CISP試題及答案-二套題17頁

1、1.中國信息安全測評中心對CISP注冊信息安全專業(yè)人員有保持認證要求，在證書有效期內，應完成至少6次完整的信息安全服務經歷，以下哪項不是信息安全服務： A、為政府單位信息系統(tǒng)進行安全方案設計B、在信息安全公司從事保安工作C、在公開場合宣講安全知識D、在學校講解信息安全課程2.確保信息沒有非授權泄密，即確保信息不泄露給非授權的個人、實體或進程，不為其所用，是指（）： A、完整性B、可用性C、保密性D、抗抵賴性3.下列信息系統(tǒng)安全說法正確的是： A、加固所有的服務器和網絡設備就可以保證網絡的安全B、只要資金允許就可以實現(xiàn)絕對的安全C、斷開所有的服務可以保證信息系統(tǒng)的安全D、信息系統(tǒng)安全狀態(tài)會隨著業(yè)

2、務的變化而變化，因此網絡安全狀態(tài)需要根據不同的業(yè)務而調整相應的網絡安全策略4.OSI開放系統(tǒng)互聯(lián)安全體系構架中的安全服務分為鑒別服務、訪問控制、機密性服務、完整服務、抗抵賴服務，其中機密性服務描述正確的是： A、包括原發(fā)方抗抵賴和接受方抗抵賴B、包括連接機密性、無連接機密性、選擇字段機密性和業(yè)務流保密C、包括對等實體鑒別和數(shù)據源鑒別D、包括具有恢復功能的連接完整性、沒有恢復功能的連接完整性、選擇字段連接完整性、無連接完整性和選擇字段無連接完整性5.電子商務交易必須具備抗抵賴性，目的在于防止_。 A、一個實體假裝另一個實體B、參與此交易的一方否認曾經發(fā)生過此次交易C、他人對數(shù)據進行非授權的修改、

3、破壞D、信息從被監(jiān)視的通信過程中泄露出去6.下列哪一項準確地描述了可信計算基（TCB）? A、TCB只作用于固件（Firmware）B、TCB描述了一個系統(tǒng)提供的安全級別C、TCB描述了一個系統(tǒng)內部的保護機制D、TCB通過安全標簽來表示數(shù)據的敏感性7.下面關于訪問控制模型的說法不正確的是： A、DAC模型中主體對它所屬的對象和運行的程序有全部的控制權B、DAC實現(xiàn)提供了一個基于“need-to-know”的訪問授權的方法，默認拒絕任何人的訪問。訪問許可必須被顯示地賦予訪問者C、在MAC這種模型里，管理員管理訪問控制。管理員制定策略，策略定義了哪個主體能訪問哪個對象。但用戶可以改變它。D、RBA

4、C模型中管理員定義一系列角色（roles）并把它們賦予主體。系統(tǒng)進程和普通用戶可能有不同的角色。設置對象為某個類型，主體具有相應的角色就可以訪問它。8.安全模型明確了安全策略所需的數(shù)據結構和技術，下列哪項最好描述了安全模型中的“簡單安全規(guī)則”？ A、Biba模型中的不允許向上寫B(tài)、Biba模型中的不允許向下讀C、Bell-Lapadula模型中的不允許向下寫D、Bell-Lapadula模型中的不允許向上讀9.以下關于訪問控制模型錯誤的是？ A、訪問控制模型主要有3種：自主訪問控制、強制訪問控制和基于角色的訪問控制。B、自主訪問控制模型允許主體顯示地制定其他主體對該主體所擁有的信息資源是否可以

5、訪問。C、基于角色的訪問控制RBAC中，“角色”通常是根據行政級別來定義的。D、強制訪問控制MAC是“強加”給訪問主體的，即系統(tǒng)強制主體服從訪問控制政策10.下面對于CC的“評估保證級”（EAL）的說法最準確的是： A、代表著不同的訪問控制強度B、描述了對抗安全威脅的能力級別C、是信息技術產品或信息技術系統(tǒng)對安全行為和安全功能的不同要求D、由一系列保證組件構成的包，可以代表預先定義的保證尺度11.某公司的業(yè)務部門用戶需要訪問業(yè)務數(shù)據，這些用戶不能直接訪問業(yè)務數(shù)據，而只能通過外部程序來操作業(yè)務數(shù)據，這種情況屬于下列哪種安全模型的一部分？ A、Bell-Lapadula模型B、Biba模型C、信息

