CISP考试重点题库100套(3)

A定量分析比定性分析方法使用的工具更多 B定性分析比定量分析方法使用的工具更多 C同一组织只用使用一种方法进行评估 D符合组织要求的风险评估方法就是最优方法 68、《信息安全技术信息安全风险评估规范GB／T 20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是： A.规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等。 B.设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性，提出安全功能需求。 C.实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别，并对系统建成后的安全功能进行验证。 D.运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面。 69、在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的： A．测试系统应使用不低于生产系统的访问控制措施 B．为测试系统中的数据部署完善的备份与恢复措施 C．在测试完成后立即清除测试系统中的所有敏感数据 D．部署审计措施，记录生产数据的拷贝和使用 70、以下关于“最小特权”安全管理原则理解正确的是: A组织机构内的敏感岗位不能由一个人长期负责 B对重要的工作进行分解，分自己给不同人员完成 C一个人有且仅有其执行岗位所足够的许可和权限 D防止员工由一个岗位变动到另一个岗位，累积越来越多的权限 71、作为信息中心的主任，你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任，这种情况造成了一定的安全风险，这时你应当怎么做？ A．抱怨且无能为力 B．向上级报告该情况，等待增派人手 C．通过部署审计措施和定期审查来降低风险 D．由于增加人力会造成新的人力成本，所以接受该风险 72、在一个有充分控制的信息处理计算中心中，下面酬的可以自同一个人执行? A安全管理和变更管理 B计算机操作和系统开发 C系统开发和变更管理 D系统开发和系统维护 73、以下哪一项对TEMPEST的解释是正确的？ A、电磁泄露防护技术的总称 B、物理访问控制的总称 C、一种生物识别技术 D、供热、通风、空调，和冰箱等环境支持系统的简称 74、以下哪些是需要在信息安全策略中进行描述的 A、组织信息系统安全架构 B、信息安全工作的基本原则 C、组织信息安全技术参数 D、组织信息安全实施手段 75、信息系统生命周期阶段正确的划分是 A、设计、实施、运维、废弃 B、规划、实施、运维、废弃 C、规划、设计、实施、运维、废弃 D、设计、实施、运行 76、计算机取证的工作顺序是 A．1准备2提取3保护4分析5提交 B．1准备2保护3提取4分析5提交 C．1准备2保护3提取4提交5分析 D．1准备2提取3保护4分析5提交 77、业务系统运行中异常错误处理合理的方法是 A、让系统自己处理异常 B、调试方便，应该让更多的错误个更详细的显示出来 C、捕获错误，并抛到前台显示 D、捕获错误，只显示简单的提示信息，或不显示任何信息 78、依据国家标准《信息安全技术信息系统灾难恢复规范》（GB/T20988），需要备用场地但不要求部署备用数据处理设备的是灾难恢复等级的第几级？ A．2 B．3 C．4 D．5 79、灾难恢复策略中的内容来自于： A．灾难恢复需求分析 B、风险分析 C、业务影响分析 D、国家保准和上级部门的明确规定 80、以下对异地备份中心的理解最准确的是： A、与生产中心不在同一城市 B、与生产中心距离100公里以上 C、与生产中心距离200公里以上 D、与生产中心面临相同区域性风险的机率很小 81、信息安全工程作为信息安全保障的重要组成部分，主要是为了解决： A、信息系统的技术架构安全问题 B、信息系统组成部分的组件安全问题 C、信息系统生命周期的过程安全问题 D、信息系统运行维护的安全管理问题 82、SSE-CMM将工程过程区域分为三类，即风险过程、工程过程、和保证过程，下面对于保证过程的说法错误的是： A．保证是指安全需求得到满足的可信任程度 B．信任程度来自于对安全工程过程结果质量的判断 C．自验证与证实安全的主要手段包括观察、论证、分析和测试 D．PA“建立保证论据”为PA“验证与证实安全”提供了证据支持 83、在使用系统安全工程-能力成熟度模型（SSE-CMM）对一个组织的安全工程能力成熟度进行测量时，正确的理解是： A、测量单位是基本实施（BP） B、测量单位是通用实施（GP） C、测量单位是过程区域（PA） D、测量单位是公共特征（CF） 84、下面有关能力成熟度模型的说法错误的是: A.能力成熟度模型可以分为过程能力方案（Continuous）和组织能力方案（Staged）两类 B.使用过程能力方案时，可以灵活选择评估和改进哪个或哪些过程域 C.使用组织机构成熟度方案时，每一个能力级别都对应于一组已经定义好的过程域 D.SSE-CMM是一种属于组织能力方案（Staged）的针对系统安全工程的能力成熟度模型 85、信息系统安全工程（ISSE）的一个重要目标就是在IT项目的各个阶段充分考虑安全因素，在IT项目的立项阶段，以下哪一项不是必须进行的工作： A．