CISP試題及答案（十四）

CISP考試內(nèi)容主要包括信息安全保障、網(wǎng)絡(luò)安全監(jiān)管、信息安全管理、業(yè)務(wù)連續(xù)性、安全工程與運(yùn)營、安全評估、信息安全支撐技術(shù)、物理與網(wǎng)絡(luò)通信安全、計(jì)算環(huán)境安全、軟件安全開發(fā)共十個(gè)知識域。想要通過考試，大家一定要掌握以上知識。為幫助大家備考，小編為大家整理了CISP試題及答案，具體內(nèi)容如下：

單項(xiàng)選擇題

1、實(shí)施ISMS內(nèi)審時(shí)，確定ISMS的控制目標(biāo)、控制措施、過程和程序應(yīng)該要符合相關(guān)要求，以下哪個(gè)不是?

A. 約定的標(biāo)準(zhǔn)及相關(guān)法律的要求

B.已識別的安全需求

C. 控制措施有效實(shí)施和維護(hù)

D. ISO13335風(fēng)險(xiǎn)評估方法

【答案】D

2、 以下對ISO27001標(biāo)準(zhǔn)的描述不正確的是：

A. 企業(yè)通過ISO27001認(rèn)證則必須符合ISO27001信息安全管理體系規(guī)范

的所有要求

B. ISO27001標(biāo)準(zhǔn)與信息系統(tǒng)等級保護(hù)等標(biāo)準(zhǔn)相沖突

C.ISO27001是源自于英國的標(biāo)準(zhǔn)BS7799

D. ISO27001是當(dāng)前國際上最被認(rèn)可的信息安全管理標(biāo)準(zhǔn)

【答案】B

3、下面哪個(gè)組合不是是信息資產(chǎn)

A. 硬件、軟件、文檔資料

B. 關(guān)鍵人員

C.組織提供的信息服務(wù)

D. 桌子、椅子

【答案】D

4、 對安全策略的描述不正確的是

A. 信息安全策略(或者方針)是由組織的較高管理者正式制訂和發(fā)布的描述企業(yè)信息安全目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實(shí)施過程

B. 策略應(yīng)有一個(gè)屬主，負(fù)責(zé)按復(fù)查程序維護(hù)和復(fù)查該策略

C.安全策略的內(nèi)容包括管理層對信息安全目標(biāo)和原則的聲明和承諾;

D. 安全策略一旦建立和發(fā)布，則不可變更;

【答案】D

5、 信息的存在及傳播方式

A. 存在于計(jì)算機(jī)、磁帶、紙張等介質(zhì)中

B. 記憶在人的大腦里

C… 通過網(wǎng)絡(luò)打印機(jī)復(fù)印機(jī)等方式進(jìn)行傳播

D. 通過投影儀顯示

【答案】D

6、 以下對企業(yè)信息安全活動的組織描述不正確的是

A. 企業(yè)應(yīng)該在組織內(nèi)建立發(fā)起和控制信息安全實(shí)施的管理框架。

B. 企業(yè)應(yīng)該維護(hù)被外部合作伙伴或者客戶訪問和使用的企業(yè)信息處理設(shè)施和信息資產(chǎn)的安全。

C.在沒有采取必要控制措施，包括簽署相關(guān)協(xié)議之前，不應(yīng)該授權(quán)給外部伙伴訪問。應(yīng)該讓外部伙伴意識到其責(zé)任和必須遵守的規(guī)定。

D. 企業(yè)在開展業(yè)務(wù)活動的過程中，應(yīng)該完全相信員工，不應(yīng)該對內(nèi)部員工采取安全管控措施

【答案】D

7、有關(guān)認(rèn)證和認(rèn)可的描述，以下不正確的是

A. 認(rèn)證就是第三方依據(jù)程序?qū)Ξa(chǎn)品、過程、服務(wù)符合規(guī)定要求給予書面保證(合格證書)

B. 根據(jù)對象的不同，認(rèn)證通常分為產(chǎn)品認(rèn)證和體系認(rèn)證

C.認(rèn)可是由某權(quán)威機(jī)構(gòu)依據(jù)程序?qū)δ硤F(tuán)體或個(gè)人具有從事特定任務(wù)的能力給予的正式承認(rèn)

D. 企業(yè)通過ISO27001認(rèn)證則說明企業(yè)符合ISO27001和ISO27002標(biāo)準(zhǔn)的要求

【答案】D

8、企業(yè)信息資產(chǎn)的管理和控制的描述不正確的是

A. 企業(yè)應(yīng)該建立和維護(hù)一個(gè)完整的信息資產(chǎn)清單，并明確信息資產(chǎn)的管控責(zé)任;

B. 企業(yè)應(yīng)該根據(jù)信息資產(chǎn)的重要性和安全級別的不同要求，采取對應(yīng)的管控措施;

C.企業(yè)的信息資產(chǎn)不應(yīng)該分類分級，所有的信息系統(tǒng)要統(tǒng)一對待

D. 企業(yè)可以根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來識別所有的信息資產(chǎn)

【答案】C

9、以下哪個(gè)不可以作為ISMS管理評審的輸入

A. ISMS審計(jì)和評審的結(jié)果

B. 來自利益伙伴的反饋

C. 某個(gè)信息安全項(xiàng)目的技術(shù)方案

D. 預(yù)防和糾正措施的狀態(tài)

【答案】C

10、有關(guān)人員安全的描述不正確的是

A. 人員的安全管理是企業(yè)信息安全管理活動中最難的環(huán)節(jié)

B. 重要或敏感崗位的人員入職之前，需要做好人員的背景檢查

C.企業(yè)人員預(yù)算受限的情況下，職責(zé)分離難以實(shí)施，企業(yè)對此無能為力，也無需做任何工作

D. 人員離職之后，必須清除離職員工所有的邏輯訪問帳號

【答案】C