一起答

cisp2020年题库试题(1)

如果您发现本试卷没有包含本套题的全部小题,请尝试在页面顶部本站内搜索框搜索相关题目,一般都能找到。

  1. 信息的存在及传播方式

    • A.存在于计算机、磁带、纸张等介质中
    • B.记忆在人的大脑里
    • C..通过网络打印机复印机等方式进行传播
    • D.通过投影仪显示
    点击查看答案

  2. 如果只能使用口令远程认证,以下哪种方案安全性最好?

    • A.高质量静态口令,散列保护传输
    • B.高质量静态口令,固定密钥加密保护传输
    • C.动态随机口令,明文传输
    • D.高质量静态口令,增加随机值,明文传输
    点击查看答案

  3. 以下哪个标准是ISO27001的前身标准?

    • A.BS5750
    • B.BS7750
    • C.BS7799
    • D.BS15000
    点击查看答案

  4. 下面哪个组合不是是信息资产

    • A.硬件、软件、文档资料
    • B.关键人员
    • C..组织提供的信息服务
    • D.桌子、椅子
    点击查看答案

  5. 信息安全属性不包括以下哪个?

    • A.保密性
    • B.完整性
    • C.可用性
    • D.增值性
    点击查看答案

  6. 以下标准内容为“信息安全管理体系要求”的是哪个?

    • A.ISO27000
    • B.ISO27001
    • C.ISO27002
    • D.ISO27003
    点击查看答案

  7. 以下对信息安全描述不正确的是

    • A.信息安全的基本要素包括保密性、完整性和可用性
    • B.信息安全就是保障企业信息系统能够连续、可靠、正常地运行
    • C.信息安全就是不出安全事故/事件
    • D.信息安全风险是科技风险的一部分
    点击查看答案

  8. 实施ISMS内审时,确定ISMS的控制目标、控制措施、过程和程序应该要符合相关要求,以下哪个不是?

    • A.约定的标准及相关法律的要求
    • B.已识别的安全需求
    • C.控制措施有效实施和维护
    • D.ISO13335风险评估方法
    点击查看答案

  9. 以下对信息安全管理的描述错误的是

    • A.信息安全管理的核心就是风险管理
    • B.人们常说,三分技术,七分管理,可见管理对信息安全的重要性
    • C.安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂
    • D.信息安全管理工作的重点是信息系统,而不是人
    点击查看答案

  10. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是

    • A.不需要全体员工的参入,只要IT部门的人员参入即可
    • B.来自高级管理层的明确的支持和承诺
    • C.对企业员工提供必要的安全意识和技能的培训和教育
    • D.所有管理者、员工能够理解企业信息安全策略、指南和标准,并遵照执行
    点击查看答案

  11. 以下不是信息资产是哪一项?

    • A.服务器
    • B.机房空调
    • C.鼠标垫
    • D.U盘
    点击查看答案

  12. 信息安全管理体系(ISMS)是一个怎样的体系,以下描述不正确的是

    • A.ISMS是一个遵循PDCA模式的动态发展的体系
    • B.ISMS是一个文件化、系统化的体系
    • C.ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定
    • D.ISMS应该是一步到位的,应该解决所有的信息安全问题
    点击查看答案

  13. 信息安全管理手段不包括以下哪一项

    • A.技术
    • B.流程
    • C.人员
    • D.市场
    点击查看答案

  14. 对于信息安全风险的描述不正确的是

    • A.企业信息安全风险管理就是要做到零风险
    • B.在信息安全领域,风险就是指信息资产遭受损坏并给企业带来负面影响及其潜在可能性
    • C.风险管理就是以可接受的代价,识别、控制、减少或消除可能影响信息系统的安全风险的过程
    • D.风险评估就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估
    点击查看答案

  15. 构成风险的关键因素有哪些?

    • A.人,财,物
    • B.技术,管理和操作
    • C.资产,威胁和弱点
    • D.资产,可能性和严重性
    点击查看答案

  16. 降低企业所面临的信息安全风险的手段,以下说法不正确的是?

    • A.通过良好的系统设计、及时更新系统补丁,降低或减少信息系统自身的缺陷
    • B.通过数据备份、双机热备等冗余手段来提升信息系统的可靠性;
    • C.建立必要的安全制度和部署必要的技术手段,防范黑客和恶意软件的攻击
    • D.通过业务外包的方式,转嫁所有的安全风险责任
    点击查看答案

  17. 风险评估的基本过程是怎样的?