6、流模型D、Clark-Wilson模型12.以下哪一項關于Bell-Lapadula模型特點的描述是錯誤的？ A、強調對信息保密性的保護，受到對信息保密要求較高的軍政機關和企業(yè)的喜愛B、既定義了主體對客體的訪問，也說明了主體對主體的訪問。因此。它適用于網絡系統(tǒng)C、它是一種強制訪問控制模型，與自主訪問控制模型相比具有強耦合，集中式授權的特點D、比起那些較新的模型而言，Bell-Lapadula定義的公理很簡單，更易于理解，與所使用的實際系統(tǒng)具有直觀的聯(lián)系13.下面對于基于角色的訪問控制的說法錯誤的是？ A、它將若干特定的用戶集合與權限聯(lián)系在一起B(yǎng)、角色一般可以按照部門、崗位、工程等與實際業(yè)務緊密

7、相關的類別來劃分C、因為角色的變動往往低于個體的變動，所以基于角色的訪問控制維護起來比較便利D、對于數(shù)據庫系統(tǒng)的適應性不強，是其在實際使用中的主要弱點14.下面哪類訪問控制模型是基于安全標簽實現(xiàn)的？ A、自主訪問控制B、強制訪問控制C、基于規(guī)則的訪問控制D、基于身份的訪問控制15.根據PPDR模型： A、一個信息系統(tǒng)的安全保障體系應當以人為核心、防護、檢測和恢復組成一個完整的、動態(tài)的循環(huán)B、判斷一個系統(tǒng)的安全保障能力，主要是安全策略的科學性與合理性，以及安全策略的落實情況C、如果安全防護時間小于檢測時間加響應時間，則該系統(tǒng)一定是不安全的D、如果一個系統(tǒng)的安全防護時間為0，則系統(tǒng)的安全性取決于暴

8、露時間16.有關密碼學分支的定義，下列說法中錯誤的是： A、密碼學是研究信息系統(tǒng)安全保密的科學，由兩個相互對立、相互斗爭、而且又相輔相成、相互滲透的分支科學所組成的、分別稱為密碼編碼學和密碼分析學B、密碼編碼學是對密碼體制、密碼體制的輸入輸出關系進行分析、以便推出機密變量、包括明文在內的敏感數(shù)據C、密碼分析學主要研究加密信息的破譯或信息的偽造D、密碼編碼學主要研究對信息進行編碼，實現(xiàn)信息的隱藏17.非對稱密鑰的密碼技術具有很多優(yōu)點，其中不包括： A、可提供數(shù)字簽名、零知識證明等額外服務B、加密/解密速度快，不需占用較多資源C、通信雙方事先不需要通過保密信道交換密鑰D、密鑰持有量大大減少18.下

9、列哪一項最好地描述了哈希算法、數(shù)字簽名和對稱密鑰算法分別提供的功能？ A、身份鑒別和完整性，完整性，機密性和完整性B、完整性，身份鑒別和完整性，機密性和可用性C、完整性，身份鑒別和完整性，機密性D、完整性和機密性，完整性，機密性19.以下哪一項是基于一個大的整數(shù)很難分解成兩個素數(shù)因數(shù)？ A、ECCB、RSAC、DESD、D-H20、電子郵件的機密性與真實性是通過下列哪一項實現(xiàn)的？ A、用發(fā)送者的私鑰對消息進行簽名，用接收者的公鑰對消息進行加密B、用發(fā)送者的公鑰對消息進行簽名，用接收者的私鑰對消息進行加密C、用接受者的私鑰對消息進行簽名，用發(fā)送者的公鑰對消息進行加密D、用接受者的公鑰對消息進行簽

