CISP试题及答案

C.拥有者 D.系统分析员 【答案】 C

114. 风险分析的目的是？

A.在实施保护所需的成本与风险可能造成的影响之间进行技术平衡； B.在实施保护所需的成本与风险可能造成的影响之间进行运作平衡； C.在实施保护所需的成本与风险可能造成的影响之间进行经济平衡； D.在实施保护所需的成本与风险可能造成的影响之间进行法律平衡； 【答案】 C

115. 以下哪个不属于信息安全的三要素之一？ A. 机密性 B. 完整性 C.抗抵赖性 D.可用性 【答案】 C

116. ISMS指的是什么？ A.信息安全管理 B.信息系统管理体系 C.信息系统管理安全 D.信息安全管理体系 【答案】 D

117. 在确定威胁的可能性时，可以不考虑以下哪个？ A. 威胁源 B.潜在弱点 C.现有控制措施

D.攻击所产生的负面影响 【答案】 D

118. 在风险分析中，以下哪种说法是正确的？

A.定量影响分析的主要优点是它对风险进行排序并对那些需要立即改善的环节进行标识。

B. 定性影响分析可以很容易地对控制进行成本收益分析。 C.定量影响分析不能用在对控制进行的成本收益分析中。 D. 定量影响分析的主要优点是它对影响大小给出了一个度量 【答案】 D

119. 通常情况下，怎样计算风险？

A.将威胁可能性等级乘以威胁影响就得出了风险。 B. 将威胁可能性等级加上威胁影响就得出了风险。 C.用威胁影响除以威胁的发生概率就得出了风险。

D. 用威胁概率作为指数对威胁影响进行乘方运算就得出了风险。 【答案】 A

120. 资产清单可包括？ A.服务及无形资产 B.信息资产 C.人员 D.以上所有 【答案】 D

121. 评估IT风险被很好的达到，可以通过： A.评估IT资产和IT项目总共的威胁

B.用公司的以前的真的损失经验来决定现在的弱点和威胁 C.审查可比较的组织出版的损失数据 D.一句审计拔高审查IT控制弱点 【答案】 A

122. 在部署风险管理程序的时候，哪项应该最先考虑到： A.组织威胁，弱点和风险概括的理解 B. 揭露风险的理解和妥协的潜在后果 C. 基于潜在结果的风险管理优先级的决心

D. 风险缓解战略足够在一个可以接受的水平上保持风险的结果 【答案】 A

123. 为了解决操作人员执行日常备份的失误，管理层要求系统管理员签字日常备份，这是一个风险??例子： A.防止 B.转移 C. 缓解 D.接受 【答案】 C

124. 以下哪项不属于PDCA循环的特点？

A.按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环

B.组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题

C.每通过一次PDCA 循环，都要进行总结，提出新目标，再进行第二次PDCA 循环

D.D．组织中的每个部分，不包括个人，均可以PDCA循环，大环套小环，一层一层地解决问题 【答案】 D

125. 戴明循环执行顺序，下面哪项正确？

A.．PLAN-ACT-DO-CHECK B. CHECK-PLAN-ACT-DO C. PLAN-DO-CHECK-ACT D. ACT-PLAN-CHECK-DO 【答案】 C

126. 建立ISMS的第一步是？ A.风险评估

B.设计ISMS文档 C. 明确ISMS范围 D. 确定ISMS 策略 【答案】 C

127. 建立ISMS的步骤正确的是？

A.明确ISMS范围-确定ISMS策略-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺（审批）

B.定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺（审批）-确定ISMS策略

C.确定ISMS策略-明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺（审批）

D.明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-确定ISMS策略-设计ISMS文件-进行管理者承诺（审批） 【答案】 A

128. 除以下哪项可作为ISMS审核（包括内审和外审）的依据，文件审核、现场审核的依据？ A.机房登记记录

B.信息安全管理体系 C.权限申请记录 D.离职人员的口述 【答案】 D

129. 以下哪项是 ISMS文件的作用？

A. 是指导组织有关信息安全工作方面的内部“法规”--使工作有章可循。 B.是控制措施（controls）的重要部分

C.提供客观证据--为满足相关方要求，以及持续改进提供依据 D.以上所有 【答案】 D

130. 以下哪项不是记录控制的要求？ A.清晰、易于识别和检索

B.记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施

C. 建立并保持，以提供证据

D.记录应尽可能的达到最详细 【答案】 D

131. 下面哪项是信息安全管理体系中CHECK（检查）中的工作内容？ A.按照计划的时间间隔进行风险评估的评审 B.实施所选择的控制措施

C.采取合适的纠正和预防措施。从其它组织和组织自身的安全经验中吸取教训

D.确保改进达到了预期目标 【答案】 A

132. 指导和规范信息安全管理的所有活动的文件叫做？ A.过程 B.安全目标 C.安全策略 D.安全范围 【答案】 C

133. 信息安全管理措施不包括： A. 安全策略

B.物理和环境安全 C.访问控制 D.安全范围 【答案】 D

134. 下面安全策略的特性中，不包括哪一项？ A. 指导性 B.静态性 C.可审核性 D.非技术性 【答案】 B

135. 信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行，下面哪项包括非典型的安全协调应包括的人员？ A.管理人员、用户、应用设计人员

B.系统运维人员、内部审计人员、安全专员 C.内部审计人员、安全专员、领域专家 D.应用设计人员、内部审计人员、离职人员 【答案】 D

136. 下面那一项不是风险评估的目的？ A.分析组织的安全需求

B.制订安全策略和实施安防措施的依据 C.组织实现信息安全的必要的、重要的步骤