考試信息安全CISP-模擬C-第2部分-STEVEN測試題

1、考試信息安全CISP-模擬C-第2部分-STEVEN復(fù)制26. 以下說法正確的是： 單選題 *A. 驗(yàn)收測試是由承建方和用戶按照用戶使用手冊執(zhí)行軟件驗(yàn)收B. 軟件測試的目的是為了驗(yàn)證軟件功能是否正確C. 監(jiān)理工程師應(yīng)按照有關(guān)標(biāo)準(zhǔn)審查提交的測試計劃，并提出審查意見(正確答案)D. 軟件測試計劃開始于軟件設(shè)計階段，完成于軟件開發(fā)階段答案解析：解釋：C是監(jiān)理工程師的職責(zé)。27. 信息系統(tǒng)安全保護(hù)等級為3級的系統(tǒng)，應(yīng)當(dāng)0年進(jìn)行一次等級測評？ 單選題 *A. 0. 5B. 1(正確答案)C. 2D. 3答案解析：解釋：等級保護(hù)三級系統(tǒng)一年測評一次，四級系統(tǒng)每半年測評一次。28. 國家科學(xué)技術(shù)秘密的密級分

2、為絕密級、機(jī)密級、秘密級，以下哪項屬于絕密級的描述？ 單選題 *A. 處于國際先進(jìn)水平，并且有軍事用途或者對經(jīng)濟(jì)建設(shè)具有重要影響的B. 能夠局部反應(yīng)國家防御和治安實(shí)力的C. 我國獨(dú)有、不受自然條件因素制約、能體現(xiàn)民族特色的精華，并且社會效益或者經(jīng)濟(jì)效益顯著的傳統(tǒng)工藝D. 國際領(lǐng)先，并且對國防建設(shè)或者經(jīng)濟(jì)建設(shè)具有特別重大影響的(正確答案)答案解析：解釋：D為絕密級。29. 關(guān)于我國加強(qiáng)信息安全保障工作的總體要求，以下說法錯誤的是： 單選題 *A. 堅持積極防御、綜合防范的方針B. 重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全C. 創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境D. 提高個人隱私保護(hù)意識(正確答案)答案解析：解

3、釋：提高個人隱私保護(hù)意識不屬于（2003年）我國加強(qiáng)信息安全保障工作的總體要求。30. 根據(jù)關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知的規(guī)定，以下正確的是： 單選題 *A. 涉密信息系統(tǒng)的風(fēng)險評估應(yīng)按照信息安全等級保護(hù)管理辦法等國家有關(guān)保密規(guī)定和標(biāo)準(zhǔn)進(jìn)行B. 非涉密信息系統(tǒng)的風(fēng)險評估應(yīng)按照非涉及國家秘密的信息系統(tǒng)分級保護(hù)管理辦法等要求進(jìn)行C. 可委托同一專業(yè)測評機(jī)構(gòu)完成等級測評和風(fēng)險評估工作，并形成等級測評報告和風(fēng)險評估報告(正確答案)D. 此通知不要求將“信息安全風(fēng)險評估”作為電子政務(wù)項目驗(yàn)收的重要內(nèi)容答案解析：解釋：C為正確描述。31. 某單位信息安全崗位員工，利用個人業(yè)余

4、時間，在社交網(wǎng)絡(luò)平臺上向業(yè)內(nèi)同不定期發(fā)布信息安全相關(guān)知識和前沿動態(tài)資訊， 這一行為主要符合以下哪一條注冊信息安全專業(yè)人員（CISP)職業(yè)道德準(zhǔn)則： 單選題 *A. 避免任何損害CISP聲譽(yù)形象的行為B. 自覺維護(hù)公眾信息安全，拒絕并抵制通過計算機(jī)網(wǎng)絡(luò)系統(tǒng)泄露個人隱私的行為C. 幫助和指導(dǎo)信息安全同行提升信息安全保障知識和能力(正確答案)D. 不在公眾網(wǎng)絡(luò)傳播反動、暴力、黃色、低俗信息及非法軟件答案解析：解釋：C為正確描述。32. 以下哪一項不是我國信息安全保障的原則： 單選題 *A. 立足國情，以我為主，堅持以技術(shù)為主(正確答案)B. 正確處理安全與發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C.

