cisp证书考试题(1)
-
企业从获得良好的信息安全管控水平的角度出发,以下哪些行为是适当的
- A.只关注外来的威胁,忽视企业内部人员的问题
- B.相信来自陌生人的邮件,好奇打开邮件附件
- C.开着电脑离开,就像离开家却忘记关灯那样
- D.及时更新系统和安装系统和应用的补丁
-
以下哪种做法是正确的“职责分离”做法?
- A.程序员不允许访问产品数据文件
- B.程序员可以使用系统控制台
- C.控制台操作员可以操作磁带和硬盘
- D.磁带操作员可以使用系统控制台
-
信息安全管理体系策略文件中第一层文件是?
- A.信息安全工作程序
- B.信息安全方针政策
- C.信息安全作业指导书
- D.信息安全工作记录
-
以下哪个是数据库管理员(DBA)可以行使的职责?
- A.计算机的操作
- B.应用程序开发
- C.系统容量规划
- D.应用程序维护
-
对安全策略的描述不正确的是?
- A.信息安全策略应得到组织的最高管理者批准
- B.策略应有一个所有者,负责按复查程序维护和复查该策略
- C.安全策略应包括管理层对信息安全管理工作的承诺
- D.安全策略一旦建立和发布,则不可变更
-
有关人员安全管理的描述不正确的是?
- A.人员的安全管理是企业信息安全管理活动中最难的环节
- B.重要或敏感岗位的人员入职之前,需要做好人员的背景检查
- C.如职责分离难以实施,企业对此无能为力,也无需做任何工作
- D.人员离职之后,必须清除离职员工所有的逻辑访问帐号
-
关于信息安全策略文件以下说法不正确的是哪个?
- A.信息安全策略文件应由管理者批准、发布
- B.信息安全策略文件并传达给所有员工和外部相关方
- C.信息安全策略文件必须打印成纸质文件进行分发
- D.信息安全策略文件应说明管理承诺,并提出组织的管理信息安全的方法
-
关于信息安全策略文件的评审以下说法不正确的是哪个?
- A.信息安全策略应由专人负责制定、评审
- B.信息安全策略评审每年应进行两次,上半年、下半年各进行一次
- C.在信息安全策略文件的评审过程中应考虑组织业务的重大变化
- D.在信息安全策略文件的评审过程中应考虑相关法律法规及技术环境的重大变化
-
高层管理者对信息安全管理的承诺以下说法不正确的是?
- A.制定、评审、批准信息安全方针
- B.为信息安全提供明确的方向和支持
- C.为信息安全提供所需的资源
- D.对各项信息安全工作进行执行、监督与检查
-
在制定组织间的保密协议,以下哪一个不是需要考虑的内容?
- A.需要保护的信息
- B.协议期望持续时间
- C.合同双方的人员数量要求
- D.违反协议后采取的措施
-
信息安全管理组织说法以下说法不正确的是?
- A.信息安全管理组织人员应来自不同的部门
- B.信息安全管理组织的所有人员应该为专职人员
- C.信息安全管理组织应考虑聘请外部专家
- D.信息安全管理组织应建立沟通、协调机制
-
以下对信息安全管理的描述错误的是
- A.保密性、完整性、可用性
- B.抗抵赖性、可追溯性
- C.真实性私密性可靠性
- D.增值性
-
以下对ISO27001标准的描述不正确的是
- A.企业通过ISO27001认证则必须符合ISO27001信息安全管理体系规范的所有要求
- B.ISO27001标准与信息系统等级保护等国家标准相冲突
- C.ISO27001是源自于英国的国家标准BS7799
- D.ISO27001是当前国际上最被认可的信息安全管理标准
-
在信息安全管理日常工作中,需要与哪些机构保持联系?
- A.政府部门
- B.监管部门
- C.外部专家
- D.以上都是
-
当涉及到信息算计系统犯罪取证时,应与哪个部门取得联系?
- A.监管机构
- B.重要客户
- C.供应商
- D.政府部门
-
对于外部组织访问企业信息资产的过程中相关说法不正确的是?
- A.为了信息资产更加安全,禁止外部组织人员访问信息资产
- B.应确保相关信息处理设施和信息资产得到可靠的安全保护
- C.访问前应得到信息资产所有者或管理者的批准
- D.应告知其所应当遵守的信息安全要求
-
信息安全管理工作小组可就哪些问题向外部安全专家或特定外部组织寻求信息安全方面的建议?
- A.相关安全信息的最佳实践和最新状态知识
- B.尽早接受到关于攻击和脆弱点的警告、建议和补丁
- C.分享和交换关于新的技术、产品、威胁或脆弱点信息
- D.以上都是
-
当客户需要访问组织信息资产时,下面正确的做法是?
- A.应向其传达信息安全要求及应注意的信息安全问题
- B.尽量配合客户访问信息资产
- C.不允许客户访问组织信息资产
- D.不加干涉,由客户自己访问信息资产
-
外部组织使用组织敏感信息资产时,以下正确的做法是?
- A.确保使用者得到正确的信息资产
- B.与信息资产使用者签署保密协议
- C.告知信息资产使用的时间限制
- D.告知信息资产的重要性
-
在进行人员的职责定义时,在信息安全方面应考虑什么因素?
- A.人员的背景、资质的可靠性
- B.人员需要履行的信息安全职责
- C.人员的工作能力
- D.人员沟通、协调能力
-
在招聘过程中,如果在岗位人员的背景调查中出现问题时,以下做法正确的是?
- A.继续执行招聘流程
- B.停止招聘流程,取消应聘人员资格
- C.与应聘人员沟通出现的问题
- D.再进行一次背景调查
-
人员入职过程中,以下做法不正确的是?
