cisp模拟试题(1)

如果您发现本试卷没有包含本套题的全部小题，请尝试在页面顶部本站内搜索框搜索相关题目，一般都能找到。

以下对信息安全描述不正确的是
- A.信息安全的基本要素包括保密性、完整性和可用性
- B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性
- C.信息安全就是不出安全事故/事件
- D.信息安全不仅仅只考虑防止信息泄密就可以了
点击查看答案
以下哪一项是已经被确认了的具有一定合理性的风险?
- A.总风险
- B.最小化风险
- C.可接受风险
- D.残余风险
点击查看答案
以下哪些不是应该识别的信息资产?
- A.网络设备
- B.客户资料
- C.办公桌椅
- D.系统管理员
点击查看答案
一组将输入转化为输出的相互关联或相互作用的什么叫做过程?
- A.数据
- B.信息流
- C.活动
- D.模块
点击查看答案
以下哪一种人给公司带来最大的安全风险?
- A.临时工
- B.咨询人员
- C.以前员工
- D.当前员工
点击查看答案
拒绝式服务攻击会影响信息系统的哪个特性?
- A.完整性
- B.可用性
- C.机密性
- D.可控性
点击查看答案
系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称为什么?
- A.戴明循环
- B.过程方法
- C.管理体系
- D.服务管理
点击查看答案
在信息系统安全中，风险由以下哪两种因素共同构成的?
- A.攻击和脆弱性
- B.威胁和攻击
- C.威胁和脆弱性
- D.威胁和破坏
点击查看答案
在信息系统安全中，暴露由以下哪两种因素共同构成的?
- A.攻击和脆弱性
- B.威胁和攻击
- C.威胁和脆弱性
- D.威胁和破坏
点击查看答案
信息安全管理最关注的是?
- A.外部恶意攻击
- B.病毒对PC的影响
- C.内部恶意攻击
- D.病毒对网络的影响
点击查看答案
以下哪些是可能存在的威胁因素?
- A.设备老化故障
- B.病毒和蠕虫
- C.系统设计缺陷
- D.保安工作不得力
点击查看答案
从风险管理的角度，以下哪种方法不可取?
- A.接受风险
- B.分散风险
- C.转移风险
- D.拖延风险
点击查看答案
ISMS文档体系中第一层文件是?
- A.信息安全方针政策
- B.信息安全工作程序
- C.信息安全作业指导书
- D.信息安全工作记录
点击查看答案
以下哪种风险被定义为合理的风险?
- A.最小的风险
- B.可接收风险
- C.残余风险
- D.总风险
点击查看答案
从目前的情况看，对所有的计算机系统来说，以下哪种威胁是最为严重的，可能造成巨大的损害?
- A.没有充分训练或粗心的用户
- B.第三方
- C.黑客
- D.心怀不满的雇员
点击查看答案
如果将风险管理分为风险评估和风险减缓，那么以下哪个不属于风险减缓的内容?
- A.计算风险
- B.选择合适的安全措施
- C.实现安全措施
- D.接受残余风险
点击查看答案
通常最好由谁来确定系统和数据的敏感性级别?
- A.审计师
- B.终端用户
- C.拥有者
- D.系统分析员
点击查看答案
以下哪个不属于信息安全的三要素之一?
- A.机密性
- B.完整性
- C.抗抵赖性
- D.可用性
点击查看答案
ISMS指的是什么?
- A.信息安全管理
- B.信息系统管理体系
- C.信息系统管理安全
- D.信息安全管理体系
点击查看答案
风险分析的目的是?
- A.在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;
- B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;
- C.在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;
- D.在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;
点击查看答案
在确定威胁的可能性时，可以不考虑以下哪个?
- A.威胁源
- B.潜在弱点
- C.现有控制措施
- D.攻击所产生的负面影响
点击查看答案
在风险分析中，以下哪种说法是正确的?
- A.定量影响分析的主要优点是它对风险进行排序并对那些需要立即改善的环节进行标识
- B.定性影响分析可以很容易地对控制进行成本收益分析
- C.定量影响分析不能用在对控制进行的成本收益分析中
- D.定量影响分析的主要优点是它对影响大小给出了一个度量
点击查看答案
以下哪些不是可能存在的弱点问题?
- A.保安工作不得力
- B.应用系统存在Bug
- C.内部人员故意泄密
- D.物理隔离不足
点击查看答案
通常情况下，怎样计算风险?
- A.将威胁可能性等级乘以威胁影响就得出了风险
- B.将威胁可能性等级加上威胁影响就得出了风险
- C.用威胁影响除以威胁的发生概率就得出了风险
- D.用威胁概率作为指数对威胁影响进行乘方运算就得出了风险
点击查看答案
资产清单可包括?
- A.服务及无形资产
- B.信息资产
- C.人员
- D.以上所有
点击查看答案
评估IT风险被很好的达到，可以通过：
- A.评估IT资产和IT项目总共的威胁
- B.用公司的以前的真的损失经验来决定现在的弱点和威胁
- C.审查可比较的组织出版的损失数据
- D.一句审计拔高审查IT控制弱点
点击查看答案
在部署风险管理程序的时候，哪项应该最先考虑到：
- A.组织威胁，弱点和风险概括的理解
- B.揭露风险的理解和妥协的潜在后果
- C.基于潜在结果的风险管理优先级的决心
- D.风险缓解战略足够在一个可以接受的水平上保持风险的结果
点击查看答案
为了解决操作人员执行日常备份的失误，管理层要求系统管理员签字日常备份，这是一个风险,,例子：
- A.防止
- B.转移
- C.缓解
- D.接受
点击查看答案
以下哪项不属于PDCA循环的特点?