10、名，用發(fā)送者的私鑰對消息進行加密21、一名攻擊者試圖通過暴力攻擊來獲??？ A、加密密鑰B、加密算法C、公鑰D、密文22、在標準GBXXXX-XX中對機房安全等級劃分正確的是？ A、劃分為A、B兩級B、劃分為A、B、C三級C、劃分為A、B、C、D四級D、劃分為A、B、C、D、E五級23、指紋、虹膜、語音識別技術是以下哪一種鑒別方式的實例： A、你是什么B、你有什么C、你知道什么D、你做了什么24、在OSI模型中，主要針對遠程終端訪問，任務包括會話管理、傳輸同步以及活動管理等以下是哪一層？A、應用層B、物理層C、會話層D、網絡層25、下列哪個協(xié)議可以防止局域網的數(shù)據鏈路層的橋接環(huán)路 A、HSRPB

11、、STPC、VRRPD、OSPF26、以下哪個不是應用層防火墻的特點 A、更有效地阻止應用層攻擊B、工作在OSI模型的第七層C、速度快且對用戶透明D、比較容易進行審計27、以下哪項不是IDS可以解決的問題： A、彌補網絡協(xié)議的弱點B、識別和報告對數(shù)據文件的改動C、統(tǒng)計分析系統(tǒng)中異?；顒幽Ｊ紻、提升系統(tǒng)監(jiān)控能力28、私網地址用于配置本地網絡、下列地址中屬私網地址的是？ A、B、C、D、29、下面哪類設備常用于風險分析過程中，識別系統(tǒng)中存在的脆弱性？ A、防火墻B、IDSC、漏洞掃描器D、UTM30、當一個應用系統(tǒng)被攻擊

12、并受到了破壞后，系統(tǒng)管理員從新安裝和配置了此應用系統(tǒng)，在該系統(tǒng)重新上線前管理員不需查看： A、訪問控制列表B、系統(tǒng)服務配置情況C、審計記錄D、用戶帳戶和權限的設置31、網絡隔離技術的目標是確保把有害的攻擊隔離，在保證可信網絡內部信息不外泄的前提下，完成網絡間數(shù)據的安全交換，下列隔離技術中，安全性最好的是？ A、多重安全網關B、防火墻C、VLAN隔離D、物理隔離32、在windowsXP中用事件查看器查看日志文件，可看到的日志包括？ A、用戶訪問日志、安全性日志、系統(tǒng)日志和IE日志B、應用程序日志、安全性日志、系統(tǒng)日志和IE日志C、網絡攻擊日志、安全性日志、記賬日志和IE日志D、網絡鏈接日志、安

13、全性日志、服務日志和IE日志33、windows操作系統(tǒng)的注冊表運行命令是 A、regswr32B、regeditC、regedit.mscD、regedit.mmc34、以下windows服務的說法錯誤的是A、為了提升系統(tǒng)的安全性管理員應盡量關閉不需要的服務B、可以作為獨立的進程運行或以DLL的形式依附在Svchost.exeC、windows服務只有在用戶成功登陸系統(tǒng)后才能運行D、windows服務通常是以管理員的身份運行的35、Linux系統(tǒng)格式化分區(qū)用哪個命令： A、fdiskB、mvC、mountD、df36、下面一行是某個UNIX文件的詳情，關于該文件權限的描述不正確的是A、這是一

14、個目錄，名稱是“file”B、文件屬性是groupC、“其他人”對該文件具有讀、寫、執(zhí)行權限D、user的成員對此文件沒有寫權限37、LINUX系統(tǒng)的/etc目錄從功能上看相當于windows的哪個目錄 A、program filesB、windowsC、system volume informationD、TEMP38、如果想用windows的網上鄰居方式和linux系統(tǒng)進行文件共享，那么在linux系統(tǒng)中要開啟哪個服務： A、DHCPB、NFSC、SAMBAD、SSH39、數(shù)據庫管理員在檢查數(shù)據庫時發(fā)現(xiàn)數(shù)據庫的性能不理想，他準備通過對部分數(shù)據表實施去除規(guī)范性（denormanization

