cisp培训考试题库试题(1)

如果您发现本试卷没有包含本套题的全部小题，请尝试在页面顶部本站内搜索框搜索相关题目，一般都能找到。

信息安全审核是指通过审查、测试、评审等手段，检验风险评估和风险控制的结果是否满足信息系统的安全要求，这个工作一般由谁完成?
- A.机构内部人员
- B.外部专业机构
- C.独立第三方机构
- D.以上皆可
点击查看答案
如何对信息安全风险评估的过程进行质量监控和管理?
- A.对风险评估发现的漏洞进行确认
- B.针对风险评估的过程文档和结果报告进行监控和审查
- C.对风险评估的信息系统进行安全调查
- D.对风险控制测措施有有效性进行测试
点击查看答案
信息系统的价值确定需要与哪个部门进行有效沟通确定?
- A.系统维护部门
- B.系统开发部门
- C.财务部门
- D.业务部门
点击查看答案
下面哪一个不是系统规划阶段风险管理的工作内容
- A.明确安全总体方针
- B.明确系统安全架构
- C.风险评价准则达成一致
- D.安全需求分析
点击查看答案
下面哪一个不是系统实施阶段风险管理的工作内容
- A.安全测试
- B.检查与配置
- C.配置变更
- D.人员培训
点击查看答案
下面哪一个不是系统设计阶段风险管理的工作内容
- A.安全技术选择
- B.软件设计风险控制
- C.安全产品选择
- D.安全需求分析
点击查看答案
下面哪一个不是系统运行维护阶段风险管理的工作内容
- A.安全运行和管理
- B.安全测试
- C.变更管理
- D.风险再次评估
点击查看答案
对于信息安全风险的描述不正确的是?
- A.企业信息安全风险管理就是要做到零风险
- B.在信息安全领域，风险(Risk)就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性
- C.风险管理(RiskManagement)就是以可接受的代价，识别控制减少或消除可能影响信息系统的安全风险的过程
- D.风险评估(RiskAssessment)就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估
点击查看答案
风险评估实施过程中资产识别的依据是什么
- A.依据资产分类分级的标准
- B.依据资产调查的结果
- C.依据人员访谈的结果
- D.依据技术人员提供的资产清单
点击查看答案
系统上线前应当对系统安全配置进行检查，不包括下列哪种安全检查
- A.主机操作系统安全配置检查
- B.网络设备安全配置检查
- C.系统软件安全漏洞检查
- D.数据库安全配置检查
点击查看答案
下面哪一个不是系统废弃阶段风险管理的工作内容
- A.安全测试
- B.对废弃对象的风险评估
- C.防止敏感信息泄漏
- D.人员培训
点击查看答案
风险评估实施过程中资产识别的范围主要包括什么类别
- A.网络硬件资产
- B.数据资产
- C.软件资产
- D.以上都包括
点击查看答案
风险评估实施过程中脆弱性识别主要包括什么方面
- A.软件开发漏洞
- B.网站应用漏洞
- C.主机系统漏洞
- D.技术漏洞与管理漏洞
点击查看答案
下面哪一个不是脆弱性识别的手段
- A.人员访谈
- B.技术工具检测
- C.信息资产核查
- D.安全专家人工分析
点击查看答案
下面关于定性风险评估方法的说法正确的是
- A.通过将资产价值和风险等量化为财务价值和方式来进行计算的一种方法
- B.采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性
- C.在后果和可能性分析中采用数值，并采用从各种各样的来源中得到的数据
- D.定性风险分析提供了较好的成本效益分析
点击查看答案
信息资产面临的主要威胁来源主要包括
- A.自然灾害
- B.系统故障
- C.内部人员操作失误
- D.以上都包括
点击查看答案
有关定性风险评估和定量风险评估的区别，以下描述不正确的是
- A.定性风险评估比较主观，而定量风险评估更客观
- B.定性风险评估容易实施，定量风险评估往往数据准确性很难保证