5、 統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作D. 明確國家、企業(yè)、個人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國家信息安全保障體系答案解析：解釋：A的正確描述為立足國情，以我為主，堅持以技術(shù)和管理并重。33. 下列選項中，哪個不是我國信息安全保障工作的主要內(nèi)容： 單選題 *A. 加強(qiáng)信息安全標(biāo)準(zhǔn)化工作，積極采用“等同采用、修改采用、制定”等多種方式，盡快建立和完善我國信息安全標(biāo)準(zhǔn) 體系B. 建立國家信息安全研宄中心，加快建立國家急需的信息安全技術(shù)體系，實(shí)現(xiàn)國家信息安全自主可控目標(biāo)(正確答案)C. 建設(shè)和完善信息安全基礎(chǔ)設(shè)施，提供國家信息安全保障能力支撐D. 加快信息安全學(xué)科建設(shè)和信息安全人才培養(yǎng)

6、答案解析：解釋：建立國家信息安全研宄中心不是我國信息安全保障工作的主要內(nèi)容。34. 關(guān)于信息安全管理，說法錯誤的是： 單選題 *A. 信息安全管理是管理者為實(shí)現(xiàn)信息安全目標(biāo)(信息資產(chǎn)的CIA等特性，以及業(yè)務(wù)運(yùn)作的持續(xù))而進(jìn)行的計劃、組織、指 揮、協(xié)調(diào)和控制的一系列活動。B. 信息安全管理是一個多層面、多因素的過程，依賴于建立信息安全組織、明確信息安全角色及職責(zé)、制定信息安全方 針策略標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計機(jī)制等多方面非技術(shù)性的努力。C. 實(shí)現(xiàn)信息安全，技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵。D. 信息安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是一個靜態(tài)過程。(正確答案)答案解析：解釋：信息

7、安全管理是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是一個動態(tài)過程。35. 以下哪個選項不是信息安全需求的來源？ 單選題 *A. 法律法規(guī)與合同條約的要求B. 組織的原則、目標(biāo)和規(guī)定C. 風(fēng)險評估的結(jié)果D. 安全架構(gòu)和安全廠商發(fā)布的病毒、漏洞預(yù)警(正確答案)答案解析：解釋：安全需求來源于內(nèi)部驅(qū)動，D是外部參考要素，不屬于信息安全需求的主要來源。36. 下列關(guān)于信息系統(tǒng)生命周期中實(shí)施階段所涉及主要安全需求描述錯誤的是： 單選題 *A. 確保采購定制的設(shè)備、軟件和其他系統(tǒng)組件滿足已定義的安全要求B. 確保整個系統(tǒng)已按照領(lǐng)導(dǎo)要求進(jìn)行了部署和配置(正確答案)C. 確保系統(tǒng)使用人員已具備使用系統(tǒng)安全功能和

8、安全特性的能力D. 確保信息系統(tǒng)的使用已得到授權(quán)答案解析：解釋：B是錯誤的，不是按照領(lǐng)導(dǎo)要求進(jìn)行了部署和配置。37. 下列關(guān)于信息系統(tǒng)生命周期中安全需求說法不準(zhǔn)確的是： 單選題 *A. 明確安全總體方針，確保安全總體方針源自業(yè)務(wù)期望B. 描述所涉及系統(tǒng)的安全現(xiàn)狀，提交明確的安全需求文檔C. 向相關(guān)組織和領(lǐng)導(dǎo)人宣貫風(fēng)險評估準(zhǔn)則(正確答案)D. 對系統(tǒng)規(guī)劃中安全實(shí)現(xiàn)的可能性進(jìn)行充分分析和論證答案解析：解釋：C屬于風(fēng)險評估階段，不屬于題干中的安全需求階段。38. 小張在某單位是負(fù)責(zé)事信息安全風(fēng)險管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進(jìn)行基本業(yè)務(wù)素質(zhì)培訓(xùn)。一次 培訓(xùn)的時候，小張主要負(fù)責(zé)講解風(fēng)

9、險評估工作形式，小張認(rèn)為：1. 風(fēng)險評估工作形式包括：自評估和檢查評估；2. 自評估是指信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行風(fēng)險評估；3. 檢查評估是信息系統(tǒng)上級管理部門組織或者國家有關(guān)職能部門依法開展的風(fēng)險評估；4. 對信息系統(tǒng)的風(fēng)險評估方式只能是“自評估”和“檢查評估”中的一個，非此即彼.請問小張的所述論點(diǎn)中錯誤的是哪項： 單選題 *A. 第一個觀點(diǎn)B. 第二個觀點(diǎn)C. 第三個觀點(diǎn)D. 第四個觀點(diǎn)(正確答案)答案解析：解釋：正確的做法為“自評估”和“檢查評估”相互結(jié)合和互為補(bǔ)充。39. 小李在某單位是負(fù)責(zé)信息安全風(fēng)險管理方面工作的部門領(lǐng)導(dǎo)，主要負(fù)責(zé)對所在行業(yè)的新人進(jìn)行基本