    • A.识别并评估重要的信息资产,识别各种可能的威胁和严重的弱点,最终确定风险
    • B.通过以往发生的信息安全事件,找到风险所在
    • C.风险评估就是对照安全检查单,查看相关的管理和技术措施是否到位
    • D.风险评估并没有规律可循,完全取决于评估者的经验所在
    点击查看答案

  18. 企业按照ISO27001标准建立信息安全管理体系的过程中,对关键成功因素的描述不正确的是

    • A.不需要全体员工的参入,只要IT部门的人员参入即可
    • B.来自高级管理层的明确的支持和承诺
    • C.对企业员工提供必要的安全意识和技能的培训和教育
    • D.所有管理者、员工及其他伙伴方理解企业信息安全策略、指南和标准,并遵照执行
    点击查看答案

  19. 以下对企业信息安全活动的组织描述不正确的是

    • A.企业应该在组织内建立发起和控制信息安全实施的管理框架
    • B.企业应该维护被外部合作伙伴或者客户访问和使用的企业信息处理设施和信息资产的安全
    • C.在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定
    • D.企业在开展业务活动的过程中,应该完全相信员工,不应该对内部员工采取安全管控措施
    点击查看答案

  20. 以下对审核发现描述正确的是

    • A.用作依据的一组方针、程序或要求
    • B.与审核准则有关的并且能够证实的记录、事实陈述或其他信息
    • C.将收集到的审核证据依照审核准则进行评价的结果,可以是合格/符合项,也可以是不合格/不符合项
    • D.对审核对象的物理位置、组织结构、活动和过程以及时限的描述
    点击查看答案

  21. 企业信息资产的管理和控制的描述不正确的是

    • A.企业应该建立和维护一个完整的信息资产清单,并明确信息资产的管控责任;
    • B.企业应该根据信息资产的重要性和安全级别的不同要求,采取对应的管控措施;
    • C.企业的信息资产不应该分类分级,所有的信息系统要统一对待
    • D.企业可以根据业务运作流程和信息系统拓扑结构来识别所有的信息资产
    点击查看答案

  22. 企业ISMS(信息安全管理体系)建设的原则不包括以下哪个

    • A.管理层足够重视
    • B.需要全员参与
    • C.不必遵循过程的方法
    • D.需要持续改进
    点击查看答案

  23. 以下有关通信与日常操作描述不正确的是?

    • A.信息系统的变更应该是受控的
    • B.企业在岗位设计和人员工作分配时应该遵循职责分离的原则
    • C.移动介质使用是一个管理难题,应该采取有效措施,防止信息泄漏
    • D.所有日常操作按照最佳实践来进行操作,无需形成操作手册
    点击查看答案

  24. PDCA特征的描述不正确的是

    • A.顺序进行,周而复始,发现问题,分析问题,然后是解决问题
    • B.大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题
    • C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足
    • D.信息安全风险管理的思路不符合PDCA的问题解决思路
    点击查看答案

  25. 以下哪项不是信息安全的主要目标

    • A.确保业务连续性
    • B.保护信息免受各种威胁的损害
    • C.防止黑客窃取员工个人信息
    • D.投资回报和商业机遇最大化
    点击查看答案

  26. 有关信息安全事件的描述不正确的是?

    • A.信息安全事件的处理应该分类、分级
    • B.信息安全事件的数量可以反映企业的信息安全管控水平
    • C.对于一些信息安全隐患,如果还没造成损失,就没必要进行报告
    • D.信息安全事件处理流程中的一个重要环节是对事件发生的根源的追溯,以吸取教训、总结经验,防止类似事情再次发生
    点击查看答案

  27. 以下哪项不属于信息安全管理的工作内容

    • A.信息安全培训
    • B.信息安全考核
    • C.信息安全规划
    • D.安全漏洞扫描
    点击查看答案

  28. 信息安全需求获取的主要手段

    • A.信息安全风险评估
    • B.领导的指示
    • C.信息安全技术
    • D.信息安全产品
    点击查看答案

  29. 下面哪项不是实施信息安全管理的关键成功因素

    • A.理解组织文化
    • B.得到高层承诺
    • C.部署安全产品
    • D.纳入奖惩机制
    点击查看答案

  30. ISMS审核常用的审核方法不包括?

    • A.纠正预防
    • B.文件审核
    • C.现场审核
    • D.渗透测试
    点击查看答案

  31. 下面哪一个不是高层安全方针所关注的

    • A.识别关键业务目标
    • B.定义安全组织职责
    • C.定义安全目标
    • D.定义防火墙边界防护策略
    点击查看答案

  32. ISO27004是指以下哪个标准

    • A.《信息安全管理体系要求》
    • B.《信息安全管理实用规则》
    • C.《信息安全管理度量》
    • D.《ISMS实施指南》
    点击查看答案

  33. 谁对组织的信息安全负最终责任?

    • A.安全经理
    • B.高管层
    • C.IT经理
    • D.业务经理
    点击查看答案

  34. 下面哪一项不是ISMSPlan阶段的工作?

    • A.定义ISMS方针
    • B.实施信息安全风险评估
    • C.实施信息安全培训
    • D.定义ISMS范围
    点击查看答案

  35. 下面哪一项不是ISMSCheck阶段的工作?