- C.定性风险评估更成熟，定量风险评估还停留在理论阶段
- D.定性风险评估和定量风险评估没有本质区别，可以通用
点击查看答案
下面关于定性风险评估方法的说法不正确的是
- A.易于操作，可以对风险进行排序并能够对那些需要立即改善的环节进行标识
- B.主观性强，分析结果的质量取决于风险评估小组成员的经验和素质
- C."耗时短、成本低、可控性高"
- D.能够提供量化的数据支持，易被管理层所理解和接受
点击查看答案
年度损失值(ALE)的计算方法是什么
- A.ALE=ARO*AV
- B.ALE=AV*SLE
- C."ALE=ARO*SLE"
- D.ALE=AV*EF
点击查看答案
下面关于定量风险评估方法的说法正确的是
- A.易于操作，可以对风险进行排序并能够对那些需要立即改善的环节进行标识
- B.能够通过成本效益分析控制成本
- C."耗时短、成本低、可控性高"
- D.主观性强，分析结果的质量取决于风险评估小组成员的经验和素质
点击查看答案
安全管理评估工具通常不包括
- A.调查问卷
- B.检查列表
- C.访谈提纲
- D.漏洞扫描
点击查看答案
风险评估和管理工具通常是指什么工具
- A.漏洞扫描工具
- B.入侵检测系统
- C.安全审计工具
- D.安全评估流程管理工具
点击查看答案
矩阵分析法通常是哪种风险评估采用的方法
- A.定性风险评估
- B.定量分析评估
- C.安全漏洞评估
- D.安全管理评估
点击查看答案
对于信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保
- A.信息资产被过度保护
- B.不考虑资产的价值，基本水平的保护都会被实施
- C.对信息资产实施适当水平的保护
- D.对所有信息资产保护都投入相同的资源
点击查看答案
安全技术评估工具通常不包括
- A.漏洞扫描工具
- B.入侵检测系统
- C.调查问卷
- D.渗透测试工具
点击查看答案
区别脆弱性评估和渗透测试是脆弱性评估
- A.检查基础设施并探测脆弱性，然而穿透性测试目的在于通过脆弱性检测其可能带来的损失
- B.和渗透测试为不同的名称但是同一活动
- C.是通过自动化工具执行，而渗透测试是一种完全的手动过程
- D.是通过商业工具执行，而渗透测试是执行公共进程
点击查看答案
合适的信息资产存放的安全措施维护是谁的责任
- A.安全管理员
- B.系统管理员
- C.数据和系统所有者
- D.系统运行组
点击查看答案
要很好的评估信息安全风险，可以通过：
- A.评估IT资产和IT项目的威胁
- B.用公司的以前的真的损失经验来决定现在的弱点和威胁
- C.审查可比较的组织公开的损失统计
- D.审查在审计报告中的可识别的IT控制缺陷
点击查看答案
降低企业所面临的信息安全风险，可能的处理手段不包括哪些
- A.通过良好的系统设计、及时更新系统补丁，降低或减少信息系统自身的缺陷
- B.通过数据备份、双机热备等冗余手段来提升信息系统的可靠性;
- C.建立必要的安全制度和部署必要的技术手段，防范黑客和恶意软件的攻击
- D.通过业务外包的方式，转嫁所有的安全风险
点击查看答案
下列哪项是用于降低风险的机制
- A.安全和控制实践
- B.财产和责任保险
- C.审计与认证
- D.合同和服务水平协议
点击查看答案
回顾组织的风险评估流程时应首先
- A.鉴别对于信息资产威胁的合理性
- B.分析技术和组织弱点
- C.鉴别并对信息资产进行分级
- D.对潜在的安全漏洞效果进行评价
点击查看答案
在实施风险分析期间，识别出威胁和潜在影响后应该
- A.识别和评定管理层使用的风险评估方法
- B.识别信息资产和基本系统
- C.揭示对管理的威胁和影响
- D.识别和评价现有控制
点击查看答案
在制定控制前，管理层首先应该保证控制
- A.满足控制一个风险问题的要求
- B.不减少生产力
- C.基于成本效益的分析
- D.检测行或改正性的
点击查看答案
在未受保护的通信线路上传输数据和使用弱口令是一种?