- A.入职中签署劳动合同及保密协议
- B.分配工作需要的最低权限
- C.允许访问企业所有的信息资产
- D.进行安全意思培训
-
下列岗位哪个在招聘前最需要进行背景调查?
- A.采购人员
- B.销售人员
- C.财务总监
- D.行政人员
-
对安全策略的描述不正确的是
- A.信息安全策略(或者方针)是由组织的最高管理者正式制订和发布的描述企业信息安全目标和方向,用于指导信息安全管理体系的建立和实施过程
- B.策略应有一个属主,负责按复查程序维护和复查该策略
- C.安全策略的内容包括管理层对信息安全目标和原则的声明和承诺;
- D.安全策略一旦建立和发布,则不可变更;
-
单位中下面几种人员中哪种安全风险最大?
- A.临时员工
- B.外部咨询人员
- C.现在对公司不满的员工
- D.离职的员工
-
对磁介质的最有效好销毁方法是?
- A.格式化
- B.物理破坏
- C.消磁
- D.删除
-
TCP/IP协议的4层概念模型是?
- A.应用层、传输层、网络层和网络接口层
- B.应用层、传输层、网络层和物理层
- C.应用层、数据链路层、网络层和网络接口层
- D.会话层、数据链路层、网络层和网络接口层
-
多层的楼房中,最适合做数据中心的位置是:
- A.一楼
- B.地下室
- C.顶楼
- D.除以上外的任何楼层
-
计算机安全事故发生时,下列哪些人不被通知或者最后才被通知:
- A.系统管理员
- B.律师
- C.恢复协调员
- D.硬件和软件厂商
-
下面哪种方法可以替代电子银行中的个人标识号(PINs)的作用?
- A.虹膜检测技术
- B.语音标识技术
- C.笔迹标识技术
- D.指纹标识技术
-
“如果一条链路发生故障,那么只有和该链路相连的终端才会受到影响”,这一说法是适合于以下哪一种拓扑结构的网络的?
- A.星型
- B.树型
- C.环型
- D.复合型
-
为了有效的完成工作,信息系统安全部门员工最需要以下哪一项技能?
- A.人际关系技能
- B.项目管理技能
- C.技术技能
- D.沟通技能
-
目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所制定的规章制度?
- A.公安部
- B.国家保密局
- C.信息产业部
- D.国家密码管理委员会办公室
-
以下对企业信息安全活动的组织描述不正确的是
- A.企业应该在组织内建立发起和控制信息安全实施的管理框架
- B.企业应该维护被外部合作伙伴或者客户访问和使用的企业信息处理设施和信息资产的安全
- C.在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定
- D.企业在开展业务活动的过程中,应该完全相信员工,不应该对内部员工采取安全管控措施
-
"在选择外部供货生产商时,评价标准按照重要性的排列顺序是:1.供货商与信息系统部门的接近程度2.供货商雇员的态度3.供货商的信誉、专业知识、技术4.供货商的财政状况和管理情况"
- A.4,3,1,2
- B.3,4,2,1
- C.3,2,4,1
- D.1,2,3,4
-
下列哪一项能够提高网络的可用性?
- A.数据冗余
- B.链路冗余
- C.软件冗余
- D.电源冗余
-
系统管理员属于?
- A.决策层
- B.管理层
- C.执行层
- D.既可以划为管理层,又可以划为执行层
-
为了保护企业的知识产权和其它资产,当终止与员工的聘用关系时下面哪一项是最好的方法?
- A.进行离职谈话,让员工签署保密协议,禁止员工账号,更改密码
- B.进行离职谈话,禁止员工账号,更改密码
- C.让员工签署跨边界协议
- D.列出员工在解聘前需要注意的所有责任
-
信息安全管理最关注的是?
- A.外部恶意攻击
- B.病毒对PC的影响
- C.内部恶意攻击
- D.病毒对网络的影响
-
以下哪些不是设备资产:
- A.机房设施
- B.周边设施
- C.管理终端
- D.操作系统
-
以下哪些不是网络类资产:
- A.网络设备
- B.基础服务平台
- C.网络安全设备
- D.主干线路
-
以下哪个选项不是信息中心(IC)工作职能的一部分?
- A.准备最终用户的预算
- B.选择PC的硬件和软件
- C.保持所有PC的硬件和软件的清单
- D.提供被认可的硬件和软件的技术支持
-
以下哪些不是无形资产
- A.客户关系
- B.电子数据
- C.商业信誉
- D.企业品牌
-
以下哪些不是介质类资产:
- A.纸质文档
- B.存储介质
- C.软件介质
- D.凭证
-
以下哪些是信息资产无需明确的
- A.所有者
- B.管理者
- C.厂商
- D.使用者
-
企业信息资产的管理和控制的描述不正确的是
- A.企业应该建立和维护一个完整的信息资产清单,并明确信息资产的管控责任;
- B.企业应该根据信息资产的重要性和安全级别的不同要求,采取对应的管控措施;
- C.企业的信息资产不应该分类分级,所有的信息系统要统一对待
- D.企业可以根据业务运作流程和信息系统拓扑结构来识别所有的信息资产
-
信息资产敏感性指的是:
- A.机密性
- B.完整性
- C.可用性
- D.安全性
-
设施、网络、平台、介质、应用类信息资产的保密期限为
- A.3年
- B.长期
- C.4月
- D.短期
-
以下哪些不属于敏感性标识
- A.不干贴方式
- B.印章方式
- C.电子标签
- D.个人签名
-
当曾经用于存放机密资料的PC在公开市场出售时
- A.对磁盘进行消磁
- B.对磁盘低级格式化
- C.删除数据
- D.对磁盘重整