CISM题库（250题含答案）

- 5 - 中电运行技术研究院 A．regedit B．cmd C．mmc D．mfc

51．在 Windows 文件系统中， 支持文件加密。

B．NTFS C．FAT32 D．EXT3 A．FAT16

52．在 window 系统中用于显示本机各网络端口详细情况的命令是: A．netshow B．netstat C．ipconfig D．netview

53．视窗操作系统(Windows)从哪个版本开始引入安全中心的概念? A．WinNTSP6 B．Win2000SP4 C．WinXPSP2 D．Win2003SP1

54．在 WindowsXP 中用事件查看器查看日志文件，可看到的日志包括？ A．用户访问日志、安全性日志、系统日志和 IE 日志 B．应用程序日志、安全性日志、系统日志和 IE 日志 C．网络攻击日志、安全性日志、记账日志和 IE 日志 D．网络链接日志、安全性日志、服务日志和 IE 日志

55．关于数据库注入攻击的说法错误的是： A．它的主要原因是程序对用户的输入缺乏过滤 B．一般情况下防火培对它无法防范

C．对它进行防范时要关注操作系统的版本和安全补丁 D．注入成功后可以获取部分权限

56．专门负责数据库管理和维护的计算机软件系统称为: A．SQL-MS

B．INFERENCECONTROL C．DBMS

D．TRIGGER-MS

57．下列哪一项与数据库的安全直接相关？ A．访问控制的粒度 B．数据库的大小 C．关系表中属性的数量 D．关系表中元组的数量

58．信息安全风险的三要素是指:

A．资产/威胁/脆弱性 B．资产/使命/威胁 C．使命/威胁/脆弱性 D．威胁/脆弱性/使命

59．以下哪一项是已经被确认了的具有一定合理性的风险? A．总风险 B．最小化风险 C．可接受风险 D．残余风险

60．统计数据指出，对大多数计算机系统来说，最大的威胁是: A．本单位的雇员 B．黑客和商业间谍 C．未受培训的系统用户 D．技术产品和服务供应商

61．某公司正在进行信息安全风险评估，在决定信息资产的分类与分级时，谁负有最终责任？ A．部门经理 B．高级管理层 C．信息资产所有者 D．最终用户

62．风险评估方法的选定在 PDCA 循环中的哪个阶段完成？

- 6 - 中电运行技术研究院 A．实施和运行 B．保持和改进 C．建立 D．监视和评审

63．下列安全协议中， 可用于安全电子邮件加密。 A．PGP B．SET C．SSL D．TLS

64．HTTPS 采用

协议实现安全网站访问。

A．SSL B．IPSec C．PGP D．SET

65．信息安全等级保护制度是国家保障和促进信息化建设健康发展的一项基本制度，信息系统安全保护等级分为： A．3 级 B．4 级 C．5 级 D．6 级

66．以下关于\最小特权\安全管理原则理解正确的是： A．组机构内的敏感岗位不能由一个人长期负责 B．对重要的工作进行分解，分配给不同人员完成 C．一个人有且仅有其执行岗位所足够的许可和权限

D．防止员工由一个岗位变动到另一个岗位，累积越来越多的权限

67． 是目前国际通行的信息技术产品安全性评估标准？ A．TCSEC B．ITSEC C．CC D．IATF

68．下面哪个不是 ISO27000 系列包含的标准? A．《信息安全管理体系要求》 B．《信息安全风险管理》 C．《信息安全度量》 D．《信息安全评估规范》

69．信息安全管理的根本方法是:

A．风险处置 B．应急响应 C．风险管理 D．风险评估

70．以下对信息安全管理体系说法不正确的是： A．基于国际标准 ISO/IEC27000

B．它是综合信息安全管理和技术手段，保障组织信息安全的一种方法 C．它是管理体系家族的一个成员 D．基于国际标准 ISO/IEC27001

71．以下对 PDCA 循环解释不正确的是: A．P（Process）：处理 B．D（Do）：实施 C．C（Check）：检查 D．A（Action）：行动

72．以下对 PDCA 循环特点描述不正确的是． A．按顺序进行，周而复始，不断循环

B．组织中的每个部分，甚至个人，均可以 PDCA 循环，大环套小环，一层一层地解决问题 C．每通过一次 PDCA 循环，都要进行总结，提出新目标，再进行第二次 PDCA 循环 D．可以由任何一个阶段开始，周而复始，不断循环

73．风险是需要保护的（）发生损失的可能性，它是（）和（）综合结果。

- 7 - 中电运行技术研究院 A．资产，攻击目标，威胁事件 B．设备，威胁，漏洞

C．资产，威胁，漏洞 D．以上都不对 74．风险管理中使用的控制措施，不包括以下哪种类型? A．防性控制措施 B．管理性控制措施 C．检查性控制措施 D．纠正性控制措施