10、業(yè)務(wù)素質(zhì)培訓(xùn)，一次培 訓(xùn)的時候，小李主要負(fù)責(zé)講解風(fēng)險評估方法。請問小李的所述論點(diǎn)中錯誤的是哪項： 單選題 *A. 風(fēng)險評估方法包括：定性風(fēng)險分析、定量風(fēng)險分析以及半定量風(fēng)險分析B. 定性風(fēng)險分析需要憑借分析者的經(jīng)驗(yàn)和直覺或者業(yè)界的標(biāo)準(zhǔn)和慣例，因此具有隨意性(正確答案)C. 定量風(fēng)險分析試圖在計算風(fēng)險評估與成本效益分析期間收集的各個組成部分的具體數(shù)字值，因此更具客觀性D. 半定量風(fēng)險分析技術(shù)主要指在風(fēng)險分析過程中綜合使用定性和定量風(fēng)險分析技術(shù)對風(fēng)險要素的賦值方式，實(shí)現(xiàn)對風(fēng)險 各要素的度量數(shù)值化答案解析：解釋：定性分析不能靠直覺、不能隨意。40. 風(fēng)險評估工具的使用在一定程度上解決了手動評佑的局限

11、性，最主要的是它能夠?qū)＜抑R進(jìn)行集中，使專家的經(jīng)驗(yàn)知識 被廣泛使用，根據(jù)在風(fēng)險評估過程中的主要任務(wù)和作用愿理，風(fēng)險評估工具可以為以下幾類，其中錯誤的是： 單選題 *A. 風(fēng)險評估與管理工具B. 系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具C. 風(fēng)險評估輔助工具D. 環(huán)境風(fēng)險評估工具(正確答案)答案解析：解釋：通常情況下信息安全風(fēng)險評估工具不包括環(huán)境評估工具。41. 為了解風(fēng)險和控制風(fēng)險，應(yīng)當(dāng)及時進(jìn)行風(fēng)險評估活動，我國有關(guān)文件指出：風(fēng)險評估的工作形式可分為自評估和檢查評估 兩種，關(guān)于自評估，下面選項中描述錯誤的是0。 單選題 *A. 自評估是由信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險評估B.

12、自評估應(yīng)參照相應(yīng)標(biāo)準(zhǔn)、依據(jù)制定的評估方案和準(zhǔn)則，結(jié)合系統(tǒng)特定的安全要求實(shí)施C. 自評估應(yīng)當(dāng)是由發(fā)起單位自行組織力量完成，而不應(yīng)委托社會風(fēng)險評估服務(wù)機(jī)構(gòu)來實(shí)施(正確答案)D. 周期性的自評估可以在評估流程上適當(dāng)簡化，如重點(diǎn)針對上次評估后系統(tǒng)變化部分進(jìn)行答案解析：解釋：自評估可以委托社會風(fēng)險評估服務(wù)機(jī)構(gòu)來實(shí)施。42. 信息安全風(fēng)險評估是信息安全風(fēng)險管理工作中的重要環(huán)節(jié)，在國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)布的關(guān)于開展信息安全風(fēng) 險評估工作的意見（國信辦(2006) 5號)中，風(fēng)險評估分為自評估和檢査評估兩種形式，并對兩種工作形式提出了有關(guān)工 作原則和要求，下面選項中描述正確的是（）。 單選題 *A. 信

13、息安全風(fēng)險評估應(yīng)以自評估為主，自評估和檢査評估相互結(jié)合、互為補(bǔ)充(正確答案)B. 信息安全風(fēng)險評估應(yīng)以檢查評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充C. 自評估和檢查評估是相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個，并長期使用D. 自評估和檢査評估是相互排斥的，無特殊理由單位均應(yīng)選擇檢査評估，以保證安全效果答案解析：解釋：A為正確答案。43. 小王在學(xué)習(xí)定量風(fēng)險評估方法后，決定試著為單位機(jī)房計算火災(zāi)的風(fēng)險大小，假設(shè)單位機(jī)房的總價值為200萬元人民幣， 暴露系數(shù)(Exposure Factor，EF)是25%，年度發(fā)生率(Annualized Rate of Occurrence，ARO)