明确业务对信息安全的要求 B．识别来自法律法规的安全要求 C．论证安全要求是否正确完整 D．通过测试证明系统的功能和性能可以满足安全要求 86、如果你作为甲方负责监督一个信息安全工程项目的实施，当乙方提出一项工程变更时你最应当关注的是： A．变更的流程是否符合预先的规定 B．变更是否会对项目进度造成拖延 C．变更的原因和造成的影响 D．变更后是否进行了准确的记录 87、以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述？ A．应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑 B．应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品 C．应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的规范并切实落实 D．应详细规定系统验收测试中有关系统安全性测试的内容 88、信息安全工程监理的职责包括： A、质量控制、进度控制、成本控制、合同管理、信息管理和协调 B、质量控制、进度控制、成本控制、合同管理和协调 C、确定安全要求、认可设计方案、监视安全态势、建立保障证据和协调 D、确定安全要求、认可设计方案、监视安全态势和协调 89、信息安全工程监理模型不包括下面哪一项? A.监理咨询服务 B.咨询监理支撑要素 C.监理咨询阶段过程 D.控制管理措施 90、关于监理过程中成本控制，下列说法中正确的是? A．成本只要不超过预计的收益即可 B．成本应控制得越低越好 C．成本控制由承建单位实现，监理单位只能记录实际开销 D．成本控制的主要目的是在批准的预算条件下确保项目保质按期完成 91、全面构建我国信息安全人才体系是国家政策、组织机构信息安全保障建设和信息安全有关人员自身职业发展三方面的共同要求，“加快信息安全人才培养，增强全民信息安全意识”的指导精神，是以下哪一个国家政策文件提出的？ A、《国家信息化领导小组关于加强信息安全保障工作的意见》 B、《信息安全等级保护管理办法》 C、《中华人民共和国计算机信息系统安全保护条例》 D、《关于加强政府信息系统安全和保密管理工作的通知》 92、以下行为不属于违反国家保密规定的行为 A、将涉密计算机、涉密存储设备接入互联网及其他公共信息网络 B、通过普通邮政的无保密措施的渠道传递国家秘密载体 C、在私人交往中涉及国家秘密 D、以不正当手段获取商业秘密 93、下列关于ISO15408信息技术安全评估准则（简称CC）通用性的特点，即给出通过的表达方式，描述不正确的是_______。 A．如果用户、开发者、评估者和认可者都使用CC语言，互相就容易理解沟通。 B．通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义 C．通用性的特点是在经济全球化发展、全球信息化发展的趋势下，进行合格评定和评估结果国际互认的需要 D．通用性的特点使得CC也适用于对信息安全建设工程实施的成熟度进行评估 94、信息系统安全保护等级为3级的系统，应当（）年进行一次等级测评。 A、0.5 B、1 C、2 D、3 95、自2004年1月起，国内各有关部门在申报信息安全国家标准计划项目时，必须经由以下哪个组织提出工作意见，协调一致后向该组织申报。 A、全国通信标准化技术委员会（TC485） B、全国信息安全标准化技术委员会（TC260） C、中国通信标准化协会（CCSA） D、网路与信息安全技术工作委员会 96、对涉密系统进行安全保密测评应当依据以下哪个标准？ A．BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》 B．BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》 C．GB17859-1999《计算机信息系统安全保护等级划分准则》 D．GB/T20271-2006《信息安全技术信息系统统用安全技术要求》 97、ISO/IEC27001《信息技术 安全技术 信息安全管理体系要求》的内容是基于 A、BS7799-1 B、BS7799-2 C、ITSEC D、CC 98、下面对于保护轮廓（PP）的说法最准确的是 A、对系统防护强度的描述 B、对评估对象系统进行规范化的描述 C、对一类TOE的安全需求，进行与技术实现无关的描述 D、由一系列保证组件构成的包，可以代表预先定义的保证尺度 99、信息技术安全评估通用标准(cc)标准主要包括哪几个部分? A．通用评估方法、安全功能要求、安全保证要求 B．简介和一般模型、安全功能要求、安全保证要求、PP和ST产生指南 C．简介和一般模型、安全功能要求、安全保证要求 D．简介和一般模型、安全要求、PP和ST产生指南 100、《刑法》第六章第285.286,287条对计算机犯罪的内容和量刑进行了明确的规定，以下哪一项不是其中规定的罪行? A.非法侵入计算机信息系统罪 B.破坏计算机信息系统罪 C.利用计算机实施犯罪 D.国家重要信息系统管理者玩忽职守罪