    • A.安全事件响应
    • B.安全内部审核
    • C.管理评审
    • D.更新安全计划
    点击查看答案

  36. 定义ISMS范围时,下列哪项不是考虑的重点

    • A.组织现有的部门
    • B.信息资产的数量与分布
    • C.信息技术的应用区域
    • D.IT人员数量
    点击查看答案

  37. 当选择的控制措施成本高于风险带来的损失时,应考虑

    • A.降低风险
    • B.转移风险
    • C.避免风险
    • D.接受风险
    点击查看答案

  38. 关于控制措施选择描述不正确的是

    • A.总成本中应考虑控制措施维护成本
    • B.只要控制措施有效,不管成本都应该首先选择
    • C.首先要考虑控制措施的成本效益
    • D.应该考虑控制措施实施的成熟度
    点击查看答案

  39. 信息资产分级的最关键要素是

    • A.价值
    • B.时间
    • C.安全性
    • D.所有者
    点击查看答案

  40. 内部审核的最主要目的是

    • A.检查信息安全控制措施的执行情况
    • B.检查系统安全漏洞
    • C.检查信息安全管理体系的有效性
    • D.检查人员安全意识
    点击查看答案

  41. 管理评审的最主要目的是

    • A.确认信息安全工作是否得到执行
    • B.检查信息安全管理体系的有效性
    • C.找到信息安全的漏洞
    • D.考核信息安全部门的工作是否满足要求
    点击查看答案

  42. 安全评估人员正为某个医疗机构的生产和测试环境进行评估。在访谈中,注意到生产数据被用于测试环境测试,这种情况下存在哪种最有可能的潜在风险?

    • A.测试环境可能没有充足的控制确保数据的精确性
    • B.测试环境可能由于使用生产数据而产生不精确的结果
    • C.测试环境的硬件可能与生产环境的不同
    • D.测试环境可能没有充分的访问控制以确保数据机密性
    点击查看答案

  43. 在某个公司中,以下哪个角色最适合评估信息安全的有效性?

    • A.公司的专家
    • B.业务经理
    • C.IT审计员
    • D.信息安全经理
    点击查看答案

  44. ISMS的内部审核员(非审核组长)的责任不包括?

    • A.熟悉必要的文件和程序
    • B.根据要求编制检查列表
    • C.配合支持审核组长的工作,有效完成审核任务
    • D.负责实施整改内审中发现的问题
    点击查看答案

  45. 什么类型的软件应用测试被用于测试的最后阶段,并且通常包含不属于开发团队之内的用户成员?

    • A.Alpha测试
    • B.白盒测试
    • C.回归测试
    • D.Beta测试
    点击查看答案

  46. 在软件程序测试的哪个阶段一个组织应该进行体系结构设计测试?

    • A.可接受性测试
    • B.系统测试
    • C.集成测试
    • D.单元测试
    点击查看答案

  47. 在系统实施后评审过程中,应该执行下面哪个活动?

    • A.用户验收测试
    • B.投资收益分析
    • C.激活审计模块
    • D.更新未来企业架构
    点击查看答案

  48. 某公司的在实施一个DRP项目,项目按照计划完成后。聘请了专家团队进行评审,评审过程中发现了几个方而的问题,以下哪个代表最大的风险

    • A.没有执行DRP测试
    • B.灾难恢复策略没有使用热站进行恢复
    • C.进行了BIA,但其结果没有被使用
    • D.灾难恢复经理近期离开了公司
    点击查看答案

  49. 在设计某公司技术性的恢复策略时,以下哪个方面是安全人员最为关注的?

    • A.目标恢复时间RTO
    • B.业务影响分析
    • C.从严重灾难中恢复的能力
    • D.目标恢复点RPO
    点击查看答案

  50. 时间的流逝对服务中断损失成本和中断恢复成本会有什么影响?

    • A.两个成本增加
    • B.中断的损失成本增加,中断恢复的成本随时问的流逝而减少
    • C.两个成本都随时间的流逝而减少
    • D.没有影响
    点击查看答案
相关试卷

安防维护员练习题(1)

所属类型:模拟考试2021-03-25

安全防范系统安装维护员考试试题(1)

所属类型:模拟考试2021-03-25

安全防范系统安装维护员初级理论知识模

所属类型:模拟考试2021-03-25

安防系统维护员考试题1(初级)

所属类型:模拟考试2021-03-25

安防安装维护员试卷及答案1(初级)

所属类型:模拟考试2021-03-25

安防系统安装维护员中级考试试题(1)

所属类型:模拟考试2021-03-25

中级安全防范系统安装维护员复习题(1

所属类型:模拟考试2021-03-25

安全防范系统安装维护员中级题库试卷(

所属类型:模拟考试2021-03-25

2020年安全防范系统安装维护员初级

所属类型:模拟考试2021-03-25

安全防范设计评估师试题(1)

所属类型:模拟考试2021-03-25
关于我们  |  服务协议  |  免责声明  |  隐私政策  |  联系我们
Copyright © 2020 - 2024 yqda.net All Rights Reserved.
津ICP备2023006615号-1