- A.弱点
- B.威胁
- C.可能性
- D.影响
点击查看答案
数据保护最重要的目标是以下项目中的哪一个
- A.识别需要获得相关信息的用户
- B.确保信息的完整性
- C.对信息系统的访问进行拒绝或授权
- D.监控逻辑访问
点击查看答案
在评估逻辑访问控制时，应该首先做什么
- A.把应用在潜在访问路径上的控制项记录下来
- B.在访问路径上测试控制来检测是否他们具功能化
- C.按照写明的策略和实践评估安全环境
- D.对信息流程的安全风险进行了解
点击查看答案
对一项应用的控制进行了检查,将会评估
- A.该应用在满足业务流程上的效率
- B.任何被发现风险影响
- C.业务流程服务的应用
- D.应用程序的优化
点击查看答案
在开发一个风险管理程序时，什么是首先完成的活动
- A.威胁评估
- B.数据分类
- C.资产清单
- D.关键程度分析
点击查看答案
在评估信息系统的管理风险。首先要查看
- A.控制措施已经适当
- B.控制的有效性适当
- C.监测资产有关风险的机制
- D.影响资产的漏洞和威胁
点击查看答案
风险评估的基本过程是怎样的?
- A.识别并评估重要的信息资产，识别各种可能的威胁和严重的弱点，最终确定风险
- B.通过以往发生的信息安全事件，找到风险所在
- C.风险评估就是对照安全检查单，查看相关的管理和技术措施是否到位
- D.风险评估并没有规律可循，完全取决于评估者的经验所在
点击查看答案
在检查IT安全风险管理程序，安全风险的测量应该
- A.列举所有的网络风险
- B.对应IT战略计划持续跟踪
- C.考虑整个IT环境
- D.识别对(信息系统)的弱点的容忍度的结果
点击查看答案
在实施风险管理程序的时候，下列哪一项应该被最先考虑到：
- A.组织的威胁，弱点和风险概貌的理解
- B.揭露风险的理解和妥协的潜在后果
- C.基于潜在结果的风险管理优先级的决心
- D.风险缓解战略足够使风险的结果保持在一个可以接受的水平上
点击查看答案
渗透测试作为网络安全评估的一部分
- A.提供保证所有弱点都被发现
- B.在不需要警告所有组织的管理层的情况下执行
- C.找到存在的能够获得未授权访问的漏洞
- D.在网络边界上执行不会破坏信息资产
点击查看答案
授权访问信息资产的责任人应该是
- A.资产保管员
- B.安全管理员
- C.资产所有人
- D.安全主管
点击查看答案
一个组织的网络设备的资产价值为100000元，一场意外火灾使其损坏了价值的25%,按照经验统计，这种火灾一般每5年发生一次，年预期损失ALE为
- A.5000元
- B.10000元
- C.25000元
- D.15000元
点击查看答案
一个个人经济上存在问题的公司职员有权独立访问高敏感度的信息，他可能窃取这些信息卖给公司的竞争对手，如何控制这个风险
- A.开除这名职员
- B.限制这名职员访问敏感信息
- C.删除敏感信息
- D.将此职员送公安部门
点击查看答案
下列角色谁应该承担决定信息系统资源所需的保护级别的主要责任?
- A.信息系统安全专家
- B.业务主管
- C.安全主管
- D.系统审查员
点击查看答案
当以下哪一类人员维护应用系统软件的时候，会造成对“职责分离”原则的违背?
- A.数据维护管理员
- B.系统故障处理员
- C.系统维护管理员
- D.系统程序员
点击查看答案
以下哪一种人最有可能给公司带来最大的安全风险?
- A.临时工
- B.当前员工
- C.以前员工
- D.咨询人员
点击查看答案
职责分离的主要目的是?
- A.防止一个人从头到尾整个控制某一交易或者活动
- B.不同部门的雇员不可以在一起工作
- C.对于所有的资源都必须有保护措施
- D.对于所有的设备都必须有操作控制措施
点击查看答案