15、）操作來提高數(shù)據庫性能，這樣做將增加下列哪項風險？ A、訪問的不一致B、死鎖C、對數(shù)據的非授權訪問D、數(shù)據完整性的損害40、下面關于IIS報錯信息含義的描述正確的是？ A、401-找不到文件B、403-禁止訪問C、404-權限問題D、500-系統(tǒng)錯誤41、宏病毒是一種專門感染微軟office格式文件的病毒，下列（ ）文件不可能感染該病毒。 A、*.exeB、*.docC、*.xlsD、*.ppt42、以下對于蠕蟲病毒的描述錯誤的是： A、蠕蟲的傳播無需用戶操作B、蠕蟲會消耗內存或網絡帶寬，導致DOSC、蠕蟲的傳播需要通過“宿主”程序或文件D、蠕蟲程序一般由“傳播模塊”、“隱藏模塊”、“目的功能

16、模塊”構成43、為了防止電子郵件中的惡意代碼，應該由_方式閱讀電子郵件 A、純文本B、網頁C、程序D、會話44、以下哪一項不是流氓軟件的特征？ A、通常通過誘騙或和其他軟件捆綁在用戶不知情的情況下安裝B、通常添加驅動保護使用戶難以卸載C、通常會啟動無用的程序浪費計算機的資源D、通常會顯示下流的言論45、在典型的web應用站點的層次結構中，“中間件”是在哪里運行的？ A、瀏覽器客戶端B、web服務器C、應用服務器D、數(shù)據庫服務器46、為了應對日益嚴重的垃圾郵件問題，人們設計和應用了各種垃圾郵件過濾機制，以下哪一項是耗費計算資源最多的一種垃圾郵件過濾機制？ A、SMTP身份認證B、逆向名字解析C、

17、黑名單過濾D、內容過濾47、無論是哪一種web服務器，都會受到HTTP協(xié)議本身安全問題的困擾，這樣的信息系統(tǒng)安全漏洞屬于： A、設計型漏洞B、開發(fā)型漏洞C、運行型漏洞D、以上都不是48、基于攻擊方式可以將黑客攻擊分為主動攻擊和被動攻擊，以下哪一項不屬于主動攻擊A、中斷B、篡改C、偵聽D、偽造49、關于黑客注入攻擊說法錯誤的是： A、它的主要原因是程序對用戶的輸入缺乏過濾B、一般情況下防火墻對它無法防范C、對它進行防范時要關注操作系統(tǒng)的版本和安全補丁D、注入成功后可以獲取部分權限50、下面對于Rootkit技術的解釋不準確的是： A、Rootkit是攻擊者用來隱藏自己和保留對系統(tǒng)的訪問權限的一組

18、工具B、Rootkit是一種危害大、傳播范圍廣的蠕蟲C、Rootkit和系統(tǒng)底層技術結合十分緊密D、Rootkit的工作機制是定位和修改系統(tǒng)的特定數(shù)據改變系統(tǒng)的正常操作流程51、以下對跨站腳本攻擊（XSS）的解釋最準確的一項是： A、引誘用戶點擊虛假網絡鏈接的一種攻擊方法B、構造精妙的關系數(shù)據庫的結構化查詢語言對數(shù)據庫進行非法的訪問C、一種很強大的木馬攻擊手段D、將惡意代碼嵌入到用戶瀏覽的WEB網頁中，從而達到惡意的目的52、以下哪一項是常見WEB站點脆弱性掃描工具： A、AppScanB、NmapC、SnifferD、LC53、下面哪一項是黑客用來實施DDOS攻擊的工具： A、LC5B、Ro

19、otkitC、IceswordD、Trinoo54、對于信息系統(tǒng)訪問控制說法錯誤的是？ A、應該根據業(yè)務需求和安全要求置頂清晰地訪問控制策略，并根據需要進行評審和改進B、網絡訪問控制是訪問控制的重中之重，網絡訪問控制做好了操作系統(tǒng)和應用層次的訪問控制問題就可以得到解決C、做好訪問控制工作不僅要對用戶的訪問活動進行嚴格管理，還要明確用戶在訪問控制中的有關責任D、移動計算和遠程工作技術在廣泛應用給訪問控制帶來了新的問題，因此在訪問控制工作中要重點考慮對移動計算設備和遠程工作用戶的控制措施55、下面哪一項最好地描述了組織機構的安全策略？ A、定義了訪問控制需求的總體指導方針B、建議了如何符合標準C、

