发布时间 : 星期四 文章CISP信息安全管理习题更新完毕开始阅读aee140b4f56527d3240c844769eae009581ba29e
11.在信息安全风险管理工作中,识别风险时主要重点考虑的要素应包括: A:资产及其价值、威胁、脆弱性、现有的和计划的控制措施 B:资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施 C:完整性、可用性、机密性、不可抵赖性 D:以上都不正确
12.以下哪一项不是信息安全风险分析过程中所要完成的工作: A:识别用户 B:识别脆弱性 C:评估资产价值
D:计算机安全事件发生的可能性
13.王工是某单位系统管理员,他在某次参加了单位组织的风险管理工作时,发现当前案例中共有两个重要资产:资产A1和资产A2;其中资产A1面临两个主要威胁:威胁T1和威胁T2;而资产A2面临一个主要威胁:威胁T3;威胁T1可以利用的资产A1存在的两个脆弱性;脆弱性V1和脆弱性V2:威胁T2可以利用资产A1存在的三个脆弱性,脆弱性V3、脆弱性V4和脆弱性V5;威胁T3可以利用的资产A2存在的两个脆弱性,脆弱性V6和脆弱性V7.根据上述条件,请问:使用相乘法时,应该为资产A1计算几个风险值 ( ) A 2
专业资料
B 3 C 5 D 6
14.A:内部计算机处理 B:系统输入输出 C:通讯和网络 D:外部计算机处理
15.《信息安全技术 信息安全风险评估规范GB/T 20984-2007》中关于信息系
统生命周期各阶段的风险评估描述不正确的是:
A:规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等。
B:设计阶段的风险评估需要根据规划阶段所明确的系统运行环境.资产重要性,提出安全功能需求。
C:实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发.实施过程进行风险识别,并对系统建成后的安全功能进行验证。
D:运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估,评估内容包括对真实运行的信息系统、资产、脆弱性等各方面。
专业资料
16.
以下关于项目的含义,理解错误的是 ( )
A 项目是为达到特定的目的,使用一定资源,在确定的期间内,为特定发起人而提供特定的产品,服务或成果而进行的一次性努力
B 项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定 C 项目资源指完成项目所需要的人、财、物等
D 项目目标要遵守SWART原则,即项目的目标要求具体(Specific)、可测量(Measurehle),需相关方的一致同意(Agree.to)、现实(Rcalistic)、有一定的时限(Time-oriented)
17.“CC”标准是测评标准类的重要标准,从该标准的内容来看,下面哪项内容
是针对具体的被评测对象,描述了该对象的安全要求及其相关安全功能和安全措施,相当于从厂商角度制定的产品或系统实现方案()。 A:评估对象(TOE) B:保护轮廓(PP) C:安全目标(ST) D:评估保证级(EAL)
18.
关于信息安全管理体系,国际上有标准《Information technology
Security techniques Information security management systems
Requirements》(ISO/IEC 27001:2013),而我国发布了《信息技术安全技
专业资料
术信息安全管理体系要求》(GB/T 22080-2008),请问,这两个标准的关系是()。
A:IDT(等同采用),此国家标准等同于该国际标准,仅有或没有编辑性修改 B:EQV(等效采用),此国家标准等效于该国际标准,技术上只有很小差异 C:NEQ(非等效采用)此国家标准不等效于该国际标准 D:没有采用与否的关系,两者之间版本不同,不应直接比较
19.关于标准,下面哪项理解是错误的()。
A:标准是在一定范围内为了获得最佳秩序,经协商一致制定并由公认机构批准,共同重复使用的一种规范性文件,标准是标准化活动的重要成果
B:国际标准是由国际标准化组织通过并公开发布的标准,同样是强制性标准,当国家标准和国际标准的条款发生冲突时,应以国际标准条款为准
C:行业标准是针对没有国家标准而又需要在全国某个行业范围内统一的技术要求而制定的标准,同样是强制性标准,当行业标准和国家标准的条款发生冲突时,应以国家标准条款为准
D:地方标准由省、自治区、直辖市标准化行政主管部门制定,并报国务院标准化行政主管部门和国务院有关行政主管部门备案,在公布国家标准之后,该地方标准即应废止
20.关于信息安全管理体系的作用,下面理解错误的是()。
专业资料