14、為0. 1，那么小王計算的年度預(yù)期損失(Annualized Loss Expectancy， ALE)應(yīng)該是(）。 單選題 *A. 5萬元人民幣(正確答案)B. 50萬元人民幣C. 2. 5萬元人民幣D. 25萬元人民幣答案解析：解釋：計算方法為200萬*25%*0. 1=5萬。44. 規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險評估結(jié)能否取得成果的重要基礎(chǔ)，某單位在實(shí)施風(fēng)險評估時，形成了風(fēng)險 評估方案并得到了管理決策層的認(rèn)可，在風(fēng)險評估實(shí)施的各個階段中，該風(fēng)險評估方案應(yīng)是如下（）中的輸出結(jié) 果。 單選題 *A. 風(fēng)險評估準(zhǔn)備階段(正確答案)B. 風(fēng)險要素識別階段C. 風(fēng)險分析階段D. 風(fēng)險結(jié)果

15、判定階段答案解析：解釋：風(fēng)險評估方案屬于風(fēng)險評估準(zhǔn)備階段的結(jié)果。45. 規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險評估能否取得成功的重要基礎(chǔ)。某單41位在實(shí)施風(fēng)險評估時，形成了待 評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單。在風(fēng)險評估實(shí)施的各個階段中，該待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單應(yīng)是如 下0 單選題 *A. 風(fēng)險評估準(zhǔn)備B.風(fēng)險要素識別(正確答案)C.風(fēng)險分析D.風(fēng)險結(jié)果判定答案解析：解釋：風(fēng)險要素包括資產(chǎn)、威脅、脆弱性、安全措施。46. 風(fēng)險要素識別是風(fēng)險評估實(shí)施過程中的一個重要步驟，有關(guān)安全要素，請選擇一個最合適的選項0。 單選題 *A. 識別面臨的風(fēng)險并賦值B.識別存在的脆弱性并賦值(正確答案)

16、C.制定安全措施實(shí)施計劃D.檢查安全措施有效性答案解析：解釋：風(fēng)險要素包括資產(chǎn)、威脅、脆弱性、安全措施。47. 某單位在實(shí)施信息安全風(fēng)險評估后，形成了若干文擋，下面（）中的文擋不應(yīng)屬于風(fēng)險評估中“風(fēng)險評估準(zhǔn)備”階段輸出 的文檔。 單選題 *A. 風(fēng)險評估工作計劃，主要包括本次風(fēng)險評估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、角色及職責(zé)、經(jīng)費(fèi)預(yù)算和進(jìn)度 安排等內(nèi)容B. 風(fēng)險評估方法和工具列表。主要包括擬用的風(fēng)險評估方法和測試評估工具等內(nèi)容C. 已有安全措施列表，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容(正確答案)D. 風(fēng)險評估準(zhǔn)則要求，主要包括風(fēng)險評估參考標(biāo)準(zhǔn)、采用的風(fēng)險分析方法、風(fēng)險

17、計算方法、資產(chǎn)分類標(biāo)準(zhǔn)、資產(chǎn)分類 準(zhǔn)則等內(nèi)容答案解析：解釋：風(fēng)險要素包括資產(chǎn)、威脅、脆弱性、安全措施。48. 文檔體系建設(shè)是信息安全管理體系(ISMS)建設(shè)的直接體現(xiàn)，下列說法不正確的是： 單選題 *A. 組織內(nèi)的信息安全方針文件、信息安全規(guī)章制度文件、信息安全相關(guān)操作規(guī)范文件等文 檔是組織的工作標(biāo)準(zhǔn)，也是ISMS審核的依據(jù)B. 組織內(nèi)的業(yè)務(wù)系統(tǒng)日志文件、風(fēng)險評估報告等文檔是對上一級文件的執(zhí)行和記錄，對這些記錄不需要保護(hù)和控制(正確答案)C. 組織在每份文件的首頁，加上文件修訂跟蹤表，顯示每一版本的版本號、發(fā)布日期、編寫人、審批人、主要修訂等內(nèi)容D. 層次化的文檔是ISMS建設(shè)的直接體現(xiàn)，文檔體系應(yīng)當(dāng)依據(jù)風(fēng)險評估的結(jié)果建立答案解析：解釋：信息安全管理體系運(yùn)行記錄需要保護(hù)和控制。49. 某項目的主要內(nèi)容為建造A類機(jī)房，監(jiān)理單位需要根據(jù)電子信息系統(tǒng)機(jī)房設(shè)計規(guī)范（GB 50174-2008)的相關(guān)要求，對 承建單位的施工設(shè)計方案進(jìn)行審核，以下關(guān)于監(jiān)理單位給出的審核意見錯誤的是： 單選題 *A. 在異地建立備份機(jī)房時，設(shè)計時應(yīng)與主用機(jī)房等級相同B. 由于高端小型機(jī)發(fā)熱量大，因