20、表明管理者意圖的高層陳述D、表明所使用的技術控制措施的高層陳述56、資產管理是信息安全管理的重要內容，而清楚的識別信息系統(tǒng)相關的財產，并編制資產清單是資產管理的重要步驟。下面關于資產清單的說法錯誤的是： A、資產清單的編制是風險管理的一個重要的先決條件B、信息安全管理中所涉及的信息資產，即業(yè)務數(shù)據、合同協(xié)議、培訓材料等C、在制定資產清單的時候應根據資產的重要性、業(yè)務價值和安全分類，確定與資產重要性相對應的保護級別D、資產清單中應當包括將資產從災難中恢復而需要的信息，如資產類型、格式、位置、備份信息、許可信息等57、為什么一個公司內部的風險評估團隊應該由來自不同部門的人員組成？ A、確保風險評估

21、過程是公平的B、因為風險正是由于這些來自不同部門的人員所引起的，因此他們應該承擔風險評估的職責C、因為不同部門的人員對本部門所面臨的風險最清楚，由此進行的風險評估也最接近于實際情況D、風險評估團隊不應該由來自不同部門的人員組成，而應該由一個來自公司外部的小型團隊組成58、信息分類是信息安全管理工作的重要環(huán)節(jié)，下面那一項不是對信息進行分類時需要重點考慮的？ A、信息的價值B、信息的時效性C、信息的存儲方式D、法律法規(guī)的規(guī)定59、下面哪一項關于對違反安全規(guī)定的員工進行懲戒的說法是錯誤的？ A、對安全違規(guī)的發(fā)現(xiàn)和驗證是進行懲戒的重要前提B、懲戒措施的一個重要意義在于它的威懾性C、出于公平，進行懲戒時

22、不應考慮員工是否是初犯，是否接受過培訓D、盡管法律訴訟是一種嚴厲有效的懲戒手段，但使用它時一定要十分慎重60、風險分析的目標是達到： A、風險影響和保護性措施之間的價值平衡B、風險影響和保護性措施之間的操作平衡C、風險影響和保護性措施之間的技術平衡D、風險影響和保護性措施之間的邏輯平衡61、以下對“信息安全風險”的描述正確的是 A、是來自外部的威脅利用了系統(tǒng)自身存在脆弱性作用于資產形成風險B、是系統(tǒng)自身存在的威脅利用了來自外部的脆弱性作用于資產形成風險C、是來自外部的威脅利用了系統(tǒng)自身存在的脆弱性作用于網絡形成風險D、是系統(tǒng)自身存在的威脅利用了來自外部的脆弱性作用于網絡形成風險62、在ISO2

23、7001-2005中，制定風險處置計劃應該在PDCA的哪個階段進行？A、PlanB、DoC、CheckD、Act63、在冗余磁盤陳列中，以下不具有容錯技術的是 A、RAID 0B、RAID 1C、RAID 3D、RAID 564、為了達到組織災難恢復的要求，備份時間間隔不能超過；A、服務水平目標（SLO）B、恢復時間目標(RTO)C、恢復點目標(RPO)D、停用的最大可接受程度(MAO)65、以下對信息安全應急響應說法錯誤的是？A、明確處理安全事件的工作職責和工作流程是應急響應工作中非常重要的-B、僅僅處理好緊急事件不是應急工作的的全部，通過信息安全事件進行總結和學習是很重要-C、對安全事件的

24、報告和對安全弱點的報告都是信息安全事件管理的重要內容D、作為一個單位的信息安全主管，在安全事件中主要任務-完全是執(zhí)法機構的事66、目前數(shù)據大集中是我國重要的大型分布式信息系統(tǒng)建設和發(fā)展的趨勢，數(shù)據大集中就是將數(shù)據集中存儲和管理，為業(yè)務信息系統(tǒng)的運行搭建了統(tǒng)一的數(shù)據平臺，對這種做法的認識正確的是？ A數(shù)據庫系統(tǒng)龐大會提高管理成本B數(shù)據庫系統(tǒng)龐大會降低管理效率C數(shù)據的集中會降低風險的可控性D. 數(shù)據的集中會造成風險的集中67、對程序源代碼進行訪問控制管理時，以下那種做法是錯誤的？ A若有可能，在實際生產系統(tǒng)中不保留源程序庫。B對源程序庫的訪問進行嚴格的審計C技術支持人員應可以不受限制的訪問源程序D