75．风险管理中的控制措施不包括以下哪一方面? A．行政 B．道德 C．技术 D．管理

76．风险评估不包括以下哪个活动? A．中断引入风险的活动 B．识别资产 C．识别威胁 D．分析风险

77，在信息安全风险管理工作中，识别风险时主要重点考虑的要素应包括: A．资产及其价值、威胁、脆弱性、现有的和计划的控制措施

B．资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施 C．完整性、可用性、机密性、不可抵赖性 D．减低风险、转嫁风险、规避风险、接受风险

78．以下哪一项不是信息安全风险分析过程中所要完成的工作： A．识别用户 B．识别脆弱性 C．评估资产价值 D．计算安全事件发生的可能性

79．机构应该把信息系统安全看作：

A．业务中心 B．风险中心 C．业务促进因素 D．业务抑制因素

80．应对信息安全风险的主要目标是什么? A．消除可能会影响公司的每一种威胁

B．管理风险，以使由风险产生的问题降至最低限度

C．尽量多实施安全措施以消除资产暴露在其下的每一种风险 D．尽量忽略风险，不使成本过高

81．以下关于 ISO/lEC27001 所应用的过程方法主要特点说法错误的是： A．理解组织的信息安全要求和建立信息安全方针与目标的需要 B．从组织整体业务风险的角度管理组织的信息安全风险 C．监视和评审 ISMS 的执行情况和有效性 D．基于主观测量的持续改进

82．在检查岗位职责时什么是最重要的评估标准？

A．工作职能中所有要傲的工作和需要的培训都有详细的定义 B．职责清晰，每个人都清楚自己在组织中的角色 C．强制休假和岗位轮换被执行

D．绩效得到监控和提升是基于清晰定义的目标

83．在信息安全管理中进行 ，可以有效解决人员安全意识薄弱问题。 A．内容监控 B．安全教育和培训（贯穿） C．责任追查和惩处 D．访问控制

84．以下哪一项最能体现 27002 管理控制措施中预防控制措施的目的？

- 8 - 中电运行技术研究院 A．减少威胁的可能性 B．保护企业的弱点区域

C．减少灾难发生的可能性 D．防御风险的发生并降低其影响 85．关于外包的论述不正确的是:

A．企业经营管理中的诸多操作或服务都可以外包

B．通过业务外包，企业也把相应的风险承担者转移给了外包商，企业从此不必对外包业务负任何直接或 间接的责任

C．虽然业务可以外包，但是对于外包业务的可能的不良后果，企业仍然承担责任 D．过多的外包业务可能产生额外的操作风险或其他隐患

86．信息化建设和信息安全建设的关系应当是: A．信息化建设的结束就是信息安全建设的开始 B．信息化建设和信息安全建设应同步规划、同步实施

C．信息化建设和信息安全建设是交替进行的，无法区分谁先谁后 D．以上说法都正确

87．关于 SSE-CMM 的描述错误的是：

A．1993 年 4 月美国国家安全局资助，有安全工业界、美国国防部办公室和加拿大通信安全机构共同组成

SSE-CMM 项目组

B．SSE-CMM 的能力级别分为 6 个级别

C．SSE-CMM 将安全工程过程划分为三类:风险、工程和保证 D．SSE 的最高能力级别是量化控制

88．以下对 SSE-CMM 描述正确的是: A．它是指信息安全工程能力成熟模型 B．它是指系统安全工程能力成熟模型 C．它是指系统安全技术能力成熟模型 D．它是指信息安全技术能力成熟模型 89．根据 SSE-CMM 信息安全工程过程可以划分为三个阶段，其中 确立安全解决方案的置信度并且 把这样的置信度传递给顾客。

A．保证过程 B．风险过程 C．工程和保证过程 D．安全工程过程

90．下面对于 SSE-CMM 保证过程的说法错误的是: A．保证是指安全需求得到满足的可信任程度

B．信任程度来自于对安全工程过程结果质量的判断

C．自验证与证实安全的主要手段包括观察、论证、分析和测试 D．PA“建立保证论据”为 PA“验证与证实安全”提供了证据支持

91．下面哪一项为系统安全工程能力成熟度模型提供评估方法: A．ISSE B．SSAM C．SSR D．CEM

92．在 SSE-CMM 中对工程过程能力的评价分为三个层次，由宏观到微观依次是: A．能力级别-公共特征(CF)-通用实践(GP) B．能力级别-通用实践-(GP)-公共特征(CF) C．通用实践-(GP)-能力级别-公共特征(CF) D．公共特征(CF)-能力级别-通用实践-(CP)

93．一个组织的系统安全能力成熟度达到哪个级别以后，就可以对组织层面的过程进行规 范的定义?

A．2 级——计划和跟踪

B．3 级——充分定义