- A.按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环
- B.组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题
- C.每通过一次PDCA循环，都要进行总结，提出新目标，再进行第二次PDCA循环
- D.组织中的每个部分，不包括个人，均可以PDCA循环，大环套小环，一层一层地解决问题
点击查看答案
戴明循环执行顺序，下面哪项正确?
- A..PLAN-ACT-DO-CHECK
- B.CHECK-PLAN-ACT-DO
- C.PLAN-DO-CHECK-ACT
- D.ACT-PLAN-CHECK-DO
点击查看答案
建立ISMS的第一步是?
- A.风险评估
- B.设计ISMS文档
- C.明确ISMS范围
- D.确定ISMS策略
点击查看答案
除以下哪项可作为ISMS审核(包括内审和外审)的依据，文件审核、现场审核的依据?
- A.机房登记记录
- B.信息安全管理体系
- C.权限申请记录
- D.离职人员的口述
点击查看答案
建立ISMS的步骤正确的是?
- A.明确ISMS范围-确定ISMS策略-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺(审批)
- B.定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺(审批)-确定ISMS策略
- C.确定ISMS策略-明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺(审批)
- D.明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-确定ISMS策略-设计ISMS文件-进行管理者承诺(审批)
点击查看答案
以下哪项是ISMS文件的作用?
- A.是指导组织有关信息安全工作方面的内部“法规”--使工作有章可循
- B.是控制措施(controls)的重要部分
- C.提供客观证据--为满足相关方要求，以及持续改进提供依据
- D.以上所有
点击查看答案
以下哪项不是记录控制的要求?
- A.清晰、易于识别和检索
- B.记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施
- C.建立并保持，以提供证据
- D.记录应尽可能的达到最详细
点击查看答案
风险评估的过程中，首先要识别信息资产，资产识别时，以下哪个不是需要遵循的原则?
- A.只识别与业务及信息系统有关的信息资产，分类识别
- B.所有公司资产都要识别
- C.可以从业务流程出发，识别各个环节和阶段所需要以及所产出的关键资产
- D.资产识别务必明确责任人、保管者和用户
点击查看答案
下面哪项是信息安全管理体系中CHECK(检查)中的工作内容?
- A.按照计划的时间间隔进行风险评估的评审
- B.实施所选择的控制措施
- C.采取合适的纠正和预防措施。从其它组织和组织自身的安全经验中吸取教训
- D.确保改进达到了预期目标
点击查看答案
指导和规范信息安全管理的所有活动的文件叫做?
- A.过程
- B.安全目标
- C.安全策略
- D.安全范围
点击查看答案
信息安全管理措施不包括：
- A.安全策略
- B.物理和环境安全
- C.访问控制
- D.安全范围
点击查看答案
下面安全策略的特性中，不包括哪一项?
- A.指导性
- B.静态性
- C.可审核性
- D.非技术性
点击查看答案
信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行，下面哪项包括非典型的安全协调应包括的人员?
- A.管理人员、用户、应用设计人员
- B.系统运维人员、内部审计人员、安全专员
- C.内部审计人员、安全专员、领域专家
- D.应用设计人员、内部审计人员、离职人员
点击查看答案
下面那一项不是风险评估的目的?
- A.分析组织的安全需求
- B.制订安全策略和实施安防措施的依据
- C.组织实现信息安全的必要的、重要的步骤
- D.完全消除组织的风险
点击查看答案
下面那个不是信息安全风险的要素?
- A.资产及其价值
- B.数据安全
- C.威胁
- D.控制措施
点击查看答案
信息安全风险管理的对象不包括如下哪项
- A.信息自身
- B.信息载体
- C.信息网络
- D.信息环境
点击查看答案
信息安全风险管理的最终责任人是?
- A.决策层
- B.管理层
- C.执行层
- D.支持层
点击查看答案
风险分析的目的是?
- A.在实施保护所需的成本与风险可能造成的影响之间进行技术平衡;
- B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡;
- C.在实施保护所需的成本与风险可能造成的影响之间进行经济平衡;
- D.在实施保护所需的成本与风险可能造成的影响之间进行法律平衡;
点击查看答案
下面哪一项不是风险评估的过程?
- A.风险因素识别
- B.风险程度分析
- C.风险控制选择
- D.风险等级评价
点击查看答案
信息安全风险评估对象确立的主要依据是什么
- A.系统设备的类型
- B.系统的业务目标和特性
- C.系统的技术架构
- D.系统的网络环境
点击查看答案
降低风险的控制措施有很多，下面哪一个不属于降低风险的措施?
- A.在网络上部署防火墙
- B.对网络上传输的数据进行加密
- C.制定机房安全管理制度
- D.购买物理场所的财产保险
点击查看答案
风险控制是依据风险评估的结果，选择和实施合适的安全措施。下面哪个不是风险控制的方式?
- A.规避风险
- B.转移风险
- C.接受风险
- D.降低风险
点击查看答案