25、對源程序庫的拷貝應受到嚴格的控制規(guī)程的制約68、以下對系統(tǒng)日志信息的操作中哪項是最不應當發(fā)生的？ A、對日志內容進行編輯B、只抽取部分條目進行保存和查看C、用新的日志覆蓋舊的日志D、使用專用工具對日志進行分析69、以下哪一項是對信息系統(tǒng)經常不能滿足用戶需求的最好解釋： A、沒有適當?shù)馁|量管理工具B、經常變化的用戶需求C、用戶參與需求挖掘不夠D、項目管理能力不強70、許多安全管理工作在信息系統(tǒng)生存周期中的運行維護階段發(fā)生。以下哪一種行為通常是不是在這一階段中發(fā)生的？ A、進行系統(tǒng)備份B、管理加密密鑰C、認可安全控制措施D、升級安全軟件71、在信息安全管理工作中“符合性”的含義不包括哪一項？ A、

26、對法律法規(guī)的符合B、對安全策略和標準的符合C、對用戶預期服務效果的符合D、通過審計措施來驗證符合情況72、下面哪一項最準確的闡述了安全監(jiān)測措施和安全審計措施之間的區(qū)別？A、審計措施不能自動執(zhí)行，而檢測措施可以自動執(zhí)行B、監(jiān)視措施不能自動執(zhí)行，而審計措施可以自動執(zhí)行C、審計措施是一次性地或周期性地進行，而監(jiān)測措施是實時地進行D、監(jiān)測措施一次性地或周期性地進行，而審計措施是實時地進行73、口令是驗證用戶身份的最常用手段，以下哪一種口令的潛在風險影響范圍最大？A、長期沒有修改的口令B、過短的口令C、兩個人公用的口令D、設備供應商提供的默認口令74、系統(tǒng)工程是信息安全工程的基礎學科，錢學森說：“系統(tǒng)工

27、程時組織管理系統(tǒng)規(guī)劃，研究、制造、實驗，科學的管理方法，使一種對所有系統(tǒng)都具有普遍意義的科學方法，以下哪項對系統(tǒng)工程的理解是正確的A、系統(tǒng)工程是一種方法論B、系統(tǒng)工程是一種技術實現(xiàn)C、系統(tǒng)工程是一種基本理論D、系統(tǒng)工程不以人參與系統(tǒng)為研究對象75、項目管理是信息安全工程的基本理論，以下哪項對項目管理的理解是正確的：A、項目管理的基本要素是質量，進度和成本B、項目管理的基本要素是范圍，人力和溝通C、項目管理是從項目的執(zhí)行開始到項目結束的全過程進行計劃、組織D、項目管理是項目的管理者，在有限的資源約束下，運用系統(tǒng)的觀點，方法和理論。對項目涉及的技術工作進行有效地管理76、在信息系統(tǒng)的設計階段必須做

28、以下工作除了：A、決定使用哪些安全控制措施B、對設計方案的安全性進行評估C、開發(fā)信息系統(tǒng)的運行維護手冊D、開發(fā)測試、驗收和認可方案77、進行信息安全管理體系的建設是一個涉及企業(yè)文化，信息系統(tǒng)特點，法律法規(guī)等多方面因素的負雜過程，人們在這樣的過程中總結了許多經驗，下面哪一項是最不值得贊同的？A、成功的信息安全管理體系建設必須得到組織的高級管理的直接支持B、制定的信息安全管理措施應當與組織的文化環(huán)境相匹配C、應該對ISO27002等國際標注批判地參考，不能完全照搬D、借助有經驗的大型國際咨詢公司，往往可以提高管理體系的執(zhí)行效78、信息系統(tǒng)安全保障工程是一門跨學科的工程管理過程，他是基于對信息系統(tǒng)安

