发布时间 : 星期六 文章CISP信息安全管理习题更新完毕开始阅读aee140b4f56527d3240c844769eae009581ba29e
A:对内而言,有助于建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查
B:对内而言,是一个光花钱不挣钱的事情,需要组织通过其他方面收入来弥补投入
C:对外而言,有助于使各利益相关方对组织充满信心
D:对外而言,能起到规范外包工作流程和要求,帮助界定双方各自信息安全责任
21.以下哪些是需要在信息安全策略中进行描述的:
A:组织信息系统安全架构 B:信息安全工作的基本原则 C:组织信息安全技术参数 D:组织信息安全实施手段
22.下列哪些内容应包含在信息系统战略计划中?
A:已规划的硬件采购的规范 B:将来业务目标的分析 C:开发项目的目标日期 D:信息系统不同的年度预算目标
23.
ISO27002中描述的11个信息安全管理的控制领域不包括:
A:信息安全组织
专业资料
B:资产管理 C:内容安全 D:人力资源安全
24.
SSE-CMM将工程过程区域分为三类,即风险过程、工程过程、和保证过
程,下面对于保证过程的说法错误的是:
A:保证是指安全需求得到满足的可信任程度 B:信任程度来自于对安全工程过程结果质量的判断C:自验证与证实安全的主要手段包括观察、论证、分析和测试 D:PA“建立保证论据”为PA“验证与证实安全”提供了证据支持
25.
根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中_______确
立安全解决方案的置信度并且把这样的置信度传递给顾客。
A:保证过程 B:风险过程 C:工程和保证过程 D:安全工程过程
26.
SSE-CMM工程过程区域中的风险过程包含哪些过程区域:
A:评估威胁、评估脆弱性、评估影响 B:评估威胁、评估脆弱性、评估安全风险
专业资料
C:评估威胁、评估脆弱性、评估影响、评估安全风险 D:评估威胁、评估脆弱性、评估影响、验证和证实安全
27.一个组织的系统安全能力成熟度达到哪个级别以后,就可以对组织层面的过
程进行规范的定义? A:2级——计划和跟踪 B:3级——充分定义 C:4级——量化控制 D:5级——持续改进
28.在风险管理准备阶段“建立背景”(对象确立)过程中不应该做的是:
A:分析系统的体系结构 B:分析系统的安全环境 C:制定风险管理计划 D:调查系统的技术特性
29.下面有关能力成熟度模型的说法错误的是:
A:能力成熟度模型可以分为过程能力方案(Continuous)和组织能力方案(Staged)两类
B:使用过程能力方案时,可以灵活选择评估和改进哪个或哪些过程域
专业资料
C:使用组织机构成熟度方案时,每一个能力级别都对应于一组已经定义好的过程域
D:SSE-CMM是一种属于组织能力方案(Staged)的针对系统安全工程的能力成熟度模型
30.
下列哪项不是信息系统安全工程能力成熟度模型(SSE-CMM)的主要过
程:
A:风险过程 B:保证过程 C:工程过程 D:评估过程
31.信息安全管理体系描述不正确的是:
A:是一个组织整体管理体系的组成部分 B:是有范围和边界的 C:是风险评估的手段
D:其基本过程应遵循PDCA循环
32.对戴明环\方法的描述不正确的是:
A:“PDCA”的含义是P-计划,D-实施,C-检查,A-改进 B:“PDCA”循环又叫\戴明\环
专业资料