得未授权访问的漏洞D.在网络边界上执行不会破坏信息资产【答案】C. 一个组织的网络设备的资产价值为100000元，一场意外火灾使其 损坏了价值的25%,按照经验统计，这种火灾一般每5年发生一次，年预 期损失ALE为A.5000 元B.10000 元C.25000 元D.15000 元【答案】A. 一个个人经济上存在问题的公司职员有权独立访问高敏感度的信 息，他可能窃取这些信息卖给公司的竞争对手，如何控制这个风险 A.开除这名职员B.限制这名职员访问敏感信息C.删除敏感信息D.将此职员送公安部门【答案】B.以下哪一种人最有可能给公司带来最大的安全风险？A.临时工B.当前员工C.以前员工D.咨询人员【答案】B.当以下哪一类人员维护应用系统软件的时候，会造成对“职责分 离”原则的违背？A.数据维护管理员B.系统故障处理员C.系统维护管理员D.系统程序员【答案】D.下列角色谁应该承担决定信息系统资源所需的保护级别的主要责 任？A.信息系统安全专家B.业务主管C.安全主管D.系统审查员【答案】B.职责分离的主要目的是？A.防止一个人从头到尾整个控制某一交易或者活动B.不同部门的雇员不可以在一起工作C.对于所有的资源都必须有保护措施D.对于所有的设备都必须有操作控制措施【答案】A.以下哪种做法是正确的“职责分离”做法？A.程序员不允许访问产品数据文件B.程序员可以使用系统控制台C.控制台操作员可以操作磁带和硬盘D.磁带操作员可以使用系统控制台【答案】A.以下哪个是数据库管理员(DBA)可以行使的职责？A.计算机的操作B.应用程序开发C.系统容量规划D.应用程序维护【答案】C.信息安全管理体系策略文件中第一层文件是？A.信息安全工作程序B.信息安全方针政策C.信息安全作业指导书D.信息安全工作记录【答案】B.对安全策略的描述不正确的是？A.在实施保护所需的成本与风险可能造成的影响之间进行技术平衡；B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡；C. 在实施保护所需的成本与风险可能造成的影响之间进行经济平衡； D.在实施保护所需的成本与风险可能造成的影响之间进行法律平衡； 【答案】C126 对于信息安全风险的描述不正确的是？A.企业信息安全风险管理就是要做到零风险B.在信息安全领域，风险(Risk)就是指信息资产遭受损坏并给企业带 来负面影响及其潜在可能性C.风险管理(Risk Management)就是以可接受的代价，识别控制减少或 消除可能影响信息系统的安全风险的过程。D.风P佥评估(RiskAssessment)就是对信息和信息处理设施面临的威胁、 受到的影响、存在的弱点以及威胁发生的可能性的评估。【答案】A有关定性风险评估和定量风险评估的区别，以下描述不正确的是A.定性风险评估比较主观，而定量风险评估更客观B.定性风险评估容易实施，定量风险评估往往数据准确性很难保证C.定性风险评估更成熟，定量风险评估还停留在理论阶段D. 定性风险评估和定量风险评估没有本质区别，可以通用 【答案】D降低企业所面临的信息安全风险，可能的处理手段不包括哪些A.通过良好的系统设计、及时更新系统补丁，降低或减少信息系统自身 的缺陷B.通过数据备份、双机热备等冗余手段来提升信息系统的可靠性；C.建立必要的安全制度和部署必要的技术手段，防范黑客和恶意软件的 攻击D.通过业务外包的方式，转嫁所有的安全风险【答案】D风险评估的基本过程是怎样的？A.识别并评估重要的信息资产，识别各种可能的威胁和严重的弱点，最豳 定风险B.通过以往发生的信息安全事件，找到风险所在C.风险评估就是对照安全检查单，查看相关的管理和技术措施是否到位D.风险评估并没有规律可循，完全取决于评估者的经验所在【答案】A19.企业从获得良好的信息安全管控水平的角度出发，以下哪些行为是 适当的A.只关注外来的威胁，忽视企业内部人员的问题B.相信来自陌生人的邮件，好奇打开邮件附件C.开着电脑离开，就像离开家却忘记关灯那样D.及时更新系统和安装系统和应用的补丁【答案】D20.以下对IS027001标准的描述不正确的是A.企业通过IS027001认证则必须符合IS027001信息安全管理体系规范A.信息安全策略应得到组织的最高管理者批准。B.策略应有一个所有者，负责按复查程序维护和复查该策略。C.安全策略应包括管理层对信息安全管理工作的承诺。D.安全策略一旦建立和发布，则不可变更。【答案】D194.有关人员安全管理的描述不正确的是？A.人员的安全管理是企业信息安全管理活动中最难的环节。B.重要或敏感岗位的人员入职之前，需要做好人员的背景检查。C.如职责分离难以实施，企业对此无能为力，也无需做任何工作。D. 人员离职之后，必须清除离职员工所有的逻辑访问帐号。【答案】C195.关于信息安全策略文件以下说法不正确的是哪个？A.信息安全策略文件应由管理者批准、发布。B