29、全保障需求的發(fā)掘和對的理解，以經濟，科學的方法來設計、開發(fā)、和建設信息系統(tǒng)，以便他能滿足用戶安全保障需求的科學和藝術。A、安全風險B、安全保障C、安全技術D、安全管理79、關于SSE-CMM的描述錯誤的是：A、1993年4月美國國家安全局資助，有安全工業(yè)界，英國國防部辦公室和加拿大通信安全機構共同組成SSE-CMM項目組。B、SSE-CMM的能力級別分為6個級別。C、SSE-CMM講安全工程過程劃分為三類：風險、工程和保證。D、SSE的最高能力級別是量化控制80、下面對SSE-CMM說法錯誤的是？A、它通過域維和能力維共同形成對安全工程能力的評價B、域維定義了工程能力的所有實施活動C、能力維定

30、義了工程能力的判斷標注D、“公共特征”是域維中對獲得過程區(qū)目標的必要步驟的定義81在SSE-CMM中對工程過程能力的評價分為三個層次，由宏觀到微觀依次是 A能力級別-公共特征（CF）-通用實踐（GP）B能力級別-通用實踐-（GP）-公共特征（CF）C通用實踐-（GP）-能力級別-公共特征（CF）D公共特征（CF）-能力級別-通用實踐-（GP）、82、如果可以在組織范圍定義文檔化的標準過程，在所有的項目規(guī)劃、執(zhí)行和跟蹤已定義的過程，并且可以很好地協(xié)調項目活動和組織活動，則組織的安全能力成熟度可以達到？A、規(guī)劃跟蹤定義B、充分定義級C、量化控制級D、持續(xù)改進級83、“配置管理” 是系統(tǒng)工程的重要概

31、念，他在軟件工程和信息安全工程中得到廣泛應用下面對“配置管理”解釋最準確的是？A、配置管理的本質是變更流程管理B、配置管理是一個對系統(tǒng)（包括軟件、硬件、文檔、測試設備、開發(fā)維護設備）所有變化進行控制的過程C、配置管理是對信息系統(tǒng)的技術參數(shù)進行管理D、管理配置是對系統(tǒng)基線和源代碼的版本進行管理84、根據SSE-CMM以下哪項不是在安全工程過程中實施安全控制時需要做的？ A、獲得用戶對安全需求的理解B、建立安全控制的職責C、管理安全控制的配置D、進行針對安全控制的教育培訓85、下面哪條不屬于SSE-CMM中能力級別3“充分定義”級的基本內容： A、改進組織能力B、定義標準過程C、協(xié)調安全實施D、執(zhí)

32、行已定義的過程86、下面哪項不是工程實施階段信息安全工程監(jiān)理的主要目標？ A、明確工程實施計劃、對于計劃的調整必須合理、受控B、促使工程中所適用的產品和服務符合承建合同及國家相關法律、法規(guī)和標準C、促使業(yè)務單位與承建單位充分溝通，形成深化的安全需求D、促使工程實施過程滿足承建合同的要求，并與工程設計方案、工程計劃相符87、在國家標準中，屬于強制性標準的是： A、GB/T XXXX-X-200XB、GB XXXX-200XC、DBXX/T XXX-200XD、QXXX-XXX-200X88、在何種情況下，一個組織應對公眾和媒體公告其信息系統(tǒng)中發(fā)生的信息安全事件？ A、當信息安全事件的負面影響擴展

33、到本組織意外時B、只要發(fā)生了安全事件就應當公告C、只有公眾的什么財產安全受到巨大危害時才公告D、當信息安全事件平息之后89、下面對ISO27001的說法最準確的是： A、該標準的題目是信息安全管理體系實施指南B、該標準為度量信息安全管理體系的開發(fā)和實施提供的一套標準C、該標準提供了一組信息安全管理相關的控制和最佳實踐D、該標準為建立、實施、運行、監(jiān)控、審核、維護和改進信息安全體系提供了一個模型90、ISO27002、ITIL和COBIT在IT管理內容上各有優(yōu)勢、但側重點不同，其各自重點分別在于： A、IT安全控制、IT過程管理和IT控制和度量評價B、IT過程管理、IT安全控制和IT控制和度量評價C、IT控制和度量評價、IT安全控制和IT安